1. إعداد تسجيل الدخول الأحادي (SSO) بين Azure AD وOracle Access Manager لـ Oracle E-Business Suite
  2. حول إعداد تسجيل الدخول الأحادي (SSO) بين Azure AD وOracle Access Manager لـ Oracle E-Business Suite

حول إعداد تسجيل الدخول الأحادي (SSO) بين Azure AD وOracle Access Manager لـ Oracle E-Business Suite

عندما يريد أحد العملاء تشغيل تطبيق Oracle - مثل Oracle E-Business Suite- على Microsoft Azure، ولكن استخدام Oracle Access Manager المحلي كموفر خدمة، يكون تسجيل الدخول الموحد مطلوبًا بين Azure AD وAM المحلي.

نظرًا لأنه يحتوي منطقيًا على أكبر دعم للتكامل داخل السحابة عند العمل مع التطبيقات السحابية الأخرى، فإن الحل المثالي هو تكوين SAML 2.0 لتوفير بنية تسجيل الدخول الأحادي الموحدة اللازمة.

قبل البدء

قبل البدء في تشغيل تطبيق في Microsoft Azure متصل بقاعدة بيانات في Oracle Cloud، استوعب بنية الشبكات لربط أحمال العمل الموزعة على Oracle Cloud وMicrosoft Azure.

يرجى الاطلاع على التعرف على اتصال Oracle Cloud بـ Microsoft Azure.

البنية

يقدم هذا الحل بنية عبارة عن نهج مختلط للتكامل المحلي الموثق بالفعل بين Oracle Access Manager وE-Business Suite.

وتعد هذه بنية هجينة نظرًا لما يلي:
  • تضع Oracle E-Business Suite في Azure.
  • يستخدم Azure Active Directory (Azure AD) كموفر هوية موحد (IDP) لمصادقة مستخدم على E-Business Suite.
  • يمكنك تشغيل Oracle Access Manager كموفر خدمة (SP) محليًا مع خادم LDAP الخلفي (إما Oracle Unified Directory أو Oracle Internet Directory).
فيما يلي وصف ebiz-architecture.png
وصف الشكل التوضيحي ebiz-architecture.png

يوفر هذا النهج طريقة لتكون خطوة واحدة بالقرب من نقل بعض بنيتك الأساسية إلى السحابة. ولا يلزم التوقف باستخدام E-Business Suite-Oracle Access Manager وOracle Unified Directory أو Oracle Internet Directory فقط.

ويتمثل جزء أساسي آخر من هذه البنية في توفير حسابات المستخدمين. تفترض هذه الورقة أن Azure AD هو مصدر الحقيقة لحسابات المستخدمين. ويعني ذلك أنه يجب استخدام أسلوب إمداد مثل مزامنة Oracle Directory Integration Platform أو أداة إدارة هوية مثل Microsoft Identity Manager أو Oracle Identity Manager لتوفير حسابات مستخدمين في خادم Oracle Access Manager LDAP (Oracle Unified Directory أو Oracle Internet Directory). ثم يمكن لـ Oracle Directory Integration Platform المستخدم كخدمة مزامنة ثنائية الاتجاه مزامنة هذا الحساب مع قاعدة بيانات E-Business Suite. سيتم تناول بعض السمات الرئيسية المهمة للغاية لتسجيل الدخول الموحد لاحقًا في هذه الورقة.

التعرف على المكونات

يتم وصف المكونات في هذه البنية المختلطة، كما هو موضح في الشكل التوضيحي أعلاه، في الجدول التالي.

مركز البيانات المكون
Azure
  • Azure AD
  • Oracle E-Business Suite 12.2.x
  • Oracle HTTP Server 11g أو 12c
  • Oracle WebGate 11g أو 12c
  • Oracle AccessGate 11g أو 12c
Oracle Cloud Infrastructure قاعدة بيانات Oracle E-Business Suite الإصدار 12.2 أو إصدار أحدث
البرمجيات المحلية للعميل
  • Oracle Access Manager 11g أو 12c
  • Oracle Unified Directory أو Oracle Internet Directory 11g أو 12c
  • Oracle Directory Integration Platform 11g أو 12c
  • Oracle HTTP Server 11g أو 12c (اختياري)

فهم الإعداد وتدفقات الاتحاد

يوضح الشكل السابق تدفقات التزويد والتوحيد المجمعة المحددة لهذه البنية.

يوضح تدفق الإعداد هذا (الموضح أدناه في العمليات من 1 إلى 3) مثالاً واحدًا حول كيفية تكوين حساب مستخدم في Azure AD، المزود بخادم Oracle Access Manager LDAP، والمزامنة باستخدام Oracle Directory Integration Platform في قاعدة بيانات E-Business Suite. يتم توضيح تدفق الاتحاد في المعاملات 4-10. يتم وصف تفاصيل تدفق الاتحاد الإضافية في فهم تدفق اتحاد Azure AD وE-Business Suite.

  1. يتم توفير حساب مستخدم أولي يتضمن اسم المستخدم الرئيسي (UPN) من Azure AD إلى خادم Oracle Access Manager LDAP (Oracle Unified Directory أو Oracle Internet Directory). لا يتحمل نظام Oracle Directory Integration Platform مسئولية هذا الإعداد، بل يتم ذلك باستخدام نوع من التزويد خارج نطاق هذا الدليل.
  2. يستمع Oracle Directory Integration Platform إلى سجلات تغيير Oracle Unified Directory وتخصيص حساب المستخدم إلى قاعدة بيانات E-Business Suite.
  3. يقوم Oracle Directory Integration Platform بتخصيص حساب المستخدم، مع تخطيط معرف المستخدم إلى USER_NAME وorclguid إلى USER_GUID، إلى قاعدة بيانات E-Business Suite.
  4. يطلب المستخدم الوصول إلى E-Business Suite وWebGate التحقق من الرمز المميز OAMAuthCookie.
  5. يتحقق WebGate من عدم وجود مقطع OAMAuthCookie لدى المستخدم، لذا يتحقق من ذلك مع Oracle Access Manager لمعرفة مسار العمل.
  6. يخبر Oracle Access Manager WebGate بإعادة توجيه المستخدم إلى Azure AD للتصديق الموحد، ويطالب Azure AD المستخدم بالدخول.
  7. يتحقق Azure AD من بيانات صلاحية المستخدم ثم يرسل تأكيد SAML 2.0 إلى Oracle Access Manager، باستخدام سمة البريد كتخطيط المستخدم.
  8. يقبل Oracle Access Manager تأكيد SAML 2.0 ويُرجع المستخدم المطابق في Oracle Unified Directory باستخدام UPN. وفي الاستجابة، توفر USER_NAME (المعرف الفريد) وUSER_ORCLGUID (orclguid) من Oracle Unified Directory في الرأس المعرف في النظام.
  9. يقوم WebGate بإعادة توجيه المستخدم إلى E-Business Suite وإرسال USER_NAME وUSER_ORCLGUID كرؤوسين إلى AccessGate.
  10. AccessGate للبحث عن USER_NAME وUSER_ORCLGUID في قاعدة بيانات E-Business Suite للتحقق من وجود المستخدم. عند النجاح، يتم تعيين الجلسة الخاصة بها وإرجاع صفحة بوابة E-Business Suite مرة أخرى إلى المستخدم.

حول الخدمات والأدوار المطلوبة

يتطلب هذا الحل الجمع بين خدمات وأدوار محددة داخل هذه الخدمات.

هذه الخدمات والتطبيقات مطلوبة:
  • Oracle Cloud Infrastructure
  • Oracle Access Manager
  • تم توزيع طبعة Oracle E-Business Suite كاملة الوظائف في Azure
  • إعلان Microsoft Azure
اسم الخدمة: الدور مطلوب لـ...
Oracle Cloud Infrastructure: المسئول تكوين موارد الهوية وإدارتها
Oracle Access Manager: المسئول تكوين إعدادات المستخدم وصيانتها محليًا
E-Business Suite: الأدوار الإدارية، بما في ذلك مسئول قاعدة البيانات ومسئول LDAP تكوين E-Business Suite وتغيير إعدادات التأمين
Azure AD: Azure AD المساهم أو حساب مميز أكبر للحصول على اشتراك Azure
Azure AD: تطبيق Azure أو مسؤول عالمي معالجة التكوين والإعداد على جانب Azure