Integrasi Oracle Access Management (OAM) 11gR2 dengan Google OpenID 2.0

Kali ini saya ingin berbagi langkah-langkah yang diperlukan untuk mengintegrasikan OAM dengan Google dengan menggunakan protokol OpenID 2.0. Pada integrasi ini, Google berperan sebagai identity provider dan peran OAM lebih sebagai perantara antara user dengan Google. Ketika user ingin mengakses halaman yang dilindungi OAM, user akan di-redirect ke halaman login Google. Setelah user terotentikasi dengan Google, Google akan me-redirect request kembali ke OAM lengkap dengan email user tersebut. Email tersebut kemudian divalidasi oleh OAM terhadap user identity store yang terdaftar.

Integrasi dengan protokol OpenID mulai di-support oleh OAM sejak rilis 11gR2 (11.1.2.x), di mana engine dari Oracle Identity Federation telah tergabung ke dalam salah satu service OAM. Pada blog post ini, saya menggunakan OAM 11gR2 (11.1.2.1.0), OID & ODSM 11gR1 (11.1.1.7.0), dan untuk menyederhanakan konfigurasi saya akan mengubah authentication policy dari OAM Admin Console, sehingga konfigurasi WebGate tidak diperlukan. Integrasi ini mengasumsikan bahwa domain OAM telah terkonfigurasi dan OID telah berjalan.

Berikut adalah langkah-langkah yang diperlukan:

1. Login ke OID sebagai cn=orcladmin menggunakan ODSM
2. Duplikat user cn=orcladmin, pada konfigurasi saya DN lengkapnya adalah cn=orcladmin,cn=Users,dc=nostratech,dc=com.
   
3. Buat cn=weblogic,cn=Users,dc=nostratech,dc=com dari duplikat tersebut dan pastikan user weblogic memiliki email GMail.
   
4. Login ke OAM Admin Console sebagai weblogic lalu pilih menu System Configuration -> Common Configuration -> Available Services.
   
5. Pilih Enable untuk Identity Federation. (Security Token Service dan Mobile and Social tidak wajib untuk di-enable).
   
6. Pilih menu Data Sources -> User Identity Stores, pilih tombol Create New Identity Store. Masukkan informasi OID yang sebelumnya kita akses dan sesuaikan seperti gambar berikut. Pilih Apply jika Test Connection sudah valid.
   
7. Pilih menu Identity Federation -> Identity Providers dan buatlah identity provider baru. Masukkan Google sebagai provider name dan pilih Google provider default settings pada bagian service details. Pastikan pilihan Enable Partner dan Default Identity Provider juga telah tercentang. Pilih Save.
   
8. Masukkan OID pada pilihan user mapping identity store, pastikan attribute mapping adalah mail -> mail dan pilih tombol Create Authentication Scheme and Module untuk membuat GoogleFederationScheme dan GoogleFederationModule.
   
   
9. Pilih menu Policy Configuration -> Application Domains. Pilih Search kemudian pilih IAM Suite.
   
10. Ketika konfigurasi IAM Suite telah terbuka, pilih Authentication Policies dan pilih OAM Admin Console Policy.
    
11. Ubah authentication scheme dari OAMAdminConsoleScheme menjadi GoogleFederationScheme yang pada langkah ke-8 telah kita buat sebelumnya. Pilih Apply.
    
    
12. Buka browser lain atau tutup browser yang digunakan. Buka kembali URL dari OAM Admin Console. Jika langkah-langkah sebelumnya lancar, seharusnya sekarang kita akan di-redirect ke halaman Google. Login dengan user Google atau GMail yang sesuai dengan user weblogic yang terdaftar di OID sebelumnya. Pilih Accept atau Terima.
    
13. Otentikasi telah berhasil, email GMail akan divalidasi terhadap OID oleh OAM, dan jika lancar kita akan dapat mengakses OAM Admin Console kembali sebagai user weblogic.
    

Oh iya, pastikan hostname dari server OAM merupakan FQDN. Jika tidak, kemungkinan akan ada parsing error ketika redirect ke Google. Selamat mencoba. :)