Erweiterte OAM-Regeln vor der Authentifizierung in OAM IdP verwenden

In diesem Artikel wird gezeigt, wie Sie die erweiterte OAM-Authentifizierungsregel mit OAM als IdP mit dem folgenden Anwendungsfall verwenden:

• OAM fungiert als IdP

• Ein bestimmtes Schema wird verwendet, um alle Benutzer anzufordern

• Die OAM-Authentifizierungs-Policy für dieses Schema ist für eine erweiterte Regel vor der Authentifizierung konfiguriert, die auswertet, ob der Browser ein Desktopbrowser oder ein mobiler Browser ist

• Wenn der Benutzer einen Desktop/Laptop verwendet, wird das konfigurierte Authentifizierungsschema verwendet

• Wenn der Benutzer sich auf einem Mobilgerät befindet, wird ein anderes Schema für mobile Plattformen verwendet, das die Benutzerinteraktion durch die Verwendung einer Anmeldeseite für Mobilgeräte erleichtert

Weitere Informationen zu den erweiterten Regeln vor der Authentifizierung in OAM finden Sie im OAM Administrator's Guide.

Erweiterte OAM-Authentifizierungsregeln

Im Release 11.1.2.2.0 von Oracle Access Manager wurden erweiterte Regeln für Authentifizierungs-Policys eingeführt:

• Pre-Authentifizierungsregeln, mit denen ein Administrator eine Policy definieren kann, die auswertet, wann ein OAM-Authentifizierungsvorgang ausgeführt wird, bevor der Benutzer vom Authentifizierungsschema herausgefordert wird. Die Regel kann entweder den Zugriff blockieren

• Sie können OAM auch anweisen, ein sekundäres Authentifizierungsschema zu verwenden, um den Benutzer anzufordern, das nicht dem Authentifizierungsschema in der Authentifizierungs-Policy entspricht

• Regeln nach der Authentifizierung, mit denen ein Administrator eine Policy definieren kann, die nach der Ausführung des Authentifizierungsschemas ausgewertet wird, um gegebenenfalls den Zugriff zu blockieren.

Die Laufzeitdaten, die von der erweiterten OAM-Authentifizierungsregel ausgewertet werden können, basieren entweder auf den Anforderungs-, Session- oder Benutzerdaten:

• Anforderungsdaten: Dazu gehören die vom Browser des Benutzers gesendeten Informationen sowie die angeforderte geschützte Ressource

• Browser-Daten

• HTTP-Header (User-Agent, Cookie...)

• Standort (IP-Adresse, Proxyadresse...)

• Geschützte Ressource

• Hostname

• Port

• Pfad

• Suchbegriff

• Sessiondaten, wenn die Regel eine Regel nach der Authentifizierung ist

• Benutzerdaten, wenn die Regel eine Regel nach Authentifizierung ist

Im OAM-Administratorhandbuch werden die verschiedenen Eigenschaften aufgeführt, die verwendet werden können.

Beispiel: Mit der folgenden Pre-Authentifizierungsregel können Authentifizierungsanforderungen für Smartphones an ein anderes OAM-Authentifizierungsschema weitergeleitet werden:

request.userAgent.lower().find('iphone') > 0 or
request.userAgent.lower().find('mobile') > 0 or
request.userAgent.lower().find('blackberry') > 0 or
request.userAgent.lower().find('android') > 0

In diesem nächsten Beispiel gibt die Post-Authentifizierungsregel an, dass Benutzern, die mehr als 2 Sessions geöffnet haben, der Zugriff verweigert wird:

session.count > 2

Hinweis: Post-Authentifizierungsregeln, die als Authentifizierungsantworten nach der Authentifizierung ausgewertet werden, werden nicht in einem Federation-SSO-Ablauf ausgewertet, da der Ablauf IdP keine Authentifizierungsantworten umfasst. Um eine Autorisierung basierend auf der Identität des Benutzers zu implementieren, können Tokenausgabe-Policys verwendet werden, wie in diesem Artikel beschrieben.

Erweiterte Regeln mit IdP

Federation-Authentifizierungs-Policys

Wenn Sie IdP so konfigurieren, dass ein bestimmtes OAM-Authentifizierungsschema verwendet wird, um Benutzer zur Laufzeit herauszufordern, wird eine zwischengeschaltete OAM-Authentifizierungs-Policy erstellt und an das angegebene OAM-Authentifizierungsschema gebunden.

Um erweiterte Authentifizierungsregeln in einem IdP-Ablauf anzuwenden, müssen diese zwischengeschalteten OAM-Authentifizierungs-Policys geändert werden, die von den OAM-Administrationsmodulen verwaltet werden.

Standardmäßig sind in der IAM Suite-Anwendungsdomain vier Federation-Authentifizierungs-Policys vorhanden, die von IdP zur Authentifizierung eines Benutzers zur Laufzeit verwendet werden:

• LocalAuthnFederationBasicScheme

• LocalAuthnFederationBasicFAScheme

• LocalAuthnFederationLDAPScheme

• LocalAuthnFederationFAAuthScheme

Beschreibung der Abbildung Application_Domains.jpg

Darüber hinaus werden Federation-Authentifizierungs-Policys immer dann erstellt, wenn eine neue IdP so konfiguriert ist, dass ein anderes Authentifizierungsschema verwendet wird, um Benutzer während eines Federation-SSO-Vorgangs herauszufordern.

Der Name der Federation-Authentifizierungs-Policy basiert auf dem Authentifizierungsschema, das in IdP konfiguriert ist: "LocalAuthnFederation" + Name_of_the_Authentication_Scheme.

Diese Policys dürfen nur vor und nach der Authentifizierung definiert werden.

Erweiterte Regel für eine Federation-Authentifizierungs-Policy definieren

So konfigurieren Sie eine erweiterte Regel für eine Federation Authentication Policy:

1. Gehen Sie zur OAM-Administrationskonsole: http(s)://OAM-admin-host:OAM-adminport/oamconsole

2. Navigieren Sie zu Access Manager, Anwendungsdomains.

3. Klicken Sie auf Suchen, und wählen Sie die IAM Suite-Anwendungsdomain aus.

4. Klicken Sie auf die Registerkarte Authentifizierungs-Policys

5. Klicken Sie auf die Federation Authentication Policy, die Sie ändern möchten

6. Klicken Sie in dieser Policy auf die Registerkarte "Erweiterte Regeln".

7. Vorauthentifizierungs-Policy definieren

8. Klicken Sie auf Apply.

Federation-Authentifizierungsmethoden

Möglicherweise muss IdP so konfiguriert werden, dass alle OAM-Authentifizierungsschemas zugeordnet werden, mit denen Benutzer zu einer Federation-Authentifizierungsmethode aufgefordert werden, selbst das zweite Authentifizierungsschema, das in einer Pre-Authentifizierungsregel konfiguriert werden kann.

Dazu verwenden Sie einen der OAM WSLT-Befehle:

• addSPPartnerProfileAuthnMethod auf einem SP-Partnerprofil

• addSPPartnerAuthnMethod bei einem SP-Partner

Beispiel

OAM konfigurieren für:

• Interaktion mit einem Remote-SP über das SAML 2.0-Protokoll

• Verwenden Sie LDAPScheme als systemweites Standardauthentifizierungsschema

• Richten Sie die LocalAuthnFederationLDAPScheme-Authentifizierungs-Policy mit einer Vor-Authentifizierungsregel zur Verwendung von BasicScheme ein, wenn der Client ein Smartphone ist

• Ordnen Sie LDAPScheme der SAML 2.0 Federation Authentication Method urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport zu

• Ordnen Sie BasicScheme der SAML 2.0 Federation Authentication Method urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport zu

Standardschema für IdP

Konfigurieren wir zunächst IdP so, dass ein Standardauthentifizierungsschema verwendet wird (obwohl dies das Standardschema out-of-the-box ist):

1. Geben Sie die WLST-Umgebung ein, indem Sie Folgendes ausführen: $IAM_ORACLE_HOME/common/bin/WLST.sh

2. Stellen Sie eine Verbindung zum WLS-Admin-Server her: connect()

3. Navigieren Sie zur Domainlaufzeitverzweigung: domainRuntime()

4. Führen Sie den setIdPDefaultScheme()-Befehl aus: setIdPDefaultScheme("LDAPScheme")

5. Beenden Sie die WLST-Umgebung: exit()

Die Folge ist, dass die OAM-Authentifizierungs-Policy LocalAuthnFederationLDAPScheme verwendet wird, um Benutzer für den Remote-SP-Partner herauszufordern.

OAM Erweiterte Vorauthentifizierungsregel

Erstellen wir jetzt die Pre-Authentifizierungsregel, die OAM anweist, BasicScheme für Smartphone-Benutzer zu verwenden: Die Regel basiert auf dem HTTP-Header UserAgent:

1. Gehen Sie zur OAM-Administrationskonsole: http(s)://OAM-admin-host:OAM-adminport/oamconsole

2. Navigieren Sie zu Access Manager, Anwendungsdomains.

3. Klicken Sie auf "Suchen", und wählen Sie die IAM Suite-Anwendungsdomain aus

4. Klicken Sie auf die Registerkarte "Authentifizierungs-Policys".

5. Klicken Sie auf die Policy LocalAuthnFederationLDAPScheme.

6. Klicken Sie in dieser Policy auf die Registerkarte "Erweiterte Regeln".

7. Neue Vor-Authentifizierungsregel erstellen

Beschreibung der Abbildung Authentication_Policy.jpg

Führen Sie folgende Aktionen aus:

1. Geben Sie die Informationen für die Vor-Authentifizierungsregel ein:

• Regelname: MobileUsers

• Bedingung: request.userAgent.lower().find('iphone') > 0, request.userAgent.lower().find('mobile') > 0, request.userAgent.lower().find('blackberry') > 0 oder request.userAgent.lower().find('android') > 0

• Zugriff ablehnen: deaktiviert

• Zum Authentifizierungsschema wechseln: BasicScheme

  

  Beschreibung der Abbildung Add_Rule.jpg

1. Klicken Sie auf Hinzufügen.

2. Klicken Sie auf Apply.

Beschreibung der Abbildung Rules_Added_Screen.jpg

Federation-Authentifizierungsmethodenzuordnungen

Abschließend werden die Schemas, die in unseren Deployments verwendet werden, SAML 2.0-Föderationsauthentifizierungsmethoden zugeordnet (obwohl die Zuordnung bereits vorkonfiguriert für LDAPScheme und BasicScheme vorhanden ist).

In unserer Umgebung werden zwei Schemata verwendet:

• LDAPScheme, konfiguriert in IdP

• BasicScheme, in der Pre-Authentifizierungsregel konfiguriert

Ordnen Sie beide Schemas auf Partnerprofilebene urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport zu:

1. Geben Sie die WLST-Umgebung ein, indem Sie Folgendes ausführen: $IAM_ORACLE_HOME/common/bin/WLST.sh

2. Stellen Sie eine Verbindung zum WLS-Admin-Server her: connect()

3. Navigieren Sie zur Domainlaufzeitverzweigung: domainRuntime()

4. Führen Sie den addSPPartnerProfileAuthnMethod()-Befehl aus: addSPPartnerProfileAuthnMethod("saml20-sppartner-","urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport""LDAPScheme")addSPPartnerProfileAuthnMethod("saml20-sppartner-profile","urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport""BasicScheme")

5. Beenden Sie die WLST-Umgebung: exit()

Testen

Wenn Sie Federation SSO über einen Desktop-/Laptopbrowser ausführen, fordert IdP bei LDAPScheme und den Benutzern die folgende Anmeldeseite an:

Beschreibung der Abbildung Access_Manager.jpg

Ein Smartphone-Benutzer für einen Federation-SSO-Vorgang mit demselben SP-Partner sieht zwar eine HTTP-Basisauthentifizierungsherausforderung:

Beschreibung der Abbildung Authentication_Screen.jpg

Weitere Lernressourcen

Sehen Sie sich weitere Übungen unter docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning-Kanal YouTube zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Using OAM Pre Authentication Advanced Rules in OAM IdP

F61888-01

September 2022

Copyright © 2002, Oracle and/or its affiliates.