了解集成
完成集成后,使用 Oracle Access Management (OAM) 的内部部署应用的验证流保持不变。对于云应用程序,验证流从 Oracle Identity Cloud Service 仅更改为使用 OAM 中的 SAML 断言的验证流。
将 OAM 配置为 Oracle Identity Cloud Service 的身份提供者 (IdP),不会影响用户访问您的内部部署应用程序的方式。访问受 OAM 保护的内部部署应用的用户会遇到相应的验证方案(例如表单登录)的挑战。OAM 会验证用户身份证明,生成用户会话并允许访问内部部署应用程序。
下图说明了将 OAM 用作 Oracle Identity Cloud Service 的 IdP 时云应用程序的 SAML 2.0 验证流。
- 用户请求访问云应用程序。
- 云应用程序将用户浏览器重定向到 Oracle Identity Cloud Service 以进行验证。
- Oracle Identity Cloud Service 将用户浏览器重定向到作为身份提供者 (IdP) 的 OAM 以进行验证。
- OAM 向用户显示其登录页。
- 用户向 OAM 提交身份证明。
- 在 OAM 中成功验证用户后,浏览器将重定向到具有有效 SAML 标记的 Oracle Identity Cloud Service 。
- Oracle Identity Cloud Service 使用 SAML 标记,创建用户会话,然后将浏览器重定向回云应用程序。
- 云应用程序创建自己的用户会话,然后向用户显示主页。
验证先决条件
在集成 Oracle Access Management (OAM) 和 Oracle Identity Cloud Service 之前,验证以下先决条件。
- 确认用户已在 OAM 的身份存储库与 Oracle Identity Cloud Service 之间同步。
IdP 集成要求 OAM 身份存储库和 Oracle Identity Cloud Service 中都存在具有相同唯一属性的用户条目。常用的唯一属性是电子邮件地址。Oracle Identity Cloud Service 提供了持续自动同步用户的机制。
您可以使用以下选项在现有 OAM 身份存储库与 Oracle Identity Cloud Service 之间同步用户:- REST API
- CSV 文件
- OIM 连接器
- 身份桥
例如,将 Oracle Unified Directory (OUD) 用于 OAM 身份存储库,您可以非常简单地检查用户条目。要在 OUD 中检查单个用户的电子邮件地址,可以使用 ldapsearch。要在 OUD 中检索用户,请启动终端并按如下方式运行 ldapsearch 命令,根据您的环境替换属性和值:
ldapsearch -h oudhost -p 1389 -D "cn=Directory Manager" -s sub -b "dc=example,dc=com" "uid=csaladna" dn mail命令输出将返回用户 DN 和电子邮件,如下所示:
dn: uid=csaladna,ou=People,dc=example,dc=com mail: csaladna@example.com记录从 OUD 返回的电子邮件(例如:csaladna@example.com):
- 访问 Oracle Identity Cloud Service 控制台,展开导航抽屉,然后单击用户。
- 搜索并确认存在具有 OUD 电子邮件的用户。
- 如果用户不在 OAM 的用户目录和具有匹配唯一属性的 Oracle Identity Cloud Service 中,则无法继续。
您必须首先确保将使用 OAM IdP 服务的所有用户在两个目录中都具有匹配的唯一属性。
- 验证 OAM Identity Federation 是否已启用。
- 登录 OAM 控制台并导航到 Configuration(配置) > Available Services(可用服务)。
- 确认已启用 Identity Federation 。(如果禁用,则启用它)。