为单点登录配置身份云服务 (IDCS)

如何使用本指南

1. 阅读为您的组织启用单点登录(SSO)并完成'如何获取SSO'下方的步骤1和步骤2。
2. 完成上述操作后，您可以按照下面的步骤1至4设置IDCS。
3. 向Oracle提供您的IDCS帐户的ID。
4. 一旦Oracle确认大厅已配置为使用IDCS帐户，您就可以在IDCS中创建身份认证提供者策略。 
5. 按照其余步骤为您的组织启用单点登录(SSO)。

简介

配置SSO需要了解SAML概念并访问贵公司的身份认证提供者(IdP)以添加配置。这通常是贵公司IT或身份管理团队的成员。

您的IDP通常是Microsoft Azure Active Directory等系统。您需要Oracle身份云服务(IDCS)公司帐户。

我们的云SaaS产品(如Aconex)提供了IDCS的基础许可证。如果您的公司已经拥有IDCS公司帐户(通常是因为他们使用其他Oracle产品)，则通常最好使用相同的帐户访问Aconex。如果当前没有可用的帐户，您可以创建一个。

步骤 1.为IdP中基于SAML的集成创建新配置

此步骤的详细信息特定于您的IdP应用程序和提供商(Microsoft Azure Active Directory，Microsoft ADFS，Okta)，但对于所有基于SAML的IdP集成，该过程类似。

按照应用程序的说明创建新的基于SAML的集成。这将包括下载以后将导入到IDCS中的联合元数据XML文件。完成IDCS设置后，您可以返回到IdP SAML设置屏幕(最好在其他窗口中打开它)并完成该过程。

一旦您拥有联合元数据XML文件，IdP设置的第一阶段现已完成-您将在稍后返回完成此操作。您现在可以继续设置IDCS配置。

注意：对于某些IdP，需要填充SAML对等方的实体ID和依赖URL (例如 本例中为IDC)。实体ID和依赖URL可通过IDCS URL形成，如下所示：

实体ID：https://idcs-[id].identity.oraclecloud.com:443/fed

依赖URL：https://idcs-[id].identity.oraclecloud.com/fed/v1/sp/sso

步骤 2.IDCS配置

从IdP获取联合元数据XML文件后，切换到IDCS。

1. 登录IDCS管理控制台：
   IDC-[ID].identity.oraclecloud.com/ui/v1/adminconsole (将[ID]替换为IDCS帐户的ID。)
2. 在菜单上选择安全，然后选择身份提供者。
3. 单击+添加SAMLIDP以创建一个新的基于SAML的身份提供程序链接。

4. 上载您在步骤1中从SAML IDP下载联合元数据XML文件。

5. 在地图屏幕上，使用默认值，然后单击下一步。

6. 下载IDCS 元数据文件。
7. 切换回SAML IdP以完成设置。

步骤 3.在IdP中完成配置

您现在可以返回到IdP服务的配置。

1. 按照IdP应用程序的流程上传元数据文件并上传从IDCS下载的联合元数据XML文件。
2. 上传后，您将看到一个屏幕，显示URL和其他信息，这些信息来自元数据文件。
3. 确认用户身份基于用户的电子邮件地址。
4. 通常，IdP具有指示用户是否有资格使用已配置的SAML提供者的策略或组。如果需要，确认用户已添加到您的IdP中的那些组或策略中。
5. 此时，您的IdP和IDCS均已完全配置并准备好进行测试。切换回IDCS窗口并使用其测试功能。

步骤 4.在IDCS中测试并完成配置

1. 单击测试登录。

2. 您将看到您的IdP登录屏幕。为您的IdP中已配置为使用SAML联合应用程序的用户输入有效凭据IDCS中还必须存在具有相同电子邮件的用户帐户。 
3. 如果测试登录成功，您将看到以下消息：

您的连接成功。

您可以关闭此窗口并返回到管理控制台。

如果测试登录失败，您将看到一个与以下屏幕类似的屏幕。请阅读错误描述以修改设置或创建缺失数据：

连接失败。可能需要修改配置。

在通过合作伙伴Azure AD的NameID属性对用户映射进行SAML断言期间未返回任何用户：NamedID poleary@majestic.com，用户属性名称userNamed，消息：***请参阅下文***。

显示声明详细信息

您可以关闭此窗口并返回到管理控制台。