자습서: Microsoft Entra 다단계 인증 사용을 위한 Datawiza 및 Oracle Hyperion EPM을 위한 Single Sign-On 구성

이 자습서를 사용하여 DAP(Datawiza Access Proxy)를 사용하여 EPM(Oracle Hyperion Enterprise Performance Management)에 대한 Microsoft Entra 다단계 인증 및 SSO(Single Sign-On)를 사용하도록 설정합니다.

datawiza.com대해 자세히 알아보세요.

DAP를 사용하여 애플리케이션을 Microsoft Entra ID와 통합하면 다음과 같은 이점이 있습니다.

• 제로 트러스트를 사용하여 선제적 보안 도입 - 최신 환경에 맞게 조정되고 하이브리드 작업 공간을 수용하는 동시에 사람, 디바이스, 앱, 데이터를 보호하는 보안 모델
• Microsoft Entra Single Sign-On - 디바이스를 사용하여 모든 위치에서 사용자 및 앱에 대한 안전하고 원활한 액세스
• 작동 방식: Microsoft Entra 다단계 인증 - 로그인하는 동안 휴대폰의 코드 또는 지문 스캔과 같은 ID 형식에 대한 메시지가 표시됩니다.
• 조건부 액세스란? - 정책은 사용자가 리소스에 액세스하려면 작업을 완료해야 하는 if-then 문입니다.
• 코드가 없는 Datawiza로 Microsoft Entra ID에서 간편한 인증 및 권한 부여 - Oracle JDE, Oracle E-Business Suite, Oracle Siebel 및 집에서 만든 앱과 같은 웹 애플리케이션을 사용합니다.
• DCMC(Datawiza Cloud Management Console)를 사용하여 퍼블릭 클라우드 및 온-프레미스에서 애플리케이션 액세스 관리

시나리오 설명

이 시나리오에서는 HTTP 권한 부여 헤더를 사용하여 보호된 콘텐츠에 대한 액세스를 관리하는 Oracle Hyperion EPM 통합에 중점을 둡니다.

레거시 애플리케이션에서 최신 프로토콜 지원이 없으므로 Microsoft Entra SSO와의 직접 통합은 어렵습니다. DAP(Datawiza Access Proxy)는 프로토콜 전환을 통해 레거시 애플리케이션과 최신 ID 제어창 간의 격차를 해소합니다. DAP는 통합 오버헤드를 낮추고, 엔지니어링 시간을 줄이고, 애플리케이션 보안을 향상시켜 줍니다.

시나리오 아키텍처

이 솔루션에는 다음과 같은 구성 요소가 있습니다.

• Microsoft Entra ID - 사용자가 외부 및 내부 리소스에 로그인하고 액세스하는 데 도움이 되는 ID 및 액세스 관리 서비스
• DAP(Datawiza Access Proxy) - 사용자 로그인 흐름에 대해 OIDC(OpenID Connect), OAuth 또는 SAML(Security Assertion Markup Language)을 구현하는 컨테이너 기반 역방향 프록시입니다. HTTP 헤더를 통해 ID를 애플리케이션에 투명하게 전달합니다.
• DCMC(Datawiza Cloud Management Console) - 관리자는 UI 및 RESTful API를 사용하여 DAP를 관리하고 DAP 및 액세스 제어 정책을 구성합니다.
• Oracle Hyperion EPM - Microsoft Entra ID 및 DAP로 보호할 레거시 애플리케이션

Microsoft Entra 인증 아키텍처를 사용하여 Datawiza의 서비스 공급자 시작 흐름에 대해 알아봅니다.

필수 조건

다음 필수 조건이 충족되는지 확인합니다.

• Azure 구독
  • 아직 없으면 Azure 체험 계정을 얻을 수 있습니다.
• Azure 구독에 연결된 Microsoft Entra 테넌트
  • 빠른 시작: Microsoft Entra ID에서 새 테넌트 만들기 참조
• Docker 및 Docker Compose
  • docs.docker.com으로 이동하여 Docker를 가져오고 Docker Compose를 설치합니다.
• 온-프레미스 디렉터리에서 Microsoft Entra ID로 동기화되거나 Microsoft Entra ID에서 만들어져 온-프레미스 디렉터리로 다시 전달되는 사용자 ID
  • Microsoft Entra Connect 동기화: 동기화의 이해 및 사용자 지정 참조
• Microsoft Entra ID 및 애플리케이션 관리자 역할이 있는 계정
  • Microsoft Entra 기본 제공 역할, 모든 역할 참조
• Oracle Hyperion EMP 환경
  • (선택 사항) HTTPS를 통해 서비스를 게시하기 위한 SSL 웹 인증서. 테스트에 기본 Datawiza 자체 서명 인증서를 사용할 수 있습니다.

DAP로 시작하기

Oracle Hyperion EMP를 Microsoft Entra ID와 통합하려면 다음을 수행합니다.

1. DCMC(Datawiza Cloud Management Console)에 로그인합니다.

2. 시작 페이지가 나타납니다.

3. 주황색 시작하기 단추를 선택합니다.

   

4. 이름 및 설명 필드의 배포 이름 밑에 정보를 입력하세요.

   

5. 다음을 선택합니다.

6. 애플리케이션 추가 대화 상자가 나타납니다.

7. 플랫폼은 웹을 선택합니다.

8. 앱 이름에 고유한 애플리케이션 이름을 입력합니다.

9. 공용 도메인의 경우 예를 들어 https://hyperion.example.com를 사용합니다. 테스트를 위해 localhost DNS를 사용할 수 있습니다. 부하 분산 장치를 이용해서 DAP를 배포하는 경우가 아니면 공용 도메인 포트를 사용합니다.

10. 수신 대기 포트의 경우 DAP가 수신 대기하는 포트를 선택합니다.

11. 업스트림 서버의 경우 보호할 Oracle Hyperion 구현 URL 및 포트를 선택합니다.

12. 다음을 선택합니다.

13. 애플리케이션 추가에 정보를 입력합니다. 공용 도메인, 수신 대기 포트 및 업스트림 서버 예제 항목을 확인합니다.

14. 다음을 선택합니다.

15. 구성 IdP 대화 상자에서 관련 정보를 입력합니다.

참고 항목

구성을 완료하려면 DCMC(Datawiza Cloud Management Console) 원클릭 통합을 사용합니다. DCMC는 Microsoft Graph API를 호출하여 Microsoft Entra 테넌트에서 사용자를 대신하여 애플리케이션 등록을 만듭니다.

16. 만들기를 실행합니다.

17. DAB 배포 페이지가 표시됩니다.

18. 배포 Docker Compose 파일을 기록해 둡니다. 이 파일에는 DCMC에서 최신 구성 및 정책을 가져오는 DAP 이미지, 프로비전 키 및 프로비저닝 비밀도 포함됩니다.

    

19. 완료를 선택합니다.

SSO 및 HTTP 헤더

DAP는 IdP(ID 공급자)로부터 사용자 특성을 가져와 헤더 또는 쿠키와 함께 업스트림 애플리케이션에 전달합니다.

다음 지침을 통해 Oracle Hyperion EPM 애플리케이션에서 사용자를 인식할 수 있습니다. 이름을 사용하여 HTTP 헤더를 통해 IDP에서 애플리케이션으로 값을 전달하도록 DAP에 지시합니다.

1. 왼쪽 탐색 창에서 애플리케이션을 선택합니다.

2. 만든 애플리케이션을 찾습니다.

3. 특성 전달 하위 탭을 선택합니다.

4. 필드의 경우 메일을 선택합니다.

5. 예상의 경우 HYPLOGIN를 선택합니다.

6. 형식의 경우 헤더를 선택합니다.

   

   참고 항목

   이 구성은 Oracle Hyperion에서 사용하는 로그인 사용자 이름에 Microsoft Entra 사용자 계정 이름을 사용합니다. 다른 사용자 ID의 경우 매핑 탭으로 이동합니다.

   

SSL 구성

SSL 구성에 대해 다음 지침을 사용합니다.

1. 고급 탭을 선택합니다.

   

2. SSL 탭에서 SSL 사용을 설정합니다.

3. 인증서 유형 드롭다운에서 유형을 선택합니다. 테스트를 위해 자체 서명된 인증서가 있습니다.

   

   참고 항목

   파일에서 인증서를 업로드할 수 있습니다.

   

4. 저장을 선택합니다.

리디렉션 URI 로그인 및 로그아웃

다음 지침을 사용하여 로그인 리디렉션 URI 및 로그아웃 리디렉션 URI를 나타냅니다.

1. 고급 옵션 탭을 선택합니다.

2. 로그인 리디렉션 URI 및 로그아웃 리디렉션 URI을 입력합니다/workspace/index.jsp.

   

3. 저장을 선택합니다.

Microsoft Entra 다단계 인증 사용

로그인 보안을 강화하기 위해 Microsoft Entra 다단계 인증을 적용할 수 있습니다.

자습서: Microsoft Entra 다중 인증을 사용하여 사용자 로그인 이벤트 보호에 대해 자세히 알아보세요.

1. Azure Portal에 애플리케이션 관리자 역할로 로그인합니다.
2. Microsoft Entra ID>관리>속성을 선택합니다.
3. 속성에서 보안 기본값 관리를 선택합니다.
4. 보안 기본값 사용에서 예를 선택합니다.
5. 저장을 선택합니다.

Oracle Hyperion 공유 서비스 콘솔에서 SSO 사용

Oracle Hyperion 환경에서 SSO를 사용하도록 설정하려면 다음 지침을 사용합니다.

1. 관리자 권한으로 Hyperion 공유 서비스 콘솔에 로그인합니다. 예: http://{your-hyperion-fqdn}:19000/workspace/index.jsp.

2. 탐색을 선택한 다음, 공유 서비스 콘솔을 선택합니다.

   

3. 관리를 선택한 다음 사용자 디렉터리 구성을 선택합니다.

4. 보안 옵션 탭을 선택합니다.

5. Single Sign-On 구성에서 SSO 사용 확인란을 선택합니다.

6. SSO 공급자 또는 에이전트 드롭다운에서 기타를 선택합니다.

7. SSO 메커니즘 드롭다운에서 사용자 지정 HTTP 헤더를 선택합니다.

8. 다음 필드에는 보안 에이전트가 EMP에 전달하는 헤더 이름인 HYPLOGIN을 입력합니다.

9. 확인을 선택합니다.

   

EMP 작업 영역에서 로그오프 후 URL 설정 업데이트

1. 탐색을 선택합니다.

2. 관리자에서 작업 영역 설정 그리고 서버 설정을 선택

   

3. 작업 영역 서버 설정 대화 상자에서 로그오프 후 URL에 EPM,/datawiza/ab-logout에서 로그아웃할 때 표시되는 URL을 선택합니다.

4. 확인을 선택합니다.

   

Oracle Hyperion EMP 애플리케이션 테스트

Oracle Hyperion 애플리케이션 액세스를 확인하기 위해 로그인에 Microsoft Entra 계정을 사용하는 프롬프트가 나타납니다. 자격 증명이 선택되고 Oracle Hyperion EPM 홈 페이지가 나타납니다.

다음 단계

• 자습서: Microsoft Entra ID 및 Datawiza로 보안 하이브리드 액세스 구성
• 자습서: 안전한 하이브리드 액세스를 제공하기 위해 Datawiza를 사용하여 Azure AD B2C 구성
• Oracle Hyperion EPM에 SSO 및 MFA 추가를 위한 Datawiza로 이동
• Datawiza 사용자 가이드를 보려면 docs.datawiza.com으로 이동합니다.