1. Configurar SSO entre Azure AD y Oracle Access Manager para Oracle Retail Merchandising Suite
  2. Integrar Oracle Access Manager y Azure AD para Merchandising de minorista

Integrar Oracle Access Manager y Azure AD para Merchandising de minorista

Para configurar Oracle Access Manager y Azure AD con el fin de admitir el inicio de sesión único federado para Retail Merchandising, se deben completar correctamente estas tareas:

  • Configurar Azure AD como proveedor de identidad y asignar usuarios a Oracle Access Manager for Retail Merchandising
  • Configure Oracle Access Manager para la federación con Azure AD, que necesita realizar lo siguiente:
    • Cree un nuevo proveedor de identidad para Azure AD.
    • Asociar los recursos de Retail Merchandising al esquema de autenticación.

Configuración de Azure AD como proveedor de identidad

En primer lugar, configure Azure AD como proveedor de identidad.

Para configurar Azure AD como proveedor de identidad

  1. Conéctese al portal de Azure como administrador del dominio
  2. En el panel de navegación izquierdo, haga clic en Azure Active Directory.
  3. En el panel Azure Active Directory, haga clic en Aplicaciones de Empresa.
  4. Haga clic en Nueva Aplicación.
  5. En la sección Agregar desde la galería, escriba Retail-IDM en el cuadro de búsqueda y, a continuación, haga clic en Agregar.
  6. Para configurar Oracle Access Manager como proveedor de servicios para la nueva aplicación, haga clic en Single Sign-On.
  7. Seleccione SAML como método de inicio único.
    Aparece la página Configurar Conexión Única con SAML. Aquí debe introducir los siguientes pasos para introducir los detalles de integración. Algunos de los valores que necesita introducir proceden de los metadatos de SAML de Oracle Access Manager. Para obtener los metadatos, vaya a http(s)://<oam_hostname>:<port>/oamfed/sp/metadata. La salida es un dato XML, parte del cual necesita en los siguientes pasos. Haga clic en Cargar Archivo de Metadatos para cargar estos metadatos en Azure AD.
  8. En el área Configuración Básica de SAML, los campos Identificador (Identificador de Entidad) y URL de Respuesta (URL de Servicio de Consumidores de Afirmaciones) necesitan valores. Si ha cargado el XML de metadatos de SAML, los valores se introducen automáticamente. Si no, introdúzcalos manualmente.
    • El identificador (identificador de entidad) corresponde al atributo entityID del elemento EntityDescriptor en los metadatos de SAML. En tiempo de ejecución, Azure AD agrega el valor al elemento Destinatarios de la afirmación de SAML, lo que indica el público objetivo esperado de la afirmación. Busque el siguiente valor en los metadatos de Oracle Access Manager e introduzca el siguiente valor: 
      <md:EntityDescriptor ……… entityID="http://....../>
    • La URL de respuesta (URL de Servicio de Consumidores de Afirmaciones) corresponde al atributo Ubicación del elemento AssertionConsumerService en los metadatos de SAML. Asegúrese de seleccionar el atributo Ubicación relacionado con el enlace de HTTP_POST. La URL de Respuesta es el punto final del servicio SAML en el partner de federación que se espera que procese la afirmación

    Nota:

    Las propiedades URL de inicio de sesión, Estado de transmisión y URL de cierre de sesión no son relevantes para este escenario, por lo que puede omitirlas.
  9. En el área Atributos de usuario y reclamaciones, configure los atributos de usuario que se insertarán en la afirmación de SAML y se enviarán a Oracle Access Manager. Para este escenario, es suficiente enviar un formulario de identificación de usuario única. Deje los valores como valores por defecto para el valor de identificador de nombre: user.userprincipalname [nameid-format:emailAddress] porque userprincipalname es un atributo único en Azure AD. La implicación de dicha configuración es la necesidad de importar el valor userprincipalname en la entrada de usuario del almacén de identidades de Oracle Access Manager (almacén del servidor LDAP). Tenga en cuenta que

    Nota:

    Los grupos de propiedades devueltos como reclamación y todas las reclamaciones de CLAIM NAME no son relevantes para este escenario, por lo que puede omitirlas.
  10. En el área Certificado de Firma SAML, haga clic en el enlace Descargar junto a XML de Metadatos de Federación y guarde el archivo en la computadora. Lo utilizará más tarde al configurar Oracle Access Manager como proveedor de servicios.

Asignar usuarios a Oracle Access Manager para comercialización minorista

Solo los usuarios que asigne pueden conectarse a Azure AD después de recibir una solicitud de autenticación de Oracle Access Manager para Retail Merchandising.

Para asignar usuarios a Oracle Access Manager para Retail Merchandising:
  1. En la aplicación de Azure AD creada en la sección anterior, haga clic en Usuarios y grupos y, a continuación, haga clic en Agregar usuario.
  2. Seleccione la opción Usuarios y grupos: Ninguno seleccionado y realice los siguientes pasos:
    1. En el cuadro de búsqueda Seleccionar Miembro o Invitar a Usuario Externo, introduzca el nombre de un usuario y, a continuación, pulse Intro.
    2. Seleccione el usuario y haga clic en Seleccionar para agregar el usuario.
    3. Haga clic en Asignar.
    4. Para agregar más usuarios o grupos, repita estos pasos.
  3. Si no existe un grupo de seguridad adecuado, cree uno. En el panel de navegación izquierdo, haga clic en Azure Active Directory y, a continuación, en Grupos.
  4. Haga clic en Nuevo Grupo, especifique Seguridad como tipo y, a continuación, agregue usuarios al grupo seleccionando o invitándolos. Haga clic en Crear.
  5. Asigne el grupo a la aplicación empresarial Azure- AD.
  6. Para evitar que los usuarios visualicen esta aplicación empresarial solo para la configuración de SSO, haga clic en Propiedades, cambie el valor de Visible para los usuarios en No y haga clic en Guardar.

Creación de Nuevo Proveedor de Identidad para Azure AD

A continuación, debe configurar Oracle Access Manager para federación con Azure AD. El primer paso de este proceso es crear un nuevo proveedor de identidad para Azure AD.

Para crear un nuevo proveedor de identidad para Azure AD:

  1. Inicie sesión en la consola de Oracle Access Manager como administrador.
  2. Asegúrese de que Identity Federation está activado. Si no es así, haga clic en Activar Servicio..
  3. Haga clic en el separador Federation (Federación ) en la parte superior de la consola.
  4. En el área Federación del separador Launch Pad, haga clic en Gestión de Proveedor de Servicios.
    Oracle Access Manager actúa como proveedor de servicios en este caso.
  5. En el separador Administración de Proveedor de Servicios, haga clic en Crear Partner de Proveedor de Identidad.
  6. En el área General, introduzca un nombre para el partner de proveedor de identidad y active las casillas de control Activar Partner y Partner de Proveedor de Identidad por Defecto. Vaya al paso siguiente antes de guardar.
  7. En el área Información de Servicio:
    1. Seleccione SAML2. 0 como protocolo.
    2. Seleccione la opción Cargar desde metadatos de proveedor.
    3. Haga clic en Examinar (para Windows) o Seleccionar Archivo (para Mac) y seleccione el archivo de metadatos de Azure AD SAML que ha guardado anteriormente. Tenga en cuenta que Oracle Access Manager rellenará el identificador de proveedor y la información de certificado.
    4. Realice el siguiente paso antes de guardar.
  8. En el área Opciones de asignación:
    1. Seleccione la opción Almacén de Identidades de Usuario que se utilizará como almacén de identidades de LDAP de Oracle Access Manager que está activado para los usuarios de Merchandising de Retail. Normalmente, esto ya está configurado como almacén de identidades de Oracle Access Manager.
    2. Deje el campo DN de Base de Búsqueda de Usuarios en blanco. La base de búsqueda se selecciona automáticamente de la configuración del almacén de identidades.
    3. Seleccione la opción Asignar Identificador de Nombre de Afirmación a Almacén de ID de Usuario e introduzca correo en el recuadro de texto.

    Nota:

    Esta configuración define la asignación de usuarios entre Azure AD y Oracle Access Manager. Oracle Access Manager tomará el valor del elemento NameID en la afirmación de SAML entrante e intentará buscar ese valor con el atributo de correo en todas las entradas de usuario del almacén de identidades configurado. Por lo tanto, es importante que el nombre principal de usuario de Azure AD (en la configuración de Azure AD mostrada anteriormente) esté sincronizado con el atributo de correo en el almacén de identidades de Oracle Access Manager.
  9. Haga clic en Guardar para guardar el partner de proveedor de identidad.
  10. Una vez guardado el socio, vuelva al área Avanzado en la parte inferior del separador. Asegúrese de que las opciones estén configuradas de la siguiente forma:
    • Activar desconexión global está seleccionado.
    • Se ha seleccionado el enlace de respuesta SSO HTTP POST. Esta es una instrucción que Oracle Access Manager envía en la solicitud de autenticación que indica a Azure AD cómo debe transmitir la afirmación de SAML.
    • No se ha seleccionado Activar Autenticación Básica HTTP (enlace de artefacto de SSO). Este valor le pide a Azure AD que envíe la afirmación a través de una solicitud HTTP POST. Cuando se recibe una solicitud como ésta, los proveedores de identidad suelen crear un formulario HTML con la afirmación como un elemento de formulario oculto que se envía automáticamente al servicio de consumidores de afirmaciones (ACS) del proveedor de servicios.
  11. En el área General, haga clic en Crear Esquema de Autenticación y Módulo.
    Un esquema de autenticación y un módulo que se utilizará en Azure AD se crean con el nombre de partner. La única configuración a la izquierda está anexando el esquema de autenticación a los recursos de Retail Merchandising que necesitan credenciales de Azure AD para la autenticación, que se realizarán en la siguiente sección.
  12. Puede comprobar el módulo de autenticación que se ha creado siguiendo estos pasos:
    1. Haga clic en el separador Seguridad de la aplicación en la parte superior de la consola.
    2. En Plugins, seleccione Módulos de Autenticación, haga clic en Buscar y busque el módulo de federación.
    3. Seleccione el módulo y, a continuación, haga clic en el separador Pasos.
    4. Tenga en cuenta que el valor de la propiedad FedSSOIdP es el partner de proveedor de identidad.

Asociación de los Recursos de Retail Merchandising con el Esquema de Autenticación

El último paso en la configuración de Oracle Access Manager para la federación con Azure AD es asociar los recursos de comercialización al esquema de autenticación.

Para asociar los recursos de Merchandising de Retail con el esquema de autenticación, realice estos pasos mientras está conectado a la consola de Oracle Access Manager como administrador:

  1. En la parte superior de la consola, haga clic en Seguridad de la aplicación.
  2. En Access Manager, haga clic en Dominio de Aplicación, haga clic en Buscar y seleccione el dominio de aplicación creado durante la instalación de Retail Merchandising que registrará Retail Merchandising WebGate.
  3. Haga clic en el separador Políticas de Autenticación.
  4. Haga clic en Política de Recursos Protegidos.
  5. Cambie el valor del esquema de autenticación cambiando el esquema de autenticación creado anteriormente al nuevo esquema de autenticación de federación. De esta forma, Oracle Access Manager enlaza un recurso protegido a un proveedor de identidad.
  6. Haga clic en Aplicar para guardar el cambio.