Configuration des méthodes d'authentification Fed dans OAM et IdP

Cet article fournit des exemples de configuration de IdP pour mettre en correspondance les modèles d'authentification OAM avec les méthodes d'authentification de fédération. Cet article présente également des exemples des trois protocoles pris en charge par OAM :

Configuration

La correspondance entre les méthodes d'authentification Federation et les modèles d'authentification OAM dépend du protocole, car les méthodes sont définies dans les différents protocoles (SAML 2.0, SAML 1.1, OpenID 2.0).

Les commandes WLST permettant de définir ces mappings impliquent :

Il est important de noter que si un partenaire de fournisseur de services est configuré pour définir des mappings de méthode d'authentification de fédération avec un modèle d'authentification OAM, tous les mappings définis dans le profil de partenaire de fournisseur de services sont ignorés.

Commandes WLST

Les deux commandes WLST OAM permettant de définir la correspondance entre les méthodes d'authentification Federation et les modèles d'authentification OAM sont les suivantes :

Les sections suivantes présentent des exemples d'utilisation de ces méthodes :

SAML 2.0

Configuration du test

Dans cette configuration, OAM agit en tant que IdP et est intégré à un partenaire de fournisseur de services SAML 2.0 distant identifié par AcmeSP. Dans ce test, exécutez l'authentification unique de fédération avec IdP configuré pour :

LDAPScheme en tant que modèle d'authentification

A l'aide des paramètres OOTB relatifs à l'authentification utilisateur dans OAM, l'utilisateur fait l'objet d'une question de vérification via une page de connexion FORM basée sur LDAPScheme. Par ailleurs, la configuration des mappings de méthode d'authentification de fédération par défaut met uniquement en correspondance urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport avec LDAPScheme (également marqué comme modèle par défaut utilisé pour l'authentification), FAAuthScheme, BasicScheme et BasicFAScheme. Après l'authentification via FORM, IdP émet une assertion semblable à

<samlp:Response ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<dsig:Signature>
...
</dsig:Signature>
<saml:Subject>
<saml:NameID ...>bob@oracle.com</saml:NameID>
<saml:SubjectCon<rmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectCon<rmationData .../>
</saml:SubjectCon<rmation>
</saml:Subject>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
</saml:Assertion>
</samlp:Response>

BasicScheme en tant que modèle d'authentification

Pour ce test, remplacez le modèle d'authentification par défaut du profil de partenaire de fournisseur de services par BasicScheme au lieu de LDAPScheme. Utilisez la commande OAM WLST setSPPartnerProfileDefaultScheme() et indiquez le schéma à utiliser par défaut pour le profil de partenaire de fournisseur de services référencé par AcmeSP (qui est saml20-sppartner-profile dans ce cas : getFedPartnerProfile("AcmeSP", "SP")) :

  1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Connectez-vous au serveur d'administration WLS : connect()
  3. Accédez au branchement d'exécution de domaine : domainRuntime()
  4. Exécutez la commande setSPPartnerProfileDefaultScheme() : setSPPartnerProfileDefaultScheme("saml20-sp-partner-profile", "BasicScheme")
  5. Quittez l'environnement WLST : exit()

L'utilisateur est interrogé via l'authentification de base HTTP définie dans BasicScheme pour AcmeSP. En outre, comme indiqué précédemment, la configuration des mappings de méthode d'authentification de fédération par défaut met uniquement en correspondance urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport avec LDAPScheme (également marqué comme modèle par défaut utilisé pour l'authentification), FAAuthScheme, BasicScheme et BasicFAScheme. Après l'authentification via l'authentification de base HTTP, IdP émet une assertion semblable à la suivante :

<samlp:Response ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<dsig:Signature>
...
</dsig:Signature>
<saml:Subject>
<saml:NameID ...>bob@oracle.com</saml:NameID>
<saml:SubjectCon<rmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectCon<rmationData .../>
</saml:SubjectCon<rmation>
</saml:Subject>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement> </saml:Assertion> </samlp:Response>

Mise en correspondance de BasicScheme

Pour remplacer la mise en correspondance de la méthode d'authentification de fédération pour BasicScheme par urn:oasis:names:tc:SAML:2.0:ac:classes:Password au lieu de urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport pour le profil de partenaire de fournisseur de services SAML 2.0 saml20sp-partner-profile (profil auquel mon partenaire AcmeSP est lié), exécutez la méthode addSPPartnerProfileAuthnMethod() :

  1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Connectez-vous au serveur d'administration WLS : connect()
  3. Accédez au branchement d'exécution de domaine : domainRuntime()
  4. Exécutez la commande addSPPartnerProfileAuthnMethod() : addSPPartnerProfileAuthnMethod("saml20-sp-partner-profile", "urn:oasis:names:tc:SAML:2.0:ac:classes:Password", "BasicScheme")
  5. Quittez l'environnement WLST : exit()

Après l'authentification via l'authentification de base HTTP, IdP émet une assertion semblable à (reportez-vous au fait que AuthnContextClassRef est passé de PasswordProtectedTransport à Password) :

<samlp:Response ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<dsig:Signature>
...
</dsig:Signature>
<saml:Subject>
<saml:NameID ...>bob@oracle.com</saml:NameID>
<saml:SubjectCon<rmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectCon<rmationData .../>
</saml:SubjectCon<rmation>
</saml:Subject>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z"> <saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes: Password
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
</saml:Assertion> </samlp:Response>

OAMLDAPPluginAuthnScheme en tant que modèle d'authentification

Pour ce test, remplacez le modèle d'authentification par défaut du profil de partenaire de fournisseur de services par OAMLDAPPluginAuthnScheme au lieu de BasicScheme. Utilisez la commande OAM WLST setSPPartnerProfileDefaultScheme() et indiquez le schéma à utiliser par défaut pour le profil de partenaire de fournisseur de services référencé par AcmeSP (qui est saml20-sppartner-profile dans ce cas : getFedPartnerProfile("AcmeSP", "SP")) :

  1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Connectez-vous au serveur d'administration WLS : connect()
  3. Accédez au branchement d'exécution de domaine : domainRuntime()
  4. Exécutez la commande setSPPartnerProfileDefaultScheme() : setSPPartnerProfileDefaultScheme("saml20-sp-partner-profile", "OAMLDAPPluginAuthnScheme")
  5. Quittez l'environnement WLST : exit()

L'utilisateur est interrogé via le formulaire défini dans OAMLDAPPluginAuthnScheme pour AcmeSP.

Contrairement à LDAPScheme et BasicScheme, OAMLDAPPluginAuthnScheme n'est mis en correspondance par défaut avec aucune méthode d'authentification de fédération. IdP ne peut pas trouver de méthode d'authentification de fédération et définit la méthode dans l'assertion SAML sur le nom du modèle d'authentification OAM. Après l'authentification via FORM, IdP émet une assertion semblable à (reportez-vous à AuthnContextClassRef défini sur OAMLDAPPluginAuthnScheme) :

<samlp:Response ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<dsig:Signature>
...
</dsig:Signature>
<saml:Subject>
<saml:NameID ...>bob@oracle.com</saml:NameID>
<saml:SubjectCon<rmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectCon<rmationData .../>
</saml:SubjectCon<rmation>
</saml:Subject>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>
OAMLDAPPluginAuthnScheme
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
</saml:Assertion>
</samlp:Response>

Mise en correspondance de OAMLDAPPluginAuthnScheme

Pour ajouter OAMLDAPPluginAuthnScheme au mapping urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport de la méthode d'authentification de fédération, exécutez la méthode addSPPartnerProfileAuthnMethod() :

  1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Connectez-vous au serveur d'administration WLS : connect()
  3. Accédez au branchement d'exécution de domaine : domainRuntime()
  4. Exécutez la commande addSPPartnerProfileAuthnMethod() : addSPPartnerProfileAuthnMethod("saml20-sp-partner-profile", "urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport", "OAMLDAPPluginAuthnScheme")
  5. Quittez l'environnement WLST : exit()

Après l'authentification via FORM, IdP émet désormais une assertion semblable à (reportez-vous au fait que la méthode a été modifiée de OAMLDAPPluginAuthnScheme en PasswordProtectedTransport) :

<samlp:Response ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion ...>
<saml:Issuer ...>https://idp.com/oam/fed</saml:Issuer>
<dsig:Signature>
...
</dsig:Signature>
<saml:Subject>
<saml:NameID ...>bob@oracle.com</saml:NameID>
<saml:SubjectCon<rmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectCon<rmationData .../>
</saml:SubjectCon<rmation>
</saml:Subject>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2014-03-21T20:53:55Z" SessionIndex="id6i-Dm0yB-HekG6cejktwcKIFMzYE8Yrmqwfd0azz"
SessionNotOnOrAfter="2014-03-21T21:53:55Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement> </saml:Assertion> </samlp:Response>

SAML 1.1

Configuration du test

Dans cette configuration, OAM agit en tant que IdP et est intégré à un partenaire de fournisseur de services SAML 1.1 distant identifié par AcmeSP. Dans ce test, exécutez l'authentification unique de fédération avec IdP configuré pour :

LDAPScheme en tant que modèle d'authentification

A l'aide des paramètres OOTB relatifs à l'authentification utilisateur dans OAM, l'utilisateur fait l'objet d'une question de vérification via une page de connexion FORM basée sur LDAPScheme. Par ailleurs, la configuration des mappings de méthode d'authentification de fédération par défaut met uniquement en correspondance urn:oasis:names:tc:SAML:1.0:am:password avec LDAPScheme (également marqué comme modèle par défaut utilisé pour l'authentification), FAAuthScheme, BasicScheme et BasicFAScheme. Après l'authentification via FORM, IdP émet une assertion semblable à

<samlp:Response ...>
<samlp:Status>
<samlp:StatusCode Value="samlp:Success"/> </samlp:Status>
<saml:Assertion Issuer="https://idp.com/oam/fed" ...>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password">
<saml:Subject>
<saml:NameIdenti<er ...>bob@oracle.com</saml:NameIdenti<er>
<saml:SubjectCon<rmation>
<saml:Con<rmationMethod>
urn:oasis:names:tc:SAML:1.0:cm:bearer
</saml:Con<rmationMethod>
</saml:SubjectCon<rmation>
</saml:Subject>
</saml:AuthnStatement>
<dsig:Signature>
...
</dsig:Signature>
</saml:Assertion> </samlp:Response>

OAMLDAPPluginAuthnScheme en tant que modèle d'authentification

Pour ce test, remplacez le modèle d'authentification par défaut du partenaire SP par OAMLDAPPluginAuthnScheme au lieu de LDAPScheme. Utilisez la commande OAM WLST setSPPartnerDefaultScheme() et indiquez le schéma à utiliser par défaut pour le partenaire SP :

  1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Connectez-vous au serveur d'administration WLS : connect()
  3. Accédez au branchement d'exécution de domaine : domainRuntime()
  4. Exécutez la commande setSPPartnerDefaultScheme() : setSPPartnerDefaultScheme("AcmeSP", "OAMLDAPPluginAuthnScheme")
  5. Quittez l'environnement WLST : exit()

L'utilisateur est interrogé via le formulaire défini dans OAMLDAPPluginAuthnScheme pour AcmeSP.

Contrairement à LDAPScheme, OAMLDAPPluginAuthnScheme n'est mis en correspondance par défaut avec aucune méthode d'authentification de fédération (dans le profil de partenaire de fournisseur de services). IdP ne peut pas trouver de méthode d'authentification de fédération et définit la méthode dans l'assertion SAML sur le nom du modèle d'authentification OAM. Après l'authentification via FORM, IdP émet une assertion semblable à (reportez-vous à AuthenticationMethod défini sur OAMLDAPPluginAuthnScheme)

<samlp:Response ...>
<samlp:Status>
<samlp:StatusCode Value="samlp:Success"/>
</samlp:Status>
<saml:Assertion Issuer="https://idp.com/oam/fed" ...>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="OAMLDAPPluginAuthnScheme>
<saml:Subject>
<saml:NameIdenti<er ...>bob@oracle.com</saml:NameIdenti<er>
<saml:SubjectCon<rmation>
<saml:Con<rmationMethod>
urn:oasis:names:tc:SAML:1.0:cm:bearer
</saml:Con<rmationMethod>
</saml:SubjectCon<rmation>
</saml:Subject>
</saml:AuthnStatement>
<dsig:Signature>
...
</dsig:Signature> </saml:Assertion> </samlp:Response>

Mise en correspondance de OAMLDAPPluginAuthnScheme

Pour mettre en correspondance OAMLDAPPluginAuthnScheme avec la méthode d'authentification de fédération urn:oasis:names:tc:SAML:1.0:am:password pour ce partenaire de fournisseur de services uniquement, exécutez la méthode addSPPartnerAuthnMethod() :

  1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Connectez-vous au serveur d'administration WLS : connect()
  3. Accédez au branchement d'exécution de domaine : domainRuntime()
  4. Exécutez la commande addSPPartnerAuthnMethod() : addSPPartnerAuthnMethod("AcmeSP", "urn:oasis:names:tc:SAML:1.0:am:password", "OAMLDAPPluginAuthnScheme")
  5. Quittez l'environnement WLST : exit()

Après l'authentification via FORM, IdP émet désormais une assertion semblable à (reportez-vous au fait que la méthode a été modifiée de OAMLDAPPluginAuthnScheme en mot de passe) :

<samlp:Response ...>
<samlp:Status>
<samlp:StatusCode Value="samlp:Success"/> </samlp:Status>
<saml:Assertion Issuer="https://idp.com/oam/fed" ...>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password">
<saml:Subject>
<saml:NameIdenti<er ...>bob@oracle.com</saml:NameIdenti<er>
<saml:SubjectCon<rmation>
<saml:Con<rmationMethod>
urn:oasis:names:tc:SAML:1.0:cm:bearer
</saml:Con<rmationMethod>
</saml:SubjectCon<rmation>
</saml:Subject>
</saml:AuthnStatement>
<dsig:Signature>
...
</dsig:Signature> </saml:Assertion> </samlp:Response>

LDAPScheme en tant que modèle d'authentification

Suite à la définition d'un mappage d'authentification de fédération au niveau du partenaire, tous les mappages au niveau du profil du partenaire du fournisseur de services seront ignorés. Pour ce test, rétablissez le modèle d'authentification par défaut pour ce partenaire de fournisseur de services sur LDAPScheme et l'assertion émise par IdP ne pourra plus mettre en correspondance ce fichier LDAPScheme avec une méthode d'authentification de fédération, car

Utilisez la commande OAM WLST setSPPartnerDefaultScheme() et indiquez le schéma à utiliser par défaut pour ce partenaire SP :

  1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Connectez-vous au serveur d'administration WLS : connect()
  3. Accédez au branchement d'exécution de domaine : domainRuntime()
  4. Exécutez la commande setSPPartnerDefaultScheme() : setSPPartnerDefaultScheme("AcmeSP", "LDAPScheme")
  5. Quittez l'environnement WLST : exit()

Après l'authentification via FORM, IdP émet une assertion semblable à (reportez-vous à AuthenticationMethod défini sur LDAPScheme) :

<samlp:Response ...>
<samlp:Status>
<samlp:StatusCode Value="samlp:Success"/> </samlp:Status>
<saml:Assertion Issuer="https://idp.com/oam/fed" ...>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="LDAPScheme">
<saml:Subject>
<saml:NameIdenti<er ...>bob@oracle.com</saml:NameIdenti<er>
<saml:SubjectCon<rmation>
<saml:Con<rmationMethod>
urn:oasis:names:tc:SAML:1.0:cm:bearer
</saml:Con<rmationMethod>
</saml:SubjectCon<rmation>
</saml:Subject>
</saml:AuthnStatement>
<dsig:Signature>
...
</dsig:Signature>
</saml:Assertion> </samlp:Response>

Mise en correspondance de LDAPScheme au niveau du partenaire

Pour résoudre ce problème, ajoutez LDAPScheme au mapping urn:oasis:names:tc:SAML:1.0:am:password de la méthode d'authentification de fédération pour ce partenaire de fournisseur de services uniquement. Exécutez la méthode addSPPartnerAuthnMethod() :

  1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Connectez-vous au serveur d'administration WLS : connect()
  3. Accédez au branchement d'exécution de domaine : domainRuntime()
  4. Exécutez la commande addSPPartnerAuthnMethod() : addSPPartnerAuthnMethod("AcmeSP", "urn:oasis:names:tc:SAML:1.0:am:password", "LDAPScheme")
  5. Quittez l'environnement WLST : exit()

Après l'authentification via FORM, IdP émet désormais une assertion semblable à (reportez-vous au fait que la méthode a été modifiée de LDAPScheme en mot de passe) :

<samlp:Response ...>
<samlp:Status>
<samlp:StatusCode Value="samlp:Success"/>
</samlp:Status>
<saml:Assertion Issuer="https://idp.com/oam/fed" ...>
<saml:Conditions ...>
<saml:AudienceRestriction>
<saml:Audience>https://acme.com/sp/ssov11</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthenticationInstant="2014-03-21T20:53:55Z"
AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password">
<saml:Subject>
<saml:NameIdenti<er ...>bob@oracle.com</saml:NameIdenti<er>
<saml:SubjectCon<rmation>
<saml:Con<rmationMethod>
urn:oasis:names:tc:SAML:1.0:cm:bearer
</saml:Con<rmationMethod>
</saml:SubjectCon<rmation>
</saml:Subject>
</saml:AuthnStatement>
<dsig:Signature>
...
</dsig:Signature>
</saml:Assertion> </samlp:Response>

OpenID 2.0

Dans les flux OpenID 2.0, le RP doit demander l'utilisation de PAPE, afin que IdP/OP inclue les informations PAPE. Pour OpenID 2.0, la configuration implique la mise en correspondance d'une liste de stratégies OpenID 2.0 avec une liste de modèles d'authentification. La commande WLST prend la liste des stratégies, délimitées par le caractère ',' au lieu de SAML 2.0 ou SAML 1.1, où une seule méthode d'authentification de fédération devait être indiquée.

Configuration du test

Dans cette configuration, OAM agit en tant que fournisseur d'identités/OP et est intégré à un partenaire SP/RP OpenID 2.0 distant identifié par AcmeRP. Dans ce test, exécutez l'authentification unique de fédération avec IdP configuré pour :

LDAPScheme en tant que modèle d'authentification

A l'aide des paramètres OOTB relatifs à l'authentification utilisateur dans OAM, l'utilisateur fait l'objet d'une question de vérification via une page de connexion FORM basée sur LDAPScheme.

Aucune méthode d'authentification de fédération n'est définie OOTB pour OpenID 2.0. Par conséquent, si le fournisseur d'identités/OP émet une réponse SSO avec un élément de réponse PAPE, il spécifie le nom du modèle au lieu des méthodes d'authentification de fédération

Après l'authentification via FORM, IdP émet une réponse SSO similaire à

https://acme.com/openid?refid=id-9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.ns=hUp%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.mode=id_res&openid.op_endpoint=https%3A%2F%2Fidp.com%2Fopenid&openid.claimed_id=https%3A%2F%2Fidp.com%2Fopenid%3Fid%3Did-38iCmmlAVEXPsFjnFVKArfn5RIiF75D5doorhEgqqPM%3D&openid.identity=https%3A%2F%2Fidp.com%2Fopenid%3Fid%3Did-38iCmmlAVEXPsFjnFVKArfn5RIiF75D5doorhEgqqPM%3D&openid.return_to=https%3A%2F%2Facme.com%2Fopenid%3Frefid%3Did-9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.response_nonce=2014-03-24T19%3A20%3A06Zid-YPa2kTNNFftZkgBb460jxJGblk2g--iNwPpDI7M1&openid.assoc_handle=id-6a5S6zhAKaRwQNUnjTKROREdAGSjWodG1el4xyz3&openid.ns.ax=http%3A%2F%2Fopenid.net%2Fsrv%2Fax%2F1.0&openid.ax.mode=fetch_response&openid.ax.type.aUr0=http%3A%2F%2Fsession%2Fcount&openid.ax.value.aUr0=1&openid.ax.type.aUr1=http%3A%2F%2Fopenid.net%2Fschema%2FnamePerson%2Ffriendly&openid.ax.value.aUr1=My+name+is+Bobby+Smith&openid.ax.type.aUr2=http%3A%2F%2Fschemas.openid.net%2Fax%2Fapi%2Fuser_id&openid.ax.value.aUr2=bob&openid.ax.type.aUr3=http%3A%2F%2Faxschema.org%2Fcontact%2Femail&openid.ax.value.aUr3=bob%40oracle.com&openid.ax.type.aUr4=http%3A%2F%2Fsession%2Fipaddress&openid.ax.value.aUr4=10.145.120.253&openid.ns.pape=http%3A%2F%2Fspecs.openid.net%2Fextensions%2Fpape%2F1.0&openid.pape.auth_time=2014-03-24T19%3A20%3A05Z&openid.pape.auth_policies=LDAPScheme&openid.signed=op_endpoint%2Cclaimed_id%2Cidentity%2Creturn_to%2Cresponse_nonce%2Cassoc_handle%2Cns.ax%2Cax.mode%2Cax.type.aUr0%2Cax.value.aUr0%2Cax.type.aUr1%2Cax.value.aUr1%2Cax.type.aUr2%2Cax.value.aUr2%2Cax.type.aUr3%2Cax.vopenid.sig=mYMgbGYSs22l8e%2FDom9NRPw15u8%3D

Mise en correspondance de LDAPScheme

Pour mettre en correspondance le modèle LDAP avec les méthodes d'authentification de fédération des stratégies http://schemas.openid.net/pape/policies/2007/0/phishing-resistant et http://openid-policies/password-protected, exécutez la méthode addSPPartnerAuthnMethod() (les stratégies sont séparées par des virgules) :

  1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Connectez-vous au serveur d'administration WLS : connect()
  3. Accédez au branchement d'exécution de domaine : domainRuntime()
  4. Exécutez la commande addSPPartnerAuthnMethod() : addSPPartnerAuthnMethod("AcmeRP", "http://schemas.openid.net/pape/policie/2007/06/phishing-resistant,http://openid-policies/password-protected""LDAPScheme")
  5. Quittez l'environnement WLST : exit()

Après l'authentification via FORM, IdP émet désormais une assertion semblable à (reportez-vous au fait que la méthode a été modifiée de LDAPScheme en deux stratégies) :

https://acme.com/openid?refid=id-9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.ns=hUp%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.mode=id_res&openid.op_endpoint=https%3A%2F%2Fidp.com%2Fopenid&openid.claimed_id=https%3A%2F%2Fidp.com%2Fopenid%3Fid%3Did-38iCmmlAVEXPsFjnFVKArfn5RIiF75D5doorhEgqqPM%3D&openid.identity=https%3A%2F%2Fidp.com%2Fopenid%3Fid%3Did38iCmmlAVEXPsFjnFVKArfn5RIiF75D5doorhEgqqPM%3D&openid.return_to=https%3A%2F%2Facme.com%2Fopenid%3Frefid%3Did-9PKVXZmRxAeDYcgLqPm36ClzOMA-&openid.response_nonce=2014-03-24T19%3A20%3A06Zid-YPa2kTNNFftZkgBb460jxJGblk2g--iNwPpDI7M1&openid.assoc_handle=id-6a5S6zhAKaRwQNUnjTKROREdAGSjWodG1el4xyz3&openid.ns.ax=http%3A%2F%2Fopenid.net%2Fsrv%2Fax%2F1.0&openid.ax.mode=fetch_response&openid.ax.type.aUr0=http%3A%2F%2Fsession%2Fcount&openid.ax.value.aUr0=1&openid.ax.type.aUr1=http%3A%2%2Fopenid.net%2Fschema%2FnamePerson%2Ffriendly&openid.ax.value.aUr1=My+name+is+Bobby+Smith&openid.ax.type.aUr2=http%3A%2F%2Fschemas.openid.net%2Fax%2Fapi%2Fuser_id&openid.ax.value.aUr2=bob&openid.ax.type.aUr3=http%3A%2F%2Faxschema.org%2Fcontact%2Femail&openid.ax.value.aUr3=bob%40oracle.com&openid.ax.type.aUr4=http%3A%2F%2Fsession%2Fipaddress&openid.ax.value.aUr4=10.145.120.253&openid.ns.pape=http%3A%2F%2Fspecs.openid.net%2Fextensions%2Fpape%2F1.0&openid.pape.auth_time=2014-03-24T19%3A20%3A05Z&openid.pape.auth_policies=http%3A%2F%2Fschemas.openid.net%2Fpape%2Fpolicies%2F2007%2F06%2Fphishingresistant+hUp%3A%2F%2Fopenid-policies%2Fpassword-protected&openid.signed=op_endpoint%2Cclaimed_id%2Cidentity%2Creturn_to%2Cresponse_nonce%2Cassoc_handle%2Cns.ax%2Cax.mode%2Cax.type.aUr0%2Cax.value.aUr0%2Cax.type.aUr1%2Cax.value.aUr1%2Cax.type.aUr2%2Cax.value.aUr2%2Cax.type.aUr3%2Cax.vopenid.sig=mYMgbGYSs22l8e%2FDom9NRPw15u8%3D

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuite sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour consulter la documentation du produit, visitez le site Oracle Help Center.