Intégrer ADFS 2.0 et 3.0 IdP avec OAM SP

Cet article explique comment intégrer ADFS 2.0/3.0 en tant que IdP et OAM en tant que SP. Avant de passer à l'article, assurez-vous de lire les prérequis. L'intégration SAML 2.0 est basée sur :

Adresse électronique qui sera utilisée comme format NameID
La valeur NameID contient l'adresse électronique de l'utilisateur.
La liaison HTTP POST sera utilisée pour envoyer l'assertion SAML au fournisseur de services
Les utilisateurs existeront dans les deux systèmes, chaque utilisateur ayant la même adresse électronique afin de pouvoir être utilisé comme attribut utilisateur commun.

ADFS 2.0 est disponible sous Windows 2008 R2, tandis que ADFS 3.0 est disponible sous Windows 2012 R2. Les articles présenteront des captures d'écran pour ADFS 3.0, tandis que les étapes documentées s'appliqueront aux deux versions.

Configuration ADFS

Pour ajouter OAM en tant que fournisseur de services dans ADFS IdP, procédez comme suit :

Accédez à l'ordinateur sur lequel ADFS 2.0 est déployé.
1. Si ADFS 2.0 est utilisé
  1. Cliquez sur le menu Démarrer, Programmes, Administration.
  2. Outils , Gestion d'AD FS 2.0
  3. Développez ADFS 2.0 , Relations de confiance
2. Si ADFS 3.0 est utilisé
  1. Dans Server Manager, cliquez sur Outils, Gestion AD FS
  2. Développez AD FS, Relations de confiance
  3. Cliquez avec le bouton droit de la souris sur Sécurisation de partie de confiance et sélectionnez Ajouter une approbation de partie de confiance.
  La fenêtre Ajouter une approbation de partie de confiance s'affiche.
  
  Description de l'image Add_Relying_Party_Trust.jpg
Cliquez sur Démarrer.
Sélectionnez Importer les données sur la partie réceptrice à partir d'un fichier.
Cliquez sur Parcourir et sélectionnez le fichier de métadonnées OAM SP SAML 2.0 à partir de l'ordinateur local (il est requis pour que les adresses OAM soient terminées par SSL ; sinon ADFS n'importera pas les métadonnées. Voir l'article prérequis sur SSL).

Description de l'image Import_File_Option.jpg

Cliquez sur Suivant.
Entrez le nom du nouveau fournisseur de services OAM SAML 2.0.

Description de l'image Specify_Display_Name.jpg

Si vous utilisez ADFS 3.0, procédez comme suit :
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.

L'écran suivant présente une section facultative des paramètres d'authentification à plusieurs facteurs

Sélectionnez l'option en fonction de vos besoins.
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
Sélectionnez Autoriser tous les utilisateurs à accéder à cette partie réceptrice.

Description de l'image Permit_all_users.jpg
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.

Une fenêtre de récapitulatif s'affiche.

Description de l'image summary_window.jpg

Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
Laissez la case Ouvrir les déclarations cochée.

Description de l'image Edit_Claims_Rules.jpg

Cliquez sur Fermer.

La fenêtre Modifier la règle s'affiche.

Description de l'image Edit_Rule_Window.jpg

Cliquez sur Ajouter une règle : nous allons configurer ADFS pour extraire l'adresse électronique de l'utilisateur à partir de LDAP et l'inclure en tant qu'attribut SAML EmailAddress.
Sélectionnez Send LDAP Attributes as Claims.

Description de l'image Select_Rule_Template.jpg

Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
Saisissez le nom de la règle de revendication.
Sélectionnez Active Directory comme banque d'attributs.
Etant donné que nous utilisons Email Address en tant que NameID, sur la première ligne, sélectionnez Email Addresses dans le champ LDAP Attribute (Attribut LDAP) et Email Address (Adresse électronique) dans le champ Outgoing Claim Type.

Description de l'image Configure_Rule.jpg

Cliquez sur Fin. La liste des règles s'affiche.

Description de l'image list_of_rules.jpg

[Description of the illustration list_of_rules.jpg](files/list_of_rules.txt)

Cliquez sur Ajouter une règle : nous allons transformer l'attribut SAML EmailAddress pour qu'il devienne NameID avec son format défini sur l'adresse électronique.
Sélectionnez Transform an Incoming Claim.

Description de l'image Transform_Incoming_Claim.jpg

Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
Entrez le nom de la règle.
Sélectionnez Adresse e-mail comme type de réclamation entrante.
Sélectionnez NameID comme type de réclamation sortante.
Sélectionnez Courriel comme format d'ID de nom sortant.
Sélectionnez Passer toutes les valeurs de revendication.

Description de l'image Add_Transform_Claim.jpg

Cliquez sur Fin. La liste des règles de réclamation s'affiche.
Cliquez sur OK.

Description de l'image list_of_claim_rules.jpg

Comme indiqué dans l'article sur les prérequis, si vous souhaitez configurer ADFS pour qu'il utilise/accepte les signatures SHA-1, procédez comme suit :

Remarque : si vous ne configurez pas ADFS pour qu'il utilise/accepte les signatures SHA-1, vous devez configurer OAM pour qu'il utilise SHA-256 pour les signatures :

Accédez à l'ordinateur sur lequel ADFS est déployé.
Si ADFS 2.0 est utilisé :
1. Cliquez sur Menu Démarrer, Programmes, Outils d'administration, Gestion AD FS 2.0.
2. Développez ADFS 2.0 , Trust Relationships.
Si ADFS 3.0 est utilisé
1. Dans Server Manager, cliquez sur Outils, Gestion AD FS
2. Développez AD FS, Relations de confiance
Cliquez avec le bouton droit de la souris sur la partie réceptrice que vous venez de créer et sélectionnez Properties (Propriétés).
Cliquez sur l'onglet Avancé.
Sélectionnez SHA-1.
Cliquez sur OK.

Description de l'image Secure_Hash_Algorithm.jpg

Comme indiqué également dans l'article sur les prérequis, si vous avez décidé de désactiver le décryptage sur ADFS IdP, procédez comme suit :

Accédez à l'ordinateur sur lequel ADFS est déployé.
Si ADFS 2.0 est utilisé.
1. Cliquez sur le menu Démarrer, Programmes, Outils d'administration, Modules Windows PowerShell
Si ADFS 3.0 est utilisé
1. Cliquez sur Menu Démarrer, Outils d'administration, Module Active Directory pour Windows PowerShell
Exécutez la commande suivante (remplacez RP_NAME par le nom de SP utilisé pour créer le partenaire dans ADFS) : set-ADFSRelyingPartyTrust -TargetName "RP_NAME" -EncryptClaims $False

Par exemple : set-ADFSRelyingPartyTrust -TargetName "ACME SP" -EncryptClaims $False

Configuration OAM

Pour ajouter ADFS en tant que partenaire IdP dans OAM, procédez comme suit :

Accédez à la console d'administration OAM : http(s) ://oam-admin-host:oam-adminport/oamconsole.
Accédez à Fédération d'identités, Administration de fournisseur de services.
Cliquez sur le bouton Créer un partenaire de fournisseur d'identités.
Sur l'écran Créer :
1. Entrez le nom du partenaire.
2. Vérifiez si ce partenaire doit être utilisé comme IdP par défaut lors du démarrage d'une opération SSO de fédération, si aucun partenaire IdP n'est indiqué (dans cet exemple, nous allons le définir comme partenaire par défaut IdP).
3. Sélectionnez le protocole SAML 2.0.
Cliquez sur Load Metadata et téléchargez le fichier de métadonnées SAML 2.0 pour la section Assertion Mapping IdP :
1. Définissez éventuellement la banque d'identités OAM à utiliser (Remarque : dans l'exemple, nous n'avons pas renseigné le champ pour utiliser la banque d'identités OAM par défaut).
2. Définissez éventuellement le DN de base de recherche d'utilisateurs (Remarque : dans l'exemple, nous avons laissé le champ vide pour utiliser le DN de base de recherche d'utilisateurs configuré dans la banque d'identités).
3. Sélectionnez le mode de mise en correspondance (Remarque : dans l'exemple, nous mettons en correspondance l'assertion via NameID avec l'attribut de messagerie LDAP).
Sélectionnez le profil d'attribut qui sera utilisé pour mettre en correspondance les noms des attributs de l'assertion SAML entrante avec les noms locaux. Pour plus d'informations, reportez-vous à l'article sur le profil d'attribut IdP. Dans cet exemple, utilisez le profil d'attribut IdP par défaut.
Cliquez sur Enregistrer.

Description de l'image OIF_Setup.jpg

Comme indiqué dans l'article sur les prérequis, si vous voulez configurer OAM pour qu'il utilise SHA-256 pour les signatures, procédez comme suit (Remarque : si vous ne configurez pas OAM pour qu'il utilise SHA-256 pour les signatures, vous devrez configurer ADFS pour qu'il utilise/accepte les signatures SHA-1) :

Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh.
Connectez-vous au serveur d'administration WLS : connect().
Accédez au branchement d'exécution de domaine : domainRuntime().
Exécutez la commande configureFedDigitalSignature() : configureFedDigitalSignature(partner="PARTNER_NAME", partnerType="idp/sp", algorithm="SHA-256/SHA-1").
1. Remplacez PARTNER_NAME par le nom du partenaire ajouté.
2. Définissez partnerType sur idp ou sp.
3. Définissez l'algorithme sur SHA-256 ou SHA-1. Exemple : configureFedDigitalSignature(partner="ADFSIdP", partnerType="idp", algorithm="SHA-256").
Quittez l'environnement WLST : exit().

Comme indiqué dans l'article sur les conditions préalables, si vous avez décidé de ne pas désactiver le cryptage renforcé sur ADFS IdP, assurez-vous que les règles JCE Unlimited Strength Jurisdiction ont été installées dans l'environnement OAM.

Tester

Pour tester l'intégration, procédez comme suit :

Protégez une ressource avec WebGate et FederationScheme, avec ADFS IdP comme fournisseur d'identités SSO par défaut pour OAM
Vous pouvez également utiliser l'application de test de fournisseur de services OAM et sélectionner ADFS comme IdP.

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuite sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour consulter la documentation du produit, visitez le site Oracle Help Center.

Informations relatives au titre et au copyright

Integrating ADFS 2.0 and 3.0 IdP with OAM SP

F60450-01

September 2022