1. 將 Oracle Identity Cloud Service 與 Oracle Access Manager 整合為身分識別提供者
  2. 關於設定 Identity Cloud Service 與 Access Manager 之間的聯合

關於設定 Identity Cloud Service 與 Access Manager 之間的聯合

透過使用 Oracle Access Management (OAM) 為您的內部部署應用程式提供單一登入 (SSO),您也可以合併任何受 Oracle Identity Cloud Service 保護的應用程式。

您現有的內部部署存取管理系統為使用者提供內部部署企業應用程式的單一登入。將雲端應用程式新增至您的企業會面臨使用相關使用者密碼管理其他使用者目錄的挑戰。

當您針對雲端單一登入解決方案使用 Oracle Identity Cloud Service 時,也可以選擇新增外部身分識別提供者。將您的 OAM 環境設定為 Oracle Identity Cloud Service 的身分識別提供者 (IdP),可讓您的使用者在單一位置管理密碼。

藉由將 OAM 設定為 IdP,Oracle Identity Cloud Service 會與 OAM 同盟。同盟協議是當使用者嘗試存取受 Oracle Identity Cloud Service 保護的應用程式時,認證會外包給 OAM。聯合協議將 OAM 指定為信任的依賴夥伴。

Oracle Identity Cloud Service 提供與 SAML 2.0 相容 IdPs 的立即可用整合。

Oracle Identity Cloud Service SAML 2.0 IdP 功能:

  • 可搭配與 SAML 2.0 相容的聯合 SSO 解決方案使用,例如 Oracle Access Management。
  • 允許使用者使用來自 IdP 的證明資料登入 Oracle Identity Cloud Service
  • 可以強制所有使用者的 IdP 認證,或提供 IdP 認證作為「登入選擇器」選項。

在內部部署 OAM 系統與 Oracle Identity Cloud Service 之間建立 SSO 是移轉至雲端的重要步驟。若將 Oracle Identity Cloud Service 與 OAM 聯合,您就可以讓使用者通透移轉流程,因為您不需要變更使用者的登入畫面或認證流程。

架構

您的內部部署 Oracle Access Management 實作是登入證明資料的授權來源。設定 SAML 2.0 同盟可讓您繼續利用 Oracle Identity Cloud ServiceOracle Access Management 的證明資料。

藍圖中將環境從內部部署存取管理系統移轉至 Oracle Identity Cloud Service 的第二階段是建立聯合單一登入。

下圖強調此階段的主要架構元件:

圖 - 作為 Oracle Identity Cloud Service 之 IdP 的 Oracle Access Manager

圖 - 的描述如下
「圖 - Oracle Access Manager 作為 IdP for Oracle Identity Cloud Service」的描述

在此架構圖中,內部部署存取管理系統代表傳統認證機制,而 Oracle Identity Cloud Service 代表雲端認證機制。公司使用者信任的來源是由企業輕量型目錄存取通訊協定 (LDAP) 伺服器所代表。企業 LDAP 伺服器的使用者會由橋接器同步至 Oracle Identity Cloud Service

Before You Begin - 開始之前

以下是將 Oracle Identity Cloud Service 與 Oracle Access Management (OAM) 聯合的考量。

如果您計畫將 OAM 環境移轉至 Oracle Identity Cloud Service,可以依照移轉藍圖將您的內部部署應用程式與 Oracle Identity Cloud Service 整合,讓這些應用程式使用與雲端應用程式相同的單一登入 (SSO)。若要瞭解此藍圖,請參閱瞭解如何從內部部署存取管理移轉至 Oracle Identity Cloud Service

若要將 Oracle Identity Cloud Service 與 Oracle Access Management 同盟,您需要:

  • 存取具備管理身分識別提供者授權的 Oracle Identity Cloud Service。
  • 啟用同盟服務的 OAM 環境。
  • 在 OAM 識別存放區與 Oracle Identity Cloud Service 之間同步的使用者。可以使用 Microsoft Active Directory 橋接器或佈建橋接器來完成此作業。
  • Oracle Identity Cloud Service 和 OAM 目錄中都必須要有並填入共用的唯一屬性 (例如電子郵件地址)。
  • 每項服務執行的同步伺服器時鐘。SAML 宣告必須在有效的時間範圍內處理。
  • 為了維護管理 OAM 中使用者密碼的現有程序,登入證明資料的授權來源。

關於必要服務與角色

此解決方案需要下列服務:

  • Oracle Identity Cloud Service
  • Oracle Access Management

這些是每項服務所需的角色。

服務名稱:角色 需要 ...
Oracle Identity Cloud Service :Security Administrator 管理身分識別提供者。
Oracle Access Management:System Administrator 存取 Oracle Access Management 主控台並變更聯合設定值。

請參閱 Oracle 產品、解決方案和服務,瞭解您需要的內容。