Crea i partner SAML 1.1 e OpenID 2.0 IdP in OAM e SP

Questo articolo descrive come impostare un accordo di federazione tra OAM che funge da SP e un partner remoto IdP tramite i protocolli SAML 1.1 o OpenID 2.0:

• Imposta un partner remoto SAML 1.1 IdP
• Configura un partner remoto OpenID 2.0 IdP

L'articolo descrive come eseguire le attività di cui sopra tramite l'interfaccia utente o l'uso dei comandi OAM WLST.

SAML 1.1

Console di amministrazione di OAM

Per creare un nuovo partner SAML 1.1 IdP, eseguire i passi riportati di seguito (assicurarsi innanzitutto di disporre di tutti i dati del partner IdP, quali certificati, identificativi IdP e URL):

1. Andare alla console di amministrazione OAM: http(s)://oam-admin-host:oam-adminport/oamconsole.
2. Passare a Identity Federation, Service Provider Administration.
3. Fare clic sul pulsante Crea partner provider di identità.
4. Nella schermata Crea:
5. Immettere un nome per il partner.
6. Immettere l'emittente/ProviderID del partner IdP.
7. Se il campo SuccinctID viene lasciato vuoto, OAM/SP lo calcola digitando l'ID provider utilizzando l'algoritmo SHA-1 (deve essere lasciato vuoto).
8. Immettere l'URL del servizio SSO per il partner IdP specificato. Si tratta dell'URL in cui l'utente viene reindirizzato da OAM/SP con un SAML AuthnRequest al IdP.
9. Se il partner supporta il protocollo di artifact SAML 2.0, immettere l'URL del servizio SOAP in cui OAM/SP si connette per recuperare l'asserzione SAML durante un'operazione di artifact SSO.
10. Carica il file del certificato di firma IdP:
• in formato PEM (dove il file contiene come prima riga --BEGIN CERTIFICATE--, quindi il certificato in formato codificato Base64, quindi l'ultima riga come --END CERTIFICATE--)
• o nel formato DER in cui il certificato è memorizzato nella codifica binaria
11. Sezione Mapping asserzioni:
• Facoltativamente, impostare l'area di memorizzazione delle identità OAM da utilizzare. Nota: nell'esempio è stato lasciato vuoto il campo per utilizzare l'area di memorizzazione delle identità OAM predefinita.
• Facoltativamente, impostare il DN di base della ricerca utenti. Nota: nell'esempio è stato lasciato vuoto il campo per utilizzare il DN base di ricerca utente configurato nell'area di memorizzazione delle identità
12. Selezionare la modalità di esecuzione del mapping. Nota: nell'esempio viene eseguito il mapping dell'asserzione tramite NameID all'attributo di posta LDAP.
13. Selezionare il profilo attributo utilizzato per mappare i nomi degli attributi nell'asserzione SAML in entrata ai nomi locali.
14. Fare clic su Salva.



Descrizione dell'immagine OAM_Admin_Console.jpg

15. Dopo aver creato il partner, viene visualizzata la schermata Modifica partner con:
• È possibile modificare le impostazioni impostate nella schermata precedente.
• Viene visualizzata una sezione Impostazioni avanzate.
• Autenticazione Basic HTTP: se si utilizza l'associazione artifact, OAM/SP deve connettersi direttamente a IdP su SOAP per recuperare l'asserzione SAML. A volte IdP abilita l'autenticazione Basic HTTP sul canale SOAP e OAM/SP deve fornire nome utente/password a IdP (queste credenziali verranno concordate tra gli amministratori di IdP e SP).

Descrizione dell'immagine Edit_Partner_Screen.jpg

[Description of the illustration Edit_Partner_Screen.jpg](files/Edit_Partner_Screen.txt)

WLST

Per creare un nuovo partner SAML 1.1 IdP utilizzando i comandi OAM WLST, eseguire le operazioni riportate di seguito (assicurarsi di disporre di tutti i dati del partner IdP, quali certificati, identificativi IdP e URL):

1. Immettere l'ambiente WLST eseguendo: $IAM_ORACLE_HOME/common/bin/wlst.sh.

2. Connettersi al server di amministrazione WLS: connect().

3. Passare alla diramazione Runtime dominio: domainRuntime().

4. Crea il partner SAML 1.1 IdP che chiama acmeIdP in OAM: addSAML11IdPFederationPartner("acmeIdP", "https://acme.com/idp", "https://acme.com/saml11/sso", "https://acme.com/saml11/soap".

5. Per impostazione predefinita, il nuovo partner SP è configurato per:

6. Usa area memorizzazione identità OAM predefinita

7. Utilizzare il DN di base di ricerca utente dell'area di memorizzazione delle identità (senza override)

8. Mappare l'asserzione SAML utilizzando NameID corrispondente all'attributo di posta LDAP.

9. Usare il profilo attributo provider di identità predefinito.

10. Nessun certificato caricato per questo partner IdP.

11. Uscire dall'ambiente WLST: exit().

Modifica delle impostazioni federazione tramite WLST

In questa sezione viene descritto come modificare le impostazioni comuni dei partner IdP mediante i comandi OAM WLST:

• Impostazioni mapping asserzione SAML
• DN base ricerca utente e area di memorizzazione identità OAM per mapping asserzione SAML
• Certificato di firma SAML
• Profilo attributi partner IdP per un partner IdP

Si supponga di trovarsi già nell'ambiente WLST e di essere connessi mediante:

1. Immettere l'ambiente WLST eseguendo: $IAM_ORACLE_HOME/common/bin/wlst.sh.
2. Connettersi al server di amministrazione WLS: connect().
3. Passare alla diramazione Runtime dominio: domainRuntime().

Impostazione mappatura asserzione SAML

Per configurare le impostazioni di mapping per un partner SAML IdP, effettuare le operazioni riportate di seguito.

• Utilizzare il comando seguente per mappare l'asserzione tramite NameID:
  • setIdPPartnerMappingNameID(partnerName, userstoreAttr)
  • partnerName è il nome utilizzato per creare il partner IdP
  • userstoreAttr: attributo utente LDAP corrispondente al valore NameID.
• Utilizzare il comando seguente per mappare l'asserzione tramite un attributo SAML:
  • setIdPPartnerMappingAVribute(partnerName, assertionAttr, userstoreAttr)
  • partnerName è il nome utilizzato per creare il IdP Partner assertionAttr: nome dell'attributo SAML.
  • userstoreAttr: attributo utente LDAP corrispondente al valore dell'attributo SAML.
• Utilizzare il seguente comando per mappare l'asserzione tramite una query LDAP:
• setIdPPartnerMappingAVributeQuery(partnerName, attrQuery)
• partnerName è il nome utilizzato per creare il partner IdP
• attrQuery: la query LDAP da utilizzare, ad esempio (&(givenname=%firstname%) (sn=%lastname%)).

DN base ricerca utenti e area memorizzazione identità OAM

Per configurare OAM/SP in modo che utilizzi un'area di memorizzazione delle identità OAM specifica e/o un DN base di ricerca utente specifico durante il mapping dell'asserzione SAML in entrata, eseguire il comando setPartnerIDStoreAndBaseDN() seguente:

• Utilizzare il comando seguente per impostare solo l'area di memorizzazione delle identità OAM:
  • setPartnerIDStoreAndBaseDN(partnerName, "idp", storeName="oid")
  • partnerName è il nome utilizzato per creare il partner IdP
  • idp indica il tipo di partner
  • storeName: fa riferimento all'area di memorizzazione delle identità OAM da utilizzare
• Utilizzare il comando riportato di seguito per impostare solo il DN della base di ricerca.
• setPartnerIDStoreAndBaseDN(partnerName, "idp",searchBaseDN="ou=managers,dc=acme,dc=com")
• partnerName è il nome utilizzato per creare il partner IdP
• idp indica il tipo di partner
• searchBaseDN: indica il DN della base di ricerca da utilizzare
• Utilizzare il comando seguente per impostare l'area di memorizzazione delle identità OAM e il DN base di ricerca:
• setPartnerIDStoreAndBaseDN(partnerName,"idp", storeName="oid", searchBaseDN="ou=managers,dc=acme,dc=com")
• partnerName è il nome utilizzato per creare il partner IdP
• idp indica il tipo di partner
• storeName: fa riferimento all'area di memorizzazione delle identità OAM da utilizzare
• searchBaseDN: indica il DN della base di ricerca da utilizzare
• Utilizzare il comando riportato di seguito per rimuovere l'area di memorizzazione delle identità OAM e il DN base di ricerca dalla voce del partner IdP.
• setPartnerIDStoreAndBaseDN(partnerName, "idp", delete="true")
• partnerName è il nome utilizzato per creare il partner IdP
• idp indica il tipo di partner

Certificato di firma SAML

Sono disponibili vari comandi WLST per gestire i certificati di firma e cifratura:

• getFederationPartnerSigningCert() che stampa il certificato di firma del partner nel formato codificato Base64: getFederationPartnerSigningCert("acmeIdP", "idp")
• acmeIdP rappresenta il nome del partner creato in precedenza
• idp indica il tipo di partner
• setFederationPartnerSigningCert() che carica il file del certificato di firma passato come parametro alla configurazione del partner IdP: setFederationPartnerSigningCert("acmeIdP","idp", "/tmp/cert.file")
• acmeIdP rappresenta il nome del partner creato in precedenza
• idp indica il tipo di partner
• il terzo parametro indica la posizione nel file system del file contenente il certificato:
  • in formato PEM (dove il file contiene come prima riga --BEGIN CERTIFICATE--, quindi il certificato in formato codificato Base64, quindi l'ultima riga come --END CERTIFICATE--)
  • o nel formato DER in cui il certificato è memorizzato nella codifica binaria
• deleteFederationPartnerSigningCert() che rimuove il certificato di firma dalla voce partner IdP: deleteFederationPartnerSigningCert("acmeIdP","idp")
• acmeIdP rappresenta il nome del partner creato in precedenza
• idp indica il tipo di partner

IdP Profilo attributi partner

Per configurare il profilo attributo partner IdP per un partner IdP specifico, utilizzare i comandi seguenti: Per configurare un partner IdP in modo che utilizzi un profilo attributo partner IdP specifico, eseguire:

• setIdPPartnerAttributeProfile(partnerName, attrProfileID)
• partnerName è il nome utilizzato per creare il partner IdP
• attrProfileID è l'ID profilo attributo partner IdP
• Per elencare i profili attributo partner IdP esistenti, eseguire: listIdPPartnerAttributeProfileIDs()

Esempi

I comandi riportati di seguito potrebbero essere utilizzati per aggiungere un partner SAML 1.1 IdP (in questo esempio è stato scelto di specificare un'area di memorizzazione delle identità):

addSAML11IdPFederationPartner("acmeIdP", "https://acme.com/idp", "https://acme.com/saml1 /sso", "https://acme.com/saml11/soap" setFederationPartnerSigningCert("acmeIdP", "idp","/tmp/acme-idp-cert.pem") setPartnerIDStoreAndBaseDN("acmeIdP", "idp", "oid") setIdPPartnerMappingNameID("acmeIdP", "mail")

OpenID 2.0

Console di amministrazione di OAM

Per creare un nuovo partner IdP/OP OpenID 2.0, eseguire i passi riportati di seguito (assicurarsi di disporre di tutti i dati del partner IdP/OP, ad esempio la ricerca automatica e gli URL SSO).

1. Andare alla console di amministrazione OAM: http(s)://oam-admin-host:oam-adminport/oamconsole.
2. Passare a Identity Federation, Service Provider Administration.
3. Fare clic sul pulsante Crea partner provider di identità.
4. Nella schermata Crea:
   1. Immettere un nome per il partner.
   2. Selezionare OpenID 2.0 come protocollo.
   3. Selezionare la modalità di interazione con OpenID OP.
      1. Specificare l'URL di ricerca automatica OpenID in cui viene pubblicato il file XRDS di OP.
      2. In alternativa, specificare l'URL SSO OpenID in cui reindirizzare l'utente per SSO OpenID.
5. Immettere l'URL corrispondente all'opzione Dettagli servizio.
6. Sezione Mapping:
   1. Facoltativamente, impostare l'area di memorizzazione delle identità OAM da utilizzare. Nota: nell'esempio è stato lasciato vuoto il campo per utilizzare l'area di memorizzazione delle identità OAM predefinita.
   2. Facoltativamente, impostare il DN di base della ricerca utenti. Nota: nell'esempio è stato lasciato vuoto il campo per utilizzare il DN base di ricerca utente configurato nell'area di memorizzazione delle identità.
   3. Selezionare la modalità di esecuzione del mapping. Nota: nell'esempio viene mappata la risposta OpenID mediante un attributo denominato http://axschema.org /contact/email all'attributo di posta LDAP. Nota: il mapping tramite NameID non è possibile con il protocollo OpenID.
   4. Selezionare il profilo attributo utilizzato per mappare i nomi degli attributi nell'asserzione SAML in entrata ai nomi locali.
7. Fare clic su Salva.

Descrizione dell'immagine Create_Idty_Provider_Screen.jpg

Dopo aver creato il partner, viene visualizzata la schermata Modifica partner con:

• Le impostazioni impostate nella schermata precedente possono essere modificate
• Viene visualizzata una sezione Impostazioni avanzate:
• Abilita estensione interfaccia utente OpenID: indica a OAM/SP/RP di includere nella richiesta OpenID l'estensione interfaccia utente e impostare la modalità su popup, se supportata da OP.
• OpenID Preferenza linguaggio estensione interfaccia utente: indica a OAM/SP/RP di includere nella richiesta OpenID l'estensione interfaccia utente e di impostare il campo della lingua sul valore di intestazione HTTP Accept-Language inviato dal browser dell'utente, se supportato da OP.
• Abilita l'icona della parte ricevente nell'estensione dell'interfaccia utente OpenID: indica a OAM/SP/RP di includere nella richiesta OpenID l'estensione dell'interfaccia utente e di impostare l'icona fag, se supportata da OP.

Descrizione dell'immagine Edit_Partner_Adv_Settings_Screen.jpg

Il protocollo OpenID 2.0 si basa principalmente sugli attributi utente condivisi tra OP e RP durante lo scambio SSO OpenID 2.0. OAM/RP può mappare i nomi degli attributi nella risposta SSO in entrata ai nomi locali. A tale scopo, utilizzare il profilo attributo IdP.

WLST

Per creare un nuovo partner OP OpenID 2.0 utilizzando i comandi OAM WLST, eseguire i passi riportati di seguito (assicurarsi di disporre di tutti i dati del partner OP, quali il realm IdP/OP e gli URL):

1. Immettere l'ambiente WLST eseguendo: $IAM_ORACLE_HOME/common/bin/wlst.sh.
2. Connettersi al server di amministrazione WLS: connect().
3. Passare alla diramazione Runtime dominio: domainRuntime().
4. Crea il partner OP OpenID 2.0 che chiama acmeOP in OAM: addOpenID20IdPFederationPartner("acmeOP","https://acme.com/openid/sso","https://acme.com/openid/xrds").
5. Per impostazione predefinita, il nuovo partner SP è configurato per:
   1. Utilizzare l'area memorizzazione identità OAM predefinita.
   2. Utilizzare il DN di base di ricerca utente dell'area di memorizzazione delle identità (non sottoposto a override).
   3. Il mapping dell'asserzione non verrà configurato.
   4. Utilizzare il profilo attributo fornitore di servizi predefinito.
6. Uscire dall'ambiente WLST: exit().

Modifica delle impostazioni federazione tramite WLST

In questa sezione viene descritto come modificare le impostazioni comuni dei partner IdP/OP tramite i comandi OAM WLST:

• OpenID Impostazioni mapping risposte SSO
• Area di memorizzazione identità OAM e DN base di ricerca utenti per la risposta SSO OpenID
• Profilo attributi partner IdP per un partner IdP

Supponiamo che tu sia già in ambiente WLST e connesso utilizzando:

1. Immettere l'ambiente WLST eseguendo: $IAM_ORACLE_HOME/common/bin/wlst.sh.
2. Connettersi al server di amministrazione WLS: connect().
3. Passare alla diramazione Runtime dominio: domainRuntime().

OpenID Impostazioni mapping risposte SSO

Per configurare le impostazioni di mapping per un partner OpenID IdP, effettuare le operazioni riportate di seguito.

• Utilizzare il comando riportato di seguito per mappare la risposta SSO tramite un attributo SAML.
• setIdPPartnerMappingAVribute(partnerName, assertionAttr, userstoreAttr)
  • partnerName è il nome utilizzato per creare il partner IdP
• assertionAttr: nome dell'attributo OpenID.
• userstoreAttr: attributo utente LDAP corrispondente al valore dell'attributo SAML.
• Utilizzare il comando riportato di seguito per mappare la risposta SSO tramite una query LDAP.
• setIdPPartnerMappingAVributeQuery(partnerName, attrQuery)
• partnerName è il nome utilizzato per creare il partner IdP
• attrQuery: la query LDAP da utilizzare, ad esempio (&(givenname=%firstname%) (sn=%lastname%)).

DN base ricerca utenti e area memorizzazione identità OAM

Per configurare OAM/SP in modo che utilizzi un'area di memorizzazione delle identità OAM specifica e/o un DN base di ricerca utente specifico durante il mapping della risposta SSO OpenID in entrata, eseguire il comando setPartnerIDStoreAndBaseDN() riportato di seguito.

• Utilizzare il comando seguente per impostare solo l'area di memorizzazione delle identità OAM:
• setPartnerIDStoreAndBaseDN(partnerName,"idp", storeName="oid")
• partnerName è il nome utilizzato per creare il partner IdP
• idp indica il tipo di partner
• storeName: fa riferimento all'area di memorizzazione delle identità OAM da utilizzare
• Utilizzare il comando riportato di seguito per impostare solo il DN della base di ricerca.
• setPartnerIDStoreAndBaseDN(partnerName,"idp",searchBaseDN="ou=managers,dc=acme,dc=com")
• partnerName è il nome utilizzato per creare il partner IdP
• idp indica il tipo di partner
• searchBaseDN: indica il DN della base di ricerca da utilizzare
• Utilizzare il comando seguente per impostare l'area di memorizzazione delle identità OAM e il DN base di ricerca:
• setPartnerIDStoreAndBaseDN(partnerName,"idp", storeName="oid", searchBaseDN="ou=managers,dc=acme,dc=com")
• partnerName è il nome utilizzato per creare il partner IdP
• idp indica il tipo di partner
• storeName: fa riferimento all'area di memorizzazione delle identità OAM da utilizzare
• searchBaseDN: indica il DN della base di ricerca da utilizzare
• Utilizzare il comando riportato di seguito per rimuovere l'area di memorizzazione delle identità OAM e il DN base di ricerca dalla voce del partner IdP.
• setPartnerIDStoreAndBaseDN(partnerName,"idp", delete="true")
• partnerName è il nome utilizzato per creare il partner IdP
• idp indica il tipo di partner

IdP Profilo attributi partner

Per configurare il profilo attributo partner IdP per un partner IdP specifico, utilizzare i comandi seguenti: Per configurare un partner IdP in modo che utilizzi un profilo attributo partner IdP specifico, eseguire:

• setIdPPartnerAttributeProfile(partnerName, attrProfileID)
• partnerName è il nome utilizzato per creare il partner IdP
• attrProfileID è l'ID profilo attributo partner IdP
• Per elencare i profili attributo partner IdP esistenti, eseguire: listIdPPartnerAttributeProfileIDs()

Esempi

I comandi riportati di seguito potrebbero essere utilizzati per aggiungere un partner OP OpenID 2.0 (in questo esempio abbiamo scelto di non specificare un'area di memorizzazione delle identità):

addOpenID20IdPFederationPartner("acmeOP", "https://acme.com/openid/sso", "https://acme.com/openid/xrds") setIdPPartnerMappingAVribute("acmeOP", "http://axschema.org/contact/email", "mail"

OpenID per Google / Yahoo

Gli strumenti di amministrazione OAM offrono un modo semplice per aggiungere Google o Yahoo come OpenID 2.0 OP/IdP. OAM crea gli artifact necessari per eseguire SSO Federation con Google o Yahoo tramite il protocollo OpenID.

Per Google:

• OAM richiede gli attributi relativi a paese, posta, nome, cognome e lingua.
• Il mapping delle risposte SSO viene eseguito tramite l'attributo di posta.

Per Yahoo

• OAM richiede gli attributi relativi a paese, posta, nome, cognome, sesso e lingua.
• Il mapping delle risposte SSO viene eseguito tramite l'attributo di posta.

Console di amministrazione di OAM

Per creare Google o Yahoo come nuovo partner IdP/OP OpenID 2.0, eseguire le seguenti operazioni:

1. Andare alla console di amministrazione OAM: http(s)://oam-admin-host:oam-adminport/oamconsole.
2. Passare a Identity Federation , Service Provider Administration.
3. Fare clic sul pulsante Crea partner provider di identità.
4. Nella schermata Crea:
   1. Immettere un nome per il partner.
   2. Selezionare OpenID 2.0 come protocollo.
5. Seleziona
   • Impostazioni predefinite provider Google se si desidera aggiungere Google.
   • Impostazioni predefinite provider Yahoo se si desidera aggiungere Yahoo.
6. Fare clic su Salva.

Descrizione dell'immagine OAM_Admin_Console_Google_Yahoo.jpg

WLST

Per creare Google o Yahoo come nuovo partner IdP/OP OpenID 2.0 utilizzando i comandi OAM WLST, eseguire le seguenti operazioni:

1. Immettere l'ambiente WLST eseguendo: $IAM_ORACLE_HOME/common/bin/wlst.sh.
2. Connettersi al server di amministrazione WLS: connect().
3. Passare alla diramazione Runtime dominio: domainRuntime().
4. Crea OpenID 2.0 OP Partner:

• Per Google (il nome del partner è google): addOpenID20GoogleIdPFederationPartner().
• Per Yahoo (il nome del partner è yahoo): addOpenID20YahooIdPFederationPartner().

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o visita altri contenuti di formazione gratuiti sul canale Oracle Learning YouTube. Inoltre, visitare education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione sul prodotto, visitare Oracle Help Center.

---

Titolo e informazioni sul copyright

Create SAML 1.1 and OpenID 2.0 IdP Partners in OAM and SP

F59899-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.