Intégrer Oracle Access Manager et Azure AD pour le commerce de produits de détail

La configuration d'Oracle Access Manager et d' Azure AD pour prendre en charge SSO fédéré pour la commercialisation au détail requiert la réalisation de ces tâches :

  • Configurer Azure AD en tant que fournisseur d'identités et affecter des utilisateurs à Oracle Access Manager pour Retail Merchandising
  • Configurez Oracle Access Manager pour la fédération avec Azure AD, ce qui nécessite les opérations suivantes :
    • Créez un fournisseur d'identités pour Azure AD.
    • Associez les ressources de commercialisation de détail au modèle d'authentification.

Configurer Azure AD en tant que fournisseur d'identités

Configurez d'abord Azure AD en tant que fournisseur d'identités.

Pour configurer Azure AD en tant que fournisseur d'identités

  1. Connectez-vous au portail Azure en tant qu'administrateur de domaine
  2. Dans le volet de navigation Brouillon, cliquez sur Azure Active Directory.
  3. Dans le panneau Azure Active Directory, cliquez sur Applications Enterprise.
  4. Cliquez sur Nouvelle application.
  5. Dans la section Ajouter de la galerie, saisissez Retail-IDM dans la zone de recherche, puis cliquez sur Ajouter.
  6. Pour configurer Oracle Access Manager en tant que fournisseur de services pour la nouvelle application, cliquez sur Connexion unique.
  7. Sélectionnez SAML comme méthode d'authentification unique.
    La page Configurer l'accès avec connexion unique (SSO) avec SAML apparaît. Entrez ici les étapes suivantes pour accéder aux détails d'intégration. Certaines des valeurs que vous devez saisir proviennent des métadonnées SAML d'Oracle Access Manager. Pour obtenir les métadonnées, accédez à http(s)://<oam_hostname>:<port>/oamfed/sp/metadata. La sortie est une donnée XML dont vous avez besoin lors des étapes suivantes. Cliquez sur Télécharger le fichier de métadonnées pour télécharger ces métadonnées dans Azure AD.
  8. Dans la zone Configuration SAML de base, les champs Identificateur (ID d'entité) et URL de réponse (URL du service consommateur d'assertion) requièrent des valeurs. Si vous avez téléchargé le fichier XML de métadonnées SAML, les valeurs sont saisies automatiquement. Si ce n'est pas le cas, saisissez-les manuellement.
    • L'identificateur (ID d'entité) correspond à l'attribut entityID de l'élément EntityDescriptor dans les métadonnées SAML. Lors de l'exécution, Azure AD ajoute la valeur à l'élément Audience de l'assertion SAML, indiquant l'audience qui est la destination attendue de l'assertion. Recherchez la valeur suivante dans les métadonnées Oracle Access Manager et entrez cette valeur :
      <md:EntityDescriptor ……… entityID="http://....../>
    • L'URL de réponse (URL du service consommateur d'assertion) correspond à l'attribut d'emplacement de l'élément AssertionConsumerService dans les métadonnées SAML. Veillez à choisir l'attribut d'emplacement relatif à la liaison HTTP_POST. L'URL de réponse est l'adresse de service SAML du partenaire de fédération qui est censé traiter l'assertion

    Remarque :

    Les propriétés URL de connexion, Etat de relais et URL de déconnexion ne sont pas pertinentes pour ce scénario. Vous pouvez donc les ignorer.
  9. Dans la zone Attributs utilisateur et réclamations, configurez les attributs utilisateur qui seront insérés dans l'assertion SAML et envoyés à Oracle Access Manager. Pour ce scénario, il est suffisant pour envoyer une forme d'identification d'utilisateur unique. Conservez les valeurs par défaut pour la valeur d'identificateur de nom : user.userprincipalname [nameid-format:emailAddress] car userprincipalname est un attribut unique dans Azure AD. Cette configuration a pour effet d'importer la valeur userprincipalname dans l'entrée utilisateur de la banque d'identités d'Oracle Access Manager (banque de serveurs LDAP). Notez que

    Remarque :

    Les groupes de propriétés renvoyés dans la demande et toutes les réclamations sous CLAIM NAME ne sont pas pertinentes pour ce scénario. Vous pouvez donc les ignorer.
  10. Dans la zone Certificat de signature SAML, cliquez sur le lien Télécharger en regard de Federation Metadata XML et enregistrez le fichier sur votre ordinateur. Vous l'utiliserez ultérieurement lors de la configuration d'Oracle Access Manager en tant que fournisseur de services.

Affecter des utilisateurs à Oracle Access Manager pour la commercialisation au détail

Seuls les utilisateurs que vous affectez peuvent se connecter à Azure AD après avoir reçu une demande d'authentification d'Oracle Access Manager pour le commerce de détail.

Pour affecter des utilisateurs à Oracle Access Manager pour la commercialisation au détail :
  1. Dans l'application Azure AD que vous avez créée dans la section précédente, cliquez sur Utilisateurs et groupes, puis sur Ajouter un utilisateur.
  2. Sélectionnez l'option Utilisateurs et groupes : Aucun élément sélectionné, puis effectuez les étapes suivantes :
    1. Dans la zone de recherche Sélectionner un membre ou inviter un utilisateur externe, entrez le nom d'un utilisateur, puis appuyez sur Entrée.
    2. Sélectionnez l'utilisateur, puis cliquez sur Sélectionner pour ajouter l'utilisateur.
    3. Cliquez sur Affecter.
    4. Pour ajouter d'autres utilisateurs ou groupes, répétez ces étapes.
  3. S'il n'existe aucun groupe de sécurité approprié, créez-en un. Dans le volet de navigation Brouillon, cliquez sur Azure Active Directory, puis sur Groupes.
  4. Cliquez sur Nouveau groupe, indiquez Sécurité comme type, puis ajoutez des utilisateurs au groupe en les sélectionnant ou en les invitant. Cliquez sur Créer.
  5. Affectez le groupe à l'application Enterprise Azure-AD.
  6. Pour empêcher les utilisateurs de visualiser cette application d'entreprise qui n'est destinée qu'à la configuration SSO, cliquez sur Propriétés, remplacez la valeur Visible par les utilisateurs ? par Non, puis cliquez sur Enregistrer.

Créer un fournisseur d'identités pour Azure AD

Vous devez ensuite configurer Oracle Access Manager pour la fédération avec Azure AD. La première étape de ce processus consiste à créer un fournisseur d'identités pour Azure AD.

Pour créer un fournisseur d'identités pour Azure AD, procédez comme suit :

  1. Connectez-vous à la console Oracle Access Manager en tant qu'administrateur.
  2. Assurez-vous qu'Identity Federation est activé. Si ce n'est pas le cas, cliquez sur Activer le service.
  3. Cliquez sur l'onglet Fédération en haut de la console.
  4. Dans la zone Fédération de l'onglet Lancer le panneau, cliquez sur Gestion des fournisseurs de services.
    Dans ce cas, Oracle Access Manager agit en tant que fournisseur de service.
  5. Dans l'onglet Administration du fournisseur de services, cliquez sur Créer un partenaire de fournisseur d'identités.
  6. Dans la zone Général, entrez le nom du partenaire de fournisseur d'identités et cochez les cases Activer le partenaire et le partenaire de fournisseur d'identités par défaut. Passez à l'étape suivante avant de sauvegarder.
  7. Dans la zone Informations de service :
    1. Sélectionnez SAML2.0 comme protocole.
    2. Sélectionnez l'option Charger à partir des métadonnées de fournisseur.
    3. Cliquez sur Parcourir (pour Windows) ou sur Choisir un fichier (pour Mac) et sélectionnez le fichier de métadonnées SAML Azure AD que vous avez préalablement enregistré. Oracle Access Manager alimentera l'ID fournisseur et les informations de certificat.
    4. Exécutez l'étape suivante avant de sauvegarder.
  8. Dans la zone Options de mapping :
    1. Sélectionnez l'option Banque d'identités utilisateur qui sera utilisée en tant que banque d'identités LDAP Oracle Access Manager vérifiée pour les utilisateurs de produits de détail. En général, il s'agit déjà de la banque d'identités Oracle Access Manager.
    2. Laissez le champ Nom distinctif (DN) de base de recherche d'utilisateurs vide. La base de recherche est sélectionnée automatiquement à partir de la configuration de la banque d'identités.
    3. Sélectionnez l'option Mettre en correspondance l'ID d'assertion avec l'attribut de banque d'ID utilisateur et entrez un courriel dans la zone de texte.

    Remarque :

    Cette configuration définit la correspondance utilisateur entre Azure AD et Oracle Access Manager. Oracle Access Manager prend la valeur de l'élément NameID dans l'assertion SAML entrante et tente de rechercher cette valeur par rapport à l'attribut de messagerie dans toutes les entrées utilisateur de la banque d'identités configurée. Par conséquent, il est impératif que le nom de l'identité utilisateur Azure AD (dans la configuration Azure AD affichée précédemment) soit synchronisé avec l'attribut de messagerie dans la banque d'identités d'Oracle Access Manager.
  9. Cliquez sur Enregistrer pour enregistrer le partenaire de fournisseur d'identités.
  10. Une fois le partenaire enregistré, revenez à la zone Avancé située au bas de l'onglet. Assurez-vous que les options sont configurées comme suit :
    • L'option Activer la déconnexion globale est sélectionnée.
    • L'option Authentification de réponse SSO HTTP POST est sélectionnée. Il s'agit d'une instruction qu'Oracle Access Manager envoie dans la demande d'authentification indiquant à Azure AD comment transmettre l'assertion SAML à nouveau.
    • L'option Activer l'authentification de base HTTP (authentification d'artefact SSO) n'est pas sélectionnée. Ce paramètre demande à Azure AD d'envoyer l'assertion via une demande HTTP POST. Lorsqu'il reçoit une demande comme celle-ci, les fournisseurs d'identités créent généralement un panneau HTML avec l'assertion comme élément de formulaire masqué qui est automatiquement publié dans le service consommateur d'assertion du fournisseur de services.
  11. Dans la zone Général, cliquez sur Créer un modèle d'authentification et un module.
    Un modèle d'authentification et un module à utiliser dans Azure AD sont créés avec le nom de partenaire. La seule configuration restante attache le modèle d'authentification aux ressources Retail Merchandising qui requièrent des informations d'identification Azure AD pour l'authentification, que vous allez faire dans la section suivante.
  12. Vous pouvez vérifier le module d'authentification créé en procédant comme suit :
    1. Cliquez sur l'onglet Sécurité de l'application en haut de la console.
    2. Sous Modules d'extension, sélectionnez Modules d'authentification, cliquez sur Rechercher et recherchez votre module de fédération.
    3. Sélectionnez le module, puis cliquez sur l'onglet Etapes.
    4. La valeur de la propriété FedSSOIdP est le partenaire de fournisseur d'identités.

Associer les ressources de commercialisation de détail au modèle d'authentification

La dernière étape de la configuration d'Oracle Access Manager pour Federation avec Azure AD consiste à associer les ressources de commercialisation de détail au modèle d'authentification.

Pour associer les ressources de commercialisation de détail au modèle d'authentification, procédez comme suit lors de la connexion à la console Oracle Access Manager en tant qu'administrateur :

  1. En haut de la console, cliquez sur Sécurité de l'application.
  2. Sous Access Manager, cliquez sur Domaine d'application, puis sur Rechercher et sélectionnez le domaine d'application qui a été créé lors de l'installation de Commerce Merchandising qui aurait enregistré le WebGate Retail Merchandising.
  3. Cliquez sur l'onglet Stratégies d'authentification.
  4. Cliquez sur Stratégie de ressources protégées.
  5. Modifiez la valeur du modèle d'authentification en remplaçant le modèle d'authentification précédemment créé par le nouveau modèle d'authentification de fédération. Il s'agit de la façon dont Oracle Access Manager lie une ressource protégée à un fournisseur d'identités.
  6. Cliquez sur Appliquer pour enregistrer la modification.