Authentification utilisateur

L'authentification de l'utilisateur active la fonctionnalité d'authentification unique (SSO) dans les composants Oracle Enterprise Performance Management System en validant les informations de connexion de chaque utilisateur pour déterminer les utilisateurs authentifiés. L'authentification utilisateur, ainsi que l'autorisation propre aux composants, donnent à l'utilisateur un accès aux composants EPM System. Le processus d'autorisation est appelé provisionnement.

Composants d'authentification

Les sections suivantes décrivent les composants qui prennent en charge l'authentification unique :

Annuaire natif

L'annuaire natif désigne la base de données relationnelle qu'Oracle Hyperion Shared Services utilise pour prendre en charge le provisionnement et stocker les données de départ telles que les comptes utilisateur par défaut.

Fonctions de l'annuaire natif :

  • Conserver et gérer les comptes utilisateur EPM System par défaut

  • Stocker toutes les informations de provisionnement EPM System (relations entre les utilisateurs, les groupes et les rôles)

Oracle Hyperion Shared Services Console permet d'accéder à l'annuaire natif et de le gérer. Reportez-vous à la section "Gestion de l'annuaire natif" du Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System.

Annuaires des utilisateurs externes

Les annuaires des utilisateurs font référence aux systèmes de gestion des identités et des utilisateurs d'entreprise compatibles avec les composants EPM System.

Les composants EPM System sont pris en charge par plusieurs annuaires des utilisateurs, notamment les annuaires des utilisateurs basés sur LDAP, tels qu'Oracle Internet Directory, Sun Java System Directory Server (anciennement SunONE Directory Server) et Microsoft Active Directory. Les bases de données relationnelles sont également prises en charge en tant qu'annuaires des utilisateurs. Les annuaires des utilisateurs autres que l'annuaire natif sont appelés annuaires des utilisateurs externes dans ce document.

Pour obtenir la liste des annuaires des utilisateurs pris en charge, reportez-vous à la Matrice de certification Oracle Enterprise Performance Management System publiée sur la page Configurations système prises en charge par Oracle Fusion Middleware sur Oracle Technology Network (OTN).

Shared Services Console vous permet de configurer de nombreux annuaires des utilisateurs externes comme source pour les utilisateurs et les groupes EPM System. Chaque utilisateur EPM System doit disposer d'un compte unique dans un annuaire des utilisateurs configuré. En général, les utilisateurs EPM System sont affectés à des groupes pour faciliter le provisionnement.

Authentification unique EPM System par défaut

EPM System prend en charge SSO sur les applications Web EPM System en autorisant les utilisateurs authentifiés d'une application à accéder en toute transparence à d'autres applications sans avoir à entrer de nouveau des informations d'identification. SSO est implémenté par le biais de l'intégration d'un environnement de sécurité commun qui gère le provisionnement et l'authentification des utilisateurs (autorisation basée sur les rôles) pour les composants EPM System.

Le processus SSO par défaut est représenté dans l'illustration suivante.


Authentification unique directe pour les composants

  1. A l'aide d'un navigateur, les utilisateurs accèdent à l'écran de connexion à un composant EPM System et saisissent un nom d'utilisateur et un mot de passe.

    Le composant EPM System envoie une requête aux annuaires des utilisateurs configurés (y compris l'annuaire natif) pour vérifier les informations d'identification de l'utilisateur. Lorsque le compte utilisateur correspondant est trouvé dans un annuaire des utilisateurs, la recherche s'interrompt et les informations de l'utilisateur sont renvoyées au composant EPM System.

    L'accès est refusé si aucun compte utilisateur n'est trouvé dans un annuaire des utilisateurs configuré.

  2. A l'aide des informations d'utilisateur extraites, le composant EPM System envoie une requête à l'annuaire natif pour obtenir les détails de provisionnement de l'utilisateur.

  3. Le composant EPM System vérifie la liste de contrôle d'accès (ACL) pour déterminer à quels artefacts d'application l'utilisateur peut accéder.

Dès réception des informations de provisionnement de l'annuaire natif, le composant EPM System devient disponible pour l'utilisateur. A ce stade, SSO est activé pour tous les composants EPM System pour lesquels l'utilisateur est provisionné.

Authentification unique à partir de systèmes de gestion d'accès

Afin de sécuriser davantage les composants EPM System, vous pouvez implémenter un système de gestion d'accès pris en charge, comme Oracle Access Manager ou SiteMinder, qui peut fournir des informations d'identification d'utilisateur authentifié aux composants EPM System et contrôler l'accès en fonction de privilèges d'accès prédéfinis.

L'authentification unique à partir d'agents de sécurité est disponible pour les applications Web EPM System uniquement. Dans ce scénario, les composants EPM System utilisent les informations utilisateur fournies par l'agent de sécurité pour déterminer les autorisations d'accès des utilisateurs. Pour renforcer la sécurité, Oracle recommande que l'accès direct aux serveurs soit bloqué par des pare-feu. Ainsi, toutes les requêtes sont acheminées via un portail d'authentification unique.

L'authentification unique à partir de systèmes de gestion d'accès est prise en charge en acceptant les informations d'identification des utilisateurs authentifiés via un mécanisme d'authentification unique acceptable. Reportez-vous à la section Méthodes d'authentification unique prises en charge. Le système de gestion d'accès authentifie les utilisateurs et transmet le nom de connexion à EPM System. EPM System vérifie le nom de connexion par rapport aux annuaires des utilisateurs configurés.

Reportez-vous aux sections suivantes.

Illustration du concept :


Authentification unique à partir de systèmes externes

  1. A l'aide d'un navigateur, les utilisateurs demandent l'accès à une ressource protégée par un système de gestion d'accès, par exemple, Oracle Access Manager ou SiteMinder.

    Remarque :

    Les composants EPM System sont définis comme des ressources protégées par le système de gestion d'accès.

    Le système de gestion d'accès intercepte la demande et présente un écran de connexion. Les utilisateurs entrent un nom d'utilisateur et un mot de passe, qui sont validés par rapport aux annuaires des utilisateurs configurés dans le système de gestion d'accès pour vérifier l'authenticité de l'utilisateur. Les composants EPM System sont également configurés pour fonctionner avec ces annuaires des utilisateurs.

    Les informations sur l'utilisateur authentifié sont transmises au composant EPM System, qui accepte ces informations comme valides.

    Le système de gestion d'accès transmet le nom de connexion de l'utilisateur (valeur Attribut de connexion) au composant EPM System à l'aide d'un mécanisme SSO acceptable. Reportez-vous à la section Méthodes d'authentification unique prises en charge.

  2. Pour vérifier les informations de connexion, le produit EPM System recherche l'utilisateur dans un annuaire des utilisateurs. Si un compte utilisateur correspondant est trouvé, les informations de l'utilisateur sont renvoyées au composant EPM System. La sécurité d'EPM System définit le jeton SSO qui permet d'activer l'authentification unique dans les composants EPM System.

  3. A l'aide des informations d'utilisateur extraites, le composant EPM System envoie une requête à l'annuaire natif pour obtenir les détails de provisionnement de l'utilisateur.

    Lorsqu'il reçoit les informations sur le provisionnement, le composant EPM System est disponible pour l'utilisateur. L'authentification unique est activée pour tous les produits EPM System pour lesquels l'utilisateur est provisionné.