Documentation Oracle Cloud Infrastructure

Création et activation d'une application SAML

Cette section fournit des exemples de demandes de création et d'activation d'une application SAML (Security Assertion Markup Language) à l'aide des API REST.

Créer une application SAML

Une application SAML est une application qui prend en charge SAML pour la connexion unique. L'exemple montre comment créer une demande pour créer une application SAML.

Remarque

Si vous utilisez l'attribut facultatif name dans votre demande, veillez à utiliser uniquement des caractères alphanumériques et le trait de soulignement ( _ ) dans la valeur.
cat>/tmp/SAMLApp.json << __EOF__
{
  "schemas": ["urn:ietf:params:scim:schemas:oracle:idcs:App"],
  "active": true,
  "displayName": "testSAMLApp",
  "description": "SAML for Portal",
  "basedOnTemplate": {
    "value": "CustomSAMLAppTemplateId"
  },
  "name": "testSAMLPartner",
  "urn:ietf:params:scim:schemas:oracle:idcs:extension:samlServiceProvider:App":
          {
            "signResponseOrAssertion": "Assertion",
            "includeSigningCertificateInSignature": "true",
            "entityId": "IdcsSamlDomain",
            "nameIdFormat": "saml-emailaddress",
            "nameIdUserstoreAttribute": "emails.primary.value",
            "assertionConsumerUrl": "http://<domainURL>/saml2/sp/acs/post",
            "signatureHashingAlgorithm": {
              "value": "SHA-256"
            },
            "logoutEnabled": true,
            "logoutBinding": true,
            "logoutRequestURL": "http://<domainURL>/FederationSampleApp/logout",
            "singleLogoutURL": "http://<domainURL>/FederationSampleApp/logout",
            "logoutResponseUrl": "http://<domainURL>/FederationSampleApp",
            "groupAssertionAttributes": [
              {
                "name": "all",
                "condition": "All Groups"
              }
            ],
            "userAssertionAttributes": [
              {
                "name": "email",
                "userStoreAttributeName": "emails.primary.value"
              },
              {
                "name": "userid",
                "userStoreAttributeName": "userName"
              },
              {
                "name": "firstname",
                "userStoreAttributeName": "name.givenName"
              },
              {
                "name": "lastname",
                "userStoreAttributeName": "name.familyName"
              }
            ]
          }
} 
__EOF__

   curl -X POST 
   -H "Content-type: application/json" 
   -H "Authorization: Bearer <access token value>" 
   --data @/tmp/SAMLApp.json http://<domainURL>/admin/v1/Apps

Attributs d'application requis pour une application SAML

Attribut d'application obligatoire Description
entityId Un ID d'entité est le nom unique global d'une entité SAML, soit un fournisseur d'identités soit un fournisseur de service. En général, la valeur est une URL.
assertionConsumerUrl L'URL du consommateur d'assertion est l'adresse du fournisseur de services auquel les assertions SAML seront envoyées par le fournisseur d'identités SAML
nameIdFormat Cet attribut représente le format d'ID de nom qui sera utilisé dans l'assertion SAML, tel que Adresse électronique, Nom qualifié de domaine Windows ou Nom de sujet X.509. Les fournisseurs de services et d'identités utilisent le format d'ID de nom pour identifier facilement un sujet au cours du processus de communication.
nameIdValue Ce que vous définissez pour cet attribut dépend du type nameIdFormat indiqué. Cet attribut est utilisé pour identifier l'utilisateur connecté.
logoutBinding Cet attribut indique si la demande d'ouverture de session est envoyée en tant que réacheminement ou post. Attribut obligatoire si l'attribut logoutEnabled est défini sur True.
logoutRequestURL Obligatoire si l'attribut logoutEnabled est défini sur True. Entrez l'emplacement vers lequel la demande de déconnexion est envoyée (HTTP ou HTTPS).
logoutResponseURL Obligatoire si l'attribut logoutEnabled est défini sur True. Entrez l'emplacement vers lequel la réponse de déconnexion est envoyée (HTTP ou HTTPS).

Construction de la propriété nameIdUserstoreAttribute

La propriété nameIdUserstoreAttribute indique l'attribut utilisateur utilisé en tant que valeur NameID dans l'assertion SAML.

Valeurs prises en charge

  • userName

  • emails.primary.value

Construction de la propriété userStoreAttributeName

La propriété userStoreAttributeName est un sous-attribut de l'attribut complexe userAssertionAtributes. La propriété userStoreAttributeName indique l'attribut utilisateur à utiliser pour créer la valeur de l'attribut d'assertion SAML.

Valeurs prises en charge

  • userName

  • name.givenName

  • name.middleName

  • name.familyName

  • emails.primary.value

  • emails[work].value

  • phoneNumbers[home].value

  • phoneNumbers[mobile].value

  • phoneNumbers[work].value

  • title

  • addresses[work].streetAddress

  • addresses[work].locality

  • addresses[work].postalCode

  • addresses[work].region

  • addresses[work].country

Activer une application SAML

Utilisez cet exemple pour créer une demande d'activation d'une application SAML.

echo "Activate SAML App"
cat>/tmp/SAMLApp.json << __EOF__
{
        "active" : true,
        "schemas": [
             "urn:ietf:params:scim:schemas:oracle:idcs:AppStatusChanger"
        ]
}
__EOF__

   curl -X PUT 
   -H "Content-type: application/json" 
   -H "Authorization: Bearer <access token value>" 
   --data @/tmp/SAMLApp.json http://domainURL/admin/v1/AppStatusChanger/<appID>