Présentation
Les produits Oracle Enterprise Performance Management System prennent en charge l'authentification unique Kerberos si le serveur d'applications qui héberge les produits EPM System est configuré pour l'authentification Kerberos.
Kerberos est un service d'authentification sécurisé dans lequel chaque client Kerberos approuve les identités d'autres clients Kerberos (utilisateurs, services réseau, etc.).
Voici ce qui se produit lorsqu'un utilisateur accède à un produit EPM System :
Limites de la prise en charge
L'authentification unique Kerberos est prise en charge pour tous les produits EPM System, sauf dans les cas suivants:
Hypothèses
Ce document, qui contient les étapes de configuration de Kerberos au niveau de l'application, requiert des connaissances préalables quant à la configuration de Kerberos au niveau du système. Avant de commencer ces procédures, confirmez que les prérequis de ces tâches sont remplis.
Ce document suppose que vous travaillez dans un environnement réseau complètement fonctionnel et compatible avec Kerberos, dans lequel les machines clientes Windows sont configurées pour l'authentification Kerberos.
Authentification unique Kerberos avec WebLogic Server
L'authentification unique Kerberos avec Oracle WebLogic Server utilise l'asserteur de négociation d'identités pour négocier et décoder les jetons SPNEGO afin d'activer l'authentification unique avec les clients Microsoft. WebLogic Server décode les jetons SPNEGO pour obtenir un ticket Kerberos, puis valide ce ticket et le mappe avec un utilisateur WebLogic Server. Vous pouvez utiliser l'authentificateur Active Directory de WebLogic Server avec l'asserteur de négociation d'identités afin de configurer Active Directory comme annuaire pour les utilisateurs WebLogic Server.
Lorsque le navigateur demande l'accès à un produit EPM System, KDC envoie un ticket Kerberos au navigateur, qui crée un jeton SPNEGO contenant les types de jeton GSS pris en charge. L'asserteur de négociation d'identités décode le jeton SPNEGO et utilise les API GSS pour accepter le contexte de sécurité. L'identité de l'utilisateur à l'origine de la requête est mappée sur un nom d'utilisateur et renvoyée au serveur WebLogic. Par ailleurs, WebLogic Server détermine les groupes auxquels appartient l'utilisateur. A ce stade, le produit EPM System demandé devient disponible pour l'utilisateur.
Remarque :
Les utilisateurs doivent disposer d'un navigateur qui prend en charge SPNEGO (par exemple, Internet Explorer ou Firefox) pour accéder aux produits EPM System en cours d'exécution sur WebLogic Server.
A l'aide de l'ID utilisateur dérivé du processus d'authentification, le processus d'autorisation du produit EPM System vérifie les données de provisionnement. L'accès au produit EPM System est restreint en fonction des données de provisionnement.
Procédures WebLogic Server permettant de prendre en charge l'authentification Kerberos
Un administrateur doit réaliser ces tâches pour permettre la prise en charge de l'authentification Kerberos :
Création du domaine WebLogic pour EPM System
En règle générale, les composants EPM System sont déployés dans le domaine WebLogic EPMSystem
(l'emplacement par défaut est MIDDLEWARE_HOME/user_projects/domains/EPMSystem
).
Pour configurer le domaine WebLogic EPM System pour l'authentification Kerberos, procédez comme suit :
Le déploiement Foundation Services crée le domaine WebLogic EPM System par défaut.
Création d'un fournisseur d'authentification LDAP dans WebLogic Server
Un administrateur WebLogic Server crée le fournisseur d'authentification LDAP, qui stocke les informations sur les utilisateurs et les groupes sur un serveur LDAP externe. Les serveurs compatibles LDAP v2 ou v3 fonctionnent avec WebLogic Server. Reportez-vous aux références suivantes :
Création d'un asserteur de négociation d'identités
Le fournisseur d'assertion de négociation d'identités active l'authentification unique avec les clients Microsoft. Il décode les jetons SPNEGO pour obtenir des jetons Kerberos, valide les jetons Kerberos et les mappe avec les utilisateurs WebLogic. Le fournisseur d'assertion de négociation d'identités, implémentation de l'interface du fournisseur de services de sécurité (SSPI) comme défini dans la structure de sécurité WebLogic, fournit la logique requise pour l'authentification d'un client à l'aide de son jeton SPNEGO.
Lors de la création d'un fournisseur d'assertion de négociation d'identités, définissez l'option d'indicateur de contrôle JAAS sur SUFFICIENT
pour tous les éléments d'authentification. Reportez-vous à la section "Définir l'indicateur de contrôle JAAS" dans l'Aide en ligne Oracle Fusion Middleware sur la console d'administration d'Oracle WebLogic Server.
Création de l'identification Kerberos pour WebLogic Server
Sur l'ordinateur du contrôleur de domaine Active Directory, créez des objets utilisateur qui représentent WebLogic Server et le serveur Web EPM System, puis mappez-les avec les noms de principal de service (SPN) qui représentent votre instance WebLogic Server et votre serveur Web dans le domaine de sécurité Kerberos. Les clients ne peuvent pas localiser un service qui n'a pas de SPN. Vous stockez les SPN dans des fichiers keytab qui sont copiés dans le domaine WebLogic Server utilisé dans le processus de connexion.
Pour connaître les procédures détaillées, reportez-vous à la section Création de l'identification pour WebLogic Server dans le guide Oracle Fusion Middleware sur la sécurisation d'Oracle WebLogic Server.
Pour créer l'identification Kerberos pour WebLogic Server, procédez comme suit :
epmHost
) pour l'ordinateur qui héberge le domaine WebLogic Server.
Remarque :
Créez l'identification en tant qu'objet utilisateur, et non comme un ordinateur.Utilisez le nom simple de l'ordinateur (par exemple, epmHost
si l'hôte s'appelle epmHost.example.com
).
Enregistrez le mot de passe employé lors de la création de l'objet utilisateur. Vous devrez créer des SPN.
Ne sélectionnez aucune option de mot de passe, en particulier L'utilisateur doit modifier son mot de passe lors de la prochaine connexion
.
Ne pas exiger de pré-authentification Kerberos
) n'est sélectionnée.epmHost
) que vous avez créé à l'étape 1 de cette procédure.
setspn -L epmHost
ktpass -princ HTTP/epmHost.example.com@EXAMPLE.COM -pass password -mapuser epmHost -out c:\epmHost.keytab
MIDDLEWARE_HOME/jdk/bin
.ktab -k keytab_filename -a epmHost@example.com
C:\Oracle\Middleware\user_projects\domains\EPMSystem
).kinit -k -t keytab-file account-name
Dans cette commande, account-name
indique le principal Kerberos (par exemple, HTTP/epmHost.example.com@EXAMPLE.COM
). La sortie de cette commande doit ressembler à ceci :
New ticket is stored in cache file C:\Documents and Settings\Username\krb5cc_MachineB
Mise à jour des options de JVM pour Kerberos
Reportez-vous aux sections Utilisation d'arguments de démarrage pour l'authentification Kerberos avec WebLogic Server et Création d'un fichier de connexion JAAS du guide Oracle Fusion Middleware sur la sécurisation d'Oracle WebLogic Server 12c version (12.2.1.4).
Si les serveurs gérés EPM System sont exécutés en tant que services Windows, mettez à jour le registre Windows pour définir les options de démarrage de JVM.
Pour mettre à jour les options de démarrage de JVM dans le registre Windows, procédez comme suit :
Remarque :
Les noms répertoriés dans le tableau suivant sont des exemples.
Tableau 3-4 Options de démarrage de JVM pour l'authentification Kerberos
Nom | Type | Données |
---|---|---|
JVMOption44 | REG_SZ | -Djava.security.krb5.realm=Nom du domaine de sécurité Active Directory |
JVMOption45 | REG_SZ | -Djava.security.krb5.kdc=Adresse IP ou nom d'hôte pour Active Directory |
JVMOption46 | REG_SZ | -Djava.security.auth.login.config=Emplacement du fichier de configuration de connexion Kerberos |
JVMOption47 | REG_SZ | -Djavax.security.auth.useSubjectCredsOnly=false |
Mettez à jour la valeur de JVMOptionCount DWord pour refléter l'ajout de JVMOptions (ajoutez 4 à la valeur décimale actuelle).
Configuration des stratégies d'autorisation
Reportez-vous à la section Options de sécurisation de l'application Web et des ressources EJB dans le guide Oracle Fusion Middleware sur la sécurisation des ressources à l'aide de rôles et de stratégies pour Oracle WebLogic Server afin d'obtenir des informations sur la configuration de stratégies d'autorisation pour les utilisateurs Active Directory qui accèdent à EPM System.
Pour des exemples d'étapes de configuration de stratégies, reportez-vous à la section Création de stratégies pour SSODiag.
Utilisation de SSODiag pour tester l'environnement Kerberos
SSODiag est une application Web de diagnostic qui permet de tester si l'instance WebLogic Server de votre environnement Kerberos est prête à prendre en charge EPM System.
Déploiement de SSODiag
Pour déployer SSODiag, utilisez les informations d'identification de l'administrateur WebLogic Server (le nom d'utilisateur par défaut est epm_admin
) que vous avez indiquées lors du déploiement de Foundation Services.
Pour déployer et configurer SSOdiag, procédez comme suit :
Dans le centre de modifications, sélectionnez Verrouiller et modifier.
/products/Foundation/AppServer/InstallableApps/common/SSODiag.war
.Configuration d'Oracle HTTP Server pour SSODiag
Mettez à jour mod_wl_ohs.conf
pour configurer Oracle HTTP Server afin qu'il transmette les demandes d'URL SSODiag à WebLogic Server.
Pour configurer la transmission d'URL dans Oracle HTTP Server, procédez comme suit :
/httpConfig/ohs/config/fmwconfig/components/OHS/ohs_component/mod_wl_ohs.conf
dans un éditeur de texte.LocationMatch
pour SSODiag :
<LocationMatch /SSODiag/> SetHandler weblogic-handler WeblogicCluster myServer:28080 </LocationMatch>
Dans l'exemple précédent, myServer
désigne l'ordinateur hôte de Foundation Services, et 28080
représente le port sur lequel Oracle Hyperion Shared Services écoute les demandes.
mod_wl_ohs.conf
.Création de stratégies pour SSODiag
Créez une stratégie dans la console d'administration WebLogic Server pour protéger l'URL SSODiag suivante.
http://OHS_HOST_NAME:PORT/SSODiag/krbssodiag
Dans cet exemple, OHS_HOST_NAME
indique le nom du serveur qui héberge Oracle HTTP Server, et PORT
représente le port sur lequel Oracle HTTP Server écoute les demandes.
Pour créer des stratégies visant à protéger SSODiag :
/
/index.jsp
krbuser1
). Ensuite, sélectionnez Ajouter. krbuser1
est un utilisateur de bureau Windows ou Active Directory.Sélectionnez Enregistrer.
Utilisation de SSODiag pour tester la configuration de WebLogic Server pour l'authentification Kerberos
Si la configuration de WebLogic Server pour l'authentification Kerberos fonctionne correctement, la page de l'utilitaire de diagnostic SSO Oracle Hyperion Kerberos V 1.0 apparaît avec le message suivant :
Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved... SOME_USER_NAME
Prudence :
Ne configurez pas les composants EPM System pour l'authentification Kerberos si SSODiag ne peut pas extraire le nom de principal Kerberos.
Pour tester la configuration de WebLogic Server pour l'authentification Kerberos, procédez comme suit :
http://OHS_HOST_NAME:PORT/SSODiag/krbssodiag
Dans cet exemple, OHS_HOST_NAME
indique le nom du serveur qui héberge Oracle HTTP Server, et PORT
représente le port sur lequel Oracle HTTP Server écoute les demandes.
Si l'authentification Kerberos fonctionne correctement, SSODiag affiche les informations suivantes :
Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved... SOME_USER_NAME
Si l'authentification Kerberos ne fonctionne pas correctement, SSODiag affiche les informations suivantes :
Retrieving Kerberos User principal name... failed.
Modification du modèle de sécurité
Le modèle de sécurité par défaut des applications Web protégées par le domaine de sécurité est DDonly
. Vous devez remplacer le modèle de sécurité par CustomRolesAndPolicies
.
Pour modifier le modèle de sécurité, procédez comme suit :
MIDDLEWARE_HOME/user_projects/domains/EPMSystem/config/config.xml
.<security-dd-model>DDOnly</security-dd-model>
<security-dd-model>CustomRolesAndPolicies</security-dd-model>
config.xml
.Mise à jour de la configuration de sécurité d'EPM System
Modifiez la configuration de sécurité d'EPM System pour activer l'authentification Kerberos.
Pour configurer EPM System pour l'authentification Kerberos, procédez comme suit :
Dans Options de sécurité, sélectionnez les paramètres du tableau suivant pour activer l'authentification unique Kerberos.
Tableau 3-5 Paramètres permettant d'activer l'authentification unique Kerberos
Champ | Paramètre obligatoire |
---|---|
Activer l'authentification unique | Sélectionné |
Fournisseur ou agent d'authentification unique | Autre |
Mécanisme SSO | Obtenir les utilisateurs à distance à partir d'une requête HTTP |
Test de l'authentification unique Kerberos
Connectez-vous à Foundation Services pour vérifier que l'authentification unique Kerberos fonctionne correctement.
Pour tester l'authentification unique Kerberos, procédez comme suit :
Configuration des composants EPM System
A l'aide du configurateur EPM System, configurez et déployez d'autres composants EPM System dans le domaine WebLogic où Foundation Services est déployé.
Configuration des serveurs gérés EPM System pour l'authentification Kerberos
Dans les environnements Microsoft Windows, les serveurs gérés EPM System sont exécutés en tant que services Windows. Vous devez modifier les options de démarrage de JVM pour chaque serveur géré WebLogic. Liste exhaustive des serveurs gérés en mode de déploiement non compact :
Si les applications Web EPM System sont déployées en mode de déploiement compact, vous devez mettre à jour les options de démarrage de JVM du serveur géré EPMSystem0
uniquement. Si vous avez plusieurs serveurs gérés compacts, vous devez mettre à jour les options de démarrage de JVM pour tous les serveurs gérés.
Reportez-vous à la section Utilisation d'arguments de démarrage pour l'authentification Kerberos avec WebLogic Server dans le guide Oracle Fusion Middleware sur la sécurisation d'Oracle WebLogic Server.
Remarque :
La procédure suivante décrit la configuration des options de démarrage de JVM pour le serveur géré FoundationServices. Vous devez effectuer cette tâche pour chaque serveur géré WebLogic du déploiement.Pour obtenir des procédures détaillées de configuration des options de JVM dans les scripts de démarrage WebLogic Server, reportez-vous à la section Mise à jour des options de JVM pour Kerberos.
Pour configurer les options de JVM dans les scripts de démarrage WebLogic Server, procédez comme suit :
Configuration des stratégies d'autorisation
Configurez les stratégies d'autorisation pour les utilisateurs Active Directory qui ont accès à des composants EPM System autres que Foundation Services. Pour plus d'informations sur la configuration des stratégies de sécurité dans la console d'administration WebLogic, reportez-vous à la section Configuration des stratégies d'autorisation.
Modification du modèle de sécurité par défaut des composants EPM System
Pour modifier le modèle de sécurité par défaut, vous devez modifier le fichier de configuration EPM System. Pour les déploiements EPM System non compacts, vous devez modifier le modèle de sécurité par défaut de chaque application Web EPM System enregistrée dans config.xml
. Liste des applications Web EPM System :
Pour modifier le modèle de sécurité, procédez comme suit :
MIDDLEWARE_HOME/user_projects/domains/EPMSystem/config/config.xml
<security-dd-model>
sur CustomRolesAndPolicies
, comme dans l'exemple suivant :
<app-deployment> <name>SHAREDSERVICES#11.1.2.0</name> <target>EPMServer</target> <module-type>ear</module-type> <source-path>C:\Oracle\Middleware\EPMSystem11R1/products/Foundation/AppServer/InstallableApps/common/interop.ear</source-path> <security-dd-model>CustomRolesAndPolicies</security-dd-model> <staging-mode>nostage</staging-mode> </app-deployment>
config.xml
.Création de stratégies de protection d'URL pour les composants EPM System
Créez une stratégie de protection d'URL dans la console d'administration WebLogic Server pour protéger toutes les URL des composants EPM System. Pour plus de détails, reportez-vous à la section Options de sécurisation des applications Web et des ressources EJB dans le guide Oracle Fusion Middleware sur la sécurisation des ressources à l'aide de rôles et de stratégies pour Oracle WebLogic Server.
Pour créer des stratégies de protection d'URL, procédez comme suit :
PLANNING
) dans votre déploiement, puis cliquez sur l'application Web correspondante (par exemple, HyperionPlanning
). Reportez-vous à la section Modification du modèle de sécurité par défaut des composants EPM System pour obtenir la liste des composants EPM System.
Remarque :
Certaines applications d'entreprise, comme Oracle Essbase Administration Services, comprennent plusieurs applications Web dont les modèles d'URL doivent être définis.Oracle recommande d'utiliser la condition Groupe
, qui applique cette condition de sécurité à tous les membres d'un groupe spécifique.
Groupe
à l'étape précédente, procédez comme suit :WebLogic Server affiche un message d'erreur s'il ne parvient pas à localiser le groupe dans Active Directory. Vous devez corriger cette erreur avant de continuer.
Activer l'authentification par certificat client dans les applications Web
Insérez la définition login-config
dans le fichier de configuration des archives d'application suivantes dans EPM_ORACLE_HOME/products/
.
Essbase/eas/server/AppServer/InstallableApps/Common/eas.ear
FinancialDataQuality/AppServer/InstallableApps/aif.ear
financialreporting/InstallableApps/HReports.ear
Profitability/AppServer/InstallableApps/common/profitability.ear
Pour activer l'authentification par certificat client, procédez comme suit :
EPM_ORACLE_HOME/products/Essbase/eas/server/AppServer/InstallableApps/Common/eas.ear/eas.war
.WEB-INF
.web.xml
en ajoutant la définition login_config
suivante juste avant l'élément </webapp>
:
<login-config> <auth-method>CLIENT-CERT</auth-method> </login-config>
web.xml
.Mise à jour de la configuration de sécurité d'EPM System
Configurez la sécurité EPM System dans l'optique de l'authentification unique. Reportez-vous à la section Configuration de EPM System pour l'authentification unique.