Ordine di ricerca
Oltre alla directory nativa, è possibile configurare diverse directory utenti in Oracle Hyperion Shared Services. A tutte le directory utenti configurate viene assegnata una posizione di ordine di ricerca predefinita, il quale può essere modificato tramite Oracle Hyperion Shared Services Console. Ad eccezione della directory nativa, è possibile rimuovere dall'ordine di ricerca le directory utenti configurate. Oracle Enterprise Performance Management System non utilizza le directory utenti non incluse nell'ordine di ricerca. Fare riferimento al manuale Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).
L'ordine di ricerca determina l'ordine in cui EPM System scorre in sequenza le diverse directory utenti per autenticare gli utenti. Se l'utente viene autenticato in una directory utenti, EPM System interrompe la ricerca e lo restituisce. EPM System rifiuta l'autenticazione e restituisce un errore se non è possibile autenticare l'utente a fronte delle directory utenti incluse nell'ordine di ricerca.
Impatto dell'autenticazione customizzata sull'ordine di ricerca
L'autenticazione customizzata influisce sul modo in cui la funzionalità di sicurezza di EPM System interpreta l'ordine di ricerca.
Se il modulo di autenticazione customizzato restituisce un nome utente, EPM System individua l'utente solo in una directory utenti abilitata per l'autenticazione customizzata. In questo stadio, EPM System ignora le directory utenti non configurate per questo tipo di autenticazione.
Descrizione del flusso di autenticazione customizzata
Per illustrare il flusso di autenticazione customizzata vengono utilizzati gli scenari dei casi d'uso riportati di seguito.
Scenario del caso d'uso 1
Nella seguente tabella sono riportati la configurazione delle directory utenti di EPM System e l'ordine di ricerca utilizzati in questo scenario. In tale scenario si presuppone che il modulo di autenticazione customizzato utilizzi un'infrastruttura RSA per autenticare gli utenti.
Tabella 5-1 Impostazione per lo scenario 1
| Tipo e nome della directory utenti | Ordine di ricerca | Autenticazione customizzata | Nomi di utenti campione | PasswordPiè di pagina 1 |
|---|---|---|---|---|
| Directory nativa | 1 | Disabilitata |
|
password |
|
Abilitata per LDAP SunONE_West |
2 | Disabilitata |
|
ldappassword |
|
Abilitata per LDAP SunONE_East |
3 | Abilitata |
|
ldappassword in SunONE e RSA PIN (PIN RSA) nel modulo customizzato |
Nota a piè di pagina 1 Per maggiore semplicità, si presuppone che la password della directory utenti sia la stessa per tutti gli utenti.
Per avviare il processo di autenticazione, un utente immette un nome utente e una password nella schermata di accesso di un prodotto EPM System. In questo scenario, il modulo di autenticazione customizzato esegue le operazioni riportate di seguito.
username@providername, ad esempio test_ldap_2@SunONE_East, alla funzionalità di sicurezza di EPM SystemTabella 5-2 Interazione dell'utente e risultati
| Nome utente e password | Risultato dell'autenticazione | Directory utenti di accesso |
|---|---|---|
test_user_1/password |
Operazione riuscita | Directory nativa |
test_user_3/password |
Operazione riuscita | Directory nativa |
test_user_3/ldappassword |
Operazione riuscita | SunONE_West (ordine di ricerca 2)Piè di pagina 2 |
test_user_3/RSA PIN |
Operazione riuscita | SunONE_East (ordine di ricerca 3)Piè di pagina 3 |
test_ldap_2/ldappassword |
Operazione riuscita | SunONE_West (ordine di ricerca 2) |
test_ldap_4/RSA PIN |
Operazione non riuscita
EPM System visualizza un errore di autenticazione.Piè di pagina 4 |
Nota a piè di pagina 2
L'autenticazione customizzata non può autenticare l'utente perché quest'ultimo ha immesso le credenziali di EPM System. EPM System può identificare tale utente solo in una directory utenti non abilitata per l'autenticazione customizzata. L'utente non è presente nella directory nativa (ordine di ricerca 1), ma viene identificato in SunONE_West (ordine di ricerca 2).
Nota a piè di pagina 3
EPM System non trova l'utente nella directory nativa (ordine di ricerca 1) o in SunONE_West (ordine di ricerca 2). Il modulo di autenticazione customizzato convalida l'utente a fronte del server RSA e restituisce test_user_3@SunONE_EAST a EPM System. EPM System individua l'utente in SunONE_East (ordine di ricerca 3), che è una directory utenti abilitata per l'autenticazione customizzata.
Nota a piè di pagina 4
Oracle consiglia che tutti gli utenti autenticati tramite il modulo customizzato siano presenti in una directory utenti abilitata per l'autenticazione customizzata e inclusa nell'ordine di ricerca. L'accesso ha esito negativo se il nome utente restituito dal modulo di autenticazione customizzato non è presente in una directory utenti abilitata per l'autenticazione customizzata e inclusa nell'ordine di ricerca.
Scenario del caso d'uso 2
Nella seguente tabella sono riportati la configurazione delle directory utenti di EPM System e l'ordine di ricerca utilizzati in questo scenario. In tale scenario si presuppone che il modulo di autenticazione customizzato utilizzi un'infrastruttura RSA per autenticare gli utenti.
In questo scenario, il modulo di autenticazione customizzato esegue le operazioni riportate di seguito.
test_ldap_2, alla funzionalità di sicurezza di EPM SystemTabella 5-3 Ordine di ricerca campione
| Directory utenti | Ordine di ricerca | Autenticazione customizzata | Nomi di utenti campione | PasswordPiè di pagina 5 |
|---|---|---|---|---|
| Directory nativa | 1 | Disabilitata |
|
password |
| Abilitata per LDAP, ad esempio SunONE | 2 | Abilitata |
|
ldappassword in SunONE e RSA PIN (PIN RSA) nel modulo customizzato |
Nota a piè di pagina 5 Per maggiore semplicità, si presuppone che la password della directory utenti sia la stessa per tutti gli utenti.
Per avviare il processo di autenticazione, un utente immette un nome utente e una password nella schermata di accesso di un prodotto EPM System.
Tabella 5-4 Interazione dell'utente e risultati
| Nome utente e password | Risultato dell'accesso | Directory utenti di accesso |
|---|---|---|
test_user_1/password |
Operazione riuscita | Directory nativa |
test_user_3/password |
Operazione riuscita | Directory nativa |
test_user_3/ldappassword |
Operazione non riuscita | SunONEPiè di pagina 6 |
test_user_3/RSA PIN |
Operazione riuscita | SunONEPiè di pagina 7 |
Nota a piè di pagina 6
L'autenticazione dell'utente a fronte della directory nativa ha esito negativo perché la password non corrisponde. L'autenticazione dell'utente con il modulo di autenticazione customizzato ha esito negativo perché la password utilizzata non è un PIN RSA valido. EPM System non tenta di autenticare l'utente in SunONE (ordine di ricerca 2) perché le impostazioni di autenticazione customizzata sostituiscono l'autenticazione di EPM System in questa directory.
Nota a piè di pagina 7
L'autenticazione dell'utente a fronte della directory nativa ha esito negativo perché la password non corrisponde. Il modulo di autenticazione customizzato autentica l'utente e restituisce il nome utente test_user_3 a EPM System.
Scenario del caso d'uso 3
Nella seguente tabella sono riportati la configurazione delle directory utenti di EPM System e l'ordine di ricerca utilizzati in questo scenario. In tale scenario si presuppone che il modulo di autenticazione customizzato utilizzi un'infrastruttura RSA per autenticare gli utenti.
Per maggiore chiarezza in tali scenari, Oracle consiglia che il modulo di autenticazione customizzato restituisca il nome utente in formato username@providername, ad esempio test_ldap_4@SunONE.
Tabella 5-5 Ordine di ricerca campione
| Directory utenti | Ordine di ricerca | Autenticazione customizzata | Nomi di utenti campione | PasswordPiè di pagina 8 |
|---|---|---|---|---|
| Directory nativa | 1 | Abilitata |
|
RSA_PIN |
| Abilitata per LDAP, ad esempio MSAD | 2 | Disabilitata |
|
ldappassword |
| Abilitata per LDAP, ad esempio SunONE | 3 | Abilitata |
|
ldappassword in SunONE e RSA PIN (PIN RSA) nel modulo customizzato |
Nota a piè di pagina 8 Per maggiore semplicità, si presuppone che la password della directory utenti sia la stessa per tutti gli utenti.
Per avviare il processo di autenticazione, un utente immette un nome utente e una password nella schermata di accesso di un prodotto EPM System.
Tabella 5-6 Interazione dell'utente e risultati
| Nome utente e password | Risultato dell'autenticazione | Directory utenti di accesso |
|---|---|---|
test_user_1/password |
Operazione riuscita | Directory nativa |
test_user_3/RSA_PIN |
Operazione riuscita | Directory nativa |
test_user_3/ldappassword |
Operazione riuscita | MSAD (ordine di ricerca 2) |
test_ldap_4/ldappassword |
Operazione riuscita | MSAD (ordine di ricerca 2) |
test_ldap_4/RSA PIN |
Operazione riuscita | SunONE (ordine di ricerca 3) |
Directory utenti e modulo di autenticazione customizzato
Per utilizzare il modulo di autenticazione customizzato, le directory utenti che contengono le informazioni su utenti e gruppi di EPM System possono essere configurate singolarmente per delegare l'autenticazione al modulo customizzato.
Gli utenti di EPM System autenticati tramite un modulo customizzato devono essere presenti in una delle directory utenti incluse nell'ordine di ricerca (fare riferimento alla sezione Ordine di ricerca). La directory utenti inoltre deve essere configurata per delegare l'autenticazione al modulo customizzato.
L'identità dell'utente nel provider customizzato (ad esempio, 1357642 nell'infrastruttura SecurID RSA) potrebbe essere diversa dal nome utente nella directory utenti (ad esempio, jDoe in Oracle Internet Directory) configurata in Shared Services. Dopo aver autenticato l'utente, il modulo di autenticazione customizzato deve restituire il nome utente jDoe a EPM System.
Nota:
Come miglior prassi, Oracle consiglia che il nome utente nelle directory utenti configurate in EPM System sia uguale a quelli disponibili nella directory utenti utilizzata dal modulo di autenticazione customizzato.
Interfaccia Java CSSCustomAuthenticationIF
Il modulo di autenticazione customizzato deve utilizzare l'interfaccia Java CSSCustomAuthenticationIF per l'integrazione con il framework di sicurezza di EPM System. Deve restituire la stringa del nome utente se l'autenticazione customizzata ha esito positivo oppure un messaggio di errore in caso contrario. Per il completamento del processo di autenticazione, è necessario che il nome utente restituito dal modulo di autenticazione customizzato sia presente in una delle directory utenti incluse nell'ordine di ricerca di Shared Services. Il framework di sicurezza di EPM System supporta il formato username@providerName.
Nota:
Assicurarsi che il nome utente restituito dal modulo di autenticazione customizzato non contenga un carattere * (asterisco), in quanto il framework di sicurezza di EPM System lo interpreta come un carattere jolly durante la ricerca degli utenti.
Per la firma dell'interfaccia CSSCustomAuthenticationIF, fare riferimento alla sezione Codice campione 1.
Il modulo di autenticazione customizzato (può trattarsi di un file classe) deve essere incluso in CustomAuth.jar. La struttura del package non è importante.
Per informazioni dettagliate sull'interfaccia CSSCustomAuthenticationIF, fare riferimento alla documentazione relativa all'API di sicurezza.
Il metodo authenticate di CSSCustomAuthenticationIF supporta l'autenticazione customizzata. Il metodo authenticate inoltre accetta le credenziali (nome utente e password) immesse dall'utente durante il tentativo di accedere a EPM System come parametri di input. Tale metodo restituisce una stringa (nome utente) se l'autenticazione customizzata ha esito positivo. Genera invece un'eccezione java.lang.Exception se l'autenticazione ha esito negativo. Il nome utente restituito dal metodo deve identificare in modo univoco un utente in una delle directory utenti incluse nell'ordine di ricerca di Shared Services. Il framework di sicurezza di EPM System supporta il formato username@providerName.
Nota:
Per inizializzare le risorse, ad esempio un pool di connessioni JDBC, utilizzare il costruttore di classi. In questo modo non si sovraccaricano le risorse per ogni autenticazione, con un conseguente miglioramento delle performance.