OAuth 2 用作在服务之间进行身份验证的安全机制,它仅在 OCI Gen 2 环境中提供。
创建 Oracle Identity Cloud Service (IDCS) 机密应用程序
要创建 IDCS 机密应用程序:
- 登录到 IDCS 管理控制台。URL 和登录凭据包含在欢迎电子邮件中。
- 在 Applications(应用程序)下面,单击 Add (+)(添加 (+)),然后选择 Confidential Application(机密应用程序)以添加新的机密应用程序。
- 提供应用程序的名称(例如,ODA Confidential App),然后单击 Next(下一步)。
- 选择 Configure this application as a client now(立即将此应用程序配置为客户端)。
- 选择 Authorization Code(授权代码)和 Refresh Token(刷新令牌)作为 Allowed Grant Types(允许的授权类型)。
- 为 "Redirect URL"(重定向 URL)提供值。这是在 Oracle Identity Cloud Service 中进行身份验证/授权后,将用户重定向到 ODA 的 URL。请参阅 ODA 文档来确定您自己的重定向 URL。
- 开启 Bypass Consent(绕过同意书)设置。
- 在 Token Issuance Policy(令牌颁发策略)中,对于 "Authorized Resources"(已授权资源)选中 All(全部)选项。
- 单击 "Resources"(资源)下面的 Add Scopes(添加范围)。
- 单击要为其创建数字助手的 EPM 应用程序。例如,使用 > 按钮选择 Planning_arcs 或 Planning_arcs-test 资源。
- 选中范围复选框(通常采用 urn:opc:serviceInstanceID=XXXXXXXXXurn:opec:resource:consumer all 格式)以选择所有范围。记下此范围,因为在稍后的步骤中需要在 ODA UI 中输入此范围。
- 单击 Add(添加)。
- 单击 Next(下一步)。
- 选中 Configure this application as a resource server now(立即将此应用程序配置为资源服务器)选项。
- 选中 Is Refresh Token Allowed(允许刷新令牌)复选框。
- 将目标 EPM 实例的 Rest API 端点 URL 指定为 "Primary Audience"(主要受众)的值。
- Consolidation and Close:
https://server/HyperionPlanning/rest
- Account Reconciliation:
https://server/armARCS/rest
- 单击 "Finish"(完成)。
- 记下 "Client ID"(客户端 ID)和 "Client Secret"(客户端密钥),然后单击 Close(关闭)。
- 单击 Activate(激活),然后单击确认对话框中的 OK(确定)以激活该应用程序。
- 在 Oracle Cloud Services(Oracle 云服务)下面,选择要为其创建数字助手的 EPM 应用程序。执行下列步骤:
- 单击 Configuration(配置)选项卡,然后展开 Resources(资源)部分。
- 选择 Is Refresh Token Allowed(允许刷新令牌)。
除了这些步骤外,还请参阅《Administering Oracle Identity Cloud Service》指南中的 "Add a Confidential Application" 说明。
将 Oracle Digital Assistant (ODA) 实例配置为指向 IDCS 实例
在此部分中,ODA 管理员将新创建的 IDCS 机密应用程序添加到 ODA 实例上的身份验证服务列表中。稍后,您可以将 EPM 技能指向此身份验证服务,这样登录到数字助手技能都将被定向到正确的身份验证服务。有关更多详细信息,请参阅 ODA 文档。
要将 ODA 实例配置为指向 IDCS 实例:
- 打开 ODA 实例。
- 在 "Settings"(设置)下面,选择 Authentication Service(身份验证服务)以创建新的身份验证服务。
- 在 Grant Type(授权类型)中,选择 Authorization Code(授权代码)。
- 在 Identity Provider(身份提供程序)中,选择 Oracle Identity Cloud Service。
- 输入 Name(名称)。
- 在 Token End Point URL(令牌端点 URL)中,输入
https://<idcs-service-Instance>/oauth2/v1/token。
- 在 Authorization End Point URL(授权端点 URL)中,输入
https://<idcs-service-instance>/oauth2/v1/authorize。
- 在 Revoke Token End Point URL(撤消令牌端点 URL)中,输入
https://<idcs-service-instance>/oauth2/v1/revoke
- 在 Client ID(客户端 ID)和 Client Secret(客户端密钥)中,输入在之前步骤中从 IDCS 机密应用程序中生成的客户端 ID 和客户端密钥。
- 在 Scopes(范围)中,输入在之前步骤中记下的范围。范围类似下面这样:
urn:opc:serviceInstanceID=XXXXXXXXX urn:opc:resource:consumer::all。
- 添加 offline_access 并用空格分隔两个字符串。
- 在 Subject Claim(主题声明)中,输入 sub。
- 对于 Refresh Token Retention Period(刷新令牌保留期),建议使用 7 天,但您可以使用任意天数。
将 Account Reconciliation、Financial Consolidation and Close、Tax Reporting、Planning 或 Planning 模块技能配置为指向身份验证服务
此部分介绍如何使用 ODA 将 EPM 技能配置为指向身份验证服务。
- 在 ODA 中,打开从技能存储中拉取的 EPM 技能。
- 导航到 Settings(设置)。
- 导航到 Configuration(配置)选项卡。
- 在 "Custom Parameters"(自定义参数)下面,更改以下参数:
- Use OAuth for Authentication(使用 OAuth 进行身份验证):将此设置更改为 True。
- Authentication Service(身份验证服务):输入在前一部分中创建的身份验证服务的名称。然后单击 Authentication Service(身份验证服务)以对其进行编辑。输入在前一部分中创建的新身份验证服务。
- Service Name Prefix(服务名称前缀):输入在保存内部变量时要用作前缀的简短名称。建议您使用 ARC 表示 Account Reconciliation,使用 FCC 表示 Financial Consolidation and Close。如果您有多个使用相同数字助手的环境,则添加数字后缀,如 ARC1。
- 更新 ARCS 服务 URL (
da.devArcsBaseUrl)、FCCS 服务 URL (da.devFccsBaseUrl)、TRCS 服务 URL (da.devTrcsBaseUrl)、Planning 模块服务 URL (da.devEPbcsBaseUrl) 或 Planning 服务 URL (da.devPbcsBaseUrl),使其反映您的环境。
da.devArcsBaseUrl 的格式为:https://<SERVICE_NAME>-<TENANT_NAME>.<SERVICE_TYPE>.<dcX>.oraclecloud.com
da.devFccsBaseUrl 的格式为:https://<SERVICE_NAME>-<TENANT_NAME>.<SERVICE_TYPE>.<dcX>.oraclecloud.com/HyperionPlanning/rest
da.devTrcsBaseUrl 的格式为:https://<SERVICE_NAME>-<TENANT_NAME>.<SERVICE_TYPE>.<dcX>.oraclecloud.com/HyperionPlanning/rest
da.devEpbcsBaseUrl 的格式为:https://<SERVICE_NAME>-<TENANT_NAME>.<SERVICE_TYPE>.<dcX>.oraclecloud.com/HyperionPlanning/rest
da.devPbcsBaseUrl 的格式为:https://<SERVICE_NAME>-<TENANT_NAME>.<SERVICE_TYPE>.<dcX>.oraclecloud.com/HyperionPlanning/rest