Руководство по настройке Datawiza для включения многофакторной проверки подлинности Microsoft Entra и единого входа в Oracle PeopleSoft

В этом руководстве описано, как включить единый вход (SSO) Microsoft Entra и многофакторную проверку подлинности Microsoft Entra для приложения Oracle PeopleSoft с помощью прокси-сервера Datawiza Access (DAP).

Дополнительные сведения: Прокси-сервер доступа Datawiza

Преимущества интеграции приложений с идентификатором Microsoft Entra с помощью DAP:

• Использование упреждающей безопасности с нулевой доверием — модель безопасности, которая адаптируется к современным средам и принимает гибридные рабочие места, а также защищает людей, устройства, приложения и данные
• Единый вход Microsoft Entra — безопасный и простой доступ для пользователей и приложений из любого расположения с помощью устройства
• Как это работает: многофакторная проверка подлинности Microsoft Entra — пользователям предлагается во время входа в систему для форм идентификации, таких как код на своем мобильном телефоне или сканирование отпечатков пальцев
• Что представляет собой условный доступ? — политики — это операторы if-then, если пользователь хочет получить доступ к ресурсу, то он должен выполнить действие.
• Простая проверка подлинности и авторизация в идентификаторе Microsoft Entra с no-code Datawiza — используйте такие веб-приложения, как Oracle JDE, Oracle E-Business Suite, Oracle Sibel и домашние приложения
• Использование консоли управления облаком Datawiza (DCMC) — управление доступом к приложениям в общедоступных облаках и локальной среде

Описание сценария

В этом сценарии уделяется внимание интеграции приложения Oracle PeopleSoft, использующего заголовки авторизации HTTP для управления доступом к защищенному содержимому.

В устаревших приложениях из-за отсутствия поддержки современных протоколов прямая интеграция с Microsoft Entra SSO является сложной. Прокси-сервер доступа Datawiza (DAP) мостит разрыв между устаревшим приложением и современной плоскостью управления идентификаторами путем перехода протокола. DAP снижает нагрузку на интеграцию, экономит время разработки и повышает безопасность приложений.

Архитектура сценария

Сценарий решения включает следующие компоненты:

• Идентификатор Microsoft Entra — служба управления удостоверениями и доступом, которая помогает пользователям входить и получать доступ к внешним и внутренним ресурсам.
• Datawiza Access Proxy (DAP) — обратный прокси-сервер на основе контейнера, который реализует OpenID Connect (OIDC), OAuth или язык разметки утверждений безопасности (SAML) для потока входа пользователя. Он прозрачно передает удостоверение приложениям через заголовки HTTP.
• Консоль управления облаком Datawiza (DCMC) — администраторы управляют DAP с помощью API пользовательского интерфейса и RESTful для настройки политик управления доступом и DAP и управления доступом
• Приложение Oracle PeopleSoft — устаревшее приложение для защиты с помощью идентификатора Microsoft Entra и DAP

Дополнительные сведения: архитектура проверки подлинности Datawiza и Microsoft Entra

Необходимые компоненты

Выполните указанные ниже предварительные требования.

• Подписка Azure
  • Если у вас ее нет, получите бесплатную учетную запись Azure.
• Клиент Microsoft Entra, связанный с подпиской Azure
  • См. краткое руководство. Создание нового клиента в идентификаторе Microsoft Entra
• Docker и Docker Compose
  • Перейдите к docs.docker.com, чтобы получить Docker и установить Docker Compose
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra ID, или созданные в идентификаторе Microsoft Entra и перетекаются обратно в локальный каталог.
  • См. синхронизацию Microsoft Entra Connect: общие сведения и настройка синхронизации
• Учетная запись с идентификатором Microsoft Entra и ролью администратора приложения
  • См. встроенные роли Microsoft Entra, все роли
• Среда Oracle PeopleSoft
• (Необязательно) SSL-сертификат для публикации служб по протоколу HTTPS. Для тестирования можно использовать самозаверяющие сертификаты Datawiza по умолчанию.

Начало работы с DAP

Чтобы интегрировать Oracle PeopleSoft с идентификатором Microsoft Entra, выполните следующие действия.

1. Войдите в консоль управления облаком Datawiza (DCMC).

2. Откроется страница приветствия.

3. Нажмите оранжевую кнопку Getting started (Начало работы).

   

4. В полях "Имя " и "Описание " введите сведения.

   

5. Выберите Далее.

6. Откроется диалоговое окно "Добавление приложения".

7. Для платформы выберите "Интернет".

8. В поле "Имя приложения" введите уникальное имя приложения.

9. Например, для общедоступного домена.https://ps-external.example.com Для тестирования можно использовать localhost DNS. Если вы не развертываете DAP за подсистемой балансировки нагрузки, используйте порт общедоступного домена.

10. Для порта прослушивания выберите порт, на который прослушивается DAP.

11. Для вышестоящих серверов выберите URL-адрес реализации Oracle PeopleSoft и порт для защиты.

12. Выберите Далее.
13. В диалоговом окне "Настройка поставщика удостоверений" введите сведения.

Примечание.

DCMC имеет интеграцию с одним щелчком, чтобы помочь завершить настройку Microsoft Entra. DCMC вызывает API Microsoft Graph, чтобы создать регистрацию приложения от вашего имени в клиенте Microsoft Entra. Дополнительные сведения о docs.datawiza.com в интеграции с one Click Integration with Microsoft Entra ID

14. Нажмите кнопку создания.

15. Откроется страница развертывания DAP.
16. Запомните файл Docker Compose для развертывания. Файл содержит образ DAP, ключ подготовки и секрет подготовки, который извлекает последнюю конфигурацию и политики из DCMC.

Заголовки единого входа и HTTP

DAP получает атрибуты пользователя от поставщика удостоверений (IdP) и передает их в вышестоящее приложение с заголовком или файлом cookie.

Приложению Oracle PeopleSoft необходимо распознать пользователя. Используя имя, приложение указывает DAP передать значения из поставщика удостоверений в приложение через заголовок HTTP.

1. В Oracle PeopleSoft в области навигации слева выберите Приложения.

2. Выберите вложенную вкладку Attribute Pass (Передача атрибута).

3. В поле выберите сообщение электронной почты.

4. Для ожидаемого выберите PS_SSO_UID.

5. Для типа выберите "Заголовок".

   

   Примечание.

   Эта конфигурация использует имя участника-пользователя Microsoft Entra в качестве имени пользователя входа для Oracle PeopleSoft. Чтобы использовать другое удостоверение пользователя, перейдите на вкладку Mappings (Сопоставления).

   

Настройка SSL

1. Откройте вкладку Дополнительно .

   

2. Выберите Enable SSL (Включить SSL).

3. Выберите тип в раскрывающемся списке Cert Type (Тип сертификата).

   

4. Для тестирования конфигурации существует самозаверяющий сертификат.

   

   Примечание.

   Вы можете отправить сертификат из файла.

   

5. Выберите Сохранить.

Включение многофакторной проверки подлинности Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы обеспечить дополнительную безопасность для входа, можно применить многофакторную проверку подлинности Microsoft Entra.

Дополнительные сведения. Руководство. Защита событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора приложения.
2. Перейдите на вкладку "Свойства обзора>удостоверений".>
3. В разделе "Безопасность по умолчанию" выберите "Управление значениями безопасности" по умолчанию.
4. В области "Безопасность по умолчанию" переключите раскрывающееся меню, чтобы выбрать "Включено".
5. Выберите Сохранить.

Включение единого входа в консоли Oracle PeopleSoft

Чтобы включить единый вход в среде Oracle PeopleSoft, выполните приведенные ниже действия.

1. Войдите в консоль http://{your-peoplesoft-fqdn}:8000/psp/ps/?cmd=start PeopleSoft с помощью учетных данных администратора, например PS/PS.

   

2. Добавьте пользователя общедоступного доступа по умолчанию в PeopleSoft.

3. В главном меню выберите PeopleTools > Безопасность > Профили пользователей > Профили пользователей > Добавить новое значение.

4. Выберите Добавить новое значение.

5. Создание пользователя PSPUBUSER.

6. Введите пароль.

   

7. Выберите вкладку "Идентификатор ".

8. Для типа идентификатора выберите "Нет".

   

9. Перейдите в раздел "Веб-профиль веб-профиля", чтобы найти > prod > > security.> >

10. В разделе "Общедоступные пользователи" выберите поле "Разрешить общедоступный доступ ".

11. Для идентификатора пользователя введите PSPUBUSER.

12. Введите пароль.

    

13. Выберите Сохранить.

14. Чтобы включить единый вход, перейдите к объектам безопасности PeopleTools > Security > > Signon PeopleCode.

15. Выберите страницу Sign on PeopleCode .

16. Включите OAMSSO_AUTHENTICATION.

17. Выберите Сохранить.

18. Чтобы настроить PeopleCode с помощью конструктора приложений PeopleTools, перейдите к разделу "Открытие > файла>": "Имя записи>". FUNCLIB_LDAP

19. Откройте FUNCLIB_LDAP.

    

20. Выберите запись.

21. Выберите LDAPAUTH > View PeopleCode.

22. Найдите функцию getWWWAuthConfig() Change &defaultUserId = ""; to &defaultUserId = PSPUBUSER.

23. Убедитесь, что заголовок пользователя предназначен PS_SSO_UID для OAMSSO_AUTHENTICATION функции.

24. Сохраните определение записи.

    

Тестирование приложения Oracle PeopleSoft

Чтобы протестировать приложение Oracle PeopleSoft, проверьте заголовки приложений, политику и общее тестирование. При необходимости используйте симуляцию заголовков и политик для проверки полей заголовков и выполнения политики.

Чтобы убедиться, что доступ к приложению Oracle PeopleSoft выполняется правильно, появится запрос на использование учетной записи Microsoft Entra для входа. Будет выполнена проверка учетных данных, и отобразится Oracle PeopleSoft.

Следующие шаги

• Видео: включение единого входа и MFA для Oracle JD Edwards с идентификатором Microsoft Entra id через Datawiza
• Руководство по настройке безопасного гибридного доступа с помощью идентификатора Microsoft Entra и Datawiza
• Руководство по настройке Azure AD B2C с Datawiza для обеспечения безопасного гибридного доступа
• Перейти к docs.datawiza.com пользовательских руководств по Datawiza