附註:

將 OCI Identity and Access Management 設定為 Rapid7 命令平台的 SSO 來源

簡介

Oracle Cloud Infrastructure (OCI) 是 Oracle 的雲端運算平台,提供一組全方位的雲端服務,包括運算、儲存、網路、資料庫及身分識別管理。OCI 專為傳統應用程式和較新的雲端原生工作負載所設計,可在各種服務層次提供擴展性、安全性和效能。OCI 也支援健全的身分識別和存取管理 (IAM) 系統,其中包含啟用單一登入 (SSO) 的功能,以增強安全性和使用者便利性。OCI 以 SAML 為基礎的身分識別同盟可讓企業與外部身分識別提供者整合,簡化各種 OCI 資源的使用者存取。

Rapid7 是網路安全解決方案的領導供應商,專注於威脅偵測、漏洞管理和事件回應。透過 InsightIDRInsightVM 等工具,Rapid7 可讓組織偵測並管理其基礎架構 (包括雲端環境) 中的漏洞。Rapid7 的 SAML 整合功能可讓組織與身分識別提供者 (例如 OCI) 連線,藉此簡化認證。此連線為使用者提供單一登入功能,藉由降低密碼相依性來改善安全性,同時讓使用者能夠順暢存取 Rapid7 的安全工具和洞察分析。

本教學課程將逐步介紹使用安全宣告標記語言 (SAML) 2.0 將 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 設定為 Rapid7 命令平台單一登入 (SSO) 來源的作業。這可讓您使用 OCI IAM 管理 Rapid7 命令平台的使用者認證。

適用對象

OCI IAM 專業人員和 Rapid7 管理員。

目標

必要條件

工作 1:設定 Rapid7 命令平台中的 SSO 設定值

在此工作中,我們將使用 Rapid7 命令平台中的 SAML 2.0 來設定 SSO 設定值。

  1. 若要存取 SSO 設定值,請遵循下列步驟:

    1. 移至 Rapid7 Command Platform 首頁,然後按一下管理連結。

    2. 按一下設定值圖示。

    3. 按一下認證設定值SSO 設定值

    影像 2

  2. 選取您的身分識別提供者 (IdP) 下拉式功能表中選取其他

    影像 3

    注意:我們會在完成「工作 2」之後上傳 IdP 憑證。

  3. 複製宣告用戶服務 (ACS) URL對象 (EntityID) 以及轉送狀態 URL。完成後,請前往任務 2

    影像 6

  4. 從「任務 2」中下載的中繼資料複製實體 IDSingleSignOnService URL ,然後分別在設定的洞察分析平台區段的發行者 URL單一登入 URL 中使用。

    影像 22

    影像 12

    注意:單一登入 URL 的格式為 https://idcs-##############.identity.oraclecloud.com/fed/v1/idp/sso

  5. 上傳 IdP 憑證

    影像 5

  6. 應指派新使用者的設定預設存取權資料檔。設定此預設存取設定檔之後,系統就會自動將它指定給透過 OCI IAM 建立的所有新使用者帳戶。現有使用者帳戶的存取將不會受到影響。

    影像 13

    影像 14

    影像 28

  7. 啟用 IdP 使用者群組同步。將 OCI IAM 群組與 Rapid7 命令平台同步,可讓您的 OCI IAM 管理 Rapid7 命令平台使用者群組成員身分。指定給 IdP 群組的 OCI 使用者會自動指定給 Rapid7 命令平台中的相符使用者群組。只要使用者仍然是原始 IdP 群組的一部分,以此方式指派的使用者就會繼承所有已定義的產品、角色和資料權限。

    影像 16

    影像 15

  8. 按一下,透過外部 IdP 啟用 SSO。

    影像 17

  9. 按一下下載,即可下載 SP 的描述資料。

    影像 23

  10. 從其中擷取 X509Certificate 以建立 .pem 檔案。

    影像 26

作業 2:在 OCI IAM 識別網域中建立 SAML 應用程式

我們將在個別的 OCI IAM 識別網域中建立 SAML 應用程式。您必須使用 SSO 的 SAML 2.0 協定,在 OCI IAM 與 Rapid7 命令平台之間建立安全通訊連結。

  1. 登入 OCI 主控台,前往識別與安全,然後按一下網域

    影像 19

  2. 選取您的網域,按一下整合的應用程式新增應用程式,選取 SAML 應用程式,然後按一下啟動工作流程

    影像 20

  3. 輸入您應用程式的名稱轉送狀態,然後按一下下一步

    影像 11

  4. 設定單一登入區段中,輸入實體 ID宣告用戶 URL ,選取名稱 ID 格式作為未指定名稱 ID 值作為使用者名稱,然後上傳從 Rapid7 主控台下載的簽署憑證

    影像 8

    注意:在 Rapid7 命令平台中設定 SSO 之後,即可從下載的描述資料擷取憑證。

  5. 其他組態區段中,選取在簽章中包括簽署憑證,然後取消選取啟用單一登出。保留其他參數作為預設值。

    影像 9

    注意:根據您的需求,選取或取消選取啟用單一登出功能。若要啟用此功能,必須在個別欄位中新增 SLO URL。

  6. 請使用屬性組態區段中的下列組態。

    影像 10

    注意:影像中的下列屬性敘述句是 Rapid7 命令平台認證的必要屬性敘述句。

  7. 按一下完成啟用來完成設定。

  8. 下載簽署憑證識別提供者描述資料。完成後,請返回「任務 1.4」並繼續。

    影像 21

作業 3:群組同步化

群組同步可讓您控制 OCI IAM 內的使用者群組指定。

這項功能是透過在 SAML 回應中包含標籤為 rbacGroups 的屬性,其中包含每個使用者之 Rapid7 命令平台群組的名稱。系統會自動將使用者指派給 Rapid7 命令平台中的對應群組,並繼承與這些群組關聯的產品、角色和資源存取權。

注意:啟用群組同步時,IdP 使用者將會從 SAML 宣告中未包含的任何 Rapid7 命令平台群組中移除。IdP 使用者將保留任何直接指派給他們的角色或權限,包括來自預設存取權資料檔的角色或權限。

若要在 Rapid7 命令平台中建立使用者群組,請瀏覽至管理使用者管理,然後按一下使用者群組

作業 4:設定使用者群組

由於群組同步需要使用 Rapid7 Command Platform 使用者群組,因此請務必先設定群組,再啟用。

  1. 新增群組屬性。在 OCI IAM 中,我們必須確定將使用者指定給與對應 Rapid7 命令平台使用者群組同名的群組。如果您尚未建立這些群組,請依照下列步驟進行:

    1. 在「OCI 識別網域主控台」中,瀏覽至群組

    2. 按一下建立群組

    3. 輸入與對應的 Rapid7 命令平台使用者群組相同的名稱

    4. 使用者區段中,選取要指派此群組的使用者

    5. 按一下建立

    設定群組之後,您必須將屬性新增至 SAML 宣告,其中包含每個使用者被指派的群組名稱。

  2. 將屬性新增至 OCI IAM 識別網域中的 SAML 宣告。

    1. 在 OCI Identity Domains 主控台中,瀏覽至整合的應用程式,然後選取您的 Rapid7 應用程式。

    2. SAML 設定值區段中,按一下編輯 SSO 組態

    3. 新增下列屬性敘述句,然後按一下儲存

    影像 27

    使用者使用 SSO 進行認證時,現在將從您的 OCI IAM 將使用者同步至 Rapid7 命令平台使用者群組所需的所有資訊納入其中。

作業 5:測試 SSO

  1. 前往 Rapid7 Insight URL (https://insight.rapid7.com),然後按一下使用 SSO 登入

    影像 24

  2. 輸入證明資料。

    影像 18

    您現在已順利登入 Rapid7 命令平台。

    影像 25

    此外,使用者也會根據 OCI IAM 中的群組成員身分自動新增至使用者群組。

認可

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室,或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件,請造訪 Oracle Help Center