Identity Cloud Service y SAML

Identity Cloud Service o IDCS proporciona capacidades de gestión de identidad alojadas en la nube para clientes de Oracle, entre las que se incluyen:

• Gestión de Usuarios y Grupos

• SSO de SAML con SP de SAML y IdPs

• OpenID Conexión de SSO con SP

En este artículo se tratan las funciones de SAML soportadas por IDCS 17.2.2 y posterior.

Soporte de SAML

Protocolo

IDCS admite los siguientes protocolos y enlaces de SAML 2.0:

• Protocolo SSO de SAML 2.0

  • Envío y recepción de SAML AuthnRequest mediante enlaces HTTP-Redirect o HTTP-POST

  • Envío y recepción de la respuesta SAML que contiene la afirmación SAML mediante el enlace HTTP-POST

• Envío y recepción del protocolo de desconexión SAML 2.0 de SAML

  • LogoutRequest mediante enlaces HTTP-Redirect o HTTP-POST

  • Envío y recepción de SAML LogoutResponse mediante enlaces HTTP-Redirect o HTTP-POST

• Metadatos de SAML 2.0

  • El servicio SAML de IDCS puede generar un documento de metadatos de SAML 2.0 que muestre los servicios y certificados utilizados para SSO de federación

  • El servicio SAML de IDCS también puede consumir metadatos de SAML 2.0 durante el establecimiento de la confianza de federación.

criptografía

El servicio SAML de IDCS admite las siguientes funciones criptográficas:

• SHA-256 y SHA-1 como algoritmo hash de firma

• La inclusión del certificado de firma de IDCS en los mensajes de SAML salientes, cuando el mensaje se envía mediante el enlace HTTP-POST

• Cuando IDCS actúa como SAML IdP durante la generación de afirmaciones de SAML:

  • La respuesta SAML o la afirmación SAML están firmadas

  • La afirmación de SAML se puede cifrar mediante AES-128-CBC, AES-192-CBC, AES-256-CBC o 3DES-CBC

  • Cuando IDCS actúa como SP de SAML durante el Consumo de Afirmación de SAML:

• Se debe firmar la respuesta de SAML o la afirmación de SAML

Generación de afirmación de SAML

Como IdP, IDCS soporta lo siguiente al emitir una afirmación de SAML 2.0

• Formato NameID

  • urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified (Fin de creación)

  • urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress (Fin de creación)

  • urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName (Fin de creación)

  • urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualifiedName (Fin de creación)

  • urn:oasis:names:tc:SAML:2.0:nameidformat:kerberos (Fin de creación)

  • urn:oasis:names:tc:SAML:2.0:nameidformat:persistent (Fin de creación)

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient (Fin de creación)

  • Formato NameID personalizado

• Valor NameID

  • Atributo de usuario de nombre de usuario o correo electrónico principal almacenado en el almacén de identidades para cualquier formato NameID excepto urn:oasis:names:tc:SAML:2.0:nameidformat:transient

  • Para urn:oasis:names:tc:SAML:2.0:nameidformat:transient, un identificador aleatorio puntual

• Atributos de SAML

  • Los siguientes atributos de usuario almacenados en el almacén de identidades

    • Nombre de usuario

    • Nombre Proporcionado

    • Segundo Nombre

    • Nombre de Familia

    • Dirección de Correo Electrónico Primaria

    • Dirección de correo electrónico laboral

    • Números de teléfono (hogar, móvil, trabajo)

    • Título

    • Atributos de dirección laboral

    • Grupos de usuarios

  • El administrador puede definir el nombre del atributo de SAML

• La afirmación de SAML contiene un atributo que contiene el nombre del dominio de identidad:

  • Nombre: oracle:cloud:identity:domain

  • Valor: nombre de dominio de identidad del cliente

Consumo de afirmaciones de SAML

Como SP, IDCS valida la afirmación de SAML entrante y la asigna a un registro de usuario de IDCS. El servicio admite lo siguiente:

• Formato NameID

  • urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified (Fin de creación)

  • urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress (Fin de creación)

  • urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName (Fin de creación)

  • urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualifiedName (Fin de creación)

  • urn:oasis:names:tc:SAML:2.0:nameidformat:Kerberos (Fin de creación)

  • urn:oasis:names:tc:SAML:2.0:nameidformat:persistent (Fin de creación)

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient (Fin de creación)

  • Formato NameID personalizado

• Asignación de Afirmaciones

  • Se basa en el valor NameID incluido en la afirmación que se asigna a un atributo de registro de usuario en el almacén de identidades

  • O basado en un atributo de SAML incluido en la afirmación que se asigna a un atributo de registro de usuario en el almacén de identidades

• La información de la afirmación de SAML se asigna a uno de estos atributos de registro de usuario:

  • Nombre de usuario

  • Nombre mostrado

  • Nombre Proporcionado

  • Segundo Nombre

  • Nombre de Familia

  • Dirección de Correo Electrónico Primaria

  • Cualquier otra dirección de correo electrónico (inicio, trabajo, otro, recuperación)

Puntos Finales

Los servicios que implementan el protocolo SAML 2.0 se publican en:

• /fed/v1/idp/sso para el servicio de inicio de sesión único IdP, donde el SP redirige al usuario con SAML AuthnRequest a IdP

• /fed/v1/idp/slo para el servicio de desconexión única IdP, donde el SP redirige al usuario con SAML LogoutRequest o LogoutResponse a IdP

• /fed/v1/sp/sso para el servicio de afirmación de consumidor de SP, donde IdP redirige al usuario con la respuesta SAML que contiene la afirmación de SAML al SP

• /fed/v1/sp/slo para el servicio de desconexión única del SP, donde IdP redirige al usuario con SAML LogoutRequest o LogoutResponse al SP

• /fed/v1/metadata para los metadatos de SAML 2.0

El servicio SAML también proporciona dos puntos finales para iniciar una operación de SSO de federación, ignorando si el usuario ya está autenticado en el dominio del SP de destino. Como consecuencia, estos flujos no se deben utilizar principalmente y, en su lugar, el usuario se debe enviar al servicio SSO de destino que determina si se necesita o no una autenticación que implique SSO de federación. Ambos servicios SAML (IdP o SP) soportan el inicio de un SSO de federación:

• IdP SSO iniciada:

  • Punto final: /fed/v1/idp/initiatess

  • Parámetros de consulta (se necesita uno de los valores providerid, partnerguid o partnername; returnurl es opcional)

    • providerid: el SP ProviderID

    • partnername: nombre del SP registrado en IDCS

    • partnerguid: GUID único del SP registrado en IDCS

    • returnurl: ubicación a la que se debe redirigir al usuario después de terminar el SSO de federación

• SSO iniciada por SP:

  • Punto final: /fed/v1/sp/initiatess

  • Parámetros de consulta (se necesita uno de los valores providerid, partnerguid o partnername; returnurl es opcional)

    • providerid: IdP ProviderID

    • partnername: nombre de IdP registrado en IDCS

    • partnerguid: GUID único de IdP registrado en IDCS

    • returnurl: ubicación a la que se debe redirigir al usuario después de terminar el SSO de federación

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Identity Cloud Service and SAML

F60447-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.