Esercitazione: Configurare Datawiza per abilitare l'autenticazione a più fattori e l'accesso Single Sign-On a Oracle Hyperion EPM

Usare questa esercitazione per abilitare l'autenticazione a più fattori Di Microsoft Entra e l'accesso Single Sign-On (SSO) per Oracle Hyperion Enterprise Performance Management (EPM) usando Datawiza Access Proxy (DAP).

Altre informazioni su datawiza.com.

Vantaggi dell'integrazione di applicazioni con Microsoft Entra ID tramite DAP:

• Adottare la sicurezza proattiva con Zero Trust: un modello di sicurezza che si adatta agli ambienti moderni e supporta l'ambiente di lavoro ibrido, proteggendo al contempo persone, dispositivi, app e dati
• Accesso Single Sign-On di Microsoft Entra: accesso sicuro e facile per utenti e app, da qualsiasi posizione, tramite un dispositivo
• Come funziona: l'autenticazione a più fattori Di Microsoft Entra: agli utenti viene richiesto di eseguire l'accesso per le forme di identificazione, ad esempio un codice sul cellulare o un'analisi delle impronte digitali
• Informazioni sull'accesso condizionale : i criteri sono istruzioni if-then. Se un utente vuole accedere a una risorsa, deve completare un'azione
• Autenticazione e autorizzazione semplificate in Microsoft Entra ID con datawiza senza codice: usare applicazioni Web come Oracle JDE, Oracle E-Business Suite, Oracle Siebel e app di grandi dimensioni
• Usare Datawiza Cloud Management Console (DCMC): gestire l'accesso alle applicazioni nei cloud pubblici e in locale

Descrizione dello scenario

Questo scenario è incentrato sull'integrazione di Oracle Hyperion EPM usando le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto.

A causa dell'assenza di supporto del protocollo moderno nelle applicazioni legacy, un'integrazione diretta con Microsoft Entra SSO è complessa. Datawiza Access Proxy (DAP) consente di colmare il divario tra l'applicazione legacy e il piano di controllo delle identità moderno, tramite la transizione del protocollo. Datawiza Access Proxy riduce il sovraccarico di integrazione, consente di risparmiare tempo di progettazione e migliora la sicurezza delle applicazioni.

Architettura dello scenario

La soluzione include i componenti seguenti:

• Microsoft Entra ID: servizio di gestione delle identità e degli accessi che consente agli utenti di accedere a risorse esterne e interne
• Datawiza Access Proxy (DAP): proxy inverso basato su contenitore che implementa OpenID Connect (OIDC), OAuth o SAML (Security Assertion Markup Language) per il flusso di accesso utente. Passa l'identità in modo trasparente alle applicazioni tramite intestazioni HTTP.
• Datawiza Cloud Management Console (DCMC): gli amministratori gestiscono Datawiza Access Proxy con l'interfaccia utente e le API RESTful per configurare i criteri di controllo di accesso e Datawiza Access Proxy
• Oracle Hyperion EPM : applicazione legacy da proteggere da Microsoft Entra ID e DAP

Informazioni sul flusso avviato dal provider di servizi in Datawiza con l'architettura di autenticazione di Microsoft Entra.

Prerequisiti

Accertarsi di aver soddisfatto i prerequisiti seguenti:

• Una sottoscrizione di Azure.
  • Se non si ha una sottoscrizione, è possibile creare un account Azure gratuito
• Un tenant di Microsoft Entra collegato alla sottoscrizione di Azure
  • Vedere Guida introduttiva: Creare un nuovo tenant in Microsoft Entra ID
• Docker e Docker Compose
  • Passare a docs.docker.com per ottenere Docker e installare Docker Compose
• Identità utente sincronizzate da una directory locale a Microsoft Entra ID o create in Microsoft Entra ID e restituite a una directory locale
  • Vedere Microsoft Entra Connect Sync: Comprendere e personalizzare la sincronizzazione
• Un account con Microsoft Entra ID e il ruolo Amministratore di applicazioni
  • Vedere Ruoli predefiniti di Microsoft Entra, tutti i ruoli
• Un ambiente Oracle Hyperion EMP
  • (Facoltativo) Un certificato Web SSL per pubblicare i servizi tramite HTTPS. È possibile usare i certificati autofirmati predefiniti di Datawiza per il test.

Iniziare a usare Datawiza Access Proxy

Per integrare Oracle Hyperion EMP con Microsoft Entra ID:

1. Accedere a Datawiza Cloud Management Console (DCMC).

2. Viene visualizzata la pagina iniziale.

3. Selezionare il pulsante arancione Attività iniziali.

   

4. In Nome distribuzione nei campi Nome e Descrizione immettere le informazioni.

   

5. Selezionare Avanti.

6. Verrà visualizzata la finestra di dialogo Aggiungi applicazione .

7. Per Platform selezionare Web.

8. Per App Nameimmettere un nome di applicazione univoco.

9. Per Public Domain usare ad esempio https://hyperion.example.com. Per i test, è possibile usare il DNS localhost. Se non si distribuisce Datawiza Access Proxy dietro un servizio di bilanciamento del carico, usare la porta di dominio pubblico.

10. Per Porta di ascolto selezionare la porta su cui è in ascolto Datawiza Access Proxy.

11. Per Server Upstream selezionare l'URL e la porta di implementazione Di Oracle Hyperion da proteggere.

12. Selezionare Avanti.

13. In Aggiungi applicazione immettere le informazioni. Si notino le voci di esempio per i server Public Domain, Listen Port e Upstream.

14. Selezionare Avanti.

15. Nella finestra di dialogo Configura IdP immettere le informazioni pertinenti.

Nota

Usare Datawiza Cloud Management Console (DCMC) Con un clic di integrazione per completare la configurazione. DCMC chiama l'API Microsoft Graph per creare una registrazione dell'applicazione per conto dell'utente nel tenant di Microsoft Entra.

16. Seleziona Crea.

17. Verrà visualizzata la pagina di distribuzione di Datawiza Access Proxy.

18. Prendere nota del file Docker Compose di distribuzione. Il file include l'immagine DAP, anche la chiave di provisioning e il segreto di provisioning, che estraggono la configurazione e i criteri più recenti da DCMC.

19. Selezionare Fatto.

Accesso Single Sign-On e intestazioni HTTP

Datawiza Access Proxy ottiene gli attributi utente dal provider di identità (IdP) e li passa all'applicazione upstream con un'intestazione o un cookie.

Le istruzioni seguenti consentono all'applicazione Oracle Hyperion EPM di riconoscere l'utente. Usando un nome, indica a DAP di passare i valori dall'IdP all'applicazione tramite l'intestazione HTTP.

1. Nel riquadro di spostamento a sinistra selezionare Applicazioni.

2. Individuare l'applicazione creata.

3. Selezionare la scheda secondaria Passaggio attributi.

4. Per Field selezionare email.

5. Per Previsto selezionare HYPLOGIN.

6. Per Tipo selezionare Intestazione.

   

   Nota

   Questa configurazione usa il nome dell'entità utente Di Microsoft Entra per il nome utente di accesso, usato da Oracle Hyperion. Per un'altra identità utente, passare alla scheda Mapping .

   

Configurazione di SSL

Usare le istruzioni seguenti per la configurazione SSL.

1. Selezionare la scheda Avanzate.

   

2. Nella scheda SSL selezionare Abilita SSL.

3. Nell'elenco a discesa Tipo di certificato selezionare il tipo. Per i test, è disponibile un certificato autofirmato.

   

   Nota

   È possibile caricare un certificato da un file.

   

4. Seleziona Salva.

URI di reindirizzamento accesso e disconnessione

Usare le istruzioni seguenti per indicare l'URI di reindirizzamento di accesso e l'URI di reindirizzamento disconnessione.

1. Selezionare la scheda Opzioni avanzate.

2. Per URI di reindirizzamento account di accesso e URI di reindirizzamento disconnessione immettere /workspace/index.jsp.

   

3. Seleziona Salva.

Abilitare l'autenticazione a più fattori di Microsoft Entra

Per garantire maggiore sicurezza per gli accessi, è possibile applicare l'autenticazione a più fattori di Microsoft Entra.

Per altre informazioni, vedere Esercitazione : Proteggere gli eventi di accesso utente con l'autenticazione a più fattori Microsoft Entra

1. Accedere al portale di Azure come ruolo di amministratore dell'applicazione.
2. Selezionare >>proprietà).
3. In Proprietà selezionare Gestisci impostazioni predefinite di sicurezza.
4. In Abilita impostazioni predefinite di sicurezza selezionare Sì.
5. Seleziona Salva.

Abilitare l'accesso Single Sign-On nella console di Oracle Hyperion Shared Services

Usare le istruzioni seguenti per abilitare l'accesso SSO nell'ambiente Oracle Hyperion.

1. Accedere alla console del servizio condiviso Hyperion con autorizzazioni di amministratore. Ad esempio: http://{your-hyperion-fqdn}:19000/workspace/index.jsp.

2. Selezionare Navigate (Esplora) e quindi Shared Services Console (Console servizi condivisi).

   

3. Selezionare Amministrazione e quindi Configurare le directory utente.

4. Selezionare la scheda Opzioni di sicurezza.

5. In Configurazione single sign-on selezionare la casella di controllo Abilita SSO .

6. Nell'elenco a discesa Provider SSO o Agent selezionare Altro.

7. Nell'elenco a discesa Meccanismo SSO selezionare Intestazione HTTP personalizzata.

8. Nel campo seguente immettere HYPLOGIN, il nome dell'intestazione che l'agente di sicurezza passa a EMP.

9. Seleziona OK.

   

Aggiornare le impostazioni dell'URL post-disconnessione nell'area di lavoro EMP

1. Selezionare Esplora.

2. In Amministrazione selezionare Impostazioni area di lavoro e quindi Impostazioni server.

   

3. Nella finestra di dialogo Impostazioni server dell'area /datawiza/ab-logout

4. Seleziona OK.

   

Testare un'applicazione Oracle Hyperion EMP

Per confermare l'accesso all'applicazione Oracle Hyperion, viene visualizzato un prompt per l'uso di un account Microsoft Entra per l'accesso. Le credenziali vengono controllate e viene visualizzata la home page di Oracle Hyperion EPM.

Passaggi successivi

• Esercitazione: configurare l'accesso ibrido sicuro con Microsoft Entra ID e Datawiza
• Esercitazione: configurare Azure AD B2C con Datawiza per fornire l'accesso ibrido sicuro
• Passare a Datawiza per Aggiungere SSO e MFA a Oracle Hyperion EPM in pochi minuti
• Per le guide utente di Datawiza, passare a docs.datawiza.com