Überblick über föderiertes SSO
Über föderiertes Single Sign-on (SSO) können Benutzer mit einem Cloud Identity Service-Account nahtlos auf Services zugreifen, die von einer oder mehreren Partnerorganisationen bereitgestellt werden, ohne eine separate Anmeldung bei der Partnersite.
Wenn ein Benutzer auf eine URL für föderierte Anmeldung klickt, erstellt Cloud Identity Service ein digital signiertes Token, das von der Partnerorganisation überprüft (und damit anerkannt) werden kann. Dieses Token wird vom Browser des Benutzers an die SSO-URL des Partners übergeben, unter der eine Sitzung eingerichtet wird.
Eine Beziehung zwischen föderierten Partnern beinhaltet zwei getrennte Rollen für die beiden beteiligten Parteien, den Identitätsprovider (IdP) und den Service-Provider (SP). Der Identitätsprovider liefert eine vertrauenswürdige Identität in Form eines digitalen Tokens. Der Service-Provider validiert das digitale Token, erstellt eine Sitzung für den Benutzer und erlaubt diesem den Zugriff auf seine Anwendungsumgebung. Cloud Identity Service ist der Identitätsprovider und der Partner ist der Service-Provider.
Eine einzelne Cloud Identity Service-Umgebung kann mehrere Föderationspartner unterstützen. Für jede URL für föderierte Anmeldung müssen Verbindungsdetails zu den Eigenschaften der Partnerföderation definiert werden. Jede Verbindung muss über ein Paar aus einem öffentlichen und einem privaten Schlüssel verfügen, die durch ein persönliches Zertifikat und ein Unterzeichnerzertifikat bereitgestellt werden.
Cloud Identity Portal bietet vorkonfigurierte Vorlagen für die gängigsten Partneranwendungsservices, die föderiertes Single Sign-on mit SAML 2.0 unterstützen. Wenn für den Partner, für den Sie eine Verbindung einrichten möchten, keine Vorlage vorhanden ist, kann eine kundenspezifische Konfiguration verwendet werden.
Schlüsselmanagement
Jede Verbindung muss über ein Paar aus einem öffentlichen und einem privaten Schlüssel verfügen. Diese Schlüssel werden durch ein persönliches Zertifikat und ein Unterzeichnerzertifikat bereitgestellt.Ein Unterzeichnerzertifikat stellt ein Zertifikat und einen öffentlichen Schlüssel bereit, der einem persönlichen Zertifikat zugeordnet ist. Das Unterzeichnerzertifikat dient zur Überprüfung persönlicher Zertifikate Der Eigentümer des privates Schlüssels kann Verbindungen zu Partneranwendungsservices herstellen. Das Unterzeichnerzertifikat vertraut explizit Verbindungen zum Eigentümer des zugehörigen persönlichen Zertifikats oder von diesem hergestellte Verbindungen.
In Cloud Identity Portal ist ein einziges persönliches Zertifikat aktiviert. Sie müssen das zu verwendende persönliche Zertifikat nicht explizit auswählen, wenn Sie eine Verbindung definieren. Das aktivierte persönliche Zertifikat wird standardmäßig für jede Verbindung verwendet, die Sie einrichten. Sie müssen für jede eingerichtete Verbindung das passende Unterzeichnerzertifikat auswählen. Unterzeichnerzertifikate werden normalerweise von Service-Providern bereitgestellt. Sie können Unterzeichnerzertifikate importieren. Sie können auch selbst signierte Zertifikate und Schlüssel für niedrige Empfindlichkeit, für andere Einsätze als in der Produktion oder für andere Anforderungen zum schnellen Gebrauch erstellen.
Verbindungsmanagement
Sie können eine beliebige Anzahl von Verbindungen zur Unterstützung einer beliebigen Anzahl föderierter Partner einrichten. Für die gängigsten Partneranwendungsservices werden eine Reihe vorkonfigurierter Vorlagen bereitgestellt. Mit diesen Vorlagen können Sie Verbindungen zu Ihren föderierten Partnern einrichten. Durch die Vorlagen werden so viele Partnerverbindungsdetails wie möglich vorkonfiguriert. Wenn für einen Partner keine Vorlage vorhanden ist oder wenn Sie eine Verbindung zu einer internen Anwendung oder einem internen Service einrichten möchten, können Sie eine Verbindung mit einer generischen Vorlage einrichten. Bei jeder erfolgreich eingerichteten Verbindung wird eine Anmelde-URL generiert. Über diese URL wird Single Sign-on bei Ihrem Partner eingeleitet.
Einige Provider ermöglichen das Erstellen von Benutzerdatensätzen durch den Service-Provider beim ersten erfolgreichen Anmeldeversuch eines Benutzers. Das Erstellen von Benutzerdatensätzen wird als automatische Einrichtung (Autoprovisioning) bezeichnet.