Integración de ADFS 2.0 y 3.0 IdP con OAM SP

En este artículo se describe cómo integrar ADFS 2.0/3.0 como IdP y OAM como SP. Antes de continuar con el artículo, asegúrese de leer los requisitos. La integración de SAML 2.0 se basa en:

• Dirección de correo electrónico que se utilizará como formato NameID
• El valor NameID contendrá la dirección de correo electrónico del usuario
• El enlace HTTP POST se utilizará para enviar la afirmación de SAML al SP
• Los usuarios existirán en ambos sistemas, y cada usuario tendrá la misma dirección de correo electrónico para que se pueda utilizar como atributo de usuario común.

ADFS 2.0 está disponible en Windows 2008 R2, mientras que ADFS 3.0 está disponible en Windows 2012 R2. En los artículos se mostrarán capturas de pantalla de ADFS 3.0, mientras que los pasos documentados se aplicarán a ambas versiones.

Configuración de ADFS

Para agregar OAM como SP en ADFS IdP, realice los siguientes pasos:

1. Vaya a la máquina en la que está desplegado ADFS 2.0.

   1. Si se utiliza ADFS 2.0

      1. Haga clic en Menú de inicio, Programas, Administrativo.

      2. Gestión de herramientas, AD FS 2.0

      3. Amplíe ADFS 2.0, Trust Relationships

   2. Si se utiliza ADFS 3.0

      1. En Server Manager, haga clic en Tools (Herramientas), AD FS Management (Gestión de AD FS).

      2. Amplíe AD FS, Relaciones de confianza

      3. Haga clic con el botón derecho en Confianza de usuario de confianza y seleccione Agregar confianza de usuario de confianza.

      Aparece la ventana Agregar confianza de usuario de confianza.

      

      Descripción de la ilustración Add_Relying_Party_Trust.jpg

2. Haga clic en Iniciar.

3. Seleccione Importar datos sobre el usuario de confianza de un archivo.

4. Haga clic en Browse y seleccione el archivo de metadatos SAML 2.0 de OAM SP de la máquina local (es necesario que los puntos finales de OAM terminen con SSL; de lo contrario, ADFS no importará los metadatos). Consulte el artículo de requisitos previos sobre SSL).



Descripción de la ilustración Import_File_Option.jpg

5. Haga clic en Siguiente.

6. Introduzca un nombre para el nuevo proveedor de servicios SAML 2.0 de OAM.



Descripción de la ilustración Specify_Display_Name.jpg

7. Si utiliza ADFS 3.0, ejecute los siguientes pasos:

8. Haga clic en Siguiente.

La siguiente pantalla muestra una sección de configuración de autenticación multifactor opcional

9. Seleccione la opción en función de sus requisitos.

10. Haga clic en Siguiente.

11. Seleccione Permitir a todos los usuarios acceder a este usuario de confianza.

    

    Descripción de la ilustración Permit_all_users.jpg

12. Haga clic en Siguiente.

Se muestra una ventana de resumen.



Descripción de la ilustración summary_window.jpg

13. Haga clic en Siguiente.

14. Deje la casilla Abrir siniestros marcada.



Descripción de la ilustración Edit_Claims_Rules.jpg

15. Haga clic en Cerrar.

Aparece la ventana Edit Rule.



Descripción de la ilustración Edit_Rule_Window.jpg

16. Haga clic en Agregar regla: configuraremos ADFS para recuperar la dirección de correo electrónico del usuario de LDAP e incluirla como atributo de SAML EmailAddress.

17. Seleccione Enviar atributos de LDAP como reclamaciones.



Descripción de la ilustración Select_Rule_Template.jpg

18. Haga clic en Siguiente.

19. Introduzca un nombre para la regla de reclamación.

20. Seleccione Active Directory como almacén de atributos.

21. Como estamos utilizando Email Address como NameID, en la primera fila, seleccione Email Addresses como atributo de LDAP y Email Address como tipo de reclamación saliente.



Descripción de la ilustración Configure_Rule.jpg

22. Haga clic en Terminar. Se mostrará una lista de reglas.



Descripción de la ilustración list_of_rules.jpg

[Description of the illustration list_of_rules.jpg](files/list_of_rules.txt)

23. Haga clic en Agregar regla: transformaremos el atributo de SAML EmailAddress para que sea NameID con su formato definido en dirección de correo electrónico.

24. Seleccione Transformar una reclamación entrante.



Descripción de la ilustración Transform_Incoming_Claim.jpg

25. Haga clic en Siguiente.

26. Introduzca un nombre para la regla.

27. Seleccione Dirección de correo electrónico como tipo de reclamación entrante.

28. Seleccione NameID como tipo de reclamación saliente.

29. Seleccione Correo electrónico como formato de ID de nombre saliente.

30. Seleccione Pasar a todos los valores de notificaciones.



Descripción de la ilustración Add_Transform_Claim.jpg

31. Haga clic en Terminar. Se muestra una lista de reglas de reclamación.

32. Haga clic Aceptar.



Descripción de la ilustración list_of_claim_rules.jpg

Como se menciona en el artículo de requisitos previos, si desea configurar ADFS para utilizar/aceptar firmas SHA-1, realice los siguientes pasos:

Nota: Si no configura ADFS para utilizar/aceptar firmas SHA-1, tendrá que configurar OAM para que utilice SHA-256 para las firmas:

1. Ir a la máquina en la que se despliega ADFS

2. Si se utiliza ADFS 2.0:

   1. Haga clic en Menú de inicio, Programas, Herramientas administrativas, Gestión de AD FS 2.0.

   2. Expanda ADFS 2.0, Trust Relationships.

3. Si se utiliza ADFS 3.0

   1. En Server Manager, haga clic en Tools (Herramientas), AD FS Management (Gestión de AD FS).

   2. Amplíe AD FS, Relaciones de confianza

4. Haga clic con el botón derecho en el usuario de confianza recién creado y seleccione Properties.

5. Seleccione el separador Avanzado.

6. Seleccione SHA-1.

7. Haga clic Aceptar.

Descripción de la ilustración Secure_Hash_Algorithm.jpg

Como también se menciona en el artículo de requisitos previos, si decide desactivar el descifrado en ADFS IdP, realice los siguientes pasos:

1. Vaya a la máquina en la que está desplegado ADFS.

2. Si se utiliza ADFS 2.0.

   1. Haga clic en Menú de inicio, Programas, Herramientas administrativas, Módulos de Windows PowerShell.

3. Si se utiliza ADFS 3.0

   1. Haga clic en Menú de inicio, Herramientas administrativas, Módulo de Active Directory para Windows PowerShell

4. Ejecute el siguiente comando (sustituya RP_NAME por el nombre del SP utilizado para crear el partner en ADFS): set-ADFSRelyingPartyTrust -TargetName "RP_NAME" -EncryptClaims $False

Por ejemplo: set-ADFSRelyingPartyTrust -TargetName "ACME SP" -EncryptClaims $False

Configuración de OAM

Para agregar ADFS como partner IdP en OAM, realice los siguientes pasos:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole.

2. Vaya a Identity Federation, Administración de proveedores de servicios.

3. Haga clic en el botón Crear partner de proveedor de identidad.

4. En la pantalla Crear:

   1. Introduzca un nombre para el partner.

   2. Compruebe si este partner se debe utilizar por defecto como IdP al iniciar una operación de SSO de federación, si no se ha especificado ningún partner IdP. (En este ejemplo lo definiremos como IdP por defecto).

   3. Seleccione SAML 2.0 como Protocolo.

5. Haga clic en Cargar metadatos y cargue el archivo de metadatos de SAML 2.0 para la sección Asignación de afirmación IdP:

   1. Si lo desea, defina el almacén de identidades de OAM que se debe utilizar (Nota: En el ejemplo, dejamos el campo en blanco para utilizar el almacén de identidades de OAM por defecto).

   2. Si lo desea, defina el DN base de búsqueda de usuario (Nota: en el ejemplo, dejamos el campo en blanco para utilizar el DN base de búsqueda de usuario configurado en el almacén de identidades).

   3. Seleccione cómo se produce la asignación (Nota: en el ejemplo, estamos asignando la afirmación mediante NameID al atributo de correo LDAP).

6. Seleccione el perfil de atributo que se utilizará para asignar los nombres de los atributos de la afirmación de SAML entrante a los nombres locales. Consulte el artículo sobre el perfil de atributo IdP para obtener más información. En este ejemplo, utilice el perfil de atributo IdP por defecto.

7. Haga clic en Guardar.

Descripción de la ilustración OIF_Setup.jpg

Como se menciona en el artículo de requisitos previos, si desea configurar OAM para que utilice SHA-256 para las firmas, realice los siguientes pasos (Nota: si no configura OAM para que utilice SHA-256 para las firmas, tendrá que configurar ADFS para que utilice/acepte las firmas SHA-1):

1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh.

2. Conéctese al servidor de administración de WLS: connect().

3. Navegue a la rama Domain Runtime: domainRuntime().

4. Ejecute el comando configureFedDigitalSignature(): configureFedDigitalSignature(partner="PARTNER_NAME", partnerType="idp/sp", algorithm="SHA-256/SHA-1").

   1. Sustituya PARTNER_NAME por el nombre del partner agregado.

   2. Defina partnerType en idp o sp.

   3. Defina el algoritmo en SHA-256 o SHA-1 Un ejemplo será: configureFedDigitalSignature(partner="ADFSIdP", partnerType="idp", algorithm="SHA-256").

5. Salga del entorno WLST: exit().

Como también se menciona en el artículo de requisitos previos, si decide no desactivar el cifrado sólido en el ADFS IdP, asegúrese de que la política JCE Unlimited Strength Jurisdiction \les se haya instalado en el entorno OAM.

Probar

Para probar la integración:

• Proteja un recurso con WebGate y FederationScheme con ADFS IdP como proveedor de identidad de SSO por defecto para OAM

• O utilice la aplicación OAM Test SP y seleccione ADFS como IdP

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Integrating ADFS 2.0 and 3.0 IdP with OAM SP

F60450-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.