SSO con SiteMinder

SiteMinder è una soluzione esclusivamente per il Web. Le applicazioni desktop e i relativi add-in, ad esempio, Microsoft Excel e Report Designer, non possono utilizzare l'autenticazione mediante SiteMinder Tuttavia, Oracle Smart View for Office può utilizzare l'autenticazione SiteMinder.

Flusso del processo

La figura che segue è una panoramica dell'accesso SSO abilitato per SiteMinder:


Processo Single Sign-On con SiteMinder

Viene descritto di seguito il processo Single Sign-On con SiteMinder.

  1. Gli utenti tentano di accedere a una risorsa Oracle Enterprise Performance Management System protetta da SiteMinder. Utilizzano un URL che li connette al server Web che funge da front end per il server dei criteri SiteMinder, ad esempio http://WebAgent_Web_Server_Name:WebAgent_Web_ServerPort/interop/index.jsp.
  2. Il server Web reindirizza gli utenti al server dei criteri, che richiede loro le credenziali. Dopo aver verificato le credenziali a fronte delle directory utenti configurate, il server dei criteri passa le credenziali al server Web che ospita l'agente Web di SiteMinder.
  3. Il server Web che ospita l'agente Web di SiteMinder reindirizza la richiesta al computer Oracle HTTP Server che funge da front end per EPM System. Oracle HTTP Server reindirizza gli utenti all'applicazione richiesta distribuita in Oracle WebLogic Server.
  4. Il componente di EPM System controlla le informazioni di assegnazione ruoli e fornisce il contenuto. Per il corretto funzionamento di questo processo, le directory utenti utilizzate da SiteMinder per l'autenticazione degli utenti devono essere configurate come directory utenti esterne in EPM System. Queste directory devono essere configurate come sicure.

Considerazioni speciali

SiteMinder è una soluzione esclusivamente per il Web. Le applicazioni desktop e i relativi add-in, ad esempio, Microsoft Excel e Report Designer, non possono utilizzare l'autenticazione mediante SiteMinder Tuttavia, Smart View può utilizzare l'autenticazione SiteMinder.

Prerequisiti

  1. Un'installazione di SiteMinder completamente funzionante contenente i componenti elencati di seguito.
    • Server dei criteri SiteMinder in cui sono definiti i criteri e gli oggetti dell'agente
    • Agente Web di SiteMinder installato nel server Web che funge da front end per il server dei criteri SiteMinder
  2. Una distribuzione di EPM System completamente funzionante.

    Quando si configura il server Web per i componenti di EPM System, EPM System Configurator configura mod_wl_ohs.conf per inviare tramite proxy le richieste al server WebLogic.

Abilitazione dell'agente Web di SiteMinder

L'agente Web è installato in un server Web che intercetta le richieste per le risorse EPM System. Se utenti non autenticati tentano di accedere a risorse EPM System protette, l'agente Web chiederà loro di specificare le credenziali SSO. Quando un utente viene autenticato, il server dei criteri ne aggiunge il nome di accesso che viene trasportato dall'intestazione. La richiesta HTTP viene quindi passata al server Web EPM System, che reindirizza le richieste. I componenti di EPM System estraggono dalle intestazioni le credenziali degli utenti autenticati.

SiteMinder supporta l'accesso SSO nei prodotti EPM System in esecuzione su piattaforme di server Web eterogenee. Se i prodotti EPM System utilizzano server Web diversi, è necessario garantire il passaggio del cookie di SiteMinder tra i server Web presenti nello stesso dominio. A tale scopo, specificare il dominio delle applicazioni EPM System appropriato come valore della proprietà Cookiedomain nel file WebAgent.conf di ciascun server Web.

Fare riferimento alla sezione "Configurazione degli agenti Web" nel guida degli agenti di Netegrity SiteMinder.

Nota:

Poiché per proteggere il proprio contenuto Oracle Hyperion Shared Services utilizza l'autenticazione di base, questa deve essere configurata nel server Web che intercetta le richieste per Shared Services affinché l'accesso SSO con SiteMinder possa essere supportato.

Per configurare l'agente Web, eseguire la configurazione guidata dell'agente Web di SiteMinder (eseguendo WEBAGENT_HOME/install_config_info/nete-wa-config, ad esempio C:\netegrity\webagent\install_config_info\nete-wa-config.exe in Windows). Il processo di configurazione crea un file WebAgent.conf per il server Web SiteMinder.

Per abilitare l'agente Web di SiteMinder, procedere come segue.

  1. Aprire WebAgent.conf con un editor di testo. La posizione di questo file dipende dal server Web in uso.
  2. Impostare il valore della proprietà enableWebAgent su Yes.
    enableWebAgent="YES"
  3. Salvare e chiudere il file di configurazione dell'agente Web.

Esempio 3-1 Configurazione del server dei criteri di SiteMinder

Un amministratore di SiteMinder può configurare il server dei criteri per abilitare il Single Sign-On per i prodotti EPM System.

Il processo di configurazione prevede le operazioni descritte di seguito.

  • Creazione di un agente Web di SiteMinder e aggiunta di oggetti di configurazione appropriati per il server Web SiteMinder.
  • Creazione di un realm per ogni risorsa EPM System da proteggere e aggiunta dell'agente Web al realm. Fare riferimento alla sezione Risorse da proteggere.
  • Nel realm creato per le risorse EPM System protette, creare realm per le risorse da cui è stata rimossa la protezione. Fare riferimento alla sezione Risorse da cui rimuovere la protezione.
  • Creazione di un riferimento a un'intestazione HTTP. L'intestazione deve fornire il valore di Login Attribute alle applicazioni EPM System. Fare riferimento alla sezione "Configurazione di OID, Active Directory e altre directory utenti basate su LDAP" nel manuale Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese) per una breve descrizione di Login Attribute.
  • Creazione di regole nei realm con Get, Post e Put come azioni dell'agente Web.
  • Creazione di un attributo di risposta con hyplogin=<%userattr="SM_USERLOGINNAME"%> come valore.
  • Creazione di un criterio, assegnazione dell'accesso alle directory utenti e aggiunta delle regole create per EPM System all'elenco dei membri correnti.
  • Impostazione delle risposte per le regole create per i componenti di EPM System.

Esempio 3-2 Configurazione del server Web SiteMinder per l'inoltro delle richieste al server Web EPM System

Configurare il server Web che ospita l'agente Web di SiteMinder in modo da inoltrare le richieste di utenti autenticati (contenenti l'intestazione che identifica l'utente) al server Web EPM System.

Per i server Web basati su Apache, utilizzare direttive simili alla seguente per inoltrare le richieste autenticate:

ProxyPass / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPassReverse / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPreserveHost On
#If SiteMinder Web Server is using HTTPS but EPM Web Server is using HTTP
RequestHeader set WL-Proxy-SSL true

In questa direttiva, sostituire EPM_WEB_SERVER ed EPM_WEB_SERVER_PORT con i valori effettivi per il proprio ambiente.

Esempio 3-3 Abilitazione di SiteMinder in EPM System

L'integrazione con SiteMinder richiede l'abilitazione dell'autenticazione di SiteMinder per i prodotti di EPM System. Fare riferimento alla sezione Configurazione di EPM System per l'SSO.