Oracle Cloud Infrastructure - Dokumentation

Just-in-time-SAML-Identitätsprovider hinzufügen

Richten Sie einen SAML-Identitätsprovider (IdP) ein, der Just-in-Time-(JIT-)Provisioning für eine Identitätsdomain in IAM verwendet.

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Führen Sie je nach den angezeigten Optionen auf der Detailseite eine der folgenden Aktionen aus:
    • Föderation auswählen oder
    • Wählen Sie Sicherheit und dann Identitätsprovider aus. Eine Liste der Identitätsprovider in der Domain wird angezeigt.
  3. Wählen Sie den Namen eines Identitätsproviders.
  4. Wählen Sie auf der Detailseite die Option JIT konfigurieren aus.
  5. Wählen Sie JIT-Provisioning aktivieren aus.
  6. Wählen Sie eine der folgenden Optionen:
    • Neuen Identitätsdomainbenutzer erstellen: Erstellen Sie einen Identitätsbenutzer in der Identitätsdomain, wenn der Benutzer bei der Anmeldung beim Identitätsprovider nicht vorhanden ist.
    • Vorhandenen Identitätsdomainbenutzer aktualisieren: Benutzeraccountdaten der Identitätsdomain aus dem zugeordneten IdP zusammenführen und überschreiben. Die vorhandenen Daten werden von den Benutzerdaten aus der IdP überschrieben.
    Hinweis

    Um JIT zu aktivieren, müssen Sie eine dieser Optionen auswählen.
  7. Ordnen Sie im Bereich Benutzerattribute zuordnen einen Benutzeraccount aus der IdP einem Benutzeraccount aus der Identitätsdomain zu.
    1. Wählen Sie einen Wert in der Zeile IdP-Benutzerattributtyp aus.
      • Wenn Sie Attribut auswählen, geben Sie den Benutzerattributnamen IdP ein.
      • Wenn Sie NameID auswählen, müssen Sie den Benutzerattributnamen IdP nicht eingeben.
    2. (Optional) Wählen Sie das Identitätsdomain-Benutzerattribut aus.
    3. (Optional) Fügen Sie weitere Identitätsdomainattribute hinzu.
  8. Um die Gruppenzuordnung zu aktivieren, wählen Sie Gruppenzuordnung zuweisen aus.
    Hinweis

    Wenn Sie die Gruppenzuordnung aktivieren, fahren Sie mit dem nächsten Schritt fort. Fahren Sie mit Schritt 10 fort, wenn nicht.
  9. Geben Sie unter Attributname für Gruppenmitgliedschaft den Attributnamen IdP ein, der die Gruppenmitgliedschaften enthält.
  10. Um die Gruppeneinstellungen zu importieren, wählen Sie eine der folgenden Optionen:
    • Explizite Gruppenzuordnung definieren: Bei dieser Option müssen Sie den Gruppennamen angeben, der zwischen der IdP und der Identitätsdomain zugeordnet werden soll. Wenn Sie diese Option auswählen, geben Sie den Gruppennamen IdP ein, und wählen Sie einen verfügbaren Identitätsdomaingruppennamen aus.
    • Implizite Gruppenzuordnung zuweisen: Mit dieser Option wird eine IdP-Gruppe einer Identitätsdomaingruppe mit demselben Namen zugeordnet. Es ist keine weitere Aktion erforderlich.
  11. (Optional) Um Gruppenmitgliedschaften aus der Identitätsdomain zuzuweisen, wählen Sie Domaingruppenmitgliedschaften zuweisen aus, und führen Sie dann die folgenden Schritte aus:
    1. Wählen Sie Gruppe hinzufügen aus.
    2. Wählen Sie die Gruppen, die Sie hinzufügen möchten, und wählen Sie Gruppen hinzufügen aus.
  12. Geben Sie unter Zuweisungsregeln Aktionen an, die beim Zuweisen von Gruppenmitgliedschaften ausgeführt werden sollen:
    • Wenn Benutzer vorhandenen Gruppen zugewiesen sind, wählen Sie aus, ob die Zusammenführung mit vorhandenen Gruppenmitgliedschaften oder die Ersetzung vorhandener Gruppenmitgliedschaften erfolgen soll.
  13. Wenn eine Gruppe nicht gefunden wird, wählen Sie eine der folgenden Aktionen aus:
    • Fehlende Gruppe ignorieren: Der Benutzer meldet sich erfolgreich an.
    • Gesamte Anforderung nicht erfolgreich: Der Anmeldeversuch ist nicht erfolgreich.
  14. Wählen Sie Änderungen speichern aus.
  15. (Optional) Aktivieren Sie die IdP, bevor Sie sie zu Policys hinzufügen. Weitere Informationen finden Sie unter Identitätsprovider aktivieren oder deaktivieren.