Visão Geral
Os produtos Oracle Enterprise Performance Management System oferecerão suporte ao SSO Kerberos se o servidor de aplicativos que hospeda os produtos EPM System estiver configurado para autenticação Kerberos.
O Kerberos é um serviço de autenticação confiável onde cada cliente Kerberos confia na validade das identidades dos outros clientes Kerberos (usuários, serviços de rede etc.).
Veja a seguir o que acontece quando um usuário acessa um produto EPM System:
Limitações de Suporte
O Kerberos SSO é suportado em todos os produtos EPM System, com as seguintes exceções:
Pressupostos
Este documento, que contém etapas de configuração do Kerberos no nível de configuração, supõe conhecimento da configuração do Kerberos no nível do sistema. Antes de iniciar estes procedimentos, confirme se os pré-requisitos para essas tarefas foram atendidos.
Este documento supõe que você esteja trabalhando em um ambiente de rede habilitado para Kerberos totalmente funcional, no qual as máquinas cliente do Windows são configuradas para autenticação Kerberos.
SSO Kerberos com WebLogic Server
O SSO Kerberos no Oracle WebLogic Server utiliza o Negotiate Identity Asserter para negociar e decodificar tokens do SPNEGO de modo a habilitar o SSO com clientes Microsoft. O WebLogic Server decodifica os tokens SPNEGO para obter o tíquete Kerberos, bem como valida e mapeia o tíquete para um usuário do WebLogic Server. Você pode usar o Autenticador do WebLogic Server no Active Directory com o Negotiate Identity Asserter para configurar o Active Directory como o diretório para usuários do WebLogic Server.
Quando o navegador solicita acesso a um produto EPM System, o KDC emite um tíquete Kerberos para o navegador, que cria um token SPNEGO contendo os tipos de token GSS permitidos. O Negotiate Identity Asserter decodifica o token SPNEGO e utiliza o GSSAPIs para aceitar o contexto de segurança. A identidade do usuário que iniciou a solicitação é mapeada para um nome de usuário e encaminhada de volta para o WebLogic Server. Além disso, o WebLogic Server determina os grupos aos quais o usuário pertence. Nesse estágio, o produto solicitado do EPM System é disponibilizado para o usuário.
Nota:
Os usuários devem usar um navegador que aceite SPNEGO (por exemplo, Internet Explorer ou Firefox) para acessar os produtos EPM System executados no WebLogic Server.
Usando o ID do usuário derivado do processo de autenticação, o processo de autorização do produto do EPM System processa verificações dos dados de provisionamento. O acesso ao produto EPM System é restrito com base nos dados de provisionamento.
Procedimentos do WebLogic Server para Suporte à Autenticação Kerberos
Um administrador deve concluir estas etapas para permitir a autenticação Kerberos:
Criação do Domínio do WebLogic para o EPM System
De modo geral, os componentes do EPM System são implantados no domínio do WebLogic no EPMSystem
(o local padrão é MIDDLEWARE_HOME/user_projects/domains/EPMSystem
).
Para configurar o domínio do WebLogic no EPM System para autenticação Kerberos:
A implantação do Foundation Services cria o domínio do WebLogic padrão no EPM System.
Criação de um Provedor de Autenticação LDAP no WebLogic Server
Um administrador do WebLogic Server cria o provedor de autenticação LDAP, que armazena informações de usuário e grupo em um servidor LDAP externo. Os servidores LDAP compatíveis com LDAP v2 ou v3 funcionam com o WebLogic Server. Consulte estas referências:
Criação de um Negotiate Identity Asserter
O provedor Negotiate Identity Assertion permite SSO com clientes da Microsoft. Ele decodifica tokens SPNEGO para obter tokens Kerberos, valida os tokens Kerberos e mapeia os tokens para os usuários do WebLogic. O provedor Negotiate Identity Assertion, uma implementação da Security Service Provider Interface (SSPI), conforme definido pela Estrutura de Segurança do WebLogic, fornece a lógica necessária para autenticar um cliente com base no token SPNEGO do cliente.
Durante a criação do provedor Negotiate Identity Assertion, defina a opção JAAS Control Flag comoSUFFICIENT
para todos os autenticadores. Consulte "Definir JAAS control flag" na Ajuda On-line do Console de Administração do Oracle WebLogic Server no Oracle Fusion Middleware..
Criação de Identificação Kerberos para o WebLogic Server
Na máquina do controlador de domínio do Active Directory, crie objetos de usuário que representem o servidor Web do WebLogic Server e do EPM System, e mapeie-os para os nomes da entidade de serviço (SPN) que representem seu WebLogic Server e servidor Web no realm Kerberos. Os clientes não podem localizar um serviço que não tenha um SPN. Você armazena SPNs em arquivos keytab que são copiados no domínio do WebLogic Server para serem usados no processo de logon.
Consulte Criação de identificação para o WebLogic Server no guia Oracle Fusion Middleware Protegendo o Oracle WebLogic Server para obter procedimentos detalhados.
Para criar a identificação Kerberos para o WebLogic Server:
epmHost
, para o computador que hospeda o domínio do WebLogic Server.
Nota:
Crie a identificação como um objeto de usuário, não como uma máquina.Use o nome simples do computador; por exemplo, use epmHost
se o host for chamado de epmHost.example.com
.
Registre a senha usada durante a criação do objeto de usuário. Ela será necessária para criar SPNs.
Não selecione opções de senha, especialmente a opção User must change password at next logon
.
Do not require Kerberos pre-authentication
) seja selecionada.epmHost
) que você criou na Etapa 1 deste procedimento.
setspn -L epmHost
ktpass -princ HTTP/epmHost.example.com@EXAMPLE.COM -pass password -mapuser epmHost -out c:\epmHost.keytab
MIDDLEWARE_HOME/jdk/bin
.ktab -k keytab_filename -a epmHost@example.com
C:\Oracle\Middleware\user_projects\domains\EPMSystem
.kinit -k -t keytab-file account-name
Neste comando, account-name
indica a entidade de segurança Kerberos; por exemplo, HTTP/epmHost.example.com@EXAMPLE.COM
. A saída deste comando deve ser semelhante à seguinte:
New ticket is stored in cache file C:\Documents and Settings\Username\krb5cc_MachineB
Atualização das Opções de JVM para Kerberos
Consulte Uso de Argumentos de Inicialização para Autenticação Kerberos com WebLogic Server e Criação de um Arquivo de Logon JAAS no Oracle Fusion Middleware Protegendo o Oracle WebLogic Server 11g Versão 1 (10.3.1).
Se os servidores gerenciados do EPM System estiverem sendo executados como serviços do Windows, atualize o registro do Windows para definir as opções de inicialização da JVM.
Para atualizar as opções de inicialização da JVM no registro do Windows:
Nota:
Os nomes listados na tabela a seguir são exemplos.
Tabela 3-3 Opções de Inicialização da JVM para Autenticação Kerberos
Nome | Tipo | Dados |
---|---|---|
JVMOption44 | REG_SZ | -Djava.security.krb5.realm=Active Directory Realm Name |
JVMOption45 | REG_SZ | -Djava.security.krb5.kdc=Active Directory host name or IP address |
JVMOption46 | REG_SZ | -Djava.security.auth.login.config=location of Kerberos login configuration file |
JVMOption47 | REG_SZ | -Djavax.security.auth.useSubjectCredsOnly=false |
Atualize o valor de JVMOptionCount DWord para refletir a JVMOptions adicionada (adicione 4 ao valor decimal atual).
Configuração de Políticas de Autorização
Consulte Opções para Proteger Recursos EJB e Aplicativo Web no guia Oracle Fusion Middleware Protegendo Recursos Usando Funções e Políticas do Oracle WebLogic Server para obter informações sobre configuração de políticas de autorização para os usuários do Active Directory que acessam o EPM System.
Para ver um exemplo de etapas de configuração de política, consulte Criação de Políticas para SSODiag.
Uso de SSODiag para Testar o Ambiente Kerberos
SSODiag é um aplicativo Web de diagnostico que testa se o WebLogic Server em seu ambiente Kerberos está pronto para dar suporte ao EPM System.
Implantação de SSODiag
Use as credenciais de administrador do WebLogic Server (o nome de usuário padrão é epm_admin
) que você especificou durante a implantação de Foundation Services para implantar o SSODiag.
Para implantar e configurar o SSOdiag:
Em Centro de Alterações, selecione Bloquear & Editar
/products/Foundation/AppServer/InstallableApps/common/SSODiag.war
.Configuração do Oracle HTTP Server para SSODiag
Atualize mod_wl_ohs.conf
de modo a configurar o Oracle HTTP Server para encaminhar as solicitações de URL do SSODiag ao WebLogic Server.
Para configurar o encaminhamento de URL no Oracle HTTP Server:
/httpConfig/ohs/config/fmwconfig/components/OHS/ohs_component/mod_wl_ohs.conf
.LocationMatch
para SSODiag:
<LocationMatch /SSODiag/> SetHandler weblogic-handler WeblogicCluster myServer:28080 </LocationMatch>
No exemplo anterior, myServer
denota a máquina host de Foundation Services e 28080
representa a porta na qual o Oracle Hyperion Shared Services escuta as solicitações.
mod_wl_ohs.conf
.Criação de Políticas para SSODiag
Crie uma política no Console Administrativo do WebLogic Server para proteger o URL de SSODiag a seguir.
http://OHS_HOST_NAME:PORT/SSODiag/krbssodiag
Neste exemplo, OHS_HOST_NAME
indica o nome do servidor que hospeda o Oracle HTTP Server e PORT
indica a porta em que o Oracle HTTP Server escuta as solicitações.
Para criar políticas a fim de proteger o SSODiag:
/
/index.jsp
krbuser1
, e selecione Adicionar. krbuser1
é um usuário de área de trabalho do Windows ou do Active Directory.Selecione Salvar.
Uso do SSODiag para Testar a Configuração do WebLogic Server para Autenticação Kerberos
Se a configuração do WebLogic Server para autenticação Kerberos funcionar corretamente, a página Utilitário de diagnóstico do SSO Kerberos do Oracle Hyperion V 1.0 exibirá a seguinte mensagem:
Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved... SOME_USER_NAME
Cuidado:
Não configure os componentes do EPM System para autenticação Kerberos se SSODiag não puder recuperar o nome da entidade de segurança Kerberos.
Para testar a configuração do WebLogic Server para autenticação Kerberos:
http://OHS_HOST_NAME:PORT/SSODiag/krbssodiag
Neste exemplo, OHS_HOST_NAME
indica o nome do servidor que hospeda o Oracle HTTP Server e PORT
indica a porta em que o Oracle HTTP Server escuta as solicitações.
Se a autenticação Kerberos funcionar corretamente, SSODiag exibirá as seguintes informações:
Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved... SOME_USER_NAME
Se a autenticação Kerberos não funcionar corretamente, SSODiag exibirá as seguintes informações:
Retrieving Kerberos User principal name... failed.
Alteração do Modelo de Segurança
O modelo de segurança padrão para aplicativos Web protegidos pelo realm de segurança é DDonly
. Você deve alterar o modelo de segurança para CustomRolesAndPolicies
.
Para alterar o modelo de segurança:
MIDDLEWARE_HOME/user_projects/domains/EPMSystem/config/config.xml
.<security-dd-model>DDOnly</security-dd-model>
<security-dd-model>CustomRolesAndPolicies</security-dd-model>
config.xml
.Atualização da Configuração de Segurança do EPM System
Altere a configuração de segurança do EPM System para habilitar o SSO Kerberos.
Para configurar o EPM System para autenticação Kerberos:
Em Opções de Segurança, selecione as configurações na tabela a seguir para ativar o SSO Kerberos.
Tabela 3-4 Configurações para Habilitar o SSO Kerberos
Campo | Configuração Necessária |
---|---|
Habilitar SSO | Selecionado |
Provedor ou Agente SSO | Outro |
Mecanismo SSO | Obter Usuário Remoto de uma Solicitação HTTP |
Teste do SSO Kerberos
Faça logon no Foundation Services para verificar se o SSO Kerberos está funcionando corretamente.
Para testar o SSO Kerberos:
Configuração dos Componentes do EPM System
Usando o EPM System Configurator, configure e implante outros componentes do EPM System no domínio do WebLogic onde o Foundation Services está implantado.
Configuração dos Servidores Gerenciados do EPM System para Autenticação Kerberos
Nos ambientes do Microsoft Windows, os servidores gerenciados do EPM System são executados como serviços do Windows. É preciso modificar as opções de inicialização da JVM para cada servidor gerenciado do WebLogic. Uma lista abrangente de servidores gerenciados no modo de implantação não compacta:
Se os aplicativos Web do EPM System forem implantados no modo de implantação compacto, você precisará atualizar as opções de inicialização da JVM apenas do servidor gerenciado do EPMSystem0
. Se você tiver vários servidores gerenciados compactos, será preciso atualizar as opções de inicialização da JVM para todos os servidores gerenciados.
Consulte Uso de Argumentos de Inicialização para Autenticação Kerberos com WebLogic Server no guia Oracle Fusion Middleware Protegendo o Oracle WebLogic Server.
Nota:
O procedimento a seguir descreve como definir as opções de inicialização da JVM para o servidor gerenciado do FoundationServices. Você deve realizar essa tarefa para cada servidor gerenciado do WebLogic na implantação.Para ver procedimentos detalhados de como configurar opções da JVM nos scripts de inicialização do WebLogic Server, consulte Atualização das Opções de JVM para Kerberos.
Para configurar as opções da JVM nos scripts de inicialização do WebLogic Server
Configuração de Políticas de Autorização
Configure as políticas de autorização para usuários do Active Directory que acessarão os componentes do EPM System com exceção do Foundation Services. Consulte Configuração de Políticas de Autorização para obter informações sobre como configurar políticas de segurança no Console de Administração do WebLogic.
Alteração do Modelo de Segurança Padrão dos Componentes do EPM System
Você edita o arquivo de configuração do EPM System para alterar o modelo de segurança padrão. Para implantações do EPM System não compactas, você deve alterar o modelo de segurança padrão para cada aplicativo Web do EPM System registrado no config.xml
. Uma lista de aplicativos Web do EPM System:
Para alterar o modelo de segurança:
MIDDLEWARE_HOME/user_projects/domains/EPMSystem/config/config.xml
<security-dd-model>
como CustomRolesAndPolicies
, como mostrado no seguinte exemplo:
<app-deployment> <name>SHAREDSERVICES#11.1.2.0</name> <target>EPMServer</target> <module-type>ear</module-type> <source-path>C:\Oracle\Middleware\EPMSystem11R1/products/Foundation/AppServer/InstallableApps/common/interop.ear</source-path> <security-dd-model>CustomRolesAndPolicies</security-dd-model> <staging-mode>nostage</staging-mode> </app-deployment>
config.xml
.Criação de Políticas de Proteção de URL para Componentes do EPM System
Crie uma política de proteção de URL no Console Administrativo do WebLogic Server para proteger cada URL de componente do EPM System. Consulte Opções para Proteger Recursos EJB e Aplicativos Web no guia Oracle Fusion Middleware Protegendo Recursos Usando Funções e Políticas do Oracle WebLogic Server para obter detalhes.
Para criar políticas de proteção de URL:
PLANNING
) em sua implantação e clique no respectivo aplicativo Web (por exemplo, HyperionPlanning
). Consulte Alteração do Modelo de Segurança Padrão dos Componentes do EPM System para obter uma lista de componentes do EPM System.
Nota:
Alguns aplicativos corporativos, por exemplo, o Oracle Essbase Administration Services, incluem vários aplicativos Web para os quais os padrões de URL devem ser definidos.A Oracle recomenda usar a condição Group
, que concede essa política de segurança a todos os membros de um grupo especificado.
Group
na etapa anterior, você deve concluir as seguintes etapas:O WebLogic Server exibirá uma mensagem de erro se ele não puder localizar o grupo no Active Directory. É preciso resolver esse erro antes de continuar.
Habilitar a Autenticação Baseada no Certificado do Cliente em Aplicativos Web
Insira a definição login-config
no arquivo de configuração dos arquivos de aplicativo a seguir localizados em EPM_ORACLE_HOME/products/
.
Essbase/eas/server/AppServer/InstallableApps/Common/eas.ear
FinancialDataQuality/AppServer/InstallableApps/aif.ear
financialreporting/InstallableApps/HReports.ear
Profitability/AppServer/InstallableApps/common/profitability.ear
Para habilitar a autenticação baseada no certificado do cliente:
EPM_ORACLE_HOME/products/Essbase/eas/server/AppServer/InstallableApps/Common/eas.ear/eas.war
.WEB-INF
.web.xml
adicionando a seguinte definição login_config
justamente antes do elemento </webapp>
:
<login-config> <auth-method>CLIENT-CERT</auth-method> </login-config>
web.xml
.Atualização da Configuração de Segurança do EPM System
Configure a segurança do EPM System para respeitar o SSO. ConsulteConfiguração do EPM System para SSO.