Autentificación de usuario

La autentificación de usuario permite el inicio de sesión único (SSO) en todos los componentes de Oracle Enterprise Performance Management System mediante la validación de la información de inicio de sesión proporcionada por cada usuario. La autentificación de los usuarios, junto con la autorización específica del componente, otorga al usuario acceso a componentes de EPM System. El proceso de otorgamiento de autorizaciones se denomina aprovisionamiento.

Componentes de autentificación

En las secciones siguientes se describen los componentes compatibles con el inicio de sesión único:

Directorio nativo

Directorio nativo hace referencia a la base de datos relacional que Servicios compartidos de Oracle Hyperion utiliza para las tareas de aprovisionamiento y almacenar datos de inicialización, como cuentas de usuario predeterminadas.

Funciones del directorio nativo:

  • Mantener y gestionar las cuentas de usuario predeterminadas de EPM System

  • Almacenar toda la información de aprovisionamiento de EPM System (relaciones entre usuarios, grupos y roles)

El acceso y la gestión del directorio nativo se realizan a través de Consola de Servicios compartidos de Oracle Hyperion. Consulte "Gestión del directorio nativo" en la Guía de administración de seguridad de usuarios de Oracle Enterprise Performance Management System.

Directorios de usuario externos

Los directorios de usuario hacen referencia a un usuario corporativo y sistemas de gestión de identidades compatible con los componentes de EPM System.

Los componentes de EPM System están soportados en varios directorios de usuario, incluidos los directorios de usuario basados en LDAP, por ejemplo, Oracle Internet Directory, Sun Java System Directory Server (anteriormente SunONE Directory Server) y Microsoft Active Directory. También se admiten las bases de datos relacionales como directorios de usuario. Los directorios de usuario que no sean el directorio nativo se denominan directorios de usuario externos a lo largo de este documento.

Para obtener una lista de directorios de usuario soportados, consulte la página Matriz de certificación de Oracle Enterprise Performance Management System publicada en la página Configuraciones soportadas del sistema de Oracle Fusion Middleware de Oracle Technology Network (OTN).

En Consola de Servicios compartidos, puede configurar muchos directorios de usuario externo como origen para usuarios y grupos de EPM System. Cada usuario de EPM System debe tener una cuenta única en un directorio de usuario configurado. Normalmente, los usuarios de EPM System se asignan a los grupos para facilitar el aprovisionamiento.

Inicio de sesión único predeterminado de EPM System

EPM System soporta el inicio de sesión único en aplicaciones web de EPM System al permitir a los usuarios autentificados en una aplicación para navegar de forma continua a otras aplicaciones sin volver a introducir credenciales. El inicio de sesión único se implanta al integrar un entorno de seguridad común que gestione la autenticación y el aprovisionamiento de usuarios (autorización basada en roles) en componentes de EPM System.

En la ilustración siguiente se muestra el proceso de inicio de sesión único predeterminado.


Inicio de sesión único directo en componentes

  1. A través de un explorador, los usuarios obtienen acceso a la pantalla de inicio de sesión del componente de EPM System e introducen un nombre de usuario y contraseña.

    El componente de EPM System consulta los directorios de usuario configurados (incluido el directorio nativo) para verificar las credenciales del usuario. Cuando se localiza la cuenta de usuario que coincide con las credenciales indicadas, la búsqueda finaliza y se devuelve la información del usuario al componente de EPM System.

    El acceso quedará denegado si no se encuentra ninguna cuenta de usuario en ninguno de los directorios de usuario configurados.

  2. Por medio de la información de usuario recuperada, el componente de EPM System obtiene los datos de aprovisionamiento para el usuario del directorio nativo.

  3. El componente de EPM System comprueba la lista de control de acceso (ACL) en el componente para determinar los artefactos de aplicación al que puede acceder el usuario.

Después de recibir la información de aprovisionamiento del directorio nativo, el componente de EPM System estará ya disponible para el usuario. En este momento, también se encontrará activado el inicio de sesión único para todos los componentes de EPM System para los que se haya aprovisionado al usuario.

Inicio de sesión único desde sistemas de gestión de acceso

Para proteger aún más los componentes de EPM System, puede implantar un sistema de gestión de acceso soportado como Oracle Access Manager o SiteMinder, que pueden proporcionar al usuario autentificado credenciales para acceder a los componentes de EPM System y controlar el acceso en función de los privilegios de acceso predefinidos.

El inicio de sesión único desde agentes de seguridad solo se encuentra disponible para aplicaciones web de EPM System. En este tipo de escenario, los componentes de EPM System utilizan la información de usuario proporcionada por el agente de seguridad para determinar los permisos de acceso de los usuarios. Para mayor seguridad, Oracle recomienda que se bloquee el acceso directo a los servidores por medio de un cortafuegos para que todas las solicitudes se enruten a través de un portal de inicio de sesión único.

El inicio de sesión único desde sistemas de gestión de acceso es compatible si se aceptan las credenciales de usuario autentificadas a través de un mecanismo de inicio de sesión único aceptable. Consulte Métodos de inicio de sesión único soportados. El sistema de gestión de acceso autentifica a los usuarios y transfiere el nombre de inicio de sesión a EPM System. EPM System verifica el nombre de inicio de sesión en los directorios de usuario configurados.

Consulte estos temas.

El siguiente esquema ilustra el concepto:


Inicio de sesión único desde sistemas externos

  1. Con un explorador, los usuarios solicitan acceso a un recurso protegido por un sistema de gestión de acceso, por ejemplo, Oracle Access Manager o SiteMinder.

    Nota:

    Los componentes de EPM System se definen como recursos protegidos por el sistema de gestión de acceso.

    El sistema de gestión de acceso intercepta la solicitud y presenta una pantalla de inicio de sesión. Los usuarios introducen un nombre de usuario y contraseña, que se validan con la ayuda de los directorios de usuario configurados en el sistema de gestión de acceso para verificar la autenticidad del usuario. Los componentes de EPM System también se configuran para que funcionen con estos directorios de usuario.

    La información sobre el usuario autentificado se transfiere al componente de EPM System, que acepta como válida la información.

    El sistema de gestión de acceso transfiere el nombre de inicio de sesión del usuario (valor de Login Attribute) al componente de EPM System con un mecanismo de inicio de sesión único aceptable. Consulte Métodos de inicio de sesión único soportados.

  2. Para comprobar las credenciales de un usuario, el componente de EPM System intenta localizarlo en un directorio de usuario. Si se encuentra una cuenta de usuario que coincida con dichos datos, se devolverá esta información al componente de EPM System. La seguridad de EPM System establece el símbolo de SSO que permita el inicio de sesión único en los componentes de EPM System.

  3. Por medio de la información de usuario recuperada, el componente de EPM System obtiene los datos de aprovisionamiento para el usuario del directorio nativo.

    El componente de EPM System se encontrará por fin disponible para el usuario después de recibir esta información de aprovisionamiento. El inicio de sesión único quedará activado para todos los componentes de EPM System para los que se haya aprovisionado al usuario.