OAM SP와 Google IdP 통합

Google Apps는 최근 새로운 SAML 2.0 기능을 도입하여 Google이 이제 원격 SAML 2.0 서비스 제공자가 있는 ID 제공자 역할을 할 수 있습니다.

이렇게 하면 다음과 같이 Google을 사용할 수 있습니다.

이 문서에서는 SAML 2.0 SSO 프로토콜을 통해 Google IdP과 OAM을 SP로 통합하는 방법을 단계별로 설명합니다.

사용자 매핑

Google Apps의 사용자는 해당 사용자가 생성될 때 설정된 전자메일 주소로 고유하게 식별됩니다.

SAML 2.0 SSO 플로우 중 Google IdP은 원격 SP에 사용자의 전자메일 주소를 제공합니다.

다음 단계에서는 Google Apps에서 사용자의 기본 전자메일 주소를 확인하는 방법을 보여 줍니다.

Google Apps에서 사용자 계정을 보려면 다음 단계를 수행하십시오.

  1. 브라우저 시작

  2. http://www.google.com/a로 이동합니다.

  3. 사인인을 누릅니다

    그림 Sign_In_Page.jpg 설명

  4. 도메인 필드에 도메인 이름(이 예에서는 www.acme.com)을 입력합니다.

  5. 관리 콘솔을 선택합니다.

  6. 실행을 누릅니다.

그림 Admin_Console_Page.jpg 설명

  • 대시보드에서 사용자를 누릅니다.

    • 그림 Users_Page.jpg 설명

  • 볼 사용자 선택

    • 그림 Active_Users_Page.jpg 설명

    다음 화면에는 사용자에 대한 세부정보가 표시됩니다. 전자 메일 주소가 유저 ID 아래에 표시됩니다. 이 예에서 Google IdP은 SAML 2.0 SSO 작업 중 원격 SP로 alice@acme.com를 전송합니다.

    그림 User_Details_Page.jpg 설명

    Google IdP 구성

    OAM 정보 수집

    Google IdP SSO 관리 콘솔에 다음 정보를 제공해야 합니다.

    이전 기사에서는 OAM이 게시한 끝점을 나열했습니다. SAML 2.0 SSO IdP 끝점 및 SAML 2.0 로그아웃 끝점은 http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20이며, oam-public-hostnameoam-public-port는 공용 끝점의 값입니다. 여기서 사용자는 OAM 애플리케이션(로드 밸런서, HTTP 역 프록시...)에 액세스합니다.

    oam-public-hostnameoam-public-port가 확실하지 않으면 다음을 수행할 수 있습니다.

    1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.

    2. 구성, 설정, Access Manager로 이동합니다.

    oam-public-hostname는 OAM 서버 호스트이고, oam-public-port은 OAM 서버 포트이며, 프로토콜(http 또는 https)은 OAM 서버 프로토콜에 나열됩니다.

    그림 Load_Balancing.jpg 설명

    동일한 문서에서는 OAM에서 사용하는 ProviderID를 확인하는 방법도 설명했습니다.

    1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-adminport/oamconsole)로 이동합니다.

    2. Configuration, Settings, Federation으로 이동합니다.

    3. ProviderID를 기록해 둡니다.

    그림 Provider_ID.jpg 설명

    Google IdP 구성

    Google을 IdP로 구성하려면 다음 단계를 수행합니다.

    1. 브라우저 시작

    2. https://www.google.com/enterprise/apps/business/로 이동합니다.

    3. 인증 및 관리 대시보드로 이동

    4. 을 누릅니다.

      5. 그림 Apps_Page.jpg 설명

    5. SAML 앱을 클릭하십시오.

      6. 그림 SAML_Apps_Page.jpg 설명

    6. 도메인에 서비스/앱 추가를 누릅니다.

      7. 그림 Add_Service.jpg 설명

    7. 내 사용자 정의 앱 설정을 누릅니다.

      8. 그림 Setup_My_Custom_App.jpg 설명

    8. Option 2 섹션에서 Download 버튼을 눌러서 로컬 시스템의 Google IdP SAML 2.0 메타 데이터 파일을 다운로드합니다.

    9. 완료되면 다음을 누릅니다.

      10. 그림 Metadata_Download.jpg 설명

    10. 애플리케이션 이름 입력

    11. 선택적으로 로고 업로드

    12. 완료되면 다음을 누릅니다.

      13. 그림 Basic_Info.jpg 설명

    13. ACS(검증 소비자 서비스 URL)를 입력합니다.

    http(s)://oam-public-hostname:oam-publicport/oam/server/fed/sp/ss

    이전에 OAM 공용 끝점 프로토콜에 의해 http(s)를 바꾸고 oam-public-hostnameoam-public-port를 해당 값으로 바꾼 OAM 정보를 기반으로 합니다.

    1. 엔티티 ID 필드에 이전에 수집된 ProviderID을 입력합니다.

      2. 기본 전자메일을 NameID로 둡니다. NameID에 포함된 전자메일을 사용하여 OAM/SP에서 사용자를 매핑합니다.

    2. 선택적으로 Google IdP 시작된 SSO 작업의 시작 URL을 입력합니다. 여기서 사용자는 OAM의 애플리케이션으로 재지정될 Google의 SAML 애플리케이션 파트너(보호된 애플리케이션 URL 또는 요청하지 않은 릴레이 상태)를 누릅니다.

    3. Next를 누릅니다.

    그림 Service_Provider_Details.jpg 설명

    이 섹션에서는 Google IdP에서 보낸 속성을 추가할 수 있습니다. 속성을 추가하려면 다음과 같이 하십시오.

    1. 새 매핑 추가를 누르십시오.

    2. 첫번째 필드의 SAML 검증에 나타나는 이름을 입력합니다.

    3. 전송할 Google LDAP에서 사용자 속성 범주를 선택하십시오.

    4. 전송할 속성 선택

    5. 완료되었으면 완료를 누릅니다.

      6. 그림 Attribute_Mapping.jpg 설명

      설정이 성공하면 성공 메시지가 표시됩니다.

      그림 Message_Page.jpg 설명

    6. SP 응용 프로그램을 사용으로 설정하려면 다음을 설정해야 합니다.

    7. SAML 애플리케이션의 메뉴를 누르십시오.

    8. 모두를 위해 설정을 누릅니다.

      9. 그림 SP_Application.jpg 설명

    9. TURN ON FOR EVERYONE을 눌러 확인

    그림 Confirm_Message.jpg 설명

    OAM 설정

    OAM에서 Google을 IdP 파트너로 추가하려면 다음 단계를 실행하십시오.

    1. OAM 관리 콘솔(http(s)://oam-admin-host:oam-admin-port/oamconsole)로 이동합니다.

    2. 페더레이션을 누릅니다.

    3. Federation, Service Provider Management로 이동합니다.

    4. Identity Provider Partner 생성 단추를 누릅니다.

    5. [생성] 화면에서 다음 작업을 수행합니다.

    6. Google IdP의 이름 입력

    7. IdP 파트너가 지정되지 않은 경우 통합 SSO 작업을 시작할 때 기본적으로 이 파트너를 IdP로 사용할지 여부를 확인합니다(이 예에서는 기본 IdP로 설정).

    8. 프로토콜로 SAML 2.0 선택

    9. 메타데이터 로드를 누르고 Google IdP 검증 매핑 섹션의 SAML 2.0 메타데이터 파일을 업로드합니다.

    10. 선택적으로 사용해야 할 OAM ID 저장소를 설정합니다. 주: 예제에서는 기본 OAM ID 저장소를 사용하도록 필드를 비워 둡니다.

    11. 선택적으로 사용자 검색 기준 DN을 설정합니다. 주: 예제에서는 ID 저장소에 구성된 사용자 검색 기준 DN을 사용하도록 필드를 비워 두었습니다.

    12. 매핑 수행 방법을 선택합니다. 주: 예제에서는 NameID를 통해 검증을 LDAP 메일 속성에 매핑합니다.

    13. 저장을 누릅니다.

    그림 OIF_Setup.jpg 설명

    테스트

    테스트하려면

    테스트 SP를 사용하여 테스트하려면 다음을 수행합니다.

    1. 테스트 SP 애플리케이션이 사용으로 설정되었는지 확인합니다.

    2. http(s)://oam-publichostname:oam-public-port/oamfed/user/testspsso로 이동합니다.

    3. Google IdP 선택

    4. SSO 시작을 누릅니다.

      5. 그림 Initiate_SSO.jpg 설명

    5. Google IdP에서 사용자의 전자메일 주소를 입력합니다.

      6. 그림 Google_Sign_in.jpg 설명

    6. 사용자 비밀번호 입력

      7. 그림 User_Credentials.jpg 설명

    입력한 Google IdP은 사용자를 인증하고 페더레이션 SSO의 결과를 표시하는 OAM SAML SP로 재지정합니다.

    그림 Google_Idp.jpg 설명

    추가 학습 자원

    docs.oracle.com/learn의 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 접근할 수 있습니다. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer로 전환할 수 있습니다.

    제품 설명서는 Oracle Help Center를 참조하십시오.