用户身份验证

用户身份验证通过验证每个用户的登录信息来确定通过验证的用户,从而实现了跨 Oracle Enterprise Performance Management System 产品的单点登录 (SSO) 功能。用户身份验证与特定于组件的授权一起向用户授予对 EPM System 组件的访问权限。授权过程被称为设置。

身份验证组件

以下各节描述支持 SSO 的各个组件:

Native Directory

Native DirectoryOracle Hyperion Shared Services 用于支持设置和存储初始数据(如默认用户帐户)的关系数据库。

Native Directory 功能:

  • 维护和管理默认 EPM System 用户帐户

  • 存储所有 EPM System 设置信息(用户、组及角色之间的关系)

使用 Oracle Hyperion Shared Services Console 访问和管理 Native Directory。请参阅《Oracle Enterprise Performance Management System 用户安全管理指南》中的“管理 Native Directory”。

外部用户目录

用户目录是与 EPM System 组件兼容的企业用户和身份管理系统。

EPM System 组件支持包括基于 LDAP 的用户目录在内的多个用户目录;例如,Oracle Internet Directory、Sun Java System Directory Server(以前称为 SunONE Directory Server)和 Microsoft Active Directory。还支持将关系数据库作为用户目录。在本文档中,除 Native Directory 之外的用户目录都指外部用户目录。

有关支持的用户目录的列表,请参阅 Oracle 技术网 (OTN) 上 "Oracle Fusion Middleware Supported System Configurations" 页面上发布的 "Oracle Enterprise Performance Management System Certification Matrix"。

Shared Services Console 中,您可以配置多个外部用户目录作为 EPM System 用户和组的源。每个 EPM System 用户的帐户必须在配置的用户目录中唯一。通常,可以将 EPM System 用户分配给组来简化设置过程。

默认 EPM System 单点登录

EPM System 支持跨多个 EPM System Web 应用程序使用 SSO,允许在一个应用程序中已验证身份的用户无需重新输入凭据,即可无缝导航至其他应用程序。通过集成一个公共安全环境来处理跨多个 EPM System 组件的用户身份验证和设置(基于角色的授权),即可实现 SSO。

默认的 SSO 过程如下图所示。


直接单点登录到组件

  1. 用户通过浏览器访问 EPM System 组件登录屏幕并输入用户名和密码。

    EPM System 组件查询配置的用户目录(包括 Native Directory)以验证用户凭据。一旦在用户目录中找到了匹配的用户帐户,即终止搜索,并将用户的信息返回给 EPM System 组件。

    如果在配置的任何用户目录中都找不到用户帐户,则拒绝访问。

  2. EPM System 组件使用检索到的用户信息查询 Native Directory,以获取该用户的设置详细信息。

  3. EPM System 组件检查组件中的访问控制列表 (ACL),以确定用户可以访问的应用程序对象。

一旦收到了来自 Native Directory 的设置信息,即会允许用户访问 EPM System 组件。此时,将为针对其设置了用户的所有 EPM System 组件启用 SSO。

来自访问管理系统的单点登录

为了进一步保障 EPM System 组件的安全,您可以实施支持的访问管理系统(例如 Oracle Access Manager 或 SiteMinder),该系统可以将已验证身份的用户的凭据提供给 EPM System 组件,并能根据预定义的访问权限控制访问。

来自安全代理的 SSO 仅可用于 EPM System Web 应用程序。在此方案中,EPM System 组件使用安全代理提供的用户信息来确定用户的访问权限。为了增强安全性,Oracle 建议通过防火墙阻止对服务器的直接访问,以让所有请求都通过 SSO 门户进行路由。

通过可接受的 SSO 机制接受已验证身份的用户的凭据,可以支持来自访问管理系统的 SSO。请参阅“支持的 SSO 方法”。访问管理系统对用户进行身份验证,并将登录名传递给 EPM SystemEPM System 根据配置的用户目录验证该登录名。

请参阅以下主题。

概念如下图所示:


来自外部系统的单点登录

  1. 用户可使用浏览器请求访问受访问管理系统(例如 Oracle Access Manager 或 SiteMinder)保护的资源。

    注:

    EPM System 组件被定义为受访问管理系统保护的资源。

    访问管理系统将拦截请求并显示登录屏幕。用户输入用户名和密码,访问管理系统将依据配置的用户目录对用户名和密码进行验证,以核实用户身份。EPM System 组件也被配置为可以使用这些用户目录。

    已验证身份的用户的相关信息将传递给 EPM System 组件,后者将接受信息并视为有效。

    访问管理系统使用可接受的 SSO 机制将用户登录名(登录属性值)传递给 EPM System 组件。请参阅“支持的 SSO 方法”。

  2. 为了验证用户凭据,EPM System 组件将尝试在用户目录中查找该用户。如果找到匹配的用户帐户,则将用户信息返回给 EPM System 组件。EPM System 安全性设置用于在 EPM System 组件之间启用 SSO 的 SSO 令牌。

  3. EPM System 组件使用检索到的用户信息查询 Native Directory,以获取该用户的设置详细信息。

    一旦收到用户设置信息,即允许用户访问 EPM System 组件。将为针对其设置了用户的所有 EPM System 组件启用 SSO。