Integrazione di ADFS 2.0 e 3.0 SP con OAM IdP

Questo articolo descrive come integrare ADFS 2.0/3.0 come SP e OAM come IdP. Assicurati di leggere la voce relativa ai prerequisiti.

L'integrazione SAML 2.0 si basa su quanto segue:

• L'indirizzo e-mail verrà utilizzato come formato NameID

• Il valore NameID contiene l'indirizzo di posta elettronica dell'utente

• L'associazione POST HTTP viene utilizzata per inviare l'asserzione SAML all'SP

• Gli utenti esistono in entrambi i sistemi, ognuno con lo stesso indirizzo di posta elettronica in modo che possa essere utilizzato come attributo utente comune.

ADFS 2.0 è disponibile in Windows 2008 R2, mentre ADFS 3.0 è disponibile in Windows 2012 R2. L'articolo mostra gli screenshot per ADFS 3.0, mentre i passi documentati si applicano a entrambe le versioni.

Impostazione ADFS

Per aggiungere OAM come IdP in ADFS SP, eseguire i passi riportati di seguito.

1. Andare al computer in cui è distribuito ADFS.

2. Se si utilizza ADFS 2.0

   • Fare clic su Menu di avvio, Programmi, Strumenti amministrativi, Gestione AD FS 2.0

   • Espandere ADFS 2.0, Relazioni attendibili

3. Se si utilizza ADFS 3.0

   • In Server Manager fare clic su Strumenti , Gestione ADFS

   • Espandere AD FS, Relazioni attendibili

4. Fare clic con il pulsante destro del mouse su Claims Provider Trusts e selezionare Aggiungi Claims Provider Trust.

Viene visualizzata la finestra Aggiungi trust fornitore richieste di risarcimento



Descrizione dell'immagine Add_Claims_Provider.jpg

5. Fare clic su Avvia.

6. Selezionare Importa dati relativi al provider delle richieste di rimborso da un file.

7. Fare clic su Sfoglia e selezionare il file di metadati OAM IdP SAML 2.0 locale (è necessario che gli endpoint OAM vengano terminati con SSL, altrimenti ADFS non importerà i metadati. Consulta l'articolo sui prerequisiti relativi a SSL).



Descrizione dell'immagine Import_Data.jpg

8. Fare clic su Next.

9. Se viene visualizzata una finestra di avvertenza relativa alle funzioni non supportate in ADFS, continuare facendo clic su OK (si riferisce alla funzione Autorità attributi SAML elencata nei metadati OAM IdP SAML 2.0).



Descrizione dell'immagine Warning_Message.jpg

10. Immettere un nome per il nuovo provider di identità SAML 2.0.



Descrizione dell'immagine Identity_Provider.jpg

11. Fare clic su Next. Viene visualizzata una finestra di riepilogo



Descrizione dell'immagine summary_window.jpg

12. Fare clic su Next.

13. Lasciare selezionata la casella Apri la modifica dei sinistri



Descrizione dell'immagine Edit_Claims.jpg

14. Fare clic su Chiudi. Viene visualizzata la finestra Modifica regola



Descrizione dell'immagine Edit_Rule_Window.jpg

15. Fare clic su Aggiungi regola.

16. Selezionare Pass-through o filtrare una richiesta di rimborso in entrata



Descrizione dell'immagine Select_Rule_Template.jpg

17. Fare clic su Next.

18. Immettere un nome per la regola di richiesta.

19. Selezionare NameID come tipo di richiesta in entrata.

20. Selezionare E-mail come formato ID nome in entrata.

21. Selezionare Passa tutti i valori di richiesta se si desidera accettare qualsiasi indirizzo di posta elettronica Passa solo i valori di richiesta che corrispondono a un valore di suffisso di posta elettronica specifico se si desidera accettare solo un set specifico di indirizzi di posta elettronica (in questo esempio, selezionare questa scelta poiché tutti gli utenti avranno un indirizzo di posta elettronica @acme.com).



Descrizione dell'immagine Configure_Rule.jpg

22. Fare clic su Fine. Viene visualizzato un elenco di regole di richiesta

23. Fare clic su OK.

Descrizione dell'immagine list_of_claim_rules.jpg

Come indicato nell'articolo sui prerequisiti, se si desidera configurare ADFS per utilizzare/accettare le firme SHA-1, effettuare le operazioni riportate di seguito. Nota: se non si configura ADFS per utilizzare/accettare le firme SHA-1, è necessario configurare OAM in modo che utilizzi SHA-256 per le firme.

1. Andare al computer in cui è distribuito ADFS.

   • Se si utilizza ADFS 2.0

     • Fare clic su Menu di avvio, Programmi, Strumenti amministrativi, Gestione AD FS 2.0

     • Espandere ADFS 2.0, Relazioni attendibili

   • Se si utilizza ADFS 3.0

     • In Server Manager fare clic su Strumenti , Gestione ADFS

     • Espandere AD FS, Relazioni attendibili

2. Fare clic con il pulsante destro del mouse sul trust provider di richieste di rimborso appena creato e selezionare Proprietà.

3. Selezionare la scheda Avanzate.

4. Selezionare SHA-1.

5. Fare clic su OK.

Descrizione dell'immagine Secure_Hash_Algorithm.jpg

Impostazione OAM

Per aggiungere ADFS come partner SP in OAM, eseguire i passi riportati di seguito.

1. Andare alla console di amministrazione OAM: http(s)://oam-admin-host:oam-adminport/oamconsole.

2. Passare a Identity Federation, Amministrazione provider di identità.

3. Fare clic sul pulsante Crea partner provider di servizi.

4. Nella schermata Crea:

   1. Immettere un nome per il partner

   2. Selezionare SAML 2.0 come protocollo

5. Fare clic su Carica metadati e caricare il file dei metadati SAML 2.0 per il provider di servizi.

6. Selezionare il formato NameID da impostare nel formato di asserzione SAML 2.0 (indirizzo di posta elettronica NameID in questo caso).

7. Immettere la modalità di impostazione del valore NameID: ID utente.

8. Attributo di memorizzazione e attributo di posta in questo caso.

9. Selezionare il profilo attributo predefinito che indica come inserire gli attributi nell'asserzione SAML.

10. Fare clic su Salva.

Come indicato nell'articolo sui prerequisiti, se si desidera configurare OAM in modo che utilizzi SHA-256 per le firme, effettuare le operazioni riportate di seguito. Nota: se non si configura OAM per utilizzare SHA-256 per le firme, è necessario configurare ADFS per utilizzare/accettare le firme SHA-1.

1. Immettere l'ambiente WLST eseguendo: $IAM_ORACLE_HOME/common/bin/wlst.sh.

2. Connettersi al server di amministrazione WLS: connect().

3. Passare alla diramazione Runtime dominio: domainRuntime().

4. Eseguire il comando configureFedDigitalSignature(): configureFedDigitalSignature(partner="PARTNER_NAME", partnerType="idp/sp", algorithm="SHA-256/SHA-1").

5. Sostituire PARTNER_NAME con il nome del partner aggiunto

   1. Impostare partnerType su idp o sp

   2. Impostare l'algoritmo su SHA-256 o SHA-1 Un esempio è: configureFedDigitalSignature(partner="ADFSSP", partnerType="sp”, algorithm="SHA-256")

6. Uscire dall'ambiente WLST: exit().

Test

Per eseguire il test, accedere alla pagina SSO avviata da OAM IdP:

• URL: http(s)://oam-runtime-host:oam-runtimeport/oamfed/idp/initiatesso?providerid=PARTNER_NAME

• Sostituire PARTNER_NAME con il nome del partner SP

Esempio: https://acme.com/oamfed/idp/initiatesso?providerid=ADFSSP

• Problemi OAM per l'autenticazione

Si verrà reindirizzati a ADFS SP con un'asserzione SAML

Descrizione dell'immagine SAML_Assertion.jpg

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o visita altri contenuti di formazione gratuiti sul canale Oracle Learning YouTube. Inoltre, visitare education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione sul prodotto, visitare Oracle Help Center.

---

Titolo e informazioni sul copyright

Integrating ADFS 2.0 and 3.0 SP with OAM IdP

F60451-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.