Configuración de Métodos de Autenticación de Fed en OAM y IdP

En este artículo se proporcionan ejemplos de cómo configurar IdP para asignar esquemas de autenticación de OAM a métodos de autenticación de federación. Este artículo también muestra ejemplos de los tres protocolos soportados por OAM:

Configuración

La asignación de métodos de autenticación de federación a esquemas de autenticación de OAM depende del protocolo, ya que los métodos se definen en los distintos protocolos (SAML 2.0, SAML 1.1, OpenID 2.0).

Los comandos de WLST para definir esas asignaciones implican:

Es importante tener en cuenta que si un partner de SP está configurado para definir una o más asignaciones de método de autenticación de federación a esquema de autenticación de OAM, se ignoran todas las asignaciones definidas en el perfil de partner de SP.

Comandos WLST

Los dos comandos WLST de OAM que se pueden utilizar para definir la asignación de métodos de autenticación de federación a esquemas de autenticación de OAM son:

En las siguientes secciones, se muestran algunos ejemplos de cómo utilizar estos métodos:

SAML 2.0

Configuración de la prueba

En esta configuración, OAM actúa como IdP y está integrado con un partner de SP de SAML 2.0 remoto identificado por AcmeSP. En esta prueba, realice SSO de federación con IdP configurado para:

LDAPScheme como esquema de autenticación

Con la configuración de OOTB en relación con la autenticación de usuario en OAM, el usuario se desafía a través de una página de conexión basada en FORM basada en LDAPScheme. Además, la configuración de asignaciones de método de autenticación de federación por defecto solo asigna urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport a LDAPScheme (también marcado como el esquema por defecto utilizado para la autenticación), FAAuthScheme, BasicScheme y BasicFAScheme. Después de la autenticación mediante FORM, IdP emite una afirmación similar a

<samlp:Response ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<dsig:Signature>
...
</dsig:Signature>
<saml:Subject>
<saml:NameID ...>bob@oracle.com</saml:NameID>
<saml:SubjectCon<rmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectCon<rmationData .../>
</saml:SubjectCon<rmation>
</saml:Subject>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
</saml:Assertion>
</samlp:Response>

BasicScheme como esquema de autenticación

Para esta prueba, cambie el esquema de autenticación por defecto para el perfil de socio de SP a BasicScheme en lugar de LDAPScheme. Utilice el comando WLST setSPPartnerProfileDefaultScheme() de OAM y especifique qué esquema utilizar como valor por defecto para el perfil de partner de SP al que hace referencia AcmeSP (que es saml20-sppartner-profile en este caso: getFedPartnerProfile("AcmeSP", "sp") ):

  1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Conéctese al servidor de administración de WLS: connect()
  3. Navegue a la rama Domain Runtime: domainRuntime()
  4. Ejecute el comando setSPPartnerProfileDefaultScheme(): setSPPartnerProfileDefaultScheme("saml20-sp-partner-profile", "BasicScheme")
  5. Salga del entorno WLST: exit()

El usuario se comprueba mediante la autenticación HTTP básica definida en BasicScheme para AcmeSP. Además, como se ha indicado anteriormente, la configuración de asignaciones del método de autenticación de federación por defecto solo asigna urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport a LDAPScheme (también marcado como el esquema por defecto utilizado para la autenticación), FAAuthScheme, BasicScheme y BasicFAScheme. Después de la autenticación mediante la autenticación HTTP básica, IdP emite una afirmación similar a la siguiente:

<samlp:Response ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<dsig:Signature>
...
</dsig:Signature>
<saml:Subject>
<saml:NameID ...>bob@oracle.com</saml:NameID>
<saml:SubjectCon<rmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectCon<rmationData .../>
</saml:SubjectCon<rmation>
</saml:Subject>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement> </saml:Assertion> </samlp:Response>

Asignación BasicScheme

Para cambiar la asignación del método de autenticación de federación para BasicScheme a urn:oasis:names:tc:SAML:2.0:ac:classes:Password en lugar de urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport para el perfil de partner de SP de SAML 2.0 saml20sp-partner-profile (el perfil al que está enlazado mi partner AcmeSP), ejecute el método addSPPartnerProfileAuthnMethod():

  1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Conéctese al servidor de administración de WLS: connect()
  3. Navegue a la rama Domain Runtime: domainRuntime()
  4. Ejecute el comando addSPPartnerProfileAuthnMethod(): addSPPartnerProfileAuthnMethod("saml20-sp-partner-profile", "urn:oasis:names:tc:SAML:2.0:ac:classes:Password", "BasicScheme")
  5. Salga del entorno WLST: exit()

Después de la autenticación mediante la autenticación HTTP básica, IdP emite una afirmación similar a (consulte que AuthnContextClassRef se ha cambiado de PasswordProtectedTransport a Password):

<samlp:Response ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<dsig:Signature>
...
</dsig:Signature>
<saml:Subject>
<saml:NameID ...>bob@oracle.com</saml:NameID>
<saml:SubjectCon<rmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectCon<rmationData .../>
</saml:SubjectCon<rmation>
</saml:Subject>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z"> <saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes: Password
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
</saml:Assertion> </samlp:Response>

OAMLDAPPluginAuthnScheme como esquema de autenticación

Para esta prueba, cambie el esquema de autenticación por defecto para el perfil de socio de SP a OAMLDAPPluginAuthnScheme en lugar de BasicScheme. Utilice el comando WLST setSPPartnerProfileDefaultScheme() de OAM y especifique qué esquema utilizar como valor por defecto para el perfil de partner de SP al que hace referencia AcmeSP (que es saml20-sppartner-profile en este caso: getFedPartnerProfile("AcmeSP", "sp") ):

  1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Conéctese al servidor de administración de WLS: connect()
  3. Navegue a la rama Domain Runtime: domainRuntime()
  4. Ejecute el comando setSPPartnerProfileDefaultScheme(): setSPPartnerProfileDefaultScheme("saml20-sp-partner-profile", "OAMLDAPPluginAuthnScheme")
  5. Salga del entorno WLST: exit()

El usuario se desafía a través de FORM definido en OAMLDAPPluginAuthnScheme para AcmeSP.

Por el contrario, a LDAPScheme y BasicScheme, OAMLDAPPluginAuthnScheme no se asigna por defecto a ningún método de autenticación de federación. IdP no podrá encontrar un método de autenticación de federación y definir el método de la afirmación de SAML en el nombre del esquema de autenticación de OAM. Después de la autenticación mediante FORM, IdP emite una afirmación similar a (consulte AuthnContextClassRef definido en OAMLDAPPluginAuthnScheme):

<samlp:Response ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<dsig:Signature>
...
</dsig:Signature>
<saml:Subject>
<saml:NameID ...>bob@oracle.com</saml:NameID>
<saml:SubjectCon<rmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectCon<rmationData .../>
</saml:SubjectCon<rmation>
</saml:Subject>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>
OAMLDAPPluginAuthnScheme
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
</saml:Assertion>
</samlp:Response>

Asignación OAMLDAPPluginAuthnScheme

Para agregar OAMLDAPPluginAuthnScheme a la asignación del método de autenticación de federación urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport, ejecute el método addSPPartnerProfileAuthnMethod():

  1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Conéctese al servidor de administración de WLS: connect()
  3. Navegue a la rama Domain Runtime: domainRuntime()
  4. Ejecute el comando addSPPartnerProfileAuthnMethod(): addSPPartnerProfileAuthnMethod("saml20-sp-partner-profile", "urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport", "OAMLDAPPluginAuthnScheme")
  5. Salga del entorno WLST: exit()

Después de la autenticación mediante FORM, IdP ahora emite una afirmación similar a (consulte que el método se ha cambiado de OAMLDAPPluginAuthnScheme a PasswordProtectedTransport):

<samlp:Response ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<dsig:Signature>
...
</dsig:Signature>
<saml:Subject>
<saml:NameID ...>bob@oracle.com</saml:NameID>
<saml:SubjectCon<rmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectCon<rmationData .../>
</saml:SubjectCon<rmation>
</saml:Subject>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement> </saml:Assertion> </samlp:Response>

SAML 1.1

Configuración de la prueba

En esta configuración, OAM actúa como IdP y está integrado con un partner de SP de SAML 1.1 remoto identificado por AcmeSP. En esta prueba, realice SSO de federación con IdP configurado para:

LDAPScheme como esquema de autenticación

Con la configuración de OOTB en relación con la autenticación de usuario en OAM, el usuario se desafía a través de una página de conexión basada en FORM basada en LDAPScheme. Además, la configuración de asignaciones de método de autenticación de federación por defecto solo asigna urn:oasis:names:tc:SAML:1.0:am:password a LDAPScheme (también marcado como el esquema por defecto utilizado para la autenticación), FAAuthScheme, BasicScheme y BasicFAScheme. Después de la autenticación mediante FORM, IdP emite una afirmación similar a

<samlp:Response ...>
<samlp:Status>
<samlp:StatusCode Value="samlp:Success"/> </samlp:Status>
<saml:Assertion Issuer="https://idp.com/oam/fed" ...>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password">
<saml:Subject>
<saml:NameIdenti<er ...>bob@oracle.com</saml:NameIdenti<er>
<saml:SubjectCon<rmation>
<saml:Con<rmationMethod>
urn:oasis:names:tc:SAML:1.0:cm:bearer
</saml:Con<rmationMethod>
</saml:SubjectCon<rmation>
</saml:Subject>
</saml:AuthnStatement>
<dsig:Signature>
...
</dsig:Signature>
</saml:Assertion> </samlp:Response>

OAMLDAPPluginAuthnScheme como esquema de autenticación

Para esta prueba, cambie el esquema de autenticación por defecto para el socio de SP a OAMLDAPPluginAuthnScheme en lugar de LDAPScheme. Utilice el comando WLST setSPPartnerDefaultScheme() de OAM y especifique qué esquema utilizar como valor por defecto para el partner de SP:

  1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Conéctese al servidor de administración de WLS: connect()
  3. Navegue a la rama Domain Runtime: domainRuntime()
  4. Ejecute el comando setSPPartnerDefaultScheme(): setSPPartnerDefaultScheme("AcmeSP", "OAMLDAPPluginAuthnScheme")
  5. Salga del entorno WLST: exit()

El usuario se desafía a través de FORM definido en OAMLDAPPluginAuthnScheme para AcmeSP.

Por el contrario, a LDAPScheme, OAMLDAPPluginAuthnScheme no se asigna por defecto a ningún método de autenticación de federación (en el perfil de partner de SP). IdP no podrá encontrar un método de autenticación de federación y definir el método de la afirmación de SAML en el nombre del esquema de autenticación de OAM. Después de la autenticación mediante FORM, IdP emite una afirmación similar a (consulte AuthenticationMethod definido en OAMLDAPPluginAuthnScheme)

<samlp:Response ...>
<samlp:Status>
<samlp:StatusCode Value="samlp:Success"/>
</samlp:Status>
<saml:Assertion Issuer="https://idp.com/oam/fed" ...>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="OAMLDAPPluginAuthnScheme>
<saml:Subject>
<saml:NameIdenti<er ...>bob@oracle.com</saml:NameIdenti<er>
<saml:SubjectCon<rmation>
<saml:Con<rmationMethod>
urn:oasis:names:tc:SAML:1.0:cm:bearer
</saml:Con<rmationMethod>
</saml:SubjectCon<rmation>
</saml:Subject>
</saml:AuthnStatement>
<dsig:Signature>
...
</dsig:Signature> </saml:Assertion> </samlp:Response>

Asignación OAMLDAPPluginAuthnScheme

Para asignar OAMLDAPPluginAuthnScheme al método de autenticación de federación urn:oasis:names:tc:SAML:1.0:am:password solo para este partner de SP, ejecute el método addSPPartnerAuthnMethod():

  1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Conéctese al servidor de administración de WLS: connect()
  3. Navegue a la rama Domain Runtime: domainRuntime()
  4. Ejecute el comando addSPPartnerAuthnMethod(): addSPPartnerAuthnMethod("AcmeSP", "urn:oasis:names:tc:SAML:1.0:am:password", "OAMLDAPPluginAuthnScheme")
  5. Salga del entorno WLST: exit()

Después de la autenticación mediante FORM, IdP ahora emite una afirmación similar a (consulte que el método ha cambiado de OAMLDAPPluginAuthnScheme a contraseña):

<samlp:Response ...>
<samlp:Status>
<samlp:StatusCode Value="samlp:Success"/> </samlp:Status>
<saml:Assertion Issuer="https://idp.com/oam/fed" ...>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password">
<saml:Subject>
<saml:NameIdenti<er ...>bob@oracle.com</saml:NameIdenti<er>
<saml:SubjectCon<rmation>
<saml:Con<rmationMethod>
urn:oasis:names:tc:SAML:1.0:cm:bearer
</saml:Con<rmationMethod>
</saml:SubjectCon<rmation>
</saml:Subject>
</saml:AuthnStatement>
<dsig:Signature>
...
</dsig:Signature> </saml:Assertion> </samlp:Response>

LDAPScheme como esquema de autenticación

Como resultado de la definición de una asignación de autenticación de federación en el nivel de socio, se ignorarán todas las asignaciones en el nivel de perfil de socio de SP. Para esta prueba, vuelva a cambiar el esquema de autenticación por defecto para este partner de SP a LDAPScheme y la afirmación emitida por IdP no podrá asignar este LDAPScheme a un método de autenticación de federación, ya que

Utilice el comando WLST setSPPartnerDefaultScheme() de OAM y especifique qué esquema utilizar como valor por defecto para este partner de SP:

  1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Conéctese al servidor de administración de WLS: connect()
  3. Navegue a la rama Domain Runtime: domainRuntime()
  4. Ejecute el comando setSPPartnerDefaultScheme(): setSPPartnerDefaultScheme("AcmeSP", "LDAPScheme")
  5. Salga del entorno WLST: exit()

Después de la autenticación mediante FORM, IdP emite una afirmación similar a (consulte AuthenticationMethod definido en LDAPScheme):

<samlp:Response ...>
<samlp:Status>
<samlp:StatusCode Value="samlp:Success"/> </samlp:Status>
<saml:Assertion Issuer="https://idp.com/oam/fed" ...>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="LDAPScheme">
<saml:Subject>
<saml:NameIdenti<er ...>bob@oracle.com</saml:NameIdenti<er>
<saml:SubjectCon<rmation>
<saml:Con<rmationMethod>
urn:oasis:names:tc:SAML:1.0:cm:bearer
</saml:Con<rmationMethod>
</saml:SubjectCon<rmation>
</saml:Subject>
</saml:AuthnStatement>
<dsig:Signature>
...
</dsig:Signature>
</saml:Assertion> </samlp:Response>

Asignación de LDAPScheme en el nivel de partner

Para solucionar este problema, agregue LDAPScheme a la asignación del método de autenticación de federación urn:oasis:names:tc:SAML:1.0:am:password solo para este partner de SP. Ejecute el método addSPPartnerAuthnMethod():

  1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Conéctese al servidor de administración de WLS: connect()
  3. Navegue a la rama Domain Runtime: domainRuntime()
  4. Ejecute el comando addSPPartnerAuthnMethod(): addSPPartnerAuthnMethod("AcmeSP", "urn:oasis:names:tc:SAML:1.0:am:password", "LDAPScheme")
  5. Salga del entorno WLST: exit()

Después de la autenticación mediante FORM, IdP ahora emite una afirmación similar a (consulte que el método ha cambiado de LDAPScheme a contraseña):

<samlp:Response ...>
<samlp:Status>
<samlp:StatusCode Value="samlp:Success"/>
</samlp:Status>
<saml:Assertion Issuer="https://idp.com/oam/fed" ...>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password">
<saml:Subject>
<saml:NameIdenti<er ...>bob@oracle.com</saml:NameIdenti<er>
<saml:SubjectCon<rmation>
<saml:Con<rmationMethod>
urn:oasis:names:tc:SAML:1.0:cm:bearer
</saml:Con<rmationMethod>
</saml:SubjectCon<rmation>
</saml:Subject>
</saml:AuthnStatement>
<dsig:Signature>
...
</dsig:Signature>
</saml:Assertion> </samlp:Response>

OpenID 2.0

En los flujos OpenID 2.0, el RP debe solicitar el uso de PAPE para que IdP/OP incluya información de PAPE. Para OpenID 2.0, la configuración implica la asignación de una lista de políticas OpenID 2.0 a una lista de esquemas de autenticación. El comando WLST toma una lista de políticas, delimitadas por el carácter ',' en lugar de SAML 2.0 o SAML 1.1, donde se tenía que especificar un único método de autenticación de federación.

Configuración de la prueba

En esta configuración, OAM actúa como IdP/OP y está integrado con un partner SP/RP remoto OpenID 2.0 identificado por AcmeRP. En esta prueba, realice SSO de federación con IdP configurado para:

LDAPScheme como esquema de autenticación

Con la configuración de OOTB en relación con la autenticación de usuario en OAM, el usuario se desafía a través de una página de conexión basada en FORM basada en LDAPScheme.

No se ha definido ningún método de autenticación de federación OOTB para OpenID 2.0, por lo que si el IdP/OP emite una respuesta SSO con un elemento de respuesta PAPE, especifica el nombre del esquema en lugar de los métodos de autenticación de federación

Después de la autenticación mediante FORM, IdP emite una respuesta SSO similar a la siguiente:

https://acme.com/openid?refid=id-9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.ns=hUp%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.mode=id_res&openid.op_endpoint=https%3A%2F%2Fidp.com%2Fopenid&openid.claimed_id=https%3A%2F%2Fidp.com%2Fopenid%3Fid%3Did-38iCmmlAVEXPsFjnFVKArfn5RIiF75D5doorhEgqqPM%3D&openid.identity=https%3A%2F%2Fidp.com%2Fopenid%3Fid%3Did-38iCmmlAVEXPsFjnFVKArfn5RIiF75D5doorhEgqqPM%3D&openid.return_to=https%3A%2F%2Facme.com%2Fopenid%3Frefid%3Did-9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.response_nonce=2014-03-24T19%3A20%3A06Zid-YPa2kTNNFftZkgBb460jxJGblk2g--iNwPpDI7M1&openid.assoc_handle=id-6a5S6zhAKaRwQNUnjTKROREdAGSjWodG1el4xyz3&openid.ns.ax=http%3A%2F%2Fopenid.net%2Fsrv%2Fax%2F1.0&openid.ax.mode=fetch_response&openid.ax.type.aUr0=http%3A%2F%2Fsession%2Fcount&openid.ax.value.aUr0=1&openid.ax.type.aUr1=http%3A%2F%2Fopenid.net%2Fschema%2FnamePerson%2Ffriendly&openid.ax.value.aUr1=My+name+is+Bobby+Smith&openid.ax.type.aUr2=http%3A%2F%2Fschemas.openid.net%2Fax%2Fapi%2Fuser_id&openid.ax.value.aUr2=bob&openid.ax.type.aUr3=http%3A%2F%2Faxschema.org%2Fcontact%2Femail&openid.ax.value.aUr3=bob%40oracle.com&openid.ax.type.aUr4=http%3A%2F%2Fsession%2Fipaddress&openid.ax.value.aUr4=10.145.120.253&openid.ns.pape=http%3A%2F%2Fspecs.openid.net%2Fextensions%2Fpape%2F1.0&openid.pape.auth_time=2014-03-24T19%3A20%3A05Z&openid.pape.auth_policies=LDAPScheme&openid.signed=op_endpoint%2Cclaimed_id%2Cidentity%2Creturn_to%2Cresponse_nonce%2Cassoc_handle%2Cns.ax%2Cax.mode%2Cax.type.aUr0%2Cax.value.aUr0%2Cax.type.aUr1%2Cax.value.aUr1%2Cax.type.aUr2%2Cax.value.aUr2%2Cax.type.aUr3%2Cax.vopenid.sig=mYMgbGYSs22l8e%2FDom9NRPw15u8%3D (Fin de creación)

Asignación LDAPScheme

Para asignar el esquema LDAP a las políticas http://schemas.openid.net/pape/policies/2007/0/phishing-resistant y http://openid-policies/password-protected Métodos de autenticación de federación, ejecute el método addSPPartnerAuthnMethod() (las políticas están separadas por comas):

  1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Conéctese al servidor de administración de WLS: connect()
  3. Navegue a la rama Domain Runtime: domainRuntime()
  4. Ejecute el comando addSPPartnerAuthnMethod(): addSPPartnerAuthnMethod("AcmeRP", "http://schemas.openid.net/pape/policie/2007/06/phishing-resistant,http://openid-policies/password-protected""LDAPScheme")
  5. Salga del entorno WLST: exit()

Después de la autenticación mediante FORM, IdP ahora emite una afirmación similar a (consulte que el método se ha cambiado de LDAPScheme a las dos políticas):

https://acme.com/openid?refid=id-9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.ns=hUp%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.mode=id_res&openid.op_endpoint=https%3A%2F%2Fidp.com%2Fopenid&openid.claimed_id=https%3A%2F%2Fidp.com%2Fopenid%3Fid%3Did-38iCmmlAVEXPsFjnFVKArfn5RIiF75D5doorhEgqqPM%3D&openid.identity=https%3A%2F%2Fidp.com%2Fopenid%3Fid%3Did38iCmmlAVEXPsFjnFVKArfn5RIiF75D5doorhEgqqPM%3D&openid.return_to=https%3A%2F%2Facme.com%2Fopenid%3Frefid%3Did-9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.response_nonce=2014-03-24T19%3A20%3A06Zid-YPa2kTNNFftZkgBb460jxJGblk2g--iNwPpDI7M1&openid.assoc_handle=id-6a5S6zhAKaRwQNUnjTKROREdAGSjWodG1el4xyz3&openid.ns.ax=http%3A%2F%2Fopenid.net%2Fsrv%2Fax%2F1.0&openid.ax.mode=fetch_response&openid.ax.type.aUr0=http%3A%2F%2Fsession%2Fcount&openid.ax.value.aUr0=1&openid.ax.type.aUr1=http%3A%2%2Fopenid.net%2Fschema%2FnamePerson%2Ffriendly&openid.ax.value.aUr1=My+name+is+Bobby+Smith&openid.ax.type.aUr2=http%3A%2F%2Fschemas.openid.net%2Fax%2Fapi%2Fuser_id&openid.ax.value.aUr2=bob&openid.ax.type.aUr3=http%3A%2F%2Faxschema.org%2Fcontact%2Femail&openid.ax.value.aUr3=bob%40oracle.com&openid.ax.type.aUr4=http%3A%2F%2Fsession%2Fipaddress&openid.ax.value.aUr4=10.145.120.253&openid.ns.pape=http%3A%2F%2Fspecs.openid.net%2Fextensions%2Fpape%2F1.0&openid.pape.auth_time=2014-03-24T19%3A20%3A05Z&openid.pape.auth_policies=http%3A%2F%2Fschemas.openid.net%2Fpape%2Fpolicies%2F2007%2F06%2Fphishingresistant+hUp%3A%2F%2Fopenid-policies%2Fpassword-protected&openid.signed=op_endpoint%2Cclaimed_id%2Cidentity%2Creturn_to%2Cresponse_nonce%2Cassoc_handle%2Cns.ax%2Cax.mode%2Cax.type.aUr0%2Cax.value.aUr0%2Cax.type.aUr1%2Cax.value.aUr1%2Cax.type.aUr2%2Cax.value.aUr2%2Cax.type.aUr3%2Cax.vopenid.sig=mYMgbGYSs22l8e%2FDom9NRPw15u8%3D (Fin de creación)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.