Ordem de Pesquisa
Além do Native Directory, vários diretórios de usuários podem ser configurados no Oracle Hyperion Shared Services. Uma posição da ordem de pesquisa padrão é atribuída a todos os diretórios de usuários configurados. É possível modificar a ordem de pesquisa no Oracle Hyperion Shared Services Console. Com exceção do Native Directory, você pode remover diretórios de usuários configurados da ordem de pesquisa. O Oracle Enterprise Performance Management System não usa os diretórios de usuários que não estão incluídos na ordem de pesquisa. Consulte o Guia de Administração da Segurança de Usuário do Sistema Oracle Enterprise Performance Management.
A ordem de pesquisa determina a ordem na qual o EPM System circula pelos diretórios de usuários para autenticar usuários. Se o usuário for autenticado em um diretório de usuários, o EPM System interromperá a pesquisa e retornará o usuário. O EPM System negará a autenticação e retornará um erro se o usuário não puder ser autenticado nos diretórios de usuários na ordem de pesquisa.
Impacto da Autenticação Personalizada na Ordem de Pesquisa
A autenticação personalizada afeta como a segurança do EPM System interprete a ordem de pesquisa.
Se o módulo de autenticação personalizada retornar um nome de usuário, o EPM System localizará o usuário somente em um diretório de usuários que está habilitado para autenticação personalizada. Nesse estágio, o EPM System ignora os diretórios de usuários que não são configurados para autenticação personalizada.
Compreensão do Fluxo de Autenticação Personalizada
Os seguintes cenários de caso de uso são usados para explorar o fluxo de autenticação personalizada:
Cenário 1 de Caso de Uso
A tabela a seguir detalha a configuração do diretório de usuários do EPM System e a ordem de pesquisa usada nesse cenário. Esse cenário supõe que o módulo de autenticação personalizada usa uma infraestrutura RSA para autenticar usuários.
Tabela 5-1 Configuração do Cenário 1
| Tipo e Nome do Diretório de Usuários | Ordem de Pesquisa | Autenticação Personalizada | Nomes de Usuário de Exemplo | SenhaRodapé#160;1 |
|---|---|---|---|---|
| Native Directory | 1 | Desabilitada |
|
password |
|
Habilitado para LDAP SunONE_West |
2 | Desabilitada |
|
ldappassword |
|
Habilitado para LDAP SunONE_East |
3 | Habilitada |
|
ldappassword em SunONE e RSA PIN no módulo personalizado |
Note de rodapé#160;1 Para simplificar, é pressuposto que todos os usuários usem a mesma senha de diretório de usuários.
Para iniciar o processo de autenticação, um usuário insere um nome de usuário e senha na tela de logon de um produto EPM System. Nesse cenário, o módulo de autenticação personalizada executa as seguintes ações:
username@providername; por exemplo, test_ldap_2@SunONE_East, para segurança do EPM SystemTabela 5-2 Resultados e interação do usuário
| Nome de Usuário e Senha | Resultado da Autenticação | Diretório de Usuários do Logon |
|---|---|---|
test_user_1/password |
Êxito | Native Directory |
test_user_3/password |
Êxito | Native Directory |
test_user_3/ldappassword |
Êxito | SunONE_West (ordem de pesquisa 2)Rodapé#160;2 |
test_user_3/RSA PIN |
Êxito | SunONE_East (ordem de pesquisa 3)Rodapé#160;3 |
test_ldap_2/ldappassword |
Êxito | SunONE_West (ordem de pesquisa 2) |
test_ldap_4/RSA PIN |
Falha
O EPM System exibe um erro de autenticação.Rodapé#160;4 |
Note de rodapé#160;2
A autenticação personalizada não pode autenticar esse usuário porque o usuário inseriu credenciais do EPM System. O EPM System pode identificar esse usuário somente em um diretório de usuários que não está habilitado para autenticação personalizada. O usuário não está no Native Directory (número da ordem de pesquisa), mas é identificado em SunONE West (número da ordem de pesquisa 2).
Note de rodapé#160;3
O EPM System não encontra esse usuário no Native Directory (número da ordem de pesquisa 1) ou SunONE West (número da ordem de pesquisa 2). O módulo de autenticação personalizada valida o usuário no Servidor do RSA e retorna test_user_3@SunONE_EAST para EPM System. O EPM System localiza o usuário em SunONE East (número da ordem de pesquisa 3), que é um diretório de usuários habilitado para autenticação personalizada.
Note de rodapé#160;4
A Oracle recomenda que todos os usuários autenticados pelo módulo personalizado estejam presentes em um diretório de usuários habilitado para autenticação personalizada incluído na ordem de pesquisa. O logon falhará se o nome de usuário que é retornado pelo módulo de autenticação personalizada não estiver presente em um diretório de usuários habilitado para autenticação personalizada incluído na ordem de pesquisa.
Cenário 2 de Caso de Uso
A tabela a seguir detalha a configuração do diretório de usuários do EPM System e a ordem de pesquisa usada nesse cenário. Esse cenário supõe que o módulo de autenticação personalizada usa uma infraestrutura RSA para autenticar usuários.
Nesse cenário, o módulo de autenticação personalizada executa as seguintes ações:
test_ldap_2, para segurança do EPM SystemTabela 5-3 Uma ordem de pesquisa de exemplo
| Diretório de Usuários | Ordem de Pesquisa | Autenticação Personalizada | Nomes de Usuário de Exemplo | SenhaRodapé#160;5 |
|---|---|---|---|---|
| Native Directory | 1 | Desabilitada |
|
password |
| Habilitado para LDAP, por exemplo, SunONE | 2 | Habilitada |
|
ldappassword em SunONE e RSA PIN no módulo personalizado |
Note de rodapé#160;5 Para simplificar, é pressuposto que todos os usuários usem a mesma senha de diretório de usuários.
Para iniciar o processo de autenticação, um usuário insere um nome de usuário e senha na tela de logon de um produto EPM System.
Tabela 5-4 Resultados e interação do usuário
| Nome de Usuário e Senha | Resultado do Logon | Diretório de Usuários do Logon |
|---|---|---|
test_user_1/password |
Êxito | Native Directory |
test_user_3/password |
Êxito | Native Directory |
test_user_3/ldappassword |
Falha | SunONERodapé#160;6 |
test_user_3/RSA PIN |
Êxito | SunONERodapé#160;7 |
Note de rodapé#160;6
A autenticação do usuário no Native Directory falha devido à incompatibilidade de senha. A autenticação do usuário que está usando o módulo de autenticação personalizada falha porque a senha usada não é um RSA PIN válido. O EPM System não tenta autenticar esse usuário no SunONE (ordem de pesquisa 2), pois as configurações de autenticação personalizada substituem a autenticação do EPM System nesse diretório.
Note de rodapé#160;7
A autenticação do usuário no Native Directory falha devido à incompatibilidade de senha. O módulo de autenticação personalizada autentica o usuário e retorna o nome de usuário test_user_3 para EPM System.
Cenário 3 de Caso de Uso
A tabela a seguir detalha a configuração do diretório de usuários do EPM System e a ordem de pesquisa usada nesse cenário. Esse cenário supõe que o módulo de autenticação personalizada usa uma infraestrutura RSA para autenticar usuários.
Para clareza em tais cenários, a Oracle recomenda que seu módulo de autenticação personalizada retorne o nome de usuário no formato username@providername; por exemplo, test_ldap_4@SunONE.
Tabela 5-5 Uma ordem de pesquisa de exemplo
| Diretório de Usuários | Ordem de Pesquisa | Autenticação Personalizada | Nomes de Usuário de Exemplo | SenhaRodapé#160;8 |
|---|---|---|---|---|
| Native Directory | 1 | Habilitada |
|
RSA_PIN |
| Habilitado para LDAP, por exemplo, MSAD | 2 | Desabilitada |
|
ldappassword |
| Habilitado para LDAP, por exemplo, SunONE | 3 | Habilitada |
|
ldappassword em SunONE e RSA PIN no módulo personalizado |
Note de rodapé#160;8 Para simplificar, é pressuposto que todos os usuários usem a mesma senha de diretório de usuários.
Para iniciar o processo de autenticação, um usuário insere um nome de usuário e senha na tela de logon de um produto EPM System.
Tabela 5-6 Resultados e interação do usuário
| Nome de Usuário e Senha | Resultado da Autenticação | Diretório de Usuários do Logon |
|---|---|---|
test_user_1/password |
Êxito | Native Directory |
test_user_3/RSA_PIN |
Êxito | Native Directory |
test_user_3/ldappassword |
Êxito | MSAD (ordem de pesquisa 2) |
test_ldap_4/ldappassword |
Êxito | MSAD (ordem de pesquisa 2) |
test_ldap_4/RSA PIN |
Êxito | SunONE (ordem de pesquisa 3) |
Diretórios de Usuários e Módulo de Autenticação Personalizada
Para usar o módulo de autenticação personalizada, os diretórios de usuários que contêm as informações de usuário e grupo do EPM System podem ser configurados individualmente para delegar a autenticação ao módulo personalizado.
Os usuários do EPM System que são autenticados usando um módulo personalizado devem estar presentes em um dos diretórios de usuários incluídos na ordem de pesquisa (consulte Ordem de Pesquisa). Além disso, o diretório de usuário deve ser configurado para delegar autenticação ao módulo personalizado.
A identidade do usuário no provedor personalizado, (por exemplo, 1357642 na infraestrutura RSA SecurID) pode ser diferente do nome de usuário no diretório de usuários (por exemplo, jDoe em um Oracle Internet Directory) configurado no Shared Services. Após autenticação do usuário, o módulo de autenticação personalizada deve retornar o nome de usuário jDoe para EPM System.
Nota:
Como prática recomendada, a Oracle recomenda que o nome de usuário nos diretórios de usuários configurados no EPM System seja idêntico aos disponíveis no diretório de usuários usados pelo módulo de autenticação personalizada.
Interface Java CSSCustomAuthenticationIF
O módulo de autenticação personalizada deve usar a interface Java CSSCustomAuthenticationIF para integração à estrutura de segurança do EPM System. Ele deverá retornar uma string de nome de usuário se a autenticação personalizada for bem-sucedida ou uma mensagem de erro se a autenticação for malsucedida. Para que o processo de autenticação seja concluído, o nome de usuário retornado pelo módulo de autenticação personalizada deve estar presente em um dos diretórios de usuários incluídos na ordem de pesquisa do Shared Services. A estrutura de segurança do EPM System dá suporte ao formato username@providerName.
Nota:
Assegure-se de que o nome de usuário que o módulo de autenticação personalizada retorna não contenha um * (asterisco), pois a estrutura de segurança do EPM System o interpreta como um caractere curinga durante a pesquisa por usuários.
Consulte Código de Exemplo 1 em busca da assinatura da interface CSSCustomAuthenticationIF.
Seu módulo de autenticação personalizada (pode ser um arquivo de classe) deve ser incluído em CustomAuth.jar. A estrutura do pacote não é importante.
Para obter informações detalhadas sobre a interface CSSCustomAuthenticationIF, consulte Documentação da API de segurança.
O método authenticate de CSSCustomAuthenticationIF aceita a autenticação personalizada. O método authenticate aceita credenciais (nome de usuário e senha) que o usuário inseriu ao tentar acessar o EPM System como parâmetros de entrada. Esse método retornará uma string (nome de usuário) se a autenticação personalizada for bem-sucedida. Ele vai gerar java.lang.Exception se a autenticação for malsucedida. O nome de usuário retornado pelo método deve identificar exclusivamente um usuário em um dos diretórios de usuários incluídos na ordem de pesquisa do Shared Services. A estrutura de segurança do EPM System dá suporte ao formato username@providerName.
Nota:
Para inicializar recursos, por exemplo, um pool de conexões JDBC, use o construtor de classe. Fazer isso melhora o desempenho ao não carregar recursos para cada autenticação.