Autenticazione degli utenti

L'autenticazione degli utenti consente di utilizzare la funzionalità Single Sign-On (SSO) nei componenti di Oracle Enterprise Performance Management System convalidando le informazioni di accesso di ogni utente per determinare gli utenti autenticati. L'autenticazione degli utenti, abbinata all'autorizzazione specifica di ogni componente, consente agli utenti l'accesso ai componenti di EPM System. Il processo di concessione dell'autorizzazione è denominato assegnazione ruoli.

Componenti di autenticazione

Nelle sessioni che seguono vengono descritti i componenti che supportano l'SSO:

Directory nativa

Per directory nativa si intende il database relazionale utilizzato da Oracle Hyperion Shared Services per supportare l'assegnazione ruoli e memorizzare i seeddata, ad esempio gli account utente predefiniti.

Le funzioni della directory nativa sono le seguenti.

  • Gestire gli account utente predefiniti di EPM System

  • Memorizzare tutte le informazioni di assegnazione ruoli di EPM System (relazioni tra utenti, gruppi e ruoli)

L'accesso e la gestione della directory nativa vengono effettuati tramite Oracle Hyperion Shared Services Console. Fare riferimento alla sezione "Gestione della directory nativa" nella Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).

Directory utenti esterne

Per directory utenti si intende qualsiasi sistema aziendale di gestione degli utenti e delle identità compatibile con i componenti di EPM System.

I componenti di EPM System sono supportati in numerose directory utenti, incluse directory utenti basate su LDAP, ad esempio Oracle Internet Directory, Sun Java System Directory Server (precedentemente noto come SunONE Directory Server) e Microsoft Active Directory. Come directory utente, sono inoltre supportati i database relazionali. In questo documento, per fare riferimento a directory utenti diverse dalla directory nativa viene utilizzato il termine directory utenti esterne.

Per un elenco di directory utenti supportate, fare riferimento alla Matrice per la certificazione di Oracle Enterprise Performance Management System pubblicata nella pagina Configurazioni di sistema supportate da Oracle Fusion Middleware in Oracle Technology Network (OTN).

In Shared Services Console, è possibile configurare molte directory utenti esterne come origine di utenti e gruppi di EPM System. Ogni utente di EPM System deve disporre di un account univoco in una directory utenti configurata. In genere, gli utenti di EPM System sono assegnati a gruppi per facilitare l'assegnazione ruoli.

Single Sign-On di EPM System predefinito

EPM System supporta SSO tra le applicazioni Web di EPM System consentendo a utenti autenticati di un'applicazione di passare senza interruzioni ad altre applicazioni senza immettere di nuovo le credenziali. La funzionalità SSO è implementata integrando un ambiente di sicurezza comune che gestisce l'autenticazione degli utenti e l'assegnazione ruoli (autorizzazione basata sui ruoli) nei componenti di EPM System.

Nella figura riportata di seguito è descritto il processo SSO predefinito.


Single Sign-On diretto per i componenti

  1. Mediante un browser, gli utenti accedono alla schermata di accesso di un componente di EPM System e immettono un nome utente e una password.

    Il componente di EPM System esegue una query sulle directory utenti configurate, compresa la directory nativa, per verificare le credenziali dell'utente. Quando viene identificato un account utente corrispondente in una directory utenti, la ricerca viene interrotta e le informazioni dell'utente vengono restituite al componente di EPM System.

    L'accesso viene invece negato se non viene individuato alcun account utente in alcuna directory utenti.

  2. Utilizzando le informazioni dell'utente recuperate, il componente di EPM System esegue una query sulla directory nativa per ottenere i dettagli dell'assegnazione ruoli relativi a tale utente.

  3. Il componente di EPM System controlla la lista di controllo dell'accesso (ACL) nel componente per determinare gli artifact dell'applicazione a cui può accedere l'utente.

Alla ricezione delle informazioni sull'assegnazione ruoli dalla directory nativa, il componente di EPM System viene reso disponibile per l'utente. A questo punto, viene abilitato l'accesso SSO per tutti i componenti di EPM System per cui sono stati assegnati ruoli all'utente.

Single Sign-On da sistemi di gestione degli accessi

Per proteggere ulteriormente i componenti di EPM System, è possibile implementare un sistema di gestione degli accessi supportato, ad esempio Oracle Access Manager o SiteMinder, in grado di fornire credenziali degli utenti autenticati ai componenti di EPM System e controllare l'accesso in base a privilegi di accesso predefiniti.

L'accesso SSO da agenti di sicurezza è disponibile solo per le applicazioni Web di EPM System. In questo scenario, i componenti di EPM System utilizzano le informazioni utente fornite dall'agente di sicurezza per determinare le autorizzazioni di accesso degli utenti. Per migliorare la sicurezza, Oracle consiglia di bloccare l'accesso diretto ai server tramite firewall in modo che tutte le richieste vengano indirizzate tramite un portale SSO.

L'accesso SSO da sistemi di gestione degli accessi è supportato mediante l'accettazione delle credenziali di utenti autenticati tramite un meccanismo SSO accettabile. Fare riferimento alla sezione Metodi SSO supportati. Il sistema di gestione degli accessi autentica gli utenti e passa il nome di accesso a EPM System. EPM System verifica il nome di accesso a fronte di directory utenti configurate.

Fare riferimento agli argomenti elencati di seguito.

Il concetto è illustrato di seguito.


Single Sign-On da sistemi esterni

  1. Utilizzando un browser, gli utenti richiedono l'accesso a una risorsa protetta da un sistema di gestione degli accessi, ad esempio Oracle Access Manager o SiteMinder.

    Nota:

    I componenti di EPM System sono definiti come risorse protette dal sistema di gestione degli accessi.

    Il sistema di gestione degli accessi intercetta la richiesta e visualizza una schermata di accesso. Gli utenti immettono un nome utente e una password, che vengono convalidati a fronte delle directory utenti configurate nel sistema di gestione degli accessi per la verifica dell'autenticità degli utenti. I componenti di EPM System vengono inoltre configurati per l'utilizzo di queste directory utenti.

    Le informazioni sull'utente autenticato vengono passate al componente di EPM System, che le accetta come valide.

    Il sistema di gestione degli accessi passa il nome di accesso dell'utente (valore di Login Attribute) al componente di EPM System con un meccanismo SSO accettabile. Fare riferimento alla sezione Metodi SSO supportati.

  2. Per verificare le credenziali dell'utente, il componente di EPM System tenta di individuare l'utente all'interno di una directory utenti. Se viene rilevato un account utente corrispondente, le informazioni dell'utente vengono restituite al componente di EPM System. La funzionalità di sicurezza di EPM System imposta il token SSO che abilita l'accesso SSO nei componenti di EPM System.

  3. Utilizzando le informazioni dell'utente recuperate, il componente di EPM System esegue una query sulla directory nativa per ottenere i dettagli dell'assegnazione ruoli relativi a tale utente.

    Alla ricezione delle informazioni di assegnazione ruoli dell'utente, il componente di EPM System viene reso disponibile per l'utente. L'accesso SSO viene abilitato per tutti i componenti di EPM System per cui sono stati assegnati ruoli all'utente.