1. Integra Oracle Identity Cloud Service con Oracle Access Manager come provider di identità
  2. Comprendere l'integrazione

Comprendere l'integrazione

Dopo aver completato l'integrazione, il flusso di autenticazione per le applicazioni in locale che utilizzano Oracle Access Management (OAM) rimane invariato. Per le applicazioni cloud, il flusso di autenticazione cambia da un flusso di Oracle Identity Cloud Service solo a uno che utilizza un'asserzione SAML da OAM.

La configurazione di OAM come provider di identità (IdP) per Oracle Identity Cloud Service non influisce sul modo in cui gli utenti accedono alle applicazioni in locale. Agli utenti che accedono a un'applicazione in locale protetta da OAM viene richiesto di utilizzare lo schema di autenticazione appropriato, ad esempio il login di un modulo. OAM convalida le credenziali utente, genera la sessione utente e consente l'accesso all'applicazione in locale.

Nel diagramma riportato di seguito viene descritto il flusso di autenticazione SAML 2.0 per le applicazioni cloud quando si utilizza OAM come IdP per Oracle Identity Cloud Service.

Figura - Flusso di autenticazione SAML 2.0

Segue la descrizione della Figura -
Descrizione della "Figura - Flusso di autenticazione SAML 2.0"
  1. L'utente richiede l'accesso a un'applicazione cloud.
  2. L'applicazione cloud reindirizza il browser utente a Oracle Identity Cloud Service per l'autenticazione.
  3. Oracle Identity Cloud Service reindirizza il browser utente a OAM come provider di identità (IdP) per l'autenticazione.
  4. OAM presenta la pagina di accesso all'utente.
  5. L'utente sottomette le credenziali a OAM.
  6. Dopo la corretta autenticazione dell'utente in OAM, il browser viene reindirizzato a Oracle Identity Cloud Service con un token SAML valido.
  7. Oracle Identity Cloud Service utilizza il token SAML, crea una sessione utente e quindi reindirizza il browser all'applicazione cloud.
  8. L'applicazione cloud crea la propria sessione utente e quindi presenta la home page all'utente.

Convalidare i prerequisiti

Convalidare i prerequisiti riportati di seguito prima di integrare Oracle Access Management (OAM) e Oracle Identity Cloud Service.

  1. Confermare che gli utenti siano sincronizzati tra l'area di memorizzazione delle identità di OAM e Oracle Identity Cloud Service.

    L'integrazione IdP richiede l'esistenza di voci utente con lo stesso attributo univoco sia nell'area di memorizzazione delle identità OAM che in Oracle Identity Cloud Service. Un attributo univoco comunemente usato è l'indirizzo e-mail. Oracle Identity Cloud Service offre meccanismi di sincronizzazione continua e automatica degli utenti.

    Sono disponibili le seguenti opzioni per sincronizzare gli utenti tra l'area di memorizzazione delle identità OAM esistente e Oracle Identity Cloud Service:
    • API REST
    • File CSV
    • Connettore OIM
    • Identity Bridge
    Le informazioni su queste opzioni sono disponibili nella documentazione e nelle esercitazioni autodidattiche di Oracle Identity Cloud Service.

    Ad esempio, utilizzando Oracle Unified Directory (OUD) per l'area di memorizzazione delle identità OAM, è molto semplice controllare le voci utente. Per controllare l'indirizzo di posta elettronica di un singolo utente in OUD, è possibile utilizzare ldapsearch. Per recuperare un utente in OUD, avviare un terminale ed eseguire il comando ldapsearch nel modo seguente, sostituendo gli attributi e i valori in base all'ambiente in uso:

    ldapsearch -h oudhost -p 1389 -D "cn=Directory Manager" -s sub -b "dc=example,dc=com" "uid=csaladna" dn mail

    L'output del comando restituirà il DN utente e l'e-mail come indicato di seguito.

    dn: uid=csaladna,ou=People,dc=example,dc=com mail: csaladna@example.com

    Registrare l'e-mail restituita da OUD (ad esempio: csaladna@example.com):

    1. Accedere alla console di Oracle Identity Cloud Service, espandere il cassetto di navigazione e fare clic su Utenti.
    2. Cercare e confermare l'esistenza di un utente con indirizzo e-mail OUD.
    3. Se gli utenti non si trovano entrambi nella directory utenti di OAM e in Oracle Identity Cloud Service con attributi univoci corrispondenti, non è possibile continuare.

    È innanzitutto necessario assicurarsi che tutti gli utenti che utilizzeranno il servizio IdP di OAM dispongano di attributi univoci corrispondenti in entrambe le directory.

  2. Verificare che la Federazione identità OAM sia abilitata.
    1. Eseguire il login alla console OAM e passare a Configurazione > Servizi disponibili.
    2. Verificare che Federazione identità sia abilitata. (Abilita se è disabilitato).
    Sei pronto per integrare OAM e Oracle Identity Cloud Service.