Benutzerauthentifizierung

Die Benutzerauthentifizierung ermöglicht die Single Sign-On-Funktion (SSO) über Oracle Enterprise Performance Management System-Komponenten hinweg, indem die Anmeldeinformationen der einzelnen Benutzer validiert werden, um die authentifizierten Benutzer zu ermitteln. Gemeinsam mit der komponentenspezifischen Autorisierung regelt die Benutzerauthentifizierung den Zugriff auf die EPM System-Komponenten. Der Prozess der Autorisierungserteilung wird als Provisioning bezeichnet.

Authentifizierungskomponenten

In den folgenden Abschnitten sind die Komponenten beschrieben, die den SSO unterstützen:

Native Directory

Native Directory ist die Bezeichnung für die relationale Datenbank, mit der Oracle Hyperion Shared Services das Provisioning unterstützt und in der Seeddata wie Standardbenutzeraccounts gespeichert werden.

Native Directory-Funktionen:

  • EPM System-Standardbenutzeraccounts pflegen und verwalten

  • Alle Provisioning-Informationen für EPM System speichern (Beziehungen zwischen Benutzern, Gruppen und Rollen)

Der Zugriff auf Native Directory und dessen Verwaltung erfolgt über Oracle Hyperion Shared Services Console. Informationen hierzu finden Sie unter "Native Directory verwalten" in der Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit.

Externe Benutzerverzeichnisse

Benutzerverzeichnisse bezeichnen Unternehmenssysteme zum Verwalten von Benutzern und Identitäten, die mit EPM System-Komponenten kompatibel sind.

EPM System-Komponenten werden von verschiedenen Benutzerverzeichnissen unterstützt. Hierzu gehören u.a. LDAP-fähige Benutzerverzeichnisse, wie z.B. Oracle Internet Directory, Sun Java System Directory Server (früher SunONE Directory Server) und Microsoft Active Directory. Relationale Datenbanken werden auch als Benutzerverzeichnisse unterstützt. Benutzerverzeichnisse, bei denen es sich nicht um Native Directory handelt, werden in dieser Dokumentation als "externe Benutzerverzeichnisse" bezeichnet.

Eine Liste der unterstützten Benutzerverzeichnisse finden Sie unter Oracle Enterprise Performance Management System Certification Matrix auf der Seite Oracle Fusion Middleware Supported System Configurations von Oracle Technology Network (OTN).

Über Shared Services Console können Sie viele externe Benutzerverzeichnisse als Quelle für EPM System-Benutzer und -Gruppen konfigurieren. Jeder EPM System-Benutzer muss über einen eindeutigen Account in einem konfigurierten Benutzerverzeichnis verfügen. EPM System-Benutzer werden in der Regel Gruppen zugewiesen, um das Provisioning zu erleichtern.

EPM System-Standard-Single Sign-On

EPM System unterstützt SSO in allen EPM System-Webanwendungen, wodurch authentifizierte Benutzer nahtlos von einer Anwendung zu anderen Anwendungen navigieren können, ohne die Zugangsdaten erneut eingeben zu müssen. SSO wird implementiert, indem eine allgemeine Sicherheitsumgebung für die Benutzerauthentifizierung und das Provisioning (rollenbasierte Autorisierung) in alle EPM System-Komponenten integriert wird.

Der SSO-Standardprozess ist in der folgenden Abbildung veranschaulicht.


Direktes Single Sign-On für Komponenten

  1. Benutzer rufen über einen Browser das Anmeldefenster einer EPM System-Komponente auf und geben einen Benutzernamen und ein Kennwort ein.

    Die EPM System-Komponente fragt die konfigurierten Benutzerverzeichnisse (einschließlich Native Directory) ab, um die Benutzerzugangsdaten zu prüfen. Wenn in einem Benutzerverzeichnis ein übereinstimmender Benutzeraccount gefunden wird, wird die Suche beendet, und die Benutzerinformationen werden an die EPM System-Komponente zurückgegeben.

    Der Zugriff wird verweigert, wenn in den konfigurierten Benutzerverzeichnissen kein Benutzeraccount gefunden werden kann.

  2. Mit den abgerufenen Benutzerinformationen fragt die EPM System-Komponente Native Directory ab, um die Provisioning-Details für den Benutzer abzurufen.

  3. Die EPM System-Komponente prüft die Access-Control-Liste (ACL) in der Komponente, um die Anwendungsartefakte zu bestimmen, auf die der Benutzer zugreifen kann.

Sobald die Provisioning-Informationen aus Native Directory vorliegen, ist die EPM System-Komponente für den Benutzer verfügbar. An dieser Stelle wird SSO für alle EPM System-Komponenten aktiviert, für die der Benutzer über Berechtigungen verfügt.

Single Sign-On von Zugriffsverwaltungssystemen

Um EPM System-Komponenten weiter zu sichern, können Sie ein unterstütztes Zugriffsverwaltungssystem implementieren, wie z.B. Oracle Access Manager oder SiteMinder. Dieses System kann EPM System-Komponenten die Zugangsdaten von authentifizierten Benutzern bereitstellen und den Zugriff basierend auf vordefinierten Zugriffsberechtigungen kontrollieren.

SSO von Security Agents ist nur für EPM System-Webanwendungen verfügbar. In diesem Szenario verwenden EPM System-Komponenten die Benutzerinformationen, die vom Security Agent bereitgestellt werden, um die Zugriffsberechtigungen von Benutzern zu bestimmen. Um die Sicherheit zu erhöhen, empfiehlt Oracle, den direkten Zugriff auf Server durch Firewalls zu blockieren, damit alle Anforderungen über ein SSO-Portal weitergeleitet werden.

SSO von Zugriffsverwaltungssystemen wird unterstützt, indem Zugangsdaten von authentifizierten Benutzern über einen geeigneten SSO-Mechanismus akzeptiert werden. Informationen hierzu finden Sie unter Unterstützte SSO-Methoden. Das Zugriffsverwaltungssystem authentifiziert Benutzer und übergibt den Anmeldenamen an EPM System. EPM System prüft den Anmeldenamen anhand der konfigurierten Benutzerverzeichnisse.

Informationen hierzu finden Sie in den folgenden Themen.

Im Folgenden wird das Konzept veranschaulicht:


Single Sign-On von externen Systemen

  1. Benutzer fordern über einen Browser Zugriff auf eine Ressource an, die durch ein Zugriffsverwaltungssystem geschützt ist, z.B. durch Oracle Access Manager oder SiteMinder.

    Hinweis:

    EPM System-Komponenten sind als Ressourcen definiert, die durch das Zugriffsverwaltungssystem geschützt sind.

    Das Zugriffsverwaltungssystem fängt die Anforderung ab und zeigt ein Anmeldefenster an. Benutzer geben einen Benutzernamen und ein Kennwort ein, die anhand der konfigurierten Benutzerverzeichnisse im Zugriffsverwaltungssystem validiert werden, um die Authentizität der Benutzer zu prüfen. EPM System-Komponenten sind auch für die Verwendung dieser Benutzerverzeichnisse konfiguriert.

    Die Informationen zum authentifizierten Benutzer werden an die EPM System-Komponente übergeben, die die Informationen als gültig akzeptiert.

    Das Zugriffsverwaltungssystem verwendet einen geeigneten SSO-Mechanismus, um den Anmeldenamen des Benutzers (Wert von Login Attribute) an die EPM System-Komponente zu übergeben. Informationen hierzu finden Sie unter Unterstützte SSO-Methoden.

  2. Um die Benutzerzugangsdaten zu prüfen, versucht die EPM System-Komponente, den Benutzer in einem Benutzerverzeichnis zu finden. Wenn ein übereinstimmender Benutzeraccount gefunden wird, werden die Benutzerinformationen an die EPM System-Komponente zurückgegeben. Die EPM System-Sicherheit legt das SSO-Token fest, das SSO in allen EPM System-Komponenten aktiviert.

  3. Mit den abgerufenen Benutzerinformationen fragt die EPM System-Komponente Native Directory ab, um die Provisioning-Details für den Benutzer abzurufen.

    Sobald die Provisioning-Informationen für den Benutzer vorliegen, ist die EPM System-Komponente für den Benutzer verfügbar. SSO wird für alle EPM System-Komponenten aktiviert, für die der Benutzer über Berechtigungen verfügt.