Samouczek: konfigurowanie usługi Datawiza w celu włączenia uwierzytelniania wieloskładnikowego firmy Microsoft i logowania jednokrotnego do aplikacji Oracle PeopleSoft

Z tego samouczka dowiesz się, jak włączyć logowanie jednokrotne (SSO) firmy Microsoft i uwierzytelnianie wieloskładnikowe firmy Microsoft dla aplikacji Oracle PeopleSoft przy użyciu serwera proxy dostępu usługi Datawiza Access (DAP).

Dowiedz się więcej: Serwer proxy dostępu do usługi Datawiza

Zalety integracji aplikacji z identyfikatorem Entra firmy Microsoft przy użyciu języka DAP:

• Korzystanie z proaktywnych zabezpieczeń dzięki rozwiązaniu Zero Trust — model zabezpieczeń, który dostosowuje się do nowoczesnych środowisk i obejmuje hybrydowe miejsce pracy, jednocześnie chroniąc ludzi, urządzenia, aplikacje i dane
• Logowanie jednokrotne firmy Microsoft Entra — bezpieczny i bezproblemowy dostęp dla użytkowników i aplikacji z dowolnej lokalizacji przy użyciu urządzenia
• Jak to działa: uwierzytelnianie wieloskładnikowe firmy Microsoft — użytkownicy są monitowani podczas logowania do formularzy identyfikacji, takich jak kod na telefonie komórkowym lub skanowanie odciskiem palca
• Co to jest dostęp warunkowy? — zasady to instrukcje if-then, jeśli użytkownik chce uzyskać dostęp do zasobu, to musi wykonać akcję
• Łatwe uwierzytelnianie i autoryzacja w usłudze Microsoft Entra ID bez kodu Datawiza — używaj aplikacji internetowych, takich jak Oracle JDE, Oracle E-Business Suite, Oracle Sibel i aplikacje dla dorosłych
• Korzystanie z konsoli zarządzania chmurą usługi Datawiza (DCMC) — zarządzanie dostępem do aplikacji w chmurach publicznych i lokalnych

Opis scenariusza

Ten scenariusz koncentruje się na integracji aplikacji Oracle PeopleSoft przy użyciu nagłówków autoryzacji HTTP w celu zarządzania dostępem do chronionej zawartości.

W starszych aplikacjach ze względu na brak obsługi nowoczesnych protokołów bezpośrednia integracja z aplikacją Microsoft Entra SSO jest trudna. Serwer proxy dostępu do usługi Datawiza (DAP) łączy starszą aplikację i nowoczesną płaszczyznę sterowania identyfikatorami dzięki przejściu protokołu. DaP obniża nakład pracy związany z integracją, oszczędza czas inżynieryjny i zwiększa bezpieczeństwo aplikacji.

Architektura scenariusza

Rozwiązanie scenariusza ma następujące składniki:

• Microsoft Entra ID — usługa zarządzania tożsamościami i dostępem, która pomaga użytkownikom logować się i uzyskiwać dostęp do zasobów zewnętrznych i wewnętrznych
• Datawiza Access Proxy (DAP) — oparty na kontenerach zwrotny serwer proxy, który implementuje protokół OpenID Connect (OIDC), OAuth lub Security Assertion Markup Language (SAML) na potrzeby przepływu logowania użytkownika. Przekazuje tożsamość w sposób niewidoczny dla aplikacji za pośrednictwem nagłówków HTTP.
• Datawiza Cloud Management Console (DCMC) — administratorzy zarządzają językiem DAP za pomocą interfejsu użytkownika i interfejsów API RESTful w celu skonfigurowania zasad daP i kontroli dostępu
• Aplikacja Oracle PeopleSoft — starsza aplikacja, która ma być chroniona przez microsoft Entra ID i DAP

Dowiedz się więcej: Architektura uwierzytelniania Usługi Datawiza i Microsoft Entra

Wymagania wstępne

Upewnij się, że zostały spełnione następujące wymagania wstępne.

• Subskrypcja platformy Azure
  • Jeśli go nie masz, możesz uzyskać bezpłatne konto platformy Azure
• Dzierżawa firmy Microsoft Entra połączona z subskrypcją platformy Azure
  • Zobacz Szybki start: tworzenie nowej dzierżawy w usłudze Microsoft Entra ID
• Docker i Docker Compose
  • Przejdź do docs.docker.com, aby pobrać platformę Docker i zainstalować aplikację Docker Compose
• Tożsamości użytkowników synchronizowane z katalogu lokalnego do identyfikatora Entra firmy Microsoft lub utworzone w usłudze Microsoft Entra ID i przepływane z powrotem do katalogu lokalnego
  • Zobacz: Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji
• Konto z identyfikatorem Microsoft Entra i rolą Administrator aplikacji
  • Zobacz, Microsoft Entra wbudowane role, wszystkie role
• Środowisko Oracle PeopleSoft
• (Opcjonalnie) Certyfikat internetowy SSL do publikowania usług za pośrednictwem protokołu HTTPS. Do testowania można użyć domyślnych certyfikatów z podpisem własnym usługi Datawiza.

Wprowadzenie do języka DAP

Aby zintegrować aplikację Oracle PeopleSoft z identyfikatorem Entra firmy Microsoft:

1. Zaloguj się do konsoli zarządzania chmurą w usłudze Datawiza (DCMC).

2. Zostanie wyświetlona strona powitalna.

3. Wybierz pomarańczowy przycisk Wprowadzenie .

   

4. W polach Nazwa i Opis wprowadź informacje.

   

5. Wybierz Dalej.

6. Zostanie wyświetlone okno dialogowe Dodawanie aplikacji.

7. W polu Platforma wybierz pozycję Sieć Web.

8. W polu Nazwa aplikacji wprowadź unikatową nazwę aplikacji.

9. W przypadku domeny publicznej na przykład użyj polecenia https://ps-external.example.com. Do testowania można użyć systemu DNS hosta lokalnego. Jeśli nie wdrażasz języka DAP za modułem równoważenia obciążenia, użyj portu domeny publicznej.

10. W obszarze Port nasłuchiwania wybierz port, na który nasłuchuje usługa DAP.

11. W polu Serwery nadrzędne wybierz adres URL implementacji Oracle PeopleSoft i port, który ma być chroniony.

12. Wybierz Dalej.

13. W oknie dialogowym Konfigurowanie dostawcy tożsamości wprowadź informacje.

Uwaga

Kontroler DCMC ma integrację jednym kliknięciem, aby ułatwić ukończenie konfiguracji firmy Microsoft Entra. Kontroler DCMC wywołuje interfejs API programu Microsoft Graph, aby utworzyć rejestrację aplikacji w Twoim imieniu w dzierżawie firmy Microsoft Entra. Dowiedz się więcej na stronie docs.datawiza.com w usłudze One Click Integration with Microsoft Entra ID (Integracja jednym kliknięciem z identyfikatorem Entra firmy Microsoft)

14. Wybierz pozycję Utwórz.

15. Zostanie wyświetlona strona wdrażania języka DAP.
16. Zanotuj plik docker Compose wdrożenia. Plik zawiera obraz DAP, klucz aprowizacji i wpis tajny aprowizacji, który ściąga najnowszą konfigurację i zasady z kontrolera DCMC.

Nagłówki logowania jednokrotnego i http

DaP pobiera atrybuty użytkownika od dostawcy tożsamości (IdP) i przekazuje je do aplikacji nadrzędnej z nagłówkiem lub plikiem cookie.

Aplikacja Oracle PeopleSoft musi rozpoznać użytkownika. Używając nazwy, aplikacja nakazuje usłudze DAP przekazanie wartości z dostawcy tożsamości do aplikacji za pośrednictwem nagłówka HTTP.

1. W obszarze Oracle PeopleSoft w obszarze nawigacji po lewej stronie wybierz pozycję Aplikacje.

2. Wybierz kartę podrzędną Przekazywanie atrybutu.

3. W polu Pole wybierz pozycję e-mail.

4. W obszarze Oczekiwano wybierz pozycję PS_SSO_UID.

5. W polu Typ wybierz pozycję Nagłówek.

   

   Uwaga

   Ta konfiguracja używa głównej nazwy użytkownika firmy Microsoft Entra jako nazwy użytkownika logowania dla aplikacji Oracle PeopleSoft. Aby użyć innej tożsamości użytkownika, przejdź do karty Mapowania .

   

Konfiguracja protokołu SSL

1. Wybierz kartę Zaawansowane.

   

2. Wybierz pozycję Włącz protokół SSL.

3. Z listy rozwijanej Typ certyfikatu wybierz typ.

   

4. Na potrzeby testowania konfiguracji istnieje certyfikat z podpisem własnym.

   

   Uwaga

   Certyfikat można przekazać z pliku.

   

5. Wybierz pozycję Zapisz.

Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft

Aby zapewnić większe bezpieczeństwo logowania, możesz wymusić uwierzytelnianie wieloskładnikowe firmy Microsoft.

Dowiedz się więcej: Samouczek: Zabezpieczanie zdarzeń logowania użytkowników przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator aplikacji.
2. Przejdź do karty Właściwości przeglądu>tożsamości.>
3. W obszarze Ustawienia domyślne zabezpieczeń wybierz pozycję Zarządzaj ustawieniami domyślnymi zabezpieczeń.
4. W okienku Ustawienia domyślne zabezpieczeń przełącz menu rozwijane, aby wybrać pozycję Włączone.
5. Wybierz pozycję Zapisz.

Włączanie logowania jednokrotnego w konsoli Oracle PeopleSoft

Aby włączyć logowanie jednokrotne w środowisku Oracle PeopleSoft:

1. Zaloguj się do konsoli http://{your-peoplesoft-fqdn}:8000/psp/ps/?cmd=start PeopleSoft przy użyciu poświadczeń administratora, na przykład PS/PS.

2. Dodaj domyślnego użytkownika dostępu publicznego do aplikacji PeopleSoft.

3. W menu głównym przejdź do pozycji PeopleTools > Security > User Profiles User Profiles >> Dodaj nową wartość.

4. Wybierz pozycję Dodaj nową wartość.

5. Utwórz użytkownika PSPUBUSER.

6. Wprowadź hasło.

   

7. Wybierz kartę IDENTYFIKATOR .

8. W polu Typ identyfikatora wybierz pozycję Brak.

   

9. Przejdź do pozycji > usługi PROD > wyszukiwania > konfiguracji > profilu internetowego profilu internetowego w usłudze > PeopleTools).

10. W obszarze Użytkownicy publiczni wybierz pole Zezwalaj na dostęp publiczny.

11. W polu Identyfikator użytkownika wprowadź wartość PSPUBUSER.

12. Wprowadź hasło.

    

13. Wybierz pozycję Zapisz.

14. Aby włączyć logowanie jednokrotne, przejdź do pozycji PeopleTools Security > Objects >> Signon PeopleCode.

15. Wybierz stronę Sign on PeopleCode (Zaloguj się przy użyciu kodu osób).

16. Włącz OAMSSO_AUTHENTICATION.

17. Wybierz pozycję Zapisz.

18. Aby skonfigurować aplikację PeopleCode przy użyciu projektanta aplikacji PeopleTools, przejdź do pozycji Otwórz > definicję pliku>: Nazwa rekordu>: FUNCLIB_LDAP.

19. Otwórz FUNCLIB_LDAP.

    

20. Wybierz rekord.

21. Wybierz pozycję Widok PROTOKOŁU LDAPAUTH > PeopleCode.

22. getWWWAuthConfig() Wyszukaj funkcję Change &defaultUserId = ""; to &defaultUserId = PSPUBUSER.

23. Upewnij się, że nagłówek użytkownika jest PS_SSO_UID przeznaczony dla OAMSSO_AUTHENTICATION funkcji.

24. Zapisz definicję rekordu.

    

Testowanie aplikacji Oracle PeopleSoft

Aby przetestować aplikację Oracle PeopleSoft, zweryfikuj nagłówki aplikacji, zasady i ogólne testowanie. W razie potrzeby użyj symulacji nagłówka i zasad, aby zweryfikować pola nagłówka i wykonywanie zasad.

Aby potwierdzić, że dostęp do aplikacji Oracle PeopleSoft jest poprawnie wyświetlany, zostanie wyświetlony monit o użycie konta Microsoft Entra na potrzeby logowania. Poświadczenia są sprawdzane i jest wyświetlana aplikacja Oracle PeopleSoft.

Następne kroki

• Wideo: Włączanie logowania jednokrotnego i uwierzytelniania wieloskładnikowego dla usługi Oracle JD Edwards przy użyciu identyfikatora Entra firmy Microsoft za pośrednictwem usługi Datawiza
• Samouczek: konfigurowanie bezpiecznego dostępu hybrydowego przy użyciu identyfikatora Entra i usługi Datawiza firmy Microsoft
• Samouczek: konfigurowanie usługi Azure AD B2C z usługą Datawiza w celu zapewnienia bezpiecznego dostępu hybrydowego
• Przejdź do docs.datawiza.com w przewodnikach użytkownika usługi Datawiza