SAML 1.1- und OpenID 2.0-SP-Partner in OAM und IdP erstellen

In diesem Artikel wird beschrieben, wie eine Federation-Vereinbarung zwischen OAM als IdP und einem Remote-SP-Partner über die SAML 1.1- oder OpenID 2.0-Protokolle eingerichtet wird:

• Remote-SAML 1.1-SP-Partner einrichten
• Richten Sie einen Remote-SP-Partner für OpenID 2.0 ein

In diesem Artikel wird auch beschrieben, wie die oben genannten Aufgaben entweder über die Benutzeroberfläche oder über die Verwendung der OAM WLST-Befehle ausgeführt werden.

Federation Trust einrichten

Das Einrichten von Trust zwischen Federation-Partnern ist eine Voraussetzung, bevor ein Federation-SSO-Vorgang zwischen den Federation-Servern ausgeführt werden kann.

Die Vertrauensstellung umfasst den Austausch von Zertifikatsinformationen, wenn das verwendete Protokoll zum Sichern des Nachrichtenaustauschs auf PKI-X.509-Zertifikaten basiert, sowie die Speicherorte/URLs der Services, die das Federation-Protokoll implementieren.

SAML 1.1

OAM-Administrationskonsole

Um einen neuen SAML 1.1 SP-Partner zu erstellen, führen Sie die folgenden Schritte aus (stellen Sie zunächst sicher, dass alle Daten des SP-Partners vorhanden sind, wie Zertifikate, SP-IDs und URLs):

1. Gehen Sie zur OAM-Administrationskonsole: http(s)://OAM-admin-host:OAM-adminport/oamconsole

2. Navigieren Sie zu Identity Federation, Identitätsprovideradministration.

3. Klicken Sie auf die Schaltfläche Serviceproviderpartner erstellen.

4. Führen Sie im Bildschirm "Erstellen" folgende Schritte aus:

   1. Geben Sie einen Namen für den Partner ein
   2. Wählen Sie SAML 1.1 als Protokoll aus
   3. Geben Sie den Aussteller/ProviderID des SP-Partners ein. Wenn der SP-Partner keinen Aussteller hat (wenn der Partner nur ein SP ist, und nicht IdP und SP), geben Sie die Assertion Consumer Service-URL ein
   4. Geben Sie die Assertion Consumer Service-URL für diesen SP-Partner ein: Dies ist die URL, über die der Benutzer von IdP mit der SAML-Assertion umgeleitet wird.
   5. Wenn der SP-Partner SAML-Nachrichten signiert, laden Sie die Signaturzertifikatsdatei hoch:
      1. entweder im PEM-Format (wobei die Datei als erste Zeile enthält --BEGIN CERTIFICATE--, dann das Zertifikat im codierten Format Base64, dann die letzte Zeile als --END CERTIFICATE--)
      2. oder im DER-Format, in dem das Zertifikat in binärer Codierung gespeichert ist
   6. Geben Sie ein, wie der NameID-Wert festgelegt wird:
      1. Wenn Sie "Benutzer-ID-Speicherattribut" auswählen, bedeutet dies, dass der Wert NameID auf das LDAP-Attribut gesetzt wird, das im Feld neben der Dropdown-Liste angegeben wird
      2. Wenn Sie "Ausdruck" auswählen, bedeutet dies, dass der Wert NameID basierend auf dem im Feld neben der Dropdown-Liste angegebenen Ausdruck festgelegt wird.
   7. Wählen Sie das Attributprofil aus, mit dem die SAML-Assertion mit Attributen aufgefüllt wird.

5. Klicken Sie auf Save.

Beschreibung der Abbildung OAM_Admin_Console.jpg

Nachdem der Partner erstellt wurde, wird der Bildschirm Partner bearbeiten angezeigt mit:

• Die im vorherigen Bildschirm festgelegten Einstellungen können geändert werden
• Der Abschnitt "Erweiterte Einstellungen" wird angezeigt:
  • SSO-Response Binding: Gibt an, wie die Assertion an den SP gesendet werden soll, wenn der SP kein bestimmtes Binding angefordert hat

Hinweis: Der Unterabschnitt Attributzuordnung für Abfragebenutzer ist nur für den Bogen "SAML-Attributautorität/Anforderung" relevant, wenn der Austausch der SAML-Attributabfrage ausgeführt wird. Dieser Bogen ist nicht Teil des Federation SSO-Bogens.

Beschreibung der Abbildung Edit_Partner_screen.jpg

WLST

Um einen neuen SAML 1.1 SP-Partner mit den OAM WLST-Befehlen zu erstellen, führen Sie die folgenden Schritte aus (stellen Sie zunächst sicher, dass alle Daten des SP-Partners vorhanden sind, wie Zertifikate, SP-IDs und URLs):

1. Geben Sie die WLST-Umgebung ein, indem Sie Folgendes ausführen: $IAM_ORACLE_HOME/common/bin/WLST.sh

2. Stellen Sie eine Verbindung zum WLS-Admin-Server her: connect()

3. Navigieren Sie zur Domainlaufzeitverzweigung: domainRuntime()

4. Erstellen Sie einen SAML 1.1 SP-Partner, der acmeSP in OAM aufruft: addSAML11SPFederationPartner("acmeSP", "https://SP.com", "https://SP.com/saml11/sso"

5. Standardmäßig wird der neue SP-Partner für Folgendes konfiguriert:

   1. Verwenden Sie die E-Mail-Adresse als NameID-Format.

   2. Benutzer das Mail-LDAP-Benutzerattribut als NameID-Wert

   3. HTTP-POST als Standard-SSO-Antwort-Binding verwenden

   4. Verwenden Sie das Standard-Serviceanbieter-Attributprofil. Für diesen Servicepunktpartner wurde kein Zertifikat hochgeladen

6. Beenden Sie die WLST-Umgebung: exit()

Federation-Einstellungen über WLST ändern

In diesem Abschnitt wird beschrieben, wie Sie die allgemeinen SP-Partnereinstellungen über die OAM WLST-Befehle ändern:

• SAML-Signaturzertifikat

• SP-Partnerattributprofil für einen SP-Partner

• SAML-NameID-Einstellungen

• SAML SSO-Anforderungs- und Antwort-Bindings

Wir gehen davon aus, dass Sie sich bereits in der WLST-Umgebung befinden und wie folgt verbunden sind:

1. Geben Sie die WLST-Umgebung ein, indem Sie Folgendes ausführen: $IAM_ORACLE_HOME/common/bin/WLST.sh

2. Stellen Sie eine Verbindung zum WLS-Admin-Server her: connect()

3. Navigieren Sie zur Domainlaufzeitverzweigung: domainRuntime()

SAML-Signaturzertifikat

Zur Verwaltung von Signatur- und Verschlüsselungszertifikaten sind verschiedene WLST-Befehle verfügbar:

1. getFederationPartnerSigningCert(), mit dem das Signaturzertifikat des Partners im Base64-codierten Format gedruckt wird: getFederationPartnerSigningCert("acmeSP","sp")

2. Dabei ist acmeSP der Name des zuvor erstellten Partners

3. SP gibt den Partnertyp setFederationPartnerSigningCert() an, der die als Parameter übergebene Signaturzertifikatsdatei in die SP-Partnerkonfiguration hochlädt: setFederationPartnerSigningCert("acmeSP","SP", "/tmp/cert.file")

4. Dabei ist acmeSP der Name des zuvor erstellten Partners

5. sp gibt den Partnertyp an, der durch den dritten Parameter angegeben wird, wo sich die Datei mit dem Zertifikat im Dateisystem befindet:

   1. entweder im PEM-Format (wobei die Datei als erste Zeile enthält --BEGIN CERTIFICATE--, dann das Zertifikat im codierten Format Base64, dann die letzte Zeile als --END CERTIFICATE--)
   2. oder im DER-Format, in dem das Zertifikat in binärer Codierung gespeichert ist

6. deleteFederationPartnerSigningCert(), mit dem das Signaturzertifikat aus dem SP-Partnereintrag entfernt wird: deleteFederationPartnerSigningCert("acmeSP","SP")

7. Dabei ist acmeSP der Name des zuvor erstellten Partners

8. sp gibt den Partnertyp an.

SP-Partnerattributprofil

Verwenden Sie die folgenden Befehle, um das SP-Partnerattributprofil für einen bestimmten SP-Partner zu konfigurieren:

1. Um einen SP-Partner für die Verwendung eines bestimmten SP-Partnerattributprofils zu konfigurieren, führen Sie Folgendes aus: setSPPartnerAttributeProfile(partnerName, aZrProfileID)

2. partnerName ist der Name, mit dem der SP-Partner erstellt wurde.

3. attrProfileID ist die Profil-ID des SP-Partnerattributs.

4. Um die vorhandenen SP-Partnerattributprofile aufzulisten, führen Sie Folgendes aus: listSPPartnerAttributeProfileIDs()

SAML SSO-Anforderungs- und Antwort-Bindings

Verwenden Sie die folgenden Befehle, um die SAML-Bindings für einen bestimmten SP-Partner zu konfigurieren:

1. Um den SP-Partner zu konfigurieren, führen Sie Folgendes aus: configureSAMLBinding(partnerName, partnerType, binding, ssoResponseBinding="httppost")

2. partnerName ist der Name, mit dem der SP-Partner erstellt wurde.

3. partnerType muss auf sp gesetzt werden, da der Partner ein SP ist

4. Binding: Dies gilt nur für SAML 2.0. Verwenden Sie httppost.

5. ssoResponseBinding: Das Binding, das zum Senden der SAML-Assertion an den SP verwendet werden soll; httppost für HTTP-POST-Binding oder Artefakt für Artefakt-Binding

SAML-NameID-Einstellungen

So konfigurieren Sie NameID-Einstellungen für einen SAML-SP-Partner:

Verwenden Sie den folgenden Befehl:

• setSPSAMLPartnerNameID(partnerName, nameIDFormat, nameIDValue="", customFormat="", nameIDValueComputed="false")

• partnerName ist der Name, mit dem der SP-Partner erstellt wurde.

• nameIDFormat: Mögliche Werte:

  • orafed-emailaddress für urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress
  • orafed-x509 für urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName
  • orafed-windowsnamequalifier für urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualiQedName
  • orafed-unspecified für urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified
  • orafed-custom für ein benutzerdefiniertes NameID-Format, das im Parameter customFormat angegeben wird

• customFormat mit dem zu verwendenden Format, wenn nameIDFormat auf orafed-custom gesetzt wurde

• nameIDValueComputed: Diese Einstellung gilt nur für SAML 2.0. Setzen Sie es auf falsch.

OpenID 2.0

OAM-Administrationskonsole

Um einen neuen OpenID 2.0 SP/RP-Partner zu erstellen, führen Sie die folgenden Schritte aus (stellen Sie zunächst sicher, dass alle Daten des SP-Partners vorhanden sind, wie SP/RP-Realm und URLs):

1. Gehen Sie zur OAM-Administrationskonsole: http(s)://OAM-admin-host:OAM-adminport/oamconsole

2. Zu Identity Federation, Identity Provider-Administration navigieren

3. Klicken Sie auf die Schaltfläche Serviceproviderpartner erstellen.

4. Führen Sie im Bildschirm "Erstellen" folgende Schritte aus:

   1. Geben Sie einen Namen für den Partner ein. Wählen Sie OpenID 2.0 als Protokoll Geben Sie die Realm des RP/SP-Partners ein.
   2. Geben Sie die Endpunkt-URL OpenID für diesen RP-Partner ein: Dies ist die URL, über die der Benutzer von IdP mit der Antwort OpenID umgeleitet wird.
   3. Wählen Sie das Attributprofil aus, mit dem die OpenID-Antwort mit Attributen aufgefüllt wird.

5. Klicken Sie auf Speichern.

Beschreibung der Abbildung Create_SrProvider_Screen.jpg

Nachdem der Partner erstellt wurde, werden im Fenster Partner bearbeiten dieselben Informationen wie im Fenster Partner erstellen angezeigt.

Das OpenID 2.0-Protokoll basiert hauptsächlich auf Benutzerattributen, die während des OpenID 2.0 SSO-Austauschs von OP und RP gemeinsam verwendet werden. IdP erreicht dies über das SP-Attributprofil, das angibt, welche Attribute der SSO-Antwort hinzugefügt werden müssen und wie diese Attribute festgelegt werden sollen.

WLST

Um einen neuen OpenID 2.0 RP-Partner mit den OAM WLST-Befehlen zu erstellen, führen Sie die folgenden Schritte aus (stellen Sie zunächst sicher, dass alle Daten des SP-Partners vorhanden sind, wie SP/RP-Realm und URLs):

1. Geben Sie die WLST-Umgebung ein, indem Sie Folgendes ausführen: $IAM_ORACLE_HOME/common/bin/WLST.sh

2. Stellen Sie eine Verbindung zum WLS-Admin-Server her: connect()

3. Navigieren Sie zur Domainlaufzeitverzweigung: domainRuntime()

4. Erstellen Sie den RP-Partner OpenID 2.0, der in OAM den Namen acmeRP erhält: addOpenID20SPFederationPartner("acmeRP", "https://sp.com", "https://sp.com/sso/openid20"

5. Standardmäßig ist der neue SP-Partner für die Verwendung des Standardattributprofils des Serviceanbieters konfiguriert

6. Beenden Sie die WLST-Umgebung: exit()

Federation-Einstellungen über WLST ändern

In diesem Abschnitt wird beschrieben, wie Sie die allgemeinen SP-Partnereinstellungen über die OAM WLST-Befehle ändern:

• SP-Partnerattributprofil für einen SP-Partner

Wir gehen davon aus, dass Sie sich bereits in der WLST-Umgebung befinden und wie folgt verbunden sind:

1. Geben Sie die WLST-Umgebung ein, indem Sie Folgendes ausführen: $IAM_ORACLE_HOME/common/bin/WLST.sh

2. Stellen Sie eine Verbindung zum WLS-Admin-Server her: connect()

3. Navigieren Sie zur Domainlaufzeitverzweigung: domainRuntime()

SP-Partnerattributprofil

Verwenden Sie die folgenden Befehle, um das SP-Partnerattributprofil für einen bestimmten SP-Partner zu konfigurieren:

Um einen SP-Partner für die Verwendung eines bestimmten SP-Partnerattributprofils zu konfigurieren, führen Sie Folgendes aus:

1. setSPPartnerAttributeProfile(partnerName, attrProfileID)
2. partnerName ist der Name, der zum Erstellen des SP-Partners verwendet wurde. attrProfileID ist die SP-Partnerattributprofil-ID
3. Um die vorhandenen SP-Partnerattributprofile aufzulisten, führen Sie Folgendes aus: listSPPartnerAttributeProfileIDs()

Weitere Lernressourcen

Sehen Sie sich weitere Übungen unter docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning-Kanal YouTube zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Create SAML 1.1 and OpenID 2.0 SP Partners in OAM and IdP

F59900-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.