Konfigurowanie usługi Datawiza na potrzeby uwierzytelniania wieloskładnikowego Microsoft Entra i logowania jednokrotnego w usłudze Oracle EBS

2023-09-22

W tym artykule dowiesz się, jak włączyć Microsoft Entra uwierzytelnianie wieloskładnikowe i logowanie jednokrotne (SSO) dla aplikacji Oracle E-Business Suite (Oracle EBS) za pośrednictwem usługi Datawiza.

Poniżej przedstawiono kilka zalet integracji aplikacji z identyfikatorem Microsoft Entra za pośrednictwem usługi Datawiza:

Model zabezpieczeń Zero Trust dostosowuje się do nowoczesnych środowisk i obejmuje hybrydowe miejsce pracy, a jednocześnie pomaga chronić ludzi, urządzenia, aplikacje i dane.
Logowanie jednokrotne zapewnia bezpieczny i bezproblemowy dostęp dla użytkowników i aplikacji urządzeń z dowolnej lokalizacji.
Uwierzytelnianie wieloskładnikowe monituje użytkowników podczas logowania do formularzy identyfikacji, takich jak kod na urządzeniu lub skanowanie odciskiem palca.
Dostęp warunkowy zapewnia zasady tak, jak instrukcje if/then. Jeśli użytkownik chce uzyskać dostęp do zasobu, musi wykonać akcję.
Usługa Datawiza zapewnia uwierzytelnianie i autoryzację w identyfikatorze Microsoft Entra bez kodu. Używaj aplikacji internetowych, takich jak Oracle JDE, Oracle EBS, Oracle Siebel i aplikacje dla dorosłych.
Za pomocą konsoli zarządzania chmurą (DCMC) usługi Datawiza Cloud Management Console (DCMC) można zarządzać dostępem do aplikacji w chmurach publicznych i lokalnie.

Ten artykuł koncentruje się na integracji nowoczesnych dostawców tożsamości z starszą aplikacją Oracle EBS. Aplikacja wymaga zestawu poświadczeń konta usługi Oracle EBS i pliku kontenera bazy danych Oracle EBS (DBC).

Architektura

Rozwiązanie ma następujące składniki:

Microsoft Entra ID: oparta na chmurze usługa zarządzania tożsamościami i dostępem firmy Microsoft, która ułatwia użytkownikom logowanie się i uzyskiwanie dostępu do zasobów zewnętrznych i wewnętrznych.
Oracle EBS: starsza aplikacja, która Microsoft Entra identyfikator, pomoże chronić.
Datawiza Access Proxy (DAP): uproszczony zwrotny serwer proxy oparty na kontenerze, który implementuje przepływ logowania użytkownika OIDC/OAuth lub SAML. W sposób niewidoczny przekazuje tożsamość do aplikacji za pośrednictwem nagłówków HTTP.
DCMC: scentralizowana konsola zarządzania, która zarządza usługą DAP. Konsola udostępnia interfejsy użytkownika i interfejsy API RESTful dla administratorów do zarządzania konfiguracjami języka DAP i jej szczegółowymi zasadami kontroli dostępu.

Wymagania wstępne

Aby wykonać kroki opisane w tym artykule, potrzebne są następujące elementy:

Subskrypcja platformy Azure. Jeśli go nie masz, możesz uzyskać bezpłatne konto platformy Azure.
Dzierżawa Microsoft Entra połączona z subskrypcją platformy Azure.
Rola administratora globalnego .
Docker i Docker Compose, aby uruchomić język DAP. Aby uzyskać więcej informacji, zobacz Get Docker and Docker Compose Overview ( Uzyskiwanie platformy Docker i narzędzia Docker Compose — omówienie).
Tożsamości użytkowników zsynchronizowane z katalogu lokalnego do Microsoft Entra identyfikatora lub utworzone w identyfikatorze Microsoft Entra i przepływają z powrotem do katalogu lokalnego. Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji.
Środowisko Oracle EBS.

Konfigurowanie środowiska Oracle EBS na potrzeby logowania jednokrotnego i tworzenie pliku DBC

Aby włączyć logowanie jednokrotne w środowisku Oracle EBS:

Zaloguj się do konsoli zarządzania Oracle EBS jako administrator.
Przewiń w dół okienko nawigacji, rozwiń węzeł Zarządzanie użytkownikami, a następnie wybierz pozycję Użytkownicy.
Dodaj konto użytkownika. Wybierz pozycję Utwórzkonto użytkownika>.
W polu Nazwa użytkownika wprowadź wartość DWSSOUSER.
W polu Hasło wprowadź hasło.
W polu Opis wprowadź konto użytkownika usługi DW dla logowania jednokrotnego.
W obszarze Wygaśnięcie hasła wybierz pozycję Brak.
Przypisz rolę łączenie schematu aplikacji z użytkownikiem.

Rejestrowanie języka DAP w usłudze Oracle EBS

W środowisku Oracle EBS Linux wygeneruj nowy plik DBC dla języka DAP. Potrzebne są poświadczenia użytkownika aplikacji i domyślny plik DBC (w obszarze $FND_SECURE) używany przez warstwę aplikacji.

Skonfiguruj środowisko dla systemu Oracle EBS przy użyciu polecenia podobnego do ./u01/install/APPS/EBSapps.env run.
Użyj narzędzia AdminDesktop, aby wygenerować nowy plik DBC. Określ nazwę nowego węzła pulpitu dla tego pliku DBC:

java oracle.apps.fnd.security.AdminDesktop apps/apps CREATE NODE_NAME=\<ebs domain name> DBC=/u01/install/APPS/fs1/inst/apps/EBSDB_apps/appl/fnd/12.0.0/secure/EBSDB.dbc

Ta akcja generuje plik o nazwie ebsdb_\<ebs domain name>.dbc w lokalizacji, w której uruchomiono polecenie.
Skopiuj zawartość pliku DBC do notesu. Zawartość będzie używana później.

Włączanie aplikacji Oracle EBS na potrzeby logowania jednokrotnego

Aby zintegrować usługę JDE z identyfikatorem Microsoft Entra, zaloguj się do konsoli zarządzania chmurą usługi Datawiza.

Zostanie wyświetlona strona powitalna.
Wybierz pomarańczowy przycisk Wprowadzenie .
W polu Nazwa wprowadź nazwę wdrożenia.
W polu Opis wprowadź opis wdrożenia.
Wybierz opcję Dalej.
W obszarze Dodaj aplikację w polu Platforma wybierz pozycję Oracle E-Business Suite.
W polu Nazwa aplikacji wprowadź nazwę aplikacji.
W polu Domena publiczna wprowadź zewnętrzny adres URL aplikacji. Na przykład wprowadź https://ebs-external.example.com. Do testowania można użyć serwera DNS localhost.
W polu Nasłuchuj port wybierz port, na który nasłuchuje daP. Jeśli nie wdrażasz usługi DAP za modułem równoważenia obciążenia, możesz użyć portu w domenie publicznej .
W polu Serwery nadrzędne wprowadź adres URL i kombinację portów implementacji Oracle EBS, którą chcesz chronić.
W polu Konto usługi EBS wprowadź nazwę użytkownika z konta usługi (DWSSOUSER).
W polu Hasło konta EBS wprowadź hasło dla konta usługi.
W przypadku mapowania użytkowników EBS produkt decyduje o mapowaniu atrybutu na nazwę użytkownika Oracle EBS na potrzeby uwierzytelniania.
W przypadku zawartości BAZY danych EBS użyj skopiowanych zawartości.
Wybierz opcję Dalej.

Konfiguracja dostawcy tożsamości

Użyj integracji z jednym kliknięciem dcMC, aby ułatwić ukończenie Microsoft Entra konfiguracji. Dzięki tej funkcji można zmniejszyć koszty zarządzania i prawdopodobieństwo błędów konfiguracji.

Plik docker Compose

Konfiguracja w konsoli zarządzania jest ukończona. Zostanie wyświetlony monit o wdrożenie usługi DAP przy użyciu aplikacji. Zanotuj plik docker Compose wdrożenia. Plik zawiera obraz języka DAP, PROVISIONING_KEYi PROVISIONING_SECRET. DaP używa tych informacji do ściągania najnowszej konfiguracji i zasad z kontrolera DCMC.

Zrzut ekranu przedstawiający informacje dotyczące platformy Docker.

Konfiguracja protokołu SSL

W obszarze Konfiguracja certyfikatu wybierz kartę Zaawansowane na stronie aplikacji. Następnie wybierz pozycjęEdytujprotokół SSL>.
Włącz przełącznik Włącz protokół SSL .
W polu Typ certyfikatu wybierz typ certyfikatu.

Istnieje certyfikat z podpisem własnym dla hosta lokalnego. Aby użyć tego certyfikatu do testowania, wybierz pozycję Podpis własny.

Opcjonalnie możesz przekazać certyfikat z pliku. W polu Typ certyfikatu wybierz pozycję Przekaż. Następnie w obszarze Wybierz opcję wybierz pozycję Oparte na plikach.
Wybierz pozycję Zapisz.

Opcjonalnie: Włączanie uwierzytelniania wieloskładnikowego na identyfikatorze Microsoft Entra

Porada

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby zapewnić większe bezpieczeństwo logowania, możesz włączyć uwierzytelnianie wieloskładnikowe w centrum administracyjnym Microsoft Entra:

Zaloguj się do centrum administracyjnego Microsoft Entra jako administrator globalny.
Przejdź do kartyWłaściwościprzeglądu>tożsamości>.
W obszarze Wartości domyślne zabezpieczeń wybierz pozycję Zarządzaj wartościami domyślnymi zabezpieczeń.
W okienku Wartości domyślne zabezpieczeń przełącz menu rozwijane, aby wybrać pozycję Włączone.
Wybierz pozycję Zapisz.

Udostępnij za pośrednictwem