設定 Oracle Integration 與 Fusion Applications 之間的 SSO
使用 Oracle Fusion Cloud Applications 識別網域設定 SSO
由於 Oracle Fusion Cloud Applications 識別網域為 Oracle App 類型,因此不需額外付費即可支援擴充使用案例,並簡化作業和治理。此方法不需要額外的 OCI IAM 識別網域,因此可降低授權成本和管理負荷。Fusion Applications 識別網域被指定為身分識別提供者 (IdP)。
佈建之後,所有 Fusion Applications 使用者便可自動指派給 Oracle Integration 實例。在 Oracle Fusion Cloud Applications 與 Oracle Integration 之間啟用 SSO,並且可以設定 Oracle Integration 以使用 OAuth 安全地呼叫 Fusion Applications API。
若要建立 Oracle Integration 執行處理,請使用此識別網域登入 OCI 主控台。當使用者存取 Oracle Integration URL 時,會將它們重新導向至 Fusion Applications 識別網域以進行驗證。
下圖說明認證流程:
如需有關在 Fusion Applications 識別網域內佈建 Oracle Integration 的指示,請參閱瀏覽詳細資訊一節中的將 Oracle Cloud Integration Service 佈建到 Fusion Applications 識別網域。
使用 Oracle Fusion Cloud Applications 識別網域和外部身分識別提供者設定 SSO
其他外部身分識別提供者也可以使用標準 SAML 型整合,設定為 Fusion Applications 識別網域 (作為服務提供者或 "SP") 的 IdP。
下圖說明認證流程:
將 Oracle Fusion Cloud Applications 設定為服務提供者,並將 Microsoft Entra ID 設定為外部身分識別提供者
以下步驟顯示如何將 Fusion Cloud Applications 識別網域設定為服務提供者,以及將 Microsoft Entra ID 設定為外部身分識別提供者。
- 從設定為服務提供者的 Oracle Fusion Cloud Applications 識別網域下載描述資料。您需要描述資料才能在 Entra ID 中設定 SAML 應用程式。
- 在 Microsoft Entra ID 中專門用於 OCI 主控台存取的企業應用程式。這會在 Entra ID 中註冊新的企業應用程式。
- 使用 Oracle Fusion Cloud Applications 識別網域中的中繼資料,為 Microsoft Entra ID 企業應用程式設定 SSO,並更新應用程式的屬性和宣告,以使用使用者的電子郵件地址作為識別碼。最後,請從 Microsoft Entra ID 下載聯合描述資料 XML。
- 透過將聯合描述資料 XML 從 Entra ID 匯入身分識別提供者組態,在 Fusion Applications 識別網域中將 Entra ID 註冊為 IdP。然後,更新 IDP 原則規則以包含 Entra ID。
- 在 OCI 主控台中,按一下識別與安全性,然後按一下網域。
- 選取您的 Oracle Fusion Cloud Applications 識別網域。
- 導覽至聯合,然後按一下動作功能表。
- 按一下「新增 SAML IDP」。
- 輸入名稱、描述,然後上傳身分識別提供者圖示。
- 上傳 Microsoft Entra ID 描述資料 XML 檔案 (稍早下載) .
- 定義使用者屬性對應,例如將 NameID 對應至 UserName 或電子郵件。
- 在「複查並建立」頁上,驗證組態詳細資訊。
- 按一下啟動以啟用新的身分識別提供者。
- 建立新的身分識別提供者原則規則,或編輯現有的身分識別提供者原則規則,將新建立的 SAML IDP 指派給適當的規則,以啟用聯合認證。
- 測試 SSO 組態,以驗證 Microsoft Entra ID 與 Oracle Fusion Cloud Applications 識別網域之間的聯合認證成功。
使用 Fusion Applications 識別網域、OCI IAM 識別網域及外部身分識別提供者設定 SSO
為了進一步簡化認證,會在 OCI 識別網域 (服務提供者) 與 Microsoft Entra ID (身分識別提供者) 之間建立個別的聯合。這可讓使用者透過 OCI IAM 遞送至 Microsoft Entra ID 的認證存取 OCI 服務,提供跨 Oracle 和非 Oracle 平台的統一 SSO 體驗。
OCI IAM 識別網域提供全方位的識別和存取管理,包括 Oracle 和非 Oracle 的 SaaS、雲端代管和內部部署應用程式的認證、SSO 和識別生命週期管理。在使用 OCI 服務的環境中,PaaS (例如 Oracle Integration) 和 Oracle Fusion Cloud Applications ,使用者群組可能會有所不同。
Fusion Applications 識別網域可管理 Fusion Applications 和 Oracle Integration 的使用者和群組,而個別的 OCI IAM 識別網域則可集中管理需要存取 OCI 服務 (例如 OCI Object Storage 、 OCI Logging 和 OCI Functions) 的使用者。
下圖說明此認證流程:
將 OCI IAM 識別網域設定為服務提供者,並將 Microsoft Entra ID 設定為身分識別提供者
- 從設定為服務提供者的 OCI IAM 識別網域下載描述資料。在 Entra ID 中設定 SAML 應用程式時,需要此描述資料。
- 在 Microsoft Entra ID 中專門用於 OCI 主控台存取的企業應用程式。這會在 Entra ID 中註冊新的企業應用程式。
- 使用 OCI IAM 識別網域的描述資料設定 Microsoft Entra ID 企業應用程式的 SSO,並更新應用程式的屬性和宣告,以使用使用者的電子郵件地址作為 ID。最後,請從 Microsoft Entra ID 下載聯合描述資料 XML。
- 透過將聯合描述資料 XML 從 Entra ID 匯入身分識別提供者組態,在 OCI IAM 識別網域中將 Entra ID 註冊為 IdP。然後,更新 IDP 原則規則以包含 Entra ID。
- 在 OCI 主控台中,按一下識別與安全性,然後按一下網域。
- 選取您的 OCI IAM 識別網域。
- 導覽至聯合,然後按一下動作功能表。
- 按一下「新增 SAML IDP」。
- 輸入名稱、描述,然後上傳身分識別提供者圖示。
- 上傳 Microsoft Entra ID 描述資料 XML 檔案 (稍早下載) .
- 定義使用者屬性對應,例如將 NameID 對應至 UserName 或電子郵件。
- 在「複查並建立」頁上,驗證組態詳細資訊。
- 按一下啟動以啟用新的身分識別提供者。
- 建立新的身分識別提供者原則規則,或編輯現有的身分識別提供者原則規則,將新建立的 SAML IDP 指派給適當的規則,以啟用聯合認證。
- 測試 SSO 組態,以驗證 Microsoft Entra ID 與 OCI IAM 識別網域之間的聯合認證成功。