Nota:

Integrar Oracle Banking Digital Experience con Ping para Single Sign-On

Introducción

SAML 2.0 (Security Assertion Markup Language) es un estándar abierto creado para proporcionar conexión única (SSO) entre dominios. En otras palabras, permite a un usuario autenticarse en un sistema y obtener acceso a otro sistema proporcionando prueba de su autenticación. Oracle Banking Digital Experience soporta SAML2 para integrarse con IdP (proveedor de identidad, como Oracle Identity Cloud Service que admite esta tecnología. Oracle Identity Cloud Service gestiona los derechos y el acceso de los usuarios en una amplia gama de aplicaciones y servicios locales y en la nube con una plataforma de identidad como servicio (IDaaS) en la nube que actúa como primera puerta en Oracle Cloud para las identidades externas.

SAML es un protocolo de autenticación basado en XML en el que los proveedores de identidad (como Oracle Identity Cloud Service, Ping, Okta) -- entidades que gestionan y almacenan credenciales de usuario -- intercambian documentos XML con firma digital (afirmaciones SAML) que permiten a un usuario final acceder a un proveedor de servicios (Oracle Banking Digital Experience). Para obtener más información, consulte SAML and Single Sign-On (SSO).

Con SAML, el flujo de trabajo de autenticación puede ser iniciado por el proveedor de servicios (SP) o el proveedor de identidad (IdP). La autenticación iniciada por IdP se produce si el usuario está conectado al panel de control de su organización. En este caso, IdP envía una afirmación de SAML mediante el explorador web para conectarse automáticamente.

La autenticación iniciada por el SP se produce si un empleado intenta iniciar sesión en ese sitio externo (el SP) y el sitio los redirige a la página de inicio de sesión corporativa de Single Sign-On (SSO) para introducir sus credenciales y autenticarse. Después de la autenticación, se redirige al empleado de nuevo al sitio externo con una afirmación de SAML que prueba su identidad.

Objetivos

En este tutorial se ayudará a los desarrolladores y partners de implantación a realizar los pasos necesarios para integrar Oracle Banking Digital Experience con los proveedores de identidad.

Requisitos

a. Instalación de Oracle Banking Digital Experience

b. Proveedor de identidad compatible con SAML2

Tarea 1: Configuración del dominio de seguridad - Asignación de credenciales

  1. Inicie sesión en la consola de administración WebLogic y vaya a la siguiente ruta: Home, Summary of Servers, Summary of Security Realms, myrealm.

  2. Haga clic en la opción Providers.

  3. Cree un nuevo proveedor de autenticación.

  4. Realice las configuraciones como se muestra en la siguiente captura de pantalla.

    Crear un nuevo proveedor de autenticación

  5. Solicite los proveedores como se muestra en la siguiente imagen.

    Proveedores de autenticación de órdenes

  6. Reinicie el servidor de administración.

Tarea 2: Configuración de Oracle Banking Digital Experience

  1. Vaya a la siguiente ruta de la sección Servidor gestionado: Home, Summary of Servers, Managed Server, Federation Services, SAML 2.0 General.

  2. Introduzca los detalles de configuración específicos del sitio como se indica a continuación.

    Configuración del sitio web

    URL de sitio publicada: http://<<HOST>>:<<PORT>>/saml2

  3. Después de guardar y activar los cambios, reinicie el servidor gestionado.

  4. Publique los metadatos y guarde en el archivo XML. Este archivo de metadatos se debe proporcionar a Ping o a cualquier otro IdP.

    Publicar metadatos de SAML 2.0

  5. Vaya a la siguiente ruta de la sección Servidor gestionado: Inicio, Resumen de servidores, Servidor gestionado, Servicios de federación, Proveedor de servicios SAML 2.0.

  6. Introduzca los detalles de configuración específicos del sitio como se indica a continuación.

    Detalles de configuración

    Detalles de configuración

URL por defecto: http://<<HOST>>:<<PORT>>/digx/protected/dashboard.jsp

Tarea 3: Configurar proveedor de identidad (IdP) - WebLogic

  1. Comparta los siguientes detalles para la configuración de IdP y la generación de metadatos IdP.

    • URL de inicio de sesión único: http://<<HOST>>:<<PORT>>/saml2/sp/acs/post

    • URL de destinatario: http://<<HOST>>:<<PORT>>/saml2/sp/acs/post

    • Destino en URL: http://<<HOST>>:<<PORT>>/saml2/sp/acs/post

    • URI de público (ID de entidad de SP): debe ser igual que el ID de entidad configurado en las configuraciones generales de SAML 2.0, es decir, PING_obdx_ID.

  2. Después de completar las configuraciones anteriores en IdP (respondedor de SAML), genere metadatos IdP y guarde en el archivo XML.

Tarea 4: Configurar dominio de seguridad - Proveedor IdP

  1. Copie el archivo XML de metadatos IdP en la carpeta de dominio del servidor gestionado.

  2. Vaya a la siguiente ruta: Home, Summary of Security Realms, myrealm, Providers (Proveedores), SAML2_IA.

  3. En la sección Gestión, realice las siguientes configuraciones para crear el partner de proveedor de identidad.

    Sección de administración

  4. Seleccione el xml de metadatos IdP copiado en la ruta de dominio del servidor gestionado.

    Metadatos de IdP

  5. Guarde los detalles.

  6. En Identity Provider Partner, complete la siguiente configuración.

    Configuración de IdP

  7. Reinicie los servidores de administración y de gestión.

Tarea 5: Configuración de Oracle Banking Digital Experience

Para obdx.app.rest.idm com.ofss.digx.appx.service.rest.war, configure los siguientes detalles.

  1. /protected/dashboard.jsp: actualiza los cambios de cookies del explorador de JSESSIONID.

    \<!DOCTYPE HTML\>

 \<html lang=\"en-US\"\>

 \<head\>

 \<meta charset=\"UTF-8\"\>

 \<meta http-equiv=\"refresh\" content=\"1;url=../../home.html\"\>

 \<script\>

 var JSESSIONID = getCookie(\"JSESSIONID\");

 if (typeof(JSESSIONID) != \"undefined\" && JSESSIONID != null &&
 JSESSIONID != \"\") {

 mydomain.console.log(\"Found JSESSIONID from SSO relocating to: \" +
 JSESSIONID);

 setCookie(\"JSESSIONID\", JSESSIONID, -1, \"/\",
 \"webserverhostname:port\");

 document.location.href = JSESSIONID;

 }

 window.location.href = \"../../home.html\"

 \</script\>

 \<title\>Page Redirection\</title\>

 \</head\>

 \<body\>

  2. /WEB-INF/web.xml: en el rol de restricción de seguridad cambia.

    \<security-constraint\>

 \<display-name\>Constraint-0\</display-name\>

 \<web-resource-collection\>

 \<web-resource-name\>Constraint-0\</web-resource-name\>

 \<url-pattern\>/protected/\*\</url-pattern\>

 \</web-resource-collection\>

 \<auth-constraint\>

 \<role-name\>valid-users\</role-name\>

 \</auth-constraint\>

 \<user-data-constraint\>

 \<transport-guarantee\>NONE\</transport-guarantee\>

 \</user-data-constraint\>

\</security-constraint\>

  3. /WEB-INF/weblogic.xml: configuraciones de cookies y roles.

    \<?xml version=\"1.0\" encoding=\"UTF-8\"?\>

\<wls:weblogic-web-app

xmlns:wls=\"http://xmlns.oracle.com/weblogic/weblogic-web-app\"

xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\"

xsi:schemaLocation=\"http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_2\_5.xsd
http://xmlns.oracle.com/weblogic/weblogic-web-app
http://xmlns.oracle.com/weblogic/weblogic-web-app/1.3/weblogic-web-app.xsd\"\>

\<wls:context-root\>digx\</wls:context-root\>

\<wls:library-ref\>

\<wls:library-name\>jax-rs\</wls:library-name\>

\<wls:specification-version\>2.0\</wls:specification-version\>

\<wls:exact-match\>true\</wls:exact-match\>

\</wls:library-ref\>

\<security-role-assignment\>

\<role-name\>valid-users\</role-name\>

\<principal-name\>users\</principal-name\>

\</security-role-assignment\>

\<session-descriptor\>

\<max-save-post-size\>10240\</max-save-post-size\>

\<persistent-store-type\>memory\</persistent-store-type\>

\<sharing-enabled\>true\</sharing-enabled\>

\<cookies-enabled\>true\</cookies-enabled\>

\<cookie-name\>JSESSIONID\</cookie-name\>

\<cookie-domain\>\</cookie-domain\>

\<cookie-path\>/\</cookie-path\>

\<cookie-secure\>false\</cookie-secure\>

\<url-rewriting-enabled\>true\</url-rewriting-enabled\>

\</session-descriptor\>

\<wls:session-descriptor\>

\<wls:persistent-store-type\>replicated_if_clustered\</wls:persistent-store-type\>

\</wls:session-descriptor\>

\</wls:weblogic-web-app\>

  4. Configure los siguientes valores en obdx.conf.

    1. En el juego de cabeceras X-Frame-Options "ALLOW-FROM", agregue la URL de dominio IdP como se muestra a continuación.

      **Header set X-Frame-Options \"ALLOW-FROM \<IdP URL\>"

    2. <Ubicación /saml2>

      SetHandler manejador de weblogic

      WebLogicCluster <<HOST de servidor gestionado>>:<<PORT de servidor gestionado>>

      </Ubicación>

Tarea 6: Depuración SAML2

En caso de cualquier problema con el procesamiento de solicitudes SAML2, active los siguientes logs en el servidor gestionado.

  1. Vaya a Servidor gestionado, DebugWeblogic*, Seguridad y active los siguientes logs.

    • atn

    • atz

    • saml

    • saml2

Los detalles de error/excepción se registrarán en los logs del servidor gestionado. Puede desactivar estos logs si no es necesario.

Nota: Para configurar varios partners de proveedor de identidad, repita los pasos mencionados en la sección 5. Cree una copia más de dashboard.jsp con un nombre diferente configurado en la sección Redirigir URI.

Confirmaciones

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre los productos, visite Oracle Help Center.