在 Oracle Integration 和 Fusion Applications 之间配置 SSO

使用 Oracle Fusion Cloud Applications 身份域配置 SSO

Oracle Fusion Cloud Applications 身份域可用于部署扩展和集成，其中包括在同一域中预配 Oracle Integration 。

由于 Oracle Fusion Cloud Applications 身份域是 Oracle App 类型，因此它无需额外付费即可支持扩展用例，并简化运营和监管。此方法消除了对其他 OCI IAM 身份域的需求，从而降低了许可成本和管理开销。Fusion Applications 身份域被指定为身份提供者 (IdP)。

预配后，所有 Fusion Applications 用户都可以自动分配给 Oracle Integration 实例。在 Oracle Fusion Cloud Applications 和 Oracle Integration 之间启用了 SSO，并且 Oracle Integration 可以配置为使用 OAuth 安全地调用 Fusion Applications API。

要创建 Oracle Integration 实例，请使用此身份域登录到 OCI 控制台。用户访问 Oracle Integration URL 时，会将其重定向到 Fusion Applications 身份域进行验证。

下图说明了验证流程：

插图 sso-fusion-apps-idm.png 的说明

有关在 Fusion Applications 身份域中预配 Oracle Integration 的说明，请参阅了解更多信息部分中的将 Oracle Cloud Integration Service 预配到 Fusion Applications 身份域。

使用 Oracle Fusion Cloud Applications 身份域和外部身份提供者配置 SSO

如果您已使用外部身份提供者（例如 Microsoft Entra ID 或 Okta），则可以将其扩展为 Oracle Fusion Cloud Applications 和 Oracle Integration 的 IdP。这样可以集中管理用户和访问，从而减少重复和管理工作。

还可以使用基于 SAML 的标准集成将其他外部身份提供者配置为 Fusion Applications 身份域（作为服务提供商或 "SP"）的 IdP。

下图说明了验证流程：

后面是 sso-fusion-apps-idm-external-idp.png 的说明

插图 sso-fusion-apps-idm-external-idp.png 的说明

将 Oracle Fusion Cloud Applications 配置为服务提供者，将 Microsoft Entra ID 配置为外部身份提供者

通过将 Oracle Fusion Cloud Applications 身份域指定为服务提供商 (service provider，SP) 并使用外部身份提供者（例如 Microsoft Entra ID ）来配置 SSO。在 Fusion Cloud Applications 身份域中预配了 Oracle Integration 。有关详细信息，请参阅 Explore More 部分中的 SSO Between OCI and Microsoft Entra ID 。

以下步骤说明如何将 Fusion Cloud Applications 身份域配置为服务提供商，将 Microsoft Entra ID 配置为外部身份提供者。

从配置为服务提供商的 Oracle Fusion Cloud Applications 身份域下载元数据。您需要元数据才能在 Entra ID 中配置 SAML 应用程序。
在 Microsoft Entra ID 中创建企业应用程序，专门用于 OCI 控制台访问。这将在 Entra ID 中注册新的企业应用程序。
使用 Oracle Fusion Cloud Applications 身份域中的元数据为 Microsoft Entra ID 企业应用程序配置 SSO，并更新应用程序的属性和声明，以使用用户的电子邮件地址作为标识符。最后，从 Microsoft Entra ID 下载联盟元数据 XML。
通过将联合元数据 XML 从 Entra ID 导入到身份提供者配置，在 Fusion Applications 身份域中将 Entra ID 注册为 IdP。然后，更新 IDP 策略规则以包括 Entra ID。
1. 在 OCI 控制台中，单击身份和安全，然后单击域。
2. 选择 Oracle Fusion Cloud Applications 身份域。
3. 导航到联盟，然后单击操作菜单。
4. 单击添加 SAML IDP 。
5. 输入名称、说明并上载身份提供者图标。
6. 上载 Microsoft Entra ID 元数据 XML 文件（之前已下载）。
7. 定义用户属性映射，例如将 NameID 映射到 UserName 或 Email 。
8. 在复查并创建页上，验证配置详细信息。
9. 单击激活以启用新的身份提供者。
10. 创建新的身份提供者策略规则，或编辑现有规则以将新创建的 SAML IDP 分配给相应规则以启用联合验证。
测试 SSO 配置以验证 Microsoft Entra ID 与 Oracle Fusion Cloud Applications 身份域之间的联合验证是否成功。

使用 Fusion Applications 身份域、OCI IAM 身份域和外部身份提供者配置 SSO

SSO 配置有 Oracle Fusion Cloud Applications 身份域作为服务提供商，Microsoft Entra ID 作为身份提供者。Oracle Integration 预配在 Fusion Applications 身份域中，允许用户验证从身份域流到 Microsoft Entra ID 。

为了进一步简化身份验证，OCI 身份域（服务提供商）与 Microsoft Entra ID （身份提供者）之间建立了一个单独的联盟。这允许用户通过通过 OCI IAM 路由到 Microsoft Entra ID 的身份验证来访问 OCI 服务，从而跨 Oracle 和非 Oracle 平台提供统一的 SSO 体验。

OCI IAM 身份域提供全面的身份和访问管理，包括针对 SaaS、云托管和内部部署应用的身份验证、SSO 和身份生命周期管理，包括 Oracle 和非 Oracle 应用。在使用 OCI 服务 PaaS（例如 Oracle Integration ）和 Oracle Fusion Cloud Applications 的环境中，用户组可能会有所不同。

Fusion Applications 身份域管理 Fusion Applications 和 Oracle Integration 的用户和组，而单独的 OCI IAM 身份域集中管理需要访问 OCI 服务（例如 OCI Object Storage 、 OCI Logging 和 OCI Functions ）的用户。

下图说明了此验证流：

插图 sso-fusion-apps-idm-oci.png 的说明

将 OCI IAM 身份域配置为服务提供者，将 Microsoft Entra ID 配置为身份提供者

以下步骤说明如何将 OCI IAM 身份域配置为服务提供商，将 Microsoft Entra ID 配置为身份提供商。

从配置为服务提供商的 OCI IAM 身份域下载元数据。在 Entra ID 中配置 SAML 应用程序需要此元数据。
在 Microsoft Entra ID 中创建企业应用程序，专门用于 OCI 控制台访问。这将在 Entra ID 中注册新的企业应用程序。
使用 OCI IAM 身份域中的元数据为 Microsoft Entra ID 企业应用程序配置 SSO，并更新应用程序的属性和声明，以使用用户的电子邮件地址作为标识符。最后，从 Microsoft Entra ID 下载联盟元数据 XML。
通过将联合元数据 XML 从 Entra ID 导入到身份提供者配置，在 OCI IAM 身份域中将 Entra ID 注册为 IdP。然后，更新 IDP 策略规则以包括 Entra ID。
1. 在 OCI 控制台中，单击身份和安全，然后单击域。
2. 选择 OCI IAM 身份域。
3. 导航到联盟，然后单击操作菜单。
4. 单击添加 SAML IDP 。
5. 输入名称、说明并上载身份提供者图标。
6. 上载 Microsoft Entra ID 元数据 XML 文件（之前已下载）。
7. 定义用户属性映射，例如将 NameID 映射到 UserName 或 Email 。
8. 在复查并创建页上，验证配置详细信息。
9. 单击激活以启用新的身份提供者。
10. 创建新的身份提供者策略规则，或编辑现有规则以将新创建的 SAML IDP 分配给相应规则以启用联合验证。
测试 SSO 配置以验证 Microsoft Entra ID 与 OCI IAM 身份域之间的联合验证是否成功。