1. Oracle Identity Cloud Service와 Oracle Access Manager를 ID 제공자로 통합
  2. 통합 이해

통합 이해

통합을 완료한 후 OAM(Oracle Access Management)을 사용하는 온프레미스 애플리케이션의 인증 플로우는 동일하게 유지됩니다. 클라우드 애플리케이션의 경우 인증 플로우가 Oracle Identity Cloud Service에서 OAM의 SAML 검증을 사용하는 것으로만 플로우됩니다.

Oracle Identity Cloud Service에 대한 ID 제공자(IdP)로 작동하도록 OAM을 구성해도 사용자가 온프레미스 애플리케이션에 액세스하는 방식에는 영향을 주지 않습니다. OAM으로 보호되는 온-프레미스(On-Premise) 응용 프로그램에 액세스하는 유저에게는 form 로그인과 같은 적절한 인증 체계가 요구됩니다. OAM은 사용자 인증서를 검증하고, 사용자 세션을 생성하고, 온프레미스 애플리케이션에 대한 액세스를 허용합니다.

다음 다이어그램은 OAM을 Oracle Identity Cloud Service의 IdP로 사용할 때 클라우드 애플리케이션에 대한 SAML 2.0 인증 플로우를 설명합니다.

그림 - SAML 2.0 인증 플로우

다음은 그림 -에 대한 설명입니다.
"그림 - SAML 2.0 인증 플로우"에 대한 설명
  1. 사용자가 클라우드 애플리케이션에 대한 액세스를 요청합니다.
  2. 클라우드 애플리케이션은 인증을 위해 사용자 브라우저를 Oracle Identity Cloud Service로 재지정합니다.
  3. Oracle Identity Cloud Service는 인증을 위해 사용자 브라우저를 ID 제공자(IdP)로 OAM으로 재지정합니다.
  4. OAM이 사인인 페이지를 사용자에게 제공합니다.
  5. 사용자가 OAM에 인증서를 제출합니다.
  6. 사용자가 OAM에서 성공적으로 인증되면 브라우저가 적합한 SAML 토큰을 사용하여 Oracle Identity Cloud Service로 재지정됩니다.
  7. Oracle Identity Cloud Service는 SAML 토큰을 소비하고 사용자 세션을 생성한 다음 브라우저를 다시 클라우드 애플리케이션으로 재지정합니다.
  8. 클라우드 응용 프로그램이 자체 유저 세션을 생성한 다음 홈 페이지를 유저에게 표시합니다.

필요 조건 검증

Oracle Access Management(OAM) 및 Oracle Identity Cloud Service를 통합하기 전에 다음 필요 조건을 검증하십시오.

  1. 사용자가 OAM의 ID 저장소와 Oracle Identity Cloud Service 간에 동기화되었는지 확인합니다.

    IdP 통합을 수행하려면 OAM ID 저장소와 Oracle Identity Cloud Service에 동일한 고유 속성을 가진 사용자 항목이 있어야 합니다. 일반적으로 사용되는 고유 속성은 전자 메일 주소입니다. Oracle Identity Cloud Service는 사용자를 연속적이고 자동으로 동기화하는 메커니즘을 제공합니다.

    기존 OAM ID 저장소와 Oracle Identity Cloud Service 간에 사용자를 동기화하는 데 사용할 수 있는 옵션은 다음과 같습니다.
    • REST API
    • CSV 파일
    • OIM 커넥터
    • ID 브리지
    이러한 옵션에 대한 정보는 Oracle Identity Cloud Service 설명서 및 자율 사용지침서에서 확인할 수 있습니다.

    예를 들어 OAM ID 저장소에 OUD(Oracle Unified Directory)를 사용하면 사용자 항목을 매우 간단하게 확인할 수 있습니다. OUD에서 개별 사용자의 전자메일 주소를 확인하려면 ldapsearch를 사용할 수 있습니다. OUD에서 사용자를 검색하려면 터미널을 실행하고 환경에 따라 속성과 값을 바꾸어 다음과 같이 ldapsearch 명령을 실행합니다.

    ldapsearch -h oudhost -p 1389 -D "cn=Directory Manager" -s sub -b "dc=example,dc=com" "uid=csaladna" dn mail

    명령 출력은 다음과 같이 사용자 DN 및 전자 메일을 반환합니다.

    dn: uid=csaladna,ou=People,dc=example,dc=com mail: csaladna@example.com

    OUD에서 반환된 전자 메일을 기록합니다(예: csaladna@example.com).

    1. Oracle Identity Cloud Service 콘솔에 액세스하여 탐색 드로어를 확장하고 사용자를 누릅니다.
    2. OUD 전자메일을 사용하는 사용자가 존재하는지 검색하고 확인합니다.
    3. 사용자가 OAM의 사용자 디렉토리와 일치하는 고유 속성을 가진 Oracle Identity Cloud Service에 있지 않으면 계속할 수 없습니다.

    먼저 OAM IdP 서비스를 사용할 모든 사용자가 두 디렉토리에서 일치하는 고유 속성을 가지고 있는지 확인해야 합니다.

  2. OAM Identity Federation이 사용으로 설정되었는지 확인합니다.
    1. OAM 콘솔에 로그인하고 Configuration(구성) > Available Services(사용 가능한 서비스)로 이동합니다.
    2. ID 통합이 사용으로 설정되었는지 확인합니다. 사용 안함으로 설정된 경우 사용으로 설정합니다.
    OAM과 Oracle Identity Cloud Service를 통합할 준비가 되었습니다.