Integration

Cloud – und was ist mit meinen Identitäten?

Vor noch nicht all zu langer Zeit stellte man sich die Frage “Cloud? Wofür?”. Dann hat man angefangen die Entwicklung in der Cloud zu betreiben oder vereinzelte Services zu nutzen. Heute verlagern immer mehr Unternehmen ihre IT sukzessive in die Cloud. Ein Thema, das bei der Wahl eines bestimmten Cloud-Dienstes oft nur nachrangig betrachtet wird, später bei der Nutzung meist aber voll zum Tragen kommt, ist: wie können Benutzer eines Cloud-Services einheitlich mit den Usern eines bereits vorhandenen Identity- und Access Management Systems verwaltet werden?

Die Nutzung der Oracle Cloud bringt den sogenannten Oracle Identity Cloud Service (IDCS – im Rahmen der „Foundation“ lizenzkostenfrei) mit. Dieser stellt einen generischen Service zur Verwaltung von Accounts, Gruppen, Berechtigungen, Single-Sign-On und Reporting dar. Darüberhinaus lässt sich der Service mit einem OnPremises Identity System koppeln, was dann ein sogenanntes hybrides Identity Management ermöglicht. Die Koppelung reicht von einfachen Synchronisationen, über Beantragungen und Workflows bis hin zur (Re-)Zertifizierung der Berechtigungen. Ein Single-Sign-On vom lokalen System, z.B. der Windows Anmeldung, ist möglich. Für den Endbenutzer ist dabei transparent wo sich das System befindet. 

Wie einfach das geht, zeigen wir anhand der Integration zwischen der Oracle Cloud und unserem Identity Management System Okta. 

Okta als Identity Provider einrichten

Erstellung einer Application Integration

Zunächst wird seitens Okta eine neue Application Integration erstellt. Dabei wird die Web-Plattform und die Sign On Methode SAML 2.0 festgelegt.

Create a New Application Integration

Beim nächsten Schritt geht es lediglich darum einen Namen, ein Logo und die Sichtbarkeit der App einzustellen. Spannender wird es wieder bei der Konfiguration der SAML Settings. Hier gilt es die Single sign on URL und die Audience URI (SP Entity ID) zu hinterlegen.

Okta SAML Settings

Um die exakte URL der jeweiligen Attribute für den eigenen Tenant zu finden, loggt man sich in den Oracle Identity Cloud Service ein und ersetzt den Pfad der Adresse mit .well-known/idcs-configuration, sodass die Adresse wie folgt aussieht:

https://MeinTenant.identity.oraclecloud.com/.well-known/idcs-configuration

Nach der Bestätigung der Eingabe findet man die entsprechenden URLs unter dem Bereich SAML configuration.

SAML Configuration

Der Wert des saml_sp_sso_endpoint kann direkt in das Feld Single sign on URL übernommen werden.

Für die Audience URI (SP Entity ID) muss zunächst der metadata_endpoint in einen neuen Browser-Tab kopiert und geöffnet werden. Anschließend kann die entityID für die Audience URI (SP Entity ID) verwendet werden.

<md:EntityDescriptor [...] entityID="https://MeinTenant.identity-test.oraclecloud.com/fed">

Bevor wir den Dialog der SAML Settings abschließen, belegen wir noch das Name ID format mit EmailAddress und den Application username mit Email.

Beim letzten Schritt I’m an Okta customer adding an Internal app auswählen und mit Finish bestätigen.

Okta Setup: Internal App

Identity Provider metadata herunterladen

Jetzt da die Application Integration abgeschlossen ist, können wir die Metadaten für den Identity Provider herunterladen. Dazu auf den Sign On-Tab wechseln und den blau hinterlegten Link Identity Provider metadata anklicken. Anschließend die angezeigte Datei herunterladen und mit .xml ergänzen.

Export Identity Provider Metadata

Benutzer zuordnen

Um die Federation zwischen Okta und dem Oracle Identity Cloud Service vorzubereiten, müssen Benutzer oder/und Gruppen der Application zugeordnet werden.

Dazu auf den Assignments-Tab wechseln und über das Drop-Down-Menü Assign Benutzer zuweisen.

Identity Federation: User Assignment

Nun ist die Konfiguration der Okta-Seite abgeschlossen.

Konfiguration des Oracle Identity Cloud Services als Service Provider

In diesem Abschnitt geht es darum Okta als Identity Provider einzurichten und die Federation zwischen Okta und der Oracle Cloud abzuschließen.

Okta als neuen Identity Provider anlegen

Um einen neuen Identity Provider anzulegen, wechselt man zunächst auf die Administrationskonsole des Identity Cloud Service. Dort wählt man den Menüpunkt Identity Providers unter dem Bereich Security aus.

Über Add SAML IDP wird der Dialog zum Erstellen eines Identity Providers gestartet.

Identity Provider Add SAML IDP

Auf der ersten Seite wird eine Name und eine Beschreibung für den SAML 2.0 Identity Provider vergeben. Auf der Configure-Seite werden die Metadaten, die zuvor auf Okta-Seite gespeichert wurden, hochgeladen.

Identity Provider Metadata

Anschließend werden die Attribute wie folgt gesetzt:

Identity Provider User Attribute: Name ID
Oracle Identity Cloud Service User Attribute: Primary Email Address 
Requested NameID Format: Email Address

Identity Provider Attribute Mapping

Die Export-Seite und die Test-Seite können mittels Next übersprungen werden. Auf der letzten Seite gilt es den Identity Provider über den Activate-Button zu aktivieren und die Konfiguration über Finish abzuschließen.

Identity Provider Activate

Okta als neuen Identity Provider auf der Anmelde-Seite sichtbar machen

Jetzt steht Okta als neuer Identity Provider zur Verfügung und kann über das Menü für die Anwender sichtbar gemacht werden (Show on Login Page). Das Auge symbolisiert die Verfügbarkeit dieser Login-Variante auf der Anmelde-Seite des Oracle Cloud-Services.

Show Identity Provider on Login Page

Um die Konfiguration abzuschließen, wird der neue Identity Provider einer bestehenden IdP Policy zugewiesen. Dazu wählt man den Menüpunkt IDP Policies unter dem Bereich Security. Hier die Default Identity Provider Policy anklicken und man sieht die Details dazu. Über den Reiter Identity Providers und Assign kann unser Okta Identity Provider der Default-Policy zugewiesen werden.

Assign Identity Provider to Policy

Anschließend sieht man den neuen Okta Identity Provider in der Liste der zugewiesenen IdPs.

List of assigned Identity Providers

Test der Identity-Federation

Geschafft. Die Identität-Föderation ist eingerichtet. Okta ist nun als Identity Provider und der Oracle Identity Cloud Service als Service Provider konfiguriert. Ruft man nun die Login-Seite des Oracle Cloud Services auf, bekommt man die zusätzliche Möglichkeit sich über Okta anzumelden.

Oracle Cloud Login

Allgemeine Informationen, Tutorials und die Dokumentation des Oracle Identity Cloud Services befinden sich auf der Webseite von Oracle.