Configuración de Datawiza para Microsoft Entra la autenticación multifactor y el inicio de sesión único en Oracle EBS

2024-01-31

En este artículo, aprenderá a habilitar Azure Active Directory Multi-Factor Authentication (MFA) y el inicio de sesión único (SSO) para una aplicación Oracle E-Business Suite (Oracle EBS) a través de Datawiza.

Estas son algunas de las ventajas de integrar aplicaciones con Microsoft Entra ID mediante Datawiza:

Un modelo de seguridad de Confianza cero que se adapta a entornos modernos y adopta un lugar de trabajo híbrido, al tiempo que ayuda a proteger a personas, dispositivos, aplicaciones y datos.
El inicio de sesión único proporciona acceso seguro y sin interrupciones a los usuarios y aplicaciones del dispositivo desde cualquier ubicación.
Multi-Factor Authentication solicita a los usuarios durante el inicio de sesión formas de identificación, como un código en su dispositivo o un examen de huella digital.
El acceso condicional proporciona directivas como instrucciones if/then. If (si) un usuario quiere acceder a un recurso, then (entonces) debe completar una acción.
Autenticación y autorización sencillas en Microsoft Entra ID con Datawiza sin código. Uso de aplicaciones web como: Oracle JDE, Oracle EBS, Oracle Sibel y aplicaciones propias.
Uso de la consola de administración en la nube de Datawiza (DCMC) para administrar el acceso a aplicaciones locales y en nubes públicas.

Este artículo se centra en la integración de proveedores de identidades modernos (IdP) con la aplicación Oracle EBS heredada. La aplicación requiere un conjunto de credenciales de cuenta de servicio de Oracle EBS y un archivo de contenedor de base de datos (DBC) de Oracle EBS.

Arquitectura

La solución tiene los componentes siguientes:

Microsoft Entra ID: el servicio de administración de identidades y acceso basado en la nube de Microsoft, que ayuda a los usuarios a iniciar sesión y acceder a recursos internos y externos.
Oracle EBS: la aplicación heredada que Microsoft Entra ID ayudará a proteger.
Datawiza Access Proxy (DAP): un proxy inverso ligero basado en contenedores que implementa OIDC/OAuth o SAML para el flujo de inicio de sesión del usuario. Pasa identidad a las aplicaciones mediante encabezados HTTP, con transparencia.
DCMC: una consola de administración centralizada que administra DAP. La consola proporciona las API de interfaz de usuario y RESTful para que los administradores administren las configuraciones de DAP y sus directivas de control de acceso granulares.

Requisitos previos

Para completar los pasos de este artículo, necesitará lo siguiente:

Suscripción a Azure. Si no tiene una, puede obtener una cuenta gratuita de Azure.
Un inquilino de Microsoft Entra vinculado a la suscripción de Azure.
Un rol Administrador de aplicaciones.
Docker y Docker Compose, para ejecutar DAP. Para más información, consulte Obtención de Docker e Introducción a Docker Compose.
Identidades de usuario sincronizadas desde un directorio local a Microsoft Entra ID, o creadas en Microsoft Entra ID y devueltas a su directorio local. Para obtener más información, consulte Sincronización de Microsoft Entra ID Connect: comprender y personalizar la sincronización.
Un entorno de Oracle EBS.

Configuración del entorno de Oracle EBS para el inicio de sesión único y creación del archivo DBC

Para habilitar el inicio de sesión único en el entorno de Oracle EBS:

Inicie sesión en la consola de administración de Oracle EBS como administrador.
Desplácese hacia abajo en el panel de navegación, expanda Administración de usuarios y, a continuación, seleccione Usuarios.
Agregue una cuenta de usuario. Seleccione Crear usuario>Cuenta de usuario.
En Nombre de usuario, escriba DWSSOUSER.
En Contraseña, escriba una contraseña.
En Descripción, escriba DW User account for SSO (Cuenta de usuario de DW para SSO).
En Expiración de contraseña, seleccione Ninguno.
Asigne el rol Conector del esquema de aplicaciones al usuario.

Registro de DAP con Oracle EBS

En el entorno de Oracle EBS Linux, genere un nuevo archivo DBC para DAP. Necesita las credenciales de usuario de la aplicación y el archivo DBC predeterminado (en $FND_SECURE) que usa el nivel de aplicación.

Configure el entorno para Oracle EBS mediante un comando similar a ./u01/install/APPS/EBSapps.env run.
Use la utilidad AdminDesktop para generar el nuevo archivo DBC. Especifique el nombre de un nuevo nodo de escritorio para este archivo DBC:

java oracle.apps.fnd.security.AdminDesktop apps/apps CREATE NODE_NAME=\<ebs domain name> DBC=/u01/install/APPS/fs1/inst/apps/EBSDB_apps/appl/fnd/12.0.0/secure/EBSDB.dbc

Esta acción genera un archivo llamado ebsdb_\<ebs domain name>.dbc en la ubicación donde ejecutó el comando.
Copie el contenido del archivo DBC en un cuaderno. Usará el contenido más adelante.

Habilitación del inicio de sesión único en Oracle EBS

Para integrar JDE con Microsoft Entra ID, inicie sesión en la consola de administración en la nube de Datawiza (DCMC).

Aparece la página principal.
Seleccione el botón Introducción naranja.
En Nombre, escriba un nombre para la implementación.
En Descripción, escriba una descripción de la implementación.
Seleccione Next (Siguiente).
En Agregar aplicación, en Plataforma, seleccione Oracle E-Business Suite.
En Nombre de la aplicación, escriba el nombre de la aplicación.
En Dominio público, escriba la dirección URL externa de la aplicación. Por ejemplo, escriba https://ebs-external.example.com: Puede usar DNS de localhost para realizar las pruebas.
En Listen Port (Puerto de escucha), seleccione el puerto en el que DAP escucha. Puede usar el puerto en dominio público si no va a implementar el DAP detrás de un equilibrador de carga.
En Servidores ascendentes, escriba la combinación de dirección URL y puerto de la implementación de Oracle EBS que desea proteger.
En Cuenta de servicio de EBS, escriba el nombre de usuario de la cuenta de servicio (DWSSOUSER).
En EBS Account Password (Contraseña de cuenta EBS), escriba la contraseña de la cuenta de servicio.
En EBS User Mapping (Asignación de usuarios de EBS), el producto decide que el atributo se asignará al nombre de usuario de Oracle EBS para la autenticación.
En EBS DBC Content (Contenido de EBS DBC), use el contenido que copió.
Seleccione Next (Siguiente).

Configuración de IdP

Use la integración con un solo clic de DCMC para ayudarle a completar Microsoft Entra configuración. Con esta característica, puede reducir los costos de administración y los errores de configuración son menos probables.

Archivo de Docker Compose

Se ha completado la configuración en la consola de administración. Se le pedirá que implemente DAP con la aplicación. Anote el archivo Docker Compose de implementación. El archivo incluye la imagen DAP, PROVISIONING_KEY, y PROVISIONING_SECRET. DAP usa esta información para extraer la configuración y las directivas más recientes de DCMC.

Configuración de SSL

Para la configuración del certificado, seleccione la pestaña Opciones avanzadas de la página de la aplicación. A continuación, seleccione SSL>Editar.
Active el botón Habilitar SSL.
En Tipo de certificado, seleccione un tipo de certificado.

Hay un certificado autofirmado para localhost. Para usar ese certificado para realizar pruebas, seleccione Autofirmado.

Opcionalmente, puede cargar un certificado desde un archivo. En Tipo de certificado, seleccione Cargar. A continuación, en Seleccionar opción, seleccione Basado en archivos.
Seleccione Guardar.

Opcional: Habilitación de la autenticación multifactor en Microsoft Entra ID

Para proporcionar más seguridad a los inicios de sesión, puede habilitar la autenticación multifactor en el centro de administración de Microsoft Entra:

Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de la aplicación.
Navega a la pestaña Entra ID>Información general>Propiedades.
BajoSeguridad por defecto, seleccionar Gestionar los valores predeterminados de seguridad.
En el panel Valores predeterminados de seguridad, cambie el menú desplegable para seleccionar Habilitado.
Seleccione Guardar.