Intégration de Google Apps avec OAM et IdP

Google Apps fournit un ensemble de services que les entreprises exploitent parfois pour leurs activités quotidiennes, ce qui permet à leurs employés de décharger le courrier, le calendrier, le stockage de documents dans le cloud Google.

Lorsqu'une entreprise achète Google Apps pour ses employés, elle doit créer des comptes utilisateur dans Google et fournir aux employés leurs informations de compte :

Chaque fois que l'utilisateur a besoin d'accéder à Google Apps, une opération d'authentification a lieu lorsque l'utilisateur saisit les informations d'identification Google Apps, qui sont différentes des informations d'identification de l'entreprise sur site.

Google Apps prend en charge le protocole SSO SAML 2.0 en tant que fournisseur de services, où le service Google Apps de l'entreprise peut être intégré au serveur IdP SSO de fédération sur site afin de :

Cet article décrit étape par étape comment intégrer Google Apps en tant que SP à OAM en tant que IdP via le protocole SSO SAML 2.0.

Remarque importante : l'activation de l'accès avec connexion unique de fédération pour un domaine a également une incidence sur les administrateurs de ce domaine qui doivent s'authentifier via l'accès avec connexion unique de fédération par la suite.

Correspondance d'utilisateurs

Les utilisateurs de Google Apps sont identifiés de manière unique par leurs adresses e-mail qui ont été définies lors de leur création.

Au cours d'un flux SSO SAML 2.0, IdP doit fournir l'ID utilisateur à Google Apps :

Prenons l'exemple de la société ACME qui a acheté un service Google Apps, pour son domaine acme.com.

Pour afficher un compte utilisateur dans Google Apps, procédez comme suit :

  1. Lancer un navigateur

  2. Accédez à http://www.google.com/a

  3. Cliquez sur Connexion.

    4. Description de l'image Google_SignIn.jpg

  4. Dans le champ Domaine, saisissez le nom de votre domaine (dans cet exemple, www.acme.com)

  5. Sélectionnez Console d'administration.

  6. Cliquez sur OK.

    7. Description de l'image Admin_Console.jpg

  7. Dans le tableau de bord, cliquez sur Utilisateurs

    8. Description de l'image Dashboard.jpg

  8. Sélectionner l'utilisateur à afficher

Description de l'image User_View.jpg

L'écran suivant affiche des détails sur l'utilisateur. L'adresse électronique s'affiche sous l'identité de l'utilisateur. Dans cet exemple, ACME IdP devra envoyer à Google Apps soit Alice, soit alice@acme.com pendant l'opération SSO SAML 2.0 :

Description de l'image User_Details.jpg

Configuration IdP

Identifiant Google Apps

Google Apps peut être configuré par l'administrateur Google Apps pour être connu de IdP :

Ce comportement est dicté par "Utiliser un émetteur spécifique au domaine" dans la section d'administration SSO de Google Apps.

En général, vous n'avez pas besoin d'utiliser un émetteur/providerID spécifique et Google Apps dans le flux SSO SAML 2.0 est appelé google.com.

Partenaire SP Google Apps

Pour créer Google Apps en tant que partenaire SP, procédez comme suit :

  1. Accédez à la console d'administration OAM : http(s)://oam-admin-host:oam-adminport/oamconsole

  2. Accédez à Identity Federation, Administration du fournisseur d'identités.

  3. Cliquez sur le bouton Créer un partenaire de fournisseur de services.

  4. Sur l'écran Créer :

    1. Entrez le nom du partenaire : GoogleApps, par exemple

    2. Sélectionner le protocole SAML 2.0

  5. Dans les détails du service :

    1. Cliquez sur Enter Manually.

    2. Définissez l'ID du fournisseur sur google.com (si, dans Google Apps, vous avez activé la fonction "Utiliser un émetteur spécifique au domaine", vous devez entrer google.com/a/<YOUR_DOMAIN.COM>).

    3. Définissez l'URL du consommateur d'assertion sur https://www.google.com /a/<YOUR_DOMAIN.COM>/acs (par exemple, https://www.google.com/a/acme.com/acs).

    4. Sélectionnez Adresse électronique comme format NameID

  6. Sélectionnez l'attribut utilisateur LDAP contenant la valeur userID à fournir à Google Apps. Dans cet exemple, l'attribut uid contenait l'élément userID : sélectionnez Attribut de banque d'ID utilisateur, puis entrez uid.

  7. Sélectionnez le profil d'attribut utilisé pour alimenter l'assertion SAML avec des attributs (le profil vide par défaut est acceptable car Google Apps ne s'attend à aucun SAML

  8. Attributs autres que NameID)

  9. Cliquez sur Enregistrer.

Description de l'image Google_Apps.jpg

collecter les informations OAM

Les informations suivantes doivent être fournies dans la console d'administration SSO de Google Apps :

Dans l'article précédent, nous avons répertorié les points de terminaison publiés par OAM. L'adresse SSO IdP SAML 2.0 et l'adresse de déconnexion SAML 2.0 sont http(s)://oampublic-hostname:oam-public-port/oamfed /idp/samlv20, with oam-public-hostname et oampublic-port est la valeur de l'adresse publique, où l'utilisateur accède à l'application OAM (équilibreur de charge, proxy inverse HTTP...).

Si vous avez des doutes sur oam-public-hostname et oam-public-port, vous pouvez :

  1. Accédez à la console d'administration OAM : http(s)://oam-admin-host:oam-adminport/oamconsole

  2. Accédez à Configuration, Paramètres Access Manager.

  3. oam-public-hostname est l'hôte du serveur OAM, oam-public-port est le port du serveur OAM et le protocole (http ou https) est répertorié dans le protocole du serveur OAM.

Description de l'image Access_Manager_Settings.jpg

Dans le même article, nous avons également expliqué comment déterminer quelle entrée de clé est utilisée pour signer les messages SAML et comment extraire le certificat de signature correspondant utilisé par IdP :

  1. Accédez à la console d'administration OAM : http(s)://oam-admin-host:oam-adminport/oamconsole

  2. Accédez à Configuration, Paramètres de fédération

  3. Le champ Clé de signature de la section Général indique l'entrée d'ID de clé utilisée pour les opérations de signature de message SAML.

Description de l'image Federation_Settings.jpg

Pour récupérer le fichier de certificat d'un ID de clé spécifique, ouvrez un navigateur et utilisez l'URL suivante pour récupérer le certificat et l'enregistrer en local :

http://oam-runtime-host:oam-runtime-port/oamfed /idp/cert?id=<KEYENTRY_ID>

Configuration de Google Apps

Pour configurer le flux SSO Google Apps for SAML 2.0, procédez comme suit :

  1. Lancer un navigateur

  2. Accédez à https://www.google.com/enterprise/apps/business/

  3. Authentifier et accéder au tableau de bord d'administration

  4. Cliquez sur Plus de contrôles

    5. Description de l'image More_Controls.jpg

  5. Cliquez sur Sécurité

    6. Description de l'image Security_Screen.jpg

  6. Cliquez sur Paramètres avancés.

    7. Description de l'image Advanced_Settings.jpg

  7. Cliquez sur Configurer l'authentification unique (SSO).

Description de l'image SSO_Screen.jpg

Dans la page de configuration SSO, téléchargez le certificat :

  1. Dans la section Certificat de vérification, cliquez sur Choisir un fichier.

  2. Sélectionnez le certificat OAM IdP enregistré précédemment

  3. Cliquez sur Upload (Télécharger).

Description de l'image Upload_certificate.jpg

Sur la page Configuration SSO, pour configurer les URL et activer l'accès SSO de fédération :

  1. Entrez l'URL de connexion (adresse SSO SAML 2.0 IdP), semblable à http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20 (par exemple : https://sso.acme.com/oamfed/idp/samlv20)

  2. Entrez l'URL de déconnexion (adresse de déconnexion SAML 2.0 IdP), semblable à http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20 (par exemple : https://sso.acme.com/oamfed/idp/samlv20)

  3. Entrez l'URL de modification du mot de passe pour votre déploiement (remarque : dans cet exemple, utilisez /changePassword, mais il ne s'agit pas d'un service OAM ; vous devez entrer l'URL de service de gestion des mots de passe pour votre déploiement)

  4. Cochez la case Activer l'authentification unique pour activer l'authentification SSO de fédération

  5. Cliquez sur Enregistrer.

Description de l'image Enable_SSO.jpg

Test

Pour tester :

  1. Ouvrir un nouveau navigateur

  2. Accédez à ces URL pour vous authentifier via Federation SSO pour les applications Google suivantes :

  3. Gmail : https://mail.google.com /a/\<YOUR_DOMAIN.COM\>/ (par exemple, https://mail.google.com/a/acme.com/)

  4. Calendrier : https://calendar.google.com /a/\<YOUR_DOMAIN.COM\>/ (par exemple, https://calendar.google.com/a/acme.com/)

  5. Documents : https://docs.google.com /a/\<YOUR_DOMAIN.COM\>/ (par exemple, https://docs.google.com/a/acme.com/)

  6. Entrez l'URL Gmail, par exemple

Vous allez être redirigé vers OAM IdP

  1. Entrer vos informations d'identification

    2. Description de l'image Access_Manager.jpg

  2. Cliquez sur Connexion

L'application Gmail s'affiche :

Description de l'image Gmail_Login.jpg

[Description of the illustration Gmail_Login.jpg](files/Gmail_Login.txt)

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuite sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour consulter la documentation du produit, visitez le site Oracle Help Center.