SiteMinder SSO

SiteMinder 是僅限 Web 的解決方案。桌面應用程式及其增益集 (如 Microsoft Excel 與 Report Designer) 皆無法透過 SiteMinder 使用驗證。然而,Oracle Smart View for Office 可以使用 SiteMinder 驗證機制。

處理流程

以下圖例說明已啟用 SiteMinder 的 SSO 概觀:


SiteMinder 單一登入程序

SiteMinder SSO 程序:

  1. 使用者嘗試存取受 SiteMinder 保護的 Oracle Enterprise Performance Management System 資源。他們會使用可連線至作為 SiteMinder 原則伺服器前端之 Web 伺服器的連線,例如 http://WebAgent_Web_Server_Name:WebAgent_Web_ServerPort/interop/index.jsp
  2. Web 伺服器會將使用者重新導向至原則伺服器,讓該原則伺服器查問使用者以取得認證。當原則伺服器根據已設定的使用者目錄來驗證該認證之後,就會將該認證傳遞到裝載 SiteMinder Web 代理程式的 Web 伺服器上。
  3. 裝載 SiteMinder Web 代理程式的 Web 伺服器會將要求重新導向到作為 EPM System 前端的 Oracle HTTP ServerOracle HTTP Server 會將使用者重新導向到部署在 Oracle WebLogic Server 上使用者要求存取的應用程式。
  4. EPM System 元件會檢查提供資訊,然後提供內容。而您必須將 SiteMinder 用來驗證使用者的使用者目錄,設定為 EPM System 中的外部使用者目錄,這個程序才能成功運作。這些目錄都必須設定為受信任。

特殊考量

SiteMinder 是僅限 Web 的解決方案。桌面應用程式及其增益集 (如 Microsoft Excel 與 Report Designer) 皆無法透過 SiteMinder 使用驗證。然而,Smart View 可以使用 SiteMinder 驗證機制。

先決條件

  1. 功能完整的 SiteMinder 安裝包含下列元件:
    • SiteMinder 原則伺服器:您會在該伺服器上定義原則和代理程式物件
    • SiteMinder Web 代理程式:安裝在作為 SiteMinder 原則伺服器前端的 Web 伺服器上
  2. 功能完整的 EPM System 部署。

    當您設定 EPM System 元件的 Web 伺服器時,EPM System Configurator 會設定 mod_wl_ohs.conf,以將要求代理至 WebLogic Server

建立 SiteMinder Web 代理程式

Web 代理程式安裝在會攔截針對 EPM System 資源之要求的 Web 伺服器上。若有未通過驗證的使用者嘗試存取受保護的 EPM System 資源,Web 代理程式就會查問使用者以取得 SSO 認證。使用者經過驗證後,原則伺服器會新增已驗證使用者的登入名稱,並在標頭中包含此登入名稱。之後,系統會把 HTTP 要求傳遞到 EPM System Web 伺服器,讓該伺服器重新導向要求。EPM System 元件會從標頭擷取已通過驗證的使用者認證。

SiteMinder 支援在異質 Web 伺服器平台上執行之 EMP System 產品的 SSO 機制。如果 EMP System 產品使用不同的 Web 伺服器,您必須確保 SiteMinder Cookie 可以在相同網域的不同 Web 伺服器之間傳遞。方法是指定適當的 EPM System 應用程式網域,作為每台 Web 伺服器上 WebAgent.conf 檔案中的 Cookiedomain 特性值。

請參閱 Netegrity SiteMinder Agent Guide 中的 "Configuring Web Agents"。

註:

由於 Oracle Hyperion Shared Services 會使用基本的驗證功能來保護自己的內容,因此我們建議您在攔截 Shared Services 要求的 Web 伺服器上啟用基本的驗證功能,以支援使用 SiteMinder 的 SSO。

您將設定 Web 代理程式,方法是執行 SiteMinder Web 代理程式組態精靈 (藉由執行 WEBAGENT_HOME/install_config_info/nete-wa-config 來進行,例如 Windows 上的 C:\netegrity\webagent\install_config_info\nete-wa-config.exe)。這個設定程序將會為 SiteMinder Web 伺服器建立 WebAgent.conf

如何啟用 SiteMinder Web 代理程式:

  1. 使用文字編輯器開啟 WebAgent.conf。這個檔案的位置,取決於您要使用的 Web 伺服器。
  2. enableWebAgent 特性的值設定為 Yes
    enableWebAgent="YES"
  3. 儲存並關閉 Web 代理程式組態檔。

範例 3-1 設定 SiteMinder 原則伺服器

SiteMinder 管理員必須設定原則伺服器,才能啟用 EMP System 產品的 SSO。

設定程序包括:

  • 建立 SiteMinder Web 代理程式,並新增適用於 SiteMinder Web 伺服器的組態物件。
  • 為每個應受保護的 EPM System 資源建立領域,然後將該 Web 代理程式新增到該領域中。請參閱要保護的資源
  • 在為受保護的 EPM System 資源建立的領域中,建立未受保護資源的領域。請參閱要取消保護的資源
  • 建立 HTTP 標頭參照。標頭應該要將 Login Attribute 的值提供給 EPM System 應用程式。如需 Login Attribute 的簡短說明,請參閱 Oracle Enterprise Performance Management System User Security 管理手冊中的「設定 OID、Active Directory 及其他 LDAP 型的使用者目錄」。
  • 利用 Get、Post 和 Put 等 Web 代理程式動作,在領域中建立規則
  • 建立回應屬性,並把該屬性的值設定為 hyplogin=<%userattr="SM_USERLOGINNAME"%>
  • 建立原則、指派使用者目錄存取權,以及將您為 EPM System 建立的規則新增到「目前成員」清單中
  • 為您針對 EPM System 元件所建立的規則設定回應

範例 3-2 設定 SiteMinder Web 伺服器,讓該伺服器會將要求轉送到 EPM System Web 伺服器

您將設定裝載 SiteMinder Web 代理程式的 Web 伺服器,讓該伺服器會將已通過驗證之使用者 (包含可識別使用者的標頭) 的要求轉送到 EPM System Web 伺服器。

針對 Apache 式的 Web 伺服器,請使用類似下列內容的指示詞來轉送已通過驗證的要求:

ProxyPass / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPassReverse / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPreserveHost On
#If SiteMinder Web Server is using HTTPS but EPM Web Server is using HTTP
RequestHeader set WL-Proxy-SSL true

請在上述指示詞中,將 EPM_WEB_SERVEREPM_WEB_SERVER_PORT 替換成您環境中實際的值。

範例 3-3 在 EMP System 中啟用 SiteMinder

您必須啟用 EMP System 產品的 SiteMinder 驗證,才能與 SiteMinder 進行整合。請參閱 設定 EPM System 進行 SSO