將 ADFS 2.0 和 3.0 IdP 與 OAM SP 整合
本文將說明如何將 ADFS 2.0/3.0 整合為 IdP,以及將 OAM 整合為 SP。在繼續處理文章之前,請務必先閱讀先決條件。SAML 2.0 整合的基礎如下:
- 將作為 NameID 格式的電子郵件地址
- NameID 值將包含使用者的電子郵件地址
- 將會使用 HTTP POST 連結將 SAML 宣告傳送至 SP
- 使用者將同時存在於兩個系統中,每個使用者都有相同的電子郵件地址,因此可以當作通用使用者屬性使用。
ADFS 2.0 可在 Windows 2008 R2 中使用,而 ADFS 3.0 可在 Windows 2012 R2 中使用。文章將顯示 ADFS 3.0 的螢幕截圖,而記載的步驟將套用至兩個版本。
ADFS 設定
若要在 ADFS IdP 中將 OAM 新增為 SP,請執行下列步驟:
-
移至已部署 ADFS 2.0 的機器。
-
如果使用 ADFS 2.0
-
按一下開始功能表、程式集、管理。
-
Tools 、 AD FS 2.0 管理
-
展開 ADFS 2.0 ,信任關係
-
-
如果使用 ADFS 3.0
-
在「伺服器管理員」中,按一下工具、 AD FS 管理
-
展開 AD FS 、信任關係
-
在信賴憑證者信任上按一下滑鼠右鍵,然後選取新增信賴憑證者信任。
「新增信賴憑證者信任」視窗便會顯示。
-
-
-
按一下開始。
-
從檔案選取匯入信賴方的資料。
-
按一下瀏覽並從本機機器選取 OAM SP SAML 2.0 描述資料檔案 (OAM 端點必須終止 SSL),否則 ADFS 將不會匯入描述資料。請參閱 SSL 的必要條件文章。
-
按一下下一步。
-
輸入新「OAM SAML 2.0 服務提供者」的名稱。
-
如果使用 ADFS 3.0,請執行下列步驟:
- 按下一步。
-
依照您的需求選取選項。
-
按下一步。
-
選取「允許所有使用者存取此信賴方」。
-
按下一步。
-
按下一步。
-
保持「開啟編輯索賠」方塊已勾選。
- 按一下關閉。
-
按一下新增規則:我們將設定 ADFS 從 LDAP 擷取使用者的電子郵件地址,並將其納入為 EmailAddress SAML 屬性。
-
選取「傳送 LDAP 屬性作為宣告」。
-
按下一步。
-
輸入「宣告規則」的名稱。
-
選取 Active Directory 作為「屬性存放區」。
-
由於我們使用「電子郵件地址」作為 NameID,因此在第一列中,選取「電子郵件地址」作為 LDAP 屬性,選取「電子郵件地址」作為「外送宣告類型」。
- 按一下完成。便會顯示規則清單。
-
按一下新增規則:我們將轉換 SAML 屬性 EmailAddress,使其成為格式設為電子郵件地址的 NameID。
-
選取「轉換傳入申請給付」。
-
按下一步。
-
輸入規則的名稱。
-
選取電子郵件地址作為傳入索賠類型。
-
選取 NameID 作為「傳出請款類型」。
-
選取電子郵件作為外送名稱 ID 格式。
-
選取「通過所有申請給付」值。
-
按一下完成。就會顯示宣告規則清單。
-
按一下確定。
下一個畫面顯示選擇性的多重因素認證設定值區段
便會顯示摘要視窗。
「編輯規則」視窗便會顯示。
[Description of the illustration list_of_rules.jpg](files/list_of_rules.txt)
Transform_Incoming_Claim.jpg 圖解說明
如先決條件文章所述,如果您要設定 ADFS 使用 / 接受 SHA-1 簽章,請執行下列步驟
注意:如果您未將 ADFS 設定為使用 / 接受 SHA-1 簽章,則必須將 OAM 設定為使用 SHA-256 進行簽章:
-
移至已部署 ADFS 的機器
-
如果使用 ADFS 2.0:
-
按一下開始功能表、程式集、管理工具、 AD FS 2.0 管理。
-
展開 ADFS 2.0 ,信任關係。
-
-
如果使用 ADFS 3.0
-
在「伺服器管理員」中,按一下工具、 AD FS 管理
-
展開 AD FS 、信任關係
-
-
以滑鼠右鍵按一下新建立的信賴方並選取特性。
-
選取進階頁籤。
-
選取 SHA-1。
-
按一下確定。
Secure_Hash_Algorithm.jpg 圖解說明
如先決條件文章所述,如果您決定停用 ADFS IdP 的解密,請執行下列步驟:
-
前往已部署 ADFS 的機器。
-
如果使用 ADFS 2.0。
- 按一下開始功能表、程式集、管理工具、 Windows PowerShell 模組
-
如果使用 ADFS 3.0
- 按一下開始功能表、管理工具、 Windows 的 Active Directory 模組 PowerShell
-
執行下列指令 (將 RP_NAME 取代為用來在 ADFS 中建立合作夥伴的 SP 名稱):set-ADFSRelyingPartyTrust -TargetName "RP_NAME" -EncryptClaims $False
例如:set-ADFSRelyingPartyTrust -TargetName "ACME SP" -EncryptClaims $False
OAM 設定
若要在 OAM 中將 ADFS 新增為 IdP 合作夥伴,請執行下列步驟:
-
前往「OAM 管理主控台」:http (s)://oam-admin-host:oam-adminport/oamconsole。
-
瀏覽至 Identity Federation 、服務提供者管理。
-
按一下建立身分識別提供者夥伴按鈕。
-
在「建立」畫面中:
-
輸入夥伴的名稱。
-
如果未指定 IdP 夥伴,請檢查啟動「聯合 SSO」作業時,是否應預設使用此夥伴作為 IdP。(在此範例中,我們將將其設為預設的 IdP)。
-
選取 SAML 2.0 作為通訊協定。
-
-
按一下「載入描述資料」並上傳「IdP 宣告對應」段落的 SAML 2.0 描述資料檔案:
-
選擇性設定應使用的「OAM 識別存放區」( 注意:在範例中,我們將欄位留白以使用預設的「OAM 識別存放區」)。
-
選擇性設定使用者搜尋基準 DN ( 注意:在範例中,我們將欄位留白,以使用「識別存放區」中設定的使用者搜尋基準 DN)。
-
選取對應發生的方式 ( 注意:在範例中,我們正透過 NameID 將宣告對應至 LDAP 郵件屬性)。
-
-
選取要用來將內送 SAML 宣告中屬性的名稱對應至本機名稱的屬性設定檔。請參閱 IdP 屬性設定檔的相關文章以取得詳細資訊。在此範例中,使用預設的 IdP 屬性設定檔。
-
按一下儲存。
如先決條件文章中所述,如果您要設定 OAM 使用 SHA-256 進行簽章,請執行下列步驟 (注意:如果您不設定 OAM 使用 SHA-256 進行簽章,則必須將 ADFS 設定為使用 / 接受 SHA-1 簽章):
-
執行以下步驟來輸入 WLST 環境:
$IAM_ORACLE_HOME/common/bin/wlst.sh。 -
連線「WLS 管理」伺服器:
connect()。 -
瀏覽至「網域程式實際執行」分支:
domainRuntime()。 -
執行
configureFedDigitalSignature()命令:configureFedDigitalSignature(partner="PARTNER_NAME", partnerType="idp/sp", algorithm="SHA-256/SHA-1")。-
以新增的合作夥伴名稱取代
PARTNER_NAME。 -
將
partnerType設為idp或sp。 -
將演算法設為 SHA-256 或 SHA-1。範例為:
configureFedDigitalSignature(partner="ADFSIdP", partnerType="idp", algorithm="SHA-256")。
-
-
結束 WLST 環境:
exit()。
如先決條件文章中所述,如果您決定不停用對 ADFS IdP 的強式加密,請確定 OAM 環境中已安裝 JCE Unlimited Strength Jitutional 政策 \les。
測試
若要測試整合,請:
-
使用 WebGate 和 FederationScheme 來保護資源,其中 ADFS IdP 是 OAM 的預設 SSO 身分識別提供者
-
或使用 OAM Test SP 應用程式,並選取 ADFS 作為 IdP
其他學習資源
探索 docs.oracle.com/learn 上的其他實驗室,或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外,瀏覽 education.oracle.com/learning-explorer 成為 Oracle Learning Explorer。
如需產品文件,請造訪 Oracle Help Center 。
Integrating ADFS 2.0 and 3.0 IdP with OAM SP
F60450-01
September 2022
Copyright © 2022, Oracle and/or its affiliates.