Zelfstudie: Datawiza configureren om meervoudige verificatie en eenmalige aanmelding van Microsoft Entra in te schakelen voor Oracle Hyperion EPM

Gebruik deze zelfstudie om meervoudige verificatie en eenmalige aanmelding (SSO) van Microsoft Entra in te schakelen voor Oracle Hyperion Enterprise Performance Management (EPM) met behulp van Datawiza Access Proxy (DAP).

Meer informatie over datawiza.com.

Voordelen van het integreren van toepassingen met Microsoft Entra ID met behulp van DAP:

• Gebruik proactieve beveiliging met Zero Trust : een beveiligingsmodel dat zich aanpast aan moderne omgevingen en hybride werkplek omarmt, terwijl het mensen, apparaten, apps en gegevens beschermt
• Eenmalige aanmelding van Microsoft Entra : veilige en naadloze toegang voor gebruikers en apps, vanaf elke locatie, met behulp van een apparaat
• Hoe het werkt: Meervoudige verificatie van Microsoft Entra: gebruikers worden gevraagd tijdens het aanmelden voor vormen van identificatie, zoals een code op hun mobiele telefoon of een vingerafdrukscan
• Wat is voorwaardelijke toegang? - beleidsregels zijn als-dan-instructies, als een gebruiker toegang wil krijgen tot een resource, dan moeten ze een actie voltooien
• Eenvoudige verificatie en autorisatie in Microsoft Entra ID met datawiza zonder code- en webtoepassingen gebruiken, zoals: Oracle JDE, Oracle E-Business Suite, Oracle Siebel en apps voor thuisgebruik
• De Datawiza Cloud Management Console (DCMC) gebruiken : toegang tot toepassingen beheren in openbare clouds en on-premises

Beschrijving van scenario

Dit scenario is gericht op Oracle Hyperion EPM-integratie met behulp van HTTP-autorisatieheaders om de toegang tot beveiligde inhoud te beheren.

Vanwege het ontbreken van moderne protocolondersteuning in verouderde toepassingen, is een directe integratie met Microsoft Entra SSO lastig. Datawiza Access Proxy (DAP) overbrugt de kloof tussen de verouderde toepassing en het moderne identiteitsbeheervlak, via protocolovergang. DAP verlaagt de overhead van integratie, bespaart technische tijd en verbetert de beveiliging van toepassingen.

Scenario-architectuur

De oplossing heeft de volgende onderdelen:

• Microsoft Entra ID - service voor identiteits- en toegangsbeheer waarmee gebruikers zich kunnen aanmelden en toegang kunnen krijgen tot externe en interne resources
• Datawiza Access Proxy (DAP) - reverse-proxy op basis van containers waarmee OpenID Connect (OIDC), OAuth of Security Assertion Markup Language (SAML) wordt geïmplementeerd voor aanmeldingsstroom van gebruikers. De identiteit wordt transparant doorgegeven aan toepassingen via HTTP-headers.
• Datawiza Cloud Management Console (DCMC) - beheerders beheren DAP met UI en RESTful-API's om DAP- en toegangsbeheerbeleid te configureren
• Oracle Hyperion EPM - verouderde toepassing die moet worden beveiligd door Microsoft Entra ID en DAP

Meer informatie over de door de serviceprovider geïnitieerde stroom in Datawiza met Microsoft Entra-verificatiearchitectuur.

Vereisten

Zorg ervoor dat aan de volgende vereisten wordt voldaan:

• Een Azure-abonnement
  • Als u nog geen account hebt, kunt u een gratis Azure-account krijgen.
• Een Microsoft Entra-tenant die is gekoppeld aan het Azure-abonnement
  • Zie, quickstart: Een nieuwe tenant maken in Microsoft Entra-id
• Docker en Docker Compose
  • Ga naar docs.docker.com om Docker te downloaden en Docker Compose te installeren
• Gebruikersidentiteiten die zijn gesynchroniseerd vanuit een on-premises adreslijst naar Microsoft Entra-id of die zijn gemaakt in Microsoft Entra-id en zijn teruggegaan naar een on-premises directory
  • Zie Microsoft Entra Connect Sync: Synchronisatie begrijpen en aanpassen
• Een account met Microsoft Entra-id en de rol Toepassingsbeheerder
  • Zie ingebouwde Microsoft Entra-rollen, alle rollen
• Een Oracle Hyperion EMP-omgeving
  • (Optioneel) Een SSL-webcertificaat voor het publiceren van services via HTTPS. U kunt standaard met Datawiza zelfondertekende certificaten gebruiken voor testen.

Aan de slag met DAP

Oracle Hyperion EMP integreren met Microsoft Entra ID:

1. Meld u aan bij DCMC (Datawiza Cloud Management Console).

2. De welkomstpagina wordt weergegeven.

3. Selecteer de oranje knop Aan de slag.

   

4. Voer onder Implementatienaam in de velden Naam en Beschrijving gegevens in.

   

5. Selecteer Volgende.

6. Het dialoogvenster Toepassing toevoegen wordt weergegeven.

7. Voor Platform selecteert u Web.

8. Voer voor App-naam een unieke toepassingsnaam in.

9. Gebruik https://hyperion.example.com. Om te testen kunt u localhost-DNS gebruiken. Als u DAP niet achter een load balancer implementeert, gebruikt u de poort openbaar domein.

10. Selecteer voor Listen Port de poort waarop DAP luistert.

11. Selecteer voor Upstream-servers de URL en poort van de Oracle Hyperion-implementatie die moet worden beveiligd.

12. Selecteer Volgende.

13. Voer bij Toepassing toevoegen gegevens in. Noteer de voorbeeldvermeldingen voor openbaar domein, luisterpoort en upstreamservers.

14. Selecteer Volgende.

15. Voer in het dialoogvenster IdP configureren relevante informatie in.

Notitie

Gebruik Datawiza Cloud Management Console (DCMC) One Click Integration om de configuratie te voltooien. DCMC roept de Microsoft Graph API aan om namens u een toepassingsregistratie te maken in uw Microsoft Entra-tenant.

16. Selecteer Maken.

17. De DAP-implementatiepagina wordt weergegeven.

18. Noteer het Docker Compose-implementatiebestand. Het bestand bevat de DAP-installatiekopie, ook de inrichtingssleutel en het inrichtingsgeheim, waarmee de meest recente configuratie en beleidsregels van DCMC worden opgehaald.

19. Selecteer Gereed.

SSO- en HTTP-headers

DAP haalt gebruikerskenmerken van de id-provider (IdP) op en geeft deze door aan de upstream-toepassing met een header of cookie.

Met de volgende instructies kunt u de gebruiker herkennen in de Oracle Hyperion EPM-toepassing. Met behulp van een naam geeft dap de opdracht om de waarden van de IdP door te geven aan de toepassing via de HTTP-header.

1. Selecteer toepassingen in het linkernavigatievenster.

2. Zoek de toepassing die u hebt gemaakt.

3. Selecteer het subtabblad Kenmerken doorgeven.

4. Voor Veld selecteert u e-mail.

5. Selecteer HYPLOGIN voor Verwacht.

6. Selecteer Koptekst voor Type.

   

   Notitie

   Deze configuratie maakt gebruik van de user principal name van Microsoft Entra voor de aanmeldingsgebruikersnaam, die wordt gebruikt door Oracle Hyperion. Ga naar het tabblad Toewijzingen voor een andere gebruikersidentiteit.

   

SSL-configuratie

Gebruik de volgende instructies voor SSL-configuratie.

1. Klik op het tabblad Geavanceerd.

   

2. Selecteer SSL inschakelen op het tabblad SSL.

3. Selecteer in de vervolgkeuzelijst Certificaattype het type. Voor testen is er een zelfondertekend certificaat.

   

   Notitie

   U kunt een certificaat uploaden vanuit een bestand.

   

4. Selecteer Opslaan.

Aanmeldings- en afmeldingsomleidings-URI

Gebruik de volgende instructies om aanmeldings-omleidings-URI en afmeldings-omleidings-URI aan te geven.

1. Selecteer het tabblad Geavanceerde opties .

2. Voer voor aanmeldingsomleidings-URI en omleidings-URI/workspace/index.jsp

   

3. Selecteer Opslaan.

Meervoudige verificatie van Microsoft Entra inschakelen

Als u meer beveiliging wilt bieden voor aanmeldingen, kunt u meervoudige verificatie van Microsoft Entra afdwingen.

Meer informatie in de zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Meervoudige Verificatie van Microsoft Entra

1. Meld u als toepassingsbeheerder aan bij Azure Portal.
2. Selecteer Microsoft Entra ID>Manage>Properties.
3. Selecteer onder Eigenschappen de standaardinstellingen voor beveiliging beheren.
4. Selecteer Ja onder Standaardinstellingen voor beveiliging inschakelen.
5. Selecteer Opslaan.

Eenmalige aanmelding inschakelen in de Oracle Hyperion Shared Services-console

Gebruik de volgende instructies om eenmalige aanmelding in te schakelen in de Oracle Hyperion-omgeving.

1. Meld u aan bij de Hyperion Shared Service-console met beheerdersmachtigingen. Bijvoorbeeld: http://{your-hyperion-fqdn}:19000/workspace/index.jsp.

2. Selecteer Navigeren en vervolgens de Shared Services-console.

   

3. Selecteer Beheer en configureer vervolgens Gebruikersmappen.

4. Selecteer het tabblad Beveiligingsopties .

5. Schakel in De configuratie voor eenmalige aanmelding het selectievakje Eenmalige aanmelding inschakelen in.

6. Selecteer Overige in de vervolgkeuzelijst SSO-provider of agent.

7. Selecteer in de vervolgkeuzelijst SSO-mechanisme de optie Aangepaste HTTP-header.

8. Voer in het volgende veld HYPLOGIN in, de headernaam die de beveiligingsagent doorgeeft aan EMP.

9. Selecteer OK.

   

URL-instellingen na afmelden bijwerken in EMP-werkruimte

1. Selecteer Navigeren.

2. Selecteer in Beheren werkruimte-instellingen en vervolgens Serverinstellingen.

   

3. Selecteer in het dialoogvenster Serverinstellingen voor werkruimteserver voor URL voor afmelden de URL die gebruikers zien wanneer ze zich afmelden bij EPM./datawiza/ab-logout

4. Selecteer OK.

   

Een Oracle Hyperion EMP-toepassing testen

Als u wilt bevestigen dat oracle Hyperion-toepassing toegang heeft, wordt er een prompt weergegeven om een Microsoft Entra-account te gebruiken voor aanmelding. Referenties worden gecontroleerd en de startpagina van Oracle Hyperion EPM wordt weergegeven.

Volgende stappen

• Zelfstudie: Beveiligde hybride toegang configureren met Microsoft Entra ID en Datawiza
• Zelfstudie: Azure AD B2C configureren met Datawiza om beveiligde hybride toegang te bieden
• Ga in enkele minuten naar Datawiza voor het toevoegen van eenmalige aanmelding en MFA aan Oracle Hyperion EPM
• Ga naar docs.datawiza.com voor datawiza-gebruikershandleidingen