教程:配置 Datawiza 以便为 Oracle PeopleSoft 启用 Microsoft Entra 多重身份验证和单一登录
本教程介绍如何使用 Datawiza 访问代理 (DAP) 为 Oracle PeopleSoft 应用程序启用 Microsoft Entra 单一登录 (SSO) 和 Microsoft Entra 多重身份验证。
了解详细信息:Datawiza 访问代理
使用 DAP 将应用程序与Microsoft Entra ID 集成的好处:
- 通过零信任实现主动安全性 - 一种适应新式环境并支持混合工作场所的安全模型,同时可以保护人员、设备、应用和数据
- Microsoft Entra 单一登录 - 使用设备从任何位置安全无缝地访问用户和应用
- 工作原理:Microsoft Entra 多重身份验证 - 在登录期间,系统会提示用户输入身份验证形式,例如手机上的验证码或指纹扫描
- 什么是条件访问? - 策略是 if-then 语句;如果用户想要访问资源,他们必须完成一个操作
- 使用无代码 Datawiza 在 Microsoft Entra ID 中轻松进行身份验证和授权 - 使用 Web 应用程序,例如:Oracle JDE、Oracle E-Business Suite、Oracle Sibel 和本土应用
- 使用 Datawiza Cloud Management Console (DCMC) - 管理对公有云中的应用程序和本地应用程序的访问
方案描述
本方案重点介绍如何凭借使用 HTTP 授权标头的 Oracle PeopleSoft 应用程序集成来管理对受保护内容的访问。
在旧式应用程序中,由于缺乏新式协议支持,很难与 Microsoft Entra SSO 直接集成。 Datawiza 访问代理 (DAP) 通过协议转换来弥补旧版应用程序和新式 ID 控制平面之间的差距。 DAP 降低了集成开销、节省了工程时间,并提高了应用程序的安全性。
方案体系结构
方案解决方案使用以下组件:
- Microsoft Entra ID - 标识和访问管理服务,可帮助用户登录以及访问内部和外部资源
- Datawiza 访问代理 (DAP) - 基于容器的反向代理,为用户登录流实现 OpenID Connect (OIDC)、OAuth 或安全断言标记语言 (SAML)。 它通过 HTTP 标头以透明方式将标识传递给应用程序。
- Datawiza 云管理控制台 (DCMC) - 管理员使用 UI 和 RESTful API 管理 DAP,配置 DAP 和访问控制策略
- Oracle PeopleSoft 应用程序 - 通过 Microsoft Entra ID 和 DAP 保护的旧版应用程序
了解详情:Datawiza 和 Microsoft Entra 身份验证体系结构
先决条件
请确保满足以下先决条件。
- 一个 Azure 订阅
- 如果没有,可以获取一个 Azure 免费帐户
- 链接到 Azure 订阅的 Microsoft Entra 租户
- Docker 和 Docker Compose
- 转到 docs.docker.com 以获取 Docker 并安装 Docker Compose
- 从本地目录同步到 Microsoft Entra ID 的用户标识,或在 Microsoft Entra ID 中创建并流回本地目录的用户标识
- 具有 Microsoft Entra ID 和应用程序管理员角色的帐户
- 一个 Oracle PeopleSoft 环境
- (可选)SSL Web 证书,用于通过 HTTPS 发布服务。 可以使用默认 Datawiza 自签名证书进行测试。
开始使用 DAP
将 Oracle PeopleSoft 与 Microsoft Entra ID 集成:
登录到 Datawiza 云管理控制台 (DCMC)。
显示“欢迎”页面。
选择橙色的“开始使用”按钮。
在“名称”和“说明”字段中,输入信息。
选择“下一页”。
此时将出现“添加应用程序”对话框。
为“平台”选择“Web”。
为“应用名称”输入唯一的应用程序名称。
对于“公共域”,例如使用
https://ps-external.example.com
。 若要进行测试,可以使用 localhost DNS。 如果未在负载均衡器后面部署 DAP,请使用“公共域”端口。为“侦听端口”选择 DAP 侦听的端口。
为“上游服务器”选择要保护的 Oracle PeopleSoft 实现 URL 和端口。
- 选择“下一页”。
- 在“配置 IdP”对话框中输入信息。
注意
DCMC 提供一键式集成来帮助完成 Microsoft Entra 配置。 DCMC 调用 Microsoft Graph API 在你的 Microsoft Entra 租户中代表你创建应用程序注册。 在 docs.datawiza.com 上的与 Microsoft Entra ID 的一键式集成中了解详细信息
- 选择创建。
- 会显示 DAP 部署页。
- 记下部署 Docker Compose 文件。 该文件包含 DAP 映像,以及从 DCMC 拉取最新配置和策略的预配密钥和预配机密。
SSO 和 HTTP 标头
DAP 从标识提供者 (IdP) 获取用户属性,并使用标头或 Cookie 将其传递给上游应用程序。
Oracle PeopleSoft 应用程序需要识别用户。 使用名称和应用程序指示 DAP,通过 HTTP 标头将 IdP 中的值传递给应用程序。
在 Oracle PeopleSoft 的左侧导航中选择“应用程序”。
选择“属性传递”子选项卡。
为“字段”选择“电子邮件”。
为“预期”选择“PS_SSO_UID”。
为“类型”,选择“标头”。
注意
此配置使用 Microsoft Entra 用户主体名称作为 Oracle PeopleSoft 的登录用户名。 若要使用其他用户标识,请转到“映射”选项卡。
SSL 配置
选择“高级”选项卡。
选择“启用 SSL”。
从“证书类型”下拉列表中选择一种类型。
为了测试配置,会有一个自签名证书。
注意
可以从文件上传证书。
选择“保存”。
启用 Microsoft Entra 多重身份验证
提示
本文中的步骤可能因开始使用的门户而略有不同。
若要为登录提供更高的安全性,可以强制实施 Microsoft Entra 多重身份验证。
了解详情:教程:使用 Microsoft Entra 多重身份验证保护用户登录事件
- 以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“概述”>“属性”选项卡。
- 在“安全默认值”下,选择“管理安全默认值”。
- 在“安全默认值”窗格中,切换下拉菜单以选择“启用”。
- 选择“保存”。
在 Oracle PeopleSoft 控制台中启用 SSO
若要在 Oracle PeopleSoft 环境中启用 SSO,请执行以下操作:
使用管理员凭据(例如 PS/PS)登录到 PeopleSoft 控制台
http://{your-peoplesoft-fqdn}:8000/psp/ps/?cmd=start
。将默认公共访问用户添加到 PeopleSoft。
在主菜单中,导航到“PeopleTools”>“安全性”>“用户配置文件”>“用户配置文件”>“添加新值”。
选择“添加新值”。
创建用户 PSPUBUSER。
输入密码。
选择“ID”选项卡。
为“ID 类型”选择“无”。
导航到“PeopleTools”>“Web 配置文件”>“Web 配置文件配置”>“搜索”>“PROD”>“安全性”。
在“公共用户”下,选中“允许公共访问”方框。
为“用户 ID”输入“PSPUBUSER”。
输入密码。
选择“保存”。
若要启用 SSO,请导航到“PeopleTools”>“安全性”>“安全对象”>“Signon PeopleCode”。
选择“Signon PeopleCode”页。
启用“OAMSSO_AUTHENTICATION”。
选择“保存”。
若要使用 PeopleTools 应用程序设计器配置 PeopleCode,请导航到“文件”>“打开”>“定义: 记录”>“名称:
FUNCLIB_LDAP
”。打开“FUNCLIB_LDAP”。
选择记录。
选择“LDAPAUTH”>“查看 PeopleCode”。
搜索
getWWWAuthConfig()
函数Change &defaultUserId = ""; to &defaultUserId = PSPUBUSER
。确认
OAMSSO_AUTHENTICATION
函数的用户标头为PS_SSO_UID
。保存记录定义。
测试 Oracle PeopleSoft 应用程序
若要测试 Oracle PeopleSoft 应用程序,请验证应用程序标头、策略和整体测试。 如果需要,请使用标头和策略模拟来验证标头字段和策略执行。
为了确认 Oracle PeopleSoft 应用程序访问是否可以正常进行,会出现一个提示,要求使用 Microsoft Entra 帐户进行登录。 系统会检查凭据并显示 Oracle PeopleSoft。
后续步骤
- 视频:通过 Datawiza 使用 Microsoft Entra ID 为 Oracle JD Edwards 启用 SSO 和 MFA
- 教程:使用 Microsoft Entra ID 和 Datawiza 配置安全混合访问
- 教程:为 Azure AD B2C 配置 Datawiza 以提供安全的混合访问权限
- 转到 docs.datawiza.com 获取 Datawiza 用户指南