1. SSO zwischen Azure AD und Oracle Access Manager für Oracle Retail Merchandising Suite einrichten
  2. Oracle Access Manager und Azure AD für Retail Merchandising integrieren

Oracle Access Manager und Azure AD für Retail Merchandising integrieren

Die Konfiguration von Oracle Access Manager und Azure AD zur Unterstützung von föderiertem SSO für Retail Merchandising erfordert eine erfolgreiche Ausführung dieser Aufgaben:

  • Konfigurieren Sie Azure AD als Identitätsprovider, und weisen Sie Oracle Access Manager Benutzer für Retail Merchandising zu
  • Konfigurieren Sie Oracle Access Manager für Federation mit Azure AD, die Folgendes erfordert:
    • Erstellen Sie einen neuen Identitätsprovider für Azure AD.
    • Merchandising-Ressourcen des Einzelhandels mit dem Authentifizierungsschema verknüpfen.

Azure AD als Identitätsprovider konfigurieren

Konfigurieren Sie zuerst Azure AD als Identitätsprovider.

So konfigurieren Sie Azure AD als Identitätsprovider

  1. Melden Sie sich beim Azure-Portal als Domainadministrator an
  2. Klicken Sie im rechten Navigationsbereich auf Azure Active Directory.
  3. Klicken Sie im Bereich" Azure Active Directory" auf Enterprise-Anwendungen.
  4. Klicken Sie auf Neue Anwendung.
  5. Geben Sie im Abschnitt Hinzufügen aus der Galerie In das Suchfeld Retail-IDM ein, und klicken Sie auf Hinzufügen.
  6. Um Oracle Access Manager als Service Provider für die neue Anwendung zu konfigurieren, klicken Sie auf Single Sign-On.
  7. Wählen Sie SAML als Single Sign-On-Methode.
    Die Seite" Single Sign-On mit SAML einrichten" wird angezeigt. Hier werden die folgenden Schritte zur Eingabe der Integrationsdetails beschrieben. Einige der Werte, die Sie eingeben müssen, stammen aus den SAML-Metadaten von Oracle Access Manager. Um die Metadaten abzurufen, gehen Sie zu http(s)://<oam_hostname>:<port>/oamfed/sp/metadata. Die Ausgabe ist XML-Daten, von denen Sie in den nächsten Schritten benötigen. Klicken Sie auf Metadatendatei hochladen, um diese Metadaten in Azure AD hochzuladen.
  8. Im Bereich Allgemeine SAML-Konfiguration sind Werte In den Feldern Bezeichner (Entity-ID) und Antwort-URL (Assertion Consumer Service-URL) erforderlich. Wenn Sie die SAML-Metadaten-XML hochgeladen haben, werden die Werte automatisch eingegeben. Ist dies nicht der Fall, geben Sie sie manuell ein.
    • Identifier (Entity-ID) entspricht dem entityID-Attribut des EntityDescriptor-Elements in den SAML-Metadaten. Zur Laufzeit fügt Azure AD den Wert zum Zielgruppenelement der SAML-Assertion hinzu. Damit wird die Zielgruppe angegeben, die das erwartete Ziel der Assertion ist. Suchen Sie die folgenden Werte in den Oracle Access Manager-Metadaten, und geben Sie diesen Wert ein: 
      <md:EntityDescriptor ……… entityID="http://....../>
    • Die Antwort-URL (Assertion Consumer Service-URL) entspricht dem Attribut" Speicherort" des AssertionConsumerService-Elements in den SAML-Metadaten. Wählen Sie unbedingt das Standortattribut, das relativ zum HTTP_POST-Binding ist. Die Antwort-URL ist der SAML-Service-Endpunkt in dem Federation-Partner, der die Assertion verarbeiten soll

    Hinweis:

    Die Eigenschaften für den Anmelde-URL, den Relay-Status und die Abmelde-URL sind für dieses Szenario nicht relevant. Sie können sie daher überspringen.
  9. Konfigurieren Sie im Bereich" Benutzerattribute und Ansprüche" die Benutzerattribute, die In die SAML-Assertion eingefügt und an Oracle Access Manager gesendet werden. Für dieses Szenario ist es ausreichend, eine Form der eindeutigen Benutzeridentifizierung zu senden. Behalten Sie die Werte als Standardwert für den Namens-ID-Wert user.userprincipalname [nameid-format:emailAddress] bei, da userprincipalname ein eindeutiges Attribut in Azure AD ist. Diese Konfiguration muss den Wert userprincipalname in den Benutzereintrag im Identitätsspeicher von Oracle Access Manager(den LDAP-Serverspeicher) importieren. Hinweis:

    Hinweis:

    Die in Anspruch zurückgegebenen Eigenschaftengruppen und alle Ansprüche unter CLAIM NAME sind für dieses Szenario nicht relevant. Sie können sie daher überspringen.
  10. Klicken Sie im Bereich" SAML-Signaturzertifikat" auf den Link Herunterladen neben Federation Metadata XML, und speichern Sie die Datei auf Ihrem Rechner. Sie verwenden ihn später, wenn Sie Oracle Access Manager als Service-Provider konfigurieren.

Benutzer zu Oracle Access Manager für Retail Merchandising zuweisen

Nur die Benutzer, die Sie zuweisen, können sich bei Azure AD anmelden, nachdem eine Authentifizierungsanforderung von Oracle Access Manager für Retail Merchandising empfangen wurde.

So weisen Sie Oracle Access Manager Benutzer für Retail Merchandising zu:
  1. Klicken Sie In der Azure AD-Anwendung, die Sie im vorherigen Abschnitt erstellt haben, auf Benutzer und Gruppen, und klicken Sie dann auf Benutzer hinzufügen.
  2. Wählen Sie die Option Benutzer und Gruppen: Nichts ausgewählt, und führen Sie die folgenden Schritte aus:
    1. Geben Sie im Feld Mitglied auswählen oder einen externen Benutzersuchfeld ein, geben Sie den Namen eines Benutzers ein, und drücken Sie die Eingabetaste.
    2. Wählen Sie den Benutzer aus, und klicken Sie auf Auswählen, um den Benutzer hinzuzufügen.
    3. Klicken Sie auf Zuweisen.
    4. Um weitere Benutzer oder Gruppen hinzuzufügen, wiederholen Sie diese Schritte.
  3. Wenn keine entsprechende Sicherheitsgruppe vorhanden ist, erstellen Sie eine. Klicken Sie im rechten Navigationsbereich auf Azure Active Directory und anschließend auf Gruppen.
  4. Klicken Sie auf Neue Gruppe, geben Sie Sicherheit als Typ an, und fügen Sie dann Benutzer zu der Gruppe hinzu, indem Sie diese wählen oder einladen. Klicken Sie auf Erstellen.
  5. Weisen Sie die Gruppe derAzure-AD-Enterprise-Anwendung zu.
  6. Um zu verhindern, dass Benutzer diese Enterprise-Anwendung anzeigen, die nur für die SSO-Konfiguration vorgesehen ist, klicken Sie auf Eigenschaften, ändern Sie den Wert Sichtbar für Benutzer? in Nein, und klicken Sie auf Speichern.

Neuen Identitätsprovider für Azure AD erstellen

Als Nächstes müssen Sie Oracle Access Manager für Federation mit Azure AD konfigurieren. Der erste Schritt in diesem Prozess besteht darin, einen neuen Identitätsprovider für Azure AD zu erstellen.

So erstellen Sie einen neuen Identitätsprovider für Azure AD:

  1. Melden Sie sich bei der Oracle Access Manager-Konsole als Administrator an.
  2. Stellen Sie sicher, dass Identity Federation aktiviert ist. Wenn nicht, klicken Sie auf Service aktivieren..
  3. Klicken Sie auf die Registerkarte Federation oben in der Konsole.
  4. Klicken Sie im Bereich Federation der Registerkarte Launchpad auf Service Provider Management.
    Oracle Access Manager fungiert in diesem Fall als Service-Provider.
  5. Klicken Sie in der Registerkarte"Serviceproviderverwaltung" auf"IdP-Partner erstellen".
  6. Geben Sie im Bereich" Allgemein" einen Namen für den Identitätsproviderpartner ein, und aktivieren Sie die Kontrollkästchen Partner für Partner und Standardidentitätsprovider aktivieren. Wechseln Sie vor dem Speichern zum nächsten Schritt.
  7. Im Bereich" Serviceinformationen":
    1. Wählen Sie SAML2. 0 als Protokoll.
    2. Wählen Sie die Option Aus Provider-Metadaten laden.
    3. Klicken Sie auf Durchsuchen (für Windows) oder auf Datei wählen (für Mac), und wählen Sie die zuvor gespeicherte SAML-Metadatendatei von Azure AD. Beachten Sie, dass Oracle Access Manager die Provider-ID und Zertifikatinformationen auffüllt.
    4. Führen Sie den nächsten Schritt vor dem Speichern aus.
  8. Führen Sie im Bereich Mappingoptionen die folgenden Schritte aus:
    1. Wählen Sie die Option Benutzeridentitätsspeicher, die als Oracle Access Manager-LDAP-Identitätsspeicher verwendet wird, der für Retail Merchandising-Benutzer geprüft wird. In der Regel ist dies bereits als Oracle Access Manager-Identitätsspeicher konfiguriert.
    2. Lassen Sie das Feld Basis-DN für Benutzersuche leer. Die Suchbasis wird automatisch aus der Identitätsspeicherkonfiguration entnommen.
    3. Wählen Sie die Option Assertion-Namens-ID zu Benutzer-ID-Speicher zuordnen, und geben Sie E-Mail in das Textfeld ein.

    Hinweis:

    Diese Konfiguration definiert die Benutzerzuordnung zwischen Azure AD und Oracle Access Manager. Oracle Access Manager übernimmt den Wert des NameID-Elements in der eingehenden SAML-Assertion und versucht, diesen Wert anhand des Mail-Attributs für alle Benutzereinträge im konfigurierten Identitätsspeicher zu suchen. Daher ist es gleichbedeutend, dass der Principal-Name des Azure AD-Benutzers (in der zuvor angezeigten Azure AD-Konfiguration) mit dem Mailattribut im Identitätsspeicher von Oracle Access Manager synchronisiert wird.
  9. Klicken Sie auf Speichern, um den Identitätsproviderpartner zu speichern.
  10. Nachdem der Partner gespeichert wurde, kehren Sie zum Bereich Erweitert unten in der Registerkarte zurück. Stellen Sie sicher, dass die Optionen wie folgt konfiguriert sind:
    • " Globale Abmeldung aktivieren" ist gewählt.
    • HTTP-POST-SSO-Antwort-Binding ist ausgewählt. Dies ist eine Anweisung, die Oracle Access Manager in der Authentifizierungsanforderung sendet, die Azure AD anweist, wie die SAML-Assertion zurück übertragen werden soll.
    • " HTTP-Basisauthentifizierung aktivieren" (SSO-Artefakt-Binding) ist nicht ausgewählt. Mit dieser Einstellung wird Azure AD aufgefordert, die Assertion über eine HTTP POST-Anforderung zu senden. Wenn Sie eine Anforderung wie diese erhalten, erstellen Identitätsprovider normalerweise ein HTML-Formular mit der Assertion als ausgeblendetes Formularelement, das automatisch an den Assertion Consumer Service (ACS) des Serviceproviders gesendet wird.
  11. Klicken Sie im Bereich"Allgemein" auf Authentifizierungsschema und Modul erstellen.
    Ein Authentifizierungsschema und Modul, das in Azure AD verwendet werden sollen, werden mit dem Partnernamen erstellt. Die einzige Konfiguration, die das Authentifizierungsschema an die Retail Merchandising-Ressourcen anhängt, für die Azure AD-Zugangsdaten zur Authentifizierung erforderlich sind, die Sie im nächsten Abschnitt ausführen werden.
  12. Sie können das Authentifizierungsmodul, das erstellt wurde, wie folgt prüfen:
    1. Klicken Sie oben in der Konsole auf die Registerkarte Anwendungssicherheit.
    2. Wählen Sie unter Plug-ins Authentifizierungsmodule, klicken Sie auf Suchen, und suchen Sie nach dem Federation-Modul.
    3. Wählen Sie das Modul aus, und klicken Sie auf die Registerkarte Schritte.
    4. Beachten Sie, dass der Wert in der Eigenschaft FedSSOIdP der Identitätsproviderpartner ist.

Merchandising-Ressourcen des Einzelhandels dem Authentifizierungsschema zuordnen

Der letzte Schritt bei der Konfiguration von Oracle Access Manager für die Federation mit Azure AD besteht darin, dem Authentifizierungsschema die Retail Merchandising-Ressourcen zuzuordnen.

Um dem Authentifizierungsschema die Merchandising-Ressourcen des Einzelhandels zuzuordnen, führen Sie die folgenden Schritte aus, während Sie als Administrator bei der Oracle Access Manager-Konsole angemeldet sind:

  1. Klicken Sie oben in der Konsole auf Anwendungssicherheit.
  2. Klicken Sie unter Access Manager auf Anwendungsdomain, klicken Sie auf Suchen, und wählen Sie die Anwendungsdomain aus, die während der Retail Merchandising-Installation erstellt wurde und die Retail Merchandising-WebGate registriert hätte.
  3. Klicken Sie auf die Registerkarte Authentifizierungs-Policys.
  4. Klicken Sie auf Policy für geschützte Ressourcen.
  5. Ändern Sie den Wert des Authentifizierungsschemas, indem Sie das vorher erstellte Authentifizierungsschema in das neue Federation-Authentifizierungsschema ändern. So verbindet Oracle Access Manager eine geschützte Ressource mit einem Identitätsprovider.
  6. Klicken Sie auf Anwenden, um die Änderung zu speichern.