Inicio de sesión único de SiteMinder

SiteMinder es una solución solo para web. Las aplicaciones de escritorio y sus complementos (por ejemplo, Microsoft Excel y el Diseñador de informes) no pueden usar la autentificación a través de SiteMinder. Sin embargo, Oracle Smart View for Office puede usar la autentificación de SiteMinder.

Flujo de procesos

Descripción general ilustrada del inicio de sesión único activado para SiteMinder:


Proceso de inicio de sesión único de SiteMinder

Proceso de inicio de sesión único de SiteMinder:

  1. Los usuarios intentan acceder a un recurso de Oracle Enterprise Performance Management System con protección de SiteMinder. Usan una URL que los conecta al servidor web que aplica front-end al servidor de política de SiteMinder, por ejemplo, http://WebAgent_Web_Server_Name:WebAgent_Web_ServerPort/interop/index.jsp.
  2. El servidor web redirige a los usuarios al servidor de políticas, que solicita a los usuarios las credenciales. Tras verificar las credenciales en los directorios de usuario configurados, el servidor de políticas transfiere las credenciales al servidor web que aloja el agente web de SiteMinder.
  3. El servidor web que aloja el agente web de SiteMinder redirige la solicitud a la instancia de Oracle HTTP Server que aplica front-end a EPM System. Oracle HTTP Server redirige a los usuarios a la aplicación solicitada desplegada en Oracle WebLogic Server.
  4. El componente EPM System comprueba la información de aprovisionamiento y ofrece contenido. Para que este proceso funcione, los directorios de usuario que usa SiteMinder para autentificar al usuario se deben configurar como directorios de usuarios externos en EPM System. Estos directorios se deben configurar como de confianza.

Consideraciones especiales

SiteMinder es una solución solo para web. Las aplicaciones de escritorio y sus complementos (por ejemplo, Microsoft Excel y el Diseñador de informes) no pueden usar la autentificación a través de SiteMinder. Sin embargo, Smart View puede usar la autentificación de SiteMinder.

Requisitos

  1. Una instalación de SiteMinder totalmente funcional que incluya los siguientes componentes:
    • Servidor de políticas de SiteMinder en los que se han definido las políticas y los objetos de agentes
    • Agente web de SiteMinder instalado en el servidor web que aplica front-end al servidor de políticas de SiteMinder
  2. Un despliegue de EPM System totalmente funcional.

    Al configurar el servidor web para componentes de EPM System, EPM System Configurator configura mod_wl_ohs.conf en las solicitudes de proxy a WebLogic Server.

Activación del agente web de SiteMinder

El agente web está instalado en un servidor web que intercepta las solicitudes para los recursos de EPM System. Los intentos realizados por usuarios no autentificados de acceder a recursos protegidos de EPM System fuerza al agente web a solicitar a los usuarios a las credenciales de inicio de sesión único. Cuando se autentifica un usuario, el servidor de directivas agrega el nombre de inicio de sesión del usuario autentificado, que se encuentra en la cabecera. Después, la solicitud HTTP se transfiere al servidor web de EPM System, que redirige las solicitudes. Los componentes de EPM System extraen de las cabeceras las credenciales de usuario autentificadas.

SiteMinder soporta el inicio de sesión único en los productos de EPM System que se ejecuten en plataformas de servidor web heterogéneas. Si los productos de EPM System utilizan diferentes servidores web, deberá asegurarse de que la cookie de SiteMinder se pueda transferir entre los servidores web del mismo dominio. Para ello, tendrá que especificar el dominio de aplicación de EPM System apropiado como valor de la propiedad Cookiedomain en el archivo WebAgent.conf de cada servidor web.

Consulte la sección sobre configuración de agentes web en Netegrity SiteMinder Agent Guide (Guía de Netegrity SiteMinder Agent).

Nota:

Dado que Servicios compartidos de Oracle Hyperion utiliza autentificación básica para proteger su contenido, el servidor web que intercepta solicitudes para Servicios compartidos debería permitir autentificación básica para soportar el inicio de sesión único con SiteMinder.

Para configurar el agente web, ejecute el asistente de configuración de agente web de SiteMinder (al ejecutar WEBAGENT_HOME/install_config_info/nete-wa-config, por ejemplo, C:\netegrity\webagent\install_config_info\nete-wa-config.exe en Windows). El proceso de configuración crea un WebAgent.conf para el servidor web de SiteMinder.

Para activar el agente web de SiteMinder:

  1. Mediante un editor de texto, abra WebAgent.conf. La ubicación de este archivo depende del servidor web que esté usando.
  2. Establezca el valor de la propiedad enableWebAgent en Yes.
    enableWebAgent="YES"
  3. Guarde y cierre el archivo de configuración del agente web.

Ejemplo 3-1 Configuración del servidor de directivas de SiteMinder

Es preciso que un administrador de SiteMinder configure el servidor de directivas para habilitar el inicio de sesión único en los productos de EPM System.

El proceso de configuración consta de:

  • Creación de un agente web de SiteMinder y adición de objetos de configuración adecuado para el servidor web de SiteMinder
  • Creación de un dominio para cada recurso de EPM System que se deba proteger y agregando el agente web al dominio. Consulte Recursos que proteger
  • En el dominio que se ha creado para los recursos de EPM System protegidos, cree dominios para recursos no protegidos. Consulte Recursos que desproteger
  • Creación de una referencia de cabecera HTTP. La cabecera debe proporcionar el valor de Login Attribute a aplicaciones de EPM System. Consulte la sección sobre configuración de OID, Active Directory y otros directorios de usuarios basados en LDAP en Guía de administración de seguridad de usuarios de Oracle Enterprise Performance Management System para obtener una descripción breve de Login Attribute.
  • Creación de reglas en los dominios con Get, Post y Put como acciones de agente web
  • Creación de un atributo de respuesta con hyplogin=<%userattr="SM_USERLOGINNAME"%> como valor
  • Creación de una política, asignación de acceso al directorio de usuario y adición de reglas que haya creado para EPM System a la lista de miembros actuales
  • Establecimiento de respuestas para las reglas que haya creado para los componentes de EPM System

Ejemplo 3-2 Configuración del servidor web de SiteMinder para reenviar solicitudes al servidor web de EPM System

Configure el servidor web que aloje el agente web de SiteMinder para reenviar solicitudes de usuarios autentificadores (que incluyan la cabecera que identifica al usuario) al servidor web de EPM System.

Para servidores web basados en Apache, utilice directivas similares a las siguientes para reenviar las solicitudes autentificadas:

ProxyPass / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPassReverse / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPreserveHost On
#If SiteMinder Web Server is using HTTPS but EPM Web Server is using HTTP
RequestHeader set WL-Proxy-SSL true

En esta directiva, reemplace EPM_WEB_SERVER y EPM_WEB_SERVER_PORT por los valores reales de su entorno.

Ejemplo 3-3 Habilitación de SiteMinder en EPM System

La integración con SiteMinder requiere que se habilite la autentificación de SiteMinder para los productos de EPM System. Consulte Configuración de EPM System para inicio de sesión único.