Integration von Google IdP in OAM SP

Google Apps hat kürzlich ein neues SAML 2.0-Feature eingeführt, bei dem Google jetzt als Identitätsprovider mit Remote-SAML 2.0-Serviceprovidern fungieren kann.

Dies ermöglicht die Verwendung von Google als:

• Authentifizierungsberechtigung für Endbenutzer

• Der Server, der echte SSO-Funktionen bereitstellt, wenn der Benutzerauthentifizierungsstatus von Google IdP an Remote-Domains propagiert wird

In diesem Artikel wird Schritt für Schritt beschrieben, wie Sie Google IdP über das SAML 2.0 SSO-Protokoll mit OAM als SP integrieren.

Benutzerzuordnung

Benutzer in Google Apps werden durch ihre E-Mail-Adressen eindeutig identifiziert, die beim Erstellen dieser Benutzer festgelegt wurden.

Während eines SAML 2.0-SSO-Ablaufs stellt Google IdP die E-Mail-Adresse des Benutzers für den Remote-SP bereit:

• Im SAML 2.0-Feld NameID

• Der Wert NameID ist auf die primäre E-Mail-Adresse des Benutzers gesetzt.

Die nächsten Schritte zeigen, wie Sie die primäre E-Mail-Adresse des Benutzers in Google Apps bestimmen.

So zeigen Sie ein Benutzerkonto in Google Apps an:

1. Browser starten

2. Gehen Sie zu http://www.google.com/a

3. Klicken Sie auf Anmelden

   

   Beschreibung der Abbildung Sign_In_Page.jpg

4. Geben Sie im Feld "Domain" den Namen Ihrer Domain ein (in diesem Beispiel www.acme.com).

5. Wählen Sie Admin-Konsole aus.

6. Klicken Sie auf Weiter.

Beschreibung der Abbildung Admin_Console_Page.jpg

Klicken Sie im Dashboard auf Benutzer.

Beschreibung der Abbildung Users_Page.jpg

Anzuzeigenden Benutzer auswählen

Beschreibung der Abbildung Active_Users_Page.jpg

Auf dem nächsten Bildschirm werden Details zum Benutzer angezeigt. Die E-Mail-Adresse wird unter der Identität des Benutzers angezeigt. In diesem Beispiel sendet Google IdP alice@acme.com während des SAML 2.0-SSO-Vorgangs an den Remote-SP:

Beschreibung der Abbildung User_Details_Page.jpg

Google IdP-Konfiguration

OAM-Informationen erfassen

Die folgenden Informationen müssen in der Google IdP SSO-Admin-Konsole bereitgestellt werden:

• SAML 2.0-SSO-SP-Endpunkt

• ProviderID

Im vorherigen Artikel sind die von OAM veröffentlichten Endpunkte aufgelistet. Der SAML 2.0 SSO IdP-Endpunkt und der SAML 2.0-Abmeldeendpunkt wären HTTP(s)://OAM-publichostname:OAM-public-port/oamfed/idp/samlv20, wobei OAM-public-hostname und OAM-public-port die Werte des öffentlichen Endpunkts sind, bei denen der Benutzer auf die OAM-Anwendung zugreift (Load Balancer, HTTP-Reverse-Proxy...).

Wenn Sie sich bei oam-public-hostname und oam-public-port nicht sicher sind, können Sie:

1. Gehen Sie zur OAM-Administrationskonsole: http(s)://OAM-admin-host:OAM-adminport/oamconsole

2. Navigieren Sie zu Konfiguration, Einstellungen, Access Manager.

OAM-public-hostname ist der OAM-Serverhost, OAM-public-port ist der OAM-Serverport und das Protokoll (http oder https) ist im OAM-Serverprotokoll aufgeführt.

Beschreibung der Abbildung Load_Balancing.jpg

Im selben Artikel haben wir auch erläutert, wie die von OAM verwendete ProviderID bestimmt wird:

1. Gehen Sie zur OAM-Administrationskonsole: http(s)://OAM-admin-host:OAM-adminport/oamconsole

2. Navigieren Sie zu Konfiguration, Einstellungen, Föderation.

3. Notieren Sie sich die ProviderID.

Beschreibung der Abbildung Provider_ID.jpg

Konfigurieren von Google IdP

So konfigurieren Sie Google als IdP:

1. Browser starten

2. Gehen Sie zu https://www.google.com/enterprise/apps/business/

3. Authentifizieren und zum Admin-Dashboard gehen

4. Klicken Sie auf Apps



Beschreibung der Abbildung Apps_Page.jpg

5. Klicken Sie auf SAML-Apps



Beschreibung der Abbildung SAML_Apps_Page.jpg

6. Klicken Sie auf Service/App zu Ihrer Domain hinzufügen



Beschreibung der Abbildung Add_Service.jpg

7. Klicken Sie auf SETUP MY CUSTOM APP.



Beschreibung der Abbildung Setup_My_Custom_App.jpg

8. Klicken Sie im Abschnitt "Option 2" auf die Schaltfläche Herunterladen, um die SAML 2.0-Metadatendatei von Google IdP auf Ihren lokalen Rechner herunterzuladen.

9. Klicken Sie anschließend auf Weiter.



Beschreibung der Abbildung Metadata_Download.jpg

10. Anwendungsnamen eingeben

11. Optional ein Logo hochladen

12. Klicken Sie anschließend auf Weiter.



Beschreibung der Abbildung Basic_Info.jpg

13. Geben Sie die ACS (Assertion Consumer Service URL) ein

http(s)://oam-public-hostname:oam-publicport/oam/server/fed/sp/ss

Basierend auf den zuvor erfassten OAM-Informationen ersetzen Sie HTTP(s) durch das öffentliche OAM-Endpunktprotokoll und die Werte OAM-public-hostname und OAM-public-port durch ihre Werte

1. Geben Sie die zuvor erfasste ProviderID in das Feld "Entity-ID" ein.

Lassen Sie "Primäre E-Mail-Adresse" als NameID, da wir die in der NameID enthaltene E-Mail verwenden, um den Benutzer in OAM/SP zuzuordnen

2. Geben Sie optional eine Start-URL für von Google durch IdP initiierte SSO-Vorgänge ein, bei der der Benutzer auf den SAML-Anwendungspartner bei Google klickt, um zur Anwendung bei OAM umgeleitet zu werden: Dies ist die geschützte Anwendungs-URL oder der nicht angeforderte Relay-Status.

3. Klicken Sie auf Weiter.

Beschreibung der Abbildung Service_Provider_Details.jpg

In diesem Abschnitt können Sie Attribute hinzufügen, die von Google IdP gesendet werden. So fügen Sie ein Attribut hinzu:

1. Klicken Sie auf Neue Zuordnung hinzufügen

2. Geben Sie den Namen so ein, wie er in der SAML-Assertion im ersten Feld angezeigt wird

3. Wählen Sie die Kategorie des Benutzerattributs aus dem Google LDAP, das Sie senden möchten.

4. Wählen Sie das Attribut aus, das Sie senden möchten

5. Klicken Sie anschließend auf FINISH



Beschreibung der Abbildung Attribute_Mapping.jpg

Wenn das Setup erfolgreich war, wird eine Erfolgsmeldung angezeigt:



Beschreibung der Abbildung Message_Page.jpg

6. Um die SP-Anwendung zu aktivieren, müssen Sie sie aktivieren:

7. Klicken Sie auf das Menü für die SAML-Anwendung

8. Klicken Sie auf ON für alle



Beschreibung der Abbildung SP_Application.jpg

9. Bestätigen Sie den Vorgang, indem Sie auf Für alle Benutzer aktivieren klicken.

Beschreibung der Abbildung Confirm_Message.jpg

OAM-Setup

Um Google als IdP-Partner in OAM hinzuzufügen, führen Sie die folgenden Schritte aus:

1. Gehen Sie zur OAM-Administrationskonsole: http(s)://OAM-admin-host:OAM-admin-port/oamconsole

2. Klicken Sie auf Föderation.

3. Navigieren Sie zu Federation , Service Provider Management.

4. Klicken Sie auf die Schaltfläche Identitätsproviderpartner erstellen.

5. Führen Sie im Bildschirm "Erstellen" folgende Schritte aus:

6. Geben Sie einen Namen für Google IdP ein

7. Prüfen Sie, ob dieser Partner beim Starten eines Federation-SSO-Vorgangs standardmäßig als IdP verwendet werden soll, wenn kein IdP-Partner angegeben ist. (In diesem Beispiel legen Sie ihn als Standard IdP fest.)

8. Wählen Sie SAML 2.0 als Protokoll aus

9. Klicken Sie auf Metadaten laden, und laden Sie die SAML 2.0-Metadatendatei für den Abschnitt Google IdP Assertion Mapping hoch:

10. Legen Sie optional den OAM-Identitätsspeicher fest, der verwendet werden soll. Hinweis: Im Beispiel ist das Feld leer, um den standardmäßigen OAM-Identitätsspeicher zu verwenden.

11. Optional können Sie den Basis-DN für die Benutzersuche festlegen Hinweis: Im Beispiel wurde das Feld leer gelassen, um den im Identitätsspeicher konfigurierten Basis-DN für die Benutzersuche zu verwenden

12. Wählen Sie, wie die Zuordnung erfolgt Hinweis: Im Beispiel wird die Assertion über NameID dem LDAP-Mailattribut zugeordnet.

13. Klicken Sie auf Save.

Beschreibung der Abbildung OIF_Setup.jpg

Testen

So testen Sie:

• Schützen Sie eine Ressource mit WebGate und FederationScheme, wobei ADFS IdP der Standard-SSO-Identitätsprovider für OAM ist

• Oder verwenden Sie die OAM Test SP-Anwendung und wählen Sie Google als IdP aus

So testen Sie den Test-SP:

1. Stellen Sie sicher, dass die Test-SP-Anwendung aktiviert wurde

2. Navigieren Sie zu http(s)://oam-publichostname:oam-public-port/oamfed/user/testspsso

3. Wählen Sie Google IdP

4. Klicken Sie auf SSO starten.



Beschreibung der Abbildung Initiate_SSO.jpg

5. Geben Sie in Google IdP die E-Mail-Adresse des Benutzers ein.



Beschreibung der Abbildung Google_Sign_in.jpg

6. Kennwort des Benutzers eingeben



Beschreibung der Abbildung User_Credentials.jpg

Nach der Eingabe authentifiziert Sie Google IdP und leitet Sie an den OAM-SAML-SP um, der das Ergebnis des Federation-SSO anzeigt.

Beschreibung der Abbildung Google_Idp.jpg

Weitere Lernressourcen

Sehen Sie sich weitere Übungen unter docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning-Kanal YouTube zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Integrating Google IdP with OAM SP

F60936-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.