Créer et activer une application SAML
Cette section fournit des exemples de demande de création et d'activation d'une application SAML (Security Assertion Markup Language) à l'aide des API REST.
Créer une application SAML
Une application SAML est une application qui prend en charge SAML pour l'accès avec connexion unique. L'exemple montre comment créer une demande de création d'une application SAML.
Si vous utilisez l'attribut facultatif
name
dans votre demande, veillez à n'utiliser que des caractères alphanumériques et le trait de soulignement ( _ ) dans la valeur.cat>/tmp/SAMLApp.json << __EOF__
{
"schemas": ["urn:ietf:params:scim:schemas:oracle:idcs:App"],
"active": true,
"displayName": "testSAMLApp",
"description": "SAML for Portal",
"basedOnTemplate": {
"value": "CustomSAMLAppTemplateId"
},
"name": "testSAMLPartner",
"urn:ietf:params:scim:schemas:oracle:idcs:extension:samlServiceProvider:App":
{
"signResponseOrAssertion": "Assertion",
"includeSigningCertificateInSignature": "true",
"entityId": "IdcsSamlDomain",
"nameIdFormat": "saml-emailaddress",
"nameIdUserstoreAttribute": "emails.primary.value",
"assertionConsumerUrl": "http://<domainURL>/saml2/sp/acs/post",
"signatureHashingAlgorithm": {
"value": "SHA-256"
},
"logoutEnabled": true,
"logoutBinding": true,
"logoutRequestURL": "http://<domainURL>/FederationSampleApp/logout",
"singleLogoutURL": "http://<domainURL>/FederationSampleApp/logout",
"logoutResponseUrl": "http://<domainURL>/FederationSampleApp",
"groupAssertionAttributes": [
{
"name": "all",
"condition": "All Groups"
}
],
"userAssertionAttributes": [
{
"name": "email",
"userStoreAttributeName": "emails.primary.value"
},
{
"name": "userid",
"userStoreAttributeName": "userName"
},
{
"name": "firstname",
"userStoreAttributeName": "name.givenName"
},
{
"name": "lastname",
"userStoreAttributeName": "name.familyName"
}
]
}
}
__EOF__
curl -X POST
-H "Content-type: application/json"
-H "Authorization: Bearer <access token value>"
--data @/tmp/SAMLApp.json http://<domainURL>/admin/v1/Apps
Attributs d'application requis pour une application SAML
Attribut d'application obligatoire | Description |
---|---|
entityId
|
Un ID d'entité est le nom unique global d'une entité SAML, soit un fournisseur d'identités soit un fournisseur de services. En général, la valeur est une URL. |
assertionConsumerUrl
|
L'URL du consommateur d'assertion est l'adresse du fournisseur de services à laquelle les assertions SAML sont envoyées par le fournisseur d'identités SAML. |
nameIdFormat
|
Cet attribut représente le format d'ID de nom qui sera utilisé dans l'assertion SAML, tel que Adresse électronique, Nom qualifié de domaine Windows ou Nom d'objet X.509. Le fournisseur de services et le fournisseur d'identités utilisent le format d'ID de nom pour identifier facilement un sujet au cours de leur communication. |
nameIdValue
|
Ce que vous définissez pour cet attribut dépend du type nameIdFormat indiqué. Cet attribut permet d'identifier l'utilisateur connecté. |
logoutBinding
|
Cet attribut indique si la demande de déconnexion est envoyée en tant que réacheminement ou Post. Attribut obligatoire si l'attribut logoutEnabled est défini sur True. |
logoutRequestURL
|
Obligatoire si l'attribut logoutEnabled est défini sur True. Entrez l'emplacement vers lequel envoyer la demande de déconnexion (via HTTP ou HTTPS). |
logoutResponseURL
|
Obligatoire si l'attribut logoutEnabled est défini sur True. Entrez l'emplacement vers lequel envoyer la réponse de déconnexion (via HTTP ou HTTPS). |
Construction de la propriété nameIdUserstoreAttribute
La propriété nameIdUserstoreAttribute
indique l'attribut utilisateur utilisé en tant que valeur NameID dans l'assertion SAML.
Valeurs prises en charge
-
userName
-
emails.primary.value
Construction de la propriété userStoreAttributeName
La propriété userStoreAttributeName
est un sous-attribut de l'attribut complexe userAssertionAtributes
. La propriété userStoreAttributeName
indique l'attribut utilisateur à utiliser pour créer la valeur de l'attribut d'assertion SAML.
Valeurs prises en charge
-
userName
-
name.givenName
-
name.middleName
-
name.familyName
-
emails.primary.value
-
emails[work].value
-
phoneNumbers[home].value
-
phoneNumbers[mobile].value
-
phoneNumbers[work].value
-
title
-
addresses[work].streetAddress
-
addresses[work].locality
-
addresses[work].postalCode
-
addresses[work].region
-
addresses[work].country
Activer une application SAML
Utilisez cet exemple pour créer une demande d'activation d'une application SAML.
echo "Activate SAML App"
cat>/tmp/SAMLApp.json << __EOF__
{
"active" : true,
"schemas": [
"urn:ietf:params:scim:schemas:oracle:idcs:AppStatusChanger"
]
}
__EOF__
curl -X PUT
-H "Content-type: application/json"
-H "Authorization: Bearer <access token value>"
--data @/tmp/SAMLApp.json http://domainURL/admin/v1/AppStatusChanger/<appID>