Integración de Google Apps con OAM y IdP

Google Apps proporciona un conjunto de servicios que las empresas a veces aprovechan para sus actividades diarias, lo que permite a sus empleados descargar correo, calendario y almacenamiento de documentos en la nube de Google.

Cuando una compañía compra Google Apps para sus empleados, debe crear cuentas de usuario en Google y proporcionar a los empleados su información de cuenta:

Cada vez que el usuario necesita acceder a Google Apps, se realiza una operación de autenticación en la que el usuario introduce las credenciales de Google Apps, que es diferente de las credenciales de usuario de la compañía local.

Google Apps soporta el protocolo SSO de SAML 2.0 como proveedor de servicios, donde el servicio Google Apps para la compañía se puede integrar con el servidor IdP de SSO de federación local con el fin de:

En este artículo se describe paso a paso cómo integrar Google Apps como SP con OAM como IdP mediante el protocolo SSO de SAML 2.0.

Nota importante: la activación de SSO de federación para un dominio también afecta a los administradores de ese dominio que necesitan autenticarse mediante SSO de federación posteriormente.

Asignación de Usuarios

Los usuarios de Google Apps se identifican de forma única por sus direcciones de correo electrónico que se definieron cuando se crearon dichos usuarios.

Durante un flujo SSO de SAML 2.0, IdP debe proporcionar el ID de usuario a Google Apps:

Veamos el ejemplo de la empresa ACME que compró un servicio de Google Apps para su dominio acme.com.

Para ver una cuenta de usuario en Google Apps, realice los siguientes pasos:

  1. Iniciar un explorador

  2. Vaya a http://www.google.com/a

  3. Haga clic en Conectar

    4. Descripción de la ilustración Google_SignIn.jpg

  4. En el campo Dominio, introduzca el nombre de su dominio (en este ejemplo, www.acme.com)

  5. Seleccione Admin Console (Consola de administración).

  6. Haga clic en Ir

    7. Descripción de la ilustración Admin_Console.jpg

  7. En el panel de control, haga clic en Usuarios.

    8. Descripción de la ilustración Dashboard.jpg

  8. Seleccione un usuario para verlo

Descripción de la ilustración User_View.jpg

La siguiente pantalla muestra detalles sobre el usuario. La dirección de correo electrónico se muestra debajo de la identidad del usuario. En este ejemplo, ACME IdP tendrá que enviar a Google Apps ya sea alice o alice@acme.com durante la operación de inicio de sesión único de SAML 2.0:

Descripción de la ilustración User_Details.jpg

Configuración de IdP

Identificador de Google Apps

El administrador de Google Apps puede configurar Google Apps para que IdP las conozca:

Este comportamiento está dictado por "Usar un emisor específico de dominio" en la sección de administración de SSO de Google Apps.

Normalmente, no necesitaría utilizar un emisor específico/providerID, y Google Apps en el flujo de inicio de sesión único de SAML 2.0 se conocería como google.com.

Socio de Google Apps SP

Para crear aplicaciones de Google como socio de SP, realice los siguientes pasos:

  1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

  2. Vaya a Identity Federation, Administración de proveedores de identidad.

  3. Haga clic en el botón Crear partner de proveedor de servicios.

  4. En la pantalla Crear:

    1. Introduzca un nombre para el partner: GoogleApps, por ejemplo

    2. Seleccione SAML 2.0 como Protocolo

  5. En Service Details:

    1. Haga clic en Enter Manually.

    2. Defina el ID de proveedor en google.com (si en Google Apps ha activado la función "Usar un emisor específico de dominio", debe introducir google.com/a/<YOUR_DOMAIN.COM>).

    3. Defina la URL del consumidor de afirmaciones en https://www.google.com /a/<YOUR_DOMAIN.COM>/acs (por ejemplo, https://www.google.com/a/acme.com/acs)

    4. Seleccione la dirección de correo electrónico con el formato NameID

  6. Seleccione el atributo de usuario LDAP que contiene userID que se debe proporcionar a Google Apps. En este ejemplo, el atributo uid contenía userID: seleccione User ID Store Attribute y, a continuación, introduzca uid

  7. Seleccione el perfil de atributo que se utiliza para rellenar la afirmación de SAML con atributos (el perfil vacío por defecto es aceptable ya que Google Apps no espera ningún SAML

  8. Atributos distintos de NameID)

  9. Haga clic en Guardar

Descripción de la ilustración Google_Apps.jpg

Recopilación de Información de OAM

Se debe proporcionar la siguiente información en la consola de administración de SSO de Google Apps:

En el artículo anterior, enumeramos los puntos finales publicados por OAM. El punto final IdP de SSO de SAML 2.0 y el punto final de desconexión de SAML 2.0 serían http(s)://oampublic-hostname:oam-public-port/oamfed /idp/samlv20, with oam-public-hostname y oampublic-port serían los valores del punto final público, donde el usuario accede a la aplicación OAM (equilibrador de carga, proxy inverso HTTP...).

Si no está seguro acerca de oam-public-hostname y oam-public-port, puede:

  1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

  2. Vaya a Configuration , Access Manager Settings

  3. oam-public-hostname es el host del servidor OAM, oam-public-port es el puerto del servidor OAM y el protocolo (http o https) se muestra en el protocolo del servidor OAM.

Descripción de la ilustración Access_Manager_Settings.jpg

En el mismo artículo, también explicamos cómo determinar qué entrada de clave se utiliza para firmar mensajes SAML y cómo recuperar el certificado de firma correspondiente utilizado por IdP:

  1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

  2. Vaya a Configuración, Configuración de federación.

  3. El campo Clave de firma de la sección General indica qué entrada de ID de clave se utiliza para las operaciones de firma de mensajes de SAML

Descripción de la ilustración Federation_Settings.jpg

Para recuperar el archivo de certificado de un ID de clave específico, abra un explorador y utilice la siguiente URL para recuperar el certificado y guardarlo localmente:

http://oam-runtime-host:oam-runtime-port/oamfed /idp/cert?id=<KEYENTRY_ID> (Fin de creación)

Configuración de Google Apps

Para configurar el flujo de inicio de sesión único de Google Apps for SAML 2.0, realice los siguientes pasos:

  1. Iniciar un explorador

  2. Vaya a https://www.google.com/enterprise/apps/business/

  3. Autenticar e ir al panel de control de administración

  4. Haga clic en Más controles.

    5. Descripción de la ilustración More_Controls.jpg

  5. Haga clic en Seguridad

    6. Descripción de la ilustración Security_Screen.jpg

  6. Haga clic en Configuración avanzada

    7. Descripción de la ilustración Advanced_Settings.jpg

  7. Haga clic en Configurar el inicio de sesión único (SSO)

Descripción de la ilustración SSO_Screen.jpg

En la página Configuración de SSO, cargue el certificado:

  1. En la sección Certificado de verificación, haga clic en Seleccionar archivo.

  2. Seleccione el certificado IdP de OAM guardado anteriormente

  3. Haga clic en upload (Cargar).

Descripción de la ilustración Upload_certificate.jpg

En la página Configuración de SSO, para configurar las URL y activar SSO de federación:

  1. Introduzca la URL de conexión (IdP punto final de inicio de sesión único de SAML 2.0), similar a http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20 (por ejemplo: https://SSO.acme.com/oamfed/idp/samlv20)

  2. Introduzca la URL de desconexión (punto final de desconexión de IdP SAML 2.0), similar a http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20 (por ejemplo: https://sso.acme.com/oamfed/idp/samlv20)

  3. Introduzca la URL de cambio de contraseña para el despliegue (Nota: en este ejemplo, utilice /changePassword, pero no es un servicio de OAM; debe introducir la URL del servicio de gestión de contraseñas para el despliegue)

  4. Compruebe Activar conexión única para activar SSO de federación

  5. Haga clic en Guardar

Descripción de la ilustración Enable_SSO.jpg

Prueba

Para probar:

  1. Abrir un navegador nuevo

  2. Vaya a estas URL para autenticarse mediante SSO de federación para las siguientes aplicaciones de Google:

  3. Gmail: https://mail.google.com /a/\<YOUR_DOMAIN.COM\>/ (por ejemplo, https://mail.google.com/a/acme.com/)

  4. Calendario: https://calendar.google.com /a/\<YOUR_DOMAIN.COM\>/ (por ejemplo, https://calendar.google.com/a/acme.com/)

  5. Documentos: https://docs.google.com /a/\<YOUR_DOMAIN.COM\>/ (por ejemplo, https://docs.google.com/a/acme.com/)

  6. Introduzca la URL de Gmail, por ejemplo

Se le redirigirá a OAM IdP

  1. Introducir credenciales

    2. Descripción de la ilustración Access_Manager.jpg

  2. Haga clic en Conectar

Aparece la aplicación Gmail:

Descripción de la ilustración Gmail_Login.jpg

[Description of the illustration Gmail_Login.jpg](files/Gmail_Login.txt)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.