Samouczek: konfigurowanie usługi Datawiza w celu włączenia uwierzytelniania wieloskładnikowego Microsoft Entra i logowania jednokrotnego do aplikacji Oracle PeopleSoft

2023-09-22

Z tego samouczka dowiesz się, jak włączyć Microsoft Entra logowanie jednokrotne (SSO) i Microsoft Entra uwierzytelnianie wieloskładnikowe dla aplikacji Oracle PeopleSoft przy użyciu serwera proxy dostępu usługi Datawiza Access (DAP).

Dowiedz się więcej: Serwer proxy dostępu do usługi Datawiza

Zalety integracji aplikacji z identyfikatorem Microsoft Entra przy użyciu języka DAP:

Stosowanie proaktywnych zabezpieczeń przy użyciu Zero Trust — modelu zabezpieczeń, który dostosowuje się do nowoczesnych środowisk i obejmuje hybrydowe miejsce pracy, a jednocześnie chroni ludzi, urządzenia, aplikacje i dane
Microsoft Entra logowanie jednokrotne — bezpieczny i bezproblemowy dostęp dla użytkowników i aplikacji z dowolnej lokalizacji przy użyciu urządzenia
Jak to działa: Microsoft Entra uwierzytelnianie wieloskładnikowe — użytkownicy są monitowani podczas logowania do formularzy identyfikacji, takich jak kod na telefonie komórkowym lub skanowanie odciskiem palca
Co to jest dostęp warunkowy? — zasady są instrukcjami if-then, jeśli użytkownik chce uzyskać dostęp do zasobu, to musi wykonać akcję
Łatwe uwierzytelnianie i autoryzacja w identyfikatorze Microsoft Entra bez kodu Datawiza — używaj aplikacji internetowych, takich jak Oracle JDE, Oracle E-Business Suite, Oracle Sibel i aplikacje dla dorosłych
Korzystanie z konsoli zarządzania chmurą usługi Datawiza (DCMC) — zarządzanie dostępem do aplikacji w chmurach publicznych i lokalnych

Opis scenariusza

Ten scenariusz koncentruje się na integracji aplikacji Oracle PeopleSoft przy użyciu nagłówków autoryzacji HTTP w celu zarządzania dostępem do chronionej zawartości.

W starszych aplikacjach ze względu na brak obsługi nowoczesnych protokołów bezpośrednia integracja z logowaniem jednokrotnym Microsoft Entra jest trudna. Serwer proxy dostępu do usługi Datawiza (DAP) łączy lukę między starszą aplikacją a nowoczesną płaszczyzną sterowania identyfikatorami poprzez przejście protokołu. DaP obniża obciążenie związane z integracją, oszczędza czas inżynieryjny i zwiększa bezpieczeństwo aplikacji.

Architektura scenariusza

Rozwiązanie scenariusza ma następujące składniki:

identyfikator Microsoft Entra — usługa zarządzania tożsamościami i dostępem, która ułatwia użytkownikom logowanie się i uzyskiwanie dostępu do zasobów zewnętrznych i wewnętrznych
Datawiza Access Proxy (DAP) — oparty na kontenerach zwrotny serwer proxy, który implementuje protokół OpenID Connect (OIDC), OAuth lub Security Assertion Markup Language (SAML) na potrzeby przepływu logowania użytkownika. Przekazuje tożsamość w sposób niewidoczny dla aplikacji za pośrednictwem nagłówków HTTP.
Datawiza Cloud Management Console (DCMC) — administratorzy zarządzają usługami DAP przy użyciu interfejsu użytkownika i interfejsów API RESTful w celu skonfigurowania zasad daP i kontroli dostępu
Aplikacja Oracle PeopleSoft — starsza aplikacja, która ma być chroniona przez identyfikator Microsoft Entra i daP

Dowiedz się więcej: Architektura uwierzytelniania usługi Datawiza i Microsoft Entra

Wymagania wstępne

Upewnij się, że zostały spełnione następujące wymagania wstępne.

Subskrypcja platformy Azure
- Jeśli go nie masz, możesz uzyskać bezpłatne konto platformy Azure
Dzierżawa Microsoft Entra połączona z subskrypcją platformy Azure
- Zobacz: Szybki start: tworzenie nowej dzierżawy w identyfikatorze Microsoft Entra
Platforma Docker i narzędzie Docker Compose
- Przejdź do docs.docker.com, aby pobrać platformę Docker i zainstalować aplikację Docker Compose
Tożsamości użytkowników zsynchronizowane z katalogu lokalnego do Microsoft Entra identyfikatora lub utworzone w identyfikatorze Microsoft Entra i przepływane z powrotem do katalogu lokalnego
- Zobacz, Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji
Konto z identyfikatorem Microsoft Entra i rolą Administrator aplikacji
- Zobacz, Microsoft Entra wbudowane role, wszystkie role
Środowisko Oracle PeopleSoft
(Opcjonalnie) Certyfikat internetowy SSL do publikowania usług za pośrednictwem protokołu HTTPS. Do testowania można użyć domyślnych certyfikatów z podpisem własnym usługi Datawiza.

Wprowadzenie do języka DAP

Aby zintegrować aplikację Oracle PeopleSoft z identyfikatorem Microsoft Entra:

Zaloguj się do konsoli zarządzania chmurą datawiza (DCMC).
Zostanie wyświetlona strona Powitalna.
Wybierz pomarańczowy przycisk Wprowadzenie .
W polach Nazwa i Opis wprowadź informacje.
Wybierz opcję Dalej.
Zostanie wyświetlone okno dialogowe Dodawanie aplikacji.
W polu Platforma wybierz pozycję Sieć Web.
W polu Nazwa aplikacji wprowadź unikatową nazwę aplikacji.
W przypadku domeny publicznej na przykład użyj polecenia https://ps-external.example.com. Do testowania można użyć systemu DNS localhost. Jeśli nie wdrażasz usługi DAP za modułem równoważenia obciążenia, użyj portu domeny publicznej.
W polu Nasłuchuj port wybierz port, na który nasłuchuje daP.
W obszarze Serwery nadrzędne wybierz adres URL implementacji Oracle PeopleSoft i port, który ma być chroniony.

Zrzut ekranu przedstawiający wpisy w obszarze Dodaj aplikację.

Wybierz opcję Dalej.
W oknie dialogowym Konfigurowanie dostawcy tożsamości wprowadź informacje.

Uwaga

Kontroler DCMC ma integrację z jednym kliknięciem, aby ułatwić ukończenie konfiguracji Microsoft Entra. Kontroler DCMC wywołuje interfejs Graph API firmy Microsoft, aby utworzyć rejestrację aplikacji w Twoim imieniu w dzierżawie Microsoft Entra. Dowiedz się więcej na stronie docs.datawiza.com w temacie Integracja jednym kliknięciem z identyfikatorem Microsoft Entra
Wybierz przycisk Utwórz.
Zostanie wyświetlona strona wdrażania języka DAP.
Zanotuj plik docker Compose wdrożenia. Plik zawiera obraz daP, klucz aprowizacji i wpis tajny aprowizacji, który pobiera najnowszą konfigurację i zasady z kontrolera DCMC.

Zrzut ekranu przedstawiający trzy zestawy informacji platformy Docker.

Nagłówki logowania jednokrotnego i http

DaP pobiera atrybuty użytkownika od dostawcy tożsamości i przekazuje je do aplikacji nadrzędnej z nagłówkiem lub plikiem cookie.

Aplikacja Oracle PeopleSoft musi rozpoznać użytkownika. Używając nazwy, aplikacja instruuje daP przekazać wartości z dostawcy tożsamości do aplikacji za pośrednictwem nagłówka HTTP.

W aplikacji Oracle PeopleSoft w obszarze nawigacji po lewej stronie wybierz pozycję Aplikacje.
Wybierz podtabę Przekazywanie atrybutu .
W polu Pole wybierz pozycję e-mail.
W obszarze Oczekiwano wybierz pozycję PS_SSO_UID.
W polu Typ wybierz pozycję Nagłówek.

Uwaga

Ta konfiguracja używa Microsoft Entra głównej nazwy użytkownika jako nazwy użytkownika logowania dla oracle PeopleSoft. Aby użyć innej tożsamości użytkownika, przejdź do karty Mapowania .

Konfiguracja protokołu SSL

Wybierz kartę Zaawansowane.
Wybierz pozycję Włącz protokół SSL.
Z listy rozwijanej Typ certyfikatu wybierz typ.
Do testowania konfiguracji jest dostępny certyfikat z podpisem własnym.

Uwaga

Certyfikat można przekazać z pliku.
Wybierz pozycję Zapisz.

Włączanie uwierzytelniania wieloskładnikowego Microsoft Entra

Porada

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby zapewnić większe bezpieczeństwo logowania, możesz wymusić Microsoft Entra uwierzytelnianie wieloskładnikowe.

Dowiedz się więcej: Samouczek: zabezpieczanie zdarzeń logowania użytkownika przy użyciu uwierzytelniania wieloskładnikowego Microsoft Entra

Zaloguj się do centrum administracyjnego Microsoft Entra jako administrator globalny.
Przejdź do kartyWłaściwościprzeglądu>tożsamości>.
W obszarze Wartości domyślne zabezpieczeń wybierz pozycję Zarządzaj wartościami domyślnymi zabezpieczeń.
W okienku Wartości domyślne zabezpieczeń przełącz menu rozwijane, aby wybrać pozycję Włączone.
Wybierz pozycję Zapisz.

Włączanie logowania jednokrotnego w konsoli Oracle PeopleSoft

Aby włączyć logowanie jednokrotne w środowisku Oracle PeopleSoft:

Zaloguj się do konsoli http://{your-peoplesoft-fqdn}:8000/psp/ps/?cmd=start PeopleSoft przy użyciu poświadczeń Administracja, na przykład PS/PS.
Dodaj domyślnego użytkownika dostępu publicznego do aplikacji PeopleSoft.
W menu głównym przejdź do pozycji PeopleTools > Security > User Profiles User Profiles >> Dodaj nową wartość.
Wybierz pozycję Dodaj nową wartość.
Utwórz użytkownika PSPUBUSER.
Wprowadź hasło.
Wybierz kartę IDENTYFIKATOR .
W polu Typ identyfikatora wybierz pozycję Brak.
Przejdź do pozycji PeopleTools > Web Profile Web Profile Configuration Search PROD Security (Zabezpieczenia prod>) wyszukiwania > konfiguracji > profilu internetowego profilu > internetowego.
W obszarze Użytkownicy publiczni wybierz pole Zezwalaj na dostęp publiczny .
W polu Identyfikator użytkownika wprowadź wartość PSPUBUSER.
Wprowadź hasło.
Wybierz pozycję Zapisz.
Aby włączyć logowanie jednokrotne, przejdź do pozycji PeopleTools Security > Objects >> Signon PeopleCode.
Wybierz stronę Sign on PeopleCode (Zaloguj się przy użyciu kodu osób ).
Włącz OAMSSO_AUTHENTICATION.
Wybierz pozycję Zapisz.
Aby skonfigurować kod PeopleCode przy użyciu projektanta aplikacji PeopleTools, przejdź do pozycji Otwórz definicję pliku >> : Nazwa rekordu > : FUNCLIB_LDAP.
Otwórz FUNCLIB_LDAP.
Wybierz rekord.
Wybierz pozycję Widok PROTOKOŁU LDAPAUTH > PeopleCode.
getWWWAuthConfig() Wyszukaj funkcję Change &defaultUserId = ""; to &defaultUserId = PSPUBUSER.
Upewnij się, że nagłówek użytkownika jest PS_SSO_UID przeznaczony dla OAMSSO_AUTHENTICATION funkcji.
Zapisz definicję rekordu.

Testowanie aplikacji Oracle PeopleSoft

Aby przetestować aplikację Oracle PeopleSoft, zweryfikuj nagłówki aplikacji, zasady i ogólne testowanie. W razie potrzeby użyj symulacji nagłówków i zasad, aby zweryfikować pola nagłówka i wykonywanie zasad.

Aby potwierdzić, że dostęp do aplikacji Oracle PeopleSoft występuje poprawnie, zostanie wyświetlony monit o użycie konta Microsoft Entra na potrzeby logowania. Poświadczenia są sprawdzane i pojawia się oracle PeopleSoft.

Udostępnij za pośrednictwem