この記事では、Datawiza を使用して Oracle E-Business Suite (Oracle EBS) アプリケーションに対して Microsoft Entra 多要素認証とシングル サインオン (SSO) を有効にする方法について説明します。
Datawiza を使用してアプリケーションを Microsoft Entra ID と統合することには、次のような利点があります。
- ゼロ トラストセキュリティ モデルが最新の環境に適応し、ハイブリッド ワークプレースを採用しながら、ユーザー、デバイス、アプリ、データを保護するのに役立ちます。
- シングル サインオンにより、デバイス ユーザーとアプリに、任意の場所からの安全かつシームレスなアクセスを提供できます。
- 多要素認証では、ユーザーがサインインする際に、デバイス上のコードや指紋スキャンなどの識別情報をユーザーに求めます。
- 条件付きアクセスでは、if/then ステートメントとしてポリシーが提供されます。 (if) ユーザーがあるリソースへのアクセスを求める場合、(then) あるアクションを完了する必要があります。
- Datawiza は、コードなしで Microsoft Entra ID での認証と認可を提供します。 Oracle JDE、Oracle EBS、Oracle Sibel、自社製のアプリなどの Web アプリケーションを使用します。
- Datawiza Cloud 管理コンソール (DCMC) を使用して、パブリック クラウドとオンプレミスのアプリケーションへのアクセスを管理する。
この記事では、従来の Oracle EBS アプリケーションと統合される最新の ID プロバイダー (IdP) に焦点を当てています。 アプリケーションには、Oracle EBS サービス アカウント資格情報のセットと Oracle EBS データベース コンテナー (DBC) ファイルが必要です。
アーキテクチャ
このソリューションには、次のコンポーネントがあります。
- Microsoft Entra ID: Microsoft のクラウドベースの ID およびアクセス管理サービスです。ユーザーはこのサービスを利用して外部リソースおよび内部リソースにサインインしてアクセスすることができます。
- Oracle EBS: Microsoft Entra ID で保護するレガシ アプリケーション。
- Datawiza アクセス プロキシ (DAP): ユーザー のサインオン フローに OIDC/OAuth または SAML を実装する軽量のコンテナー ベースのリバース プロキシ。 HTTP ヘッダーを介して ID をアプリケーションに透過的に渡します。
- DCMC: DAP を管理する一元管理コンソール。 このコンソールには、管理者が DAP の構成とそのアクセス制御ポリシーを細かく管理するための UI および RESTful API が用意されています。
前提条件
この記事の手順を完了するには、次のものが必要です。
- Azure サブスクリプション。 お持ちでない場合は、Azure 無料アカウントを取得できます。
- Azure サブスクリプションにリンクされた Microsoft Entra テナント。
- アプリケーション管理者ロール。
- DAP を実行するための Docker と Docker Compose。 詳細については、「Docker の入手」と「Docker Compose の概要」を参照してください。
- オンプレミスのディレクトリから Microsoft Entra ID に同期されたユーザー ID、または Microsoft Entra ID 内で作成されてオンプレミスのディレクトリに戻されたユーザー ID。 詳細については、「Microsoft Entra Connect Sync: 同期を理解してカスタマイズする」を参照してください。
- Oracle EBS 環境。
SSO 用に Oracle EBS 環境を構成し、DBC ファイルを作成する
Oracle EBS 環境で SSO を有効にするには、次の手順に従います。
Oracle EBS 管理コンソールに管理者としてサインインします。
ナビゲーション ウィンドウを下にスクロールし、[ユーザー管理] を展開して、[ユーザー] を選択します。
ユーザー アカウントを追加します。 [ユーザーの作成]>[ユーザー アカウント] を選択します。
[User Name] に、「DWSSOUSER」と入力します。
[パスワード] に、パスワードを入力します。
[Description] に、「DW User account for SSO」と入力します。
[Password Expiration] で、[None] を選択します。
ユーザーに [Apps Schema Connect Role] を割り当てます。
ORACLE EBS に DAP を登録する
Oracle EBS Linux 環境で、DAP 用の新しい DBC ファイルを生成します。 アプリのユーザー資格情報と、アプリケーション層で使用される既定の DBC ファイル ($FND_SECURE
の下) が必要です。
次のようなコマンドを使用して Oracle EBS の環境を構成します。
./u01/install/APPS/EBSapps.env run
AdminDesktop ユーティリティを使用して、新しい DBC ファイルを生成します。 この DBC ファイルの新しいデスクトップ ノードの名前を指定します。
java oracle.apps.fnd.security.AdminDesktop apps/apps CREATE NODE_NAME=\<ebs domain name> DBC=/u01/install/APPS/fs1/inst/apps/EBSDB_apps/appl/fnd/12.0.0/secure/EBSDB.dbc
このアクションにより、コマンドを実行した場所に
ebsdb_\<ebs domain name>.dbc
というファイルが生成されます。DBC ファイルのコンテンツをノートブックにコピーします。 このコンテンツは後で使用します。
SSO 用の ORACLE EBS を有効にする
JDE を Microsoft Entra ID に統合するために、Datawiza Cloud Management Console にサインインします。
ウェルカム ページが表示されます。
オレンジ色の [作業の開始] ボタンを選択します。
[名前] に、デプロイの名前を入力します。
[説明] に、デプロイの説明を入力します。
[次へ] を選択します。
[Add Application] (アプリケーションの追加) で、[Platform] (プラットフォーム) に [Oracle E-Business Suite] を選択します。
[App Name] に、アプリ名を入力します。
[Public Domain] (パブリック ドメイン) に、アプリケーションの外部向け URL を入力します。 たとえば、「
https://ebs-external.example.com
」と入力します。 テストには localhost DNS を使用できます。[Listen Port] で、DAP でリッスンされるポートを選択します。 DAP をロード バランサーの背後にデプロイしない場合は、パブリック ドメインのポートを使用できます。
[Upstream Servers] (アップストリーム サーバー) に、保護される Oracle EBS 実装の URL とポートの組み合わせを入力します。
[EBS Service Account] (EBS サービス アカウント) に、サービス アカウントのユーザー名 (DWSSOUSER) を入力します。
[EBS Account Password] (EBS アカウント パスワード) に、サービス アカウントのパスワードを入力します。
[EBS User Mapping] (ユーザー マッピング) では、認証のために Oracle EBS ユーザー名にマップされる属性が製品によって決まります。
[EBS DBC Content] (EBS DBC コンテンツ) に、コピーしたコンテンツを使用します。
[次へ] を選択します。
IdP の構成
DCMC のワンクリック統合を使用して、Microsoft Entra の構成を完了します。 この機能を使用すると、管理コストと、構成エラーが発生する可能性を削減できます。
Docker Compose ファイル
管理コンソールの構成が完了しました。 DAP をアプリケーションと共にデプロイするように求められます。 デプロイ用の Docker Compose ファイルを書き留めておきます。 ファイルには、DAP イメージ PROVISIONING_KEY
および PROVISIONING_SECRET
が含まれています。 DAP ではこの情報を使用して、DCMC から最新の構成とポリシーをプルします。
SSL の構成
証明書の構成については、アプリケーション ページの [Advanced] タブを選択します。 次に、[SSL]>[編集] を選択します。
[Enable SSL] (SSL を有効にする) トグルをオンにします。
[Cert Type] (証明書の種類) で、証明書の種類を選択します。
localhost 用の自己署名証明書があります。 その証明書をテストに使用するには、[Self Signed] (自己署名) を選択します。
必要に応じて、ファイルから証明書をアップロードできます。 [Cert Type] (証明書の種類) で、[アップロード] を選択します。 次に、[Select Option] (オプションの選択) で [File Based] (ファイル ベース) を選択します。
[保存] を選択します。
省略可能: Microsoft Entra ID で多要素認証を有効にする
サインインのセキュリティを強化するために、Microsoft Entra 管理センターで多要素認証を有効にできます。
- アプリケーション管理者として Microsoft Entra 管理センターにサインインします。
- [Entra ID>Overview>Properties] タブに移動します。
- セキュリティの既定値 で、セキュリティの既定値の管理 を選択します。
- セキュリティの既定値 ウィンドウで、ドロップダウン メニューを切り替えて 有効 を選択します。
- [保存] を選択します。