Identity Cloud Service e SAML

Identity Cloud Service o IDCS fornisce funzionalità di gestione delle identità ospitate nel cloud ai clienti Oracle, tra cui:

• Gestione utente e gruppo

• SSO SAML con SP SAML e IdPs

• SSO OpenID Connect con SP

Questo articolo descrive le funzioni SAML supportate da IDCS 17.2.2 e versioni successive.

Supporto SAML

Protocollo

I protocolli e le associazioni SAML 2.0 seguenti sono supportati da IDCS:

• Protocollo SSO SAML 2.0

  • Invio e ricezione del AuthnRequest SAML tramite le associazioni HTTP-Redirect o HTTP-POST

  • Invio e ricezione della risposta SAML contenente l'asserzione SAML tramite l'associazione HTTP-POST

• Protocollo di logout SAML 2.0 - Invio e ricezione di SAML

  • LogoutRequest tramite associazioni HTTP-Redirect o HTTP-POST

  • Invio e ricezione del LogoutResponse SAML tramite le associazioni HTTP-Redirect o HTTP-POST

• Metadati SAML 2.0

  • Il servizio SAML IDCS può generare un documento di metadati SAML 2.0 in cui sono elencati i servizi e i certificati utilizzati per SSO Federation

  • Il servizio SAML IDCS può inoltre utilizzare metadati SAML 2.0 durante l'istituzione di trust federativo.

Crittografia

Il servizio SAML IDCS supporta le funzioni di cifratura riportate di seguito.

• SHA-256 e SHA-1 come algoritmo hash della firma

• Inclusione del certificato di firma IDCS nei messaggi SAML in uscita, quando il messaggio viene inviato utilizzando l'associazione HTTP-POST

• Quando IDCS funge da SAML IdP durante la generazione dell'asserzione SAML:

  • La risposta SAML o l'asserzione SAML è firmata

  • L'asserzione SAML può essere cifrata utilizzando AES-128-CBC, AES-192-CBC, AES-256-CBC o 3DES-CBC

  • Quando IDCS agisce come SP SAML durante l'utilizzo dell'asserzione SAML:

• È necessario firmare la risposta SAML o l'asserzione SAML

Generazione asserzione SAML

In qualità di IdP, IDCS supporta quanto segue quando viene emessa un'asserzione SAML 2.0

• Formato NameID

  • urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress

  • urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName

  • urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualifiedName

  • urn:oasis:names:tc:SAML:2.0:nameidformat:kerberos

  • urn:oasis:names:tc:SAML:2.0:nameidformat:persistent

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient

  • Formato NameID personalizzato

• Valore NameID

  • Attributo utente Nome utente o Posta elettronica primaria memorizzato nell'area di memorizzazione delle identità per qualsiasi formato NameID ad eccezione di urn:oasis:names:tc:SAML:2.0:nameidformat:transient

  • Per urn:oasis:names:tc:SAML:2.0:nameidformat:transient, un identificativo casuale monouso

• Attributi SAML

  • I seguenti attributi utente memorizzati nell'area di memorizzazione delle identità

    • Nome utente

    • Nome specificato

    • Secondo nome

    • Nome famiglia

    • Indirizzo di posta elettronica primario

    • Indirizzo e-mail lavoro

    • Numeri di telefono (casa, cellulare, lavoro)

    • Titolo

    • Attributi indirizzo lavoro

    • Gruppi utente

  • Il nome dell'attributo SAML può essere impostato dall'amministratore

• L'asserzione SAML contiene un attributo che contiene il nome del dominio di Identity:

  • Nome: oracle:cloud:identity:domain

  • Valore: il nome del dominio di Identity del cliente.

Utilizzo asserzione SAML

In qualità di SP, IDCS convalida l'asserzione SAML in entrata e la mappa a un record utente IDCS. Il servizio supporta quanto segue:

• Formato NameID

  • urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress

  • urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName

  • urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualifiedName

  • urn:oasis:names:tc:SAML:2.0:nameidformat:Kerberos

  • urn:oasis:names:tc:SAML:2.0:nameidformat:persistent

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient

  • Formato NameID personalizzato

• Mapping asserzioni

  • In base al valore NameID contenuto nell'asserzione mappato a un attributo record utente nell'area di memorizzazione delle identità

  • In alternativa, in base a un attributo SAML contenuto nell'asserzione mappato a un attributo record utente nell'area di memorizzazione delle identità

• Le informazioni dell'asserzione SAML vengono mappate a uno degli attributi dei record utente seguenti:

  • Nome utente

  • Nome visualizzato

  • Nome specificato

  • Secondo nome

  • Nome famiglia

  • Indirizzo di posta elettronica primario

  • Qualsiasi altro indirizzo di posta elettronica (home, work, other, recovery)

Endpoint

I servizi che implementano il protocollo SAML 2.0 sono pubblicati all'indirizzo:

• /fed/v1/idp/sso per il servizio Single Sign-On IdP, in cui l'SP reindirizza l'utente con SAML AuthnRequest a IdP

• /fed/v1/idp/slo per il servizio di logout singolo IdP, in cui l'SP reindirizza l'utente con SAML LogoutRequest o LogoutResponse a IdP

• /fed/v1/sp/sso per il servizio consumer di asserzione SP, dove IdP reindirizza l'utente con la risposta SAML contenente l'asserzione SAML all'SP

• /fed/v1/sp/slo per il servizio di logout singolo SP, in cui IdP reindirizza l'utente con SAML LogoutRequest o LogoutResponse all'SP

• /fed/v1/metadata per i metadati SAML 2.0

Il servizio SAML fornisce inoltre due endpoint per avviare un'operazione SSO Federation, ignorando se l'utente è già autenticato nel dominio SP di destinazione. Di conseguenza, questi flussi non devono essere utilizzati principalmente e l'utente deve essere inviato al servizio SSO di destinazione che determina se è necessaria o meno un'autenticazione che coinvolge SSO Federation. Entrambi i servizi SAML (IdP o SP) supportano l'avvio di un SSO Federation:

• IdP SSO avviato:

  • Endpoint: /fed/v1/idp/initiatess

  • Parametri query (è richiesto providerid, partnerguid o partnername; returnurl è facoltativo)

    • providerid: SP ProviderID

    • partnername: il nome del provider di servizi registrato in IDCS

    • partnerguid: il GUID univoco del processore di servizio registrato in IDCS.

    • returnurl: la posizione in cui l'utente deve essere reindirizzato dopo il completamento di SSO Federation

• SSO avviato da SP:

  • Endpoint: /fed/v1/sp/initiatess

  • Parametri query (è richiesto providerid, partnerguid o partnername; returnurl è facoltativo)

    • providerid: IdP ProviderID

    • partnername: il nome del file IdP registrato in IDCS

    • partnerguid: il GUID univoco di IdP registrato in IDCS

    • returnurl: la posizione in cui l'utente deve essere reindirizzato dopo il completamento di SSO Federation

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o visita altri contenuti di formazione gratuiti sul canale Oracle Learning YouTube. Inoltre, visitare education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione sul prodotto, visitare Oracle Help Center.

---

Titolo e informazioni sul copyright

Identity Cloud Service and SAML

F60447-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.