Authentifizierungsparameter für OAuth 2 OCI (Gen 2)-Umgebungen konfigurieren

OAuth 2 ist ein sicherer Mechanismus für die Authentifizierung zwischen Services und ist nur in einer OCI Gen 2-Umgebung verfügbar.

OAuth 2 konfigurieren

Die Konfiguration von OAuth für die Authentifizierung erfolgt in drei Schritten:
  1. Vertrauliche Anwendung für Oracle Identity Cloud Service (IDCS) erstellen
  2. Oracle Digital Assistant (ODA)-Instanz so konfigurieren, dass sie auf die IDCS-Instanz verweist
  3. Account Reconciliation- oder Financial Consolidation and Close-Skills so konfigurieren, dass sie auf die OAuth-Anwendung verweisen

Vertrauliche Anwendung für Oracle Identity Cloud Service (IDCS) erstellen

So erstellen Sie eine vertrauliche IDCS-Anwendung:

  1. Melden Sie sich bei der IDCS-Administrationskonsole an. Sie finden die URL und die Zugangsdaten für die Anmeldung in der Willkommens-E-Mail.
  2. Klicken Sie unter Anwendungen auf Hinzufügen (+), und wählen Sie dann die Option für vertrauliche Anwendungen aus, um eine neue vertrauliche Anwendung hinzuzufügen.
    1. Geben Sie einen Namen für die Anwendung an. Beispiel: Geben Sie Vertrauliche ODA-Anwendung ein, und klicken Sie anschließend auf Weiter.
    2. Wählen Sie Diese Anwendung jetzt als Client konfigurieren aus.
    3. Wählen Sie Autorisierungscode und Token aktualisieren als Zulässige Berechtigungstypen aus.
    4. Geben Sie einen Wert für die Umleitungs-URL ein. Hierbei handelt es sich um die URL, mit der Benutzer nach der Authentifizierung/Autorisierung in Oracle Identity Cloud Service zu ODA weitergeleitet werden. Informationen dazu, wie Sie eine eigene Umleitungs-URL erstellen können, finden Sie in der ODA-Dokumentation.
    5. Aktivieren Sie die Option Zustimmung umgehen.
    6. Wählen Sie unter Tokenausgabe-Policy die Option Alle für autorisierte Ressourcen aus.
    7. Klicken Sie unter Ressourcen auf die Option zum Hinzufügen von Bereichen.
      1. Klicken Sie auf die EPM-Anwendung, für die Sie den digitalen Assistenten erstellen möchten. Beispiel: Planning_arcs oder Planning_arcs-test resource über die Schaltfläche ">".
      2. Aktivieren Sie das Kontrollkästchen für den Bereich üblicherweise mit dem Format urn:opc:serviceInstanceID=XXXXXXXXXurn:opec:resource:consumer all, um alle Bereiche auszuwählen. Notieren Sie sich diese Informationen, da sie in der ODA-UI in einem späteren Schritt eingegeben werden müssen.
      3. Klicken Sie auf Hinzufügen.
      4. Klicken Sie auf Weiter.
  3. Wählen Sie die Option Diese Anwendung jetzt als Ressourcenserver konfigurieren aus.
  4. Aktivieren Sie das Kontrollkästchen Ist Aktualisierungstoken zulässig.
  5. Geben Sie die URL für den REST-API-Endpunkt der EPM-Zielinstanz als Wert der primären Zielgruppe an.
    1. Consolidation and Close: https://server/HyperionPlanning/rest
    2. Account Reconciliation: https://server/armARCS/rest
    3. Klicken Sie auf "Fertigstellen".
  6. Notieren Sie sich die Client-ID und das Client Secret, und klicken Sie auf Schließen.
  7. Klicken Sie auf Aktivieren, und klicken Sie im Bestätigungsdialogfeld auf OK, um die Anwendung zu aktivieren.
  8. Wählen Sie unter Oracle Cloud Services die EPM-Anwendung aus, für die Sie den digitalen Assistenten erstellen möchten. Führen Sie die folgenden Schritte aus:
    • Klicken Sie auf die Registerkarte Konfiguration, und blenden Sie dann den Abschnitt Ressourcen ein.
    • Wählen Sie Ist Aktualisierungstoken zulässig aus.

Zusätzlich zu diesen Schritten erhalten Sie Anweisungen unter Vertrauliche Anwendungen hinzufügen in der Dokumentation Oracle Identity Cloud Service verwalten.

Oracle Digital Assistant (ODA)-Instanz so konfigurieren, dass sie auf die IDCS-Instanz verweist

In diesem Abschnitt fügt Ihr ODA-Administrator die neu erstellte vertrauliche IDCS-Anwendung der Liste der Authentifizierungsservices in Ihrer ODA-Instanz hinzu. Sie können Ihren EPM-Skill später auf diesen Authentifizierungsservice verweisen. Auf diese Weise werden alle Anmeldungen bei Ihrem Skill für den digitalen Assistenten an den richtigen Authentifizierungsservice weitergeleitet. Weitere Details finden Sie in der ODA-Dokumentation.

So konfigurieren Sie die ODA-Instanz so, dass sie auf die IDCS-Instanz verweist:

  1. Öffnen Sie Ihre ODA-Instanz.
  2. Wählen Sie unter "Einstellungen" die Option für den Authentifizierungsservice aus, um einen neuen Authentifizierungsservice zu erstellen.
  3. Wählen Sie unter Berechtigungstyp die Option Autorisierungscode aus.
  4. Wählen Sie unter Identitätsprovider die Option Oracle Identity Cloud Service aus.
  5. Geben Sie einen Namen unter Name ein.
  6. Geben Sie unter Tokenendpunkt-URL den Wert https://<idcs-service-Instance>/oauth2/v1/token ein.
  7. Geben Sie unter Authorisierungsendpunkt-URL Folgendes ein: https://<idcs-service-instance>/oauth2/v1/authorize
  8. Geben Sie unter Tokenendpunkt-URL widerrufen Folgendes ein: https://<idcs-service-instance>/oauth2/v1/revoke
  9. Geben Sie unter Client-ID und Client Secret die Client-ID und das Client Secret ein, die im vorherigen Schritt von der vertraulichen IDCS-Anwendung generiert wurden.
  10. Geben Sie unter Bereiche den Bereich ein, der im vorherigen Schritt definiert wurde. Dieser lautet in etwa folgendermaßen: urn:opc:serviceInstanceID=XXXXXXXXX urn:opc:resource:consumer::all.
  11. offline_access mit einem Leerzeichen hinzufügen, das die beiden Zeichenfolgen trennt.
  12. Geben Sie unter Subject-Anspruch sub ein.
  13. Es wird empfohlen, unter Aktualisierungstoken-Aufbewahrungszeitraum einen Zeitraum von 7 Tagen zu verwenden. Sie können jedoch auch einen beliebigen Zeitraum auswählen.

Skills für Account Reconciliation, Financial Consolidation and Close, Tax Reporting, Planning oder Planning Modules so konfigurieren, dass sie auf Authentication Service verweisen

In diesem Abschnitt wird beschrieben, wie Sie mit ODA einen EPM-Skill so konfigurieren können, dass er auf den Authentication Service verweist.

  1. Öffnen Sie den EPM-Skill, den Sie aus dem Skill-Store abgerufen haben, in ODA.
  2. Navigieren Sie zu Einstellungen.
  3. Navigieren Sie zur Registerkarte Konfiguration.
  4. Ändern Sie unter Benutzerdefinierte Parameter, die folgenden Parameter:
    1. OAuth zur Authentifizierung verwenden: Ändern Sie diese Einstellung in "Wahr".
    2. Authentifizierungsservice: Geben Sie den Namen des im vorherigen Abschnitt erstellten Authentifizierungsservice ein. Klicken Sie zum Bearbeiten auf Authentication Service. Geben Sie den neuen Authentifizierungsservice ein, den Sie im vorherigen Abschnitt erstellt haben.
    3. Präfix für den Servicenamen: Geben Sie einen Kurznamen ein, der als Präfix zum Speichern interner Variablen verwendet werden soll. Es wird empfohlen, "ARC" für Account Reconciliation und "FCC" für Financial Consolidation and Close zu verwenden. Wenn Sie über mehrere Umgebungen verfügen, die denselben digitalen Assistenten verwenden, fügen Sie ein numerisches Suffix hinzu, z.B. ARC1.
    4. Aktualisieren Sie die ARCS-Service-URL (da.devArcsBaseUrl), die FCCS-Service-URL (da.devFccsBaseUrl), die TRCS-Service-URL (da.devTrcsBaseUrl), die Planning Modules-Service-URL, (da.devEPbcsBaseUrl) oder die Planning-Service-URL (da.devPbcsBaseUrl) so, dass sie zu Ihrer Umgebung passt.

      Das Format für da.devArcsBaseUrl lautet: https://<SERVICE_NAME>-<TENANT_NAME>.<SERVICE_TYPE>.<dcX>.oraclecloud.com

      Das Format für da.devFccsBaseUrl lautet: https://<SERVICE_NAME>-<TENANT_NAME>.<SERVICE_TYPE>.<dcX>.oraclecloud.com/HyperionPlanning/rest

      Das Format für da.devTrcsBaseUrl is: https://<SERVICE_NAME>-<TENANT_NAME>.<SERVICE_TYPE>.<dcX>.oraclecloud.com/HyperionPlanning/rest ist:

      Das Format für da.devEpbcsBaseUrl lautet: https://<SERVICE_NAME>-<TENANT_NAME>.<SERVICE_TYPE>.<dcX>.oraclecloud.com/HyperionPlanning/rest

      Das Format für da.devPbcsBaseUrl lautet: https://<SERVICE_NAME>-<TENANT_NAME>.<SERVICE_TYPE>.<dcX>.oraclecloud.com/HyperionPlanning/rest