사용자 인증

사용자 인증을 통해 Oracle Enterprise Performance Management System 구성요소에서 SSO(싱글 사인온) 기능이 사용으로 설정되면 각 사용자의 로그인 정보를 검증하여 인증된 사용자를 확인할 수 있습니다. 사용자 인증은 구성요소별 권한부여와 함께 EPM System 구성요소에 대한 액세스 권한을 사용자에게 부여합니다. 권한을 부여하는 프로세스를 프로비저닝이라고 합니다.

인증 구성요소

다음 절에서는 SSO를 지원하는 구성요소에 대해 설명합니다.

Native Directory

Native DirectoryOracle Hyperion Shared Services에서 프로비저닝을 지원하고 기본 사용자 계정과 같은 시드 데이터를 저장하는 데 사용하는 관계형 데이터베이스입니다.

Native Directory 기능:

  • 기본 EPM System 사용자 계정을 유지관리하고 관리합니다.

  • 모든 EPM System 프로비저닝 정보(사용자, 그룹 및 역할 간 관계) 저장

Native DirectoryOracle Hyperion Shared Services Console을 사용하여 액세스하고 관리합니다. Oracle Enterprise Performance Management System 사용자 보안 관리 가이드의 "Native Directory 관리"를 참조하십시오.

외부 사용자 디렉토리

사용자 디렉토리는 EPM System 구성요소와 호환되는 기업 사용자 및 ID 관리 시스템입니다.

EPM System 구성요소는 Oracle Internet Directory, Sun Java System Directory Server(이전의 SunONE Directory Server) 및 Microsoft Active Directory와 같은 LDAP 기반 사용자 디렉토리를 포함하여 여러 사용자 디렉토리에서 지원됩니다. 관계형 데이터베이스도 사용자 디렉토리로 지원됩니다. 이 문서에서는 Native Directory를 제외한 사용자 디렉토리를 외부 사용자 디렉토리라고 합니다.

지원되는 사용자 디렉토리 목록은 OTN(Oracle Technology Network)의 Oracle Fusion Middleware Supported System Configurations 페이지에 게시된 Oracle Enterprise Performance Management System Certification Matrix를 참조하십시오.

Shared Services Console에서는 여러 외부 사용자 디렉토리를 EPM System 사용자 및 그룹의 소스로 구성할 수 있습니다. 각 EPM System 사용자는 구성된 사용자 디렉토리에 고유한 계정이 있어야 합니다. 일반적으로 EPM System 사용자는 원활한 프로비저닝을 위해 그룹에 지정됩니다.

기본 EPM System 싱글 사인온

EPM System은 애플리케이션의 인증된 사용자가 인증서를 다시 입력하지 않고도 원활하게 다른 애플리케이션을 탐색할 수 있도록 하여 EPM System 웹 애플리케이션에서 SSO를 지원합니다. EPM System 구성요소에서 사용자 인증 및 프로비저닝(역할 기반 권한부여)을 처리하는 공통 보안 환경을 통합하여 SSO를 구현합니다.

다음 그림에는 기본 SSO 프로세스가 설명되어 있습니다.


구성요소에 대한 직접 싱글 사인온

  1. 사용자는 브라우저를 통해 EPM System 구성요소 로그인 화면에 액세스하여 사용자 이름과 비밀번호를 입력합니다.

    EPM System 구성요소는 구성된 사용자 디렉토리( Native Directory 포함)를 쿼리하여 사용자 인증서를 확인합니다. 사용자 디렉토리에서 일치하는 사용자 계정을 찾으면 검색이 종료되고 사용자 정보가 EPM System 구성요소로 반환됩니다.

    구성된 사용자 디렉토리에서 사용자 계정을 찾지 못하면 액세스가 거부됩니다.

  2. EPM System 구성요소는 검색된 사용자 정보로 Native Directory를 쿼리하여 사용자에 대한 프로비저닝 세부정보를 얻습니다.

  3. EPM System 구성요소는 구성요소의 ACL(액세스 제어 목록)을 확인하여 사용자가 액세스할 수 있는 애플리케이션 아티팩트를 결정합니다.

Native Directory에서 프로비저닝 정보를 받으면 사용자는 EPM System 구성요소를 사용할 수 있습니다. 이때 SSO는 사용자가 프로비저닝된 모든 EPM System 구성요소에 대해 사용으로 설정됩니다.

액세스 관리 시스템의 싱글 사인온

EPM System 구성요소 보안을 강화하기 위해 Oracle Access Manager 또는 SiteMinder와 같은 지원되는 액세스 관리 시스템을 구현하여 EPM System 구성요소에 인증된 사용자 인증서를 제공하고 사전 정의된 액세스 권한을 기반으로 액세스를 제어할 수 있습니다.

보안 에이전트의 SSO는 EPM System 웹 애플리케이션에만 사용할 수 있습니다. 이 시나리오에서 EPM System 구성요소는 보안 에이전트가 제공하는 사용자 정보를 사용하여 사용자의 액세스 권한을 확인합니다. 보안을 강화하려면 모든 요청을 SSO 포털을 통해 라우팅하도록 서버에 대한 직접 액세스를 방화벽으로 차단하는 것이 좋습니다.

허용되는 SSO 메커니즘을 통해 인증된 사용자 인증서를 수락하는 방법으로 액세스 관리 시스템의 SSO를 지원합니다. 지원되는 SSO 방법를 참조하십시오. 액세스 관리 시스템은 사용자를 인증하고 로그인 이름을 EPM System에 전달합니다. EPM System은 구성된 사용자 디렉토리에 대해 로그인 이름을 확인합니다.

다음 항목을 참조하십시오.

그림으로 된 개념은 다음과 같습니다.


외부 시스템에서 싱글 사인온

  1. 사용자는 브라우저를 사용하여 Oracle Access Manager 또는 SiteMinder와 같은 액세스 관리 시스템에서 보호하는 리소스에 대한 액세스를 요청합니다.

    주:

    EPM System 구성요소는 액세스 관리 시스템에서 보호하는 리소스로 정의됩니다.

    액세스 관리 시스템은 요청을 가로채서 로그인 화면을 표시합니다. 사용자가 사용자 이름과 비밀번호를 입력하면 액세스 관리 시스템에 구성된 사용자 디렉토리에 대해 검증하여 사용자 인증을 확인합니다. EPM System 구성요소도 이러한 사용자 디렉토리를 사용하도록 구성됩니다.

    인증된 사용자 관련 정보는 해당 정보를 유효한 정보로 수락하는 EPM System 구성요소로 전달됩니다.

    액세스 관리 시스템은 허용되는 SSO 메커니즘을 사용하여 사용자의 로그인 이름(Login Attribute 값)을 EPM System 구성요소에 전달합니다. 지원되는 SSO 방법를 참조하십시오.

  2. 사용자 인증서를 확인하기 위해 EPM System 구성요소는 사용자 디렉토리에서 사용자를 찾습니다. 일치하는 사용자 계정을 찾은 경우 사용자 정보가 EPM System 구성요소로 반환됩니다. EPM System 보안은 EPM System 구성요소에서 SSO 토큰을 사용으로 설정하는 SSO 토큰을 설정합니다.

  3. EPM System 구성요소는 검색된 사용자 정보로 Native Directory를 쿼리하여 사용자에 대한 프로비저닝 세부정보를 얻습니다.

    사용자 프로비저닝 정보를 받으면 사용자는 EPM System 구성요소를 사용할 수 있습니다. SSO는 사용자가 프로비저닝된 모든 EPM System 구성요소에 대해 사용으로 설정됩니다.