Autenticação do Usuário

A autenticação de usuário habilita a funcionalidade de logon único (SSO) nos componentes do Oracle Enterprise Performance Management System validando as informações de logon de cada usuário para determinar os usuários autenticados. A autenticação de usuário, com autorização específica do componente, concede ao usuário acesso aos componentes do EPM System. O processo de conceder autorização é chamado de provisionamento.

Componentes de Autenticação

As seções a seguir descrevem os componentes que oferecem suporte ao SSO:

Native Directory

Native Directory refere-se ao banco de dados relacional que o Oracle Hyperion Shared Services usa para dar suporte ao provisionamento e para armazenar dados pré-implantados, como contas de usuário padrão.

Funções do Native Directory:

  • Manter e gerenciar as contas de usuário padrão do EPM System

  • Armazenar todas as informações de provisionamento do EPM System (relacionamentos entre usuários, grupos e funções)

O Native Directory é acessado e gerenciado usando o Oracle Hyperion Shared Services Console. Consulte "Gerenciamento do Native Directory" no Guia de Administração da Segurança de Usuário do Sistema Oracle Enterprise Performance Management.

Diretórios de Usuários Externos

Os diretórios de usuários referem-se aos sistemas corporativos de gerenciamento de identidades e usuários que são compatíveis com os componentes do EPM System.

Os componentes do EPM System são suportados em vários diretórios de usuário, inclusive nos que têm base em LDAP, como o Oracle Internet Directory, Sun Java System Directory Server (denominado anteriormente Servidor de Diretórios SunONE) e Microsoft Active Directory. Os bancos de dados relacionais também são suportados como diretórios de usuário. Os diretórios de usuários, com exceção do Native Directory, são chamados de diretórios de usuários externos em todo este documento.

Para obter uma lista de diretórios de usuários suportados, consulte a Matriz de Certificação do Oracle Enterprise Performance Management System publicada na página Configurações do Sistema Suportado do Oracle Fusion Middleware do Oracle Technology Network (OTN).

No Shared Services Console, você pode configurar muitos diretórios de usuários externos como a origem para usuários e grupos do EPM System. Cada usuário do EPM System deve ter uma conta exclusiva em um diretório de usuários configurado. De modo geral, os usuários do EPM System são atribuídos a grupos para facilitar o provisionamento.

Logon Único Padrão do EPM System

O EPM System dá suporte ao SSO nos aplicativos Web do EPM System permitindo que usuários autenticados de um aplicativo naveguem ininterruptamente para outros aplicativos sem precisar inserir as credenciais novamente. O SSO é implementado pela integração de um ambiente de segurança comum que trata da autenticação do usuário e do provisionamento (autorização baseada em função) entre os componentes do EPM System.

O processo de SSO padrão é ilustrado na imagem a seguir.


Logon único direto em componentes

  1. Usando um navegador, os usuários acessam uma tela de logon do componente do EPM System e inserem um nome de usuário e uma senha.

    O componente do EPM System consulta os diretórios de usuários configurados (incluindo o Native Directory) para verificar credenciais do usuário. Depois de encontrar a conta de usuário correspondente em um diretório de usuários, a pesquisa é encerrada e as informações do usuário são retornadas ao componente do EPM System.

    O acesso será negado se nenhuma conta de usuário for encontrada em qualquer diretório de usuários configurado.

  2. Usando as informações recuperadas do usuário, o componente do EPM System consulta o Native Directory para obter detalhes de provisionamento para o usuário.

  3. O componente do EPM System verifica a Lista de Controle de Acesso (ACL) no componente para determinar os artefatos do aplicativo que o usuário pode acessar.

Mediante recebimento das informações de provisionamento do Native Directory, o componente do EPM System estará disponível para o usuário. Nesse ponto, o SSO é habilitado para todos os componentes do EPM System para os quais o usuário foi provisionado.

Logon Único em Sistemas de Gerenciamento de Acesso

Para proteger ainda mais os componentes do EPM System, você pode implementar um sistema de gerenciamento de acesso compatível, como Oracle Access Manager ou SiteMinder, que pode fornecer credenciais de usuário autenticado aos componentes do EPM System e controlar o acesso com base nos privilégios de acesso predefinidos.

O SSO de agentes de segurança está disponível apenas para aplicativos Web do EPM System. Neste cenário, os componentes EPM System usam as informações sobre o usuário fornecidas pelo agente de segurança para determinar as permissões de acesso dos usuários. Para melhorar a segurança, a Oracle recomenda que o acesso direto aos servidores seja bloqueado por firewalls para que todas as solicitações sejam roteadas por meio de um portal SSO.

O SSO de sistemas de gerenciamento de acesso é suportado pela aceitação das credenciais do usuário autenticado por um mecanismo SSO aceitável. Consulte Métodos de SSO Suportados. O sistema de gerenciamento de acesso autentica usuários e passa o nome de logon ao EPM System. O EPM System verifica o nome de logon nos diretórios de usuários configurados.

Consulte estes tópicos.

O conceito ilustrado:


Logon único em sistemas externos

  1. Usando um navegador, os usuários solicitam acesso a recurso protegido por um sistema de gerenciamento de acesso, por exemplo, Oracle Access Manager, ou pelo SiteMinder.

    Nota:

    Os componentes do EPM System são definidos como recursos protegidos pelo sistema de gerenciamento de acesso.

    O sistema de gerenciamento de acesso intercepta a solicitação e apresenta uma tela de logon. Os usuários inserem um nome de usuário e uma senha, que são validados em diretórios de usuários configurados no sistema de gerenciamento de acesso para verificar a autenticidade do usuário. Os componentes do EPM System também são configurados para funcionar com esses diretórios de usuários.

    As informações sobre o usuário autenticado são passadas ao componente do EPM System, que aceita as informações como válidas.

    O sistema de gerenciamento de acesso passa o nome de logon do usuário (valor de Login Attribute) ao componente do EPM System usando um mecanismo SSO aceitável. Consulte Métodos de SSO Suportados.

  2. Para verificar credenciais de usuário, o componente do EPM System tenta localizar o usuário em um diretório de usuários. Se uma conta de usuário correspondente for encontrada, as informações do usuário serão retornadas ao componente do EPM System. A segurança do EPM System define o token SSO que habilita o SSO nos componentes do EPM System.

  3. Usando as informações recuperadas do usuário, o componente do EPM System consulta o Native Directory para obter detalhes de provisionamento para o usuário.

    Após o recebimento das informações de provisionamento do usuário, o componente do EPM System estará disponível para o usuário. O SSO é habilitado em todos os componentes do EPM System nos quais o usuário é provisionado.