Integración de Google IdP con OAM SP

Google Apps introdujo recientemente una nueva función de SAML 2.0, en la que Google ahora puede actuar como proveedor de identidad con proveedores de servicios remotos de SAML 2.0.

Esto permite utilizar Google como:

• Autoridad de autenticación para usuarios finales

• El servidor que proporciona capacidades de SSO verdaderas a medida que el estado de autenticación del usuario se propaga desde Google IdP a dominios remotos

En este artículo se describe paso a paso cómo integrar Google IdP con OAM como SP mediante el protocolo SSO de SAML 2.0.

Asignación de Usuarios

Los usuarios de Google Apps se identifican de forma única por sus direcciones de correo electrónico que se definieron cuando se crearon dichos usuarios.

Durante un flujo SSO de SAML 2.0, Google IdP proporciona la dirección de correo electrónico del usuario al SP remoto:

• En el campo NameID de SAML 2.0

• Con el valor NameID definido en la dirección de correo electrónico principal del usuario

Los siguientes pasos muestran cómo determinar la dirección de correo electrónico principal del usuario en Google Apps.

Para ver una cuenta de usuario en Google Apps, realice los siguientes pasos:

1. Iniciar un explorador

2. Vaya a http://www.google.com/a

3. Haga clic en Conectar

   

   Descripción de la ilustración Sign_In_Page.jpg

4. En el campo Dominio, introduzca el nombre de su dominio (en este ejemplo, www.acme.com)

5. Seleccione Admin Console (Consola de administración).

6. Haga clic en Ir

Descripción de la ilustración Admin_Console_Page.jpg

En el panel de control, haga clic en Usuarios.

Descripción de la ilustración Users_Page.jpg

Seleccione un usuario para verlo

Descripción de la ilustración Active_Users_Page.jpg

La siguiente pantalla muestra detalles sobre el usuario. La dirección de correo electrónico se muestra debajo de la identidad del usuario. En este ejemplo, Google IdP envía alice@acme.com al SP remoto durante la operación SSO de SAML 2.0:

Descripción de la ilustración User_Details_Page.jpg

Configuración de Google IdP

Recopilación de Información de OAM

Se debe proporcionar la siguiente información en la consola de administración de SSO de Google IdP:

• Punto final de SP de SSO de SAML 2.0

• ProviderID (Fin de creación)

En el artículo anterior, enumeramos los puntos finales publicados por OAM. El punto final IdP de SSO de SAML 2.0 y el punto final de desconexión de SAML 2.0 serían http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20, siendo oam-public-hostname y oam-public-port los valores del punto final público, donde el usuario accede a la aplicación OAM (equilibrador de carga, proxy inverso HTTP...).

Si no está seguro acerca de oam-public-hostname y oam-public-port, puede:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

2. Vaya a Configuration, Settings, Access Manager.

oam-public-hostname es el host del servidor OAM, oam-public-port es el puerto del servidor OAM y el protocolo (http o https) se muestra en el protocolo del servidor OAM.

Descripción de la ilustración Load_Balancing.jpg

En el mismo artículo, también explicamos cómo determinar el ProviderID utilizado por OAM:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

2. Vaya a Configuración, Configuración, Federación.

3. Anote ProviderID

Descripción de la ilustración Provider_ID.jpg

Configuración de Google IdP

Para configurar Google como IdP, realice los siguientes pasos:

1. Iniciar un explorador

2. Vaya a https://www.google.com/enterprise/apps/business/

3. Autenticar e ir al panel de control de administración

4. Haga clic en Aplicaciones



Descripción de la ilustración Apps_Page.jpg

5. Haga clic en Aplicaciones SAML



Descripción de la ilustración SAML_Apps_Page.jpg

6. Haga clic en Agregar un servicio/aplicación a su dominio



Descripción de la ilustración Add_Service.jpg

7. Haga clic en SETUP MY CUSTOM APP.



Descripción de la ilustración Setup_My_Custom_App.jpg

8. En la sección Opción 2, haga clic en el botón Descargar para descargar el archivo de metadatos de Google IdP SAML 2.0 en la máquina local.

9. Haga clic en Siguiente cuando termine.



Descripción de la ilustración Metadata_Download.jpg

10. Introduzca un nombre de aplicación

11. Si lo desea, cargue un logotipo

12. Haga clic en Siguiente cuando termine.



Descripción de la ilustración Basic_Info.jpg

13. Introduzca el ACS (Assertion Consumer Service URL)

http(s)://oam-public-hostname:oam-publicport/oam/server/fed/sp/ss (Fin de creación)

Según la información de OAM recopilada anteriormente, sustituya los http(s) por el protocolo de punto final público de OAM y los valores oam-public-hostname y oam-public-port por sus valores

1. Introduzca el valor ProviderID recopilado anteriormente en el campo Entity ID.

Deje el correo electrónico principal como NameID, ya que utilizaremos el correo electrónico incluido en NameID para asignar el usuario en OAM/SP

2. Opcionalmente, introduzca una URL de inicio para las operaciones de SSO iniciada de Google IdP, donde el usuario hace clic en el partner de la aplicación SAML en Google para que se le redirija a la aplicación en OAM: esta es la URL de la aplicación protegida o el estado de retransmisión no solicitado.

3. Haga clic en Siguiente

Descripción de la ilustración Service_Provider_Details.jpg

En esta sección, puede agregar atributos enviados por Google IdP. Para agregar un atributo:

1. Haga clic en ADD NEW MAPPING.

2. Introduzca el nombre tal y como aparece en la afirmación de SAML en el primer campo

3. Seleccione la categoría del atributo Usuario de Google LDAP que desea enviar

4. Seleccione el atributo que desea enviar

5. Una vez hecho, haga clic en FINISH.



Descripción de la ilustración Attribute_Mapping.jpg

Si la configuración se ha realizado correctamente, aparece un mensaje de proceso correcto:



Descripción de la ilustración Message_Page.jpg

6. Para activar la aplicación SP, debe activarla:

7. Haga clic en el menú de la aplicación SAML

8. Haz clic en ON for Everyone



Descripción de la ilustración SP_Application.jpg

9. Para confirmar, haga clic en TURN ON FOR EVERYONE.

Descripción de la ilustración Confirm_Message.jpg

Configuración de OAM

Para agregar Google como partner IdP en OAM, realice los siguientes pasos:

1. Vaya a la consola de administración de OAM: http(s)://oam-admin-host:oam-admin-port/oamconsole

2. Haga clic en Federación.

3. Vaya a Federation, Service Provider Management.

4. Haga clic en el botón Crear partner de proveedor de identidad.

5. En la pantalla Crear:

6. Introduzca un nombre para Google IdP

7. Compruebe si este partner se debe utilizar por defecto como IdP al iniciar una operación de SSO de federación, si no se ha especificado ningún partner IdP. (En este ejemplo, defínalo como IdP por defecto)

8. Seleccione SAML 2.0 como Protocolo

9. Haga clic en Cargar metadatos y cargue el archivo de metadatos de SAML 2.0 para la sección Asignación de afirmaciones de Google IdP:

10. Si lo desea, defina el almacén de identidades de OAM que se debe utilizar Nota: En el ejemplo, dejamos el campo en blanco para utilizar el almacén de identidades de OAM por defecto.

11. Si lo desea, defina el DN de base de búsqueda de usuario Nota: en el ejemplo, dejamos el campo en blanco para utilizar el DN de base de búsqueda de usuario configurado en el almacén de identidades.

12. Seleccione cómo se produce la asignación Nota: En el ejemplo, estamos asignando la afirmación mediante NameID al atributo de correo LDAP

13. Haga clic en Guardar

Descripción de la ilustración OIF_Setup.jpg

Probar

Para probar:

• Proteja un recurso con WebGate y FederationScheme con ADFS IdP como proveedor de identidad de SSO por defecto para OAM

• O utilice la aplicación OAM Test SP y seleccione Google como IdP

Para probar con el SP de prueba:

1. Asegúrese de que se ha activado la aplicación de prueba de SP

2. Vaya a http(s)://oam-publichostname:oam-public-port/oamfed/user/testspsso

3. Seleccione IdP de Google.

4. Haga clic en Iniciar SSO.



Descripción de la ilustración Initiate_SSO.jpg

5. En Google IdP, introduzca la dirección de correo electrónico del usuario



Descripción de la ilustración Google_Sign_in.jpg

6. Introduzca la contraseña del usuario



Descripción de la ilustración User_Credentials.jpg

Una vez introducido, IdP de Google le autentica y le redirige al SP de SAML de OAM que muestra el resultado del SSO de federación.

Descripción de la ilustración Google_Idp.jpg

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Integrating Google IdP with OAM SP

F60936-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.