教學課程:設定 Datawiza 以啟用 Microsoft Entra 多重要素驗證和 Oracle PeopleSoft 單一登入
在本教學課程中,了解如何使用 Datawiza Access Proxy (DAP),為 Oracle PeopleSoft 應用程式啟用 Microsoft Entra 單一登入 (SSO) 和 Microsoft Entra 多重要素驗證。
使用 DAP 整合應用程式與 Microsoft Entra ID 的優點:
- 使用零信任擁抱主動式安全性:一種安全性模型,可適應現代化環境並支援混合式工作場所,同時可保護人員、裝置、應用程式和資料
- Microsoft Entra 單一登入:使用裝置從任何位置安全且順暢地存取使用者和應用程式
- 運作方式:Microsoft Entra 多重要素驗證:使用者在登入期間中經提示而提供多種形式的識別,例如,在其行動電話上輸入代碼或提供指紋掃描
- 何謂條件式存取? - 原則是 if-then 陳述式,如果使用者想要存取資源,則必須完成動作
- 在 Microsoft Entra ID 中使用無程式碼 Datawiza 進行簡單的驗證和授權:使用 Web 應用程式 (例如,Oracle JDE、Oracle E-Business Suite、Oracle Sibel 和自產的應用程式)
- 使用 Datawiza Cloud Management Console (DCMC):管理公用雲端和內部部署中對應用程式的存取
案例描述
此案例專注於使用 HTTP 授權標頭的 Oracle PeopleSoft 應用程式整合,以管理對受保護內容的存取。
在舊版應用程式中,由於缺少新式通訊協定支援,因此很難與 Microsoft Entra SSO 直接整合。 Datawiza Access Proxy (DAP) 透過通訊協定轉換消除舊版應用程式與新式識別碼控制平面之間的差距。 DAP 可降低整合額外負荷、節省工程時間,並改善應用程式安全性。
案例架構
案例解決方案具有下列主要元件:
- Microsoft Entra ID:身分識別和存取管理服務,能協助使用者登入及存取外部與內部資源
- Datawiza Access Proxy (DAP):容器型反向 Proxy,可對使用者登入流程實作 OpenID Connect (OIDC)、OAuth 或安全性聲明標記語言 (SAML)。 其會明確透過 HTTP 標頭將身分識別傳遞至應用程式。
- Datawiza Cloud Management Console (DCMC):系統管理員使用 UI 和 RESTful API 管理 DAP,以設定 DAP 並存取控制原則
- Oracle PeopleSoft 應用程式:要透過 Microsoft Entra ID 和 DAP 保護的舊版應用程式
深入了解:Datawiza 和 Microsoft Entra 驗證架構
必要條件
請確保已符合下列必要條件。
- Azure 訂用帳戶
- 如果沒有訂用帳戶,您可以取得 Azure 免費帳戶
- 連結至 Azure 訂用帳戶的 Microsoft Entra 租用戶
- Docker 與 Docker Compose
- 前往 docs.docker.com 以取得 Docker 並安裝 Docker Compose
- 從內部部署目錄同步至 Microsoft Entra ID 的使用者身分識別,或在 Microsoft Entra ID 中建立並流回內部部署目錄的使用者身分識別
- 擁有 Microsoft Entra ID 和應用程式系統管理員角色的帳戶
- Oracle PeopleSoft 環境
- (選用) 要透過 HTTPS 發佈服務的 SSL Web 憑證。 您可以使用預設的 Datawiza 自我簽署憑證進行測試。
開始使用 DAP
若要整合 Oracle PeopleSoft 與 Microsoft Entra ID,請執行下列動作:
登入 Datawiza Cloud Management Console (DCMC)。
[歡迎] 頁面隨即出現。
選取橙色 [開始] 按鈕。
![螢幕擷取畫面:[開始使用] 按鈕。](media/datawiza-sso-oracle-peoplesoft/getting-started-button.png)
在 [名稱] 和 [描述] 欄位中,輸入資訊。
![螢幕擷取畫面:[部署名稱] 底下的 [名稱] 欄位。](media/datawiza-sso-oracle-peoplesoft/deployment-details.png)
選取 [下一步]。
[新增應用程式] 對話方塊隨即顯示。
對於 [平台],選取 [Web]。
對於 [應用程式名稱],輸入唯一的應用程式名稱。
於對 [公用網域],以使用
https://ps-external.example.com為例。 如需測試,您可以使用 localhost DNS。 若未在負載平衡器後面部署 DAP,請使用公用網域連接埠。對於 [接聽連接埠],選取 DAP 接聽的連接埠。
對於 [上游伺服器],選取要保護的 Oracle PeopleSoft 實作 URL 和連接埠。
![螢幕擷取畫面;[新增應用程式] 底下的項目。](media/datawiza-sso-oracle-peoplesoft/add-application.png)
- 選取 [下一步]。
- 在 [設定 IdP] 對話方塊中,輸入資訊。
注意
DCMC 具有單鍵整合,可協助完成 Microsoft Entra 設定。 DCMC 會呼叫 Microsoft Graph API,代表您在 Microsoft Entra 租用戶中建立應用程式註冊。 若要深入了解,請參閱 docs.datawiza.com 上與 Microsoft Entra ID 的單鍵整合 (英文)
- 選取 建立。
![螢幕擷取畫面;[設定 IDP] 底下的項目。](media/datawiza-sso-oracle-peoplesoft/configure-idp.png)
- [DAP 部署] 頁面隨即顯示。
- 記下部署 Docker Compose 檔案。 此檔案包含 DAP 映像、佈建金鑰和佈建秘密,其會從 DCMC 提取最新的設定和原則。
SSO 和 HTTP 標頭
DAP 會從識別提供者 (IdP) 取得使用者屬性,並使用標頭或 Cookie 將其傳遞至上游應用程式。
Oracle PeopleSoft 應用程式必須辨識使用者。 應用程式會使用名稱,指示 DAP 透過 HTTP 標頭將 IdP 中的值傳遞至應用程式。
在 Oracle PeopleSoft 中,從左側導覽中選取 [應用程式]。
選取 [屬性傳遞] 子索引標籤。
對於 [欄位],選取 [電子郵件]。
對於 [預期],選取 [PS_SSO_UID]。
對於 [類型],選取 [標頭]。
![螢幕擷取畫面:包含 [欄位]、[預期] 和 [類型] 項目的 [屬性傳遞] 功能。](media/datawiza-sso-oracle-peoplesoft/attribute-pass.png)
注意
此設定會使用 Microsoft Entra 使用者主體名稱,作為 Oracle PeopleSoft 的登入使用者名稱。 若要使用另一個使用者身分識別,請移至 [對應] 索引標籤。
SSL 組態
選取 [進階] 索引標籤。
![螢幕擷取畫面:[應用程式詳細資料] 底下的 [進階] 索引標籤。](media/datawiza-sso-oracle-peoplesoft/advanced-configuration.png)
選取 [啟用 SSL]。
從 [憑證類型] 下拉式清單中,選取一個類型。
![螢幕擷取畫面:包含可用選項 ([自我簽署] 和 [上傳] ) 的 [憑證類型] 下拉式清單。](media/datawiza-sso-oracle-peoplesoft/cert-type-new.png)
有一個自我簽署憑證供測試設定之用。
![螢幕擷取畫面:已選取 [自我簽署] 的 [憑證類型] 選項。](media/datawiza-sso-oracle-peoplesoft/self-signed-cert.png)
注意
您可以從檔案上傳憑證。
![螢幕擷取畫面:[進階設定] 底下 [選取選項] 的 [檔案型] 項目。](media/datawiza-sso-oracle-peoplesoft/cert-upload-new.png)
選取 [儲存]。
啟用 Microsoft Entra 多重要素驗證
提示
根據您從中開始的入口網站,本文中的步驟可能會略有不同。
若要提供更多登入安全性,您可以強制執行 Microsoft Entra 多重要素驗證。
深入了解:教學課程:使用 Microsoft Entra 多重要素驗證維護使用者登入事件的安全
- 以應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]> [概觀]> [屬性] 索引標籤。
- 在 [安全性預設值] 底下,選取 [管理安全性預設值]。
- 在 [安全性預設值] 窗格中,切換下拉式功能表以選取 [已啟用]。
- 選取 [儲存]。
在 Oracle PeopleSoft 主控台中啟用 SSO
如何在 Oracle PeopleSoft 環境中啟用 SSO:
使用系統管理員認證 (例如 PS/PS) 登入 PeopleSoft 主控台
http://{your-peoplesoft-fqdn}:8000/psp/ps/?cmd=start。
將預設的公用存取使用者新增至 PeopleSoft。
從主功能表中,瀏覽至 [PeopleTools]>[安全性]>[使用者設定檔]>[使用者設定檔]>[新增值]。
選取 [新增值]。
建立使用者 PSPUBUSER。
輸入密碼。
選取 [識別碼] 索引標籤。
對於 [識別碼類型],選取 [無]。
![螢幕擷取畫面:[識別碼] 索引標籤上 [識別碼類型] 的 [無] 選項。](media/datawiza-sso-oracle-peoplesoft/id-type.png)
瀏覽至 [PeopleTools]>[Web 設定檔]>[Web 設定檔設定]>[搜尋]>[PROD]>[安全性]。
在 [公用使用者] 底下,選取 [允許公用存取] 方塊。
對於 [使用者識別碼],輸入 PSPUBUSER。
輸入密碼。
![螢幕擷取畫面:[允許公用存取]、[使用者識別碼] 和 [密碼] 選項。](media/datawiza-sso-oracle-peoplesoft/web-profile-config.png)
選取 [儲存]。
若要啟用 SSO,請瀏覽至 [PeopleTools]>[安全性]>[安全性物件]>[登入 PeopleCode]。
選取 [登入 PeopleCode] 頁面。
啟用 OAMSSO_AUTHENTICATION。
選取 [儲存]。
若要使用 PeopleTools 應用程式設計工具設定 PeopleCode,請瀏覽至 [檔案] > [開啟] > [定義:記錄] > [名稱:
FUNCLIB_LDAP]。開啟 FUNCLIB_LDAP。
![螢幕擷取畫面:[開啟定義] 對話方塊。](media/datawiza-sso-oracle-peoplesoft/selection-criteria.png)
選取記錄。
選取 [LDAPAUTH] > [檢視 PeopleCode]。
搜尋
getWWWAuthConfig()函式Change &defaultUserId = ""; to &defaultUserId = PSPUBUSER。確認用戶標頭適用於
PS_SSO_UIDOAMSSO_AUTHENTICATION函式。儲存記錄定義。
測試 Oracle PeopleSoft 應用程式
若要測試 Oracle PeopleSoft 應用程式,請驗證應用程式標頭、原則和整體測試。 如有必要,請使用標頭和原則模擬來驗證標頭欄位和原則執行。
若要確認 Oracle PeopleSoft 應用程式存取正確發生,有一個提示會顯示,要求使用 Microsoft Entra 帳戶進行登入。 系統會檢查認證,且 Oracle PeopleSoft 隨即出現。
下一步
- 影片:透過 Datawiza 使用 Microsoft Entra ID 為 Oracle JD Edwards 啟用 SSO 和 MFA
- 教學課程:使用 Microsoft Entra ID 和 Datawiza 設定安全的混合式存取
- 教學課程:使用 Datawiza 設定 Azure AD B2C 以提供安全的混合式存取
- 前往 docs.datawiza.com 以取得 Datawiza 使用者指南 (英文)
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: