Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Anmelden für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Nahtlose Authentifizierung für PeopleSoft-Anwendungen mit OCI IAM-Identitätsdomains konfigurieren

Einführung

Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Identitätsdomains ist eine umfassende Identity-as-a-Service-(IDaaS-)Lösung, mit der Sie eine Vielzahl von IAM-Anwendungsfällen und -Szenarios adressieren können. Mit OCI IAM kann der Zugriff für Benutzer über zahlreiche Cloud- und On-Premise-Anwendungen hinweg verwaltet werden. So ermöglichen Sie eine sichere Authentifizierung, eine einfache Verwaltung von Berechtigungen und ein nahtloses SSO für Endbenutzer. Sie können auch eine Identitätsdomain konfigurieren, um den Zugriff auf Supply Chain- oder Bestellsysteme für Geschäftspartner zu ermöglichen. Alternativ können Sie Identitätsdomains auch verwenden, um IAM für Consumer-Anwendungen zu aktivieren und Consumer-Benutzern die Ausführung von Selbstregistrierung, Social-Anmeldung und/oder Nutzungsbedingungen zu ermöglichen.

Wenn Sie eine nahtlose Anmeldeerfahrung zwischen Ihrer Oracle PeopleSoft-Anwendung (entweder On Premise oder auf OCI) bereitstellen müssen, verwenden Sie OCI-IAM-Identitätsdomains, um Single Sign-On zu aktivieren. OCI-IAM-Identitätsdomains verfügen über ein Feature namens App-Gateway, bei dem es sich um eine Nginx-basierte Software-Appliance handelt, die in einer Proxykonfiguration bereitgestellt wird. Um die Sicherheit zu verbessern, können Sie die adaptive Sicherheit in Anmelde-Policys nutzen, um den Zugriff auf Genehmigungen oder Ablehnungen durchzusetzen oder die Authentifizierung auf einen strengeren MFA-Mechanismus zu verstärken.

Zielgruppe

Dieses Tutorial richtet sich an OCI-IAM-Administratoren. Die Vertrautheit mit Compute, Networking und Storage in einer virtuellen Umgebung wird vorausgesetzt, einschließlich IAM-Konzepten. Kenntnisse von OCI IAM sind erforderlich.

Zielsetzung

Konfigurieren Sie die nahtlose Authentifizierung für PeopleSoft-Anwendungen mit OCI-IAM-Identitätsdomains.

Voraussetzungen

• OCI-IAM-Identitätsdomains - Mandant mit Oracle Apps Premium-Lizenz ist für die Verwendung des App-Gatewayfeatures erforderlich.
• Ein Benutzer mit der Rolle "Identitätsdomainadministrator" oder "Sicherheitsadministrator" ist in den Domains erforderlich, um die App-Gatewaydatei herunterzuladen und eine vertrauliche Anwendung zu registrieren.
• Eine voll funktionsfähige PeopleSoft HCM-Anwendung.

Architektur

Dieses Architekturdiagramm zeigt den Ablauf zwischen OCI-IAM-Identitätsdomain, App-Gateway und Oracle PeopleSoft-Anwendung.

Das App-Gateway fungiert als Reverse-Proxy. Er fängt alle HTTP-Anforderungen an die Webbenutzeroberfläche PeopleSoft ab und stellt sicher, dass der Benutzer angemeldet ist und für den Zugriff auf die Anwendung autorisiert ist. OCI-IAM-Identitätsdomain verarbeitet die Authentifizierung für die Anwendung PeopleSoft.

Hinweis: Das App-Gateway wird in derselben Netzwerkinfrastruktur wie die Oracle PeopleSoft-Anwendung bereitgestellt. Diese beiden Komponenten müssen über die Netzwerksichtbarkeit ineinander verfügen. Nur der Zugriff auf HTTP-Ressourcen (hauptsächlich Web-UI) wird durch das App-Gateway geschützt.

Die folgenden Schritte erläutern den Authentifizierungsablauf zwischen den verschiedenen Komponenten:

1. In einem Webbrowser fordert ein Benutzer den Zugriff auf die PeopleSoft-Anwendung über eine vom App-Gateway angegebene URL an.
2. Das App-Gateway fängt die Anforderung ab, prüft, ob der Benutzer zuvor noch nicht angemeldet war, und leitet den Browser an die OCI-IAM-Identitätsdomain um.
3. Die OCI-IAM-Identitätsdomain enthält die Anmeldeseite.
4. Der Benutzer stellt die Zugangsdaten bereit, die für die Anmeldung bei der Identitätsdomain erforderlich sind.
5. Nach erfolgreicher Authentifizierung erstellt die OCI-IAM-Identitätsdomain eine Session für den Benutzer und gibt ein Security Assertion Markup Language-(SAML-)Token an das App-Gateway aus.
6. Das App-Gateway empfängt das SAML-Token, identifiziert den Benutzer, fügt Headervariablen in die Anforderung hinzu und leitet die Anforderung an die PeopleSoft-App weiter.
7. Die PeopleSoft-Anwendung empfängt die Headervariablen, identifiziert den Benutzer und startet die PeopleSoft-Benutzersession.

Aufgabe 1: App-Gatewayserver einrichten

Das App-Gateway der Software-App wird von der OCI-IAM-Identitätsdomainkonsole in einer komprimierten (ZIP-)Datei heruntergeladen. Diese Datei enthält eine Open Virtual Appliance-(.ova-)Datei, die zur Installation des App-Gateway-Servers verwendet werden muss.

Der App-Gatewayserver kann ganz einfach in einer Compute-Instanz auf OCI oder in einer virtuellen Maschine installiert werden, die in Ihrer Netzwerkumgebung gehostet wird, oder in einem Oracle VM Virtual Box Manager, der auf Ihrem lokalen Rechner ausgeführt wird. Gehen Sie dazu wie in diesem Dokument beschrieben vor.

Hinweis: Das App-Gateway kann auch mit Docker bereitgestellt werden. In diesem Dokument wird erläutert, wie Sie den Docker-Container des App-Gateways erstellen und ausführen.

Aufgabe 2: Unternehmensanwendung in OCI-IAM-Identitätsdomains für die PeopleSoft-Anwendung erstellen

In den folgenden Schritten erstellen wir eine Unternehmensanwendung in OCI IAM für die Anwendung PeopleSoft mit den vom App-Gateway angegebenen URLs.

1. Melden Sie sich beim OCI-Mandanten an, und navigieren Sie zur entsprechenden Identitätsdomain.

2. Klicken Sie auf Anwendungen, gehen Sie zur Registerkarte Anwendung hinzufügen, und wählen Sie Unternehmensanwendung aus, um den Workflow zu starten.

   

3. Geben Sie einen Namen für die Anwendung und die Anwendungs-URL an.

   

   Hinweis:

   • Die Anwendungs-URL wird vom App-Gateway angegeben. Daher sind die IP-Adresse und der Port des App-Gateway-Servers.
   • In diesem Tutorial wird die ERP-Anwendung PeopleSoft und damit der Endpunkt /psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL? verwendet.
   • Verwenden Sie für PeopleSoft HCM /psc/peoplesoft01_22/EMPLOYEE/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?.

4. Wählen Sie Unter "Meine Apps" anzeigen aus, um die Anwendung auf der Seite "Meine Apps" der zugewiesenen Benutzer anzuzeigen. Wählen Sie Benutzer müssen diese App erhalten aus, wenn Sie nur den zugewiesenen Benutzern den Zugriff auf die App erlauben möchten.

   

5. Wählen Sie im Abschnitt OAuth konfigurieren die Option Für später überspringen aus.

   

6. Klicken Sie im Abschnitt Single Sign-On konfigurieren auf Ressource hinzufügen, um die folgenden Ressourcen hinzuzufügen.

   

   

7. Nachdem die Ressourcen hinzugefügt wurden, erstellen Sie eine Authentifizierungs-Policy für jede Ressource, indem Sie auf Verwaltete Ressource hinzufügen klicken und die Authentifizierungsmethode als Formular- oder Zugriffstoken auswählen.

   • Fügen Sie den angegebenen Namen und Wert für Header hinzu.

   • Stellen Sie sicher, dass die Optionen Require secure cookies und Add managed resources aktiviert sind.

     

     

     Hinweis: Die Authentifizierungs-Policy definiert, welche Authentifizierungsmethode zum Schutz Ihrer Unternehmensanwendungsressourcen verwendet werden soll und ob das App-Gateway den Anforderungen, die an die Anwendung weitergeleitet werden, Headervariablen hinzufügen wird.

8. Aktivieren Sie die Anwendung, nachdem das Setup abgeschlossen ist, und weisen Sie sie der entsprechenden users oder groups zu.

   

Aufgabe 3: App-Gatewayserver in OCI-IAM-Identitätsdomains registrieren

Bevor Sie das App-Gateway konfigurieren, müssen wir den bereitgestellten App-Gatewayserver in Identitätsdomains registrieren. Wir fügen den Host hinzu und verknüpfen ihn mit der PeopleSoft-Unternehmensanwendung in Domains, die das App-Gateway schützen wird.

1. Klicken Sie in der OCI-Identitätsdomains-Konsole auf Sicherheit, App-Gateways, und klicken Sie dann auf App-Gateway erstellen.

   

2. Geben Sie den Namen des App-Gateways an, und klicken Sie auf Weiter.

   

3. Klicken Sie im Bereich Hosts hinzufügen auf Host hinzufügen.

   • Geben Sie im Dialogfeld Host hinzufügen einen Namen in das Feld Host-ID ein.

   • Geben Sie die Werte für Host und Port ein, die der App-Gatewayserver auf HTTP-Anforderungen antwortet.

   • Aktivieren Sie das App-Gateway, um HTTP-Anforderungen im sicheren Modus (HTTPS) zu horchen, indem Sie das Kontrollkästchen SSL-fähig aktivieren und auf Host hinzufügen klicken.

     

     Hinweis: Der Textbereich Zusätzliche Eigenschaften muss mit dem Zertifikatschlüsselpaar angegeben werden, das der App-Gatewayserver verwendet, Protokolle und Cipher für SSL. /etc/ssl/private/server.crt ist der vollständige Pfad einer Zertifikatsdatei auf dem App-Gatewayserver. /etc/ssl/private/server.key ist der Secret Key dieser Zertifikatsdatei. Nach der Installation der Binärdatei des App-Gateways müssen beide Dateien auf den App-Gatewayserver hochgeladen werden.

     ssl_certificate /scratch/oracle/cloudgate/home/bin/server.crt;
     ssl_certificate_key /scratch/oracle/cloudgate/home/bin/server.key;
     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
     ssl_ciphers HIGH:!aNULL:!MD5;
     

4. Klicken Sie auf der Registerkarte Add Apps auf Add App (App hinzufügen). Wählen Sie die zu sichernde Unternehmensanwendung aus, und wählen Sie den zuvor hinzugefügten Host aus. Verwenden Sie im Feld Ressourcenpräfix /, und geben Sie die Basis-URL der Anwendung PeopleSoft im Ursprungsserver an.

   

   Hinweis: / in Ressourcenpräfix gibt an, dass jede Anforderung nach dem Root-Pfad an die ausgewählte Unternehmensanwendung weitergeleitet wird. Wenn die Anwendung nicht direkt zugänglich, sondern über einen Webproxy zugänglich ist, geben Sie die URL des Webproxys in das Feld Ursprungsserver ein.

5. Klicken Sie auf App-Gateway aktivieren, und notieren Sie sich die Client-ID und das Client Secret, die für die Konfiguration des App-Gateways verwendet werden sollen.

   

Aufgabe 4: App-Gateway konfigurieren

Nachdem der App-Gatewayserver bereit ist, kann mit den Standardzugangsdaten über den SSH-Client leicht auf ihn zugegriffen werden.

Localhost login: oracle
Password: cloudgateR0X!

Hinweis: Sie müssen das bereitgestellte Kennwort bei der ersten Anmeldung ändern.

Nachdem Sie beim App-Gatewayserver angemeldet sind, führen Sie die folgenden Schritte aus:

1. Führen Sie den Befehl sudo yum updateinfo list security all aus, und geben Sie das sudo-Kennwort an. Dieser Befehl listet die Sicherheitsfehler für den Oracle Linux-Server des App-Gateways auf. Um alle Packages zu aktualisieren, für die sicherheitsbezogene Errata für die neuesten Versionen der Packages verfügbar sind, geben Sie sudo yum --security update ein.

   

2. Führen Sie den Befehl telnet <idcs-tenant>.identity.oraclecloud.com aus, um zu bestätigen, dass der App-Gatewayserver die OCI-IAM-Identitätsdomaininstanz erreichen kann. Wenn telnet nicht installiert ist, installieren Sie es mit dem Befehl sudo yum install telnet-server telnet, und wiederholen Sie den Vorgang.

   

3. Generieren Sie einen CSR, und rufen Sie ihn von einer CA ab, um das App-Gateway im SSL-Modus zu konfigurieren. Für Testzwecke oder POC können selbstsignierte Zertifikate verwendet werden. Nachfolgend finden Sie die Schritte zum Generieren eines.

   openssl genrsa -aes128 -out server.key 2048
   openssl rsa -in server.key -out server.key
   openssl req -new -days 3650 -key server.key -out server.csr
   openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 3650
   

   

4. Starten Sie den App-Gatewayserver nach dem Einspielen der Updates neu.

5. Führen Sie den Befehl nslookup <your_identity_cloud_service_domain> aus, kopieren Sie die IP-Adresse des Servers, und aktualisieren Sie den Resolver-Eintrag in der Datei /usr/local/nginx/conf/nginx-cg-sub.conf.

   

6. Navigieren Sie zum Ordner /scratch/oracle/cloudgate/ova/bin/setup, und bearbeiten Sie die Datei cloudgate-env, um die folgenden Parameter einzuschließen.

   a. IDCS_INSTANCE_URL: Die URL der OCI-IAM-Identitätsdomains-URL.

   b. CG_APP_TENANT: Der Mandantenname der Identitätsdomaininstanz. Beispiel: idcs-123456789.

   c. CG_APP_NAME: Der Client-ID-Wert, den wir bei der Registrierung des App-Gatewayservers in OCI-IAM-Identitätsdomains erfasst haben.

   d. CG_APP_SECRET: Der Client Secret-Wert, den wir bei der Registrierung des App-Gatewayservers in OCI-IAM-Identitätsdomains erfasst haben.

   e. CG_CALLBACK_PREFIX: Wenn das App-Gateway im SSL-Modus (HTTPS) konfiguriert ist, setzen Sie den Wert auf https://%hostid%. Andernfalls verwenden Sie http://%hostid% als Wert für diesen Parameter.

   

7. Navigieren Sie zum Ordner /scratch/oracle/cloudgate/ova/bin/setup, und führen Sie den Befehl ./setup-cloudgate aus. Wenn Sie dazu aufgefordert werden, geben Sie y ein, um mit der Konfiguration fortzufahren. Prüfen und prüfen Sie alle Parameter, die für die Cloud-Gate-Konfiguration verwendet werden.

   

Hinweis: Häufige Probleme, die beim Konfigurieren des App-Gateways auftreten können, können leicht gelöst werden, indem auf dieses Dokument verwiesen wird.

Aufgabe 5: Oracle PeopleSoft-Anwendungskonfiguration

Melden Sie sich mit Admin-Zugangsdaten bei der Konsole PeopleSoft an, und führen Sie die im Dokument genannten Schritte aus, um die Anwendung PeopleSoft für SSO zu konfigurieren.

Aufgabe 6: Testzugriff auf die Anwendung PeopleSoft

Nachdem Sie den App-Gatewayserver für die Kommunikation mit Ihren OCI-IAM-Identitätsdomains konfiguriert und den Server gestartet haben, testen Sie den Zugriff auf Ihre Unternehmensanwendung. Da das App-Gateway als Proxy für die Anwendung PeopleSoft fungiert, verwenden Sie die Basis-URL des App-Gateways, um anstelle der tatsächlichen URL der Anwendung PeopleSoft auf die Anwendung zuzugreifen.

1. Öffnen Sie einen neuen Webbrowser, und greifen Sie über die App-Gateway-URL auf die Anwendung zu. In diesem Beispiel lautet die URL: https://##.##.##.##:4443/psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?.

2. Das App-Gateway fängt die Anforderung ab und kommuniziert mit der OCI-IAM-Identitätsdomain, um zu prüfen, ob die URL einer Unternehmensanwendung entspricht. In diesem Beispiel ist PSFT registriert, und die Authentifizierungs-Policy für diese Unternehmensanwendung ist Formular oder Zugriffstoken.

3. Das App-Gateway prüft, ob die Anforderung ein gültiges Identitätsdomainzugriffstoken im Authorization Bearer-Header oder im Identitätsdomain-Sessioncookie enthält, das angibt, dass der Benutzer sich bereits bei der OCI-IAM-Identitätsdomain angemeldet hat.

4. Wenn der Benutzer nicht bei der OCI-IAM-Identitätsdomain angemeldet ist, leitet das App-Gateway den Benutzerbrowser zur Anmeldeseite der OCI-IAM-Identitätsdomain um.

5. Wenn sich der Benutzer angemeldet hat, fügt das App-Gateway der Anforderung Headervariablen und ein Cookie hinzu und leitet die Anforderung dann an die Anwendung PeopleSoft weiter.

6. Die Anwendung empfängt die Anforderung, verwendet die Headervariablen, um den Benutzer zu identifizieren, der den Inhalt der Seite /psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL? darstellt.

Verwandte Links

• OCI-IAM
• Oracle Apps Premium
• PeopleSoft HCM-Anwendung auf OCI bereitstellen
• App-Gateway einrichten
• PeopleSoft-Anwendung für SSO konfigurieren

Danksagungen

Autor - Gautam Mishra (Senior Cloud Engineer)

Mitwirkende - Deepthi Shetty (Manager Cloud Engineer), Aqib Bhat (Senior Cloud Engineer)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem die Website education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Configure seamless authentication for PeopleSoft applications using OCI IAM Identity Domains

F80225-01

April 2023

Copyright © 2023, Oracle and/or its affiliates.