教程：配置 Datawiza 以便为 Oracle PeopleSoft 启用 Microsoft Entra 多重身份验证和单一登录

项目
01/30/2024

本教程介绍如何使用 Datawiza 访问代理 (DAP) 为 Oracle PeopleSoft 应用程序启用 Microsoft Entra 单一登录 (SSO) 和 Microsoft Entra 多重身份验证。

使用 DAP 将应用程序与Microsoft Entra ID 集成的好处：

通过零信任实现主动安全性 - 一种适应新式环境并支持混合工作场所的安全模型，同时可以保护人员、设备、应用和数据
Microsoft Entra 单一登录 - 使用设备从任何位置安全无缝地访问用户和应用
工作原理：Microsoft Entra 多重身份验证 - 在登录期间，系统会提示用户输入身份验证形式，例如手机上的验证码或指纹扫描
什么是条件访问？ - 策略是 if-then 语句；如果用户想要访问资源，他们必须完成一个操作
使用无代码 Datawiza 在 Microsoft Entra ID 中轻松进行身份验证和授权 - 使用 Web 应用程序，例如：Oracle JDE、Oracle E-Business Suite、Oracle Sibel 和本土应用
使用 Datawiza Cloud Management Console (DCMC) - 管理对公有云中的应用程序和本地应用程序的访问

方案描述

本方案重点介绍如何凭借使用 HTTP 授权标头的 Oracle PeopleSoft 应用程序集成来管理对受保护内容的访问。

在旧式应用程序中，由于缺乏新式协议支持，很难与 Microsoft Entra SSO 直接集成。 Datawiza 访问代理 (DAP) 通过协议转换来弥补旧版应用程序和新式 ID 控制平面之间的差距。 DAP 降低了集成开销、节省了工程时间，并提高了应用程序的安全性。

方案体系结构

方案解决方案使用以下组件：

Microsoft Entra ID - 标识和访问管理服务，可帮助用户登录以及访问内部和外部资源
Datawiza 访问代理 (DAP) - 基于容器的反向代理，为用户登录流实现 OpenID Connect (OIDC)、OAuth 或安全断言标记语言 (SAML)。它通过 HTTP 标头以透明方式将标识传递给应用程序。
Datawiza 云管理控制台 (DCMC) - 管理员使用 UI 和 RESTful API 管理 DAP，配置 DAP 和访问控制策略
Oracle PeopleSoft 应用程序 - 通过 Microsoft Entra ID 和 DAP 保护的旧版应用程序

了解详情：Datawiza 和 Microsoft Entra 身份验证体系结构

先决条件

请确保满足以下先决条件。

一个 Azure 订阅
- 如果没有，可以获取一个 Azure 免费帐户
链接到 Azure 订阅的 Microsoft Entra 租户
- 请参阅快速入门：使用 Microsoft Entra ID 创建新租户
Docker 和 Docker Compose
- 转到 docs.docker.com 以获取 Docker 并安装 Docker Compose
从本地目录同步到 Microsoft Entra ID 的用户标识，或在 Microsoft Entra ID 中创建并流回本地目录的用户标识
- 请参阅 Microsoft Entra Connect 同步：了解和自定义同步
具有 Microsoft Entra ID 和应用程序管理员角色的帐户
- 查看 Microsoft Entra 内置角色和所有角色
一个 Oracle PeopleSoft 环境
（可选）SSL Web 证书，用于通过 HTTPS 发布服务。可以使用默认 Datawiza 自签名证书进行测试。

开始使用 DAP

将 Oracle PeopleSoft 与 Microsoft Entra ID 集成：

登录到 Datawiza 云管理控制台 (DCMC)。
显示“欢迎”页面。
选择橙色的“开始使用”按钮。
在“名称”和“说明”字段中，输入信息。
选择“下一页”。
此时将出现“添加应用程序”对话框。
为“平台”选择“Web”。
为“应用名称”输入唯一的应用程序名称。
对于“公共域”，例如使用 https://ps-external.example.com。若要进行测试，可以使用 localhost DNS。如果未在负载均衡器后面部署 DAP，请使用“公共域”端口。
为“侦听端口”选择 DAP 侦听的端口。
为“上游服务器”选择要保护的 Oracle PeopleSoft 实现 URL 和端口。

屏幕截图为“添加应用程序”下的条目。

选择“下一页”。
在“配置 IdP”对话框中输入信息。

注意

DCMC 提供一键式集成来帮助完成 Microsoft Entra 配置。 DCMC 调用 Microsoft Graph API 在你的 Microsoft Entra 租户中代表你创建应用程序注册。在 docs.datawiza.com 上的与 Microsoft Entra ID 的一键式集成中了解详细信息

选择创建。

屏幕截图为“配置 IDP”下的条目。

会显示 DAP 部署页。
记下部署 Docker Compose 文件。该文件包含 DAP 映像，以及从 DCMC 拉取最新配置和策略的预配密钥和预配机密。

屏幕截图为三组 Docker 信息。

SSO 和 HTTP 标头

DAP 从标识提供者 (IdP) 获取用户属性，并使用标头或 Cookie 将其传递给上游应用程序。

Oracle PeopleSoft 应用程序需要识别用户。使用名称和应用程序指示 DAP，通过 HTTP 标头将 IdP 中的值传递给应用程序。

在 Oracle PeopleSoft 的左侧导航中选择“应用程序”。
选择“属性传递”子选项卡。
为“字段”选择“电子邮件”。
为“预期”选择“PS_SSO_UID”。
为“类型”，选择“标头”。

注意

此配置使用 Microsoft Entra 用户主体名称作为 Oracle PeopleSoft 的登录用户名。若要使用其他用户标识，请转到“映射”选项卡。

SSL 配置

选择“高级”选项卡。
选择“启用 SSL”。
从“证书类型”下拉列表中选择一种类型。
为了测试配置，会有一个自签名证书。

注意

可以从文件上传证书。
选择“保存”。

启用 Microsoft Entra 多重身份验证

提示

本文中的步骤可能因开始使用的门户而略有不同。

若要为登录提供更高的安全性，可以强制实施 Microsoft Entra 多重身份验证。

了解详情：教程：使用 Microsoft Entra 多重身份验证保护用户登录事件

以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“概述”>“属性”选项卡。
在“安全默认值”下，选择“管理安全默认值”。
在“安全默认值”窗格中，切换下拉菜单以选择“启用”。
选择“保存”。

在 Oracle PeopleSoft 控制台中启用 SSO

若要在 Oracle PeopleSoft 环境中启用 SSO，请执行以下操作：

使用管理员凭据（例如 PS/PS）登录到 PeopleSoft 控制台 http://{your-peoplesoft-fqdn}:8000/psp/ps/?cmd=start。
将默认公共访问用户添加到 PeopleSoft。
在主菜单中，导航到“PeopleTools”>“安全性”>“用户配置文件”>“用户配置文件”>“添加新值”。
选择“添加新值”。
创建用户 PSPUBUSER。
输入密码。
选择“ID”选项卡。
为“ID 类型”选择“无”。
导航到“PeopleTools”>“Web 配置文件”>“Web 配置文件配置”>“搜索”>“PROD”>“安全性”。
在“公共用户”下，选中“允许公共访问”方框。
为“用户 ID”输入“PSPUBUSER”。
输入密码。
选择“保存”。
若要启用 SSO，请导航到“PeopleTools”>“安全性”>“安全对象”>“Signon PeopleCode”。
选择“Signon PeopleCode”页。
启用“OAMSSO_AUTHENTICATION”。
选择“保存”。
若要使用 PeopleTools 应用程序设计器配置 PeopleCode，请导航到“文件”>“打开”>“定义: 记录”>“名称: FUNCLIB_LDAP”。
打开“FUNCLIB_LDAP”。
选择记录。
选择“LDAPAUTH”>“查看 PeopleCode”。
搜索 getWWWAuthConfig() 函数 Change &defaultUserId = ""; to &defaultUserId = PSPUBUSER。
确认 OAMSSO_AUTHENTICATION 函数的用户标头为 PS_SSO_UID。
保存记录定义。