Integrando o Google Apps com o OAM e o IdP

O Google Apps oferece um conjunto de serviços que as empresas às vezes aproveitam para suas atividades diárias, o que permite que seus funcionários descarreguem o armazenamento de emails, calendários e documentos na nuvem do Google.

Quando uma empresa compra o Google Apps para seus funcionários, ela precisa criar contas de usuário no Google e fornecer aos funcionários suas informações de conta:

• Nome de usuário e senha para acessar o Google Apps

• Como definir/redefinir sua senha no Google Apps (inicialmente, ou se a senha precisa ser redefinida periodicamente)

Toda vez que o usuário precisa acessar o Google Apps, uma operação de autenticação ocorre onde o usuário informa as credenciais do Google Apps, que é diferente das credenciais de usuário da empresa local.

O Google Apps oferece suporte ao protocolo SAML 2.0 SSO como Provedor de Serviços, em que o serviço Google Apps para a empresa pode ser integrado com o servidor IdP de SSO de Federação local para:

• Forneça recursos de SSO verdadeiros para o usuário: o estado de autenticação do usuário é propagado do domínio de segurança local para o Google Apps

• Não forçar o usuário a gerenciar e lembrar um conjunto diferente de credenciais

• Permita que o administrador local controle localmente as políticas de senha de forma mais eficiente.

Este artigo descreve passo a passo como integrar o Google Apps como um SP com o OAM como um IdP via protocolo SSO SAML 2.0.

Observação Importante: A ativação do SSO de Federação para um domínio também afeta os administradores desse domínio que precisam ser autenticados por meio do SSO de Federação posteriormente.

Mapeamento de Usuário

Os usuários do Google Apps são identificados exclusivamente por seus endereços de e-mail que foram definidos quando esses usuários foram criados.

Durante um fluxo de SSO SAML 2.0, o IdP precisa fornecer o ID do usuário para o Google Apps:

• No campo SAML 2.0 NameID com o conjunto de valores NameID:

• Ou para o endereço de email do usuário no Google Apps

• Ou a parte de identificação do endereço de e-mail (ou seja, antes do caractere @)

Vamos dar o exemplo da empresa ACME que comprou um serviço do Google Apps, para o domínio acme.com.

Para exibir uma conta de usuário no Google Apps, execute as seguintes etapas:

1. Iniciar um browser

2. Vá para http://www.google.com/a

3. Clique em Entrar



Descrição da ilustração Google_SignIn.jpg

4. No campo de domínio, informe o nome do seu domínio (neste exemplo, www.acme.com)

5. Selecione Console Admin

6. Clique em Ir



Descrição da ilustração Admin_Console.jpg

7. No Painel de Controle, clique em Users



Descrição da ilustração Dashboard.jpg

8. Selecione um usuário para exibição

Descrição da ilustração User_View.jpg

A próxima tela mostra detalhes sobre o usuário. O endereço de e-mail é exibido abaixo da identidade do usuário. Neste exemplo, a ACME IdP terá que enviar para o Google Apps alice ou alice@acme.com durante a operação SAML 2.0 SSO:

Descrição da ilustração User_Details.jpg

IdP Configuração

Identificador do Google Apps

O Google Apps pode ser configurado pelo administrador do Google Apps para ser conhecido pelo IdP:

• Ou como google.com

• Ou como google.com/a/<YOUR_DOMAIN.COM> (por exemplo: google.com/a/acme.com)

Esse comportamento é controlado pelo "Usar um emissor específico do domínio" na seção de administração do Google Apps SSO.

Normalmente, você não precisa usar um emissor/providerID específico, e o Google Apps no fluxo SAML 2.0 SSO seria conhecido como google.com.

Parceiro do Google Apps SP

Para criar o Google Apps como um Parceiro SP, execute as seguintes etapas:

1. Vá para a Console de Administração do OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

2. Navegue até Federação de Identidade, Administração do Provedor de Identidade

3. Clique no botão Criar Parceiro do Provedor de Serviços

4. Na tela Criar:

   1. Informe um nome para o parceiro: GoogleApps por exemplo

   2. Selecionar SAML 2.0 como o Protocolo

5. Nos Detalhes do Serviço:

   1. Clique em Inserir Manualmente

   2. Defina o ID do Provedor como google.com (se no Google Apps você ativasse o recurso "Usar um emissor específico do domínio", você digitaria google.com/a/<YOUR_DOMAIN.COM>).

   3. Defina o URL do Consumidor de Asserção como https://www.google.com /a/<YOUR_DOMAIN.COM>/acs (por exemplo, https://www.google.com/a/acme.com/acs)

   4. Selecionar Endereço de E-mail como o formato NameID

6. Selecione o Atributo do Usuário LDAP que contém o userID que precisa ser fornecido ao Google Apps. Neste exemplo, o atributo uid continha userID: select User ID Store Attribute e, em seguida, digite uid

7. Selecione o Perfil do Atributo que é usado para preencher a Asserção SAML com atributos (o perfil vazio padrão é aceitável, pois o Google Apps não espera nenhum SAML

8. Atributos diferentes de NameID)

9. Clique em Salvar

Descrição da ilustração Google_Apps.jpg

Coletando Informações do OAM

As seguintes informações precisam ser fornecidas na console de administração do Google Apps SSO:

• Ponto final SAML 2.0 SSO IdP

• X.509 Certificado de Assinatura usado pelo IdP para assinar a Asserção SAML 2.0

No artigo anterior, listamos os pontos finais publicados pelo OAM. O ponto final SAML 2.0 SSO IdP e o ponto final de log-out SAML 2.0 seriam http(s)://oampublic-hostname:oam-public-port/oamfed /idp/samlv20, with oam-public-hostname e a porta pública seriam os valores do ponto final público, em que o usuário acessa o aplicativo OAM (balanceador de carga, proxy reverso HTTP...).

Se não tiver certeza sobre o oam-public-hostname e oam-public-port, você poderá:

1. Vá para a Console de Administração do OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

2. Navegue até Configuração , Definições do Access Manager

3. O oam-public-hostname é o Host do Servidor do OAM, o oam-public-port é a Porta do Servidor do OAM e o protocolo (http ou https) é listado no Protocolo do Servidor do OAM.

Descrição da ilustração Access_Manager_Settings.jpg

No mesmo artigo, também explicamos como determinar qual entrada de chave é usada para assinar mensagens SAML e como recuperar o Certificado de Assinatura correspondente usado por IdP:

1. Vá para a Console de Administração do OAM: http(s)://oam-admin-host:oam-adminport/oamconsole

2. Navegue até Configuração , Definições da Federação

3. O campo Chave de Assinatura na seção Geral indica qual entrada de ID de chave é usada para operações de assinatura de mensagem SAML

Descrição da ilustração Federation_Settings.jpg

Para recuperar o arquivo de certificado de um ID de chave específico, abra um navegador e use o seguinte URL para recuperar o certificado e salvá-lo localmente:

http://oam-runtime-host:oam-runtime-port/oamfed /idp/cert?id=<KEYENTRY_ID>

• O parâmetro de consulta de id contém o ID de entrada de chave do certificado. Substituir <KEYENTRY_ID>

  • Um exemplo é: http://acme.com/oamfed/idp/cert?id=osts_signing

Configuração do Google Apps

Para configurar o fluxo SSO do Google Apps for SAML 2.0, execute as seguintes etapas:

1. Iniciar um browser

2. Vá para https://www.google.com/enterprise/apps/business/

3. Autenticar e ir para o Painel de Administração

4. Clique em Mais Controles



Descrição da ilustração More_Controls.jpg

5. Clique em Segurança



Descrição da ilustração Security_Screen.jpg

6. Clique em Definições Avançadas



Descrição da ilustração Advanced_Settings.jpg

7. Clique em Configurar sign-on único (SSO)

Descrição da ilustração SSO_Screen.jpg

Na página Configuração de SSO, faça upload do certificado:

1. Na seção Certificado de Verificação, clique em Escolher arquivo

2. Selecione o certificado IdP do OAM salvo anteriormente

3. Clique em fazer upload

Descrição da ilustração Upload_certificate.jpg

Na página Configuração de SSO, para configurar os URLs e ativar o SSO da Federação:

1. Informe o URL de Acesso (IdP ponto final SSO SAML 2.0), semelhante a http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20 (por exemplo: https://sso.acme.com/oamfed/idp/samlv20)

2. Informe o URL de Sign-out (IdP ponto final de Log-out SAML 2.0), semelhante a http(s)://oam-publichostname:oam-public-port/oamfed/idp/samlv20 (por exemplo: https://sso.acme.com/oamfed/idp/samlv20)

3. Informe o URL Alterar Senha para sua implantação (observação: Neste exemplo, use /changePassword, mas este não é um serviço do OAM; é necessário informar o URL do serviço Gerenciamento de Senhas para sua implantação)

4. Marque a opção Ativar Single Sign-On para ativar o SSO de Federação

5. Clique em Salvar

Descrição da ilustração Enable_SSO.jpg

Testando

Para testar:

1. Abrir um novo navegador

2. Vá para esses URLs para autenticação via SSO de Federação para os seguintes Aplicativos Google:

3. Gmail: https://mail.google.com /a/\<YOUR_DOMAIN.COM\>/ (por exemplo, https://mail.google.com/a/acme.com/)

4. Calendário: https://calendar.google.com /a/\<YOUR_DOMAIN.COM\>/ (por exemplo, https://calendar.google.com/a/acme.com/)

5. Documentos: https://docs.google.com /a/\<YOUR_DOMAIN.COM\>/ (por exemplo, https://docs.google.com/a/acme.com/)

6. Informe o URL do Gmail, por exemplo

Você será redirecionado para o OAM IdP

1. Informe suas credenciais



Descrição da ilustração Access_Manager.jpg

2. Clique em Login

O aplicativo Gmail é exibido:

Descrição da ilustração Gmail_Login.jpg

[Description of the illustration Gmail_Login.jpg](files/Gmail_Login.txt)

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal YouTube do Oracle Learning. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Integrating Google Apps with OAM and IdP

F60935-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.