1. 在 Azure AD 和 Oracle Identity Cloud Service for Oracle E-Business Suite 之间设置 SSO
  2. 设置 Azure AD 与 Identity Cloud Service 之间的联盟信任

设置 Azure AD 与 Identity Cloud Service 之间的联盟信任

要设置联盟信任,需要在 Azure AD 租户中将Oracle Identity Cloud Service 作为图库应用程序添加。将应用程序添加到租户后,将 Azure AD 作为身份提供方(IDP)添加到Oracle Identity Cloud Service中,然后在 Azure AD 中配置一次登入。

准备工作

在 Azure AD 与Oracle Identity Cloud Service之间设置联盟信任之前,请准备以下事项:

  • 您应该使用 Contributor 或更高权限的帐户订阅 Azure。学生还必须具备 Azure 平台的上机操作经验。此解决方案不涵盖创建和运行 Vm 和应用程序的 Azure IaaS 和安全性最佳实践。
  • 获取 Azure AD 订阅,并在 Azure AD 门户中创建具有应用程序管理员或全局管理员角色的用户。
  • 您应该了解如何在 Azure 中创建安全组以及如何向其中添加用户。
  • Azure AD 与E-Business Suite 应用程序之间的用户同步是 SSO 要工作的先决条件。甚至还可以使用Oracle Identity Cloud Service 功能使用户在 Azure AD 和Oracle Identity Cloud Service之间保持同步。所有三个系统中必须至少有一个属性匹配。例如,Azure AD 中的用户主用户名称(UPN 或任何其他唯一属性)必须与Oracle Identity Cloud Service中的用户名或任何其他属性匹配,并且该属性也必须与E-Business Suite 应用程序用户名匹配。

在 Azure AD 中将Oracle Identity Cloud Service 作为图库应用程序添加

您需要Oracle Identity Cloud Service 租户的管理员身份证明才能将其作为图库应用程序添加到 Azure AD 中。

稍后在步骤中需要元数据文件。因此,请转至Oracle Identity Cloud Service 租户特定的元数据 URL 并下载元数据。URL 如下所示:https://<your_tenancy>.identity.oraclecloud.com/fed/v1/metadata
  1. 在 Azure 门户中,在左侧导航窗格中选择Azure Active Directory
  2. Azure Active Directory中选择企业应用程序
  3. 选择新建应用程序
  4. 导航到从图库中添加,然后在搜索框中输入"Oracle Identity Cloud Service for E-Business Suite"。从搜索结果中选择匹配应用程序并添加应用程序。
  5. 选择应用程序以配置一次登入,并在管理下导航到左侧窗格中的一次登入
  6. 选择 SAML 作为一次登入方法。
  7. 在使用 SAML -预览设置一次登入页中,导航到“基本 SAML 配置 ”部分并单击上载元数据文件
  8. 选择之前下载的Oracle Identity Cloud Service 元数据文件,然后单击添加
  9. 登录 URL 属性框中,输入Oracle Identity Cloud Service myconsole URL。
  10. 验证 SAML 配置。如果缺少,请添加Oracle Identity Cloud Service 注销 url。在“用户属性和索赔 ”部分中,保留默认值。
  11. 在“SAML 签名证书 ”部分中,单击联盟元数据 XML 旁边的载以下载 Azure AD 联盟元数据文件。
    此应用程序在 Azure AD 与Oracle Identity Cloud Service之间提供 SAML 2.0联盟链接,但E-Business Suite 应用程序用户只能在“我的应用程序”门户中看到E-Business Suite 应用程序
  12. 如果要在“我的应用程序”门户中隐藏应用程序,请将“对用户可见”属性设置为“”。

Oracle Identity Cloud Service中将 Azure AD 作为身份提供者添加

添加身份提供者时,将导入在添加图库应用程序时下载的身份提供者的元数据内容。请确保元数据 XML 文件可读或 URL。

  1. 登录到Oracle Identity Cloud Service 管理控制台。
  2. 导航到安全性,选择身份提供者,然后添加身份提供者。
  3. 添加身份提供者向导中,输入名称并单击下一步
  4. 导入您在将应用程序添加到图库时下载的Azure AD Federation Metadata XML 文件。
  5. 在向导的“配置 ”窗格中,使用请求的 NameID 格式的默认值。身份提供者用户属性的值应为名称 ID
  6. Oracle Identity Cloud Service 用户属性 的值设置为主电子邮件地址 或Identity Cloud Service中可能保存在Azure AD中的用户主用户名的任何其他属性。
  7. 设置 IDP 策略并添加 Webgate-先前创建的 , 以便使用 Azure AD 进行验证。
    1. 在导航窗格中,单击安全性,然后单击要添加的 IDP 策略
    2. 在向导中,输入策略的名称,然后单击下一步
    3. 单击分配,从列表中选择Azure AD IDP,然后退出向导。可以分配多个可能使用此 IDP 的应用程序。

完成 Azure AD 中的一次登入配置

完成一次登入配置以在Oracle Cloud Infrastructure 与 Azure AD 之间建立连接。

  1. 登录到 Azure 门户。
  2. 创建一个安全组并为其指定一个名称。例如,oracle-Users.
  3. 通过导航到Azure Active Directory 并依次选择户和创建用户来创建测试用户。
  4. 将用户添加到安全组。
  5. 将组分配给Oracle Identity Cloud Service SSO 应用程序。例如,Oracle -用户组包含可能通过Oracle Identity Cloud Service.访问E-Business Suite 应用程序的所有用户
  6. 打开Oracle Identity Cloud Service 管理控制台。
    为了进行测试,可以在Oracle Identity Cloud Service 中手动创建用户或在Oracle Identity Cloud Service 中同步 Azure AD 用户。应创建或同步用户,使 Azure AD 中的用户主用户名称与Oracle Identity Cloud Service中用户的主电子邮件地址(或某些其他属性)相匹配。例如,joe.smith@example.com 将是 Azure AD 中用户的主用户名称和Oracle Identity Cloud Service 主电子邮件地址。
  7. 在 Azure AD 中,使用测试帐户导航到 IDCS-SSO 企业应用程序并测试单点登录。