Integración de los SP de ADFS 2.0 y 3.0 con OAM IdP

En este artículo se describe cómo integrar ADFS 2.0/3.0 como SP y OAM como IdP. Asegúrese de leer la entrada que cubre los requisitos previos.

La integración de SAML 2.0 se basa en:

• La dirección de correo electrónico se utilizará con el formato NameID

• El valor NameID contiene la dirección de correo electrónico del usuario

• El enlace HTTP POST se utiliza para enviar la afirmación de SAML al SP

• Los usuarios existen en ambos sistemas, y cada usuario tiene la misma dirección de correo electrónico para que se pueda utilizar como atributo de usuario común.

ADFS 2.0 está disponible en Windows 2008 R2, mientras que ADFS 3.0 está disponible en Windows 2012 R2. En el artículo se muestran capturas de pantalla de ADFS 3.0, mientras que los pasos documentados se aplican a ambas versiones.

Configuración de ADFS

Para agregar OAM como IdP en el SP de ADFS, realice los siguientes pasos:

1. Vaya a la máquina en la que está desplegado ADFS.

2. Si se utiliza ADFS 2.0

   • Haga clic en Menú de inicio, Programas, Herramientas administrativas, Gestión de AD FS 2.0.

   • Amplíe ADFS 2.0, Trust Relationships

3. Si se utiliza ADFS 3.0

   • En Server Manager, haga clic en Tools (Herramientas), AD FS Management (Gestión de AD FS).

   • Amplíe AD FS, Relaciones de confianza

4. Haga clic con el botón derecho en Confianza de proveedor de reclamaciones y seleccione Agregar confianza de proveedor de reclamaciones.

Aparece la ventana Agregar confianza de proveedor de reclamaciones



Descripción de la ilustración Add_Claims_Provider.jpg

5. Haga clic en Iniciar.

6. Seleccione Importar datos sobre el proveedor de reclamaciones de un archivo.

7. Haga clic en Examinar y seleccione el archivo de metadatos de SAML 2.0 de OAM IdP local (es necesario que los puntos finales de OAM terminen SSL; de lo contrario, ADFS no importará los metadatos). Consulte el artículo de requisitos previos sobre SSL).



Descripción de la ilustración Import_Data.jpg

8. Haga clic en Siguiente.

9. Si aparece una ventana de advertencia sobre las funciones no soportadas en ADFS, haga clic en Aceptar (esto está relacionado con la función Autoridad de atributos de SAML que se muestra en los metadatos de SAML 2.0 de OAM IdP).



Descripción de la ilustración Warning_Message.jpg

10. Introduzca un nombre para el nuevo proveedor de identidad de SAML 2.0.



Descripción de la ilustración Identity_Provider.jpg

11. Haga clic en Siguiente. Se muestra una ventana de resumen



Descripción de la ilustración summary_window.jpg

12. Haga clic en Siguiente.

13. Deje marcada la casilla Abrir la edición de reclamaciones.



Descripción de la ilustración Edit_Claims.jpg

14. Haga clic en Cerrar. Aparece la ventana Edit Rule



Descripción de la ilustración Edit_Rule_Window.jpg

15. Haga clic en Agregar regla.

16. Seleccionar traspaso o filtrar reclamación entrante



Descripción de la ilustración Select_Rule_Template.jpg

17. Haga clic en Siguiente.

18. Introduzca un nombre para la regla de reclamación.

19. Seleccione NameID como tipo de reclamación entrante.

20. Seleccione Correo electrónico como formato de ID de nombre entrante.

21. Seleccione Transferir todos los valores de reclamación si desea aceptar cualquier dirección de correo electrónico Transferir solo los valores de reclamación que coincidan con un valor de sufijo de correo electrónico específico si desea aceptar solo un juego específico de direcciones de correo electrónico (en este ejemplo, seleccione esta opción, ya que todos los usuarios tendrán una dirección de correo electrónico @acme.com).



Descripción de la ilustración Configure_Rule.jpg

22. Haga clic en Terminar. Se muestra una lista de reglas de reclamación

23. Haga clic Aceptar.

Descripción de la ilustración list_of_claim_rules.jpg

Como se menciona en el artículo de requisitos previos, si desea configurar ADFS para utilizar/aceptar firmas SHA-1, realice los siguientes pasos (Nota: si no configura ADFS para utilizar/aceptar firmas SHA-1, debe configurar OAM para utilizar SHA-256 para firmas):

1. Vaya a la máquina en la que está desplegado ADFS.

   • Si se utiliza ADFS 2.0

     • Haga clic en Menú de inicio, Programas, Herramientas administrativas, Gestión de AD FS 2.0.

     • Amplíe ADFS 2.0, Trust Relationships

   • Si se utiliza ADFS 3.0

     • En Server Manager, haga clic en Tools (Herramientas), AD FS Management (Gestión de AD FS).

     • Amplíe AD FS, Relaciones de confianza

2. Haga clic con el botón derecho en la confianza del proveedor de reclamaciones recién creada y seleccione Propiedades.

3. Seleccione el separador Avanzado.

4. Seleccione SHA-1.

5. Haga clic Aceptar.

Descripción de la ilustración Secure_Hash_Algorithm.jpg

Configuración de OAM

Para agregar ADFS como partner de SP en OAM, realice los siguientes pasos:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole.

2. Vaya a Identity Federation, Administración de proveedores de identidad.

3. Haga clic en el botón Crear partner de proveedor de servicios.

4. En la pantalla Crear:

   1. Introduzca un nombre para el partner

   2. Seleccione SAML 2.0 como Protocolo

5. Haga clic en Cargar metadatos y cargue el archivo de metadatos de SAML 2.0 para el SP.

6. Seleccione el formato NameID que desea definir en la afirmación de SAML 2.0 (dirección de correo electrónico NameID en este caso).

7. Introduzca cómo se debe definir el valor NameID: ID de usuario.

8. Atributo de almacén y atributo de correo en este caso.

9. Seleccione el perfil de atributo por defecto que indica cómo rellenar la afirmación de SAML con atributos.

10. Haga clic en Guardar.

Como se menciona en el artículo de requisitos previos, si desea configurar OAM para que utilice SHA-256 para las firmas, realice los siguientes pasos (Nota: si no configura OAM para que utilice SHA-256 para las firmas, debe configurar ADFS para que utilice/acepte las firmas SHA-1):

1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh.

2. Conéctese al servidor de administración de WLS: connect().

3. Navegue a la rama Domain Runtime: domainRuntime().

4. Ejecute el comando configureFedDigitalSignature(): configureFedDigitalSignature(partner="PARTNER_NAME", partnerType="idp/sp", algorithm="SHA-256/SHA-1").

5. Sustituya PARTNER_NAME por el nombre del partner agregado

   1. Defina partnerType en idp o sp

   2. Defina el algoritmo en SHA-256 o SHA-1 Un ejemplo es: configureFedDigitalSignature(partner="ADFSSP", partnerType="sp”, algorithm="SHA-256")

6. Salga del entorno WLST: exit().

Probar

Para realizar la prueba, acceda a la página SSO iniciada por OAM IdP:

• URL: http(s)://oam-runtime-host:oam-runtimeport/oamfed/idp/initiatesso?providerid=PARTNER_NAME

• Sustituya PARTNER_NAME por el nombre del partner de SP.

Un ejemplo es: https://acme.com/oamfed/idp/initiatesso?providerid=ADFSSP

• Desafíos de OAM para la autenticación

Se le redirigirá al SP de ADFS con una afirmación de SAML

Descripción de la ilustración SAML_Assertion.jpg

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Integrating ADFS 2.0 and 3.0 SP with OAM IdP

F60451-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.