Teilen über


Tutorial: Konfigurieren von Datawiza, um die Multi-Faktor-Authentifizierung und das einmalige Anmelden bei Oracle Hyperion EPM zu aktivieren

Verwenden Sie dieses Tutorial, um die Microsoft Entra Multi-Faktor-Authentifizierung und einmaliges Anmelden (Single Sign-On, SSO) für Oracle Hyperion Enterprise Performance Management (EPM) mithilfe von Datawiza Access Proxy (DAP) zu aktivieren.

Erfahren Sie mehr über datawiza.com.

Vorteile der Integration von Anwendungen mit Microsoft Entra ID mithilfe von DAP:

Beschreibung des Szenarios

Das vorliegende Szenario konzentriert sich auf die Oracle Hyperion EPM unter Verwendung von HTTP-Autorisierungsheadern, um den Zugriff auf geschützte Inhalte zu verwalten.

Aufgrund der fehlenden Unterstützung moderner Protokolle in älteren Anwendungen ist eine direkte Integration mit Microsoft Entra SSO eine Herausforderung. Datawiza Access Proxy (DAP) schließt mittels Protokollübergang die Lücke zwischen der Legacyanwendung und der modernen Identitäts-Steuerungsebene. DAP verringert den Integrationsaufwand, verkürzt die Entwicklungszeit und erhöht die Anwendungssicherheit.

Szenarioarchitektur

Diese Lösung umfasst die folgenden Komponenten:

  • Microsoft Entra ID: Identitäts- und Zugriffsverwaltungsdienst, mit dem sich Benutzer anmelden und auf externe und interne Ressourcen zugreifen können.
  • Datawiza Access Proxy (DAP): Containerbasierter Reverseproxy, der OpenID Connect (OIDC), OAuth oder Security Assertion Markup Language (SAML) für den Benutzeranmeldeflow implementiert. Die Identität wird transparent über HTTP-Header an Anwendungen übergeben.
  • Datawiza Cloud Management Console (DCMC): Administratoren verwalten DAP über eine Benutzeroberfläche und RESTful-APIs, um DAP- und Zugriffssteuerungsrichtlinien zu konfigurieren.
  • Oracle Hyperion EPM – Legacyanwendung, die durch Microsoft Entra ID und DAP geschützt werden soll

Erfahren Sie mehr über den vom Dienstanbieter initiierten Flow in Datawiza mit Microsoft Entra-Authentifizierungsarchitektur.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt werden:

Erste Schritte mit DAP

So integrieren Sie Oracle Hyperion EMP mit Microsoft Entra ID:

  1. Melden Sie sich bei der Datawiza-Cloudverwaltungskonsole (DCMC) an.

  2. Die Willkommensseite wird geöffnet.

  3. Wählen Sie die orangefarbene Schaltfläche Get Started (Erste Schritte) aus.

    Screenshot der Schaltfläche „Erste Schritte“.

  4. Geben Sie unter Bereitstellungsname in den Feldern Name und Beschreibung Informationen ein.

    Screenshot der Felder für „Name“ und „Beschreibung“ und der Schaltfläche „Weiter“.

  5. Wählen Sie Weiter aus.

  6. Das Dialogfeld Add Application wird angezeigt.

  7. Wählen Sie unter Platform die Option Web aus.

  8. Geben Sie unter App Name einen eindeutigen Anwendungsnamen ein.

  9. Geben Sie für Public Domain beispielsweise https://hyperion.example.com ein. Zum Testen können Sie den localhost-DNS verwenden. Wenn Sie DAP nicht hinter einem Lastenausgleich bereitstellen, verwenden Sie den Port für „Public Domain“.

  10. Wählen Sie unter Listen Port den Port aus, an dem DAP lauscht.

  11. Wählen Sie für Upstream.Servers (Upstreamserver) die URL und den Port der Oracle Hyperion-Implementierung aus, die geschützt werden soll.

  12. Wählen Sie Weiter aus.

  13. Geben Sie unter Anwendung hinzufügen Informationen ein. Beachten Sie die Beispieleinträge für öffentliche Domänen, Listenportund Upstreamserver.

  14. Wählen Sie Weiter aus.

  15. Geben Sie im Dialogfeld IdP konfigurieren die relevanten Informationen ein.

Hinweis

Verwenden Sie Datawiza Cloud Management Console (DCMC) One Click Integration, um die Konfiguration abzuschließen. DCMC ruft die Microsoft Graph-API auf, um in Ihrem Namen eine Anwendungsregistrierung in Ihrem Microsoft Entra-Mandanten zu erstellen.

  1. Klicken Sie auf Erstellen.

  2. Die Seite für die DAP-Bereitstellung wird geöffnet.

  3. Notieren Sie sich die Docker Compose-Datei für die Bereitstellung. Die Datei enthält das DAP-Image, den Bereitstellungsschlüssel und das Bereitstellungsgeheimnis, um die aktuelle Konfiguration und die Richtlinien von DCMC abzurufen.

    Screenshot der DAP-Bereitstellungsseite.

  4. Wählen Sie Fertig aus.

SSO- und HTTP-Header

DAP ruft Benutzerattribute vom Identitätsanbieter (IdP) ab und übergibt sie per Header oder Cookie an die Upstreamanwendung.

Die folgenden Anweisungen ermöglichen es der Oracle Hyperion EPM-Anwendung, den Benutzer zu erkennen. Unter Verwendung eines Namens wird DAP angewiesen, die Werte vom IdP über den HTTP-Header an die Anwendung zu übergeben.

  1. Wählen Sie im linken Navigationsbereich Anwendungen aus.

  2. Wählen Sie die von Ihnen erstellte Anwendung aus.

  3. Wählen Sie die untergeordnete Registerkarte Attribute Pass (Attributübergabe) aus.

  4. Wählen Sie für Field die Option email aus.

  5. Wählen Sie für Erwartet die Option HYPLOGIN aus.

  6. Wählen Sie für Type (Typ) die Option Header aus.

    Screenshot der Registerkarte „Attributübergabe“.

    Hinweis

    Diese Konfiguration verwendet den Benutzerprinzipalnamen von Microsoft Entra für den Anmeldebenutzernamen, der von Oracle Hyperion verwendet wird. Für eine andere Benutzeridentität wechseln Sie zur Registerkarte Mappings (Zuordnungen).

    Screenshot des Benutzerprinzipalnamens.

SSL-Konfiguration

Verwenden Sie die folgenden Anweisungen für die SSL-Konfiguration.

  1. Wählen Sie die Registerkarte Erweitert .

    Screenshot der Registerkarte „Erweitert“.

  2. Wählen Sie auf der Registerkarte SSL die Option SSL aktivieren aus.

  3. Wählen Sie in der Dropdownliste Cert Type (Zertifikattyp) einen Typ aus. Zum Testen gibt es ein selbstsigniertes Zertifikat.

    Screenshot der Dropdownliste „Zertifikattyp“.

    Hinweis

    Sie können ein Zertifikat aus einer Datei hochladen.

    Screenshot des Eintrags „Dateibasiert“ für „Option auswählen“ unter „Erweiterte Einstellungen“.

  4. Wählen Sie Speichern.

Anmelde- und Abmeldeumleitungs-URI

Verwenden Sie die folgenden Anweisungen, um den Anmeldeumleitungs-URI und den Abmeldeumleitungs-URI anzugeben.

  1. Klicken Sie auf die Registerkarte Erweiterte Optionen.

  2. Geben Sie für Anmeldeumleitungs-URI und Abmeldeumleitungs-URI /workspace/index.jsp ein.

    Screenshot der Felder „Anmeldeumleitungs-URI“ und „Abmeldeumleitungs-URI“.

  3. Wählen Sie Speichern.

Aktivieren der Multi-Faktor-Authentifizierung von Microsoft Entra

Um mehr Sicherheit für Anmeldungen zu gewährleisten, können Sie Microsoft Entra mehrstufige Authentifizierung erzwingen.

Weitere Informationen im Tutorial: Schützen von Anmeldeereignissen für Benutzer*innen mit der Multi-Faktor-Authentifizierung in Microsoft Entra

  1. Melden Sie sich mit der Rolle Anwendungsadministrator beim Azure-Portal an.
  2. Wählen Sie Microsoft Entra ID>Eigenschaften>verwalten aus.
  3. Wählen Sie unter Eigenschaften die Option Sicherheitsstandards verwalten aus.
  4. Wählen Sie unter Sicherheitsstandards aktivieren die Option Ja aus.
  5. Wählen Sie Speichern aus.

Aktivieren von SSO in der Oracle Hyperion Shared Services-Konsole

Verwenden Sie die folgenden Anweisungen, um SSO in der Oracle Hyperion-Umgebung zu aktivieren.

  1. Melden Sie sich mit Administratorberechtigungen bei der Hyperion Shared Service Console an. Beispiel: http://{your-hyperion-fqdn}:19000/workspace/index.jsp.

  2. Wählen Sie Navigieren und dann Shared Services Console aus.

    Screenshot der Option „Konsole für gemeinsame Dienste“.

  3. Wählen Sie Verwaltung und dann Benutzerverzeichnisse konfigurieren aus.

  4. Wählen Sie die Registerkarte Sicherheitsoptionen aus.

  5. Aktivieren Sie in der Konfiguration für einmaliges Anmelden das Kontrollkästchen SSO aktivieren.

  6. Wählen Sie im Dropdownmenü SSO-Anbieter oder Agent die Option Sonstiger aus.

  7. Wählen Sie im Dropdownmenü SSO-Mechanismus die Option Benutzerdefinierter HTTP-Header aus.

  8. Geben Sie im folgenden Feld HYPLOGIN, den Headernamen ein, den der Sicherheits-Agent an EMP übergibt.

  9. Wählen Sie OK aus.

    Screenshot der Option „Benutzerverzeichnisse konfigurieren“ und der Registerkarte „Sicherheitsoptionen“.

Aktualisieren der URL-Einstellungen für nach dem Abmelden in EMP Workspace

  1. Wählen Sie Navigieren aus.

  2. Wählen Sie in Verwalten die Option Arbeitsbereichseinstellungen und dann Servereinstellungen aus.

    Screenshot der Optionen „Arbeitsbereichseinstellungen“ und „Servereinstellungen“.

  3. Wählen Sie im Dialogfeld Arbeitsbereichservereinstellungen für die URLnach der Abmeldung die URL aus, die Benutzern angezeigt wird, wenn sie sich bei EPM/datawiza/ab-logoutabmelden.

  4. Wählen Sie OK aus.

    Screenshot der „URL nach der Abmeldung“ und der Schaltfläche „OK“.

Testen einer Oracle Hyperion EMP-Anwendung

Zur Bestätigung, dass Zugriff auf die Oracle Hyperion-Anwendung besteht, wird eine Aufforderung zur Verwendung eines Microsoft Entra-Kontos für die Anmeldung angezeigt. Anmeldeinformationen werden überprüft, und die Oracle Hyperion EPM-Startseite wird angezeigt.

Nächste Schritte