分享方式:

教學課程:設定 Datawiza 以啟用 Microsoft Entra 多重要素驗證和 Oracle JD Edwards 單一登入

  • 文章

在本教學課程中,了解如何使用 Datawiza Access Proxy (DAP),為 Oracle JD Edwards (JDE) 應用程式啟用 Microsoft Entra 單一登入 (SSO) 和 Microsoft Entra 多重要素驗證。

深入了解 Datawiza Access Proxy

使用 DAP 整合應用程式與 Microsoft Entra ID 的優點:

案例描述

此案例專注於使用 HTTP 授權標頭的 Oracle JDE 應用程式整合,以管理對受保護內容的存取。

在舊版應用程式中,由於缺少新式通訊協定支援,因此很難與 Microsoft Entra SSO 直接整合。 DAP 可透過通訊協定轉換消除舊版應用程式與新式識別碼控制平面之間的差距。 DAP 可降低整合額外負荷、節省工程時間,並改善應用程式安全性。

案例架構

案例解決方案具有下列主要元件:

  • Microsoft Entra ID:身分識別和存取管理服務,能協助使用者登入及存取外部與內部資源
  • Oracle JDE 應用程式:受 Microsoft Entra ID 保護的舊版應用程式
  • Datawiza Access Proxy (DAP):容器型反向 Proxy,可對使用者登入流程實作 OpenID Connect (OIDC)、OAuth 或安全性聲明標記語言 (SAML)。 其會明確透過 HTTP 標頭將身分識別傳遞至應用程式。
  • Datawiza Cloud Management Console (DCMC):用來管理 DAP 的主控台。 系統管理員會使用 UI 和 RESTful API 來設定 DAP 與存取控制原則。

深入了解:Datawiza 和 Microsoft Entra 驗證架構

必要條件

請確保已符合下列必要條件。

開始使用 DPM

若要整合 Oracle JDE 與 Microsoft Entra ID,請執行下列動作:

  1. 登入 Datawiza Cloud Management Console。

  2. [歡迎] 頁面隨即出現。

  3. 選取橙色 [開始] 按鈕。

    螢幕擷取畫面:[開始使用] 按鈕。

  4. 在 [名稱] 和 [描述] 欄位中,輸入資訊。

  5. 選取 [下一步]。

    螢幕擷取畫面:[部署名稱] 底下的 [名稱] 欄位和 [下一步] 按鈕。

  6. 在 [新增應用程式] 對話方塊上,為 [平台] 選取 [Web]

  7. 對於 [應用程式名稱],輸入唯一的應用程式名稱。

  8. 於對 [公用網域],以輸入 https://jde-external.example.com 為例。 若要測試設定,您可以使用 localhost DNS。 若未在負載平衡器後面部署 DAP,請使用 [公用網域] 連接埠。

  9. 對於 [接聽連接埠],選取 DAP 接聽的連接埠。

  10. 對於 [上游伺服器],選取要保護的 Oracle JDE 實作 URL 和連接埠。

  11. 選取 [下一步]。

螢幕擷取畫面:[公用網域]、[接聽連接埠] 和 [上游伺服器] 項目。

  1. 在 [設定 IdP] 對話方塊中,輸入資訊。

注意

使用 DCMC 單鍵整合可協助完成 Microsoft Entra 設定。 DCMC 會呼叫 Graph API,代表您在 Microsoft Entra 租用戶中建立應用程式註冊。 前往 docs.datawiza.com 以參閱與 Microsoft Entra ID 的單鍵整合 (英文)。

  1. 選取 建立

螢幕擷取畫面:[通訊協定]、[識別提供者] 和 [支援的帳戶類型] 項目,以及 [建立] 按鈕。

  1. [DAP 部署] 頁面隨即顯示。

  2. 記下部署 Docker Compose 檔案。 此檔案包含 DAP 映像、佈建金鑰和佈建秘密,其會從 DCMC 提取最新的設定和原則。

    螢幕擷取畫面:Docker 項目。

SSO 和 HTTP 標頭

DAP 會從 IdP 取得使用者屬性,並使用標頭或 Cookie 將其傳遞至上游應用程式。

Oracle JDE 應用程式必須辨識使用者:應用程式會使用名稱,指示 DAP 透過 HTTP 標頭將 IdP 中的值傳遞至應用程式。

  1. 在 Oracle JDE 中,從左側導覽中選取 [應用程式]

  2. 選取 [屬性傳遞] 子索引標籤。

  3. 對於 [欄位],選取 [電子郵件]

  4. 對於 [預期],選取 [JDE_SSO_UID]

  5. 對於 [類型],選取 [標頭]

    螢幕擷取畫面:[屬性傳遞] 索引標籤上的資訊。

    注意

    此設定會使用 Microsoft Entra 使用者主體名稱,作為 Oracle JDE 所使用的登入使用者名稱。 若要使用另一個使用者身分識別,請移至 [對應] 索引標籤。

    螢幕擷取畫面:userPrincipalName 項目。

  6. 選取 [進階] 索引標籤。

    螢幕擷取畫面:[進階] 索引標籤上的資訊。

    螢幕擷取畫面:[屬性傳遞] 索引標籤上的資訊。

  7. 選取 [啟用 SSL]

  8. 從 [憑證類型] 下拉式清單中,選取一個類型。

    螢幕擷取畫面:顯示 [憑證類型] 下拉式清單。

  9. 基於測試目的,我們將提供自我簽署憑證。

    螢幕擷取畫面:顯示 [啟用 SSL] 功能表。

    注意

    您可以選擇從檔案上傳憑證。

    螢幕擷取畫面:顯示從檔案上傳憑證選項。

  10. 選取 [儲存]。

啟用 Microsoft Entra 多重要素驗證

提示

根據您從中開始的入口網站,本文中的步驟可能會略有不同。

若要為登入提供更多安全性,您可以對使用者登入強制執行 MFA。

請參閱教學課程:使用 Microsoft Entra 多重要素驗證維護使用者登入事件的安全

  1. 應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]> [概觀]> [屬性] 索引標籤。
  3. 在 [安全性預設值] 底下,選取 [管理安全性預設值]
  4. 在 [安全性預設值] 窗格中,切換下拉式功能表以選取 [已啟用]
  5. 選取 [儲存]。

在 Oracle JDE EnterpriseOne 主控台中啟用 SSO

若要在 Oracle JDE 環境中啟用 SSO:

  1. 以系統管理員身分登入 Oracle JDE EnterpriseOne 伺服器管理員管理主控台。

  2. 在 [選取執行個體] 中,選取 [EnterpriseOne HTML Server] 上方的選項。

  3. 在 [設定] 圖格中,選取 [檢視為進階]

  4. 選取安全性

  5. 選取 [啟用 Oracle Access Manager] 核取方塊。

  6. 在 [Oracle Access Manager 登出 URL] 欄位中,輸入 datawiza/ab-logout

  7. 在 [安全性伺服器設定] 區段中,選取 [套用]

  8. 選取 [停止]。

    注意

    如果訊息指出 Web 伺服器設定 (jas.ini) 過期,請選取 [同步設定]

  9. 選取 [開始]。

測試 Oracle JDE 型應用程式

若要測試 Oracle JDE 應用程式,請驗證應用程式標頭、原則和整體測試。 如有必要,請使用標頭和原則模擬來驗證標頭欄位和原則執行。

若要確認 Oracle JDE 應用程式存取發生,有一個提示會顯示,要求使用 Microsoft Entra 帳戶進行登入。 系統會檢查認證,且 Oracle JDE 隨即出現。

下一步