Authentification unique SiteMinder

SiteMinder est une solution Web uniquement. Les applications de bureau et leurs compléments (par exemple, Microsoft Excel et Concepteur de rapports) ne peuvent pas utiliser l'authentification via SiteMinder. Toutefois, Oracle Smart View for Office peut utiliser une authentification SiteMinder.

Flux de processus

Présentation illustrée de l'activation SSO pour SiteMinder


Processus d'authentification unique SiteMinder

Le processus SSO pour SiteMinder :

  1. Les utilisateurs tentent d'accéder à une ressource Oracle Enterprise Performance Management System protégée par SiteMinder. Ils utilisent une URL qui les connecte au serveur Web faisant office de serveur frontal pour le serveur de stratégie SiteMinder, par exemple http://WebAgent_Web_Server_Name:WebAgent_Web_ServerPort/interop/index.jsp.
  2. Le serveur Web redirige les utilisateurs vers le serveur de stratégie qui invite les utilisateurs à fournir des informations d'identification. Après avoir vérifié les informations d'identification par rapport aux annuaires des utilisateurs configurés, le serveur de stratégie les transmet au serveur Web qui héberge l'agent Web SiteMinder.
  3. Le serveur Web qui héberge l'agent Web SiteMinder redirige la demande vers le serveur Oracle HTTP Server qui fait office de serveur frontal pour EPM System. Oracle HTTP Server redirige les utilisateurs vers l'application demandée, déployée sur Oracle WebLogic Server.
  4. Le composant EPM System vérifie les informations de provisionnement et transmet le contenu. Pour que ce processus fonctionne, les annuaires des utilisateurs utilisés par SiteMinder pour authentifier les utilisateurs doivent être configurés en tant qu'annuaires des utilisateurs externes dans EPM System. Ces annuaires doivent être configurés en tant que source sécurisée.

Remarques particulières

SiteMinder est une solution Web uniquement. Les applications de bureau et leurs compléments (par exemple, Microsoft Excel et Concepteur de rapports) ne peuvent pas utiliser l'authentification via SiteMinder. Toutefois, Smart View peut utiliser une authentification SiteMinder.

Prérequis

  1. Une installation SiteMinder entièrement fonctionnelle comprenant les composants suivants :
    • Un serveur de stratégie SiteMinder sur lequel les stratégies et les objets d'agent sont définis
    • Un agent Web SiteMinder installé sur le serveur Web faisant office de serveur frontal pour le serveur de stratégie SiteMinder
  2. Un déploiement EPM System entièrement fonctionnel.

    Lorsque vous configurez le serveur Web pour les composants EPM System, le configurateur EPM System configure mod_wl_ohs.conf pour les demandes proxy du serveur WebLogic.

Activation de l'agent Web SiteMinder

L'agent Web est installé sur un serveur Web qui intercepte les demandes de ressources EPM System. Les tentatives d'accès à des ressources EPM System protégées par des utilisateurs non authentifiés force l'agent Web à inviter les utilisateurs à fournir des informations d'identification SSO. Lorsqu'un utilisateur est authentifié, le serveur de stratégies ajoute le nom de connexion de l'utilisateur authentifié, qui est contenu dans l'en-tête. Ensuite, la demande HTTP est transmise au serveur Web EPM System, qui redirige les demandes. Les composants EPM System extraient les informations d'identification des utilisateurs authentifiés à partir des en-têtes.

SiteMinder prend en charge l'authentification unique entre les produits EPM System en cours d'exécution sur des plates-formes de serveur Web hétérogènes. Si les produits EPM System utilisent des serveurs Web différents, vous devez vous assurer que le cookie SiteMinder peut être transmis entre les serveurs Web du même domaine. Pour ce faire, vous spécifiez le domaine d'application EPM System approprié comme valeur de la propriété Cookiedomain dans le fichier WebAgent.conf de chaque serveur Web.

Reportez-vous à la section "Configuration des agents Web" dans le Guide de l'agent Netegrity SiteMinder.

Remarque :

Etant donné qu'Oracle Hyperion Shared Services utilise l'authentification de base pour protéger son contenu, le serveur Web qui intercepte les demandes à Shared Services doit activer l'authentification de base pour prendre en charge SSO avec SiteMinder.

Vous configurez l'agent Web en exécutant l'assistant de configuration de l'agent Web SiteMinder (en exécutant WEBAGENT_HOME/install_config_info/nete-wa-config, par exemple, C:\netegrity\webagent\install_config_info\nete-wa-config.exe sur Windows). Le processus de configuration crée un élément WebAgent.conf pour le serveur Web SiteMinder.

Pour activer l'agent Web SiteMinder, procédez comme suit :

  1. A l'aide d'un éditeur de texte, ouvrez le fichier WebAgent.conf. L'emplacement de ce fichier dépend du serveur Web que vous utilisez.
  2. Définissez la valeur de la propriété enableWebAgent sur Yes.
    enableWebAgent="YES"
  3. Enregistrez et fermez le fichier de configuration de l'agent Web.

Exemple 3-1 Configuration du serveur de stratégie SiteMinder

Un administrateur SiteMinder doit configurer le serveur de stratégies pour activer l'authentification unique aux produits EPM System.

Le processus de configuration implique les opérations suivantes :

  • Créer un agent Web SiteMinder et ajouter les objets de configuration adéquats pour le serveur Web SiteMinder.
  • Créer un domaine pour chaque ressource EPM System qui doit être protégée et ajouter l'agent Web au domaine. Reportez-vous à la section Ressources à protéger.
  • Dans le domaine créé pour les ressources EPM System protégées, créer des domaines pour les ressources non protégées. Reportez-vous à la section Ressources à déprotéger.
  • Créer une référence d'en-tête HTTP. L'en-tête doit fournir la valeur Attribut de connexion aux applications EPM System. Reportez-vous à la section "Configuration d'OID, d'Active Directory et d'autres annuaires des utilisateurs LDAP" du Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System pour obtenir une brève description de la valeur Attribut de connexion.
  • Créer des règles dans les domaines avec Get, Post et Put comme actions d'agent Web.
  • Créer un attribut de réponse avec hyplogin=<%userattr="SM_USERLOGINNAME"%> en tant que valeur.
  • Créer une stratégie, affecter l'accès à l'annuaire des utilisateurs et ajouter les règles que vous avez créées pour EPM System à la liste Membres en cours.
  • Définir les réponses pour les règles pour vous avez créées pour les composants EPM System

Exemple 3-2 Configuration du serveur Web SiteMinder pour transmettre les demandes au serveur Web EPM System

Configurez le serveur Web qui héberge l'agent Web SiteMinder pour transmettre les demandes provenant d'utilisateurs authentifiés (qui contiennent l'en-tête identifiant l'utilisateur) au serveur Web EPM System.

Pour les serveurs Web Apache, utilisez des directives semblables à ce qui suit pour transmettre les demandes authentifiées :

ProxyPass / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPassReverse / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPreserveHost On
#If SiteMinder Web Server is using HTTPS but EPM Web Server is using HTTP
RequestHeader set WL-Proxy-SSL true

Dans cette directive, remplacez EPM_WEB_SERVER et EPM_WEB_SERVER_PORT par les valeurs réelles correspondant à votre environnement.

Exemple 3-3 Activation de SiteMinder dans EPM System

L'intégration avec SiteMinder exige que vous activiez l'authentification de SiteMinder pour les produitsEPM System. Reportez-vous à la section Configuration de EPM System pour l'authentification unique.