Intégrer ADFS 2.0 et 3.0 SP à OAM IdP

Cet article explique comment intégrer ADFS 2.0/3.0 en tant que SP et OAM en tant que IdP. Veillez à lire l'entrée couvrant les prérequis.

L'intégration SAML 2.0 est basée sur :

• L'adresse électronique sera utilisée au format NameID

• La valeur NameID contient l'adresse électronique de l'utilisateur.

• La liaison HTTP POST est utilisée pour envoyer l'assertion SAML au fournisseur de services

• Les utilisateurs existent dans les deux systèmes, chaque utilisateur ayant la même adresse e-mail pour pouvoir être utilisé comme attribut utilisateur commun.

ADFS 2.0 est disponible sous Windows 2008 R2, tandis que ADFS 3.0 est disponible sous Windows 2012 R2. Cet article présente des captures d'écran pour ADFS 3.0, tandis que les étapes documentées s'appliquent aux deux versions.

Configuration ADFS

Pour ajouter OAM en tant que IdP dans ADFS SP, procédez comme suit :

1. Accédez à l'ordinateur sur lequel ADFS est déployé.

2. Si ADFS 2.0 est utilisé

   • Cliquez sur Menu Démarrer, Programmes, Outils d'administration, Gestion AD FS 2.0

   • Développez ADFS 2.0 , Relations de confiance

3. Si ADFS 3.0 est utilisé

   • Dans Server Manager, cliquez sur Outils, Gestion AD FS

   • Développez AD FS, Relations de confiance

4. Cliquez avec le bouton droit de la souris sur Fiducie du fournisseur de réclamations et sélectionnez Ajouter une fiducie du fournisseur de réclamations.

La fenêtre Ajouter une fiducie de fournisseur de réclamations apparaît.



Description de l'image Add_Claims_Provider.jpg

5. Cliquez sur Démarrer.

6. Sélectionnez Importer les données relatives au prestataire de déclarations à partir d'un fichier.

7. Cliquez sur Parcourir et sélectionnez le fichier de métadonnées OAM IdP SAML 2.0 local (il est requis pour que les adresses OAM soient terminées par SSL, sinon ADFS n'importera pas les métadonnées. Voir l'article prérequis sur SSL).



Description de l'image Import_Data.jpg

8. Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.

9. Si une fenêtre d'avertissement s'affiche à propos des fonctionnalités non prises en charge dans ADFS, cliquez sur OK (il s'agit de la fonctionnalité d'autorité d'attribut SAML répertoriée dans les métadonnées OAM IdP SAML 2.0).



Description de l'image Warning_Message.jpg

10. Entrez le nom du nouveau fournisseur d'identités SAML 2.0.



Description de l'image Identity_Provider.jpg

11. Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant. Une fenêtre de synthèse s'affiche



Description de l'image summary_window.jpg

12. Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.

13. Laisser la case Ouvrir les réclamations cochée



Description de l'image Edit_Claims.jpg

14. Cliquez sur Fermer. La fenêtre Modifier la règle s'affiche



Description de l'image Edit_Rule_Window.jpg

15. Cliquez sur Ajouter une règle.

16. Sélectionner un passage ou filtrer une déclaration entrante



Description de l'image Select_Rule_Template.jpg

17. Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.

18. Saisissez le nom de la règle de revendication.

19. Sélectionnez NameID comme type de réclamation entrante.

20. Sélectionnez Email comme format d'ID nom entrant.

21. Sélectionnez Transmettre toutes les valeurs de demande si vous souhaitez accepter toutes les adresses électroniques Transmettre uniquement les valeurs de demande correspondant à une valeur de suffixe de courriel spécifique si vous souhaitez accepter uniquement un ensemble spécifique d'adresses électroniques (dans cet exemple, sélectionnez cette option car tous les utilisateurs auront une adresse électronique @acme.com).



Description de l'image Configure_Rule.jpg

22. Cliquez sur Fin. La liste des règles de réclamation s'affiche.

23. Cliquez ensuite sur OK.

Description de l'image list_of_claim_rules.jpg

Comme indiqué dans l'article sur les prérequis, si vous souhaitez configurer ADFS pour qu'il utilise/accepte les signatures SHA-1, procédez comme suit (Remarque : si vous ne configurez pas ADFS pour qu'il utilise/accepte les signatures SHA-1, vous devez configurer OAM pour qu'il utilise SHA-256 pour les signatures) :

1. Accédez à l'ordinateur sur lequel ADFS est déployé.

   • Si ADFS 2.0 est utilisé

     • Cliquez sur Menu Démarrer, Programmes, Outils d'administration, Gestion AD FS 2.0

     • Développez ADFS 2.0 , Relations de confiance

   • Si ADFS 3.0 est utilisé

     • Dans Server Manager, cliquez sur Outils, Gestion AD FS

     • Développez AD FS, Relations de confiance

2. Cliquez avec le bouton droit de la souris sur la fiducie du fournisseur de déclarations que vous venez de créer et sélectionnez Properties (Propriétés).

3. Cliquez sur l'onglet Avancé.

4. Sélectionnez SHA-1.

5. Cliquez ensuite sur OK.

Description de l'image Secure_Hash_Algorithm.jpg

Configuration OAM

Pour ajouter ADFS en tant que partenaire SP dans OAM, procédez comme suit :

1. Accédez à la console d'administration OAM : http(s)://oam-admin-host:oam-adminport/oamconsole.

2. Accédez à Identity Federation, Administration du fournisseur d'identités.

3. Cliquez sur le bouton Créer un partenaire de fournisseur de services.

4. Sur l'écran Créer :

   1. Entrer le nom du partenaire

   2. Sélectionner le protocole SAML 2.0

5. Cliquez sur Charger les métadonnées et téléchargez le fichier de métadonnées SAML 2.0 pour le fournisseur de services.

6. Sélectionnez le format NameID à définir dans l'assertion SAML 2.0 (format d'adresse électronique NameID dans ce cas).

7. Entrez la façon dont la valeur NameID doit être définie : ID utilisateur.

8. Attribut de stockage et attribut de messagerie dans ce cas.

9. Sélectionnez le profil d'attribut par défaut qui indique comment alimenter l'assertion SAML avec des attributs.

10. Cliquez sur Enregistrer.

Comme indiqué dans l'article sur les prérequis, si vous voulez configurer OAM pour qu'il utilise SHA-256 pour les signatures, procédez comme suit (Remarque : si vous ne configurez pas OAM pour qu'il utilise SHA-256 pour les signatures, vous devez configurer ADFS pour qu'il utilise/accepte les signatures SHA-1) :

1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh.

2. Connectez-vous au serveur d'administration WLS : connect().

3. Accédez au branchement d'exécution de domaine : domainRuntime().

4. Exécutez la commande configureFedDigitalSignature() : configureFedDigitalSignature(partner="PARTNER_NAME", partnerType="idp/sp", algorithm="SHA-256/SHA-1").

5. Remplacez PARTNER_NAME par le nom du partenaire ajouté.

   1. Définissez partnerType sur idp ou sp.

   2. Définissez l'algorithme sur SHA-256 ou SHA-1. Par exemple : configureFedDigitalSignature(partner="ADFSSP", partnerType="sp”, algorithm="SHA-256")

6. Quittez l'environnement WLST : exit().

Tester

Pour effectuer le test, accédez à la page SSO lancée par OAM IdP :

• URL : http(s)://oam-runtime-host:oam-runtimeport/oamfed/idp/initiatesso?providerid=PARTNER_NAME

• Remplacez PARTNER_NAME par le nom du partenaire de fournisseur de services.

Par exemple : https://acme.com/oamfed/idp/initiatesso?providerid=ADFSSP

• Défis d'authentification OAM

Vous allez être redirigé vers ADFS SP avec une assertion SAML

Description de l'image SAML_Assertion.jpg

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuite sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour consulter la documentation du produit, visitez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

Integrating ADFS 2.0 and 3.0 SP with OAM IdP

F60451-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.