Documentation Oracle Cloud Infrastructure

Créer et activer une application SAML

Cette section fournit des exemples de demande de création et d'activation d'une application SAML (Security Assertion Markup Language) à l'aide des API REST.

Créer une application SAML

Une application SAML est une application qui prend en charge SAML pour l'accès avec connexion unique. L'exemple montre comment créer une demande de création d'une application SAML.

Remarque

Si vous utilisez l'attribut facultatif name dans votre demande, veillez à n'utiliser que des caractères alphanumériques et le trait de soulignement ( _ ) dans la valeur.
cat>/tmp/SAMLApp.json << __EOF__
{
  "schemas": ["urn:ietf:params:scim:schemas:oracle:idcs:App"],
  "active": true,
  "displayName": "testSAMLApp",
  "description": "SAML for Portal",
  "basedOnTemplate": {
    "value": "CustomSAMLAppTemplateId"
  },
  "name": "testSAMLPartner",
  "urn:ietf:params:scim:schemas:oracle:idcs:extension:samlServiceProvider:App":
          {
            "signResponseOrAssertion": "Assertion",
            "includeSigningCertificateInSignature": "true",
            "entityId": "IdcsSamlDomain",
            "nameIdFormat": "saml-emailaddress",
            "nameIdUserstoreAttribute": "emails.primary.value",
            "assertionConsumerUrl": "http://<domainURL>/saml2/sp/acs/post",
            "signatureHashingAlgorithm": {
              "value": "SHA-256"
            },
            "logoutEnabled": true,
            "logoutBinding": true,
            "logoutRequestURL": "http://<domainURL>/FederationSampleApp/logout",
            "singleLogoutURL": "http://<domainURL>/FederationSampleApp/logout",
            "logoutResponseUrl": "http://<domainURL>/FederationSampleApp",
            "groupAssertionAttributes": [
              {
                "name": "all",
                "condition": "All Groups"
              }
            ],
            "userAssertionAttributes": [
              {
                "name": "email",
                "userStoreAttributeName": "emails.primary.value"
              },
              {
                "name": "userid",
                "userStoreAttributeName": "userName"
              },
              {
                "name": "firstname",
                "userStoreAttributeName": "name.givenName"
              },
              {
                "name": "lastname",
                "userStoreAttributeName": "name.familyName"
              }
            ]
          }
} 
__EOF__

   curl -X POST 
   -H "Content-type: application/json" 
   -H "Authorization: Bearer <access token value>" 
   --data @/tmp/SAMLApp.json http://<domainURL>/admin/v1/Apps

Attributs d'application requis pour une application SAML

Attribut d'application obligatoire Description
entityId Un ID d'entité est le nom unique global d'une entité SAML, soit un fournisseur d'identités soit un fournisseur de services. En général, la valeur est une URL.
assertionConsumerUrl L'URL du consommateur d'assertion est l'adresse du fournisseur de services à laquelle les assertions SAML sont envoyées par le fournisseur d'identités SAML.
nameIdFormat Cet attribut représente le format d'ID de nom qui sera utilisé dans l'assertion SAML, tel que Adresse électronique, Nom qualifié de domaine Windows ou Nom d'objet X.509. Le fournisseur de services et le fournisseur d'identités utilisent le format d'ID de nom pour identifier facilement un sujet au cours de leur communication.
nameIdValue Ce que vous définissez pour cet attribut dépend du type nameIdFormat indiqué. Cet attribut permet d'identifier l'utilisateur connecté.
logoutBinding Cet attribut indique si la demande de déconnexion est envoyée en tant que réacheminement ou Post. Attribut obligatoire si l'attribut logoutEnabled est défini sur True.
logoutRequestURL Obligatoire si l'attribut logoutEnabled est défini sur True. Entrez l'emplacement vers lequel envoyer la demande de déconnexion (via HTTP ou HTTPS).
logoutResponseURL Obligatoire si l'attribut logoutEnabled est défini sur True. Entrez l'emplacement vers lequel envoyer la réponse de déconnexion (via HTTP ou HTTPS).

Construction de la propriété nameIdUserstoreAttribute

La propriété nameIdUserstoreAttribute indique l'attribut utilisateur utilisé en tant que valeur NameID dans l'assertion SAML.

Valeurs prises en charge

  • userName

  • emails.primary.value

Construction de la propriété userStoreAttributeName

La propriété userStoreAttributeName est un sous-attribut de l'attribut complexe userAssertionAtributes. La propriété userStoreAttributeName indique l'attribut utilisateur à utiliser pour créer la valeur de l'attribut d'assertion SAML.

Valeurs prises en charge

  • userName

  • name.givenName

  • name.middleName

  • name.familyName

  • emails.primary.value

  • emails[work].value

  • phoneNumbers[home].value

  • phoneNumbers[mobile].value

  • phoneNumbers[work].value

  • title

  • addresses[work].streetAddress

  • addresses[work].locality

  • addresses[work].postalCode

  • addresses[work].region

  • addresses[work].country

Activer une application SAML

Utilisez cet exemple pour créer une demande d'activation d'une application SAML.

echo "Activate SAML App"
cat>/tmp/SAMLApp.json << __EOF__
{
        "active" : true,
        "schemas": [
             "urn:ietf:params:scim:schemas:oracle:idcs:AppStatusChanger"
        ]
}
__EOF__

   curl -X PUT 
   -H "Content-type: application/json" 
   -H "Authorization: Bearer <access token value>" 
   --data @/tmp/SAMLApp.json http://domainURL/admin/v1/AppStatusChanger/<appID>