소매 상품을 위해 Oracle Access Manager 및 Azure AD 통합

소매 상품을 위해 통합 SSO를 지원하도록 Oracle Access Manager 및 Azure AD 를 구성하려면 다음 작업을 성공적으로 완료해야 합니다.

• Azure AD 를 id 제공자로 구성하고 소매 상품 처리를 위해 사용자를 Oracle Access Manager 에 지정합니다.
• 다음을 수행해야 하는 Azure AD 와의 통합을 위해 Oracle Access Manager 를 구성합니다.
  • Azure AD 에 대한 새 id 제공자를 생성합니다.
  • 소매 상품 리소스를 인증 체계와 연관시킵니다.

Id 제공자로 Azure AD 구성

먼저 Azure AD 를 id 제공자로 구성합니다.

Azure AD 을 id 제공자로 구성하려면 다음과 같이 하십시오.

1. 도메인 관리자로 Azure 포털에 사인인합니다.
2. [고급] 탐색 창에서 Azure Active Directory 를 누릅니다.
3. Azure Active Directory 창에서 엔터프라이즈 응용 프로그램 을 누릅니다.
4. 새 애플리케이션 을 누릅니다.
5. 갤러리 섹션에서 [추가] 섹션에 검색 상자에 Retail-IDM 을 입력하고 추가 를 누릅니다.
6. 새 애플리케이션에 대한 서비스 제공자로 Oracle Access Manager 를 구성하려면 Single Sign-On 을 누릅니다.
7. Single Sign-On 메소드로 SAML 을 선택합니다.
   SAML 으로 Single Sign-On 설정 페이지가 나타납니다. 여기서 다음 단계에 따라 통합 세부정보를 입력합니다. 입력해야 하는 일부 값은 Oracle Access Manager 의 SAML 메타데이터에서 가져옵니다. 메타데이터를 가져오려면 http(s)://<oam_hostname>:<port>/oamfed/sp/metadata 로 이동합니다. 출력은 XML 데이터이며, 일부는 다음 단계에서 필요합니다. 메타데이터 파일 업로드 를 눌러 이 메타데이터를 Azure AD 에 업로드합니다.
8. [기본 SAML 구성] 영역에서 식별자 (엔티티 ID) 및 응답 URL (검증 소비자 서비스 URL) 필드에 값이 필요합니다. SAML 메타데이터 XML 을 업로드한 경우 값이 자동으로 입력됩니다. 그렇지 않은 경우 수동으로 입력합니다.
   • 식별자 (엔티티 ID) 는 SAML 메타데이터에 있는 EntityDescriptor 요소의 entityID 속성에 해당합니다. 런타임에 Azure AD 는 SAML 검증의 Audience 요소에 값을 추가하여 검증의 예상 대상인 오디언스를 나타냅니다. Oracle Access Manager 메타데이터에서 다음 값을 찾고 해당 값을 입력합니다.

     <md:EntityDescriptor ……… entityID="http://....../>

   • 응답 URL (검증 소비자 서비스 URL) 은 SAML 메타데이터에 있는 AssertionConsumerService 요소의 위치 속성에 해당합니다. HTTP_POST 바인딩과 관련된 위치 속성을 선택해야 합니다. 회신 URL은 검증을 처리하는 데 필요한 통합 파트너의 SAML 서비스 끝점입니다.

   주:

   사인온 URL, 릴레이 상태 및 로그아웃 URL 등록정보는 이 시나리오와 관련되지 않으므로 건너뛸 수 있습니다.
9. 사용자 속성 및 클레임 영역에서 SAML 검증에 삽입되고 Oracle Access Manager 로 전송되는 사용자 속성을 구성합니다. 이 시나리오에서는 일부 양식의 고유 사용자 Id를 전송할 수 있습니다. 이름 식별자 값 user.userprincipalname [nameid-format:emailAddress] 에 대한 기본값으로 값을 사용합니다. userprincipalname 은 Azure AD 내에서 고유한 속성입니다. 해당 구성의 의미는 userprincipalname 값을 Oracle Access Manager id 저장소 (LDAP 서버 저장소) 의 사용자 항목으로 임포트해야 하는 것입니다. 다음 사항에 유의하십시오.

   주:

   클레임에서 반환된 등록정보 그룹 및 Class NAME 아래의 모든 클레임은 이 시나리오와 관련되지 않으므로 이를 건너뛸 수 있습니다.
10. SAML 서명 인증서 영역에서 Federation 메타데이터 XML 옆에 있는 다운로드 링크를 누르고 컴퓨터에 파일을 저장합니다. 나중에 Oracle Access Manager 를 서비스 제공자로 구성할 때 사용합니다.

소매 상품을 위해 Oracle Access Manager 에 사용자 지정

소매 상품 표시를 위해 Oracle Access Manager 에서 인증 요청을 받은 후에만 Azure AD 에 로그인할 수 있습니다.

소매 상품을 위해 Oracle Access Manager 에 사용자를 지정하려면 다음과 같이 하십시오.

1. 이전 섹션에서 생성한 Azure AD 응용 프로그램에서 사용자 및 그룹 을 누른 다음 사용자 추가 를 누릅니다.
2. 사용자 및 그룹 선택: 선택된 항목 없음 옵션을 선택하고 다음 단계를 수행합니다.
   1. [멤버 선택] 또는 [외부 사용자 검색] 상자에 사용자 이름을 입력하고 Enter 키를 누릅니다.
   2. 사용자를 선택하고 선택 을 눌러 사용자를 추가합니다.
   3. 지정을 누릅니다.
   4. 사용자 또는 그룹을 더 추가하려면 이 단계를 반복합니다.
3. 적합한 보안 그룹이 존재하지 않을 경우 새로 생성합니다. [고급] 탐색 창에서 Azure Active Directory 를 누른 다음 그룹 을 누릅니다.
4. 새 그룹 을 누르고 보안 을 유형으로 지정한 다음 사용자를 선택하거나 초대하여 그룹에 사용자를 추가합니다. 생성 을 누릅니다.
5. Azure -AD 엔터프라이즈 애플리케이션에 그룹을 지정합니다.
6. 사용자가 SSO 구성에만 사용되는 이 엔터프라이즈 애플리케이션을 볼 수 없도록 하려면 속성 을 누르고 사용자에게 표시되는 값을 아니오 로 변경하고 저장 을 누릅니다.

Azure AD 에 대한 새 id 제공자 생성

다음으로 Azure AD 와 통합을 위해 Oracle Access Manager 를 구성해야 합니다. 이 프로세스의 첫번째 단계는 Azure AD 에 대한 새 id 제공자를 생성하는 것입니다.

Azure AD 에 대한 새 id 제공자를 생성하려면 다음과 같이 하십시오.

1. Oracle Access Manager 콘솔에 관리자로 사인인합니다.
2. Identity Federation이 사용으로 설정되었는지 확인하십시오. 표시되지 않으면 서비스 사용. 을 누르십시오.
3. 콘솔 상단에서 통합 탭을 누릅니다.
4. 실행 패드 탭의 통합 영역에서 서비스 제공자 관리 를 누릅니다.
   이 경우 Oracle Access Manager 는 서비스 제공자로 동작합니다.
5. 서비스 제공자 관리 탭에서 Id 제공자 파트너 생성 을 누릅니다.
6. 일반 영역에서 Id 제공자 파트너의 이름을 입력하고 파트너 사용 및 기본 id 제공자 파트너 사용 체크 박스를 모두 선택합니다. 저장하기 전에 다음 단계로 이동합니다.
7. 서비스 정보 영역에서 다음을 수행합니다.
   1. 프로토콜로 SAML2 .0 을 선택합니다.
   2. 제공자 메타데이터에서 로드 옵션을 선택합니다.
   3. 찾아보기 (Windows용) 또는 파일 선택 (Mac 의 경우) 을 누르고 이전에 저장한 Azure AD SAML 메타데이터 파일을 선택합니다. Oracle Access Manager 는 제공자 ID 및 인증서 정보를 채웁니다.
   4. 저장하기 전에 다음 단계를 완료합니다.
8. 매핑 옵션 영역에서 다음을 수행합니다.
   1. 소매 상품 사용자를 위해 검사되는 Oracle Access Manager LDAP id 저장소로 사용할 사용자 id 저장소 옵션을 선택합니다. 일반적으로 Oracle Access Manager id 저장소로 구성되어 있습니다.
   2. 사용자 검색 기본 DN 필드를 비워 둡니다. 검색 기준이 Id 저장소 구성에서 자동으로 선택됩니다.
   3. 사용자 ID 저장소에 검증 이름 ID 매핑 속성 옵션을 선택하고 텍스트 상자에 메일을 입력합니다.

   주:

   이 구성은 Azure AD 와 Oracle Access Manager 간의 사용자 매핑을 정의합니다. Oracle Access Manager 는 수신 SAML 검증에서 NameID 요소의 값을 가져와서 구성된 id 저장소의 모든 사용자 항목에서 메일 속성에 대해 해당 값을 조회하려고 합니다. 따라서 이전에 표시된 Azure AD 구성의 Azure AD 사용자 이름이 Oracle Access Manager id 저장소의 메일 속성과 동기화되는 것은 전적으로 사용됩니다.
9. 저장 을 눌러 Id 제공자 파트너를 저장합니다.
10. 파트너가 저장된 후 탭 아래쪽의 [고급 ] 영역으로 돌아갑니다. 옵션이 다음과 같이 구성되었는지 확인합니다.
    • 전역 로그아웃을 사용으로 설정 이 선택되었습니다.
    • HTTP POST SSO 응답 바인딩이 선택되었습니다. Oracle Access Manager 이 SAML 검증을 다시 전송하는 방법을 Azure AD 에 알려주는 인증 요청에서 전송하는 지침입니다.
    • HTTP 기본 인증 사용 (SSO 아티팩트 바인딩) 이 선택되지 않았습니다. 이 설정은 Azure AD 가 HTTP POST 요청을 통해 검증을 전송하도록 요청합니다. 이와 같은 요청을 받을 때 Id 제공자는 일반적으로 검증을 통해 서비스 제공자의 ACS (검증 소비자 서비스) 에 자동으로 게시되는 숨겨진 폼 요소로 HTML 폼을 생성합니다.
11. 일반 사항 영역에서 인증 체계 및 모듈 생성 을 누릅니다.
    Azure AD 에서 사용할 인증 체계 및 모듈은 파트너 이름으로 생성됩니다. 남은 유일한 구성은 인증을 위해 Azure AD 인증서가 필요한 소매 상품 리소스에 인증 체계를 연결하는 중이며 다음 섹션에서 수행하는 것입니다.
12. 다음 단계에 따라 생성된 인증 모듈을 확인할 수 있습니다.
    1. 콘솔 맨위에서 애플리케이션 보안 탭을 누릅니다.
    2. 플러그인 에서 인증 모듈 을 선택하고 검색 을 누른 다음 통합 모듈을 찾습니다.
    3. 모듈을 선택하고 단계 탭을 누릅니다.
    4. FedSSOIdP 속성의 값은 id 제공자 파트너입니다.

소매 상품 리소스를 인증 체계와 연관

Azure AD 와 통합되도록 Oracle Access Manager 를 구성하는 마지막 단계는 소매 상품 리소스를 인증 체계와 연관시키는 것입니다.

소매 상품 리소스를 인증 체계와 연관시키려면 관리자로 Oracle Access Manager 콘솔에 로그인한 상태에서 다음 단계를 수행합니다.

1. 콘솔의 맨 위에서 애플리케이션 보안 을 누릅니다.
2. Access Manager 에서 애플리케이션 도메인 을 누르고 검색 을 누른 다음 Retail Merchandising WebGate 을 등록한 Retail Merchandising 설치 중에 생성된 애플리케이션 도메인을 선택합니다.
3. 인증 정책 탭을 누릅니다.
4. 보호된 리소스 정책 을 누릅니다.
5. 이전에 생성된 인증 체계를 새 통합 인증 체계로 변경하여 인증 체계 값을 변경합니다. Oracle Access Manager 가 보호된 리소스를 id 제공자에 연결하는 방식입니다.
6. 적용 을 눌러 변경사항을 저장합니다.