注意:
- 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶,請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
- 它會使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時,請將這些值替代為您雲端環境特定的值。
將 Oracle Banking Digital Experience 與偵測整合以進行單一登入
簡介
SAML 2.0 (安全宣告標記語言) 是建立用來提供跨網域單一登入 (SSO) 的開放標準。換句話說,它會允許使用者在系統中進行認證,並透過提供認證來存取其他系統。Oracle Banking Digital Experience 支援 SAML2,以便與支援此技術的 IdP (身分識別提供者,例如 Oracle Identity Cloud Service) 整合。Oracle Identity Cloud Service 使用以 Oracle Cloud 作為外部識別前門的雲端原生識別服務 (IDaaS) 平台,管理廣泛的雲端與企業內部部署應用系統和服務的使用者存取和權益。
SAML 是一種以 XML 為基礎的認證協定,其中身分識別提供者 (例如 Oracle Identity Cloud Service、Ping、Okta) -- 管理和儲存使用者證明資料的實體 -- 以數位方式交換簽署的 XML 文件 (SAML 宣告),讓一般使用者存取服務提供者 (Oracle Banking Digital Experience)。如需詳細資訊,請參閱 SAML 與單一登入 (SSO) 。
使用 SAML 時,認證工作流程可由服務提供者 (SP) 或身分識別提供者 (IdP) 起始。如果使用者登入其組織儀表板,就會起始 IdP 認證。在此情況下,IdP 會透過 Web 瀏覽器傳送 SAML 宣告以自動登入。
如果員工嘗試登入外部網站 (SP),而網站會將其重新導向至其公司的單一登入 (SSO) 登入頁面,以輸入其證明資料並進行認證,就會起始 SP 認證。認證後,會以證明其身分的 SAML 宣告,將員工重新導向回外部網站。
目標
本教學課程將協助開發人員和建置夥伴執行相關步驟,以便將 Oracle Banking Digital Experience 與身分識別提供者整合。
必要條件
a.Oracle Banking Digital Experience 安裝
b.支援 SAML2 的身分識別提供者
作業 1:設定安全範圍 - 證明資料對應
-
登入 WebLogic 管理主控台,並前往下列路徑:首頁、伺服器摘要、安全範圍摘要、 myrealm 。
-
按一下「提供者」選項。
-
建立新的認證提供者。
-
執行如以下螢幕擷取畫面所示的組態。
-
「訂單提供者」,如下圖所示。
-
重新啟動管理伺服器。
工作 2:設定 Oracle Banking Digital Experience
-
請移至下列「受管理伺服器」段落中的路徑:首頁、伺服器摘要、受管理伺服器、聯合服務、 SAML 2.0 一般。
-
請在下方輸入地點特定組態明細。
發布的網站 URL :http://<<HOST>>:<<PORT>>/saml2
-
儲存並啟用變更之後,請重新啟動受管理伺服器。
-
發佈 Metadata 並儲存於 XML 檔案。此中繼資料檔案將提供給 Ping 或任何其他 IdP。
-
前往「受管理伺服器」區段中的下列路徑:首頁、伺服器摘要、受管理伺服器、聯合服務、 SAML 2.0 服務提供者。
-
請在下方輸入地點特定組態明細。
預設 URL :http://<<HOST>>:<<PORT>>/digx/protected/dashboard.jsp
作業 3:設定身分識別提供者 (IdP) - WebLogic
-
共用下列 IdP 組態詳細資訊並產生 IdP 描述資料。
-
單一登入 URL :http://<<HOST>>:<<PORT>>/saml2/sp/acs/post
-
收件者 URL :http://<<HOST>>:<<PORT>>/saml2/sp/acs/post
-
目的地 URL :http://<<HOST>>:<<PORT>>/saml2/sp/acs/post
-
對象 URI (SP 實體 ID) :它應該和 SAML 2.0 一般組態中設定的實體 ID 相同,例如 PING_obdx_ID 。
-
-
完成 IdP (SAML 回應器) 中的上述組態之後,請產生 IdP 描述資料並儲存在 XML 檔案中。
作業 4:設定安全範圍 - IdP 提供者
-
複製「受管理伺服器的網域資料夾」中的 IdP 描述資料 XML 檔案。
-
前往下列路徑:首頁、安全範圍摘要、 myrealm 、提供者、SAML2_IA 。
-
在「管理」區段底下,執行下列組態以建立身分識別提供者夥伴。
-
選取在受管理伺服器網域路徑中複製的 IdP 描述資料 xml。
-
儲存詳細資訊。
-
在身分識別提供者夥伴底下,完成下列組態。
-
重新啟動管理和受管理伺服器。
工作 5:設定 Oracle Banking Digital Experience
對於 obdx.app.rest.idm com.ofss.digx.appx.service.rest.war ,請設定下列詳細資訊。
-
/protected/dashboard.jsp:更新 JSESSIONID 瀏覽器 Cookie 變更。\<!DOCTYPE HTML\> \<html lang=\"en-US\"\> \<head\> \<meta charset=\"UTF-8\"\> \<meta http-equiv=\"refresh\" content=\"1;url=../../home.html\"\> \<script\> var JSESSIONID = getCookie(\"JSESSIONID\"); if (typeof(JSESSIONID) != \"undefined\" && JSESSIONID != null && JSESSIONID != \"\") { mydomain.console.log(\"Found JSESSIONID from SSO relocating to: \" + JSESSIONID); setCookie(\"JSESSIONID\", JSESSIONID, -1, \"/\", \"webserverhostname:port\"); document.location.href = JSESSIONID; } window.location.href = \"../../home.html\" \</script\> \<title\>Page Redirection\</title\> \</head\> \<body\> -
/WEB-INF/web.xml:在安全限制條件角色變更中。\<security-constraint\> \<display-name\>Constraint-0\</display-name\> \<web-resource-collection\> \<web-resource-name\>Constraint-0\</web-resource-name\> \<url-pattern\>/protected/\*\</url-pattern\> \</web-resource-collection\> \<auth-constraint\> \<role-name\>valid-users\</role-name\> \</auth-constraint\> \<user-data-constraint\> \<transport-guarantee\>NONE\</transport-guarantee\> \</user-data-constraint\> \</security-constraint\> -
/WEB-INF/weblogic.xml:Cookie 和角色組態。\<?xml version=\"1.0\" encoding=\"UTF-8\"?\> \<wls:weblogic-web-app xmlns:wls=\"http://xmlns.oracle.com/weblogic/weblogic-web-app\" xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:schemaLocation=\"http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2\_5.xsd http://xmlns.oracle.com/weblogic/weblogic-web-app http://xmlns.oracle.com/weblogic/weblogic-web-app/1.3/weblogic-web-app.xsd\"\> \<wls:context-root\>digx\</wls:context-root\> \<wls:library-ref\> \<wls:library-name\>jax-rs\</wls:library-name\> \<wls:specification-version\>2.0\</wls:specification-version\> \<wls:exact-match\>true\</wls:exact-match\> \</wls:library-ref\> \<security-role-assignment\> \<role-name\>valid-users\</role-name\> \<principal-name\>users\</principal-name\> \</security-role-assignment\> \<session-descriptor\> \<max-save-post-size\>10240\</max-save-post-size\> \<persistent-store-type\>memory\</persistent-store-type\> \<sharing-enabled\>true\</sharing-enabled\> \<cookies-enabled\>true\</cookies-enabled\> \<cookie-name\>JSESSIONID\</cookie-name\> \<cookie-domain\>\</cookie-domain\> \<cookie-path\>/\</cookie-path\> \<cookie-secure\>false\</cookie-secure\> \<url-rewriting-enabled\>true\</url-rewriting-enabled\> \</session-descriptor\> \<wls:session-descriptor\> \<wls:persistent-store-type\>replicated_if_clustered\</wls:persistent-store-type\> \</wls:session-descriptor\> \</wls:weblogic-web-app\> -
在
obdx.conf中設定下列設定。-
在標頭中設定 X-Frame-Options "ALLOW-FROM",請在下方新增 IdP 網域 URL。
**Header set X-Frame-Options \"ALLOW-FROM \<IdP URL\>" -
< 位置 /saml2>
SetHandler weblogic 處理程式
WebLogicCluster << 受管理伺服器主機 >>:<< 受管理伺服器連接埠 >>
2017 年 12 月
-
工作 6:除錯 SAML2
如果處理 SAML2 要求發生任何問題,請在「受管理伺服器」中啟用下列日誌。
-
前往受管理伺服器、DebugWeblogic *、安全性,並啟用下列日誌。
-
atn
-
阿茲
-
薩姆
-
saml2
-
錯誤 / 異常狀況詳細資訊將會登入受管理伺服器日誌。若不需要,您可以停用這些日誌。
注意:若要設定多個身分識別提供者夥伴,請重複第 5 節所述的步驟。在重新導向 URI 區段中,以不同名稱建立一或多個
dashboard.jsp副本。
相關連結
確認
- 作者:Pashant Bansal (DigX Consulting 顧問公司首席顧問)
其他學習資源
探索 docs.oracle.com/learn 的其他實驗室,或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外,請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。
如需產品文件,請造訪 Oracle Help Center 。
Integrate Oracle Banking Digital Experience with Ping for Single Sign-On
F81979-01
May 2023
Copyright © 2023, Oracle and/or its affiliates.