Tutorial: Konfigurieren von Datawiza, um die Multi-Faktor-Authentifizierung und das einmalige Anmelden bei Oracle Hyperion EPM zu aktivieren

Verwenden Sie dieses Tutorial, um die Microsoft Entra Multi-Faktor-Authentifizierung und einmaliges Anmelden (Single Sign-On, SSO) für Oracle Hyperion Enterprise Performance Management (EPM) mithilfe von Datawiza Access Proxy (DAP) zu aktivieren.

Erfahren Sie mehr über datawiza.com.

Vorteile der Integration von Anwendungen mit Microsoft Entra ID mithilfe von DAP:

• Sicherheit mit Zero Trust proaktiv umsetzen – ein Sicherheitsmodell, das sich an moderne Umgebungen anpasst und hybride Arbeitsplätze umfasst, während es Personen, Geräte, Apps und Daten schützt
• Einmaliges Anmelden mit Microsoft Entra – sicherer und nahtloser Zugriff für Benutzer und Apps von jedem Standort aus über ein Gerät
• Funktionsweise: Microsoft Entra-Multi-Faktor-Authentifizierung – Benutzer*innen werden während der Anmeldung zur Identifikation aufgefordert, z. B. durch einen Code auf ihrem Mobiltelefon oder einen Fingerabdruckscan
• Was ist bedingter Zugriff? – Richtlinien sind Wenn-Dann-Anweisungen. Wenn ein Benutzer auf eine Ressource zugreifen möchte, dann muss er eine Aktion ausführen.
• Einfache Authentifizierung und Autorisierung in Microsoft Entra ID mit No-Code Datawiza – Verwenden von Webanwendungen wie Oracle JDE, Oracle E-Business Suite, Oracle Siebel und selbst entwickelten Apps
• Verwendung von Datawiza Cloud Management Console (CDMC) – Verwalten des Zugriffs auf Anwendungen in öffentlichen und lokalen Clouds

Beschreibung des Szenarios

Das vorliegende Szenario konzentriert sich auf die Oracle Hyperion EPM unter Verwendung von HTTP-Autorisierungsheadern, um den Zugriff auf geschützte Inhalte zu verwalten.

Aufgrund der fehlenden Unterstützung moderner Protokolle in älteren Anwendungen ist eine direkte Integration mit Microsoft Entra SSO eine Herausforderung. Datawiza Access Proxy (DAP) schließt mittels Protokollübergang die Lücke zwischen der Legacyanwendung und der modernen Identitäts-Steuerungsebene. DAP verringert den Integrationsaufwand, verkürzt die Entwicklungszeit und erhöht die Anwendungssicherheit.

Szenarioarchitektur

Diese Lösung umfasst die folgenden Komponenten:

• Microsoft Entra ID: Identitäts- und Zugriffsverwaltungsdienst, mit dem sich Benutzer anmelden und auf externe und interne Ressourcen zugreifen können.
• Datawiza Access Proxy (DAP): Containerbasierter Reverseproxy, der OpenID Connect (OIDC), OAuth oder Security Assertion Markup Language (SAML) für den Benutzeranmeldeflow implementiert. Die Identität wird transparent über HTTP-Header an Anwendungen übergeben.
• Datawiza Cloud Management Console (DCMC): Administratoren verwalten DAP über eine Benutzeroberfläche und RESTful-APIs, um DAP- und Zugriffssteuerungsrichtlinien zu konfigurieren.
• Oracle Hyperion EPM – Legacyanwendung, die durch Microsoft Entra ID und DAP geschützt werden soll

Erfahren Sie mehr über den vom Dienstanbieter initiierten Flow in Datawiza mit Microsoft Entra-Authentifizierungsarchitektur.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt werden:

• Azure-Abonnement
  • Wenn Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto anfordern.
• Ein mit dem Azure-Abonnement verknüpfter Microsoft Entra-Mandant
  • Weitere Informationen unter Schnellstart: Erstellen eines neuen Mandanten in Microsoft Entra ID
• Docker und Docker Compose
  • Besuchen Sie „docs.docker.com“, um Docker herunterzuladen und Docker Compose zu installieren.
• Benutzeridentitäten, die von einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden oder in Microsoft Entra ID erstellt und an Ihr lokales Verzeichnis weitergegeben werden
  • Siehe Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung
• Ein Konto für die Microsoft Entra ID-Anwendungsadministratorrolle
  • siehe integrierte Microsoft Entra-Rollen, alle Rollen
• Eine Oracle Hyperion EMP-Umgebung
  • (Optional) Ein SSL-Webzertifikat zum Veröffentlichen von Diensten über HTTPS. Sie können zum Testen selbstsignierte Datawiza-Zertifikate verwenden.

Erste Schritte mit DAP

So integrieren Sie Oracle Hyperion EMP mit Microsoft Entra ID:

1. Melden Sie sich bei der Datawiza-Cloudverwaltungskonsole (DCMC) an.

2. Die Willkommensseite wird geöffnet.

3. Wählen Sie die orangefarbene Schaltfläche Get Started (Erste Schritte) aus.

   

4. Geben Sie unter Bereitstellungsname in den Feldern Name und Beschreibung Informationen ein.

   

5. Wählen Sie Weiter aus.

6. Das Dialogfeld Add Application wird angezeigt.

7. Wählen Sie unter Platform die Option Web aus.

8. Geben Sie unter App Name einen eindeutigen Anwendungsnamen ein.

9. Geben Sie für Public Domain beispielsweise https://hyperion.example.com ein. Zum Testen können Sie den localhost-DNS verwenden. Wenn Sie DAP nicht hinter einem Lastenausgleich bereitstellen, verwenden Sie den Port für „Public Domain“.

10. Wählen Sie unter Listen Port den Port aus, an dem DAP lauscht.

11. Wählen Sie für Upstream.Servers (Upstreamserver) die URL und den Port der Oracle Hyperion-Implementierung aus, die geschützt werden soll.

12. Wählen Sie Weiter aus.

13. Geben Sie unter Anwendung hinzufügen Informationen ein. Beachten Sie die Beispieleinträge für öffentliche Domänen, Listenportund Upstreamserver.

14. Wählen Sie Weiter aus.

15. Geben Sie im Dialogfeld IdP konfigurieren die relevanten Informationen ein.

Hinweis

Verwenden Sie Datawiza Cloud Management Console (DCMC) One Click Integration, um die Konfiguration abzuschließen. DCMC ruft die Microsoft Graph-API auf, um in Ihrem Namen eine Anwendungsregistrierung in Ihrem Microsoft Entra-Mandanten zu erstellen.

16. Klicken Sie auf Erstellen.

17. Die Seite für die DAP-Bereitstellung wird geöffnet.

18. Notieren Sie sich die Docker Compose-Datei für die Bereitstellung. Die Datei enthält das DAP-Image, den Bereitstellungsschlüssel und das Bereitstellungsgeheimnis, um die aktuelle Konfiguration und die Richtlinien von DCMC abzurufen.

    

19. Wählen Sie Fertig aus.

SSO- und HTTP-Header

DAP ruft Benutzerattribute vom Identitätsanbieter (IdP) ab und übergibt sie per Header oder Cookie an die Upstreamanwendung.

Die folgenden Anweisungen ermöglichen es der Oracle Hyperion EPM-Anwendung, den Benutzer zu erkennen. Unter Verwendung eines Namens wird DAP angewiesen, die Werte vom IdP über den HTTP-Header an die Anwendung zu übergeben.

1. Wählen Sie im linken Navigationsbereich Anwendungen aus.

2. Wählen Sie die von Ihnen erstellte Anwendung aus.

3. Wählen Sie die untergeordnete Registerkarte Attribute Pass (Attributübergabe) aus.

4. Wählen Sie für Field die Option email aus.

5. Wählen Sie für Erwartet die Option HYPLOGIN aus.

6. Wählen Sie für Type (Typ) die Option Header aus.

   

   Hinweis

   Diese Konfiguration verwendet den Benutzerprinzipalnamen von Microsoft Entra für den Anmeldebenutzernamen, der von Oracle Hyperion verwendet wird. Für eine andere Benutzeridentität wechseln Sie zur Registerkarte Mappings (Zuordnungen).

   

SSL-Konfiguration

Verwenden Sie die folgenden Anweisungen für die SSL-Konfiguration.

1. Wählen Sie die Registerkarte Erweitert .

   

2. Wählen Sie auf der Registerkarte SSL die Option SSL aktivieren aus.

3. Wählen Sie in der Dropdownliste Cert Type (Zertifikattyp) einen Typ aus. Zum Testen gibt es ein selbstsigniertes Zertifikat.

   

   Hinweis

   Sie können ein Zertifikat aus einer Datei hochladen.

   

4. Wählen Sie Speichern.

Anmelde- und Abmeldeumleitungs-URI

Verwenden Sie die folgenden Anweisungen, um den Anmeldeumleitungs-URI und den Abmeldeumleitungs-URI anzugeben.

1. Klicken Sie auf die Registerkarte Erweiterte Optionen.

2. Geben Sie für Anmeldeumleitungs-URI und Abmeldeumleitungs-URI /workspace/index.jsp ein.

   

3. Wählen Sie Speichern.

Aktivieren der Multi-Faktor-Authentifizierung von Microsoft Entra

Um mehr Sicherheit für Anmeldungen zu gewährleisten, können Sie Microsoft Entra mehrstufige Authentifizierung erzwingen.

Weitere Informationen im Tutorial: Schützen von Anmeldeereignissen für Benutzer*innen mit der Multi-Faktor-Authentifizierung in Microsoft Entra

1. Melden Sie sich mit der Rolle Anwendungsadministrator beim Azure-Portal an.
2. Wählen Sie Microsoft Entra ID>Eigenschaften>verwalten aus.
3. Wählen Sie unter Eigenschaften die Option Sicherheitsstandards verwalten aus.
4. Wählen Sie unter Sicherheitsstandards aktivieren die Option Ja aus.
5. Wählen Sie Speichern aus.

Aktivieren von SSO in der Oracle Hyperion Shared Services-Konsole

Verwenden Sie die folgenden Anweisungen, um SSO in der Oracle Hyperion-Umgebung zu aktivieren.

1. Melden Sie sich mit Administratorberechtigungen bei der Hyperion Shared Service Console an. Beispiel: http://{your-hyperion-fqdn}:19000/workspace/index.jsp.

2. Wählen Sie Navigieren und dann Shared Services Console aus.

   

3. Wählen Sie Verwaltung und dann Benutzerverzeichnisse konfigurieren aus.

4. Wählen Sie die Registerkarte Sicherheitsoptionen aus.

5. Aktivieren Sie in der Konfiguration für einmaliges Anmelden das Kontrollkästchen SSO aktivieren.

6. Wählen Sie im Dropdownmenü SSO-Anbieter oder Agent die Option Sonstiger aus.

7. Wählen Sie im Dropdownmenü SSO-Mechanismus die Option Benutzerdefinierter HTTP-Header aus.

8. Geben Sie im folgenden Feld HYPLOGIN, den Headernamen ein, den der Sicherheits-Agent an EMP übergibt.

9. Wählen Sie OK aus.

   

Aktualisieren der URL-Einstellungen für nach dem Abmelden in EMP Workspace

1. Wählen Sie Navigieren aus.

2. Wählen Sie in Verwalten die Option Arbeitsbereichseinstellungen und dann Servereinstellungen aus.

   

3. Wählen Sie im Dialogfeld Arbeitsbereichservereinstellungen für die URLnach der Abmeldung die URL aus, die Benutzern angezeigt wird, wenn sie sich bei EPM/datawiza/ab-logoutabmelden.

4. Wählen Sie OK aus.

   

Testen einer Oracle Hyperion EMP-Anwendung

Zur Bestätigung, dass Zugriff auf die Oracle Hyperion-Anwendung besteht, wird eine Aufforderung zur Verwendung eines Microsoft Entra-Kontos für die Anmeldung angezeigt. Anmeldeinformationen werden überprüft, und die Oracle Hyperion EPM-Startseite wird angezeigt.

Nächste Schritte

• Tutorial: Konfigurieren des sicheren Hybridzugriffs mit Microsoft Entra ID und Datawiza
• Tutorial: Konfigurieren von Azure AD B2C mit Datawiza zum Bereitstellen eines sicheren Hybridzugriffs
• Gehen Sie zu Datawiza für SSO und MFA in wenigen Minuten zu Oracle Hyperion EPM hinzufügen
• Unter docs.datawiza.com finden Sie Benutzerhandbücher zu Datawiza.