Integración de ADFS 2.0 y 3.0 con OAM: Requisito previo

En este artículo se describe cómo integrar OAM con ADFS 2.0/3.0 para SSO de federación mediante el protocolo SAML 2.0. La integración abarca:

La integración de SAML 2.0 se basa en:

ADFS 2.0 está disponible en Windows 2008 R2, mientras que ADFS 3.0 está disponible en Windows 2012 R2. En los artículos se muestran capturas de pantalla de ADFS 3.0, mientras que los pasos documentados se aplican a ambas versiones.

Requisitos

Para integrarse con ADFS mediante el protocolo SAML 2.0, OAM debe estar configurado para utilizar HTTPS/SSL como sus puntos finales. Si no lo hace, ADFS no acepta los metadatos de SAML 2.0 de OAM al establecer la confianza de federación.

Al integrar ADFS como IdP con OAM como SP, se deben tener en cuenta los siguientes puntos:

Nota: Esto se aplica a otros IdPs que utilizan la autenticación básica HTTP para desafiar al usuario.

Por último, antes de integrar OAM y ADFS para SAML 2.0, se deben haber descargado los metadatos de los dos servidores.

Habilitación de SSL

Hay varias formas de activar SSL en los puntos finales públicos para OAM:

Una vez que el componente (Equilibrador de carga, OHS o WLS) se ha configurado para SSL, la configuración de OAM se debe actualizar para hacer referencia al nuevo punto final como su URL pública:

  1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

  2. Vaya a Configuration , Access Manager Settings

  3. Definir el host del servidor OAM en el nombre de host del punto final público

  4. Definir la publicación del servidor OAM en el puerto SSL del punto final público

  5. Definir el protocolo del servidor OAM en https

  6. Haga clic en Aplicar.

Descripción de la ilustración Access_Manager_Settings.jpg

Nota: Después de realizar estos cambios, la recuperación de los metadatos de SAML 2.0 de OAM contiene las nuevas URL de https.

cifrado sólido

Como se ha mencionado, por defecto, ADFS IdP cifra la afirmación de SAML al enviarla al SP mediante AES-256, que Java considera un cifrado sólido (en contraposición a "fuerza normal", como AES-128, AES-192, 3DES...).

Debido a motivos de exportación legales, JDK no se puede enviar con cifrados fuertes activados en JCE: administrator/integrator/developer debe descargar e instalar la política de jurisdicción de solidez ilimitada de Java Cryptography Extension (JCE).

Para actualizar los archivos de política JCE Unlimited Strength Jurisdiction para soportar un cifrado sólido, como AES-256, realice los siguientes pasos:

  1. Determine la versión de Java principal utilizada en el despliegue de OAM.

  2. Busque la carpeta JDK que utiliza OAM Execute: $JDK_HOME/bin/java -version.

  3. Se imprimirá la versión principal (6 o 7).

  4. Descargue la política JCE Unlimited Strength Jurisdiction.

  5. Si utiliza JDK 7:

    • http://www.oracle.com/technetwork/java/javas%20/downloads/index.htm (Fin de creación)
  6. Si utiliza JDK 6:

    • http://www.oracle.com/technetwork/java/javasebusiness/downloads/java-archivedownloads-java-plat-419418.html (Fin de creación)
  7. Baje el contenido del archivo ZIP descargado en una carpeta temporal.

  8. Copie los archivos local_policy.jar y US_export_policy.jar descomprimidos en el siguiente directorio de JDK (esta operación sobrescribe los archivos local_policy.jar y US_export_policy.jar presentes en esa carpeta): $JDK_HOME/jre/lib/security.

  9. Reinicie los servidores de WLS en el dominio de WLS para aplicar los cambios.

Para configurar ADFS para desactivar el cifrado al enviar la afirmación de SAML a un SP, realice los siguientes pasos:

  1. Vaya a la máquina en la que está desplegado ADFS.

  2. Si se utiliza ADFS 2.0, haga clic en Menú de inicio , Programas , Herramientas administrativas , Módulos de Windows PowerShell.

  3. Si se utiliza ADFS 3.0, haga clic en Start Menu (Iniciar), Administrative Tools (Herramientas administrativas), Active Directory Module for Windows PowerShell (Módulo de Active Directory para Windows).

  4. Ejecute el siguiente comando (sustituya RP_NAME por el nombre del SP utilizado para crear el partner en ADFS): set-ADFSRelyingPartyTrust –TargetName“RP_NAME” –EncryptClaims $False.

Desconexión de ADFS

El protocolo SAML 2.0 define un perfil de desconexión en el que cada partner de federación implicado en una SSO de federación para la sesión del usuario actual recibe una notificación del usuario que se desconecta. Esto permite a los distintos partners de federación terminar la sesión del usuario en su dominio de SSO.

ADFS IdP proporciona diferentes formas de autenticar al usuario cuando se realiza una SSO de federación:

Nota: El explorador mantiene las credenciales y las proporciona al servidor de ADFS cada vez que el explorador accede a ADFS, hasta que se cierra el explorador.

Veamos el efecto (o no efecto) de la desconexión de SAML 2.0 según cómo se autentique el usuario:

Por lo tanto, si se utiliza la autenticación HTTP básica o la autenticación de Windows integrada como mecanismo de autenticación en ADFS 2.0 IdP, después de una desconexión, el usuario seguirá "conectado" en IdP y la ejecución de una nueva SSO de federación no disparará el usuario que se está comprobando y provocará que el usuario se autentique automáticamente en el SP, después de realizar la SSO de federación.

Nota importante: el comportamiento observado con la desconexión también se aplica a otros IdPs (por ejemplo, OAM), que utilizan la autenticación básica HTTP como mecanismo de autenticación

Metadatos de SAML 2.0

Para descargar los metadatos de SAML 2.0 del servidor ADFS 2.0/3.0:

  1. Abra un explorador.

  2. Vaya al servicio de publicación de metadatos de ADFS 2.0/3.0: https://adfs-host:adfs-port/FederationMetadata/2007-06/FederationMetadata.xml.

  3. Guarde los metadatos localmente con el botón Save As del explorador.

Para descargar los metadatos de SAML 2.0 desde OAM:

  1. Abra un explorador.

  2. Vaya al servicio de publicación de metadatos de OAM: http(s)://oam-runtime-host:oam-runtimeport/oamfed/idp/metadata o http(s)://oam-runtime-host:oam-runtimeport/oamfed/sp/metadata.

  3. Guarde los metadatos localmente con el botón Save As del explorador.

Nota: Asegúrese de haber activado SSL en OAM antes de descargar los metadatos de OAM, ya que los metadatos contienen las URL de OAM.

SHA-256 frente a SHA-1

Después de configurar la federación entre OAM y ADFS, debe:

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.