SiteMinder SSO

O SiteMinder é uma solução somente para Web. Os aplicativos de área de trabalho e seus suplementos (por exemplo, Microsoft Excel e Report Designer) não podem usar a autenticação por meio do SiteMinder. No entanto, o Oracle Smart View para Office pode usar a autenticação do SiteMinder.

Fluxo do Processo

Visão geral ilustrada do SSO habilitado para o SiteMinder:


O processo de logon único do SiteMinder

O processo do SSO do SiteMinder:

  1. Os usuários tentam acessar um recurso do Oracle Enterprise Performance Management System protegido pelo SiteMinder. Eles usam um URL que os conecta ao servidor Web que atua como front-end do servidor de política do SiteMinder; por exemplo, http://WebAgent_Web_Server_Name:WebAgent_Web_ServerPort/interop/index.jsp.
  2. O servidor Web redireciona os usuários para o servidor de política, que solicita aos usuários as credenciais. Após verificação das credenciais nos diretórios de usuários configurados, o servidor de política passa as credenciais ao servidor Web que hospeda o Agente Web do SiteMinder.
  3. O servidor Web que hospeda o Agente Web do SiteMinder redireciona a solicitação para o Oracle HTTP Server que atua como front-end do EPM System. O Oracle HTTP Server redireciona os usuários para o aplicativo solicitado implantado no Oracle WebLogic Server.
  4. O componente do EPM System verifica as informações de provisionamento e serve-se de conteúdo. Para que esse processo funcione, os diretórios de usuários que o SiteMinder usa para autenticar usuários devem ser configurados como diretórios de usuários externos no EPM System. Esses diretórios devem ser configurados como confiáveis.

Considerações Especiais

O SiteMinder é uma solução somente para Web. Os aplicativos de área de trabalho e seus suplementos (por exemplo, Microsoft Excel e Report Designer) não podem usar a autenticação por meio do SiteMinder. No entanto, o Smart View pode usar a autenticação do SiteMinder.

Pré-requisitos

  1. Uma instalação do SiteMinder totalmente funcional abrange os seguintes componentes:
    • O Servidor de Política do SiteMinder no qual as políticas e os objetos de agente são definidos
    • O Agente Web do SiteMinder instalado no servidor Web que atua como front-end do Servidor de Política do SiteMinder
  2. Uma implantação do EPM System totalmente funcional.

    Quando você configura o servidor Web para os componentes do EPM System, o EPM System Configurator configura mod_wl_ohs.conf para solicitações de proxy para o WebLogic Server.

Habilitação do Agente Web do SiteMinder

O agente Web é instalado em um servidor Web que intercepta solicitações para recursos do EPM System. As tentativas por usuários não autenticados de acessar recursos protegidos do EPM System forçam o agente Web a desafiar os usuários em relação às credenciais do SSO. Quando um usuário é autenticado, o servidor de política adiciona o nome de logon do usuário autenticado, que é carregado pelo cabeçalho. Subsequentemente, a solicitação HTTP é passada ao servidor Web do EPM System, que redireciona as solicitações. Os componentes do EPM System extraem as credenciais de usuário autenticado dos cabeçalhos.

O SiteMinder oferece suporte ao SSO para todos os produtos do EPM System executados em plataformas heterogêneas do servidor Web. Se os produtos EPM System usarem servidores Web diferentes, você deverá garantir que o cookie do SiteMinder possa ser passado para todos os servidores Web dentro do mesmo domínio. É possível fazer isso especificando o domínio de aplicativo apropriado do EPM System como o valor da propriedade Cookiedomain no arquivo WebAgent.conf de cada servidor Web.

Consulte o tópico sobre a configuração de agentes Web no Guia de Agente do Netegrity SiteMinder.

Nota:

Tendo em vista que o Oracle Hyperion Shared Services usa a autenticação básica para proteger o seu conteúdo, o servidor Web que intercepta as solicitações para o Shared Services deve habilitar a autenticação básica para dar suporte ao SSO com SiteMinder.

Configure o Agente Web executando o assistente para Configuração do Agente Web do SiteMinder (executando WEBAGENT_HOME/install_config_info/nete-wa-config; por exemplo, C:\netegrity\webagent\install_config_info\nete-wa-config.exe no Windows). O processo de configuração cria um WebAgent.conf para o servidor Web do SiteMinder.

Para habilitar o Agente Web do SiteMinder:

  1. Usando um editor de texto, abra WebAgent.conf. O local desse arquivo depende do servidor Web que você está usando.
  2. Defina o valor da propriedade enableWebAgent para Yes.
    enableWebAgent="YES"
  3. Salve e feche o arquivo de configuração do agente Web.

Exemplo 3-1 Configuração do Servidor de Política do SiteMinder

Um administrador do SiteMinder deverá configurar o servidor de política para habilitar SSO para os produtos do EPM System.

O processo de configuração envolve:

  • Criação de um Agente Web do SiteMinder e adição de objetos de configuração apropriados para o servidor Web do SiteMinder
  • Criação de um realm para cada recurso do EPM System que deve ser protegido e adição do agente Web ao realm. Consulte Recursos a Serem Protegidos
  • No realm que foi criado para recursos protegidos do EPM System, crie realms para recursos não protegidos. Consulte Recursos a Serem Desprotegidos
  • Criação da referência do cabeçalho HTTP. O cabeçalho deve fornecer o valor de Login Attribute para aplicativos do EPM System. Consulte o tópico sobre configuração do OID, Active Directory e outros diretórios de usuários baseados em LDAP no Guia de Administração da Segurança de Usuário do Sistema Oracle Enterprise Performance Management para obter uma breve descrição de Login Attribute.
  • Criação de regras nos realms com Get, Post e Put como ações do agente Web
  • Criação de um atributo de resposta com hyplogin=<%userattr="SM_USERLOGINNAME"%> como o valor
  • Criação de uma política, atribuindo acesso de diretório de usuários, e adição de regras que você criou para o EPM System à lista Membros Atuais
  • Definição de respostas para as regras que você criou para componentes do EPM System

Exemplo 3-2 Configuração do Servidor Web do SiteMinder para Encaminhar Solicitações ao Servidor Web do EPM System

Configure o servidor Web que hospeda o agente Web do SiteMinder para encaminhar solicitações de usuários autenticados (contendo o cabeçalho que identifica o usuário) ao servidor Web do EPM System.

Para servidores Web baseados no Apache, use diretivas semelhantes às seguintes para encaminhar solicitações autenticadas:

ProxyPass / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPassReverse / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPreserveHost On
#If SiteMinder Web Server is using HTTPS but EPM Web Server is using HTTP
RequestHeader set WL-Proxy-SSL true

Nessa diretiva, substitua EPM_WEB_SERVER e EPM_WEB_SERVER_PORT pelos valores reais do seu ambiente.

Exemplo 3-3 Habilitação do SiteMinder no EPM System

A integração com o SiteMinder requer que você habilite a autenticação do SiteMinder para os produtos do EPM System. Consulte Configuração do EPM System para SSO.