OAM 및 IdP에서 SAML 2.0 SP 파트너 생성

이 문서에서는 SAML 2.0 IdP로 작동하는 OAM과 원격 SAML 2.0 SP 파트너 간에 페더레이션 계약을 설정하기 위해 알아야 할 다양한 종류의 정보에 대해 설명합니다.

이 문서에서는 UI를 통해 또는 OAM WLST 명령을 사용하여 위의 작업을 수행하는 방법에 대해 설명합니다.

페더레이션 트러스트 설정

페더레이션 파트너 간의 신뢰를 설정하는 것은 페더레이션 서버 간에 페더레이션 SSO 작업을 수행하기 전에 반드시 수행해야 하는 작업입니다.

보안 설정에는 사용된 프로토콜이 PKI X.509 인증서에 의존하여 메시지 교환을 보호하고 통합 프로토콜을 구현하는 서비스의 위치/URL을 사용하는 경우 인증서 정보 교환이 포함됩니다.

메타데이터가 있는 SAML 2.0

OAM 관리 콘솔

메타데이터로 새 SAML 2.0 SP 파트너를 생성하려면 다음 단계를 실행합니다.

  1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.

  2. ID 통합, ID 제공자 관리로 이동합니다.

  3. 서비스 제공자 파트너 생성 단추를 누릅니다.

  4. [생성] 화면에서 다음 작업을 수행합니다.

    1. 파트너의 이름을 입력합니다.

    2. Protocol로 SAML 2.0을 선택합니다.

    3. Load Metadata를 누르고 SP에 대한 SAML 2.0 메타 데이터 파일을 업로드합니다.

    4. SAML 2.0 검증에 설정할 NameID 형식을 선택합니다(예: 전자메일 주소 NameID 형식).

  5. NameID 값을 설정하는 방법을 입력합니다.

    1. [사용자 ID 저장소 속성]을 선택할 경우 NameID 값이 드롭다운 옆의 필드에 지정된 LDAP 속성으로 설정됩니다.

    2. [표현식]을 선택할 경우 NameID 값이 드롭다운 옆의 필드에 지정된 표현식을 기반으로 설정됩니다.

  6. SAML 검증을 속성으로 채우는 데 사용할 속성 프로파일을 선택합니다.

  7. Save를 누릅니다.

그림 Service_provider_partner_Screen.jpg 설명

파트너가 생성되면 다음과 함께 파트너 편집 화면이 표시됩니다.

: "속성 질의 사용자 매핑" 하위 섹션은 SAML 속성 질의 교환이 수행되는 경우 SAML 속성 권한/요청 플로우와만 관련이 있습니다. 이 흐름은 통합 SSO 흐름의 일부가 아닙니다.

그림 Edit_Partner_Screen.jpg 설명

WLST

OAM WLST 명령을 사용하여 메타데이터로 새 SAML 2.0 SP 파트너를 생성하려면 다음 단계를 실행합니다.

  1. $IAM_ORACLE_HOME/common/bin/wlst.sh를 실행하여 WLST 환경을 입력합니다.

  2. WLS 관리 서버(connect())에 연결합니다.

  3. 도메인 런타임 분기(domainRuntime())로 이동합니다.

  4. OAM에서 acmeSP라는 메타데이터를 사용하여 SAML 2.0 SP 파트너를 생성합니다. addSAML20SPFederationPartner("acmeSP", "/tmp/acme-sp-metadata-saml20.xml").

  5. 기본적으로 새 SP 파트너는 다음과 같이 구성됩니다.

    1. 전자메일 주소를 NameID 형식으로 사용

    2. 메일 LDAP 사용자 속성을 NameID 값으로 사용합니다.

    3. 검증 암호화 안함

    4. HTTP-POST를 기본 SSO 응답 바인딩으로 사용

  6. WLST 환경 exit()를 종료합니다.

메타데이터가 없는 SAML 2.0

OAM 관리 콘솔

메타데이터 없이 새 SAML 2.0 SP 파트너를 생성하려면 다음 단계를 실행합니다(먼저 SP 파트너의 모든 데이터(예: 인증서, SP 식별자 및 URL)가 있는지 확인).

  1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.

  2. ID 통합, ID 제공자 관리로 이동합니다.

  3. 서비스 제공자 파트너 생성 단추를 누릅니다.

  4. [생성] 화면에서 다음 작업을 수행합니다.

    1. 파트너의 이름을 입력합니다.

    2. Protocol로 SAML 2.0을 선택합니다.

    3. Enter Manually를 선택합니다.

    4. SP 파트너의 발행자 / ProviderID 을 입력합니다 .

    5. 해당 SP 파트너에 대한 검증 소비자 서비스 URL 입력: 사용자가 SAML 검증을 사용하여 IdP에서 재지정되는 URL입니다.

    6. 파트너가 SAML 2.0 로그아웃 프로토콜을 지원하는 경우:

      1. 파트너가 SAML 2.0 LogoutRequest 메시지를 처리할 수 있는 SAML 2.0 로그아웃 요청 URL을 입력합니다.

      2. 파트너가 SAML 2.0 LogoutResponse 메시지를 처리할 수 있는 SAML 2.0 로그아웃 응답 URL을 입력합니다.

    7. SP 파트너가 SAML 메시지를 서명하는 경우 서명 인증서 파일을 업로드합니다.

      1. PEM 형식(파일에 첫번째 행 --BEGIN CERTIFICATE--가 포함된 경우 Base64 인코딩 형식의 인증서, 마지막 행은 --END CERTIFICATE--)

      2. 또는 인증서가 이진 인코딩으로 저장되는 DER 형식

    8. SAML 검증을 암호화해야 하고 SP에 암호화 인증서가 있는 경우 파일을 업로드합니다.

      1. PEM 형식(파일에 첫번째 행 --BEGIN CERTIFICATE--가 포함된 경우 Base64 인코딩 형식의 인증서, 마지막 행은 --END CERTIFICATE--)

      2. 또는 인증서가 이진 인코딩으로 저장되는 DER 형식

  5. NameID 값을 설정하는 방법을 입력합니다.

    1. [사용자 ID 저장소 속성]을 선택할 경우 NameID 값이 드롭다운 옆의 필드에 지정된 LDAP 속성으로 설정됩니다.

    2. [표현식]을 선택할 경우 NameID 값이 드롭다운 옆의 필드에 지정된 표현식을 기반으로 설정됩니다.

  6. SAML 검증을 속성으로 채우는 데 사용되는 속성 프로파일을 선택합니다.

  7. Save를 누릅니다.

그림 Create_Service_Provider_Screen.jpg 설명

파트너가 생성되면 다음과 함께 파트너 편집 화면이 표시됩니다.

: "속성 질의 사용자 매핑" 하위 섹션은 SAML 속성 질의 교환이 수행되는 경우 SAML 속성 권한/요청 플로우와만 관련이 있습니다. 이 흐름은 통합 SSO 흐름의 일부가 아닙니다.

그림 Edit_Partner_withAdvOption_Screen.jpg 설명

WLST

OAM WLST 명령을 사용하여 메타데이터 없이 새 SAML 2.0 SP 파트너를 생성하려면 다음 단계를 실행합니다(먼저 SP 파트너의 모든 데이터(예: 인증서, SP 식별자 및 URL)가 있는지 확인).

  1. $IAM_ORACLE_HOME/common/bin/wlst.sh를 실행하여 WLST 환경을 입력합니다.

  2. WLS 관리 서버(connect())에 연결합니다.

  3. 도메인 런타임 분기(domainRuntime())로 이동합니다.

  4. OAM에서 acmeSP라는 메타데이터 없이 SAML 2.0 SP 파트너를 생성합니다. addSAML20SPFederationPartnerWithoutMetadata("acmeSP","https://sp.com", "https://sp.com/saml20/sso")

  5. 기본적으로 새 SP 파트너는 다음과 같이 구성됩니다.

    1. 전자메일 주소를 NameID 형식으로 사용

    2. 메일 LDAP 사용자 속성을 NameID 값으로 사용합니다.

    3. 검증 암호화 안함

    4. 로그아웃 수행 안함

    5. HTTP-POST를 기본 SSO 응답 바인딩으로 사용

    6. 기본 서비스 제공자 속성 프로파일 사용

    7. 이 SP 파트너에 대해 업로드된 인증서가 없습니다.

  6. WLST 환경 exit()를 종료합니다.

WLST를 통해 통합 설정 수정

이 절에서는 OAM WLST 명령을 통해 공통 SP 파트너 설정을 변경하는 방법에 대해 설명합니다.

이미 WLST 환경에 있고 다음을 사용하여 연결했다고 가정합니다.

  1. $IAM_ORACLE_HOME/common/bin/wlst.sh를 실행하여 WLST 환경을 입력합니다.

  2. WLS 관리 서버(connect())에 연결합니다.

  3. 도메인 런타임 분기(domainRuntime())로 이동합니다.

SAML 2.0 로그아웃

SAML 2.0 로그아웃을 사용으로 설정하고 SP 파트너 SAML 2.0 로그아웃 URL을 지정하려면 다음을 실행합니다.

SP 파트너에 대한 SAML 2.0 로그아웃을 사용 안함으로 설정하려면 다음을 실행합니다.

SAML 인증서

서명 및 암호화 인증서를 관리하는 데 사용할 수 있는 다양한 WLST 명령이 있습니다.

SP 파트너 속성 프로파일

특정 SP 파트너에 대한 SP 파트너 속성 프로파일을 구성하려면 다음 명령을 사용합니다.

SAML SSO 요청 및 응답 바인딩

특정 SP 파트너에 대한 SAML 바인딩을 구성하려면 다음 명령을 사용합니다.

SAML NameID 설정

SAML SP 파트너에 대한 NameID 설정을 구성하려면 다음과 같이 하십시오.

SAML 2.0 암호화된 검증

암호화된 SAML 2.0 검증을 보내거나 보내지 않도록 IdP를 구성하려면 다음 명령을 실행합니다.

예제

아래 명령은 SAML 2.0 메타데이터 없이 SP 파트너를 추가하는 데 사용할 수 있습니다.

addSAML20SPFederationPartnerWithoutMetadata("acmeSP","https://sp.com","https://sp.com/saml20/sso")configureSAML20Logout("acmeSP","sp","true",saml20LogoutRequestURL="https://sp.com/saml20/logoutReq",saml20LogoutResponseURL="https://sp.com/saml20/logoutResp")setFederationPartnerSigningCert("acmeSP","sp","/tmp/cert.file")setFederationPartnerEncryptionCert("acmeSP","sp","/tmp/cert.file")setSPSAMLPartnerNameID("acmeSP","orafedemailaddress",nameIDValue="$user.aZr.mail")

아래 명령은 SAML 2.0 메타데이터로 SP 파트너를 추가하는 데 사용할 수 있습니다(이 예에서는 기본 OAM ID Styore를 사용함).

addSAML20SPFederationPartner("acmeSP", "/tmp/acme-sp-metadata-saml20.xml") setSPSAMLPartnerNameID("acmeSP","orafedemailaddress", nameIDValue="$user.attr.mail")

추가 학습 자원

docs.oracle.com/learn의 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 접근할 수 있습니다. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer로 전환할 수 있습니다.

제품 설명서는 Oracle Help Center를 참조하십시오.