1. 在 Azure AD 和 Oracle Access Manager 之间为 Oracle Retail Merchandising Suite 设置 SSO
  2. 集成用于零售业务的 Oracle Access Manager 和 Azure AD

集成用于零售业务的 Oracle Access Manager 和 Azure AD

配置 Oracle Access Manager 和 Azure AD 以支持用于零售商品的联合 SSO 需要成功完成以下任务:

  • 将 Azure AD 配置为身份提供商,并将用户分配给 Oracle Access Manager 以进行零售
  • 为联盟配置 Oracle Access Manager 以获取 Azure AD,这需要执行以下操作:
    • 为 Azure AD 创建新的身份提供方。
    • 将零售商品资源与验证方案相关联。

将 Azure AD 配置为身份提供者

首先,请将 Azure AD 配置为身份提供方。

将 Azure AD 配置为身份提供方

  1. 以域管理员身份登录 Azure 门户
  2. 在最左侧的导航窗格中,单击Azure Active Directory
  3. 在 Azure Active Directory 窗格中,单击企业应用程序
  4. 单击新建应用程序
  5. 在图库部分的添加中,在搜索框中键入 Retail -IDM,然后单击添加
  6. 要将 Oracle Access Manager 配置为新应用程序的服务提供方,请单击一次登入
  7. 选择 SAML 作为单点登录方法。
    此时将显示“设置带 SAML 的一次登入”页。在此处,您将输入以下步骤以输入集成详细信息。您需要输入的某些值来自 Oracle Access Manager 的 SAML 元数据。要获取元数据,请转到 http(s)://<oam_hostname>:<port>/oamfed/sp/metadata。输出是 XML 数据,其中的一些需要在后续步骤中提供。单击上载元数据文件以将此元数据上载到 Azure AD。
  8. 在“基本 SAML 配置”区域中,“标识符(实体 ID)”和“回复 URL(断言使用者服务 URL)”字段需要值。如果您上载 SAML 元数据 XML,则将自动输入这些值。如果没有,请手动输入。
    • 标识符(实体 ID)对应于 SAML 元数据中 EntityDescriptor 元素的 entityID 属性。在运行时,Azure AD 将值添加到 SAML 断言的“受众”元素,指示受众是断言的预期目标。在 Oracle Access Manager 元数据中查找以下值,并输入该值: 
      <md:EntityDescriptor ……… entityID="http://....../>
    • “回复 URL” (断言使用者服务 URL)对应于 SAML 元数据中 AssertionConsumerService 元素的“位置”属性。请确保选取相对于 HTTP_POST 绑定的位置属性。回复 URL 是联盟合作伙伴中要求处理断言的 SAML 服务端点

    注 :

    登录 URL、中继状态和注销 URL 属性与此方案无关,因此您可以跳过这些属性。
  9. 在用户属性和索赔区域中,配置将在 SAML 断言中插入并发送到 Oracle Access Manager 的用户属性。对于此方案,发送一些形式的唯一用户标识。保留值作为名称标识符值的默认值:user.userprincipalname [nameid-format:emailAddress],因为 userprincipalname 是 Azure AD 中的唯一属性。这种配置的实施是需要将 userprincipalname 值导入 Oracle Access Manager 身份存储库(LDAP 服务器存储)中的用户条目。请注意

    注 :

    在申请中返回的属性组和 CLAIM NAME 下的所有索赔与此方案不相关,因此您可以跳过它们。
  10. 在 SAML 签名证书区域中,单击联盟元数据 XML 旁边的下载链接,并将该文件保存在您的计算机上。以后将 Oracle Access Manager 配置为服务提供方时将使用该功能。

将用户分配给零售业务的 Oracle Access Manager

仅当您分配的用户收到 Oracle Access Manager for Retail Merchandising 的验证请求后,才能登录到 Azure AD。

要将用户分配给零售业务的 Oracle Access Manager,请执行以下操作:
  1. 在上一部分中创建的 Azure AD 应用程序中,单击用户和组,然后单击添加用户。
  2. 选择用户和组:未选择任何内容选项,并执行以下步骤:
    1. 在选择成员或邀请外部用户搜索框中,输入用户的名称,然后按 Enter。
    2. 选择用户,然后单击选择以添加用户。
    3. 单击分配
    4. 要添加更多用户或组,请重复这些步骤。
  3. 如果不存在适当的安全组,请创建一个。在最左侧的导航窗格中,依次单击 Azure Active Directory 和组。
  4. 单击新建组,指定安全性作为类型,然后通过选择或邀请用户将用户添加到该组中。单击创建
  5. 将组分配给 Azure -AD 企业应用程序。
  6. 要阻止用户查看仅适用于 SSO 配置的此企业应用程序,请单击属性,将可见值更改为用户?否,然后单击保存

为 Azure AD 创建新的身份提供者

接下来,您需要使用 Azure AD 为联盟配置 Oracle Access Manager。此过程的第一步是为 Azure AD 创建新的身份提供方。

要为 Azure AD 创建新的身份提供方,请执行以下操作:

  1. 以管理员身份登录到 Oracle Access Manager 控制台。
  2. 请确保已启用 Identity Federation。如果未启用,请单击启用服务.
  3. 单击控制台顶部的联盟选项卡。
  4. Launch Pad 选项卡的联盟区域中,单击服务提供方管理
    Oracle Access Manager 在这种情况下充当服务提供方。
  5. 在“服务提供方管理 ”选项卡上,单击创建身份提供方合作伙伴
  6. 在一般信息区域中,输入身份提供程序合作伙伴的名称,并选中启用合作伙伴默认身份提供方合作伙伴复选框。请转至下一步 , 然后再保存。
  7. 在“服务信息 ”区域中:
    1. 选择 SAML2 .0 作为协议。
    2. 选择从提供方加载元数据选项。
    3. 单击浏览 (对于 Windows)或选择文件 (对于 Mac),然后选择以前保存的 Azure AD SAML 元数据文件。请注意,Oracle Access Manager 将填充提供方 ID 和证书信息。
    4. 请先完成下一个步骤 , 然后再保存。
  8. 映射选项区域中:
    1. 选择将用作为为为为零售商品用户选中的 Oracle Access Manager LDAP 身份存储库的“用户身份存储库”选项。通常,这已配置为 Oracle Access Manager 身份存储库。
    2. 将用户搜索基础 DN 字段留空。搜索基础是从身份存储库配置自动选取的。
    3. 选择将断言名称 ID 映射到用户 ID 存储属性选项,然后在文本框中输入邮件。

    注 :

    此配置定义 Azure AD 与 Oracle Access Manager 之间的用户映射。Oracle Access Manager 将采用传入 SAML 断言中 NameID 元素的值,并尝试在配置的身份存储库中的所有用户条目中根据邮件属性查找该值。因此,Azure AD 用户主用户名(以前显示的 Azure AD 配置中)与 Oracle Access Manager 身份存储库中的邮件属性同步非常困难。
  9. 单击保以保存身份提供程序合作伙伴。
  10. 保存合作伙伴后,返回到选项卡底部的“高级 ”区域。确保所配置的选项如下:
    • 启用全局注销处于选中状态。
    • 选择 HTTP POST SSO 响应绑定。这是 Oracle Access Manager 在验证请求中发送的一条指令,告知 Azure AD 应如何传输 SAML 断言。
    • 未选择启用 HTTP 基本验证(SSO Artifact 绑定)。此设置要求 Azure AD 通过 HTTP POST 请求发送断言。当接收类似请求时,身份提供者通常会使用断言作为隐藏表单元素创建 HTML 表单,而该表单元素自动发布到服务提供程序的断言使用者服务(ACS)。
  11. 在“一般信息 ”区域中,单击创建验证方案和模块
    将使用合作伙伴名称创建要在 Azure AD 中使用的验证方案和模块。左侧的唯一配置是将验证方案附加到零售 Merchandising 资源,这些资源需要 Azure AD 身份证明以进行验证,您将在下一部分中执行此操作。
  12. 您可以按照以下步骤检查创建的验证模块:
    1. 单击控制台顶部的应用程序安全性选项卡。
    2. 在“插件”下,选择验证模块,单击搜索,然后找到您的联盟模块。
    3. 选择模块,然后单击步骤选项卡。
    4. 请注意,FedSSOIdP 属性中的值是身份提供方合作伙伴。

将零售商品资源与验证方案关联

为与 Azure AD 进行联盟配置 Oracle Access Manager 的最后一步是将 Retail Merchandising 资源与验证方案关联。

要将 Retail Merchandising 资源与验证方案相关联,请在以管理员身份登录 Oracle Access Manager 控制台时执行以下步骤:

  1. 在控制台的顶部,单击应用程序安全性。
  2. 在 Access Manager 下,单击“应用程序域”,单击“搜索”,然后选择在将注册 Retail Merchandising WebGate 的 Retail Merchandising 安装过程中创建的应用程序域。
  3. 单击验证策略选项卡。
  4. 单击受保护资源策略。
  5. 通过将以前创建的验证方案更改为新的联盟验证方案来更改验证方案值。这是 Oracle Access Manager 如何将受保护的资源建立到身份提供方。
  6. 单击应用以保存更改。