先决条件
- 完全配置的 Oracle Enterprise Performance Management System。身份管理产品的目录服务器必须在 EPM System 中配置为用户目录,才能对用户进行授权。
- 完全配置的身份管理产品(Microsoft Azure AD、Okta 等),支持基于头的身份验证。
使用兼容的身份管理产品为 EPM System 配置基于头的 SSO 时涉及以下常规过程。由于所涉及的具体步骤取决于您使用的产品,因此请查阅您的身份管理产品手册以了解详细步骤。
有关使用 Oracle Identity Cloud Service 配置基于头的身份验证的详细步骤,请参阅“使用 Oracle Identity Cloud Service 为 EPM System 配置基于头的 SSO”。
- 将 EPM System 注册为身份管理产品中的企业应用程序。此步骤允许身份管理管理员在企业应用程序上配置身份验证,包括支持的功能,如多因素身份验证。
使用附加了 workspace/index.jsp 的网关完全限定域名 (Fully-Qualified Domain Name, FQDN)(例如,https://gateway.server.example.com:443/workspace/index.jsp)作为 EPM System 的企业应用程序 URL。
配置 EPM System 企业应用程序以传播 HTTP 头。
您可以选择将任何未保留的头名称作为 HTTP 头的名称。头的值应该是唯一标识 EPM System 用户的属性。
- 安装、配置和注册应用程序网关以确保企业应用程序仅将经过身份验证的请求转发到 EPM System。
使用以下配置设置:
- 网关服务器的 FQDN(例如,
gateway.server.example.com:443)作为接入点。
- EPM System 的 FQDN(例如,
epm.server.example.com:443)作为经过身份验证的 HTTP(S) 请求应转发到的资源。
- 在 EPM System 中启用 SSO,以支持应用程序网关传播的 HTTP(S) 头。有关详细信息,请参阅“设置安全选项”。
要启用 SSO:
- 以系统管理员身份访问 Oracle Hyperion Shared Services Console。请参阅“启动 Shared Services Console”。
- 选择管理,然后选择配置用户目录。
- 单击安全选项。
- 在单点登录配置部分中:
- 选中启用 SSO 复选框。
- 从 SSO 提供程序或安全代理下拉列表中,选择其他。
- 从 SSO 机制下拉列表中,选择自定义 HTTP 头,然后指定安全代理传递到 EPM System 的头名称。
- 单击确定。
- 将 Oracle Hyperion Enterprise Performance Management Workspace 的“注销后的 URL”设置更新为您希望用户在注销 EPM System 时看到的网页 URL。
要更新 EPM Workspace 中的“注销后的 URL”设置:
- 以系统管理员身份访问 EPM Workspace。请参阅“访问 EPM Workspace”。
- 依次选择导航、Workspace 设置和服务器设置。
- 在 Workspace 服务器设置中,将注销后的 URL 更改为您希望用户在注销 EPM System 时看到的网页 URL。
- 单击确定。
- 重新启动 Oracle Hyperion Foundation Services 和所有 EPM System 受管服务器。