Руководство по настройке Datawiza для включения многофакторной проверки подлинности Microsoft Entra и единого входа в Oracle Hyperion EPM

В этом руководстве описано, как включить многофакторную проверку подлинности Microsoft Entra и единый вход (SSO) для Oracle Hyperion Enterprise Performance Management (EPM) с помощью прокси-сервера Доступа Datawiza (DAP).

Дополнительные сведения о datawiza.com.

Преимущества интеграции приложений с идентификатором Microsoft Entra с помощью DAP:

• Использование упреждающей безопасности с нулевой доверием — модель безопасности, которая адаптируется к современным средам и принимает гибридные рабочие места, а также защищает людей, устройства, приложения и данные
• Единый вход Microsoft Entra — безопасный и простой доступ для пользователей и приложений из любого расположения с помощью устройства
• Как это работает: многофакторная проверка подлинности Microsoft Entra — пользователям предлагается во время входа в систему для форм идентификации, таких как код на своем мобильном телефоне, или сканирование отпечатков пальцев
• Что представляет собой условный доступ? — политики — это операторы if-then, если пользователь хочет получить доступ к ресурсу, то он должен выполнить действие.
• Простая проверка подлинности и авторизация в идентификаторе Microsoft Entra с no-code Datawiza — используйте такие веб-приложения, как Oracle JDE, Oracle E-Business Suite, Oracle Siebel и домашние приложения
• Использование консоли управления облаком Datawiza (DCMC) — управление доступом к приложениям в общедоступных облаках и локальной среде

Описание сценария

Этот сценарий посвящен интеграции Oracle Hyperion EPM с использованием заголовков авторизации HTTP для управления доступом к защищенному содержимому.

Из-за отсутствия поддержки современных протоколов в устаревших приложениях прямая интеграция с Microsoft Entra SSO является сложной задачей. Datawiza Access Proxy (DAP) мостит разрыв между устаревшим приложением и современной плоскостью управления удостоверениями путем перехода протокола. DAP снижает нагрузку на интеграцию, экономит время разработки и повышает безопасность приложений.

Архитектура сценария

Решение содержит следующие компоненты:

• Идентификатор Microsoft Entra — служба управления удостоверениями и доступом, которая помогает пользователям входить и получать доступ к внешним и внутренним ресурсам.
• Datawiza Access Proxy (DAP) — обратный прокси-сервер на основе контейнера, который реализует OpenID Connect (OIDC), OAuth или язык разметки утверждений безопасности (SAML) для потока входа пользователя. Он прозрачно передает удостоверение приложениям через заголовки HTTP.
• Консоль управления облаком Datawiza (DCMC) — администраторы управляют DAP с помощью API пользовательского интерфейса и RESTful для настройки политик управления доступом и DAP и управления доступом
• Oracle Hyperion EPM — устаревшее приложение для защиты с помощью идентификатора Microsoft Entra и DAP

Узнайте о потоке, инициированном поставщиком услуг, в Datawiza с архитектурой проверки подлинности Microsoft Entra.

Необходимые компоненты

Выполните указанные ниже предварительные требования.

• Подписка Azure
  • Если у вас ее нет, получите бесплатную учетную запись Azure.
• Клиент Microsoft Entra, связанный с подпиской Azure
  • См. краткое руководство. Создание нового клиента в идентификаторе Microsoft Entra
• Docker и Docker Compose
  • Перейдите к docs.docker.com, чтобы получить Docker и установить Docker Compose
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra ID, или созданные в идентификаторе Microsoft Entra и перетекаются обратно в локальный каталог.
  • См. синхронизацию Microsoft Entra Connect: общие сведения и настройка синхронизации
• Учетная запись с идентификатором Microsoft Entra и ролью администратора приложения
  • См. встроенные роли Microsoft Entra, все роли
• Среда EMP Oracle Hyperion
  • (Необязательно) SSL-сертификат для публикации служб по протоколу HTTPS. Для тестирования можно использовать самозаверяющие сертификаты Datawiza по умолчанию.

Начало работы с DAP

Чтобы интегрировать Oracle Hyperion EMP с идентификатором Microsoft Entra, выполните следующие действия.

1. Войдите в консоль управления облаком Datawiza (DCMC).

2. Откроется страница приветствия.

3. Нажмите оранжевую кнопку Getting started (Начало работы).

   

4. В разделе "Имя развертывания" в полях "Имя" и "Описание" введите сведения.

   

5. Выберите Далее.

6. Откроется диалоговое окно "Добавление приложения ".

7. Для платформы выберите "Интернет".

8. В поле "Имя приложения" введите уникальное имя приложения.

9. Например, для общедоступного домена.https://hyperion.example.com Для тестирования можно использовать localhost DNS. Если вы не развертываете DAP за подсистемой балансировки нагрузки, используйте порт общедоступного домена.

10. Для порта прослушивания выберите порт, на который прослушивается DAP.

11. Для вышестоящих серверов выберите URL-адрес реализации Oracle Hyperion и порт для защиты.

12. Выберите Далее.

13. Введите сведения о добавлении приложения. Обратите внимание на примеры записей для общедоступных доменов, портов прослушивания и вышестоящих серверов.

14. Выберите Далее.

15. В диалоговом окне "Настройка поставщика удостоверений" введите соответствующие сведения.

Примечание.

Чтобы завершить настройку, используйте консоль управления облаком Datawiza (DCMC) One Click Integration . DCMC вызывает API Microsoft Graph для создания регистрации приложения от вашего имени в клиенте Microsoft Entra.

16. Нажмите кнопку создания.

17. Откроется страница развертывания DAP.

18. Запомните файл Docker Compose для развертывания. Файл содержит образ DAP, ключ подготовки и секрет подготовки, которые извлекут последнюю конфигурацию и политики из DCMC.

    

19. Нажмите кнопку Готово.

Заголовки единого входа и HTTP

DAP получает атрибуты пользователя от поставщика удостоверений (IdP) и передает их в вышестоящее приложение с заголовком или файлом cookie.

Следующие инструкции позволяют приложению Oracle Hyperion EPM распознать пользователя. Используя имя, daP указывает DAP передавать значения из поставщика удостоверений в приложение через заголовок HTTP.

1. В области навигации слева выберите "Приложения".

2. Найдите созданное приложение.

3. Выберите вложенную вкладку Attribute Pass (Передача атрибута).

4. В поле выберите сообщение электронной почты.

5. Для ожидаемого выберите HYPLOGIN.

6. Для типа выберите "Заголовок".

   

   Примечание.

   Эта конфигурация использует имя участника-пользователя Microsoft Entra для имени пользователя входа, используемого Oracle Hyperion. Для другого удостоверения пользователя перейдите на вкладку "Сопоставления ".

   

Настройка SSL

Используйте следующие инструкции по настройке SSL.

1. Откройте вкладку Дополнительно .

   

2. На вкладке SSL нажмите кнопку "Включить SSL".

3. В раскрывающемся списке "Тип сертификата" выберите тип. Для тестирования существует самозаверяющий сертификат.

   

   Примечание.

   Вы можете отправить сертификат из файла.

   

4. Выберите Сохранить.

URI перенаправления входа и выхода

Используйте следующие инструкции, чтобы указать URI перенаправления входа и URI перенаправления выхода.

1. Перейдите на вкладку "Дополнительные параметры ".

2. В поле URI перенаправления входа и URI перенаправления выхода введите /workspace/index.jsp.

   

3. Выберите Сохранить.

Включение многофакторной проверки подлинности Microsoft Entra

Чтобы обеспечить дополнительную безопасность для входа, можно применить многофакторную проверку подлинности Microsoft Entra.

Дополнительные сведения см. в руководстве. Защита событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra

1. Войдите в портал Azure в качестве роли администратора приложений.
2. Выберите "Управление свойствами>" идентификатора Microsoft Entra ID.>
3. В разделе "Свойства" выберите "Управление безопасностью по умолчанию".
4. В разделе "Включить параметры безопасности по умолчанию" нажмите кнопку "Да".
5. Выберите Сохранить.

Включение единого входа в консоли общих служб Oracle Hyperion

Используйте следующие инструкции, чтобы включить единый вход в среде Oracle Hyperion.

1. Войдите в консоль общей службы Hyperion с разрешениями администратора. Например, http://{your-hyperion-fqdn}:19000/workspace/index.jsp.

2. Выберите "Навигация", а затем консоль общих служб.

   

3. Выберите "Администрирование" и настройте каталоги пользователей.

4. Перейдите на вкладку "Параметры безопасности".

5. В конфигурации единого входа установите флажок "Включить единый вход ".

6. В раскрывающемся списке поставщика единого входа или агента выберите "Другое".

7. В раскрывающемся списке механизма единого входа выберите пользовательский заголовок HTTP.

8. В следующем поле введите HYPLOGIN, имя заголовка агента безопасности передается в EMP.

9. Нажмите ОК.

   

Обновление параметров URL-адреса после выхода из журнала в рабочей области EMP

1. Выберите "Навигация".

2. В области администрирования выберите параметры рабочей области, а затем параметры сервера.

   

3. В диалоговом окне "Параметры сервера рабочей области" для URL-адреса выхода после выхода выберите URL-адрес, который отображается при выходе из EPM/datawiza/ab-logout.

4. Нажмите ОК.

   

Тестирование приложения Oracle Hyperion EMP

Чтобы подтвердить доступ к приложению Oracle Hyperion, появится запрос на использование учетной записи Microsoft Entra для входа. Учетные данные проверяются, и появится домашняя страница Oracle Hyperion EPM.

Следующие шаги

• Руководство по настройке безопасного гибридного доступа с помощью идентификатора Microsoft Entra и Datawiza
• Руководство по настройке Azure AD B2C с Datawiza для обеспечения безопасного гибридного доступа
• Перейдите в Datawiza для добавления единого входа и MFA в Oracle Hyperion EPM в минутах
• Перейти к docs.datawiza.com пользовательских руководств по Datawiza