Métodos de inicio de sesión único soportados

El inicio de sesión único exige que la solución de gestión de identidad web transfiera el nombre de inicio de sesión de los usuarios autentificados a Oracle Enterprise Performance Management System. Puede usar los siguientes métodos de EPM System estándar para integrar EPM System con soluciones de inicio de sesión basadas en web comerciales y personalizadas.

Atención:

Como medida de seguridad, Oracle recomienda que implante la autentificación de certificado de cliente (SSL bidireccional) entre el servidor web y el servidor de aplicaciones si su organización utiliza métodos que lleven la identidad de usuario en la cabecera para la propagación de la identidad.

Cabecera HTTP

Si está usando Oracle Single Sign-on (OSSO), SiteMinder u Oracle Access Manager como solución de gestión de identidad web, la seguridad de EPM System selecciona automáticamente la cabecera HTTP personalizada para transferir el nombre de inicio de sesión de los usuarios autentificados a los componentes de EPM System.

El nombre de inicio de sesión de un usuario de productos de EPM System viene determinado por el valor Login Attribute especificado al configurar los directorios de usuario en Servicios compartidos de Oracle Hyperion. Consulte la sección sobre configuración de OID, Active Directory y otros directorios de usuarios basados en LDAP en la Guía de administración de seguridad de usuarios de Oracle Enterprise Performance Management System para obtener una descripción breve de Login Attribute.

La cabecera HTTP debe contener el valor del atributo que se haya establecido como atributo de inicio de sesión. Por ejemplo, si uid es el valor de Login Attribute, la cabecera HTTP deberá llevar el valor de dicho atributo uid.

Consulte la documentación suministrada con la solución de gestión de identidades web para obtener información detallada sobre la definición y la generación de cabeceras HTTP personalizadas.

La seguridad de EPM System analiza la cabecera HTTP y valida el nombre de inicio de sesión que lleva en los directorios de usuario configurados en Servicios compartidos.

Clase de inicio de sesión personalizada

Cuando un usuario inicia sesión, la solución de gestión de identidades web autentifica al usuario contrastando sus datos con un servidor de directorios y encapsula las credenciales de dicho usuario en un mecanismo de SSO a fin de activar el inicio de sesión único en sistemas descendente. Si la solución de gestión de identidades web utiliza un mecanismo no soportado por los productos de EPM System o si el valor del Login Attribute no se encuentra disponible en el mecanismo de inicio de sesión único, deberá utilizar una clase de inicio de sesión personalizada para derivar y transferir el valor del Login Attribute a los productos de EPM System.

Con una clase de inicio de sesión personalizada se permite a EPM System integrar con agentes de seguridad que usen la autentificación basada en certificados X509. Para utilizar este mecanismo de autentificación se requiere la implantación de API de Servicios compartidos estándar a fin de definir la interfaz de inicio de sesión único entre los componentes de EPM System y la solución de gestión de identidades web. La clase de inicio de sesión personalizada debe pasar el valor del atributo de inicio de sesión a los productos de EPM System. Consulte la sección sobre configuración de OID, Active Directory y otros directorios de usuarios basados en LDAP en Guía de administración de seguridad de usuarios de Oracle Enterprise Performance Management System para obtener una descripción breve de Login Attribute. Para conocer los pasos de implantación y código de ejemplo, consulte Implantación de una clase de inicio de sesión personalizada.

Para poder utilizar una clase de inicio de sesión personalizada (el nombre predeterminado es com.hyperion.css.sso.agent.X509CertificateSecurityAgentImpl), debe encontrarse disponible una implantación de la interfaz com.hyperion.css.CSSSecurityAgentIF en la ruta de clase. CSSSecurityAgentIF define el método que utiliza la función de recuperación del nombre de usuario y la contraseña (opcional). Si la interfaz devuelve una contraseña nula, la autentificación de seguridad considerará al proveedor como usuario de confianza y verificará su existencia entre los proveedores configurados. Si la interfaz devuelve un valor no nulo para la contraseña, EPM System intentará autentificar la solicitud utilizando el nombre de usuario y la contraseña devueltas por esta implantación.

CSSSecurityAgentIF comprende dos métodos: getUserName y getPassword.

Método getUserName

Este método devuelve el nombre de usuario para su autentificación.

java.lang.String getUserName(
                    javax.servlet.http.HttpServletRequest req,
                    javax.servlet.http.HttpServletResponse res)
                    throws java.lang.Exception

El parámetro req identifica la solicitud HTTP que lleva la información necesaria para determinar el nombre de usuario. El parámetro res no se utiliza (configuración predefinida para compatibilidad con versiones anteriores).

Método getPassword

Este método devuelve una contraseña en texto no cifrado para la autentificación. La recuperación de la contraseña es opcional.

java.lang.String getPassword(
                    javax.servlet.http.HttpServletRequest req,
                    javax.servlet.http.HttpServletResponse res)
                    throws java.lang.Exception

El parámetro req identifica la solicitud HTTP que lleva la información necesaria para determinar la contraseña. El parámetro res no se utiliza (configuración predefinida para compatibilidad con versiones anteriores).

Cabecera de autorización HTTP

La seguridad de EPM System soporta el uso de una cabecera de autorización HTTP para transferir el valor de Login Attribute a los productos de EPM System desde las soluciones de gestión de identidad web. Los productos de EPM System analizarán la cabecera de autorización para recuperar el nombre de inicio de sesión del usuario.

Obtener usuario remoto de solicitud HTTP

La seguridad de EPM System soporta el uso de una solicitud HTTP para transferir el valor de Login Attribute a los productos de EPM System desde las soluciones de gestión de identidad web. Utilice este método de inicio de sesión único si la solución de gestión de identidades web transfiere la solicitud HTTP que contiene el valor de Login Attribute, que se establece con la función setRemoteUser.

Autenticación basada en cabecera con productos de administración de identidad

EPM System soporta cualquier producto de administración de identidad, como Oracle Identity Cloud Services, Microsoft Azure AD, Okta, que soporten la autenticación basada en cabecera. El flujo de trabajo conceptual es el siguiente:

  • Una puerta de enlace de aplicación que actúa como proxy inverso protege los componentes de EPM System al restringir el acceso a la red no autenticado.
  • La puerta de enlace de la aplicación intercepta las solicitudes HTTPS a componentes de EPM System y garantiza que el producto de administración de identidad autentique los usuarios antes de reenviar las solicitudes a componentes de EPM System.
  • Mientras se reenvían las solicitudes a componentes de EPM System, la puerta de enlace de aplicación propaga la identidad de usuario autenticado al componente de EPM System a través de solicitudes de cabecera HTTP.

Para soportar este escenario de autenticación, se debe configurar EPM System para trabajar con la identidad de usuario autenticada que se haya propagado a través de las solicitudes de cabecera HTTP.