Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Z tego samouczka dowiesz się, jak włączyć Microsoft Entra logowanie jednokrotne (SSO) i Microsoft Entra uwierzytelnianie wieloskładnikowe dla aplikacji Oracle PeopleSoft przy użyciu serwera proxy dostępu usługi Datawiza Access (DAP).
Dowiedz się więcej: Serwer proxy dostępu do usługi Datawiza
Zalety integracji aplikacji z identyfikatorem Microsoft Entra przy użyciu języka DAP:
- Stosowanie proaktywnych zabezpieczeń przy użyciu Zero Trust — modelu zabezpieczeń, który dostosowuje się do nowoczesnych środowisk i obejmuje hybrydowe miejsce pracy, a jednocześnie chroni ludzi, urządzenia, aplikacje i dane
- Microsoft Entra logowanie jednokrotne — bezpieczny i bezproblemowy dostęp dla użytkowników i aplikacji z dowolnej lokalizacji przy użyciu urządzenia
- Jak to działa: Microsoft Entra uwierzytelnianie wieloskładnikowe — użytkownicy są monitowani podczas logowania do formularzy identyfikacji, takich jak kod na telefonie komórkowym lub skanowanie odciskiem palca
- Co to jest dostęp warunkowy? — zasady są instrukcjami if-then, jeśli użytkownik chce uzyskać dostęp do zasobu, to musi wykonać akcję
- Łatwe uwierzytelnianie i autoryzacja w identyfikatorze Microsoft Entra bez kodu Datawiza — używaj aplikacji internetowych, takich jak Oracle JDE, Oracle E-Business Suite, Oracle Sibel i aplikacje dla dorosłych
- Korzystanie z konsoli zarządzania chmurą usługi Datawiza (DCMC) — zarządzanie dostępem do aplikacji w chmurach publicznych i lokalnych
Opis scenariusza
Ten scenariusz koncentruje się na integracji aplikacji Oracle PeopleSoft przy użyciu nagłówków autoryzacji HTTP w celu zarządzania dostępem do chronionej zawartości.
W starszych aplikacjach ze względu na brak obsługi nowoczesnych protokołów bezpośrednia integracja z logowaniem jednokrotnym Microsoft Entra jest trudna. Serwer proxy dostępu do usługi Datawiza (DAP) łączy lukę między starszą aplikacją a nowoczesną płaszczyzną sterowania identyfikatorami poprzez przejście protokołu. DaP obniża obciążenie związane z integracją, oszczędza czas inżynieryjny i zwiększa bezpieczeństwo aplikacji.
Architektura scenariusza
Rozwiązanie scenariusza ma następujące składniki:
- identyfikator Microsoft Entra — usługa zarządzania tożsamościami i dostępem, która ułatwia użytkownikom logowanie się i uzyskiwanie dostępu do zasobów zewnętrznych i wewnętrznych
- Datawiza Access Proxy (DAP) — oparty na kontenerach zwrotny serwer proxy, który implementuje protokół OpenID Connect (OIDC), OAuth lub Security Assertion Markup Language (SAML) na potrzeby przepływu logowania użytkownika. Przekazuje tożsamość w sposób niewidoczny dla aplikacji za pośrednictwem nagłówków HTTP.
- Datawiza Cloud Management Console (DCMC) — administratorzy zarządzają usługami DAP przy użyciu interfejsu użytkownika i interfejsów API RESTful w celu skonfigurowania zasad daP i kontroli dostępu
- Aplikacja Oracle PeopleSoft — starsza aplikacja, która ma być chroniona przez identyfikator Microsoft Entra i daP
Dowiedz się więcej: Architektura uwierzytelniania usługi Datawiza i Microsoft Entra
Wymagania wstępne
Upewnij się, że zostały spełnione następujące wymagania wstępne.
- Subskrypcja platformy Azure
- Jeśli go nie masz, możesz uzyskać bezpłatne konto platformy Azure
- Dzierżawa Microsoft Entra połączona z subskrypcją platformy Azure
- Platforma Docker i narzędzie Docker Compose
- Przejdź do docs.docker.com, aby pobrać platformę Docker i zainstalować aplikację Docker Compose
- Tożsamości użytkowników zsynchronizowane z katalogu lokalnego do Microsoft Entra identyfikatora lub utworzone w identyfikatorze Microsoft Entra i przepływane z powrotem do katalogu lokalnego
- Konto z identyfikatorem Microsoft Entra i rolą Administrator aplikacji
- Środowisko Oracle PeopleSoft
- (Opcjonalnie) Certyfikat internetowy SSL do publikowania usług za pośrednictwem protokołu HTTPS. Do testowania można użyć domyślnych certyfikatów z podpisem własnym usługi Datawiza.
Wprowadzenie do języka DAP
Aby zintegrować aplikację Oracle PeopleSoft z identyfikatorem Microsoft Entra:
Zaloguj się do konsoli zarządzania chmurą datawiza (DCMC).
Zostanie wyświetlona strona Powitalna.
Wybierz pomarańczowy przycisk Wprowadzenie .
W polach Nazwa i Opis wprowadź informacje.
Wybierz opcję Dalej.
Zostanie wyświetlone okno dialogowe Dodawanie aplikacji.
W polu Platforma wybierz pozycję Sieć Web.
W polu Nazwa aplikacji wprowadź unikatową nazwę aplikacji.
W przypadku domeny publicznej na przykład użyj polecenia
https://ps-external.example.com
. Do testowania można użyć systemu DNS localhost. Jeśli nie wdrażasz usługi DAP za modułem równoważenia obciążenia, użyj portu domeny publicznej.W polu Nasłuchuj port wybierz port, na który nasłuchuje daP.
W obszarze Serwery nadrzędne wybierz adres URL implementacji Oracle PeopleSoft i port, który ma być chroniony.
Wybierz opcję Dalej.
W oknie dialogowym Konfigurowanie dostawcy tożsamości wprowadź informacje.
Uwaga
Kontroler DCMC ma integrację z jednym kliknięciem, aby ułatwić ukończenie konfiguracji Microsoft Entra. Kontroler DCMC wywołuje interfejs Graph API firmy Microsoft, aby utworzyć rejestrację aplikacji w Twoim imieniu w dzierżawie Microsoft Entra. Dowiedz się więcej na stronie docs.datawiza.com w temacie Integracja jednym kliknięciem z identyfikatorem Microsoft Entra
Wybierz przycisk Utwórz.
Zostanie wyświetlona strona wdrażania języka DAP.
Zanotuj plik docker Compose wdrożenia. Plik zawiera obraz daP, klucz aprowizacji i wpis tajny aprowizacji, który pobiera najnowszą konfigurację i zasady z kontrolera DCMC.
Nagłówki logowania jednokrotnego i http
DaP pobiera atrybuty użytkownika od dostawcy tożsamości i przekazuje je do aplikacji nadrzędnej z nagłówkiem lub plikiem cookie.
Aplikacja Oracle PeopleSoft musi rozpoznać użytkownika. Używając nazwy, aplikacja instruuje daP przekazać wartości z dostawcy tożsamości do aplikacji za pośrednictwem nagłówka HTTP.
W aplikacji Oracle PeopleSoft w obszarze nawigacji po lewej stronie wybierz pozycję Aplikacje.
Wybierz podtabę Przekazywanie atrybutu .
W polu Pole wybierz pozycję e-mail.
W obszarze Oczekiwano wybierz pozycję PS_SSO_UID.
W polu Typ wybierz pozycję Nagłówek.
Uwaga
Ta konfiguracja używa Microsoft Entra głównej nazwy użytkownika jako nazwy użytkownika logowania dla oracle PeopleSoft. Aby użyć innej tożsamości użytkownika, przejdź do karty Mapowania .
Konfiguracja protokołu SSL
Wybierz kartę Zaawansowane.
Wybierz pozycję Włącz protokół SSL.
Z listy rozwijanej Typ certyfikatu wybierz typ.
Do testowania konfiguracji jest dostępny certyfikat z podpisem własnym.
Uwaga
Certyfikat można przekazać z pliku.
Wybierz pozycję Zapisz.
Włączanie uwierzytelniania wieloskładnikowego Microsoft Entra
Porada
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Aby zapewnić większe bezpieczeństwo logowania, możesz wymusić Microsoft Entra uwierzytelnianie wieloskładnikowe.
Dowiedz się więcej: Samouczek: zabezpieczanie zdarzeń logowania użytkownika przy użyciu uwierzytelniania wieloskładnikowego Microsoft Entra
- Zaloguj się do centrum administracyjnego Microsoft Entra jako administrator globalny.
- Przejdź do kartyWłaściwościprzeglądu>tożsamości>.
- W obszarze Wartości domyślne zabezpieczeń wybierz pozycję Zarządzaj wartościami domyślnymi zabezpieczeń.
- W okienku Wartości domyślne zabezpieczeń przełącz menu rozwijane, aby wybrać pozycję Włączone.
- Wybierz pozycję Zapisz.
Włączanie logowania jednokrotnego w konsoli Oracle PeopleSoft
Aby włączyć logowanie jednokrotne w środowisku Oracle PeopleSoft:
Zaloguj się do konsoli
http://{your-peoplesoft-fqdn}:8000/psp/ps/?cmd=start
PeopleSoft przy użyciu poświadczeń Administracja, na przykład PS/PS.Dodaj domyślnego użytkownika dostępu publicznego do aplikacji PeopleSoft.
W menu głównym przejdź do pozycji PeopleTools > Security > User Profiles User Profiles >> Dodaj nową wartość.
Wybierz pozycję Dodaj nową wartość.
Utwórz użytkownika PSPUBUSER.
Wprowadź hasło.
Wybierz kartę IDENTYFIKATOR .
W polu Typ identyfikatora wybierz pozycję Brak.
Przejdź do pozycji PeopleTools > Web Profile Web Profile Configuration Search PROD Security (Zabezpieczenia prod>) wyszukiwania > konfiguracji > profilu internetowego profilu > internetowego.
W obszarze Użytkownicy publiczni wybierz pole Zezwalaj na dostęp publiczny .
W polu Identyfikator użytkownika wprowadź wartość PSPUBUSER.
Wprowadź hasło.
Wybierz pozycję Zapisz.
Aby włączyć logowanie jednokrotne, przejdź do pozycji PeopleTools Security > Objects >> Signon PeopleCode.
Wybierz stronę Sign on PeopleCode (Zaloguj się przy użyciu kodu osób ).
Włącz OAMSSO_AUTHENTICATION.
Wybierz pozycję Zapisz.
Aby skonfigurować kod PeopleCode przy użyciu projektanta aplikacji PeopleTools, przejdź do pozycji Otwórz definicję pliku >> : Nazwa rekordu > :
FUNCLIB_LDAP
.Otwórz FUNCLIB_LDAP.
Wybierz rekord.
Wybierz pozycję Widok PROTOKOŁU LDAPAUTH > PeopleCode.
getWWWAuthConfig()
Wyszukaj funkcjęChange &defaultUserId = ""; to &defaultUserId = PSPUBUSER
.Upewnij się, że nagłówek użytkownika jest
PS_SSO_UID
przeznaczony dlaOAMSSO_AUTHENTICATION
funkcji.Zapisz definicję rekordu.
Testowanie aplikacji Oracle PeopleSoft
Aby przetestować aplikację Oracle PeopleSoft, zweryfikuj nagłówki aplikacji, zasady i ogólne testowanie. W razie potrzeby użyj symulacji nagłówków i zasad, aby zweryfikować pola nagłówka i wykonywanie zasad.
Aby potwierdzić, że dostęp do aplikacji Oracle PeopleSoft występuje poprawnie, zostanie wyświetlony monit o użycie konta Microsoft Entra na potrzeby logowania. Poświadczenia są sprawdzane i pojawia się oracle PeopleSoft.
Następne kroki
- Wideo: Włączanie logowania jednokrotnego i uwierzytelniania wieloskładnikowego dla usługi Oracle JD Edwards przy użyciu identyfikatora Microsoft Entra za pośrednictwem usługi Datawiza
- Samouczek: konfigurowanie bezpiecznego dostępu hybrydowego przy użyciu identyfikatora Microsoft Entra i usługi Datawiza
- Samouczek: konfigurowanie Azure AD B2C z usługą Datawiza w celu zapewnienia bezpiecznego dostępu hybrydowego
- Przejdź do docs.datawiza.com przewodników użytkownika usługi Datawiza