Oracle EBS に対する Microsoft Entra 多要素認証とシングル サインオンのために Datawiza を構成する

この記事では、Datawiza を使用して Oracle E-Business Suite (Oracle EBS) アプリケーションに対して Microsoft Entra 多要素認証とシングル サインオン (SSO) を有効にする方法について説明します。

Datawiza を使用してアプリケーションを Microsoft Entra ID と統合することには、次のような利点があります。

• ゼロ トラストセキュリティ モデルが最新の環境に適応し、ハイブリッド ワークプレースを採用しながら、ユーザー、デバイス、アプリ、データを保護するのに役立ちます。
• シングル サインオンにより、デバイス ユーザーとアプリに、任意の場所からの安全かつシームレスなアクセスを提供できます。
• 多要素認証では、ユーザーがサインインする際に、デバイス上のコードや指紋スキャンなどの識別情報をユーザーに求めます。
• 条件付きアクセスでは、if/then ステートメントとしてポリシーが提供されます。 (if) ユーザーがあるリソースへのアクセスを求める場合、(then) あるアクションを完了する必要があります。
• Datawiza は、コードなしで Microsoft Entra ID での認証と認可を提供します。 Oracle JDE、Oracle EBS、Oracle Sibel、自社製のアプリなどの Web アプリケーションを使用します。
• Datawiza Cloud 管理コンソール (DCMC) を使用して、パブリック クラウドとオンプレミスのアプリケーションへのアクセスを管理する。

この記事では、従来の Oracle EBS アプリケーションと統合される最新の ID プロバイダー (IdP) に焦点を当てています。 アプリケーションには、Oracle EBS サービス アカウント資格情報のセットと Oracle EBS データベース コンテナー (DBC) ファイルが必要です。

アーキテクチャ

このソリューションには、次のコンポーネントがあります。

• Microsoft Entra ID: Microsoft のクラウドベースの ID およびアクセス管理サービスです。ユーザーはこのサービスを利用して外部リソースおよび内部リソースにサインインしてアクセスすることができます。
• Oracle EBS: Microsoft Entra ID で保護するレガシ アプリケーション。
• Datawiza アクセス プロキシ (DAP): ユーザー のサインオン フローに OIDC/OAuth または SAML を実装する軽量のコンテナー ベースのリバース プロキシ。 HTTP ヘッダーを介して ID をアプリケーションに透過的に渡します。
• DCMC: DAP を管理する一元管理コンソール。 このコンソールには、管理者が DAP の構成とそのアクセス制御ポリシーを細かく管理するための UI および RESTful API が用意されています。

前提条件

この記事の手順を完了するには、次のものが必要です。

• Azure サブスクリプション。 お持ちでない場合は、Azure 無料アカウントを取得できます。
• Azure サブスクリプションにリンクされた Microsoft Entra テナント。
• アプリケーション管理者ロール。
• DAP を実行するための Docker と Docker Compose。 詳細については、「Docker の入手」と「Docker Compose の概要」を参照してください。
• オンプレミスのディレクトリから Microsoft Entra ID に同期されたユーザー ID、または Microsoft Entra ID 内で作成されてオンプレミスのディレクトリに戻されたユーザー ID。 詳細については、「Microsoft Entra Connect Sync: 同期を理解してカスタマイズする」を参照してください。
• Oracle EBS 環境。

SSO 用に Oracle EBS 環境を構成し、DBC ファイルを作成する

Oracle EBS 環境で SSO を有効にするには、次の手順に従います。

1. Oracle EBS 管理コンソールに管理者としてサインインします。

2. ナビゲーション ウィンドウを下にスクロールし、[ユーザー管理] を展開して、[ユーザー] を選択します。

   

3. ユーザー アカウントを追加します。 [ユーザーの作成]>[ユーザー アカウント] を選択します。

   

4. [User Name] に、「DWSSOUSER」と入力します。

5. [パスワード] に、パスワードを入力します。

6. [Description] に、「DW User account for SSO」と入力します。

7. [Password Expiration] で、[None] を選択します。

8. ユーザーに [Apps Schema Connect Role] を割り当てます。

   

ORACLE EBS に DAP を登録する

Oracle EBS Linux 環境で、DAP 用の新しい DBC ファイルを生成します。 アプリのユーザー資格情報と、アプリケーション層で使用される既定の DBC ファイル ($FND_SECURE の下) が必要です。

1. 次のようなコマンドを使用して Oracle EBS の環境を構成します。./u01/install/APPS/EBSapps.env run

2. AdminDesktop ユーティリティを使用して、新しい DBC ファイルを生成します。 この DBC ファイルの新しいデスクトップ ノードの名前を指定します。

   java oracle.apps.fnd.security.AdminDesktop apps/apps CREATE NODE_NAME=\<ebs domain name> DBC=/u01/install/APPS/fs1/inst/apps/EBSDB_apps/appl/fnd/12.0.0/secure/EBSDB.dbc

   このアクションにより、コマンドを実行した場所に ebsdb_\<ebs domain name>.dbc というファイルが生成されます。

3. DBC ファイルのコンテンツをノートブックにコピーします。 このコンテンツは後で使用します。

SSO 用の ORACLE EBS を有効にする

1. JDE を Microsoft Entra ID に統合するために、Datawiza Cloud Management Console にサインインします。

   ウェルカム ページが表示されます。

2. オレンジ色の [作業の開始] ボタンを選択します。

   

3. [名前] に、デプロイの名前を入力します。

   

4. [説明] に、デプロイの説明を入力します。

5. [次へ] を選択します。

6. [Add Application] (アプリケーションの追加) で、[Platform] (プラットフォーム) に [Oracle E-Business Suite] を選択します。

7. [App Name] に、アプリ名を入力します。

8. [Public Domain] (パブリック ドメイン) に、アプリケーションの外部向け URL を入力します。 たとえば、「https://ebs-external.example.com」と入力します。 テストには localhost DNS を使用できます。

9. [Listen Port] で、DAP でリッスンされるポートを選択します。 DAP をロード バランサーの背後にデプロイしない場合は、パブリック ドメインのポートを使用できます。

10. [Upstream Servers] (アップストリーム サーバー) に、保護される Oracle EBS 実装の URL とポートの組み合わせを入力します。

11. [EBS Service Account] (EBS サービス アカウント) に、サービス アカウントのユーザー名 (DWSSOUSER) を入力します。

12. [EBS Account Password] (EBS アカウント パスワード) に、サービス アカウントのパスワードを入力します。

13. [EBS User Mapping] (ユーザー マッピング) では、認証のために Oracle EBS ユーザー名にマップされる属性が製品によって決まります。

14. [EBS DBC Content] (EBS DBC コンテンツ) に、コピーしたコンテンツを使用します。

15. [次へ] を選択します。

IdP の構成

DCMC のワンクリック統合を使用して、Microsoft Entra の構成を完了します。 この機能を使用すると、管理コストと、構成エラーが発生する可能性を削減できます。

Docker Compose ファイル

管理コンソールの構成が完了しました。 DAP をアプリケーションと共にデプロイするように求められます。 デプロイ用の Docker Compose ファイルを書き留めておきます。 ファイルには、DAP イメージ PROVISIONING_KEY および PROVISIONING_SECRET が含まれています。 DAP ではこの情報を使用して、DCMC から最新の構成とポリシーをプルします。

SSL の構成

1. 証明書の構成については、アプリケーション ページの [Advanced] タブを選択します。 次に、[SSL]>[編集] を選択します。

   

2. [Enable SSL] (SSL を有効にする) トグルをオンにします。

3. [Cert Type] (証明書の種類) で、証明書の種類を選択します。

   

   localhost 用の自己署名証明書があります。 その証明書をテストに使用するには、[Self Signed] (自己署名) を選択します。

   

   必要に応じて、ファイルから証明書をアップロードできます。 [Cert Type] (証明書の種類) で、[アップロード] を選択します。 次に、[Select Option] (オプションの選択) で [File Based] (ファイル ベース) を選択します。

   

4. [保存] を選択します。

省略可能: Microsoft Entra ID で多要素認証を有効にする

サインインのセキュリティを強化するために、Microsoft Entra 管理センターで多要素認証を有効にできます。

1. アプリケーション管理者として Microsoft Entra 管理センターにサインインします。
2. [Entra ID>Overview>Properties] タブに移動します。
3. セキュリティの既定値 で、セキュリティの既定値の管理 を選択します。
4. セキュリティの既定値 ウィンドウで、ドロップダウン メニューを切り替えて 有効 を選択します。
5. [保存] を選択します。

次のステップ

• ビデオ: Datawiza を使用して Microsoft Entra で Oracle JD Edwards の SSO と MFA を有効にする
• チュートリアル: Microsoft Entra ID および Datawiza で安全なハイブリッド アクセスを構成する
• Datawiza ユーザー ガイド