Headerbasiertes SSO mit Identity Management-Produkten

Voraussetzungen

Ein vollständig konfiguriertes Oracle Enterprise Performance Management System-Produkt. Der Verzeichnisserver des Identity Management-Produkts muss in EPM System als Benutzerverzeichnis zur Autorisierung von Benutzern konfiguriert sein.
Ein vollständig konfiguriertes Identity Management-Produkt (Microsoft Azure AD, Okta usw.), das die headerbasierte Authentifizierung unterstützt.

Die folgenden generischen Prozesse sind an der Konfiguration von EPM System für headerbasiertes SSO mit einem kompatiblen Identity Management-Produkt beteiligt. Da die konkreten Schritte vom verwendeten Produkt abhängig sind, finden Sie die ausführliche Vorgehensweise in der Dokumentation zu Ihrem Identity Management-Produkt.

Ausführliche Schritte zum Konfigurieren der headerbasierten Authentifizierung mit Oracle Identity Cloud Services finden Sie unter EPM System für headerbasiertes SSO mit Oracle Identity Cloud Services konfigurieren.

Registrieren Sie EPM System als Enterprise-Anwendung im Identity Management-Produkt. Mit diesem Schritt kann der Identity Management-Administrator die Authentifizierung in der Enterprise-Anwendung einschließlich unterstützter Funktionen, wie Multifaktor-Authentifizierung, konfigurieren.
Verwenden Sie den vollständig qualifizierten Domainnamen (FQDN) des Gateways ergänzt mit workspace/index.jsp (Beispiel: https://gateway.server.example.com:443/workspace/index.jsp) als Enterprise-Anwendungs-URL für EPM System.
Konfigurieren Sie die Enterprise-Anwendung von EPM System, um einen HTTP-Header zu propagieren.
Sie können jeden nicht reservierten Headernamen als Namen für den HTTP-Header verwenden. Bei dem Wert des Headers muss es sich um die Eigenschaft handeln, die EPM System-Benutzer eindeutig identifiziert.
Installieren, konfigurieren und registrieren Sie ein Anwendungs-Gateway, um sicherzustellen, dass die Enterprise-Anwendung nur authentifizierte Anforderungen an EPM System weiterleitet.
Verwenden Sie die folgenden Konfigurationseinstellungen:
- FQDN des Gateway-Servers (Beispiel: gateway.server.example.com:443) als Zugriffspunkt.
- FQDN von EPM System (Beispiel: epm.server.example.com:443) als Ressource, an die authentifizierte HTTP(S)-Anforderungen weitergeleitet werden sollen.
Aktivieren Sie SSO in EPM System, um HTTP(S)-Header vom Anwendungs-Gateway zu berücksichtigen. Ausführliche Informationen finden Sie unter Sicherheitsoptionen festlegen.
So aktivieren Sie SSO:
1. Greifen Sie als Systemadministrator auf Oracle Hyperion Shared Services Console zu. Informationen hierzu finden Sie unter Shared Services Console starten.
2. Wählen Sie Administration, Benutzerverzeichnisse konfigurieren aus.
3. Klicken Sie auf Sicherheitsoptionen.
4. Führen Sie im Abschnitt SSO-Konfiguration die folgenden Schritte aus:
  1. Aktivieren Sie das Kontrollkästchen SSO aktivieren.
  2. Wählen Sie in der Dropdown-Liste für den SSO-Provider oder Security Agent die Option Sonstige aus.
  3. Wählen Sie in der Dropdown-Liste SSO-Mechanismus die Option Benutzerdefinierter HTTP-Header aus, und geben Sie den Namen des Headers an, den der Sicherheitsagent an EPM System übergibt.
5. Klicken Sie auf OK.
Aktualisieren Sie die Einstellung "Abmelde-URL bereitstellen" in Oracle Hyperion Enterprise Performance Management Workspace in die Einstellung auf der Webseite, die Benutzern bei der Abmeldung von EPM System angezeigt werden soll.
So aktualisieren Sie die Einstellung "Abmelde-URL bereitstellen" in EPM Workspace:
1. Greifen Sie als Systemadministrator auf EPM Workspace zu. Informationen hierzu finden Sie unter Auf EPM Workspace zugreifen.
2. Wählen Sie Navigieren, Workspace-Einstellungen, Servereinstellungen aus.
3. Ändern Sie unter Workspace Server-Einstellungen unter Abmelde-URL bereitstellen die URL der Webseite, die Benutzern bei der Abmeldung von EPM System angezeigt werden soll.
4. Klicken Sie auf OK.
Starten Sie Oracle Hyperion Foundation Services und alle verwalteten Server von EPM System neu.