Identity Cloud Service 和 SAML

Identity Cloud Service 或 IDCS 可為 Oracle 客戶提供雲端代管的身分識別管理功能，包括：

• 使用者與群組管理

• SAML SSO 搭配 SAML SP 和 IdPs

• 具備 SP 的 OpenID Connect SSO

本文涵蓋 IDCS 17.2.2 和更新版本支援的 SAML 功能。

SAML 支援

協定

IDCS 支援下列 SAML 2.0 協定和連結：

• SAML 2.0 SSO 協定

  • 透過 HTTP-Redirect 或 HTTP-POST 連結傳送與接收 SAML AuthnRequest

  • 透過 HTTP-POST 連結傳送及接收包含 SAML 宣告的 SAML 回應

• SAML 2.0 登出協定傳送與接收 SAML

  • LogoutRequest 透過 HTTP-Redirect 或 HTTP-POST 連結

  • 透過 HTTP-Redirect 或 HTTP-POST 連結傳送與接收 SAML LogoutResponse

• SAML 2.0 描述資料

  • 「IDCS SAML 服務」可以產生 SAML 2.0 描述資料文件，列出用於聯合 SSO 的服務和憑證

  • 在聯合信任建立期間，IDCS SAML 服務也可以使用 SAML 2.0 描述資料。

加密

IDCS SAML 服務支援下列加密功能：

• SHA-256 和 SHA-1 作為簽章雜湊演算法

• 當使用 HTTP-POST 連結傳送訊息時，會在外送 SAML 訊息中包含 IDCS 簽署憑證

• 在產生 SAML 宣告時，IDCS 會作為 SAML IdP：

  • SAML 回應或 SAML 宣告已簽署

  • SAML 宣告可以使用 AES-128-CBC、AES-192-CBC、AES-256-CBC 或 3DES-CBC 加密

  • IDCS 在 SAML 宣告使用期間作為 SAML SP 時：

• 必須簽署 SAML 回應或 SAML 宣告

產生 SAML 宣告

在 IdP 中，IDCS 在發出 SAML 2.0 宣告時支援下列項目

• NameID 格式

  • urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress

  • urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName

  • urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualifiedName

  • urn:oasis:names:tc:SAML:2.0:nameidformat:kerberos

  • urn:oasis:names:tc:SAML:2.0:nameidformat:persistent

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient

  • 自訂 NameID 格式

• NameID 值

  • 以 urn:oasis:names:tc:SAML:2.0:nameidformat:transient 以外的任何 NameID 格式儲存在「識別存放區」中的使用者名稱或主要電子郵件使用者屬性

  • 若為 urn:oasis:names:tc:SAML:2.0:nameidformat:transient，則為一次性隨機識別碼

• SAML 屬性

  • 「識別存放區」中儲存的下列使用者屬性

    • 使用者名稱

    • 指定名稱

    • 中間名

    • 姓氏

    • 主要電子郵件地址

    • 公司電子郵件地址

    • 電話號碼 (住家、行動電話、公司)

    • 標題

    • 工作地址屬性

    • 使用者群組

  • 管理員可以設定 SAML 屬性名稱

• SAML 宣告包含一個保留識別網域名稱的屬性：

  • 名稱：oracle:cloud:identity:domain

  • 值：客戶的識別網域名稱

使用 SAML 宣告

作為 SP，IDCS 會驗證內送「SAML 宣告」，並將它對應至 IDCS 使用者記錄。服務支援下列項目：

• NameID 格式

  • urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress

  • urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName

  • urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualifiedName

  • urn:oasis:names:tc:SAML:2.0:nameidformat:Kerberos

  • urn:oasis:names:tc:SAML:2.0:nameidformat:persistent

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient

  • 自訂 NameID 格式

• 宣告對應

  • 根據「宣告」中所含的 NameID (對應至「識別存放區」中的使用者記錄屬性)

  • 或者根據「宣告」中包含的「SAML 屬性」，此「SAML 屬性」對應至「識別存放區」中的使用者記錄屬性

• 「SAML 宣告」的資訊對應至下列其中一個使用者記錄屬性：

  • 使用者名稱

  • 顯示名稱

  • 指定名稱

  • 中間名

  • 姓氏

  • 主要電子郵件地址

  • 任何其他電子郵件地址 (住家、工作、其他、復原)

終止點

實行 SAML 2.0 協定的服務會在下列位置發布：

• /fed/v1/idp/sso 代表 IdP 單一登入服務，SP 會將具有 SAML AuthnRequest 的使用者重新導向至 IdP

• IdP 單一登出服務的 /fed/v1/idp/slo，其中 SP 會將具有 SAML LogoutRequest 或 LogoutResponse 的使用者重新導向至 IdP

• SP 宣告用戶服務的 /fed/v1/sp/sso，其中 IdP 會將含有 SAML 宣告之 SAML 回應的使用者重導至 SP

• 「SP 單一登出服務」的 /fed/v1/sp/slo，其中 IdP 會將具有 SAML LogoutRequest 或 LogoutResponse 的使用者重新導向至 SP

• SAML 2.0 描述資料的 /fed/v1/metadata

SAML 服務也提供兩個端點來起始「聯合 SSO」作業，忽略使用者是否已在目標 SP 網域進行認證。因此，不應主要使用這些流程，而是應將使用者傳送至目標 SSO 服務，以判斷是否需要涉及聯合 SSO 的認證。SAML 服務 (IdP 或 SP) 都支援啟動「聯合 SSO」：

• IdP 起始的 SSO：

  • 端點：/fed/v1/idp/initiatess

  • 查詢參數 (需有 providerid、partnerguid 或 partnername 其中之一；returnurl 為選擇性)

    • providerid:SP ProviderID

    • partnername：在 IDCS 中註冊的 SP 名稱

    • partnerguid：在 IDCS 中註冊之 SP 的唯一 GUID

    • returnurl：完成「聯合 SSO」後，應將使用者重新導向的位置

• SP 起始的 SSO：

  • 端點：/fed/v1/sp/initiatess

  • 查詢參數 (需有 providerid、partnerguid 或 partnername 其中之一；returnurl 為選擇性)

    • providerid:IdP ProviderID

    • partnername：在 IDCS 中註冊的 IdP 名稱

    • partnerguid：在 IDCS 中註冊之 IdP 的唯一 GUID

    • returnurl：完成「聯合 SSO」後，應將使用者重新導向的位置

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室，或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外，瀏覽 education.oracle.com/learning-explorer 成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與版權資訊

Identity Cloud Service and SAML

F60447-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.