Profils de partenaire dans OAM

Cet article traite du concept de profil de partenaire dans la configuration OAM.

Lors de toute opération d'exécution Federation entre OAM (en tant que IdP ou SP) et des partenaires distants, de nombreuses propriétés de configuration sont évaluées et affectent la façon dont OAM exécute l'opération.

Certains des paramètres de configuration qui déterminent l'échange de protocole sont propres au partenaire avec lequel OAM interagit (comme la façon dont NameID doit être renseigné si OAM agit en tant que SAML 2.0 IdP), tandis que d'autres peuvent être communs à un groupe de partenaires (comme la signature ou non d'assertions SAML 2.0 lorsqu'OAM agit en tant que IdP).

Au lieu d'avoir chaque entrée de partenaire dans la configuration OAM contenant tous les paramètres OAM requis pour effectuer les opérations d'exécution de Federation, OAM utilise un profil de partenaire qui :

Dans OAM, un profil de partenaire contient généralement des paramètres de configuration qui ne sont généralement pas souvent modifiés et qui sont considérés comme avancés. Pour les opérations quotidiennes, les fonctions d'administration fournies dans la console d'administration OAM ou via les commandes WLST OAM sont suffisantes dans la plupart des cas.

Pour les cas avancés nécessitant des modifications de configuration, un administrateur peut effectuer les opérations suivantes :

Remarque importante : étant donné la nature avancée de la configuration, les profils de partenaire peuvent uniquement être gérés via des commandes WLST OAM.

Profil de partenaire par défaut

Prêt à l'emploi, OAM définit des profils de partenaire par défaut qui contiennent les paramètres par défaut de leurs protocoles de fédération et types de service respectifs. Les paramètres par défaut sont adaptés aux cas d'emploi courants rencontrés aujourd'hui dans les déploiements de production. Par conséquent, vous n'aurez pas besoin de les modifier à l'exception de cas d'emploi spécifiques.

Après l'installation, les profils de partenaire suivants sont définis dans la configuration OAM :

Commandes WLST

Les paramètres contenus dans une entrée de profil de partenaire sont considérés comme des propriétés avancées et ne peuvent être gérés que via les commandes WLST OAM, tandis que les modifications de paramètres de base ou les opérations quotidiennes peuvent être effectuées via la console d'administration OAM ou via les commandes WLST OAM.

Les sections suivantes expliquent comment utiliser les différentes commandes OAM WLST Partner Profile pour :

Il est parfois souhaitable de créer de nouvelles entrées de profil de partenaire lorsque plusieurs partenaires ont un ensemble commun de cas d'emploi qui diffèrent de la configuration définie dans l'entrée de profil de partenaire à laquelle ils sont liés. Au lieu de laisser chaque partenaire remplacer un paramètre (par exemple, signer des messages à l'aide de l'algorithme de synthèse SHA-256 au lieu de la valeur par défaut SHA-1 définie dans leurs entrées de profil partenaire), la meilleure approche consiste à :

Pour plus d'informations sur les commandes WLST OAM, reportez-vous à la documentation Oracle.

Environnement WLST

Nous supposons que vous êtes déjà dans l'environnement WLST et que vous êtes connecté via :

  1. Entrez dans l'environnement WLST en exécutant : $IAM_ORACLE_HOME/common/bin/wlst.sh
  2. Connectez-vous au serveur d'administration WLS : connect()
  3. Accédez au branchement d'exécution de domaine : domainRuntime()

Liste des profils de partenaire

La commande WLST listFedPartnerProfiles() répertorie tous les profils de partenaire actuellement présents dans OAM et affiche :

Par exemple, une exécution de la commande affiche les éléments suivants :

wls:/test_domain/domainRuntime> listFedPartnerProfiles()
Partner Profile ID  |  Type  |  Protocol Version saml20-sp-partner-profile  |  sp  |  saml20 saml20-idp-partner-profile  |  idp  |  saml20 saml11-sp-partner-profile  |  sp  |  saml11 saml11-idp-partner-profile  |  idp  |  saml11 openid20-sp-partner-profile  |  sp  |  openid20 openid20-idp-partner-profile  |  idp  |  openid20

Liste des partenaires pour un profil de partenaire spécifique

La commande listFedPartnersForProfile() répertorie tous les partenaires liés au profil de partenaire spécifié en tant que paramètre.

L'exécution de la commande permettant d'afficher tous les partenaires référençant le profil de partenaire saml20-sp-partnerprofile (qui est le profil OOTB par défaut pour les partenaires SP SAML 2.0) affiche les éléments suivants :

wls:/test_domain/domainRuntime> listFedPartnersForProfile("saml20-sp-partnerprofile")

Liste des profils de partenaire pour un partenaire spécifique

La commande getFedPartnerProfile() affiche le profil de partenaire utilisé par le partenaire et le type de partenaire spécifié en tant que paramètres (le type de partenaire est idp ou sp).

La commande permettant d'afficher le profil de partenaire référencé par le partenaire SP ACMEADFS affiche les éléments suivants :

wls:/test_domain/domainRuntime> getFedPartnerProfile("ACME-ADFS", "sp") saml20-sp-partner-profile

Afficher le contenu d'un profil de partenaire

La commande WLST displayFedPartnerProfile() affiche sur la ligne de commande les paramètres définis dans l'entrée indiquée en tant que paramètre.

L'exécution de la commande permettant d'afficher le profil du partenaire affiche les éléments suivants :

wls:/test_domain/domainRuntime> displayFedPartnerProfile("saml20-sp-partnerprofile") includecertinsignature=0 nameidqualifier= forceconsent=0 authnmethodmappings={urn%3Aoasis%3Anames%3Atc%3ASAML%3A2.0%3Aac%3Aclasses%3APasswordProtectedTransport=LDAPS1,OAM10gScheme-0,FAAuthScheme-1,BasicScheme-1,BasicFAScheme-1} sendsignedrequestquery=1 forceconsenturl= sendencryptednameid=0 sendsignedresponsequery=1 setconsentenabled=0 sessionaOributeforceauthn=0defaultauthnrequestnameidformat=orafed-emailaddress version=saml20 requesOimeout=2000 audiencerestrictionenabled=1 setconsentvalue= sendsignedresponsesoap=1 allowfederationcreation=1 sendsignedresponseassertionpost=0 reauthenticate=3600 description= sendaOribute=1defaultencryptionmethod=hOp://www.w3.org/2001/04/xmlenc#aes128-cbc requiresignedrequestquery=0 requiresignedresponsepost=0 audiencerestrictionvalue= sendsignedrequestsoap=1 sendsignedrequestpost=1 sendencryptedaOribute=0 partnerprofiletype=sp requiresignedresponsesoap=0 requiresignedrequestpost=0requiresignedresponsequery=0 partnerprofileid=saml20-sp-partner-profile sendsignedresponsepost=1 requiresignedrequestsoap=0 sendsignedassertion=1 sendsignedresponseassertionsoap=0 assertionvalidityinterval=300

Créer un nouveau profil de partenaire

Cette section montre comment créer un profil de partenaire à partir d'un profil existant, à l'aide de la méthode createFedPartnerProfileFrom() qui prend comme arguments :

L'exécution de la commande permettant de créer un profil de partenaire de fournisseur de services SAML 2.0 basé sur OOTB affiche les éléments suivants :

wls:/test_domain/domainRuntime> createFedPartnerProfileFrom("new-saml20pp", "saml20-sp-partner-profile")

La commande a réussi.

Mettre à jour un profil de partenaire

Cette section présente un exemple de commande de modification de configuration WLST impliquant un profil partenaire. Comme mentionné précédemment, nous avons créé ce profil de partenaire pour les partenaires pour lesquels SHA-256 doit être utilisé dans les signatures numériques sortantes. Utilisez la commande configureFedDigitalSignature() pour configurer le nouveau profil de partenaire appelé new-saml20-pp afin qu'il utilise SHA-256.

La commande prend le nom du profil de partenaire, le type de profil et l'algorithme de hachage à utiliser comme paramètres :

wls:/test_domain/domainRuntime>configureFedDigitalSignature(partnerProfile="new-saml20-pp", partnerType="sp", algorithm="SHA-256")

La commande a réussi.

Lier un partenaire à un profil de partenaire

Une fois le nouveau profil de partenaire créé (et configuré), les partenaires existants peuvent y être liés.

Dans notre exemple, trois partenaires SP sont répertoriés :

Nous souhaitons uniquement que adc00peq et ACME-ADFS soient basculés sur le nouveau profil de partenaire. Utilisez la commande setFedPartnerProfile() et indiquez le partenaire, son type et le nouveau profil de partenaire à utiliser :

wls:/test_domain/domainRuntime> setFedPartnerProfile("adc00peq", "sp", "newsaml20-pp")

La commande a réussi.

wls:/test_domain/domainRuntime> setFedPartnerProfile("ACME-ADFS", "sp", "new-saml20-pp")

La commande a réussi.

La liste des partenaires liés au nouveau profil affiche adc00peq et ACMEADFS, tandis que la liste des partenaires associée au profil saml20-sp-partner-profile affiche uniquement Office365 :

wls:/test_domain/domainRuntime> listFedPartnersForProfile("new-saml20-pp")

adc00peq

ACME-ADFS

wls:/test_domain/domainRuntime> listFedPartnersForProfile("saml20-sp-partnerprofile")

Office365

Dans notre exemple, IdP signerait à l'aide de l'algorithme de synthèse SHA-256 pour adc00peq et ACME-ADFS, alors qu'il utiliserait toujours SHA-1 pour Office365

Suppression d'un profil de partenaire

Les profils de partenaire peuvent être supprimés via l'option deleteFedPartnerProfile() qui prend le nom du profil comme paramètre, mais avant d'exécuter la commande, vous devez vous assurer qu'aucune entrée de partenaire n'est actuellement liée à ce profil de partenaire.

Si nous tentons de supprimer le profil de partenaire new-saml20-pp alors qu'il est toujours référencé par les partenaires SP adc00peq et ACME-ADFS, la méthode renvoie une erreur :

wls:/test_domain/domainRuntime> deleteFedPartnerProfile("new-saml20-pp")

Le profil de partenaire de fédération est utilisé par un partenaire

Tout d'abord, les deux partenaires doivent revenir à un autre profil de partenaire (saml20-sp-partner-profile dans cet exemple), puis le deleteFedPartnerProfile() peut être appelé :

wls:/test_domain/domainRuntime> setFedPartnerProfile("adc00peq", "sp", "saml20-sp-partner-profile")

La commande a réussi.

wls:/test_domain/domainRuntime> setFedPartnerProfile("ACME-ADFS", "sp", "saml20-sp-partner-profile")

La commande a réussi.

wls:/test_domain/domainRuntime> deleteFedPartnerProfile("new-saml20-pp")

La commande a réussi.

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuite sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour consulter la documentation du produit, visitez le site Oracle Help Center.