Intégration de Google IdP avec OAM SP

Google Apps a récemment introduit une nouvelle fonctionnalité SAML 2.0, où Google peut désormais agir en tant que fournisseur d'identité avec des fournisseurs de services SAML 2.0 distants.

Cela permet d'utiliser Google comme :

• Autorité d'authentification des utilisateurs finals

• Le serveur qui fournit de véritables capacités SSO en tant qu'état d'authentification de l'utilisateur est propagé de Google IdP vers des domaines distants

Cet article explique étape par étape comment intégrer Google IdP à OAM en tant que SP via le protocole SSO SAML 2.0.

Correspondance d'utilisateurs

Les utilisateurs de Google Apps sont identifiés de manière unique par leurs adresses e-mail qui ont été définies lors de leur création.

Lors d'un flux SSO SAML 2.0, Google IdP fournit l'adresse électronique de l'utilisateur au SP distant :

• Dans le champ SAML 2.0 NameID

• Avec la valeur NameID définie sur l'adresse électronique principale de l'utilisateur

Les étapes suivantes indiquent comment déterminer l'adresse électronique principale de l'utilisateur dans Google Apps.

Pour afficher un compte utilisateur dans Google Apps, procédez comme suit :

1. Lancer un navigateur

2. Accédez à http://www.google.com/a

3. Cliquez sur Connexion.

   

   Description de l'image Sign_In_Page.jpg

4. Dans le champ Domaine, entrez le nom de votre domaine (dans cet exemple, www.acme.com).

5. Sélectionnez Console d'administration.

6. Cliquez sur OK.

Description de l'image Admin_Console_Page.jpg

Dans le tableau de bord, cliquez sur Utilisateurs

Description de l'image Users_Page.jpg

Sélectionner l'utilisateur à afficher

Description de l'image Active_Users_Page.jpg

L'écran suivant affiche des détails sur l'utilisateur. L'adresse électronique s'affiche sous l'identité de l'utilisateur. Dans cet exemple, Google IdP envoie alice@acme.com au SP distant pendant l'opération SSO SAML 2.0 :

Description de l'image User_Details_Page.jpg

Configuration de Google IdP

collecter les informations OAM

Les informations suivantes doivent être fournies dans la console d'administration SSO Google IdP :

• Adresse SP SSO SAML 2.0

• ProviderID

Dans l'article précédent, nous avons répertorié les points de terminaison publiés par OAM. L'adresse SSO IdP SAML 2.0 et l'adresse de déconnexion SAML 2.0 sont http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20, oam-public-hostname et oam-public-port étant les valeurs de l'adresse publique, où l'utilisateur accède à l'application OAM (équilibreur de charge, proxy inverse HTTP...).

Si vous n'êtes pas sûr des éléments oam-public-hostname et oam-public-port, vous pouvez effectuer les opérations suivantes :

1. Accédez à la console d'administration OAM : http(s)://oam-admin-host:oam-adminport/oamconsole

2. Accédez à Configuration, Paramètres, Access Manager.

oam-public-hostname est l'hôte du serveur OAM, oam-public-port est le port du serveur OAM et le protocole (http ou https) est répertorié dans le protocole du serveur OAM.

Description de l'image Load_Balancing.jpg

Dans le même article, nous avons également expliqué comment déterminer le ProviderID utilisé par OAM :

1. Accédez à la console d'administration OAM : http(s)://oam-admin-host:oam-adminport/oamconsole

2. Accédez à Configuration, Paramètres, Fédération.

3. Notez le fichier ProviderID

Description de l'image Provider_ID.jpg

Configuration de Google IdP

Pour configurer Google en tant que IdP, procédez comme suit :

1. Lancer un navigateur

2. Accédez à https://www.google.com/enterprise/apps/business/

3. Authentifier et accéder au tableau de bord d'administration

4. Cliquez sur Applications



Description de l'image Apps_Page.jpg

5. Cliquez sur Applications SAML



Description de l'image SAML_Apps_Page.jpg

6. Cliquez sur Ajouter un service/une application à votre domaine.



Description de l'image Add_Service.jpg

7. Cliquez sur SETUP MY CUSTOM APP



Description de l'image Setup_My_Custom_App.jpg

8. Dans la section Option 2, cliquez sur le bouton Télécharger pour télécharger le fichier de métadonnées Google IdP SAML 2.0 sur votre ordinateur local.

9. Une fois que vous avez terminé, cliquez sur Suivant.



Description de l'image Metadata_Download.jpg

10. Entrer un nom d'application

11. Charger éventuellement un logo

12. Une fois que vous avez terminé, cliquez sur Suivant.



Description de l'image Basic_Info.jpg

13. Entrez l'ACS (Assertion Consumer Service URL)

http(s)://oam-public-hostname:oam-publicport/oam/server/fed/sp/ss

En fonction des informations OAM collectées précédemment, remplacez http(s) par le protocole d'adresse publique OAM et les valeurs oam-public-hostname et oam-public-port

1. Entrez la valeur ProviderID collectée précédemment dans le champ Entity ID (ID d'entité).

Conservez la valeur NameID dans le champ Primary Email (Adresse électronique principale), car nous utiliserons l'adresse électronique contenue dans NameID pour mettre en correspondance l'utilisateur dans OAM/SP

2. Entrez éventuellement une URL de démarrage pour les opérations SSO lancées par Google IdP, où l'utilisateur clique sur le partenaire d'application SAML dans Google pour être redirigé vers l'application dans OAM : il s'agit de l'URL d'application protégée ou de l'état de relais non sollicité.

3. Cliquez sur Suivant.

Description de l'image Service_Provider_Details.jpg

Dans cette section, vous pouvez ajouter des attributs qui sont envoyés par Google IdP. Pour ajouter un attribut :

1. Cliquez sur Ajouter un nouveau MAPPING.

2. Entrez le nom tel qu'il apparaît dans l'assertion SAML du premier champ

3. Sélectionnez la catégorie de l'attribut Utilisateur dans le LDAP Google que vous souhaitez envoyer

4. Sélectionnez l'attribut que vous souhaitez envoyer

5. Une fois que vous avez terminé, cliquez sur FINIR.



Description de l'image Attribute_Mapping.jpg

Si le paramétrage a réussi, un message de succès s'affiche :



Description de l'image Message_Page.jpg

6. Pour activer l'application SP, vous devez l'activer :

7. Cliquez sur le menu de l'application SAML

8. Cliquez sur Activé pour tous



Description de l'image SP_Application.jpg

9. Confirmez l'opération en cliquant sur TURN ON FOR EVERYONE.

Description de l'image Confirm_Message.jpg

Configuration OAM

Pour ajouter Google en tant que partenaire IdP dans OAM, procédez comme suit :

1. Accédez à la console d'administration OAM : http(s)://oam-admin-host:oam-admin-port/oamconsole

2. Cliquez sur Fédération

3. Accédez à Fédération, Gestion des fournisseurs de service.

4. Cliquez sur le bouton Créer un partenaire de fournisseur d'identités.

5. Sur l'écran Créer :

6. Entrez le nom de Google IdP

7. Vérifiez si ce partenaire doit être utilisé comme IdP par défaut lors du démarrage d'une opération SSO de fédération, si aucun partenaire IdP n'est indiqué (dans cet exemple, définissez-le comme partenaire par défaut IdP)

8. Sélectionner le protocole SAML 2.0

9. Cliquez sur Charger les métadonnées et téléchargez le fichier de métadonnées SAML 2.0 pour la section Correspondance d'assertion Google IdP :

10. Définissez éventuellement la banque d'identités OAM à utiliser Remarque : dans l'exemple, nous avons laissé le champ vide pour utiliser la banque d'identités OAM par défaut.

11. Définissez éventuellement le DN de base de recherche d'utilisateurs Remarque : dans l'exemple, nous avons laissé le champ vide pour utiliser le DN de base de recherche d'utilisateurs configuré dans la banque d'identités.

12. Sélectionnez le mode de mise en correspondance Remarque : dans l'exemple, nous mettons en correspondance l'assertion via NameID avec l'attribut de messagerie LDAP.

13. Cliquez sur Enregistrer.

Description de l'image OIF_Setup.jpg

Tester

Pour tester :

• Protégez une ressource avec WebGate et FederationScheme, avec ADFS IdP comme fournisseur d'identités SSO par défaut pour OAM

• Ou utilisez l'application OAM Test SP et sélectionnez Google comme IdP

Pour effectuer un test à l'aide du SP de test :

1. Assurez-vous que l'application de test du fournisseur de services a été activée

2. Accédez à http(s)://oam-publichostname:oam-public-port/oamfed/user/testspsso

3. Sélectionnez Google IdP

4. Cliquez sur Démarrer SSO.



Description de l'image Initiate_SSO.jpg

5. Dans Google IdP, entrez l'adresse électronique de l'utilisateur



Description de l'image Google_Sign_in.jpg

6. Entrer le mot de passe de l'utilisateur



Description de l'image User_Credentials.jpg

Une fois celui-ci saisi, Google IdP vous authentifie et vous redirige vers le fournisseur de services SAML OAM qui affiche le résultat de l'authentification unique de fédération.

Description de l'image Google_Idp.jpg

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuite sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour consulter la documentation du produit, visitez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

Integrating Google IdP with OAM SP

F60936-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.