瞭解整合
完成整合之後,使用 Oracle Access Management (OAM) 的內部部署應用程式認證流程會維持不變。對於雲端應用程式,驗證流程只會使用 OAM 的 SAML 宣告,從 Oracle Identity Cloud Service 變更為一個流程。
將 OAM 設定為 Oracle Identity Cloud Service 的身分識別提供者 (IdP),並不會影響使用者存取內部部署應用程式的方式。存取受 OAM 保護之內部部署應用程式的使用者會受到適當的認證配置 (例如表單登入) 挑戰。OAM 會驗證使用者證明資料、產生使用者階段作業,以及允許存取內部部署應用程式。
下圖說明將 OAM 用作 Oracle Identity Cloud Service 的 IdP 時,雲端應用程式的 SAML 2.0 認證流程。
- 使用者要求存取雲端應用程式。
- 雲端應用程式會將使用者瀏覽器重新導向至 Oracle Identity Cloud Service 進行驗證。
- Oracle Identity Cloud Service 會將使用者瀏覽器重新導向至 OAM,作為身分識別提供者 (IdP) 以進行認證。
- OAM 會將其登入頁面呈現給使用者。
- 使用者將證明資料送出至 OAM。
- 使用者在 OAM 中順利認證之後,就會使用有效的 SAML 權杖將瀏覽器重新導向至 Oracle Identity Cloud Service 。
- Oracle Identity Cloud Service 會使用 SAML 權杖、建立使用者階段作業,然後將瀏覽器重新導向回雲端應用程式。
- 雲端應用程式會建立自己的使用者階段作業,然後將首頁顯示給使用者。
驗證先決條件
整合 Oracle Access Management (OAM) 和 Oracle Identity Cloud Service 之前,請先驗證下列先決條件。
- 確認使用者在 OAM 的識別存放區與 Oracle Identity Cloud Service 之間同步。
IdP 整合需要 OAM 識別存放區和 Oracle Identity Cloud Service 中存在具有相同唯一屬性的使用者項目。常用的唯一屬性是電子郵件地址。Oracle Identity Cloud Service 提供可持續自動同步使用者的機制。
您可以使用下列選項,在現有的 OAM 識別存放區與 Oracle Identity Cloud Service 之間同步使用者:- REST API
- CSV 檔案
- OIM 連線器
- 識別橋接器
例如,使用 Oracle Unified Directory (OUD) 作為「OAM 識別存放區」,您可以非常簡單地檢查使用者項目。若要檢查個別使用者在 OUD 中的電子郵件地址,您可以使用 ldapsearch。若要擷取 OUD 中的使用者,請啟動終端機,然後依照下列方式執行 ldapsearch 命令,根據您的環境取代屬性和值:
ldapsearch -h oudhost -p 1389 -D "cn=Directory Manager" -s sub -b "dc=example,dc=com" "uid=csaladna" dn mail命令輸出會傳回使用者 DN 和電子郵件,如下所示:
dn: uid=csaladna,ou=People,dc=example,dc=com mail: csaladna@example.com記錄從 OUD 傳回的電子郵件 (例如:csaladna@example.com):
- 存取 Oracle Identity Cloud Service 主控台,展開瀏覽抽屜,然後按一下使用者。
- 搜尋並確認具有 OUD 電子郵件的使用者存在。
- 如果使用者不在 OAM 的使用者目錄和含有相符唯一屬性的 Oracle Identity Cloud Service 中,就無法繼續進行作業。
您必須先確定將使用 OAM IdP 服務的所有使用者在兩個目錄中都具有相符的唯一屬性。
- 確定已啟用 OAM 識別同盟項目。
- 登入 OAM 主控台,然後瀏覽至組態 > 可用的服務。
- 確認已啟用 Identity Federation 。(停用時啟用)。