SiteMinder SSO
SiteMinder 是一个纯 Web 解决方案。桌面应用程序及其插件(例如,Microsoft Excel 和 Report Designer)无法通过 SiteMinder 使用身份验证。但是,Oracle Smart View for Office 可以使用 SiteMinder 身份验证。
流程流
以下图例概述了已启用 SiteMinder 的 SSO:
SiteMinder SSO 进程:
- 用户尝试访问受 SiteMinder 保护的 Oracle Enterprise Performance Management System 资源。他们通过 URL 连接到作为 SiteMinder 策略服务器前端的 Web 服务器;例如,
http://WebAgent_Web_Server_Name:WebAgent_Web_ServerPort/interop/index.jsp。 - Web 服务器将用户重定向到策略服务器,后者将向用户质询凭据。在根据配置的用户目录验证凭据之后,策略服务器将凭据传递给托管 SiteMinder Web 代理的 Web 服务器。
- 托管 SiteMinder Web 代理的 Web 服务器将请求重定向到作为 EPM System 前端的 Oracle HTTP Server。Oracle HTTP Server 将用户重定向到所请求的部署在 Oracle WebLogic Server 上的应用程序。
- EPM System 组件检查设置信息并提供内容。为了使此过程正常运行,SiteMinder 用于验证用户身份的用户目录必须配置为 EPM System 中的外部用户目录。这些目录还必须配置为受信任的目录。
特殊注意事项
SiteMinder 是一个纯 Web 解决方案。桌面应用程序及其插件(例如,Microsoft Excel 和 Report Designer)无法通过 SiteMinder 使用身份验证。但是,Smart View 可以使用 SiteMinder 身份验证。
先决条件
- 功能完整的 SiteMinder 安装,其中包含以下组件:
- SiteMinder 策略服务器,您可以在其上定义策略和代理对象
- SiteMinder Web 代理,安装在作为 SiteMinder 策略服务器前端的 Web 服务器上
- 功能完整的 EPM System 部署。
当您为 EPM System 组件配置 Web 服务器时,EPM System Configurator 会将
mod_wl_ohs.conf配置为通过代理将请求转发给 WebLogic Server。
启用 SiteMinder Web 代理
Web 代理安装在 Web 服务器上,它将拦截 EPM System 资源请求。未经身份验证的用户尝试访问受保护的 EPM System 资源时,会强制 Web 代理向用户质询 SSO 凭据。当用户经过身份验证时,策略服务器将添加经过身份验证的用户的登录名称,该名称由标题传递。随后,HTTP 请求将传递给 EPM System Web 服务器,该服务器将重定向请求。EPM System 组件从头中提取经身份验证的用户凭据。
SiteMinder 支持在各种异构 Web 服务器平台上运行的 EPM System 产品之间使用 SSO。如果 EPM System 产品使用不同的 Web 服务器,您必须确保可以在同一域内的 Web 服务器之间传递 SiteMinder Cookie。为此,您需要在每个 Web 服务器的 WebAgent.conf 文件中,将 Cookiedomain 属性的值指定为相应的 EPM System 应用程序域。
请参阅《Netegrity SiteMinder Agent Guide》中的 "Configuring Web Agents"。
注:
由于 Oracle Hyperion Shared Services 使用基本身份验证来保护其内容,因此拦截 Shared Services 请求的 Web 服务器应启用基本身份验证以支持 SiteMinder SSO。要配置 Web 代理,请执行 WEBAGENT_HOME/install_config_info/nete-wa-config 以运行 SiteMinder Web 代理配置向导;例如,在 Windows 上,可执行 C:\netegrity\webagent\install_config_info\nete-wa-config.exe。配置过程中将为 SiteMinder Web 服务器创建 WebAgent.conf。
要启用 SiteMinder Web 代理:
示例 3-1 配置 SiteMinder 策略服务器
SiteMinder 管理员必须配置策略服务器以便启用 EPM System 产品 SSO。
配置过程包括:
- 创建 SiteMinder Web 代理并添加适用于 SiteMinder Web 服务器的配置对象
- 为每个应受保护的 EPM System 资源创建一个领域,并将 Web 代理添加到该领域。请参阅“要保护的资源”
- 在为受保护的 EPM System 资源创建的领域内,为取消保护的资源创建领域。请参阅“取消保护的资源”
- 创建 HTTP 头引用。该头应向
EPM System应用程序提供登录属性的值。有关登录属性的简短说明,请参阅《Oracle Enterprise Performance Management System 用户安全管理指南》中的“配置 OID、Active Directory 和其他基于 LDAP 的用户目录”。 - 在领域内创建使用 Get、Post 和 Put 作为 Web 代理操作的规则
- 创建值为
hyplogin=<%userattr="SM_USERLOGINNAME"%>的响应属性 - 创建策略,分配用户目录访问权并将为 EPM System 创建的规则添加到当前成员列表
- 为您针对 EPM System 组件创建的规则设置响应
示例 3-2 配置 SiteMinder Web 服务器以将请求转发给 EPM System Web 服务器
配置托管 SiteMinder Web 代理的 Web 服务器,以便将经身份验证的用户(包含标识用户的头)发出的请求转发给 EPM System Web 服务器。
对于基于 Apache 的 Web 服务器,使用类似如下的指令转发经身份验证的请求:
ProxyPass / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/ ProxyPassReverse / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/ ProxyPreserveHost On #If SiteMinder Web Server is using HTTPS but EPM Web Server is using HTTP RequestHeader set WL-Proxy-SSL true
在此指令中,将 EPM_WEB_SERVER 和 EPM_WEB_SERVER_PORT 替换为环境的实际值。
示例 3-3 在 EPM System 中启用 SiteMinder
与 SiteMinder 的集成要求您为 EPM System 产品启用 SiteMinder 身份验证。请参阅“针对 SSO 配置 EPM System”。