Integrazione di Google Apps con OAM e IdP

Google Apps fornisce una serie di servizi che le aziende a volte sfruttano per le loro attività quotidiane, che consentono ai loro dipendenti di scaricare posta, calendario, archiviazione dei documenti nel cloud di Google.

Quando un'azienda acquista Google Apps per i propri dipendenti, deve creare account utente in Google e fornire ai dipendenti le informazioni sul proprio account:

Ogni volta che l'utente deve accedere a Google Apps, viene eseguita un'operazione di autenticazione in cui l'utente immette le credenziali di Google Apps, che sono diverse dalle credenziali utente dell'azienda in locale.

Google Apps supporta il protocollo SSO SAML 2.0 come provider di servizi, in cui il servizio Google Apps per l'azienda può essere integrato con il server IdP SSO Federation in locale per:

Questo articolo descrive passo dopo passo come integrare Google Apps come SP con OAM come IdP tramite il protocollo SSO SAML 2.0.

Nota importante: l'abilitazione di SSO Federation per un dominio influisce anche sugli amministratori del dominio che successivamente devono eseguire l'autenticazione tramite SSO Federation.

Mapping utenti

Gli utenti di Google Apps sono identificati in modo univoco dagli indirizzi e-mail impostati al momento della creazione di tali utenti.

Durante un flusso SSO SAML 2.0, IdP deve fornire l'ID utente a Google Apps:

Prendiamo l'esempio della società ACME che ha acquistato un servizio Google Apps per il proprio dominio acme.com.

Per visualizzare un account utente in Google Apps, effettuare le operazioni riportate di seguito.

  1. Lancia un browser

  2. Vai a http://www.google.com/a

  3. Fare clic su Accedi

    4. Descrizione dell'immagine Google_SignIn.jpg

  4. Nel campo del dominio immettere il nome del dominio (in questo esempio, www.acme.com)

  5. Selezionare Console amministrazione

  6. Fare clic su Vai

    7. Descrizione dell'immagine Admin_Console.jpg

  7. Nel dashboard fare clic su Utenti.

    8. Descrizione dell'immagine Dashboard.jpg

  8. Selezionare un utente da visualizzare

Descrizione dell'immagine User_View.jpg

Nella schermata successiva vengono visualizzati i dettagli relativi all'utente. L'indirizzo e-mail viene visualizzato sotto l'identità dell'utente. In questo esempio, ACME IdP dovrà inviare a Google Apps alice o alice@acme.com durante l'operazione SSO SAML 2.0:

Descrizione dell'immagine User_Details.jpg

Configurazione IdP

Identificativo Google Apps

Google Apps può essere configurato dall'amministratore di Google Apps per essere noto a IdP:

Questo comportamento è determinato dall'opzione "Usa un emittente specifico del dominio" nella sezione di amministrazione SSO di Google Apps.

In genere, non è necessario utilizzare un emittente/providerID specifico e Google Apps nel flusso SSO SAML 2.0 è noto come google.com.

Partner SP di Google Apps

Per creare Google Apps come partner SP, effettuare le operazioni riportate di seguito.

  1. Andare alla console di amministrazione OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

  2. Passare a Identity Federation, Amministrazione provider di identità

  3. Fare clic sul pulsante Crea partner provider di servizi

  4. Nella schermata Crea:

    1. Immettere un nome per il partner: GoogleApps ad esempio

    2. Selezionare SAML 2.0 come protocollo

  5. Nei dettagli del servizio:

    1. Fare clic su Immettere manualmente

    2. Impostare l'ID provider su google.com (se in Google Apps è stata abilitata la funzione "Usa emittente specifico del dominio", immettere google.com/a/<YOUR_DOMAIN.COM>).

    3. Impostare l'URL consumer asserzioni su https://www.google.com /a/<YOUR_DOMAIN.COM>/acs (ad esempio https://www.google.com/a/acme.com/acs)

    4. Selezionare Indirizzo e-mail come formato NameID

  6. Selezionare l'attributo utente LDAP contenente userID che deve essere fornito a Google Apps. In questo esempio, l'attributo uid conteneva userID: selezionare Attributo area di memorizzazione ID utente, quindi immettere uid

  7. Selezionare il profilo attributo utilizzato per popolare l'asserzione SAML con gli attributi (il profilo vuoto predefinito è accettabile poiché Google Apps non prevede alcun SAML

  8. Attributi diversi da NameID)

  9. Fare clic su Salva

Descrizione dell'immagine Google_Apps.jpg

Raccolta delle informazioni OAM

Nella console di amministrazione SSO di Google Apps è necessario fornire le informazioni riportate di seguito.

In un articolo precedente, abbiamo elencato gli endpoint pubblicati da OAM. L'endpoint IdP SSO SAML 2.0 e l'endpoint di logout SAML 2.0 sarebbero http(s)://oampublic-hostname:oam-public-port/oamfed /idp/samlv20, with oam-public-hostname e la porta oampublic corrisponde ai valori dell'endpoint pubblico, dove l'utente accede all'applicazione OAM (load balancer, proxy inverso HTTP...).

Se non sei sicuro di oam-public-hostname e oam-public-port, puoi:

  1. Andare alla console di amministrazione OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

  2. Passare a Configurazione, Impostazioni Access Manager

  3. oam-public-hostname è l'host del server OAM, oam-public-port è la porta del server OAM e il protocollo (http o https) è elencato nel protocollo del server OAM.

Descrizione dell'immagine Access_Manager_Settings.jpg

Nello stesso articolo, abbiamo anche spiegato come determinare quale voce chiave viene utilizzata per firmare i messaggi SAML e come recuperare il corrispondente certificato di firma utilizzato da IdP:

  1. Andare alla console di amministrazione OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

  2. Passare a Configurazione, Impostazioni federazione

  3. Il campo Chiave di firma nella sezione Generale indica la voce ID chiave utilizzata per le operazioni di firma messaggio SAML

Descrizione dell'immagine Federation_Settings.jpg

Per recuperare il file di certificato di un ID chiave specifico, aprire un browser e utilizzare l'URL seguente per recuperare il certificato e salvarlo localmente:

http://oam-runtime-host:oam-runtime-port/oamfed /idp/cert?id=<KEYENTRY_ID>

Configurazione di Google Apps

Per configurare il flusso SSO di Google Apps for SAML 2.0, effettuare le operazioni riportate di seguito.

  1. Lancia un browser

  2. Vai a https://www.google.com/enterprise/apps/business/

  3. Autenticare e passare al dashboard di amministrazione

  4. Fai clic su Altri controlli

    5. Descrizione dell'immagine More_Controls.jpg

  5. Fare clic su Sicurezza

    6. Descrizione dell'immagine Security_Screen.jpg

  6. Fare clic su Impostazioni avanzate

    7. Descrizione dell'immagine Advanced_Settings.jpg

  7. Fare clic su Configura Single Sign-On (SSO).

Descrizione dell'immagine SSO_Screen.jpg

Nella pagina Impostazione SSO, caricare il certificato:

  1. Nella sezione Certificato di verifica fare clic su Scegli file.

  2. Selezionare il certificato OAM IdP salvato in precedenza

  3. Fare clic su carica.

Descrizione dell'immagine Upload_certificate.jpg

Nella pagina Impostazione SSO, impostare gli URL e abilitare SSO Federation:

  1. Immettere l'URL di accesso (IdP dell'endpoint SSO SAML 2.0), simile a http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20 (ad esempio: https://sso.acme.com/oamfed/idp/samlv20)

  2. Immettere l'URL di scollegamento (IdP endpoint di logout SAML 2.0), simile a http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20 (ad esempio: https://sso.acme.com/oamfed/idp/samlv20)

  3. Immettere l'URL di modifica password per la distribuzione (nota: in questo esempio utilizzare /changePassword, ma non si tratta di un servizio OAM; è necessario immettere l'URL del servizio di gestione password per la distribuzione).

  4. Selezionare Abilita Single Sign-On per attivare SSO Federation

  5. Fare clic su Salva

Descrizione dell'immagine Enable_SSO.jpg

Test

Per eseguire i test:

  1. Apri un nuovo browser

  2. Andare a questi URL per eseguire l'autenticazione tramite SSO Federation per le seguenti Google Apps:

  3. Gmail: https://mail.google.com /a/\<YOUR_DOMAIN.COM\>/ (ad esempio https://mail.google.com/a/acme.com/)

  4. Calendario: https://calendar.google.com /a/\<YOUR_DOMAIN.COM\>/ (ad esempio https://calendar.google.com/a/acme.com/)

  5. Documenti: https://docs.google.com /a/\<YOUR_DOMAIN.COM\>/ (ad esempio https://docs.google.com/a/acme.com/)

  6. Immettere l'URL Gmail, ad esempio

Si verrà reindirizzati a OAM IdP

  1. Inserisci credenziali

    2. Descrizione dell'immagine Access_Manager.jpg

  2. Fare clic su Login

Viene visualizzata l'applicazione Gmail:

Descrizione dell'immagine Gmail_Login.jpg

[Description of the illustration Gmail_Login.jpg](files/Gmail_Login.txt)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o visita altri contenuti di formazione gratuiti sul canale Oracle Learning YouTube. Inoltre, visitare education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione sul prodotto, visitare Oracle Help Center.