Руководство по настройке Datawiza для включения многофакторной проверки подлинности Microsoft Entra и единого входа в Oracle JD Edwards

В этом руководстве описано, как включить единый вход (SSO) Microsoft Entra и многофакторную проверку подлинности Microsoft Entra для приложения Oracle JD Edwards (JDE) с помощью прокси-сервера Datawiza Access (DAP).

Дополнительные сведения о прокси-сервере Access Datawiza

Преимущества интеграции приложений с идентификатором Microsoft Entra с помощью DAP:

• Использование упреждающей безопасности с нулевой доверием — модель безопасности, которая адаптируется к современным средам и принимает гибридные рабочие места, а также защищает людей, устройства, приложения и данные
• Единый вход Microsoft Entra — безопасный и простой доступ для пользователей и приложений из любого расположения с помощью устройства
• Как это работает: многофакторная проверка подлинности Microsoft Entra — пользователям предлагается во время входа в систему для форм идентификации, таких как код на своем мобильном телефоне или сканирование отпечатков пальцев
• Что такое условный доступ? — политики — это операторы if-then, если пользователь хочет получить доступ к ресурсу, то он должен выполнить действие.
• Простая проверка подлинности и авторизация в идентификаторе Microsoft Entra с no-code Datawiza — используйте такие веб-приложения, как Oracle JDE, Oracle E-Business Suite, Oracle Sibel и домашние приложения
• Использование консоли управления облаком Datawiza (DCMC) — управление доступом к приложениям в общедоступных облаках и локальной среде

Описание сценария

В этом сценарии уделяется внимание интеграции приложения Oracle JDE, использующего заголовки авторизации HTTP для управления доступом к защищенному содержимому.

В устаревших приложениях из-за отсутствия поддержки современных протоколов прямая интеграция с Microsoft Entra SSO является сложной. DAP может преодолеть разрыв между устаревшим приложением и современной плоскостей управления идентификаторами путем перехода протокола. DAP снижает нагрузку на интеграцию, экономит время разработки и повышает безопасность приложений.

Архитектура сценария

Сценарий решения включает следующие компоненты:

• Идентификатор Microsoft Entra — служба управления удостоверениями и доступом, которая помогает пользователям входить и получать доступ к внешним и внутренним ресурсам.
• Приложение Oracle JDE — устаревшее приложение , защищенное идентификатором Microsoft Entra
• Datawiza Access Proxy (DAP) — обратный прокси-сервер на основе контейнера, который реализует OpenID Connect (OIDC), OAuth или язык разметки утверждений безопасности (SAML) для потока входа пользователя. Он прозрачно передает удостоверение приложениям через заголовки HTTP.
• Консоль управления облаком Datawiza (DCMC) — консоль для управления DAP. Администраторы используют API пользовательского интерфейса и RESTful для настройки политик DAP и управления доступом.

Дополнительные сведения: Архитектура проверки подлинности Datawiza и Microsoft Entra

Необходимые компоненты

Выполните указанные ниже предварительные требования.

• Подписка Azure.
  • Если у вас ее нет, получите бесплатную учетную запись Azure.
• Клиент Microsoft Entra, связанный с подпиской Azure
  • См. краткое руководство. Создание нового клиента в идентификаторе Microsoft Entra.
• Docker и Docker Compose
  • Перейдите к docs.docker.com, чтобы получить Docker и установить Docker Compose
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra ID, или созданные в идентификаторе Microsoft Entra и перетекаются обратно в локальный каталог.
  • См. синхронизацию Microsoft Entra Connect: общие сведения и настройка синхронизации
• Учетная запись с идентификатором Microsoft Entra и ролью администратора приложения. См. встроенные роли Microsoft Entra, все роли
• Среда Oracle JDE.
• (Необязательно) SSL-сертификат для публикации служб по протоколу HTTPS. Вы также можете использовать самозаверяющие сертификаты Datawiza по умолчанию для тестирования.

Начало работы с DAB

Чтобы интегрировать Oracle JDE с идентификатором Microsoft Entra, выполните следующие действия.

1. Войдите в консоль управления облаком Datawiza.

2. Откроется страница приветствия.

3. Нажмите оранжевую кнопку Getting started (Начало работы).

   

4. В полях "Имя " и "Описание " введите сведения.

5. Выберите Далее.

   

6. В диалоговом окне "Добавление приложения" для платформы выберите "Веб".

7. В поле "Имя приложения" введите уникальное имя приложения.

8. Например, введите для https://jde-external.example.com. Для тестирования конфигурации можно использовать DNS localhost. Если вы не развертываете DAP за подсистемой балансировки нагрузки, используйте порт общедоступного домена .

9. Для порта прослушивания выберите порт, на который прослушивается DAP.

10. Для вышестоящих серверов выберите URL-адрес реализации Oracle JDE и порт для защиты.

11. Выберите Далее.

12. В диалоговом окне "Настройка поставщика удостоверений" введите сведения.

Примечание.

Используйте интеграцию DCMC с одним щелчком, чтобы завершить настройку Microsoft Entra. DCMC вызывает API Graph, чтобы создать регистрацию приложения от вашего имени в клиенте Microsoft Entra. Перейдите к docs.datawiza.com для интеграции с одним щелчком мыши с идентификатором Microsoft Entra.

13. Нажмите кнопку создания.

14. Откроется страница развертывания DAP.

15. Запомните файл Docker Compose для развертывания. Файл содержит образ DAP, ключ подготовки и секрет подготовки, который извлекает последнюю конфигурацию и политики из DCMC.

    

Заголовки единого входа и HTTP

DAP получает атрибуты пользователя из поставщика удостоверений и передает их в вышестоящее приложение с заголовком или файлом cookie.

Приложение Oracle JDE должно распознать пользователя: используя имя, приложение предписывает DAP передавать значения из поставщика удостоверений в приложение через заголовок HTTP.

1. В Oracle JDE в области навигации слева выберите Applications (Приложения).

2. Выберите вложенную вкладку Attribute Pass (Передача атрибута).

3. В поле выберите "Электронная почта".

4. Для ожидаемого выберите JDE_SSO_UID.

5. Для типа выберите "Заголовок".

   

   Примечание.

   Эта конфигурация использует имя участника-пользователя Microsoft Entra в качестве имени пользователя входа, используемого Oracle JDE. Чтобы использовать другое удостоверение пользователя, перейдите на вкладку Mappings (Сопоставления).

   

6. Откройте вкладку Дополнительно .

   

   

7. Выберите Enable SSL (Включить SSL).

8. Выберите тип в раскрывающемся списке Cert Type (Тип сертификата).

   

9. Для целей тестирования мы предоставим самозаверяющий сертификат.

   

   Примечание.

   Вы можете отправить сертификат из файла.

   

10. Выберите Сохранить.

Включение многофакторной проверки подлинности Microsoft Entra

Чтобы обеспечить дополнительную безопасность для входа, можно применить MFA для входа пользователей.

См. руководство. Защита событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора приложения.
2. Перейдите на вкладку "Свойства>удостоверений".>
3. В разделе "Безопасность по умолчанию" выберите "Управление значениями безопасности" по умолчанию.
4. В области "Безопасность по умолчанию" переключите раскрывающееся меню, чтобы выбрать "Включено".
5. Выберите Сохранить.

Включение единого входа в консоли Oracle JDE EnterpriseOne

Чтобы включить единый вход в среде Oracle JDE, сделайте следующее:

1. Войдите в консоль управления диспетчера серверов Oracle JDE EnterpriseOne с правами администратора.

2. В разделе Select Instance (Выбор экземпляра) выберите вариант над EnterpriseOne HTML Server.

3. На плитке "Конфигурация" выберите "Вид как дополнительно".

4. Выберите Безопасность.

5. Установите флажок Enable Oracle Access Manager (Включить Oracle Access Manager).

6. В поле Oracle Access Manager Sign-Off URL (URL-адрес выхода Oracle Access Manager) введите datawiza/ab-logout.

7. В разделе Security Server Configuration (Конфигурация сервера безопасности) выберите Apply (Применить).

8. Выберите Остановить.

   Примечание.

   Если сообщение указывает, что конфигурация веб-сервера (jas.ini) устарела, выберите "Синхронизировать конфигурацию".

9. Выберите Пуск.

Тестирование приложения на основе Oracle JDE

Чтобы протестировать приложение Oracle JDE, проверьте заголовки приложений, политику и общее тестирование. При необходимости используйте симуляцию заголовков и политик для проверки полей заголовков и выполнения политики.

Чтобы подтвердить доступ к приложению Oracle JDE, появится запрос на использование учетной записи Microsoft Entra для входа. Будет выполнена проверка учетных данных, и отобразится Oracle JDE.

Следующие шаги

• Включение единого входа и MFA для Oracle JDE) с идентификатором Microsoft Entra с помощью Datawiza
• Руководство по настройке безопасного гибридного доступа с помощью идентификатора Microsoft Entra и Datawiza
• Руководство по настройке Azure AD B2C с Datawiza для обеспечения безопасного гибридного доступа
• Перейти к docs.datawiza.com пользовательских руководств по Datawiza