Руководство по настройке Datawiza для включения Microsoft Entra многофакторной проверки подлинности и единого входа в Oracle JD Edwards

В этом руководстве описано, как включить единый вход Microsoft Entra и Microsoft Entra многофакторную проверку подлинности для приложения Oracle JD Edwards (JDE) с помощью Datawiza Access Proxy (DAP).

Дополнительные сведения о прокси-сервере доступа Datawiza

Преимущества интеграции приложений с идентификатором Microsoft Entra с помощью DAP:

• Использование упреждающей безопасности с помощью модели "Никому не доверяй" — модель безопасности, которая адаптируется к современным средам и охватывает гибридные рабочие места, а также защищает людей, устройства, приложения и данные.
• Microsoft Entra единый вход — безопасный и удобный доступ для пользователей и приложений из любого расположения с помощью устройства
• Как это работает: Microsoft Entra многофакторной проверки подлинности — во время входа пользователи получают запрос на получение идентификационных форм, таких как код на мобильном телефоне или сканирование отпечатков пальцев
• Что собой представляет условный доступ — политики — это операторы if-then. Если пользователь хочет получить доступ к ресурсу, он должен выполнить действие.
• Простая проверка подлинности и авторизация в Microsoft Entra ID без кода Datawiza — используйте веб-приложения, такие как Oracle JDE, Oracle E-Business Suite, Oracle Sibel и домашние приложения
• Использование консоли управления облаком Datawiza (DCMC) — управление доступом к приложениям в общедоступных облаках и локальной среде

Описание сценария

В этом сценарии уделяется внимание интеграции приложения Oracle JDE, использующего заголовки авторизации HTTP для управления доступом к защищенному содержимому.

В устаревших приложениях из-за отсутствия поддержки современных протоколов прямая интеграция с Microsoft Entra единого входа затруднена. DAP может преодолеть разрыв между устаревшим приложением и современной плоскостью управления идентификаторами за счет перехода протокола. DAP снижает затраты на интеграцию, экономит время на проектирование и повышает безопасность приложений.

Архитектура сценария

Сценарий решения включает следующие компоненты:

• идентификатор Microsoft Entra — служба управления удостоверениями и доступом, которая помогает пользователям входить в систему и получать доступ к внешним и внутренним ресурсам.
• Приложение Oracle JDE — устаревшее приложение, защищенное идентификатором Microsoft Entra
• Datawiza Access Proxy (DAP) — обратный прокси-сервер на основе контейнера, который реализует OpenID Connect (OIDC), OAuth или язык разметки утверждений безопасности (SAML) для потока входа пользователя. Он прозрачно передает удостоверение приложениям через заголовки HTTP.
• Datawiza Cloud Management Console (DCMC) — консоль для управления DAP. Администраторы используют пользовательский интерфейс и API RESTful для настройки DAP и политик управления доступом.

Дополнительные сведения: Архитектура проверки подлинности Datawiza и Microsoft Entra

Предварительные требования

Выполните указанные ниже предварительные требования.

• Подписка Azure.
  • Если у вас ее нет, получите бесплатную учетную запись Azure.
• Клиент Microsoft Entra, связанный с подпиской Azure.
  • См. статью Краткое руководство. Создание нового клиента в Microsoft Entra идентификаторе.
• Docker и Docker Compose
  • Перейдите к docs.docker.com, чтобы получить Docker и установить Docker Compose.
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra или созданные в Microsoft Entra идентификаторе и передаваемые обратно в локальный каталог
  • См. Microsoft Entra Connect Sync: общие сведения о синхронизации и настройка
• Учетная запись с идентификатором Microsoft Entra и ролью глобального администратора. См. Microsoft Entra встроенные роли, все роли
• Среда Oracle JDE.
• (Необязательно) SSL-сертификат для публикации служб по протоколу HTTPS. Вы также можете использовать самозаверяющие сертификаты Datawiza по умолчанию для тестирования.

Начало работы с DAB

Чтобы интегрировать Oracle JDE с идентификатором Microsoft Entra, выполните приведенные далее действия.

1. Войдите в консоль управления облаком Datawiza.

2. Откроется страница приветствия.

3. Нажмите оранжевую кнопку Getting started (Начало работы).

   

4. В полях Имя и Описание введите сведения.

5. Выберите Далее.

   

6. В диалоговом окне Добавление приложения для параметра Платформа выберите Интернет.

7. В поле Имя приложения введите уникальное имя приложения.

8. Например, в поле Общедоступный домен введите https://jde-external.example.com. Для тестирования конфигурации можно использовать dns localhost. Если вы не развертываете DAP за подсистемой балансировки нагрузки, используйте порт общедоступного домена .

9. В поле Порт прослушивания выберите порт, который прослушивает DAP.

10. В поле Вышестоящие серверы выберите URL-адрес реализации Oracle JDE и порт для защиты.

11. Выберите Далее.

12. В диалоговом окне Настройка поставщика удостоверений введите сведения.

Примечание

Используйте интеграцию с DCMC одним щелчком, чтобы завершить настройку Microsoft Entra. DCMC вызывает API Graph, чтобы создать регистрацию приложения от вашего имени в клиенте Microsoft Entra. Перейдите к docs.datawiza.com для интеграции одним щелчком с идентификатором Microsoft Entra.

13. Нажмите кнопку создания.

14. Откроется страница развертывания DAP.

15. Запомните файл Docker Compose для развертывания. Файл содержит образ DAP, ключ подготовки и секрет подготовки, который извлекает последнюю конфигурацию и политики из DCMC.

    

Заголовки единого входа и HTTP

DAP получает пользовательские атрибуты из поставщика удостоверений и передает их приложению вышестоящий с помощью заголовка или файла cookie.

Приложение Oracle JDE должно распознавать пользователя: используя имя, приложение предписывает DAP передать значения из поставщика удостоверений приложению через http-заголовок.

1. В Oracle JDE в области навигации слева выберите Applications (Приложения).

2. Выберите вложенную вкладку Attribute Pass (Передача атрибута).

3. В поле Поле выберите Email.

4. Для параметра Ожидается выберите JDE_SSO_UID.

5. В поле Тип выберите Заголовок.

   

   Примечание

   В этой конфигурации в качестве имени пользователя для входа используется имя субъекта-пользователя Microsoft Entra, используемое Oracle JDE. Чтобы использовать другое удостоверение пользователя, перейдите на вкладку Mappings (Сопоставления).

   

6. Откройте вкладку Дополнительно .

   

   

7. Выберите Enable SSL (Включить SSL).

8. Выберите тип в раскрывающемся списке Cert Type (Тип сертификата).

   

9. Для целей тестирования мы предоставим самозаверяющий сертификат.

   

   Примечание

   Вы можете отправить сертификат из файла.

   

10. Щелкните Сохранить.

Включение многофакторной проверки подлинности Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться в зависимости от того, с чего начинается портал.

Чтобы обеспечить большую безопасность при входе, можно применить многофакторную проверку подлинности для входа пользователей.

См. руководство. Защита событий входа пользователей с помощью Microsoft Entra многофакторной проверки подлинности.

1. Войдите в Центр администрирования Microsoft Entra с правами глобального администратора.
2. Перейдите на вкладкуОбщие сведенияо>удостоверении>.
3. В разделе Параметры безопасности по умолчанию выберите Управление значениями безопасности по умолчанию.
4. На панели Безопасность по умолчанию переключите раскрывающееся меню, чтобы выбрать пункт Включено.
5. Щелкните Сохранить.

Включение единого входа в консоли Oracle JDE EnterpriseOne

Чтобы включить единый вход в среде Oracle JDE, сделайте следующее:

1. Войдите в консоль управления диспетчера серверов Oracle JDE EnterpriseOne с правами администратора.

2. В разделе Select Instance (Выбор экземпляра) выберите вариант над EnterpriseOne HTML Server.

3. На плитке Конфигурация выберите Просмотреть как Дополнительно.

4. Выберите Безопасность.

5. Установите флажок Enable Oracle Access Manager (Включить Oracle Access Manager).

6. В поле Oracle Access Manager Sign-Off URL (URL-адрес выхода Oracle Access Manager) введите datawiza/ab-logout.

7. В разделе Security Server Configuration (Конфигурация сервера безопасности) выберите Apply (Применить).

8. Выберите Остановить.

   Примечание

   Если в сообщении указано, что конфигурация веб-сервера (jas.ini) устарела, выберите Синхронизировать конфигурацию.

9. Щелкните Запуск.

Тестирование приложения на основе Oracle JDE

Чтобы протестировать приложение Oracle JDE, проверьте заголовки приложения, политику и общее тестирование. При необходимости используйте симуляцию заголовков и политик для проверки полей заголовков и выполнения политики.

Чтобы подтвердить доступ к приложению Oracle JDE, появится запрос на использование учетной записи Microsoft Entra для входа. Будет выполнена проверка учетных данных, и отобразится Oracle JDE.

Дальнейшие действия

• Видео Включение единого входа и MFA для Oracle JDE) с идентификатором Microsoft Entra через Datawiza
• Руководство. Настройка безопасного гибридного доступа с помощью идентификатора Microsoft Entra и Datawiza
• Руководство. Настройка интеграции Azure AD B2C с Datawiza для обеспечения безопасного гибридного доступа
• Перейдите к docs.datawiza.com руководствам пользователя Datawiza