Perfiles de partner en OAM

En este artículo se trata el concepto de perfil de socio en la configuración de OAM.

Durante cualquier operación de tiempo de ejecución de federación entre OAM (como IdP o SP) y partners remotos, se evalúan numerosas propiedades de configuración que afectan a la forma en que OAM ejecuta la operación.

Algunos de los parámetros de configuración que controlan el intercambio de protocolo son específicos del partner con el que interactúa OAM (como cómo se debe rellenar NameID si OAM actúa como SAML 2.0 IdP), mientras que otros pueden ser comunes a un grupo de partners (como si se firma o no las afirmaciones de SAML 2.0 cuando OAM actúa como IdP).

En lugar de tener cada entrada de partner en la configuración de OAM que contenga todos los parámetros de OAM necesarios para realizar las operaciones de tiempo de ejecución de federación, OAM utiliza un perfil de partner que:

Un perfil de socio en OAM suele contener valores de configuración que normalmente no se cambian con frecuencia y que se consideran avanzados. Para las operaciones diarias, las capacidades de administración proporcionadas en la consola de administración de OAM o mediante los comandos WLST de OAM son suficientes en la mayoría de los casos.

Para los casos avanzados que requieren cambios de configuración, un administrador tendría la opción de:

Nota importante: Dada la naturaleza avanzada de la configuración, los perfiles de partner solo se pueden gestionar mediante comandos de OAM WLST.

Perfil de partner por defecto

Inicialmente, OAM define los perfiles de partner por defecto que contienen la configuración por defecto para sus respectivos tipos de servicio y protocolos de federación. La configuración por defecto está adaptada a los casos de uso comunes que se encuentran en los despliegues de producción actuales y, como tal, no tendrá que cambiarla, excepto en casos de uso específicos.

Después de la instalación, se definen los siguientes perfiles de partner en la configuración de OAM:

Comandos WLST

La configuración contenida en una entrada de perfil de socio se considera propiedades avanzadas y, como tal, solo se puede gestionar mediante comandos WLST de OAM, mientras que los cambios de configuración básica u operaciones diarias se pueden realizar mediante la consola de administración de OAM o mediante comandos WLST de OAM.

Las siguientes secciones muestran cómo utilizar los distintos comandos de perfil de partner WLST de OAM para:

A veces es conveniente crear nuevas entradas de perfil de socio cuando varios socios tienen un conjunto común de casos de uso que difieren de la configuración definida en la entrada de perfil de socio a la que están enlazados. En lugar de que cada socio sustituya una configuración (por ejemplo, firmar mensajes mediante el algoritmo de resumen SHA-256 en lugar del valor por defecto SHA-1 definido en sus entradas de perfil de socio), el mejor enfoque consiste en:

Para obtener más información sobre los comandos WLST de OAM, consulte la documentación de Oracle.

Entorno de WLST

Se supone que ya está en el entorno WLST y conectado mediante:

  1. Introduzca el entorno WLST ejecutando: $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Conéctese al servidor de administración de WLS: connect()
  3. Navegue a la rama Domain Runtime: domainRuntime()

Lista de perfiles de socios

El comando WLST listFedPartnerProfiles() muestra todos los perfiles de partner presentes actualmente en OAM y muestra:

Por ejemplo, una ejecución del comando muestra lo siguiente:

wls:/test_domain/domainRuntime> listFedPartnerProfiles()
Partner Profile ID  |  Type  |  Protocol Version saml20-sp-partner-profile  |  sp  |  saml20 saml20-idp-partner-profile  |  idp  |  saml20 saml11-sp-partner-profile  |  sp  |  saml11 saml11-idp-partner-profile  |  idp  |  saml11 openid20-sp-partner-profile  |  sp  |  openid20 openid20-idp-partner-profile  |  idp  |  openid20

Lista de socios para un perfil de socio específico

El comando listFedPartnersForProfile() muestra todos los socios enlazados al perfil de socio especificado como parámetro.

Al ejecutar el comando para mostrar todos los socios que hacen referencia al perfil de socio saml20-sp-partnerprofile (que es el perfil OOTB por defecto para los socios SP de SAML 2.0), se muestra lo siguiente:

wls:/test_domain/domainRuntime> listFedPartnersForProfile("saml20-sp-partnerprofile")

Lista de perfiles de socios para un socio específico

El comando getFedPartnerProfile() muestra el perfil de partner utilizado por el partner y el tipo de partner especificado como parámetros (el tipo de partner es idp o sp).

Al ejecutar el comando para mostrar el perfil de socio al que hace referencia el socio SP de ACMEADFS, se muestra lo siguiente:

wls:/test_domain/domainRuntime> getFedPartnerProfile("ACME-ADFS", "sp") saml20-sp-partner-profile

Visualización del contenido de un perfil de socio

El comando displayFedPartnerProfile() WLST muestra en la línea de comandos la configuración definida en la entrada especificada como parámetro.

Al ejecutar el comando para mostrar el perfil de socio, se muestra lo siguiente:

wls:/test_domain/domainRuntime> displayFedPartnerProfile("saml20-sp-partnerprofile") includecertinsignature=0 nameidqualifier= forceconsent=0 authnmethodmappings={urn%3Aoasis%3Anames%3Atc%3ASAML%3A2.0%3Aac%3Aclasses%3APasswordProtectedTransport=LDAPS1,OAM10gScheme-0,FAAuthScheme-1,BasicScheme-1,BasicFAScheme-1} sendsignedrequestquery=1 forceconsenturl= sendencryptednameid=0 sendsignedresponsequery=1 setconsentenabled=0 sessionaOributeforceauthn=0defaultauthnrequestnameidformat=orafed-emailaddress version=saml20 requesOimeout=2000 audiencerestrictionenabled=1 setconsentvalue= sendsignedresponsesoap=1 allowfederationcreation=1 sendsignedresponseassertionpost=0 reauthenticate=3600 description= sendaOribute=1defaultencryptionmethod=hOp://www.w3.org/2001/04/xmlenc#aes128-cbc requiresignedrequestquery=0 requiresignedresponsepost=0 audiencerestrictionvalue= sendsignedrequestsoap=1 sendsignedrequestpost=1 sendencryptedaOribute=0 partnerprofiletype=sp requiresignedresponsesoap=0 requiresignedrequestpost=0requiresignedresponsequery=0 partnerprofileid=saml20-sp-partner-profile sendsignedresponsepost=1 requiresignedrequestsoap=0 sendsignedassertion=1 sendsignedresponseassertionsoap=0 assertionvalidityinterval=300

Creación de un nuevo perfil de partner

Esta sección muestra cómo crear un nuevo perfil de socio a partir de uno existente, mediante el método createFedPartnerProfileFrom() que toma como argumentos:

Al ejecutar el comando para crear un nuevo perfil de partner de SP de SAML 2.0 basado en OOTB, se muestra lo siguiente:

wls:/test_domain/domainRuntime> createFedPartnerProfileFrom("new-saml20pp", "saml20-sp-partner-profile")

El comando ha sido correcto.

Actualización de un perfil de socio

En esta sección, se muestra un ejemplo de un comando de cambio de configuración de WLST que implica un perfil de socio. Como se ha mencionado anteriormente, creamos este perfil de partner para partners para el que SHA-256 debe utilizarse en firmas digitales salientes. Utilice el comando configureFedDigitalSignature() para configurar el nuevo perfil de partner denominado new-saml20-pp para utilizar SHA-256.

El comando toma el nombre del perfil de socio, el tipo de perfil y el algoritmo de hash para utilizar como parámetros:

wls:/test_domain/domainRuntime>configureFedDigitalSignature(partnerProfile="new-saml20-pp", partnerType="sp", algorithm="SHA-256")

El comando ha sido correcto.

Vinculación de un socio a un perfil de socio

Una vez creado (y configurado) el nuevo perfil de socio, los socios existentes se pueden enlazar a él.

En nuestro ejemplo, se muestran tres socios de SP:

Solo queremos que adc00peq y ACME-ADFS se cambien al nuevo perfil de socio. Utilice el comando setFedPartnerProfile() y especifique el partner, su tipo y el nuevo perfil de partner que se va a utilizar:

wls:/test_domain/domainRuntime> setFedPartnerProfile("adc00peq", "sp", "newsaml20-pp")

El comando ha sido correcto.

wls:/test_domain/domainRuntime> setFedPartnerProfile("ACME-ADFS", "sp", "new-saml20-pp")

El comando ha sido correcto.

La lista de socios enlazados al nuevo perfil muestra adc00peq y ACMEADFS, mientras que la lista de socios en el perfil saml20-sp-partner-profile solo muestra Office365:

wls:/test_domain/domainRuntime> listFedPartnersForProfile("new-saml20-pp")

adc00peq (Fin de creación)

ACME-ADFS

wls:/test_domain/domainRuntime> listFedPartnersForProfile("saml20-sp-partnerprofile")

Office365 (Fin de creación)

En nuestro ejemplo, IdP ahora firmaría con el algoritmo de resumen SHA-256 para adc00peq y ACME-ADFS, mientras que seguiría usando SHA-1 para Office365

Supresión de un perfil de partner

Los perfiles de socio se pueden suprimir mediante deleteFedPartnerProfile(), que toma el nombre del perfil como parámetro, pero antes de ejecutar el comando, debe asegurarse de que no hay entradas de socio enlazadas actualmente a este perfil de socio.

Si intentamos suprimir el perfil de partner new-saml20-pp mientras los partners de SP adc00peq y ACME-ADFS todavía hacen referencia a él, el método devuelve un error:

wls:/test_domain/domainRuntime> deleteFedPartnerProfile("new-saml20-pp")

Un socio está utilizando el perfil de socio de federación

En primer lugar, los dos socios deben volver a cambiar a otro perfil de socio (saml20-sp-partner-profile en este ejemplo) y, a continuación, se puede llamar a deleteFedPartnerProfile():

wls:/test_domain/domainRuntime> setFedPartnerProfile("adc00peq", "sp", "saml20-sp-partner-profile")

El comando ha sido correcto.

wls:/test_domain/domainRuntime> setFedPartnerProfile("ACME-ADFS", "sp", "saml20-sp-partner-profile")

El comando ha sido correcto.

wls:/test_domain/domainRuntime> deleteFedPartnerProfile("new-saml20-pp")

El comando ha sido correcto.

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.