Samouczek: konfigurowanie usługi Datawiza w celu włączenia uwierzytelniania wieloskładnikowego firmy Microsoft i logowania jednokrotnego do aplikacji Oracle Hyperion EPM

Użyj tego samouczka, aby włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft i logowanie jednokrotne (SSO) dla programu Oracle Hyperion Enterprise Performance Management (EPM) przy użyciu serwera proxy dostępu do usługi Datawiza Access (DAP).

Dowiedz się więcej na temat datawiza.com.

Zalety integracji aplikacji z identyfikatorem Entra firmy Microsoft przy użyciu języka DAP:

• Korzystanie z proaktywnych zabezpieczeń dzięki rozwiązaniu Zero Trust — model zabezpieczeń, który dostosowuje się do nowoczesnych środowisk i obejmuje hybrydowe miejsce pracy, jednocześnie chroniąc ludzi, urządzenia, aplikacje i dane
• Logowanie jednokrotne firmy Microsoft Entra — bezpieczny i bezproblemowy dostęp dla użytkowników i aplikacji z dowolnej lokalizacji przy użyciu urządzenia
• Jak to działa: uwierzytelnianie wieloskładnikowe firmy Microsoft — użytkownicy są monitowani podczas logowania do formularzy identyfikacji, takich jak kod na telefonie komórkowym lub skanowanie odciskiem palca
• Co to jest dostęp warunkowy? — zasady to instrukcje if-then, jeśli użytkownik chce uzyskać dostęp do zasobu, to musi wykonać akcję
• Łatwe uwierzytelnianie i autoryzacja w usłudze Microsoft Entra ID bez kodu Datawiza — używaj aplikacji internetowych, takich jak Oracle JDE, Oracle E-Business Suite, Oracle Siebel i aplikacje dla dorosłych
• Korzystanie z konsoli zarządzania chmurą usługi Datawiza (DCMC) — zarządzanie dostępem do aplikacji w chmurach publicznych i lokalnych

Opis scenariusza

Ten scenariusz koncentruje się na integracji programu Oracle Hyperion EPM przy użyciu nagłówków autoryzacji HTTP w celu zarządzania dostępem do chronionej zawartości.

Ze względu na brak obsługi nowoczesnych protokołów w starszych aplikacjach bezpośrednia integracja z usługą Microsoft Entra SSO jest trudna. Serwer proxy dostępu do usługi Datawiza (DAP) łączy starszą aplikację z nowoczesną płaszczyzną kontroli tożsamości dzięki przejściu protokołu. DaP obniża nakład pracy związany z integracją, oszczędza czas inżynieryjny i zwiększa bezpieczeństwo aplikacji.

Architektura scenariusza

Rozwiązanie ma następujące składniki:

• Microsoft Entra ID — usługa zarządzania tożsamościami i dostępem, która pomaga użytkownikom logować się i uzyskiwać dostęp do zasobów zewnętrznych i wewnętrznych
• Datawiza Access Proxy (DAP) — oparty na kontenerach zwrotny serwer proxy, który implementuje protokół OpenID Connect (OIDC), OAuth lub Security Assertion Markup Language (SAML) na potrzeby przepływu logowania użytkownika. Przekazuje tożsamość w sposób niewidoczny dla aplikacji za pośrednictwem nagłówków HTTP.
• Datawiza Cloud Management Console (DCMC) — administratorzy zarządzają językiem DAP za pomocą interfejsu użytkownika i interfejsów API RESTful w celu skonfigurowania zasad daP i kontroli dostępu
• Oracle Hyperion EPM — starsza aplikacja, która ma być chroniona przez microsoft Entra ID i DAP

Dowiedz się więcej o przepływie inicjowanym przez dostawcę usług w usłudze Datawiza przy użyciu architektury uwierzytelniania entra firmy Microsoft.

Wymagania wstępne

Upewnij się, że zostały spełnione następujące wymagania wstępne:

• Subskrypcja platformy Azure
  • Jeśli go nie masz, możesz uzyskać bezpłatne konto platformy Azure
• Dzierżawa firmy Microsoft Entra połączona z subskrypcją platformy Azure
  • Zobacz Szybki start: tworzenie nowej dzierżawy w usłudze Microsoft Entra ID
• Docker i Docker Compose
  • Przejdź do docs.docker.com, aby pobrać platformę Docker i zainstalować aplikację Docker Compose
• Tożsamości użytkowników synchronizowane z katalogu lokalnego do identyfikatora Entra firmy Microsoft lub utworzone w usłudze Microsoft Entra ID i przepływane z powrotem do katalogu lokalnego
  • Zobacz: Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji
• Konto z identyfikatorem Microsoft Entra i rolą Administrator aplikacji
  • Zobacz, Microsoft Entra wbudowane role, wszystkie role
• Środowisko Oracle Hyperion EMP
  • (Opcjonalnie) Certyfikat internetowy SSL do publikowania usług za pośrednictwem protokołu HTTPS. Do testowania można użyć domyślnych certyfikatów z podpisem własnym usługi Datawiza.

Wprowadzenie do języka DAP

Aby zintegrować aplikację Oracle Hyperion EMP z identyfikatorem Entra firmy Microsoft:

1. Zaloguj się do konsoli zarządzania chmurą w usłudze Datawiza (DCMC).

2. Zostanie wyświetlona strona powitalna.

3. Wybierz pomarańczowy przycisk Wprowadzenie .

   

4. W obszarze Nazwa wdrożenia w polach Nazwa i Opis wprowadź informacje.

   

5. Wybierz Dalej.

6. Zostanie wyświetlone okno dialogowe Dodawanie aplikacji .

7. W polu Platforma wybierz pozycję Sieć Web.

8. W polu Nazwa aplikacji wprowadź unikatową nazwę aplikacji.

9. W przypadku domeny publicznej na przykład użyj polecenia https://hyperion.example.com. Do testowania można użyć systemu DNS hosta lokalnego. Jeśli nie wdrażasz języka DAP za modułem równoważenia obciążenia, użyj portu domeny publicznej.

10. W obszarze Port nasłuchiwania wybierz port, na który nasłuchuje usługa DAP.

11. W obszarze Serwery nadrzędne wybierz adres URL implementacji funkcji Oracle Hyperion i port, który ma być chroniony.

12. Wybierz Dalej.

13. W obszarze Dodawanie aplikacji wprowadź informacje. Zwróć uwagę na przykładowe wpisy dla domeny publicznej, portu nasłuchiwania i nadrzędnych serwerów.

14. Wybierz Dalej.

15. W oknie dialogowym Konfigurowanie dostawcy tożsamości wprowadź odpowiednie informacje.

Uwaga

Użyj konsoli zarządzania chmurą (DCMC) Datawiza Cloud Management Console (DCMC), aby ułatwić ukończenie konfiguracji. Kontroler DCMC wywołuje interfejs API programu Microsoft Graph, aby utworzyć rejestrację aplikacji w Twoim imieniu w dzierżawie firmy Microsoft Entra.

16. Wybierz pozycję Utwórz.

17. Zostanie wyświetlona strona wdrażania języka DAP.

18. Zanotuj plik docker Compose wdrożenia. Plik zawiera obraz DAP, a także klucz aprowizacji i wpis tajny aprowizacji, który pobiera najnowszą konfigurację i zasady z kontrolera DCMC.

    

19. Wybierz pozycję Gotowe.

Nagłówki logowania jednokrotnego i http

DaP pobiera atrybuty użytkownika od dostawcy tożsamości (IdP) i przekazuje je do aplikacji nadrzędnej z nagłówkiem lub plikiem cookie.

Poniższe instrukcje umożliwiają aplikacji Oracle Hyperion EPM rozpoznawanie użytkownika. Używając nazwy, nakazuje usłudze DAP przekazanie wartości z dostawcy tożsamości do aplikacji za pośrednictwem nagłówka HTTP.

1. W obszarze nawigacji po lewej stronie wybierz pozycję Aplikacje.

2. Znajdź utworzoną aplikację.

3. Wybierz kartę podrzędną Przekazywanie atrybutu.

4. W polu Pole wybierz pozycję e-mail.

5. W obszarze Oczekiwano wybierz pozycję HYPLOGIN.

6. W polu Typ wybierz pozycję Nagłówek.

   

   Uwaga

   Ta konfiguracja używa głównej nazwy użytkownika firmy Microsoft Entra dla nazwy użytkownika logowania, która jest używana przez funkcję Oracle Hyperion. W przypadku innej tożsamości użytkownika przejdź do karty Mapowania .

   

Konfiguracja protokołu SSL

Skorzystaj z poniższych instrukcji dotyczących konfiguracji protokołu SSL.

1. Wybierz kartę Zaawansowane.

   

2. Na karcie SSL wybierz pozycję Włącz protokół SSL.

3. Z listy rozwijanej Typ certyfikatu wybierz typ. Na potrzeby testowania istnieje certyfikat z podpisem własnym.

   

   Uwaga

   Certyfikat można przekazać z pliku.

   

4. Wybierz pozycję Zapisz.

Identyfikator URI przekierowania logowania i wylogowywanie

Skorzystaj z poniższych instrukcji, aby wskazać identyfikator URI przekierowania logowania i identyfikator URI przekierowania wylogowania.

1. Wybierz kartę Opcje zaawansowane.

2. W polu Identyfikator URI przekierowania logowania i Identyfikator URI przekierowania wylogowyń wprowadź ./workspace/index.jsp

   

3. Wybierz pozycję Zapisz.

Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft

Aby zapewnić większe bezpieczeństwo logowania, możesz wymusić uwierzytelnianie wieloskładnikowe firmy Microsoft.

Dowiedz się więcej w artykule Samouczek: zabezpieczanie zdarzeń logowania użytkownika przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft

1. Zaloguj się w witrynie Azure Portal jako administrator aplikacji.
2. Wybierz pozycję Microsoft Entra ID>Zarządzaj właściwościami.>
3. W obszarze Właściwości wybierz pozycję Zarządzaj wartościami domyślnymi zabezpieczeń.
4. W obszarze Włącz wartości domyślne zabezpieczeń wybierz pozycję Tak.
5. Wybierz pozycję Zapisz.

Włączanie logowania jednokrotnego w konsoli usług udostępnionych Oracle Hyperion

Aby włączyć logowanie jednokrotne w środowisku Oracle Hyperion, wykonaj poniższe instrukcje.

1. Zaloguj się do konsoli usługi udostępnionej funkcji Hyperion przy użyciu uprawnień administratora. Na przykład http://{your-hyperion-fqdn}:19000/workspace/index.jsp.

2. Wybierz pozycję Navigate (Nawiguj), a następnie Shared Services Console (Konsola usług udostępnionych).

   

3. Wybierz pozycję Administracja , a następnie skonfiguruj katalogi użytkowników.

4. Wybierz kartę Opcje zabezpieczeń.

5. W obszarze Konfiguracja logowania jednokrotnego zaznacz pole wyboru Włącz logowanie jednokrotne .

6. Z listy rozwijanej Dostawca logowania jednokrotnego lub Agent wybierz pozycję Inne.

7. Z listy rozwijanej Mechanizm logowania jednokrotnego wybierz pozycję Niestandardowy nagłówek HTTP.

8. W poniższym polu wprowadź HYPLOGIN, nazwę nagłówka, która agent zabezpieczeń przekazuje do emp.

9. Wybierz przycisk OK.

   

Aktualizowanie ustawień adresu URL po wylogowaniu w obszarze roboczym EMP

1. Wybierz pozycję Navigate (Nawiguj).

2. W obszarze Administrowanie wybierz pozycję Ustawienia obszaru roboczego, a następnie pozycję Ustawienia serwera.

   

3. W oknie dialogowym Ustawienia serwera obszarów roboczych w polu Adres URL wylogowywania wybierz adres URL widoczny po wylogowaniu się z programu EPM/datawiza/ab-logout.

4. Wybierz przycisk OK.

   

Testowanie aplikacji Oracle Hyperion EMP

Aby potwierdzić dostęp do aplikacji Oracle Hyperion, zostanie wyświetlony monit o użycie konta Microsoft Entra na potrzeby logowania. Poświadczenia są sprawdzane i zostanie wyświetlona strona główna oracle Hyperion EPM.

Następne kroki

• Samouczek: konfigurowanie bezpiecznego dostępu hybrydowego przy użyciu identyfikatora Entra i usługi Datawiza firmy Microsoft
• Samouczek: konfigurowanie usługi Azure AD B2C z usługą Datawiza w celu zapewnienia bezpiecznego dostępu hybrydowego
• Przejdź do usługi Datawiza w celu dodania logowania jednokrotnego i uwierzytelniania wieloskładnikowego do programu Oracle Hyperion EPM w ciągu kilku minut
• Przejdź do docs.datawiza.com w przewodnikach użytkownika usługi Datawiza