使用者驗證

使用者驗證可啟用跨 Oracle Enterprise Performance Management System 元件的單一登入 (SSO) 功能,方法是驗證每位使用者的登入資訊來判別通過驗證的使用者。使用者驗證,加上元件專有的驗證功能,會授予使用者 EPM System 元件的存取權。而驗證的授予程序稱為提供。

驗證元件

下列各節說明支援 SSO 的元件:

原生目錄

原生目錄會參照至 Oracle Hyperion Shared Services 用來支援提供,以及儲存植入資料 (例如預設使用者帳戶) 的關連性資料庫。

原生目錄功能:

  • 維護及管理預設的 EPM System 使用者帳戶

  • 儲存所有 EPM System 提供資訊 (使用者、群組及角色之間的關係)

您可以使用 Oracle Hyperion Shared Services Console 來存取及管理 原生目錄。請參閱 Oracle Enterprise Performance Management System User Security 管理手冊中的「管理原生目錄」。

外部使用者目錄

使用者目錄會參照至與 EPM System 元件相容的公司使用者和識別管理系統。

支援 EPM System 元件的使用者目錄有許多種,包括 LDAP 型使用者目錄,例如 Oracle Internet Directory、Sun Java System Directory Server (前身為 SunONE Directory Server),以及 Microsoft Active Directory。也支援使用 Rational 資料庫作為使用者目錄。我們在本文件中,會把所有非原生目錄的使用者目錄稱為外部使用者目錄。

如需受支援的使用者目錄清單,請參閱張貼在 Oracle Technology Network (OTN) 的 支援 Oracle Fusion Middleware 的系統組態 頁面上的 Oracle Enterprise Performance Management System Certification Matrix (僅英文版)

您可以在 Shared Services Console 中,將許多外部使用者目錄設定成 EPM System 使用者和群組的來源。每個 EPM System 使用者在單一已設定使用者目錄中都必須要有獨特的帳戶。一般來說,EPM System 使用者會受指派成群組,以加快提供的速度。

預設的 EPM System 單一登入

EPM System 支援跨 EPM System Web 應用程式的 SSO 機制,方法是允許某個應用程式的受驗證使用者,在沒有重新輸入認證的情況下輕鬆地導覽至其他應用程式。SSO 的實作方式,就是將某個處理使用者驗證的常見安全性環境,與跨 EPM System 元件的提供功能 (角色型驗證) 整合。

以下圖解說明預設的 SSO 程序。


將單一登入指向到不同元件

  1. 使用者可透過瀏覽器存取某個 EPM System 元件登入畫面,然後輸入使用者名稱和密碼。

    EPM System 元件會向已設定的使用者目錄 (包括原生目錄) 查詢,以便驗證使用者的認證。當系統在使用者目錄中找到相符的使用者帳戶時,就會終止搜尋作業,並將使用者的資訊傳回 EPM System 元件。

    如果系統在所有使用者目錄中都找不到該使用者帳戶,就會拒絕存取。

  2. EPM System 會利用已擷取的使用者資訊,向原生目錄查詢以取得該使用者的提供詳細資料。

  3. EPM System 元件會查看元件中的「存取控制清單」(ACL),以判斷該使用者能夠存取的應用程式人工因素。

EPM System 元件收到原生目錄的提供資訊時,就會讓元件可供該使用者使用。此時,提供給使用者的所有 EPM System 元件都會啟用 SSO 機制。

來自存取管理系統的單一登入

若要進一步保護 EPM System 元件,您可以採用受支援的存取管理系統 (例如 Oracle Access Manager 或 SiteMinder),它可將通過驗證的使用者認證提供給 EPM System 元件,以及根據預先定義的存取權限來控制存取。

只有 EPM System Web 應用程式才能使用安全性代理程式的 SSO。在此案例中,EPM System 元件會使用安全性代理程式所提供的使用者資訊,來判斷使用者的存取權限。為提高安全性,Oracle 建議您應利用防火牆封鎖對伺服器的直接存取,讓所有要求都必須透過 SSO 入口網站來傳送。

我們支援存取管理系統的 SSO,方法是透過可接受的 SSO 機制來接受通過驗證的使用者認證。請參閱受支援的 SSO 方法。存取管理系統會對使用者進行驗證,並將登入名稱傳遞給 EPM SystemEPM System 會根據已設定使用者目錄來驗證該登入名稱。

請參閱下列主題。

以下是概念的圖解說明:


來自外部系統的單一登入

  1. 使用者利用瀏覽器,要求存取某個受存取管理系統 (例如 Oracle Access Manager 或 SiteMinder) 保護的資源。

    註:

    EPM System 被定義為受存取管理系統保護的資源。

    存取管理系統會攔截要求,並顯示登入畫面。使用者會輸入使用者名稱和密碼,然後系統會根據存取管理系統中的已設定使用者目錄,確認該使用者的真實性。EPM System 元件也可設定成能與這些使用者目錄一起運作。

    系統會將通過驗證之使用者的相關資訊傳遞至 EPM System 元件,然後元件會把該資訊視為有效資訊來接受。

    存取管理系統會利用可接受的 SSO 機制,將使用者的登入名稱 (Login Attribute 的值) 傳遞給 EPM System 元件。請參閱受支援的 SSO 方法

  2. EPM System 元件為了要驗證使用者認證,會嘗試在使用者目錄中尋找該使用者。如果系統找到相符的使用者帳戶,就會將使用者資訊傳回至 EPM System 元件。EPM System 安全性會設定 SSO 憑證,它可用來能啟用各個 EPM System 元件的 SSO 機制。

  3. EPM System 會利用已擷取的使用者資訊,向原生目錄查詢以取得該使用者的提供詳細資料。

    EPM System 元件收到使用者提供資訊時,就會讓元件可供該使用者使用。提供給使用者的所有 EPM System 元件都會啟用 SSO 機制。