Autorización en OAM y IdP

En este artículo, vamos a aprender a activar e implantar políticas de autorización para SSO de federación cuando OAM actúa como IdP. Cuando OAM autentica a un usuario en nombre de socios SAML/OpenID 2.0 remotos, emite un token (SAML o OpenID) que contiene información sobre el usuario que el partner consume para identificar al usuario. Como parte de la creación del token, IdP se puede configurar para evaluar una política de emisión de token que indica si el usuario tiene permiso para realizar SSO de federación con ese SP/RP concreto. La política de emisión de tokens se crea con:

• Nombre de socio de SP como recurso
• Una o más restricciones
• Restricción verdadera que se utiliza para indicar que IdP debe emitir tokens para todos los usuarios para los partners de SP que se muestran en la política
• Restricción de identidad hecha de
• Lista de usuarios: IdP garantiza que el usuario que realiza SSO de federación entre OAM y el SP remoto pertenece a dicha lista
• O lista de grupos: IdP garantiza que el usuario que realiza SSO de federación entre OAM y el SP remoto pertenece a un grupo mostrado en la restricción

Activación/desactivación de la autorización en IdP

Inicialmente, la autorización está desactivada en IdP. Como tal, no hay aplicación de autorización cuando OAM emite un token SAML/OpenID.

Nota: Una vez activada la autorización, todas las operaciones de SSO de federación IdP necesitan una evaluación correcta de la política de autorización. Por lo tanto, si tiene acuerdos de federación existentes, ninguna política de emisión de token y activa la autorización, la operación SSO de federación falla hasta que se crean las políticas de emisión de token necesarias.

Para activar o desactivar la autorización en IdP, ejecute los siguientes comandos WLST de OAM:

1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
2. Conéctese al servidor de administración de WLS: connect()
3. Navegue a la rama Domain Runtime: domainRuntime()
4. Ejecute el comando configureFedSSOAuthz():
5. Para activar la autorización: configureFedSSOAuthz("true")
6. Para desactivar la autorización: configureFedSSOAuthz("false")
7. Salga del entorno WLST: exit()

Política de emisión de tokens

Visión general

Como se ha mencionado anteriormente, una política de emisión de token está formada por dos objetos:

• Una lista de recursos, con cada recurso que contiene el nombre del socio de SP
• Una lista de restricciones, siendo cada restricción una de las siguientes:
• Restricción verdadera que se utiliza para indicar que IdP debe emitir tokens para todos los usuarios para los partners de SP que se muestran en la política
• Restricción de identidad hecha de
• Lista de usuarios: IdP garantiza que el usuario que realiza SSO de federación entre OAM y el SP remoto pertenece a dicha lista
• O lista de grupos: IdP garantiza que el usuario que realiza SSO de federación entre OAM y el SP remoto pertenece a un grupo mostrado en la restricción
• Reglas que utilizan las restricciones

Durante una operación de SSO de federación, tras la autenticación del usuario, IdP comprueba si la autorización está activada y, en caso afirmativo, recopila la identidad del usuario y los grupos a los que pertenece, el nombre del partner de SP y llama al motor de autorización de OAM que indica si la evaluación se ha realizado correctamente o no.

• Si tiene éxito, significa que
• El nombre del socio de SP se ha enumerado como recurso en uno en la política de emisión de token
• Evaluación de las restricciones de una de las políticas de emisión de tokens en las que se muestra el partner de SP
• Existe una restricción verdadera
• O bien, había una restricción de identidad con la identidad del usuario
• O bien con un grupo al que pertenece el usuario

En los ejemplos que se muestran en este artículo, agregue todas las políticas de emisión de token a los dominios de aplicación de IAM Suite en la consola de administración de OAM.

Entorno de Prueba

El entorno de prueba muestra el uso de la función Autorización mediante ejemplos con:

• Tres usuarios en el directorio LDAP utilizado por IdP (consulte a continuación la salida de LDIF)
• Alicia
• bovina
• Charlie
• Tres grupos en el directorio LDAP
• Ingenieros a los que pertenecen bob y charlie
• Mánager, al que pertenece la alicia
• Empleados, a los que pertenecen alicia, bob y charlie
• Cuatro partners de SP:
• OnlineConference.com (Fin de creación)
• HR
• TravelSite y
• 401kSP
• Tres políticas de autorización
• Authz #1: solo los usuarios del grupo Empleados menos bob pueden acceder a 401kSP
• Authz #2: solo los usuarios de los gestores de grupos y la charlie de usuario pueden acceder a RR. HH.
• Authz #3: cualquiera puede acceder a TravelSite y OnlineConference.com

La salida LDIF del directorio LDAP de prueba para los tres usuarios es:

\# alice, users, us.oracle.com
dn: cn=alice,ou=users,dc=us,dc=oracle,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
givenName: Alice
uid: alice
cn: alice
sn: Appleton
mail: alice@oracle.com

\# bob, users, us.oracle.com
dn: cn=bob,ou=users,dc=us,dc=oracle,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
givenName: Bobby
uid: bob
cn: bob
sn: Smith
mail: bob@oracle.com

\# charlie, users, us.oracle.com
dn: cn=charlie,ou=users,dc=us,dc=oracle,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
givenName: Charlie
uid: charlie
cn: Charlie
sn: Crown
mail: charlie@oracle.com

La salida LDIF del directorio LDAP de prueba para los tres grupos es:

\# Managers, groups, us.oracle.com
dn: cn=Managers,ou=groups,dc=us,dc=oracle,dc=com uniqueMember:
cn=alice,ou=users,dc=us,dc=oracle,dc=com
cn: Managers
objectClass: groupOfUniqueNames
objectClass: top

\# Employees, groups, us.oracle.com
dn: cn=Employees,ou=groups,dc=us,dc=oracle,dc=com
uniqueMember:
cn=charlie,ou=users,dc=us,dc=oracle,dc=com
uniqueMember:
cn=alice,ou=users,dc=us,dc=oracle,dc=com
uniqueMember:
cn=bob,ou=users,dc=us,dc=oracle,dc=com
cn: Employees
objectClass: groupOfUniqueNames
objectClass: top

\# Engineers, groups, us.oracle.com
dn: cn=Engineers,ou=groups,dc=us,dc=oracle,dc=com
uniqueMember: cn=bob,ou=users,dc=us,dc=oracle,dc=com
uniqueMember: cn=charlie,ou=users,dc=us,dc=oracle,dc=com
cn: Engineers
objectClass: groupOfUniqueNames
objectClass: top

Ejemplos

Caso de uso no 1

En este caso de uso:

• 401kSP es el nombre del partner de SP de SAML 2.0
• IdP debe permitir a los usuarios que pertenecen al grupo de empleados realizar SSO de federación con ese partner de SP
• IdP no debe permitir que bob realice SSO de federación con ese partner de SP

Para configurar IdP para este caso de uso, realice los siguientes pasos:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

2. Vaya a Access Manager, Application Domains.

3. Haga clic en Buscar

4. Haga clic en IAM Suite en la lista de resultados y haga clic en el separador Políticas de emisión de token.

5. Haga clic en Crear Política de Emisión del Token.

6. Introduzca un nombre (por ejemplo, EmployeesPolicy)

   

   Descripción de la ilustración Token_Issuance_Policy_Screen.jpg

Realice los siguientes pasos:

1. Haga clic en el separador condiciones
2. Haga clic en Add para agregar una restricción para el grupo employees.
3. Introduzca los detalles de las restricciones:
4. Name: por ejemplo, EmployeesGroup
5. Type: identidad del solicitante del token

Descripción de la ilustración Add_Conditions_Screen.jpg

Realice los siguientes pasos:

1. Haga clic en Agregar selección

2. Seleccione la restricción recién creada para configurarla

3. En los detalles de las condiciones, haga clic en Agregar y seleccione Agregar identidades.

4. Seleccione el almacén de identidades en el que existe el usuario y haga clic en Buscar.

5. Seleccione el grupo de empleados.

   

   Descripción de la ilustración Add_Indentities_Screen.jpg

6. Haga clic en Agregar selección

   

   Descripción de la ilustración Create_Token_Issuance_policy_Screen.jpg

Realice los siguientes pasos:

1. Haga clic en Agregar para agregar otra restricción para el usuario bob
2. Introduzca los detalles de las restricciones:

• Name: por ejemplo, BobUser
• Type: identidad del solicitante del token

Descripción de la ilustración Add_Condition_Bob.jpg

Realice los siguientes pasos:

1. Haga clic en Agregar selección

2. Seleccione la restricción recién creada para configurarla

3. En los detalles de las condiciones, haga clic en Agregar y seleccione Agregar identidades.

4. Seleccione el almacén de identidades en el que existe el usuario y haga clic en Buscar.

5. Seleccione el usuario bob

   

   Descripción de la ilustración Add_Identities_Bob.jpg

6. Haga clic en Agregar selección

   

   Descripción de la ilustración Condition_Details_Screen.jpg

Realice los siguientes pasos:

1. Haga clic en el separador Reglas.

2. En la sección Permitir regla, seleccione la condición EmployeesGroup y agréguela a las condiciones seleccionadas, ya que queremos permitir a los usuarios que pertenecen al grupo Empleados realizar la SSO de federación con los partners que se muestran en esta política.

3. En la sección Deny Rule, seleccione la condición BobUser y agréguela a Selected Conditions, ya que deseamos no permitir que bob realice SSO de federación con los partners que se muestran en esta política.

4. Haga clic en Aplicar.

   

   Descripción de la ilustración Rules_Screen.jpg

Ejecute los siguientes pasos para crear un nuevo recurso y agregarlo a la política de emisión de token EmployeesPolicy:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole
2. Vaya a Access Manager , Application Domains
3. Haga clic en Buscar
4. Haga clic en IAM Suite en la lista de resultados. Haga clic en el separador Recursos.
5. Haga clic en Nuevo recurso y cree un nuevo recurso para la política de emisión de token:

• Type: TokenServiceRP
• Resource URL, nombre del partner de SP creado en la sección Administración de Federación: 401kSP
• Operations: todo
• Token Issuance Policy: EmployeesPolicy

1. Haga clic en Aplicar.

   

   Descripción de la ilustración Resources_Screen.jpg

Caso de uso no 2

En este caso de uso:

• RR. HH. es el nombre del partner de SP de SAML 2.0
• IdP debe permitir a los usuarios que pertenecen al grupo de gestores realizar SSO de federación con ese partner de SP
• IdP debe permitir que charlie realice SSO de federación con ese partner de SP

Para configurar IdP para este caso de uso, realice los siguientes pasos:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole
2. Vaya a Access Manager , Application Domains
3. Haga clic en Buscar
4. Haga clic en IAM Suite en la lista de resultados y haga clic en el separador Políticas de emisión de token.
5. Haga clic en Crear Política de Emisión del Token.
6. Introduzca un nombre (por ejemplo, HRPolicy)
7. Haga clic en el separador condiciones
8. Haga clic en Agregar para agregar una restricción para el grupo de empleados.
9. Introduzca los detalles de las restricciones:

• Name: por ejemplo, HRCondition
• Type: identidad del solicitante del token

1. Haga clic en Agregar selección

2. Seleccione la restricción recién creada para configurarla

3. En los detalles de las condiciones, haga clic en Agregar y seleccione Agregar identidades.

4. Seleccione el almacén de identidades en el que existe el usuario y haga clic en Buscar.

5. Seleccione el grupo de gestores y el usuario charlie haga clic en Agregar selección.

   

   Descripción de la ilustración HRCondition_Screen.jpg

Realice los siguientes pasos:

1. Haga clic en el separador Reglas.

2. En la sección Permitir regla, seleccione la condición HRCondition y agréguela a las condiciones seleccionadas, ya que queremos permitir a los usuarios que pertenecen al grupo Mánager y al usuario realizar la SSO de federación con los partners que se muestran en esta política.

3. Haga clic en Aplicar.

   

   Descripción de la ilustración HRCondition_Rules_Screen.jpg

Ejecute los siguientes pasos para crear un nuevo recurso y agregarlo a la política de emisión de token HRPolicy:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole
2. Vaya a Access Manager , Application Domains
3. Haga clic en Buscar
4. Haga clic en IAM Suite en la lista de resultados y haga clic en el separador Recursos.
5. Haga clic en Nuevo recurso y cree un nuevo recurso para la política de emisión de token:
   • Type: TokenServiceRP
   • Resource URL, nombre del partner de SP tal y como se creó en la sección Administración de Federación: HR
   • Operations: todo
   • Token Issuance Policy: HRPolicy
6. Haga clic en Aplicar.

Caso de uso n.o 3

En este caso de uso:

• TravelSite es el nombre del primer partner de SP de SAML 2.0
• OnlineConference.com es el nombre del segundo partner de SP de SAML 2.0
• IdP debe permitir a todos los usuarios realizar SSO de federación con esos partners de SP

Para configurar IdP para este caso de uso, realice los siguientes pasos:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole
2. Vaya a Access Manager , Application Domains
3. Haga clic en Buscar
4. Haga clic en IAM Suite en la lista de resultados y haga clic en el separador Políticas de emisión de token.
5. Haga clic en Crear Política de Emisión del Token.
6. Introduzca un nombre (por ejemplo, AllUsersPolicy)
7. Haga clic en el separador condiciones
8. Haga clic en Add para agregar una restricción para todos los usuarios.
9. Introduzca los detalles de las restricciones:

• Name: por ejemplo, TrueCondition
• Type: verdadero

Descripción de la ilustración TrueCondition_Screen.jpg

1. Haga clic en Agregar selección

   

   Descripción de la ilustración TrueCondition_Added_Screen.jpg

Realice los siguientes pasos:

1. Haga clic en el separador Reglas.

2. En la sección Permitir regla, seleccione la condición TrueCondition y agréguela a las Condiciones seleccionadas, ya que queremos permitir que todos los usuarios realicen SSO de federación con los partners que se muestran en esta política.

3. Haga clic en Aplicar.

   

   Descripción de la ilustración Rules_TrueCondition_Screen.jpg

Ejecute los siguientes pasos para crear un nuevo recurso y agregarlo a la política de emisión de tokens HRPolicy para los partners TravelSite y OnlineConference.com:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole
2. Vaya a Access Manager , Application Domains
3. Haga clic en Buscar
4. Haga clic en IAM Suite en la lista de resultados y haga clic en el separador Recursos.
5. Haga clic en Nuevo recurso y cree un nuevo recurso para la política de emisión de token para TravelSite:
• Type: TokenServiceRP
• Resource URL, nombre del partner de SP creado en la sección Administración de Federación: TravelSite
• Operations: todo
• Token Issuance Policy: AllUsersPolicy Aplicar
6. Haga clic en Nuevo recurso y cree un nuevo recurso para la política de emisión de token para OnlineConference.com:
• Type: TokenServiceRP
• Resource URL, nombre del partner de SP creado en la sección Administración de Federación: OnlineConference.com
• Operations: todo
• Token Issuance Policy: AllUsersPolicy
7. Haga clic en Aplicar.

Resumen

Para ver los recursos para los socios de SP creados anteriormente, realice los siguientes pasos:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

2. Vaya a Access Manager , Application Domains

3. Haga clic en Buscar

4. Haga clic en IAM Suite en la lista de resultados y haga clic en el separador Recursos.

5. Seleccione TokenServiceRP como tipo de recurso. Haga clic en Buscar. Se mostrará la lista de recursos de tipo TokenServiceRP

   • MissingRP y UnknownRP están relacionados con las políticas de autorización de OSTS
   • Se muestran HR, TravelSite, OnlineConference.com y 401kSP

   

   Descripción de la ilustración Summary_Screen.jpg

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Authorization in OAM and IdP

F59887-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.