将 ADFS 2.0 和 3.0 SP 与 OAM 集成 IdP

本文介绍了如何将 ADFS 2.0/3.0 作为 SP 和 OAM 作为 IdP 进行集成。确保读取包含先决条件的内容。

SAML 2.0 集成基于:

ADFS 2.0 在 Windows 2008 R2 中可用,而 ADFS 3.0 在 Windows 2012 R2 中可用。该文章显示了 ADFS 3.0 的屏幕截图,而记录的步骤适用于这两个版本。

ADFS 设置

要在 ADFS SP 中将 OAM 添加为 IdP,请执行以下步骤:

  1. 转到部署了 ADFS 的计算机。

  2. 如果使用 ADFS 2.0

    • 单击开始菜单程序管理工具AD FS 2.0 管理

    • 展开 ADFS 2.0信任关系

  3. 如果使用 ADFS 3.0

    • 在 "Server Manager"(服务器管理器)中,单击 Tools(工具)AD FS Management(AD FS 管理)

    • 展开 AD FS信任关系

  4. 右键单击索赔提供商信托,然后选择添加索赔提供商信托

    5. 此时将显示“添加索赔提供商信任”窗口

    插图 Add_Claims_Provider.jpg 的说明

  5. 单击启动

  6. 从文件中选择“导入有关索赔提供商的数据”。

  7. 单击“浏览”并选择本地 OAM IdP SAML 2.0 元数据文件(OAM 端点需要 SSL 终止,否则 ADFS 不会导入元数据。请参见有关 SSL 的先决条件文章 )。

    8. 插图 Import_Data.jpg 的说明

  8. 单击下一步

  9. 如果显示有关 ADFS 中不支持的功能的警告窗口,请单击确定继续(这与 OAM IdP SAML 2.0 元数据中列出的 SAML 属性授权功能相关)。

    10. 插图 Warning_Message.jpg 的说明

  10. 输入新 SAML 2.0 标识提供程序的名称。

    11. 插图 Identity_Provider.jpg 的说明

  11. 单击下一步。此时将显示汇总窗口

    12. 插图 summary_window.jpg 的说明

  12. 单击下一步

  13. 选中打开编辑索赔

    14. 插图 Edit_Claims.jpg 的说明

  14. 单击关闭。此时将显示“编辑规则”窗口

    15. 插图 Edit_Rule_Window.jpg 的说明

  15. 单击添加规则

  16. 选择通过或筛选传入的索赔

    17. 插图 Select_Rule_Template.jpg 的说明

  17. 单击下一步

  18. 输入索赔规则的名称。

  19. 选择 NameID 作为传入索赔类型。

  20. 选择“电子邮件”作为传入名称 ID 格式。

  21. 如果要接受任何电子邮件地址,请选择“通过所有声明”如果只想接受一组特定的电子邮件地址(在此示例中,选择此选项,因为所有用户都将具有 @acme.com 电子邮件地址),请仅通过与特定电子邮件后缀值匹配的声明值。

    22. 插图 Configure_Rule.jpg 的说明

  22. 单击完成。此时将显示声明规则列表

  23. 单击确定

插图 list_of_claim_rules.jpg 的说明

如先决条件文章中所述,如果要将 ADFS 配置为使用/接受 SHA-1 签名,请执行以下步骤(注意:如果未将 ADFS 配置为使用/接受 SHA-1 签名,则必须将 OAM 配置为将 SHA-256 用于签名):

  1. 转到部署了 ADFS 的计算机。

    • 如果使用 ADFS 2.0

      • 单击开始菜单程序管理工具AD FS 2.0 管理

      • 展开 ADFS 2.0信任关系

    • 如果使用 ADFS 3.0

      • 在 "Server Manager"(服务器管理器)中,单击 Tools(工具)AD FS Management(AD FS 管理)

      • 展开 AD FS信任关系

  2. 右键单击新创建的索赔提供商信任并选择“属性”。

  3. 选择高级选项卡。

  4. 选择 SHA-1。

  5. 单击确定

插图 Secure_Hash_Algorithm.jpg 的说明

OAM 设置

要在 OAM 中将 ADFS 添加为 SP 合作伙伴,请执行以下步骤:

  1. 转到 OAM 管理控制台:http(s)://oam-admin-host:oam-adminport/oamconsole

  2. 导航到 Identity FederationIdentity Provider Administration

  3. 单击创建服务提供方合作伙伴按钮。

  4. 在“创建”屏幕中:

    1. 输入合作伙伴的名称

    2. 选择 SAML 2.0 作为协议

  5. 单击“Load Metadata(加载元数据)”并上载 SP 的 SAML 2.0 元数据文件。

  6. 选择要在 SAML 2.0 断言中设置的 NameID 格式(在此情况下为电子邮件地址 NameID 格式)。

  7. 输入必须如何设置 NameID 值:用户 ID。

  8. 在这种情况下,请存储属性和邮件属性。

  9. 选择指示如何使用属性填充 SAML 断言的默认属性概要文件。

  10. 单击保存

如先决条件文章中所述,如果要将 OAM 配置为对签名使用 SHA-256,请执行以下步骤(注:如果未将 OAM 配置为对签名使用 SHA-256,则必须将 ADFS 配置为使用/接受 SHA-1 签名):

  1. 通过执行 $IAM_ORACLE_HOME/common/bin/wlst.sh 进入 WLST 环境。

  2. 连接到 WLS 管理服务器:connect()

  3. 导航到域运行时分支:domainRuntime()

  4. 执行 configureFedDigitalSignature() 命令:configureFedDigitalSignature(partner="PARTNER_NAME", partnerType="idp/sp", algorithm="SHA-256/SHA-1")

  5. 将 PARTNER_NAME 替换为添加的合作伙伴的名称

    1. 将 partnerType 设置为 idp 或 sp

    2. 将算法设置为 SHA-256 或 SHA-1。例如:configureFedDigitalSignature(partner="ADFSSP", partnerType="sp”, algorithm="SHA-256")

  6. 退出 WLST 环境:exit()

测试

要进行测试,请访问 OAM IdP 启动的 SSO 页面:

例如:https://acme.com/oamfed/idp/initiatesso?providerid=ADFSSP

您将通过 SAML 断言重定向到 ADFS SP

插图 SAML_Assertion.jpg 的说明

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室,或在 Oracle Learning YouTube 频道上访问更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心