Documentazione dell'infrastruttura Oracle Cloud

Aggiunta di un'applicazione SAML

Creare un'applicazione SAML (Security Assertion Markup Language) e concederla agli utenti in modo che possano eseguire il Single Sign-On (SSO) nelle applicazioni SaaS che supportano SAML per SSO.

Prima di iniziare:

Prima di creare l'applicazione SAML, tutti gli utenti che devono eseguire l'accesso utilizzando questa applicazione devono essere presenti nel provider di servizi (SP). Se necessario, utilizzare il provisioning SCIM per sincronizzare utenti o gruppi dal provider di identità (IdP) al provider di servizi. Vedere Integrazione delle applicazioni personalizzate con IAM.

  1. Nella pagina elenco Domini, selezionare il dominio in cui si desidera apportare le modifiche. Se è necessaria assistenza per trovare la pagina della lista per il dominio, vedere Elenco dei domini di Identity.
  2. Nella pagina dei dettagli, selezionare Applicazioni integrate. Viene visualizzato un elenco di applicazioni nel dominio.
  3. Selezionare Aggiungi applicazione.
  4. Nella finestra Aggiungi applicazione selezionare Applicazione SAML.
  5. Selezionare Avvia workflow.
  6. Nella pagina Aggiungi applicazione SAML fornire i valori per i campi riportati di seguito.

    • Immettere un nome per l'applicazione nel campo Nome.

      Per applicazioni con nomi lunghi, il nome apparirà troncato nella pagina Applicazioni personali. Considera di mantenere i nomi delle applicazioni il più breve possibile.

    • Nel campo Descrizione immettere al massimo 250 caratteri per fornire una descrizione dell'applicazione.

    • Selezionare l'icona Chiudi (X) nella finestra dell'icona Applicazione per eliminare l'icona Applicazione predefinita e quindi aggiungere l'icona personale per l'applicazione.

    • Selezionare Aggiungi collegamenti applicazione per aggiungere i collegamenti associati all'applicazione. Viene visualizzata la finestra Aggiungi e Aggiungi collegamento applicazione. I collegamenti alle app sono servizi quali Mail o Calendario offerti da applicazioni come Google o Office 365.

      Nella finestra Aggiungi collegamento applicazione effettuare le operazioni riportate di seguito.

      1. Immettere un Nome per il collegamento applicazione.

      2. Nel campo Stato relazione immettere l'URL utilizzato per accedere all'applicazione.

      3. Selezionare l'icona Chiudi (X) nella finestra dell'icona Applicazione per eliminare l'icona Applicazione predefinita per il collegamento all'applicazione, quindi aggiungere l'icona personalizzata per l'applicazione.

      4. Selezionare Visibile se si desidera che l'applicazione venga visualizzata automaticamente nella pagina Applicazioni personali di ciascun utente.
        Nota

        La selezione di questa casella di controllo non abilita o disabilita SSO nell'applicazione.

      5. Selezionare Aggiungi.

      Le informazioni sul collegamento applicazione vengono visualizzate nella tabella della sezione Collegamenti applicazione.

      Per rimuovere un collegamento applicazione, selezionare la riga, quindi selezionare Rimuovi.

      Nota

      Tra la selezione di Rimuovi e la mancata visualizzazione dell'applicazione nella pagina Applicazioni personali si verifica un ritardo (alcuni secondi). L'eliminazione del collegamento all'applicazione (e le concessioni correlate a tali collegamenti all'applicazione) è asincrona. Attendere alcuni secondi prima che il task asincrono rimuova l'applicazione e i relativi privilegi prima di provare di nuovo Applicazioni personali.

    • Nel campo Stato relazione immettere un valore inviato all'SP SAML come parametro RelayState SAML.

    • Nel campo URL di collegamento personalizzato specificare un URL di collegamento personalizzato. Tuttavia, se si utilizza una pagina di login predefinita fornita da IAM, lasciare vuoto questo campo.

    • Nel campo URL errore personalizzato, immettere l'URL della pagina di errore a cui deve essere reindirizzato un utente in caso di errore. Questo campo è facoltativo. Tuttavia, se non specificato, viene utilizzato l'URL della pagina di errore specifica del dominio. Se entrambi gli URL di errore non sono configurati, l'errore viene reindirizzato alla pagina di errore IAM (/ui/v1/error).

      Quando un utente tenta di utilizzare l'autenticazione social (ad esempio Google, Facebook e così via) per eseguire il login a IAM, l'URL di callback deve essere configurato nel campo URL errore personalizzato. I provider social hanno bisogno di questo URL di callback per chiamare IAM> e inviare la risposta dopo l'autenticazione social. L'URL di callback fornito viene utilizzato per verificare se l'utente esiste o meno (nel caso del primo login social) e visualizzare un errore se l'autenticazione social non è riuscita.

    • Nel campo URL callback collegamento social personalizzato immettere l'URL a cui IAM> può reindirizzare dopo il completamento del collegamento di un utente tra provider social e IAM>. Questo campo è facoltativo.

      Quando si crea un'applicazione personalizzata utilizzando l'SDK personalizzato IAM> e si esegue l'integrazione con IAM> Social Login, l'applicazione personalizzata deve disporre dell'URL di callback di collegamento che può essere reindirizzato dopo il completamento del collegamento dell'utente tra provider social e IAM.

  7. Nelle sezioni Visualizza impostazioni della pagina Aggiungi applicazione SAML, effettuare le selezioni riportate di seguito.

    • Selezionare la casella di controllo Visualizza in applicazioni personali per specificare che si desidera che l'applicazione SAML venga elencata nella pagina Applicazioni personali.

      Quando si seleziona la casella di controllo Visualizza in applicazioni personali nelle applicazioni, l'applicazione è quindi visibile nella pagina Applicazioni personali, ma la selezione di questa casella di controllo non abilita o disabilita SSO nell'applicazione.

      Il flag per abilitare o disabilitare SSO proviene dal modello di applicazione.

    • Selezionare la casella di controllo L'utente può richiedere l'accesso se si desidera che l'applicazione venga elencata nel catalogo. Questa opzione consente agli utenti finali di richiedere l'accesso all'applicazione dalla pagina Applicazioni personali selezionando Aggiungi e quindi selezionando l'applicazione dal catalogo.

    Nota

    Non dimenticare di attivare l'applicazione in modo che gli utenti possano richiedere l'accesso.
  8. Quando si crea un'applicazione SAML da zero anziché creare un'applicazione SAML preconfigurata creata dal catalogo applicazioni, viene visualizzata la sezione Autenticazione e autorizzazione. La casella di controllo Applica privilegi come autorizzazione è selezionata per impostazione predefinita. Questa casella di controllo consente agli utenti di accedere solo all'applicazione a cui è stato assegnato o concesso l'accesso. Se la casella di controllo è selezionata, IAM può controllare l'accesso all'applicazione SAML in base alle autorizzazioni concesse a utenti e gruppi. Se la casella di controllo non è selezionata, qualsiasi utente autenticato può accedere all'applicazione indipendentemente dallo stato dell'assegnazione.
  9. Selezionare Successivo e configurare SSO per l'applicazione SAML.
  10. Nella sezione Generale della pagina Configura Single Sign-On definire quanto riportato di seguito.

    • ID entità: immettere un nome univoco globale per un'entità SAML. L'ID entità è in genere l'URL di un provider di identità o di un provider di servizi.

    • Conferma dell'oggetto Holder-of-Key obbligatoria: attivare questa opzione, quindi immettere l'endpoint nel provider di servizi in cui il provider di identità può inviare asserzioni HOK (Holder-of-Key) di autenticazione SAML.

    • URL consumer asserzioni: immettere l'URL al quale il provider di identità SAML invia l'asserzione SAML. L'URL deve iniziare con il protocollo HTTP o HTTPS.

      Come parte del supporto di login multi-regione di OCI Identity, i clienti ora possono collegarsi alle proprie applicazioni anche se l'area primaria non è disponibile. Per abilitare questa funzionalità, quando i domini di identità IAM fungono da provider di servizi, nella richiesta di autenticazione SAML viene incluso un URL ACS (Assertion Consumer Service). I provider di identità esterni (ad esempio Azure, Okta, Google e altri) utilizzano questo URL ACS per restituire la risposta SAML ai domini di identità IAM. Questa funzione non è attualmente supportata per i provider di identità (ad esempio, Google Identity Provider) che eseguono la convalida personalizzata dell'URL ACS alla fine.

    • Formato ID nome: selezionare il tipo di formato da utilizzare per ID nome. Questo formato viene utilizzato dal provider di servizi e dal provider di identità per identificare facilmente un oggetto durante le comunicazioni.

      Nota

      Quando si integra IAM con l'applicazione MS SharePoint basata sul protocollo WS Fed 1.1, le opzioni riportate di seguito non sono disponibili nel formato ID nome: Persistente, Kerberos e Transiente.

    • Valore ID nome: selezionare il valore ID nome per identificare l'utente che ha eseguito il login. Le opzioni disponibili sono Nome utente, l'indirizzo Primary email dell'utente e Espressione. Quando si seleziona l'opzione Espressione, immettere un'espressione di percorso come valore nella casella di testo. Non è previsto alcun limite di caratteri per il valore, tuttavia esistono regole di convalida che vengono eseguite sul valore per eventuali caratteri non validi che non possono essere mappati.

      Di seguito sono riportati alcuni esempi di espressioni di percorso.

      • Per inviare "home email" come valore dell'attributo di asserzione, utilizzare:
        $(user.emails[type eq "home"].value)
      • Per inviare agli utenti il nome concatenato con il cognome come attributo di asserzione, utilizzare:
        #concat($(user.name.givenName), $(user.name.familyName))
      • Per inviare un attributo account denominato SALARY come valore dell'attributo asserzione, utilizzare:
        $(account.SALARY)
      • Per includere un attributo department dall'estensione dello schema personalizzato, utilizzare:
        $(user.urn:ietf:params:scim:schemas:idcs:extension:custom:User:department)

    • Certificato di firma: caricare il certificato di sottoscrizione utilizzato per cifrare l'asserzione SAML.

      Nota

      Alcuni browser mostrano percorsi di file preceduti da c:\fakepath\. Questo comportamento è una funzione di sicurezza del browser e non interrompe il processo di caricamento.
  11. Utilizzare la tabella riportata di seguito per definire una configurazione SAML con filtro più dettagliato nella sezione Configurazioni aggiuntive.
    Opzione Descrizione
    SSO con firma

    Selezionare Asserzione per indicare che si desidera l'asserzione SAML firmata. Selezionare Risposta se si desidera che la risposta autenticazione SAML sia firmata.
    Includi certificato di firma nella firma

    Selezionare la casella di controllo per includere il certificato di firma nella firma, ad esempio quando l'applicazione richiede l'invio del certificato di firma insieme all'asserzione.
    Algoritmo di hashing firma

    Selezionare il tipo di algoritmo di firma che si desidera utilizzare per firmare l'asserzione o la risposta, SHA-256 o SHA-1. SHA-256 genera un hash a 256 bit fisso. SHA-1 genera un valore hash a 160 bit noto come message digest.

    Nota: in un ambiente abilitato per FIPS, impostare l'algoritmo di hashing firma su SHA-256, l'unico algoritmo di hashing supportato, per evitare errori durante SSO.

    Abilita logout singolo

    Selezionare per configurare il logout unico SAML. Un singolo logout consente a un utente di eseguire il lotto di tutti i siti partecipanti in una sessione federata quasi contemporaneamente. Questa casella è selezionata per impostazione predefinita. Deselezionarla se non si desidera abilitare il logout singolo.
    Associazione logout

    Selezionare se la richiesta di logout viene inviata come REDIRECT (trasportata utilizzando messaggi di risposta con codice di stato HTTP 302) o POST (trasportata in contenuto di controllo modulo HTML, che utilizza un formato base-64). Questa casella di riepilogo viene visualizzata solo se si seleziona la casella di controllo Abilita logout singolo.
    URL logout singolo

    Immettere la posizione (HTTP o HTTPS) in cui viene inviata la richiesta di logout. Questo campo viene visualizzato solo se si seleziona la casella di controllo Abilita logout singolo.
    URL risposta di logout

    Immettere la posizione (HTTP o HTTPS) in cui viene inviata la risposta di logout. Questo campo viene visualizzato solo se si seleziona la casella di controllo Abilita logout singolo.
    Cifra asserzione

    Selezionare se si desidera cifrare l'asserzione, quindi definire l'algoritmo di cifratura che si desidera utilizzare e caricare il certificato di cifratura.
    Certificato di cifratura

    Selezionare Carica per caricare il certificato della cifratura utilizzato per cifrare l'asserzione SAML. Questo pulsante viene visualizzato solo se si seleziona la casella di controllo Cifra asserzione.
    Algoritmo di cifratura

    Selezionare l'algoritmo di cifratura che si desidera utilizzare per cifrare l'asserzione SAML. Questa casella di riepilogo viene visualizzata solo se si seleziona la casella di controllo Cifra asserzione.
    Algoritmo di crittografia chiave

    Selezionare l'algoritmo di cifratura chiave che si desidera utilizzare per cifrare l'asserzione SAML. Questa casella di riepilogo viene visualizzata solo se si seleziona la casella di controllo Cifra asserzione.
  12. Nella sezione Configurazione attributo aggiungere attributi specifici dell'utente e di gruppo all'asserzione SAML. Questa operazione è utile se l'applicazione utilizza attributi specifici dell'utente o del gruppo e si desidera inviare tali informazioni come parte dell'asserzione SAML.
  13. Selezionare Attributi aggiuntivi, quindi utilizzare la tabella riportata di seguito per specificare l'attributo utente che si desidera includere. Le informazioni utente nell'istruzione attributo contengono un elenco di attributi. Ogni attributo include un nome e un elenco di valori (se esistono più valori di attributo). Ogni valore include un valore e il formato del valore.
    Opzione Descrizione
    Nome

    Immettere il nome dell'attributo di asserzione SAML.
    Formato

    Selezionare il formato di questo attributo di asserzione SAML: Di base, Riferimento URI o Non specificato.

    Nota: quando si integra IAM con l'applicazione MS SharePoint basata sul protocollo WS Fed 1.1, il menu Formato viene sostituito con Spazio di nomi.
    Tipo
    Selezionare una delle opzioni seguenti per specificare il valore dell'attributo di asserzione:

    • Attributo utente

      Selezionare questa opzione per scegliere uno degli attributi utente o di gruppo predefiniti nel menu Valore come valore dell'attributo di asserzione. Per specificare gli attributi del gruppo, selezionare Attributo utente e, nel campo Valore, selezionare Appartenenza al gruppo.

    • Espressione/Valore

      Selezionare questa opzione quando non è possibile utilizzare alcun valore predefinito nel menu Valore. È possibile fornire un'espressione nella casella di testo Valore per specificare il valore dell'attributo di asserzione SAML.

      Per specificare gli attributi del gruppo, selezionare Espressione/letterale e specificare un'espressione per recuperare i gruppi.

      Esempio: l'espressione seguente specifica che il valore dell'attributo SAML deve essere costituito dai nomi di tutti i gruppi a cui appartiene l'utente: $(user.groups[*].display).
    Valore di tipo

    Selezionare o immettere il valore da inviare come parte dell'asserzione in base al tipo selezionato.

    Quando il tipo è Attributo utente, è possibile selezionare uno degli attributi utente predefiniti come valore dell'attributo di asserzione. Selezionare l'opzione Appartenenza al gruppo nel menu se si desidera inviare l'appartenenza al gruppo di utenti come valore dell'attributo di asserzione. Le colonne Condizione e Valore vengono visualizzate quando si sceglie Appartenenza al gruppo.

    Quando il tipo è Espressione/letterale, il campo valore è una casella di testo ed è possibile immettere qualsiasi espressione di percorso per specificare il valore dell'attributo di asserzione.

    Di seguito sono riportati alcuni esempi di espressioni di percorso.

    • Per inviare una lista di valori letterali come valore dell'attributo di asserzione, utilizzare ["value1", "value2", "value3"].

    • Per inviare "e-mail home" come valore dell'attributo asserzione, utilizzare $(user.emails[type eq "home"].value).

    • Per inviare agli utenti il nome concatenato con il cognome come attributo di asserzione, utilizzare #concat($(user.name.givenName), $(user.name.familyName)).

    • Per inviare un attributo account denominato SALARY come valore dell'attributo asserzione, utilizzare $(account.SALARY).

    • Per includere un attributo department dall'estensione dello schema personalizzato, utilizzare $(user.urn:ietf:params:scim:schemas:idcs:extension:custom:User:department).

    • Per inviare un valore letterale come valore dell'asserzione, utilizzare aLiteralValue.
    Condizione

    Selezionare una condizione dal menu per filtrare le appartenenze ai gruppi. Questo campo è abilitato solo se si seleziona Attributo utente come Tipo e Appartenenza al gruppo come Valore tipo. I valori disponibili sono: Uguale a, Inizia con e Tutti i gruppi.
    Valore di condizione

    Immettere il valore del filtro da utilizzare quando si filtrano le appartenenze ai gruppi.
  14. Selezionare Fine. L'applicazione viene aggiunta in stato disattivato. Per attivare l'applicazione, vedere Attivazione delle applicazioni.
  15. Nella sezione Configurazione SSO, per importare il certificato di firma IAM nell'applicazione, selezionare Scarica certificato di firma per scaricare prima il file del certificato in formato PEM. Questo certificato viene utilizzato dall'applicazione SAML per verificare che l'asserzione SAML sia valida.
  16. Nella sezione Configurazione SSO, per importare i metadati del provider di identità IAM nell'applicazione, selezionare Scarica metadati provider di identità per scaricare prima il file di metadati in formato XML. L'applicazione SAML richiede queste informazioni in modo che possa considerare attendibile ed elaborare l'asserzione SAML generata da IAM nell'ambito del processo di federazione. Queste informazioni includono, ad esempio, il supporto del profilo e dell'associazione, gli endpoint di connessione e le informazioni sul certificato. Per ottenere il certificato radice IAM di emissione, vedere Ottenere il certificato CA radice.