教程:配置 Datawiza 以便为 Oracle PeopleSoft 启用 Microsoft Entra 多重身份验证和单一登录

本教程介绍如何使用 Datawiza 访问代理 (DAP) 为 Oracle PeopleSoft 应用程序启用 Microsoft Entra 单一登录 (SSO) 和 Microsoft Entra 多重身份验证。

了解详细信息: Datawiza 访问代理

使用 DAP 将应用程序与Microsoft Entra ID 集成的好处:

方案描述

本方案重点介绍如何凭借使用 HTTP 授权标头的 Oracle PeopleSoft 应用程序集成来管理对受保护内容的访问。

在旧式应用程序中,由于缺乏新式协议支持,很难与 Microsoft Entra SSO 直接集成。 Datawiza 访问代理 (DAP) 通过协议转换来弥补旧版应用程序和新式 ID 控制平面之间的差距。 DAP 降低了集成开销、节省了工程时间,并提高了应用程序的安全性。

方案体系结构

方案解决方案使用以下组件:

  • Microsoft Entra ID - 身份验证和访问控制管理服务,可帮助用户登录以及访问内部和外部资源
  • Datawiza 访问代理 (DAP) - 基于容器的反向代理,用于实现用户登录流的 OpenID Connect(OIDC)、OAuth 或安全断言标记语言(SAML)。 它通过 HTTP 标头以透明方式将标识传递给应用程序。
  • Datawiza 云管理控制台 (DCMC) - 管理员使用 UI 和 RESTful API 管理 DAP,以配置 DAP 和访问控制策略
  • Oracle PeopleSoft 应用程序 - 由 Microsoft Entra ID 和 DAP 保护的传统应用程序

了解详细信息: Datawiza 和 Microsoft Entra 身份验证体系结构

先决条件

请确保满足以下先决条件。

开始使用 DAP

将 Oracle PeopleSoft 与 Microsoft Entra ID 集成:

  1. 登录到 Datawiza Cloud Management Console (DCMC)。

  2. 显示“欢迎”页面。

  3. 选择橙色的“入门指南”按钮。

    “入门”按钮的屏幕截图。

  4. 在“名称”和“说明”字段中输入信息。

    部署名称下的“名称”字段的屏幕截图。

  5. 选择 “下一步”。

  6. 此时将出现“添加应用程序”对话框。

  7. 平台选择 Web

  8. 为“应用名称”输入唯一的应用程序名称。

  9. 对于公共域,例如使用 https://ps-external.example.com。 若要进行测试,可以使用 localhost DNS。 如果未在负载均衡器后面部署 DAP,请使用“公共域”端口。

  10. 为“侦听端口”选择 DAP 侦听的端口。

  11. 上游服务器选择要保护的 Oracle PeopleSoft 实现 URL 和端口。

  12. 选择 “下一步”。

  13. 在“配置 IdP”对话框中输入信息。

注意

DCMC 提供一键式集成来帮助完成 Microsoft Entra 配置。 DCMC 调用 Microsoft Graph API 在你的 Microsoft Entra 租户中代表你创建应用程序注册。 在 docs.datawiza.com 了解更多关于 与 Microsoft Entra ID 的一键式集成

  1. 选择“ 创建”。

“配置 IDP”下的条目的屏幕截图。

  1. 会显示 DAP 部署页。
  2. 记下部署 Docker Compose 文件。 该文件包含 DAP 映像,以及从 DCMC 拉取最新配置和策略的预配密钥和预配机密。

SSO 和 HTTP 标头

DAP 从标识提供者 (IdP) 获取用户属性,并使用标头或 Cookie 将其传递给上游应用程序。

Oracle PeopleSoft 应用程序需要识别用户。 使用名称和应用程序指示 DAP,通过 HTTP 标头将 IdP 中的值传递给应用程序。

  1. 在 Oracle PeopleSoft 的左侧导航中选择应用程序

  2. 选择“属性传递”子选项卡。

  3. 字段选择电子邮件

  4. 预期选择 PS_SSO_UID

  5. 为“类型”选择“标头”

    屏幕截图为包含字段、预期和类型条目的属性传递功能。

    注意

    此配置使用 Microsoft Entra 用户主体名称作为 Oracle PeopleSoft 的登录用户名。 若要使用其他用户标识,请转到“映射”选项卡。

    用户主体名称的屏幕截图。

SSL 配置

  1. 选择“高级”选项卡

    应用程序详细信息下的“高级”选项卡的屏幕截图。

  2. 选择启用 SSL

  3. 从“证书类型”下拉列表中选择一种类型。

    “证书类型”下拉列表的屏幕截图,其中包含可用选项、自签名和上传。

  4. 为了测试配置,会有一个自签名证书。

    选择了“自签名”的“证书类型”选项的屏幕截图。

    注意

    可以从文件上传证书。

    屏幕截图为“高级设置”下“选择选项”的“基于文件”条目。

  5. 选择“保存”

启用 Microsoft Entra 多重身份验证

若要为登录提供更高的安全性,可以强制实施 Microsoft Entra 多重身份验证。

了解详细信息 :教程:使用 Microsoft Entra 多重身份验证保护用户登录事件

  1. 应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到 Entra ID>概述>属性选项卡。
  3. 在“安全默认值”下,选择“管理安全默认值”
  4. 在“安全默认值”窗格中,切换下拉菜单以选择“启用”
  5. 选择“保存”

在 Oracle PeopleSoft 控制台中启用 SSO

若要在 Oracle PeopleSoft 环境中启用 SSO,请执行以下操作:

  1. 使用管理员凭据(例如 PS/PS)登录到 PeopleSoft 控制台 http://{your-peoplesoft-fqdn}:8000/psp/ps/?cmd=start

  2. 将默认公共访问用户添加到 PeopleSoft。

  3. 在主菜单中,导航到 PeopleTools >“安全性”>“用户配置文件”>“用户配置文件”>“添加新值”

  4. 选择添加新值

  5. 创建用户 PSPUBUSER

  6. 输入密码。

    PS PUBUSER 用户 ID 和更改密码选项的屏幕截图。

  7. 选择 ID 选项卡。

  8. ID 类型选择

    ID 选项卡上“ID 类型”的“无”选项的屏幕截图。

  9. 导航到“PeopleTools”>“Web 配置文件”>“Web 配置文件配置”>“搜索”>“PROD”>“安全性”

  10. “公共用户”下,选中“允许公共访问”方框。

  11. “用户 ID”输入 PSPUBUSER

  12. 输入密码。

    “允许公共访问”、“用户 ID”和“密码”选项的屏幕截图。

  13. 选择“保存”

  14. 若要启用 SSO,请导航到“PeopleTools”>“安全性”>“安全对象”>“Signon PeopleCode”

  15. 选择“登录 PeopleCode”页。

  16. 启用 OAMSSO_AUTHENTICATION

  17. 选择“保存”

  18. 若要使用 PeopleTools 应用程序设计器配置 PeopleCode,请导航到“文件”>“打开”>“定义: 记录”>“名称: FUNCLIB_LDAP

  19. 打开 FUNCLIB_LDAP

    “打开定义”对话框的屏幕截图。

  20. 选择记录。

  21. 选择 LDAPAUTH>“查看 PeopleCode”

  22. 搜索 getWWWAuthConfig() 函数 Change &defaultUserId = ""; to &defaultUserId = PSPUBUSER

  23. 确认 OAMSSO_AUTHENTICATION 函数的用户标头为 PS_SSO_UID

  24. 保存记录定义。

    记录定义的屏幕截图。

测试 Oracle PeopleSoft 应用程序

若要测试 Oracle PeopleSoft 应用程序,请验证应用程序标头、策略和整体测试。 如果需要,请使用标头和策略模拟来验证标头字段和策略执行。

为了确认 Oracle PeopleSoft 应用程序访问是否可以正常进行,会出现一个提示,要求使用 Microsoft Entra 帐户进行登录。 系统会检查凭据并显示 Oracle PeopleSoft。

后续步骤