Tutorial: configurar o Datawiza para habilitar a autenticação multifator e logon único do Microsoft Entra no Oracle Hyperion EPM

Use este tutorial para habilitar a autenticação multifator do Microsoft Entra e o SSO (logon único) para o EPM (Gerenciamento de Desempenho Enterprise) do Oracle Hyperion usando o DAP (Proxy de Acesso do Datawiza).

Saiba mais em datawiza.com.

Benefícios da integração de aplicativos ao Microsoft Entra ID usando o DAP:

• Adotar segurança proativa com a Confiança Zero – um modelo de segurança que se adapta a ambientes modernos e adota o local de trabalho híbrido, enquanto protege pessoas, dispositivos, aplicativos e dados
• Logon único do Microsoft Entra – acesso seguro e contínuo para usuários e aplicativos, em qualquer local, usando um dispositivo
• Como funciona: autenticação multifator do Microsoft Entra – durante a entrada, os usuários são solicitados a fornecer formas de identificação, como um código no celular ou uma verificação de impressão digital
• O que é Acesso Condicional? – as políticas são instruções if-then. Se um usuário deseja acessar um recurso, deve realizar uma ação
• Autenticação e autorização fáceis no Microsoft Entra ID com o Datawiza sem código – use aplicativos Web como: Oracle JDE, Oracle E-Business Suite, Oracle Siebel e aplicativos domésticos
• Use o DCMC (Datawiza Cloud Management Console) para gerenciar o acesso a aplicativos localmente e em nuvens públicas

Descrição do cenário

Este cenário concentra-se na integração do aplicativo Oracle Hyperion EPM usando cabeçalhos de autorização HTTP para gerenciar o acesso a conteúdo protegido.

Devido à ausência de suporte de protocolo moderno em aplicativos herdados, uma integração direta com o SSO do Microsoft Entra é desafiadora. O DAP (Datawiza Access Proxy) preenche a lacuna entre o aplicativo herdado e o painel de controle de identidade moderno, por meio da transição de protocolo. O DAP reduz a sobrecarga de integração, economiza tempo de engenharia e aprimora a segurança do aplicativo.

Arquitetura de cenário

A solução tem os seguintes componentes:

• Microsoft Entra ID: serviço de gerenciamento de identidades e acesso que ajuda os usuários a entrar e acessar recursos externos e internos
• DAP (Datawiza Access Proxy) – proxy reverso baseado em contêiner que implementa o OIDC (OpenID Connect), o OAuth ou o SAML (Security Assertion Markup Language) para o fluxo de entrada do usuário. Ele transmite de maneira transparente identidades para aplicativos por meio de cabeçalhos HTTP.
• DCMC (Datawiza Cloud Management Console) – os administradores gerenciam o DAP com a interface do usuário e as APIs RESTful para configurar políticas de controle de acesso e DAP
• Oracle Hyperion EPM - o aplicativo herdado será protegido pelo Microsoft Entra ID e pelo DAP

Saiba mais sobre o fluxo iniciado pelo provedor de serviços no Datawiza com a arquitetura de autenticação do Microsoft Entra.

Pré-requisitos

Verifique se os seguintes pré-requisitos foram atendidos:

• Uma assinatura do Azure
  • Se não tiver, você pode obter uma conta gratuita do Azure
• Um locatário do Microsoft Entra vinculado à assinatura do Azure
  • Confira, Início Rápido: criar um novo locatário no Microsoft Entra ID
• Docker e Docker Compose
  • Vá para docs.docker.com para Obter o Docker e Instalar o Docker Compose
• Identidades dos usuários sincronizadas de um diretório local para o Microsoft Entra ID, ou criadas no Microsoft Entra ID e retornadas a um diretório local
  • Confira sincronização do Microsoft Entra Connect: entender e personalizar a sincronização
• Uma conta com o Microsoft Entra ID e a função Administrador de aplicativos
  • Confira Funções internas do Microsoft Entra, todas as funções
• Um ambiente EMP do Oracle Hyperion
  • (Opcional) Um certificado Web SSL para publicar serviços por HTTPS. Você pode usar certificados autoassinados padrão do Datawiza para teste.

Introdução ao DAP

Para integrar o Oracle Hyperion EMP ao Microsoft Entra ID:

1. Entre no DCMC (Console de Gerenciamento de Nuvem do Datawiza).

2. Uma página inicial é exibida.

3. Selecione o botão de Introdução laranja.

   

4. Em Nome da implantação nos campos Nome e Descrição, insira as informações.

   

5. Selecione Avançar.

6. A caixa de diálogo Adicionar Aplicativo será exibida.

7. Em Plataforma, selecione Web.

8. Em Nome do Aplicativo, insira um nome de aplicativo exclusivo.

9. Em Domínio Público, por exemplo, use https://hyperion.example.com. Para teste, você pode usar o localhost DNS. Se você não estiver implantando o DAP atrás de um balanceador de carga, use a porta do Domínio Público.

10. Em Escutar Porta, selecione a porta na qual o DAP escuta.

11. Em Servidores Upstream, selecione a URL de implementação do Oracle Hyperion e a porta a ser protegida.

12. Selecione Avançar.

13. Em Adicionar aplicativo, insira as informações. Observe as entradas de exemplo para Domínio Público, Escutar Porta e Servidores Upstream.

14. Selecione Avançar.

15. Na caixa de diálogo Configurar IdP, insira as informações relevantes.

Observação

Use a Integração com um clique do DCMC (Console de Gerenciamento de Nuvem) do Datawiza para ajudar a concluir a configuração. O DCMC chama a API do Microsoft Graph para criar um registro de aplicativo em seu nome, em seu locatário do Microsoft Entra.

16. Selecione Criar.

17. A página de implantação do DAP será exibida.

18. Anote o arquivo de implantação do Docker Compose. O arquivo inclui a imagem do DAP, também a Chave de Provisionamento e o Segredo de Provisionamento, que extrai a configuração e as políticas mais recentes do DCMC.

19. Selecione Concluído.

Cabeçalhos SSO e HTTP

O DAP obtém atributos de usuário do IdP (provedor de identidade) e os passa para o aplicativo upstream com um cabeçalho ou cookie.

As instruções a seguir permitem que o aplicativo Oracle Hyperion EPM reconheça o usuário. Usando um nome, ele instrui o DAP a passar os valores do IdP para o aplicativo por meio do cabeçalho HTTP.

1. No menu de navegação esquerdo, selecione Aplicativos.

2. Localize o aplicativo que você criou.

3. Selecione a subguia Passagem de Atributo.

4. Em Campo, selecione email.

5. Em Esperado, selecione HYPLOGIN.

6. Em Tipo, selecione Cabeçalho.

   

   Observação

   Esta configuração usa o nome de entidade de usuário do Microsoft Entra para o nome de usuário de entrada, que é usado pelo Oracle Hyperion. Para outra identidade do usuário, vá para a guia Mapeamentos.

   

Configuração de SSL

Use as instruções a seguir para a configuração de SSL.

1. Selecione a guia Avançado.

   

2. Na guia SSL, selecione Habilitar SSL.

3. No menu suspenso Tipo de Certificado, selecione um tipo. Para teste, há um certificado autoassinado.

   

   Observação

   Você pode carregar um certificado a partir de um arquivo.

   

4. Selecione Salvar.

URI de redirecionamento de logoff e logoff

Use as instruções a seguir para indicar o URI de Redirecionamento de Logon e o URI de Redirecionamento de Logoff.

1. Selecione a guia Opções avançadas.

2. Para URI de Redirecionamento de Logon e URI de Redirecionamento de Logoff, insira /workspace/index.jsp.

   

3. Selecione Salvar.

Habilitar a autenticação multifator do Microsoft Entra

Para fornecer mais segurança para entradas, você pode impor a autenticação multifator do Microsoft Entra.

Saiba mais no Tutorial: proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra

1. Entre no portal do Azure com a função Administrador de aplicativos.
2. Selecione Microsoft Entra ID>Gerenciar>Propriedades.
3. Em Propriedades, selecione Gerenciar padrões de segurança.
4. Em Habilitar Padrões de Segurança, selecione Sim.
5. Selecione Salvar.

Habilitar o SSO no Console de Serviços Compartilhados do Oracle Hyperion

Use as instruções a seguir para habilitar o SSO no ambiente do Oracle Hyperion.

1. Entre no Console do Serviço Compartilhado do Hyperion com permissões de administrador. Por exemplo, http://{your-hyperion-fqdn}:19000/workspace/index.jsp.

2. Selecione Navegar e, em seguida, Console de Serviços Compartilhados.

   

3. Selecione Administração e, em seguida, Configurar diretórios do usuário.

4. Selecione a guia Opções de segurança.

5. Em Configuração de Logon Único, selecione a caixa de seleção Habilitar SSO.

6. Na lista suspensa Agente ou Provedor de SSO, selecione Outros.

7. Na lista suspensa Mecanismo de SSO, selecione Cabeçalho HTTP Personalizado.

8. No campo a seguir, insira HYPLOGIN, o nome do cabeçalho que o agente de segurança passa para o EMP.

9. Selecione OK.

   

Atualizar configurações de URL de Logoff de Postagem no Workspace do EMP

1. Selecione Navegar.

2. Em Administrar, selecione Configurações do Workspace e Configurações do Servidor.

   

3. Na caixa de diálogo Configurações do Servidor do Workspace, em URL de Logoff de Postagem, selecione a URL que os usuários veem ao desconectar do EPM,/datawiza/ab-logout.

4. Selecione OK.

   

Testar um aplicativo Oracle Hyperion EMP

Para confirmar o acesso ao aplicativo Oracle Hyperion, é exibida uma solicitação para usar uma conta do Microsoft Entra para entrar. As credenciais são verificadas e a página inicial do Oracle Hyperion EPM é exibida.

Próximas etapas

• Tutorial: configurar o acesso híbrido seguro com o Microsoft Entra ID e o Datawiza
• Tutorial: configurar o Azure AD B2C com o Datawiza para fornecer acesso híbrido seguro
• Acesse o Datawiza para Adicionar SSO e MFA ao Oracle Hyperion EPM em minutos
• Acessar docs.datawiza.com para Guias do Usuário do Datawiza