次の方法で共有


Oracle EBS に対する Microsoft Entra 多要素認証とシングル サインオンのために Datawiza を構成する

この記事では、Datawiza を使用して Oracle E-Business Suite (Oracle EBS) アプリケーションに対して Microsoft Entra 多要素認証とシングル サインオン (SSO) を有効にする方法について説明します。

Datawiza を使用してアプリケーションを Microsoft Entra ID と統合することには、次のような利点があります。

  • ゼロ トラストセキュリティ モデルが最新の環境に適応し、ハイブリッド ワークプレースを採用しながら、ユーザー、デバイス、アプリ、データを保護するのに役立ちます。
  • シングル サインオンにより、デバイス ユーザーとアプリに、任意の場所からの安全かつシームレスなアクセスを提供できます。
  • 多要素認証では、ユーザーがサインインする際に、デバイス上のコードや指紋スキャンなどの識別情報をユーザーに求めます。
  • 条件付きアクセスでは、if/then ステートメントとしてポリシーが提供されます。 (if) ユーザーがあるリソースへのアクセスを求める場合、(then) あるアクションを完了する必要があります。
  • Datawiza は、コードなしで Microsoft Entra ID での認証と認可を提供します。 Oracle JDE、Oracle EBS、Oracle Sibel、自社製のアプリなどの Web アプリケーションを使用します。
  • Datawiza Cloud 管理コンソール (DCMC) を使用して、パブリック クラウドとオンプレミスのアプリケーションへのアクセスを管理する。

この記事では、従来の Oracle EBS アプリケーションと統合される最新の ID プロバイダー (IdP) に焦点を当てています。 アプリケーションには、Oracle EBS サービス アカウント資格情報のセットと Oracle EBS データベース コンテナー (DBC) ファイルが必要です。

アーキテクチャ

このソリューションには、次のコンポーネントがあります。

  • Microsoft Entra ID: Microsoft のクラウドベースの ID およびアクセス管理サービスです。ユーザーはこのサービスを利用して外部リソースおよび内部リソースにサインインしてアクセスすることができます。
  • Oracle EBS: Microsoft Entra ID で保護するレガシ アプリケーション。
  • Datawiza アクセス プロキシ (DAP): ユーザー のサインオン フローに OIDC/OAuth または SAML を実装する軽量のコンテナー ベースのリバース プロキシ。 HTTP ヘッダーを介して ID をアプリケーションに透過的に渡します。
  • DCMC: DAP を管理する一元管理コンソール。 このコンソールには、管理者が DAP の構成とそのアクセス制御ポリシーを細かく管理するための UI および RESTful API が用意されています。

前提条件

この記事の手順を完了するには、次のものが必要です。

SSO 用に Oracle EBS 環境を構成し、DBC ファイルを作成する

Oracle EBS 環境で SSO を有効にするには、次の手順に従います。

  1. Oracle EBS 管理コンソールに管理者としてサインインします。

  2. ナビゲーション ウィンドウを下にスクロールし、[ユーザー管理] を展開して、[ユーザー] を選択します。

    Oracle EBS 管理コンソールのナビゲーション ウィンドウのスクリーンショット。

  3. ユーザー アカウントを追加します。 [ユーザーの作成]>[ユーザー アカウント] を選択します。

    ユーザー アカウントを作成するための選択項目のスクリーンショット。

  4. [User Name] に、「DWSSOUSER」と入力します。

  5. [パスワード] に、パスワードを入力します。

  6. [Description] に、「DW User account for SSO」と入力します。

  7. [Password Expiration] で、[None] を選択します。

  8. ユーザーに [Apps Schema Connect Role] を割り当てます。

    検索結果で [Apps Schema Connect Role] を割り当てる選択のスクリーンショット。

ORACLE EBS に DAP を登録する

Oracle EBS Linux 環境で、DAP 用の新しい DBC ファイルを生成します。 アプリのユーザー資格情報と、アプリケーション層で使用される既定の DBC ファイル ($FND_SECURE の下) が必要です。

  1. 次のようなコマンドを使用して Oracle EBS の環境を構成します。./u01/install/APPS/EBSapps.env run

  2. AdminDesktop ユーティリティを使用して、新しい DBC ファイルを生成します。 この DBC ファイルの新しいデスクトップ ノードの名前を指定します。

    java oracle.apps.fnd.security.AdminDesktop apps/apps CREATE NODE_NAME=\<ebs domain name> DBC=/u01/install/APPS/fs1/inst/apps/EBSDB_apps/appl/fnd/12.0.0/secure/EBSDB.dbc

    このアクションにより、コマンドを実行した場所に ebsdb_\<ebs domain name>.dbc というファイルが生成されます。

  3. DBC ファイルのコンテンツをノートブックにコピーします。 このコンテンツは後で使用します。

SSO 用の ORACLE EBS を有効にする

  1. JDE を Microsoft Entra ID に統合するために、Datawiza Cloud Management Console にサインインします。

    ウェルカム ページが表示されます。

  2. オレンジ色の [作業の開始] ボタンを選択します。

    Datawiza Cloud Management Console でのアクセス プロキシの使用を開始するためのボタンのスクリーンショット。

  3. [名前] に、デプロイの名前を入力します。

    デプロイ名のテキスト ボックスのスクリーンショット。

  4. [説明] に、デプロイの説明を入力します。

  5. [次へ] を選択します。

  6. [Add Application] (アプリケーションの追加) で、[Platform] (プラットフォーム)[Oracle E-Business Suite] を選択します。

  7. [App Name] に、アプリ名を入力します。

  8. [Public Domain] (パブリック ドメイン) に、アプリケーションの外部向け URL を入力します。 たとえば、「https://ebs-external.example.com」と入力します。 テストには localhost DNS を使用できます。

  9. [Listen Port] で、DAP でリッスンされるポートを選択します。 DAP をロード バランサーの背後にデプロイしない場合は、パブリック ドメインのポートを使用できます。

  10. [Upstream Servers] (アップストリーム サーバー) に、保護される Oracle EBS 実装の URL とポートの組み合わせを入力します。

  11. [EBS Service Account] (EBS サービス アカウント) に、サービス アカウントのユーザー名 (DWSSOUSER) を入力します。

  12. [EBS Account Password] (EBS アカウント パスワード) に、サービス アカウントのパスワードを入力します。

  13. [EBS User Mapping] (ユーザー マッピング) では、認証のために Oracle EBS ユーザー名にマップされる属性が製品によって決まります。

  14. [EBS DBC Content] (EBS DBC コンテンツ) に、コピーしたコンテンツを使用します。

  15. [次へ] を選択します。

IdP の構成

DCMC のワンクリック統合を使用して、Microsoft Entra の構成を完了します。 この機能を使用すると、管理コストと、構成エラーが発生する可能性を削減できます。

IdP を構成するための入力と選択のスクリーンショット。

Docker Compose ファイル

管理コンソールの構成が完了しました。 DAP をアプリケーションと共にデプロイするように求められます。 デプロイ用の Docker Compose ファイルを書き留めておきます。 ファイルには、DAP イメージ PROVISIONING_KEY および PROVISIONING_SECRET が含まれています。 DAP ではこの情報を使用して、DCMC から最新の構成とポリシーをプルします。

SSL の構成

  1. 証明書の構成については、アプリケーション ページの [Advanced] タブを選択します。 次に、[SSL]>[編集] を選択します。

    詳細設定のタブのスクリーンショット。

  2. [Enable SSL] (SSL を有効にする) トグルをオンにします。

  3. [Cert Type] (証明書の種類) で、証明書の種類を選択します。

    SSL を有効にし、証明書の種類を選択するためのオプションのスクリーンショット。

    localhost 用の自己署名証明書があります。 その証明書をテストに使用するには、[Self Signed] (自己署名) を選択します。

    自己署名証明書を使用するオプションのスクリーンショット。

    必要に応じて、ファイルから証明書をアップロードできます。 [Cert Type] (証明書の種類) で、[アップロード] を選択します。 次に、[Select Option] (オプションの選択)[File Based] (ファイル ベース) を選択します。

    ファイル ベースの証明書をアップロードするオプションのスクリーンショット。

  4. [保存] を選択します。

省略可能: Microsoft Entra ID で多要素認証を有効にする

サインインのセキュリティを強化するために、Microsoft Entra 管理センターで多要素認証を有効にできます。

  1. アプリケーション管理者として Microsoft Entra 管理センターにサインインします。
  2. [Entra ID>Overview>Properties] タブに移動します。
  3. セキュリティの既定値 で、セキュリティの既定値の管理 を選択します。
  4. セキュリティの既定値 ウィンドウで、ドロップダウン メニューを切り替えて 有効 を選択します。
  5. [保存] を選択します。

次のステップ