1. Impostare SSO tra Azure AD e Oracle Access Manager per Oracle Retail Merchandising Suite
  2. Integra Oracle Access Manager e Azure AD per attività di retail

Integra Oracle Access Manager e Azure AD per attività di retail

La configurazione di Oracle Access Manager e Azure AD per supportare l'SSO federato per la attività di retail richiede il corretto completamento di questi task:

  • Consente di configurare Azure AD come provider di identità e di assegnare utenti a Oracle Access Manager per la attività di vendita al dettaglio.
  • Configurare Oracle Access Manager per la federazione con Azure AD, che richiede di effettuare le operazioni riportate di seguito.
    • Creare un nuovo provider di identità per Azure AD.
    • Associare le risorse Merchandising al dettaglio allo schema di autenticazione.

Configura Azure AD come provider di identità

Configurare prima Azure AD come provider di identità.

Per configurare Azure AD come provider di identità

  1. Collegarsi al portale Azure come amministratore del dominio
  2. Nel riquadro di navigazione di sinistra fare clic su Azure Active Directory.
  3. Nel riquadro Azure Active Directory fare clic su Applicazioni enterprise.
  4. Fare clic su Nuova applicazione.
  5. Nella sezione Aggiungi dalla galleria, digitare Retail-IDM nella casella di ricerca, quindi fare clic su Aggiungi.
  6. Per configurare Oracle Access Manager come provider di servizi per la nuova applicazione, fare clic su Single Sign-On.
  7. Selezionare SAML come metodo Single Sign-On.
    Viene visualizzata la pagina Imposta Single Sign-On con SAML. Qui è possibile immettere i dettagli di integrazione riportati di seguito. Alcuni dei valori da immettere provengono dai metadati SAML di Oracle Access Manager. Per ottenere i metadati, andare a http(s)://<oam_hostname>:<port>/oamfed/sp/metadata. L'output è dati XML, alcuni dei quali sono necessari nei passi successivi. Fare clic su Carica file di metadati per caricare questi metadati in Azure AD.
  8. Nell'area Configurazione SAML di base, i campi Identificativo (ID entità) e URL risposta (URL servizio consumer asserzioni) richiedono valori. Se si è caricato l'XML dei metadati SAML, i valori vengono immessi automaticamente. In caso contrario, immetterli manualmente.
    • L'identificativo (ID entità) corrisponde all'attributo entityID dell'elemento EntityDescriptor nei metadati SAML. In fase di esecuzione, Azure AD aggiunge il valore all'elemento Audience dell'asserzione SAML, indicando l'audience che è la destinazione prevista dell'asserzione. Trovare il seguente valore nei metadati di Oracle Access Manager e immettere il seguente valore: 
      <md:EntityDescriptor ……… entityID="http://....../>
    • L'URL di risposta (URL servizio consumer asserzioni) corrisponde all'attributo Location dell'elemento AssertionConsumerService nei metadati SAML. Assicurarsi di selezionare l'attributo Posizione relativo all'associazione HTTP_POST. L'URL di risposta è l'endpoint del servizio SAML nel partner di federazione che si prevede elaborare l'asserzione

    Nota

    Le proprietà URL di accesso, Stato relay e URL di logout non sono rilevanti per questo scenario, pertanto è possibile ignorarle.
  9. Nell'area Attributi utente e richieste di rimborso, configurare gli attributi utente che verranno inseriti nell'asserzione SAML e inviati a Oracle Access Manager. Per questo scenario è sufficiente inviare una forma di identificazione utente univoca. Lasciare i valori predefiniti per il valore dell'identificativo Nome: user.userprincipalname [nameid-format:emailAddress] poiché userprincipalname è un attributo univoco all'interno di Azure AD. L'implicazione di questa configurazione è la necessità di importare il valore userprincipalname nella voce utente dell'area di memorizzazione delle identità di Oracle Access Manager (l'area di memorizzazione del server LDAP). Tenere presente che

    Nota

    I gruppi di proprietà restituiti nella richiesta di rimborso e tutte le richieste di rimborso in CLAIM NAME non sono rilevanti per questo scenario, pertanto è possibile ignorarle.
  10. Nell'area Certificato di firma SAML fare clic sul collegamento Download accanto a XML metadati federazione e salvare il file sul computer. In seguito verrà utilizzato durante la configurazione di Oracle Access Manager come provider di servizi.

Assegna utenti a Oracle Access Manager per attività di retail

Solo gli utenti assegnati possono eseguire il login a Azure AD dopo aver ricevuto una richiesta di autenticazione da Oracle Access Manager per la attività di retail.

Per assegnare utenti a Oracle Access Manager per attività di vendita al dettaglio:
  1. Nella sezione precedente dell'applicazione Azure AD creata, fare clic su Utenti e gruppi, quindi fare clic su Aggiungi utente.
  2. Selezionare l'opzione Utenti e gruppi: Nessuna selezione ed eseguire i passi riportati di seguito.
    1. Nella casella Seleziona membro o invita un utente esterno, immettere il nome di un utente e premere Invio.
    2. Selezionare l'utente e fare clic su Seleziona per aggiungerlo.
    3. Fare clic su Assegna.
    4. Per aggiungere più utenti o gruppi, ripetere questi passi.
  3. Se non esiste alcun gruppo di sicurezza appropriato, crearne uno. Nel riquadro di navigazione a sinistra fare clic su Azure Active Directory, quindi su Gruppi.
  4. Fare clic su Nuovo gruppo, specificare Sicurezza come tipo, quindi aggiungere gli utenti al gruppo selezionandoli o invitandoli. Fare clic su Crea.
  5. Assegnare il gruppo all'applicazione enterprise Azure- AD.
  6. Per impedire agli utenti di visualizzare questa applicazione enterprise destinata solo alla configurazione SSO, fare clic su Proprietà, modificare il valore di Visibile agli utenti? in No, quindi fare clic su Salva.

Crea un nuovo provider di identità per Azure AD

Successivamente è necessario configurare Oracle Access Manager per la federazione con Azure AD. Il primo passo di questo processo consiste nella creazione di un nuovo provider di identità per Azure AD.

Per creare un nuovo provider di identità per Azure AD, effettuare le operazioni riportate di seguito.

  1. Accedere alla console di Oracle Access Manager come amministratore.
  2. Assicurarsi che Identity Federation sia abilitato. In caso contrario, fare clic su Abilita servizio..
  3. Fare clic sulla scheda Federazione nella parte superiore della console.
  4. Nell'area Federazione della scheda Launch Pad, fare clic su Gestione provider di servizi.
    In questo caso Oracle Access Manager funge da provider di servizi.
  5. Nella scheda Amministrazione provider di servizi fare clic su Crea partner provider di identità.
  6. Nell'area Generale, immettere un nome per il partner provider di identità e selezionare entrambe le caselle di controllo Abilita partner e Provider di identità predefinito. Andare al passo successivo prima di salvare.
  7. Nell'area Informazioni servizio:
    1. Selezionare SAML2. 0 come protocollo.
    2. Selezionare l'opzione Carica da metadati provider.
    3. Fare clic su Sfoglia (per Windows) o su Scegli file (per Mac) e selezionare il file di metadati SAML Azure AD salvato in precedenza. Tenere presente che Oracle Access Manager popolerà l'ID provider e le informazioni sul certificato.
    4. Completare il passaggio successivo prima di salvare.
  8. Nell'area Opzioni mapping:
    1. Selezionare l'opzione Area di memorizzazione identità utenti che verrà utilizzata come area di memorizzazione identità LDAP di Oracle Access Manager selezionata per gli utenti di Retail Merchandising. In genere è già configurato come area di memorizzazione delle identità di Oracle Access Manager.
    2. Lasciare vuoto il campo DN base di ricerca utenti. La base di ricerca viene selezionata automaticamente dalla configurazione dell'area di memorizzazione delle identità.
    3. Selezionare l'opzione Mappa ID nome asserzione all'area di memorizzazione ID utente e immettere la posta nella casella di testo.

    Nota

    Questa configurazione definisce il mapping degli utenti tra Azure AD e Oracle Access Manager. Oracle Access Manager otterrà il valore dell'elemento NameID nell'asserzione SAML in entrata e tenterà di cercare tale valore in base all'attributo di posta in tutte le voci utente nell'area di memorizzazione delle identità configurata. Pertanto, è necessario che il nome principal dell'utente Azure AD (nella configurazione di Azure AD mostrata in precedenza) sia sincronizzato con l'attributo di posta nell'area di memorizzazione delle identità di Oracle Access Manager.
  9. Fare clic su Salva per salvare il partner di provider delle identità.
  10. Una volta salvato il partner, torna all'area Avanzate nella parte inferiore della scheda. Assicurarsi che le opzioni siano configurate nel modo indicato di seguito.
    • L'opzione Abilita logout globale è selezionata.
    • Autenticazione risposta SSO POST HTTP selezionata. Si tratta di un'istruzione che Oracle Access Manager invia nella richiesta di autenticazione per indicare il modo in cui Azure AD deve trasmettere nuovamente l'asserzione SAML.
    • L'opzione Abilita autenticazione Basic HTTP (associazione artifact SSO) non è selezionata. Questa impostazione richiede a Azure AD di inviare l'asserzione mediante una richiesta HTTP POST. Quando si riceve una richiesta quale questa, i provider di identità in genere creano un form HTML con l'asserzione come elemento form nascosto che viene inviato automaticamente al Servizio consumer asserzioni (ACS) del provider di servizi.
  11. Nell'area Generale fare clic su Crea schema e modulo di autenticazione.
    Schema e modulo di autenticazione da utilizzare in Azure AD vengono creati con il nome del partner. L'unica configurazione a sinistra sta collegando lo schema di autenticazione alle risorse della Merchandising al dettaglio che richiedono le credenziali di Azure AD per l'autenticazione, che saranno disponibili nella sezione successiva.
  12. È possibile verificare il modulo di autenticazione creato effettuando le operazioni riportate di seguito.
    1. Fare clic sulla scheda Sicurezza applicazione nella parte superiore della console.
    2. In Plugin, selezionare Moduli di autenticazione, fare clic su Cerca e trovare il modulo di federazione.
    3. Selezionare il modulo, quindi fare clic sulla scheda Passi.
    4. Tenere presente che il valore nella proprietà FedSSOIdP corrisponde al partner di provider delle identità.

Associare le risorse Merchandising al dettaglio allo schema di autenticazione

Il passo finale della configurazione di Oracle Access Manager for Federation con Azure AD consiste nell'associare le risorse di vendita al dettaglio allo schema di autenticazione.

Per associare le risorse Merchandising al dettaglio allo schema di autenticazione, attenersi alla procedura riportata di seguito quando si è collegati alla console di Oracle Access Manager come amministratore.

  1. Nella parte superiore della console fare clic su Sicurezza applicazione.
  2. In Access Manager fare clic su Dominio applicazione, fare clic su Cerca e selezionare il dominio applicazione creato durante l'installazione di Retail Merchandising, che avrebbe registrato l'WebGate delle attività di retail.
  3. Fare clic sulla scheda Criteri di autenticazione.
  4. Fare clic su Criteri risorse protette.
  5. Modificare il valore Schema di autenticazione modificando lo schema di autenticazione creato in precedenza nel nuovo schema di autenticazione della federazione. Questo è il modo in cui Oracle Access Manager è collegato una risorsa protetta a un provider di identità.
  6. Fare clic su Applica per salvare la modifica.