حول تكوين SSO بين Azure AD وOracle Access Manager لـ Oracle E-Business Suite

والآن، ستكمل الخطوات اللازمة لتسجيل موفر خدمة موحد جديد في Azure AD، وتسجيل موفر هوية جديد (E-Business Suite) في Oracle Access Manager، وإجراء أية تغييرات مطلوبة على التكوين لإنجاز مصادقة SSO موحدة مع Azure AD وE-Business Suite باستخدام Oracle Access Manager.

فهم تدفق اتحاد Azure AD وE-Business Suite

قبل متابعة التكوين، يجب فهم تدفق اتحاد Azure AD وE-Business Suite.

وصف الشكل التوضيحي ebiz-federation-flow.png

في هذا السيناريو، يصل المستخدمون إلى E-Business Suite باستخدام بيانات الصلاحية المخزنة في Azure AD. ويتم الوصول إلى هذا الوصول من خلال إعداد مصادقة موحد باستخدام بروتوكول SAML 2.0، حيث Azure AD هو موفر الهوية (IDP) وE-Business Suite هو موفر الخدمة (SP). نظرًا لنشر Oracle Access Manager أمام E-Business Suite لـ SSO، فهو أيضًا المكون الذي يوفر إمكانات الاتحاد لـ E-Business Suite. يوفر هذا القسم الخطوات المطلوبة لتنفيذ توحيد الهوية بين Azure AD وOracle Access Manager.

لاحظ أننا مهتمون في الغالب بتدفق اتحاد بدأ عند الوصول إلى نقطة نهاية محمية بـ E-Business Suite. في مصطلحات بروتوكول SAML، يسمى هذا بالتدفق الذي يبدأ بواسطة موفر خدمة (يبدأ بتطبيقSP)، ويظهر في الشكل 2. في هذا التدفق، يكتشف خادم Oracle Access Manager (OAM) الوصول إلى مورد محمي من E-Business Suite، ويقوم بتكوين طلب تصديق (SAMLRequest)، ويعيد توجيه المستعرض إلى Azure AD للتصديق. يتحدى Azure AD المستخدم للحصول على بيانات الصلاحية والتحقق منها وإنشاء SAMLResponse كاستجابة لطلب التصديق المستلم وإرساله إلى Oracle Access Manager. بدوره، يقوم Oracle Access Manager بالتحقق من التأكيد ويؤكد معلومات تعريف المستخدم المضمنة في التأكيد، مما يتيح الوصول إلى المورد المحمي.

لاحظ أن التكوين المقدم في هذا القسم يمثل أيضًا تدفق مبدوء بواسطة موفر الهوية (IdP)، حيث يتم تقديم طلب مبدئيًا إلى عنوان URL بين المواقع في Azure AD SAML، والذي بدوره يقوم بإرسال SAMLResponse غير مطلوب إلى خادم Oracle Access Manager.

يتم أيضًا دعم تسجيل الخروج الفردي الذي تم بدؤه بواسطة نقطة الخدمة (حيث يتم بدء تدفق تسجيل الخروج بواسطة E-Business Suite) بواسطة التكوين المقدم. وفي الوقت الذي تم فيه نشر هذه الورقة في البداية، لا يتم دعم تسجيل الخروج الفردي الذي بدأه موفر الهوية (حيث يتم بدء تدفق تسجيل الخروج بواسطة بوابة Azure). راجع قسم "المشكلة المعروفة" في نهاية هذا المستند للاطلاع على التفاصيل.

تكوين Azure AD كموفر هوية

أولاً، تحتاج إلى تكوين Azure AD كموفر هوية.

تسجيل الدخول إلى بوابة Azure كمسؤول للنطاق
في جزء الاستكشاف الأيسر البعيد، انقر على Azure Active Directory.
في جزء Azure Active Directory، انقر على تطبيقات المؤسسة.
انقر على تطبيق جديد.
في قسم إضافة من المعرض، اكتب Oracle Access Manager لـ EBS في مربع البحث، وحدد Oracle Access Manager لـ EBS من التطبيقات الناتجة، ثم انقر على إضافة.
لتكوين Oracle Access Manager كموفر خدمة للتطبيق، انقر على تسجيل الدخول الموحد.
حدد SAML كطريقة تسجيل دخول موحد.

تظهر صفحة إعداد الدخول الموحد باستخدام SAML. هنا، سوف تقوم بإدخال تفاصيل التكامل في الخطوات التالية.

تأتي بعض القيم التي تحتاج إلى إدخالها من بيانات تعريف SAML الخاصة بـ Oracle Access Manager. للحصول على بيانات التعريف، انتقل إلى http(s)://<oam_hostname>:<port>/oamfed/sp/metadata. المخرجات عبارة عن بيانات XML، بعضها تحتاجه في الخطوات التالية.
في منطقة تكوين SAML الأساسي في صفحة إعداد تسجيل الدخول الموحد باستخدام SAML، قم بإدخال قيم للمعرف (معرف الكيان) وعنوان URL للرد (عنوان URL لخدمة مستهلك التأكيد) وعنوان URL للخروج.
- يتوافق المعرف (معرف الكيان) مع سمة entityID الخاصة بعنصر EntityDescriptor في بيانات تعريف SAML. في وقت التشغيل، يضيف Azure AD القيمة إلى عنصر الجمهور في تأكيد SAML، مشيرًا إلى الجمهور الذي يعد الوجهة المتوقعة للتأكيد. ابحث عن القيمة التالية في بيانات تعريف Oracle Access Manager وأدخل هذه القيمة:
```
<md:EntityDescriptor
…
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 ID="id-4TfauRP-ZeWyweEXkrqcBA0w0nRhe64hOPfnY2YR"
 cacheDuration="P30DT0H0M0S"
 entityID="http://myoamserver.mycompany.com:14100/oam/fed"
 validUntil="2029-03-19T21:13:40Z">
…
```
- يتطابق عنوان URL للرد (عنوان URL لخدمة مستهلك التأكيد) مع سمة Location الخاصة بعنصر AssertionConsumerService في بيانات تعريف SAML. تأكد من اختيار سمة الموقع ذات الصلة بربط HTTP_POST، كما هو موضح في المثال التالي. عنوان URL للرد هو نقطة انتهاء خدمة SAML في شريك الاتحاد المتوقع أن يقوم بمعالجة التأكيد.
```
<md:AssertionConsumerService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://myoamserver.mycompany.com/oam/server/fed/sp/sso"
index="1"/>
```
- يتطابق عنوان Url لتسجيل الخروج مع نقطة انتهاء SAML logout الخاصة بـ Oracle Access Manager. تتوافق هذه القيمة مع سمة Location الخاصة بعنصر SingleLogoutService في بيانات تعريف SAML الخاصة بـ Oracle Access Manager. يتم استخدام هذه القيمة حصريًا في تدفق الخروج الذي تم بدؤه من IdP.
```
<md:SingleLogoutService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://myoamserver.mycompany.com/oamfed/sp/samlv20"
ResponseLocation="https://myoamserver.mycompany.com/oamfed/sp/samlv20"
/>
```
ملاحظة:
خصائص عنوان URL للدخول وحالة الترحيل غير مرتبطة بهذا السيناريو، لذلك يمكنك تخطيها.
في منطقة سمات المستخدم والمطالبات، قم بتكوين سمات المستخدم التي سيتم إدراجها في تأكيد SAML وإرسالها إلى Oracle Access Manager. في هذا السيناريو، يكفي إرسال شكل من أشكال تعريف المستخدم الفريد.
اترك القيم كقيمة افتراضية لـ معرف الاسم value: user.userprincipalname [nameid-format:emailAddress] لأن userprincipalname هي سمة فريدة داخل Azure AD. وتأثير هذا التكوين هو الحاجة إلى استيراد قيمة userprincipalname إلى إدخال المستخدم في مخزن هويات Oracle Access Manager (مخزن خادم LDAP).
. في منطقة شهادة توقيع SAML، انقر على ارتباط تنزيل بجوار ملف بيانات تعريف Federation XML، ثم احفظ الملف على الكمبيوتر. وستستخدمه لاحقًا عند تكوين Oracle Access Manager كموفر خدمة.

تعيين المستخدمين إلى التطبيق

بعد ذلك، قم بتعيين مستخدمين إلى التطبيق. بعد أن يتلقى Azure AD طلب مصادقة من التطبيق، يمكن فقط للمستخدمين الذين تعينهم إلى التطبيق تسجيل الدخول.

من تطبيق Azure AD الذي قمت بتكوينه في القسم السابق، انقر على المستخدمون والمجموعات، ثم انقر على إضافة مستخدم.
حدد الخيار المستخدمون والمجموعات: غير محدد، وقم بتنفيذ الخطوات التالية:
1. في مربع البحث تحديد عضو أو دعوة مستخدم خارجي، أدخل اسم مستخدم ثم اضغط على Enter.
2. حدد المستخدم ثم انقر تحديد لإضافة المستخدم.
3. انقر فوق تعيين.
4. لإضافة المزيد من المستخدمين أو المجموعات، كرر هذه الخطوات.
لمنع المستخدمين من عرض تطبيق المؤسسة هذا المخصص لتكوين تسجيل الدخول الموحد فقط، انقر على خصائص، وقم بتغيير قيمة مرئي للمستخدمين إلى لا، ثم انقر على حفظ.

إنشاء موفر هوية جديد لـ Azure AD

بعد ذلك، قم بإنشاء موفر هوية جديد لـ Azure AD. تفترض هذه الخطوة تمكين خدمات اتحاد Oracle Access Manager.

تسجيل الدخول إلى وحدة تحكم Oracle Access Manager كمسئول
انقر على علامة تبويب الاتحاد أعلى وحدة التحكم.
في منطقة الاتحاد بعلامة التبويب منصة التشغيل، انقر على إدارة موفر الخدمة.
في علامة التبويب إدارة موفر الخدمة، انقر على تكوين شريك موفر هوية.
في المنطقة عام، أدخل اسمًا لشريك موفر الهوية وحدد كل من تمكين الشريك وشريك موفر الهوية الافتراضي. انتقل إلى الخطوة التالية قبل الحفظ.
. في منطقة معلومات الخدمة:
1. حدد SAML2.0 كبروتوكول.
2. حدد تحميل من بيانات تعريف الموفر.
3. انقر على استعراض (لنظام التشغيل Windows) أو اختيار ملف (لنظام التشغيل Mac) وحدد ملف بيانات تعريف Azure AD SAML الذي قمت بحفظه سابقًا.
4. انتقل إلى الخطوة التالية قبل الحفظ.
في منطقة خيارات التخطيط:
1. حدد خيار مخزن هويات المستخدم الذي سيتم استخدامه كمخزن هويات Oracle Access Manager LDAP المحدد لمستخدمي E-Business Suite. وعادة ما يتم تكوين ذلك بالفعل كمخزن هويات Oracle Access Manager.
2. اترك الاسم المميز الأساسي للبحث عن مستخدم فارغًا. يتم انتقاء قاعدة البحث تلقائيًا من تكوين مخزن الهويات.
3. حدد تخطيط معرف اسم التأكيد إلى سمة مخزن معرفات المستخدم وأدخل البريد في مربع النص.
ملاحظة:
يحدد هذا التكوين تخطيط المستخدم بين Azure AD وOracle Access Manager. سيأخذ Oracle Access Manager قيمة العنصر NameID في تأكيد SAML الوارد ويحاول البحث عن هذه القيمة مقابل سمة البريد عبر كل إدخالات المستخدم في مخزن الهويات الذي تم تكوينه. لذلك، لا بد من مزامنة الاسم الرئيسي لمستخدم Azure AD (في تكوين Azure AD المعروض سابقًا) مع سمة البريد في مخزن هويات Oracle Access Manager.
انقر على حفظ لحفظ شريك موفر الهوية.

بعد حفظ الشريك، ارجع إلى منطقة متقدمة أسفل علامة التبويب. تأكد من تكوين الخيارات كما يلي:

يتم تحديد تمكين الخروج العام.

تم تحديد ربط استجابة HTTP POST SSO.

هذه تعليمات يرسلها Oracle Access Manager في طلب التصديق لإخبار Azure AD بكيفية إعادة إرسال تأكيد SAML. إذا قمت بفحص طلب التصديق الذي يرسله Oracle Access Manager، فسترى شيئًا مثل المثال التالي. لاحظ سمة ProtocolBinding الغامقة للعنصر AuthnRequest في المثال.

<?xml version="1.0"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:dsig="http://www.w3.org/2000/09/xmldsig#"
xmlns:enc="http://www.w3.org/2001/04/xmlenc#"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
xmlns:x500="urn:oasis:names:tc:SAML:2.0:profiles:attribute:X500"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
Destination="https://login.microsoftonline.com/4e39517e-7ef9-45a7-
9751-6ef6f2d43429/saml2" ID="id-y5nmx61xB8QWXtDmYWcH7rPYs5zXtV-fcKRyyM9" IssueInstant="2019-04-23T17:01:25Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Version="2.0">
<saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameidformat:entity">http://myoamserver.mycompany.com:14100/oam/fed</saml:Is
suer>
<dsig:Signature>
<dsig:SignedInfo>
<dsig:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xmlexc-c14n#"/>
<dsig:SignatureMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<dsig:Reference URI="#id-y5nmx61xB8QWXtDmYWcH7rPYs5zXtV-fcKRy-yM9">
<dsig:Transforms>
<dsig:Transform
Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</dsig:Transforms>
<dsig:DigestMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<dsig:DigestValue>pa00UWdqfywm4Qb59HioA6BhD18=</dsig:DigestValue>
</dsig:Reference>
</dsig:SignedInfo>
<dsig:SignatureValue>X4eZRyFD6sznA0g3BJebU2c6ftunG2UvwbMptO+10wFky0aAL
nnr0Na+5fF83U4Ut99OvAIZ41K3YMNaR4A8zr37SSlBrb72X7CTtxjh2mAphWDRPmkJx4v
S0HACzZh0MHimdwq+qVXuFRbSLBE+9XNSGWJzGAh//WqGBlNrKnw=</dsig:SignatureV
alue>
</dsig:Signature>
</samlp:AuthnRequest>

لم يتم تحديد تمكين تصديق HTTP الأساسي (ربط بيانات SSO الاصطناعية).
يطلب هذا الإعداد من Azure AD إرسال التأكيد عبر طلب HTTP POST. عند استلام طلب كهذا، يقوم موفرو الهوية عادة بتكوين نموذج HTML مع التأكيد كعنصر نموذج مخفي يتم نشره تلقائيًا إلى خدمة عميل التأكيد لموفر الخدمة (ACS).

في المنطقة "عام"، انقر على زر "تكوين مخطط المصادقة" و"الوحدة النمطية".
يتم تكوين مخطط مصادقة ووحدة نمطية باسم الشريك. التكوين الوحيد المتبقي هو إرفاق مخطط التصديق بموارد E-Business Suite التي تتطلب صلاحيات Azure AD للتصديق، والتي ستقوم بها في القسم التالي.
يمكنك التحقق من الوحدة النمطية للتصديق التي تم تكوينها باتباع الخطوات التالية:
1. انقر على علامة تبويب Application Security (تأمين التطبيق) أعلى وحدة التحكم.
2. ضمن "البرامج الإضافية"، حدد "وحدات المصادقة النمطية"، وانقر فوق "بحث"، وابحث عن الوحدة النمطية للاتحاد.
3. حدد الوحدة النمطية، ثم انقر فوق علامة التبويب "خطوات".
4. لاحظ أن القيمة الموجودة في الخاصية FedSSOIdP هي شريك موفر الهوية

إقران موارد E-Business Suite بمخطط التصديق

خطوة التكوين النهائية هي إقران موارد E-Business Suite بمخطط التصديق. قم بتنفيذ هذه الخطوات أثناء تسجيل الدخول إلى وحدة تحكم Oracle Access Manager كمسئول

في أعلى وحدة التحكم، انقر على تأمين التطبيق.
ضمن مدير الوصول، حدد نطاق التطبيق، وانقر على بحث، وحدد نطاق التطبيق الذي تم تكوينه أثناء تنفيذ اسكربت E-Business Suite للتكامل الذي كان من شأنه تسجيل E-Business Suite WebGate.
انقر على علامة تبويب أنظمة التصديق، ثم انقر على نظام الموارد المحمية.
قم بتغيير مخطط المصادقة عن طريق تغيير مخطط المصادقة الذي تم إنشاؤه مسبقًا باستخدام مخطط مصادقة الاتحاد الجديد. هذه هي الطريقة التي يربط بها Oracle Access Manager موردًا محميًا بموفر هوية
انقر تطبيق لحفظ التغيير.