Tutoriel : Configurer Datawiza pour activer l’authentification multifacteur Microsoft Entra et l’authentification unique pour l’EPM Oracle Hyperion

Utilisez ce tutoriel pour activer l’authentification multifacteur Microsoft Entra et l’authentification unique (SSO) pour Oracle Hyperion Enterprise Performance Management (EPM) à l’aide du proxy d’accès Datawiza (DAP).

En savoir plus sur datawiza.com.

Avantages de l’intégration d’applications avec Microsoft Entra ID à l’aide de DAP :

• Adopter une sécurité proactive avec la Confiance Zéro : modèle de sécurité qui s’adapte aux environnements modernes et adopte un espace de travail hybride, tout en protégeant les personnes, les appareils, les applications et les données
• Authentification unique Microsoft Entra : accès sécurisé et transparent pour les utilisateurs et les applications, où qu'ils soient, à l'aide d'un appareil
• Fonctionnement : authentification multifacteur Microsoft Entra : les utilisateurs sont invités lors de la connexion à fournir des formes d’identification, comme un code sur leur téléphone portable ou une analyse de leurs empreintes digitales
• Qu’est-ce que l’accès conditionnel ? - les stratégies sont des instructions if-then : si un utilisateur souhaite accéder à une ressource, il doit effectuer une action
• Authentification et autorisation faciles dans Microsoft Entra ID avec Datawiza sans code : utilisez des applications web comme Oracle JDE, Oracle E-Business Suite, Oracle Siebel et des applications développées en interne
• Utilisation de la console DCMC (Datawiza Cloud Management Console) : pour gérer l’accès aux applications dans les clouds publics et en local

Description du scénario

Ce scénario se concentre sur l’intégration d’un EPM Oracle Hyperion en utilisant des en-têtes d’autorisation HTTP pour gérer l’accès au contenu protégé.

En raison de l’absence de prise en charge d’un protocole moderne dans les applications héritées, une intégration directe avec l’authentification unique Microsoft Entra est difficile. Le proxy d’accès Datawiza (DAP) comble le vide entre l’application héritée et le plan de contrôle d’identité moderne, via une transition de protocole. DAP réduit la surcharge d’intégration, fait gagner du temps d’ingénierie et améliore la sécurité des applications.

Architecture du scénario

Cette solution utilise les composants suivants :

• Microsoft Entra ID : service de gestion des identités et des accès qui permet aux utilisateurs de se connecter et d’accéder à des ressources internes et externes
• Datawiza Access Proxy (DAP) : Proxy inverse basé sur un conteneur qui implémente OIDC (OpenID Connect), OAuth ou SAML (Security Assertion Markup Language) pour le processus de connexion utilisateur. Il transmet de façon transparente les identités aux applications via des en-têtes HTTP.
• Datawiza Cloud Management Console (DCMC) : les administrateurs gèrent DAP avec l’interface utilisateur et les API RESTful pour configurer des stratégies DAP et de contrôle d’accès
• EPM Oracle Hyperion : application héritée à protéger par Microsoft Entra ID et le DAP

Découvrez le flux initié par le fournisseur de services dans l’architecture Datawiza avec l’authentification Microsoft Entra.

Prérequis

Vérifiez que les prérequis suivants sont remplis :

• Un abonnement Azure
  • Si vous n’en avez pas déjà un, vous pouvez obtenir un compte Azure gratuit.
• Locataire Microsoft Entra lié à l’abonnement Azure
  • Consultez Démarrage rapide : Créer un locataire dans Microsoft Entra ID
• Docker et Docker Compose
  • Accédez à docs.docker.com pour Obtenir Docker et Installer Docker Compose
• Identités des utilisateurs synchronisées à partir d'un annuaire sur site vers Microsoft Entra ID, ou créées dans Microsoft Entra ID et renvoyées vers un annuaire sur site
  • Voir Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation
• Un compte avec Microsoft Entra ID et le rôle d'administrateur d'application
  • Rendez-vous à Rôles intégrés Microsoft Entra, tous les rôles
• Un environnement EMP Oracle Hyperion
  • (Facultatif) Un certificat web SSL pour publier les services sur HTTPS. Vous pouvez utiliser des certificats auto-signés Datawiza par défaut pour les tests.

Bien démarrer avec DAP

Pour intégrer l’EMP Oracle Hyperion à Microsoft Entra ID :

1. Connectez-vous à Datawiza Cloud Management Console (DCMC).

2. La page d’accueil s’affiche.

3. Sélectionnez le bouton orange Getting started.

   

4. Sous Nom du déploiement, entrez les valeurs dans les champs Nom et Description.

   

5. Cliquez sur Suivant.

6. La boîte de dialogue Ajouter une application s’affiche.

7. Pour Plateforme, sélectionnez Web.

8. Pour Nom de l’application, entrez un nom d’application unique.

9. Pour Domaine public, par exemple, utilisez https://hyperion.example.com. Pour les tests, vous pouvez utiliser le système DNS localhost. Si vous ne déployez pas DAP derrière un équilibreur de charge, utilisez le port Domaine public.

10. Pour Écouter le port, sélectionnez le port sur lequel DAP écoute.

11. Sous Serveurs en amont, sélectionnez l’URL et le port d’implémentation Oracle Hyperion à protéger.

12. Cliquez sur Suivant.

13. Sur Ajouter une application, entrez des informations. Notez les exemples d’entrées pour les champs Domaine public, Port d’écoute et Serveurs en amont.

14. Cliquez sur Suivant.

15. Dans la boîte de dialogue Configurer l’IdP, entrez les informations appropriées.

Remarque

Dans la console de gestion cloud Datawiza (DCMC), utilisez l’Intégration en un clic pour terminer la configuration. DCMC appelle l'API Microsoft Graph pour créer une inscription d'application en votre nom dans votre locataire Microsoft Entra.

16. Sélectionnez Créer.

17. La page de déploiement de DAP s’affiche.

18. Notez le fichier Docker Compose de déploiement. Le fichier comprend l’image du DAP, ainsi que la clé d’approvisionnement et le secret d’approvisionnement, qui tirent la dernière configuration et les dernières stratégies de la console DCMC.

    

19. Cliquez sur Terminé.

En-têtes SSO et HTTP

DAP obtient les attributs utilisateur auprès du fournisseur d’identité (IdP) et les transmet à l’application en amont avec un en-tête ou un cookie.

Les instructions suivantes permettent à l’application d’EPM Oracle Hyperion de reconnaître l’utilisateur. Avec un nom, il indique au DAP de transmettre les valeurs de l’IdP à l’application via l’en-tête HTTP.

1. Dans le volet de navigation gauche, sélectionnez Applications.

2. Recherchez l’application que vous avez créée.

3. Sélectionnez le sous-onglet Attribute Pass.

4. Pour Champ, sélectionnez E-mail.

5. Pour Attendu, sélectionnez HYPLOGIN.

6. Pour Type, sélectionnez Header.

   

   Remarque

   Cette configuration utilise le nom d’utilisateur principal Microsoft Entra pour le nom d’utilisateur de connexion, qui est utilisé par Oracle Hyperion. Pour utiliser une autre identité utilisateur, accédez à l’onglet Mappages.

   

Configuration SSL

Utilisez les instructions suivantes pour la configuration SSL.

1. Sélectionnez l'onglet Avancé .

   

2. Sous l’onglet SSL , sélectionnez Activer SSL.

3. Dans la liste déroulante Type de certificat, sélectionnez le type. Pour tester, un certificat auto-signé est disponible.

   

   Remarque

   Vous pouvez charger un certificat à partir d’un fichier.

   

4. Cliquez sur Enregistrer.

URI de redirection de connexion et de déconnexion

Utilisez les instructions suivantes pour indiquer l’URI de redirection de connexion et l’URI de redirection de déconnexion.

1. Sélectionnez l’onglet Options avancées.

2. Pour URI de redirection de connexion et URI de redirection de déconnexion, entrez /workspace/index.jsp.

   

3. Cliquez sur Enregistrer.

Activer l’authentification multifacteur Microsoft Entra

Pour renforcer la sécurité des connexions, vous pouvez appliquer l'authentification multifacteur Microsoft Entra.

En savoir plus dans le Tutoriel : Sécuriser les événements de connexion des utilisateurs avec l’authentification multifacteur Microsoft Entra

1. Connectez-vous au Portail Azure avec le rôle d’administrateur d’application.
2. Sélectionnez Microsoft Entra ID>Gérer>Propriétés.
3. Sous Propriétés, sélectionnez Gérer les paramètres de sécurité par défaut.
4. Sous Activer les paramètres de sécurité par défaut, sélectionnez Oui.
5. Sélectionnez Enregistrer.

Activer l’authentification unique dans la console de services partagés Oracle Hyperion

Utilisez les instructions suivantes pour activer l’authentification unique dans l’environnement Oracle Hyperion.

1. Connectez-vous à la console de service partagé Hyperion avec des autorisations d’administrateur. Par exemple : http://{your-hyperion-fqdn}:19000/workspace/index.jsp.

2. Sélectionnez Naviguer, puis Console de services partagés.

   

3. Sélectionnez Administration, puis Configurer les répertoires utilisateur.

4. Sélectionnez l’onglet Options de sécurité.

5. Dans Configuration de l’authentification unique, cochez la case Activer l’authentification unique.

6. Dans la liste déroulante Fournisseur d’authentification unique ou agent, sélectionnez Autre.

7. Dans la liste déroulante Mécanisme d’authentification unique, sélectionnez En-tête HTTP personnalisé.

8. Dans le champ suivant, entrez HYPLOGIN, le nom d’en-tête que l’agent de sécurité passe à l’EMP.

9. Cliquez sur OK.

   

Mettre à jour les paramètres d’URL post-déconnexion dans l’espace de travail de l’EMP

1. Sélectionnez Naviguer.

2. Dans Administrer, sélectionnez Paramètres de l’espace de travail, puis Paramètres du serveur.

   

3. Dans la boîte de dialogue Paramètres du serveur d’espace de travail, pour URL post-déconnexion, sélectionnez l’URL que les utilisateurs voient lorsqu’ils se déconnectent de l’EPM, /datawiza/ab-logout.

4. Cliquez sur OK.

   

Tester une application de l’EMP Oracle Hyperion

Pour confirmer l’accès à l’application Oracle Hyperion, une invite s’affiche proposant d’utiliser un compte Microsoft Entra pour la connexion. Les informations d’identification sont vérifiées et la page d’accueil de l’EPM Oracle Hyperion s’affiche.

Étapes suivantes

• Tutoriel : Configurer l'accès hybride sécurisé avec Microsoft Entra ID et Datawiza
• Tutoriel : Configurer Azure AD B2C avec Datawiza pour fournir un accès hybride sécurisé
• Accédez à Datawiza pour Ajouter l’authentification unique et l’authentification multifacteur à l’EPM Oracle Hyperion en quelques minutes
• Accédez à docs.datawiza.com pour consulter les guides de l’utilisateur Datawiza