OAM 및 IdP의 권한 부여

이 문서에서는 OAM이 IdP로 작동할 때 통합 SSO에 대한 권한 부여 정책을 사용으로 설정하고 구현하는 방법을 알아봅니다. OAM이 원격 SAML/OpenID 2.0 파트너 대신 사용자를 인증하면 파트너가 사용자를 식별하는 데 사용하는 사용자에 대한 정보가 포함된 토큰(SAML 또는 OpenID)이 발행됩니다. 토큰 생성 과정에서 사용자가 특정 SP/RP와 통합 SSO를 수행할 수 있는지 여부를 나타내는 토큰 발행 정책을 평가하도록 IdP를 구성할 수 있습니다. 토큰 발행 정책은 다음으로 구성됩니다.

IdP에서 권한 부여 사용/사용 안함으로 설정

미리 정의된 권한 부여는 IdP에서 사용 안함으로 설정됩니다. 따라서 OAM이 SAML/OpenID 토큰을 발행할 때 권한 부여 적용이 없습니다.

: 권한 부여가 사용으로 설정되면 모든 IdP 통합 SSO 작업에 성공한 권한 부여 정책 평가가 필요합니다. 따라서 기존 통합 계약, 토큰 발행 정책이 없고 권한 부여를 사용으로 설정하면 필요한 토큰 발행 정책이 생성될 때까지 통합 SSO 작업이 실패합니다.

IdP에서 권한 부여를 사용 또는 사용 안함으로 설정하려면 다음 OAM WLST 명령을 실행합니다.

  1. $IAM_ORACLE_HOME/common/bin/wlst.sh를 실행하여 WLST 환경을 입력합니다.
  2. WLS 관리 서버에 접속: connect()
  3. 도메인 런타임 분기로 이동합니다. domainRuntime()
  4. configureFedSSOAuthz() 명령을 실행합니다.
  5. 권한 부여를 사용으로 설정하려면 configureFedSSOAuthz("true")을 사용합니다.
  6. 권한 부여를 사용 안함으로 설정하려면 configureFedSSOAuthz("false")을 입력합니다.
  7. WLST 환경을 종료합니다. exit()

토큰 발행 정책

개요

앞에서 언급했듯이 토큰 발행 정책은 다음 두 객체로 구성됩니다.

통합 SSO 작업 중 사용자 인증 후 IdP은 권한 부여가 사용으로 설정되었는지 확인하고, 사용으로 설정된 경우 사용자 ID와 사용자 ID가 속한 그룹, SP 파트너 이름을 수집하고 평가 성공 여부를 나타내는 OAM 권한 부여 엔진을 호출합니다.

이 문서에 나열된 예제에서는 모든 토큰 발행 정책을 OAM 관리 콘솔의 IAM Suite 애플리케이션 도메인에 추가합니다.

테스트 환경

테스트 환경에서는 다음 예제와 함께 권한 부여 기능의 사용을 보여줍니다.

사용자 3명에 대한 테스트 LDAP 디렉토리의 LDIF 출력은 다음과 같습니다.

\# alice, users, us.oracle.com
dn: cn=alice,ou=users,dc=us,dc=oracle,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
givenName: Alice
uid: alice
cn: alice
sn: Appleton
mail: alice@oracle.com

\# bob, users, us.oracle.com
dn: cn=bob,ou=users,dc=us,dc=oracle,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
givenName: Bobby
uid: bob
cn: bob
sn: Smith
mail: bob@oracle.com

\# charlie, users, us.oracle.com
dn: cn=charlie,ou=users,dc=us,dc=oracle,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
givenName: Charlie
uid: charlie
cn: Charlie
sn: Crown
mail: charlie@oracle.com

세 그룹에 대한 테스트 LDAP 디렉토리의 LDIF 출력은 다음과 같습니다.

\# Managers, groups, us.oracle.com
dn: cn=Managers,ou=groups,dc=us,dc=oracle,dc=com uniqueMember:
cn=alice,ou=users,dc=us,dc=oracle,dc=com
cn: Managers
objectClass: groupOfUniqueNames
objectClass: top

\# Employees, groups, us.oracle.com
dn: cn=Employees,ou=groups,dc=us,dc=oracle,dc=com
uniqueMember:
cn=charlie,ou=users,dc=us,dc=oracle,dc=com
uniqueMember:
cn=alice,ou=users,dc=us,dc=oracle,dc=com
uniqueMember:
cn=bob,ou=users,dc=us,dc=oracle,dc=com
cn: Employees
objectClass: groupOfUniqueNames
objectClass: top

\# Engineers, groups, us.oracle.com
dn: cn=Engineers,ou=groups,dc=us,dc=oracle,dc=com
uniqueMember: cn=bob,ou=users,dc=us,dc=oracle,dc=com
uniqueMember: cn=charlie,ou=users,dc=us,dc=oracle,dc=com
cn: Engineers
objectClass: groupOfUniqueNames
objectClass: top

예제

사용 사례 #1

이 사용 사례에서:

이 사용 사례에 대해 IdP를 구성하려면 다음 단계를 수행합니다.

  1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.

  2. Access Manager, Application Domains로 이동합니다.

  3. 검색을 누릅니다

  4. 결과 목록에서 IAM 제품군을 누르고 토큰 발행 정책 탭을 누릅니다.

  5. 토큰 발행 정책 생성을 누릅니다.

  6. 이름을 입력합니다(예: EmployeesPolicy).

    그림 Token_Issuance_Policy_Screen.jpg 설명

다음 단계를 실행합니다.

  1. 조건 탭을 누릅니다.
  2. Add를 눌러 employees 그룹에 대한 제약 조건을 추가합니다.
  3. 제약 조건의 세부 정보를 입력합니다.
  4. Name: 예: EmployeesGroup
  5. Type: 토큰 요청자 ID

그림 Add_Conditions_Screen.jpg 설명

다음 단계를 실행합니다.

  1. 선택된 항목 추가를 누릅니다

  2. 새로 생성된 제약 조건을 선택하여 구성

  3. 조건 세부정보에서 추가를 누르고 ID 추가를 선택합니다.

  4. 사용자가 존재하는 ID 저장소를 선택합니다. 검색을 누릅니다.

  5. 직원 그룹 선택

    그림 Add_Indentities_Screen.jpg 설명

  6. 선택된 항목 추가를 누릅니다

    그림 Create_Token_Issuance_policy_Screen.jpg 설명

다음 단계를 실행합니다.

  1. 추가를 눌러 사용자 BOB에 대한 다른 제약 조건을 추가합니다.
  2. 제약 조건의 세부 정보를 입력합니다.

그림 Add_Condition_Bob.jpg 설명

다음 단계를 실행합니다.

  1. 선택된 항목 추가를 누릅니다

  2. 새로 생성된 제약 조건을 선택하여 구성

  3. 조건 세부정보에서 추가를 누르고 ID 추가를 선택합니다.

  4. 사용자가 존재하는 ID 저장소를 선택합니다. 검색을 누릅니다.

  5. 사용자 BOB 선택

    그림 Add_Identities_Bob.jpg 설명

  6. 선택된 항목 추가를 누릅니다

    그림 Condition_Details_Screen.jpg 설명

다음 단계를 실행합니다.

  1. 규칙 탭을 누릅니다.

  2. 직원 그룹에 속한 사용자가 이 정책에 나열된 파트너와 통합 SSO를 수행할 수 있도록 하려고 하므로 허용 규칙 섹션에서 EmployeesGroup 조건을 선택하고 선택된 조건에 추가합니다.

  3. bob이 이 정책에 나열된 파트너와 통합 SSO를 수행할 수 없도록 하려고 하므로 [거부 규칙] 섹션에서 BobUser 조건을 선택하고 선택된 조건에 추가합니다.

  4. Apply를 누릅니다.

    그림 Rules_Screen.jpg 설명

다음 단계를 실행하여 새 리소스를 생성하고 EmployeesPolicy 토큰 발행 정책에 추가합니다.

  1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.
  2. Access Manager, Application Domains로 이동합니다.
  3. 검색을 누릅니다
  4. 결과 목록에서 IAM Suite를 누르면 리소스 탭을 누릅니다.
  5. 새 리소스를 누르고 토큰 발행 정책에 대한 새 리소스를 생성합니다.

  1. Apply를 누릅니다.

    그림 Resources_Screen.jpg 설명

사용 사례 #2

이 사용 사례에서:

이 사용 사례에 대해 IdP를 구성하려면 다음 단계를 수행합니다.

  1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.
  2. Access Manager, Application Domains로 이동합니다.
  3. 검색을 누릅니다
  4. 결과 목록에서 IAM 제품군을 누르고 토큰 발행 정책 탭을 누릅니다.
  5. 토큰 발행 정책 생성을 누릅니다.
  6. 이름을 입력합니다(예: HRPolicy).
  7. 조건 탭을 누릅니다.
  8. 추가를 눌러 사원 그룹에 대한 제약 조건을 추가합니다.
  9. 제약 조건의 세부 정보를 입력합니다.

  1. 선택된 항목 추가를 누릅니다

  2. 새로 생성된 제약 조건을 선택하여 구성

  3. 조건 세부정보에서 추가를 누르고 ID 추가를 선택합니다.

  4. 사용자가 존재하는 ID 저장소를 선택하고 검색을 누릅니다.

  5. Managers Group을 선택하고 charlie 유저를 선택한 다음 Add Selected를 누릅니다.

    그림 HRCondition_Screen.jpg 설명

다음 단계를 실행합니다.

  1. 규칙 탭을 누릅니다.

  2. Manager 그룹 및 사용자 charlie에게 속한 사용자가 이 정책에 나열된 파트너와 통합 SSO를 수행할 수 있도록 허용하려는 경우 허용 규칙 섹션에서 HRCondition 조건을 선택하고 선택된 조건에 추가합니다.

  3. Apply를 누릅니다.

    그림 HRCondition_Rules_Screen.jpg 설명

다음 단계를 실행하여 새 리소스를 생성하고 HRPolicy 토큰 발행 정책에 추가합니다.

  1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.
  2. Access Manager, Application Domains로 이동합니다.
  3. 검색을 누릅니다
  4. 결과 목록에서 IAM Suite를 누르고 리소스 탭을 누릅니다.
  5. [새 리소스]를 누르고 토큰 발행 정책에 대한 새 리소스를 생성합니다.
    • Type: TokenServiceRP
    • Resource URL, Federation Admin 섹션에서 생성한 SP 파트너의 이름: HR
    • Operations: 모두
    • Token Issuance Policy: HRPolicy
  6. Apply를 누릅니다.

사용 사례 #3

이 사용 사례에서:

이 사용 사례에 대해 IdP를 구성하려면 다음 단계를 수행합니다.

  1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.
  2. Access Manager, Application Domains로 이동합니다.
  3. 검색을 누릅니다
  4. 결과 목록에서 IAM 제품군을 누릅니다. 토큰 발행 정책 탭을 누릅니다.
  5. 토큰 발행 정책 생성을 누릅니다.
  6. 이름을 입력합니다(예: AllUsersPolicy).
  7. 조건 탭을 누릅니다.
  8. Add를 눌러 모든 유저에 대해 제약 조건을 추가합니다.
  9. 제약 조건의 세부 정보를 입력합니다.

그림 TrueCondition_Screen.jpg 설명

  1. 선택된 항목 추가를 누릅니다

    그림 TrueCondition_Added_Screen.jpg 설명

다음 단계를 실행합니다.

  1. 규칙 탭을 누릅니다.

  2. 모든 사용자가 이 정책에 나열된 파트너와 통합 SSO를 수행할 수 있도록 하려고 하므로 [허용 규칙] 섹션에서 TrueCondition 조건을 선택하고 선택된 조건에 추가합니다.

  3. Apply를 누릅니다.

    그림 Rules_TrueCondition_Screen.jpg 설명

다음 단계를 실행하여 새 리소스를 생성하고 TravelSite 및 OnlineConference.com 파트너의 HRPolicy 토큰 발행 정책에 추가합니다.

  1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.
  2. Access Manager, Application Domains로 이동합니다.
  3. 검색을 누릅니다
  4. 결과 목록에서 IAM Suite를 누르고 리소스 탭을 누릅니다.
  5. [새 리소스]를 누르고 TravelSite에 대한 토큰 발행 정책의 새 리소스를 생성합니다.
  6. [새 리소스]를 누르고 OnlineConference.com에 대한 토큰 발행 정책의 새 리소스를 생성합니다.
  7. Apply를 누릅니다.

요약

위에서 생성한 SP 파트너에 대한 리소스를 보려면 다음 단계를 수행하십시오.

  1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.

  2. Access Manager, Application Domains로 이동합니다.

  3. 검색을 누릅니다

  4. 결과 목록에서 IAM Suite를 누르면 리소스 탭을 누릅니다.

  5. 리소스 유형으로 TokenServiceRP를 선택합니다. 검색을 누릅니다. TokenServiceRP 유형의 리소스 목록이 표시됩니다.

    • MissingRPUnknownRP는 OSTS 권한 부여 정책과 관련이 있습니다.
    • HR, TravelSite, OnlineConference.com401kSP가 표시됩니다.

    그림 Summary_Screen.jpg 설명

추가 학습 자원

docs.oracle.com/learn의 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 접근할 수 있습니다. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer로 전환할 수 있습니다.

제품 설명서는 Oracle Help Center를 참조하십시오.