1. SSO zwischen Azure AD und Oracle Access Manager für Oracle E-Business Suite einrichten
  2. SSO zwischen Azure AD und Oracle Access Manager für Oracle E-Business Suite konfigurieren

SSO zwischen Azure AD und Oracle Access Manager für Oracle E-Business Suite konfigurieren

Jetzt führen Sie die erforderlichen Schritte aus, um einen neuen föderierten Serviceprovider in Azure AD zu registrieren, einen neuen Identitätsprovider (E-Business Suite) in Oracle Access Manager zu registrieren und alle erforderlichen Konfigurationsänderungen vorzunehmen, um die föderierte SSO-Authentifizierung mit Azure AD und E-Business Suite mit Oracle Access Manager durchzuführen.

Azure AD und E-Business Suite Federation Flow verstehen

Bevor Sie mit der Konfiguration fortfahren, sollten Sie den Azure AD- und E-Business Suite-Föderationsablauf verstehen.

Beschreibung von ebiz-federation-flow.png folgt
Beschreibung der Abbildung ebiz-federation-flow.png

In diesem Szenario greifen Benutzer auf die E-Business Suite mit in Azure AD gespeicherten Zugangsdaten zu. Dieser Zugriff wird durch ein föderiertes Authentifizierungssetup mit dem SAML 2.0-Protokoll erreicht, bei dem Azure AD der Identitätsprovider (IDP) und E-Business Suite der Serviceprovider (SP) ist. Da Oracle Access Manager vor E-Business Suite für SSO bereitgestellt wird, stellt die Komponente auch die Föderationsfunktionen für E-Business Suite bereit. In diesem Abschnitt werden die erforderlichen Schritte zur Implementierung von Identity Federation zwischen Azure AD und Oracle Access Manager beschrieben.

Beachten Sie, dass wir hauptsächlich an einem Federation-Ablauf interessiert sind, der beim Zugriff auf einen von E-Business Suite geschützten Endpunkt initiiert wird. In SAML-Protokollbedingungen wird dies als von Serviceanbietern initiierter (SP-initiierter) Ablauf bezeichnet und in Abbildung 2 dargestellt. In diesem Ablauf erkennt Oracle Access Manager (OAM) Server den Zugriff auf eine von E-Business Suite geschützte Ressource, erstellt eine Authentifizierungsanforderung (SAMLRequest) und leitet den Browser zur Authentifizierung an Azure AD um. Azure AD fordert den Benutzer nach Zugangsdaten an, validiert sie, erstellt eine SAMLResponse als Antwort auf die empfangene Authentifizierungsanforderung und sendet sie an Oracle Access Manager. Oracle Access Manager wiederum validiert die Assertion und stellt die in die Assertion eingebetteten Benutzer-ID-Informationen bereit, um Zugriff auf die geschützte Ressource zu erteilen.

Beachten Sie, dass die in diesem Abschnitt dargestellte Konfiguration auch den vom Identitätsprovider initiierten (von IdP initiierten) Ablauf berücksichtigt, bei dem zunächst eine Anforderung an die SAML-Intersite-URL von Azure AD gestellt wird, die wiederum eine nicht angeforderte SAMLResponse an den Oracle Access Manager-Server sendet.

Von SP initiierte Single Logout-Vorgänge (bei denen der Abmeldeablauf von E-Business Suite initiiert wird) werden ebenfalls von der angegebenen Konfiguration unterstützt. Zum Zeitpunkt der ersten Veröffentlichung dieses Papiers wird die von IDP initiierte einmalige Abmeldung (bei der der Abmeldeablauf vom Azure-Portal initiiert wird) nicht unterstützt. Weitere Informationen finden Sie im Abschnitt "Bekanntes Problem" am Ende dieses Dokuments.

Azure AD als Identitätsprovider konfigurieren

Zunächst müssen Sie Azure AD als Identitätsprovider konfigurieren.

  1. Melden Sie sich beim Azure-Portal als Domainadministrator an.
  2. Klicken Sie im linken Navigationsbereich auf Azure Active Directory.
  3. Klicken Sie im Bereich "Azure Active Directory" auf Enterprise applications.
  4. Klicken Sie auf New application.
  5. Geben Sie im Abschnitt Aus Galerie hinzufügen Oracle Access Manager für EBS in das Suchfeld ein, wählen Sie Oracle Access Manager für EBS aus den resultierenden Anwendungen, und klicken Sie auf Hinzufügen.
  6. Um Oracle Access Manager als Serviceprovider für die Anwendung zu konfigurieren, klicken Sie auf Single Sign-On.
  7. Wählen Sie SAML als Single Sign-On-Methode aus.

    Die Seite Set up Single Sign-On with SAML wird angezeigt. Hier geben Sie die Integrationsdetails in den folgenden Schritten ein.

    Einige der Werte, die Sie eingeben müssen, stammen aus den SAML-Metadaten von Oracle Access Manager. Um die Metadaten abzurufen, gehen Sie zu http(s)://<oam_hostname>:<port>/oamfed/sp/metadata. Die Ausgabe ist XML-Daten, von denen einige in den nächsten Schritten benötigt werden.

  8. Geben Sie im Bereich Basis-SAML-Konfiguration der Seite "Single Sign-On mit SAML einrichten" Werte für ID (Entity-ID), Antwort-URL (Assertion Consumer Service-URL) und Abmelde-URL an.
    • ID (Entity-ID) entspricht dem Attribut entityID des Elements EntityDescriptor in den SAML-Metadaten. Zur Laufzeit fügt Azure AD den Wert zum Zielgruppenelement der SAML-Assertion hinzu und gibt die Zielgruppe an, die das erwartete Ziel der Assertion ist. Suchen Sie den folgenden Wert in den Oracle Access Manager-Metadaten, und geben Sie diesen Wert ein:
      <md:EntityDescriptor
…
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 ID="id-4TfauRP-ZeWyweEXkrqcBA0w0nRhe64hOPfnY2YR"
 cacheDuration="P30DT0H0M0S"
 entityID="http://myoamserver.mycompany.com:14100/oam/fed"
 validUntil="2029-03-19T21:13:40Z">
…
    • Antwort-URL (Assertion Consumer Service-URL) entspricht dem Attribut Location des Elements AssertionConsumerService in den SAML-Metadaten. Stellen Sie sicher, dass Sie das Standortattribut auswählen, das relativ zum HTTP_POST-Binding ist, wie im folgenden Beispiel dargestellt. Die Antwort-URL ist der SAML-Serviceendpunkt im Föderationspartner, der die Assertion verarbeiten soll.
      <md:AssertionConsumerService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://myoamserver.mycompany.com/oam/server/fed/sp/sso"
index="1"/>
    • Die Abmelde-URL entspricht dem SAML logout-Endpunkt von Oracle Access Manager. Dieser Wert entspricht dem Attribut Location des Elements SingleLogoutService in den SAML-Metadaten von Oracle Access Manager. Dieser Wert wird ausschließlich im von IdP initiierten Abmeldeablauf verwendet.
      <md:SingleLogoutService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://myoamserver.mycompany.com/oamfed/sp/samlv20"
ResponseLocation="https://myoamserver.mycompany.com/oamfed/sp/samlv20"
/>

    Hinweis:

    Die Eigenschaften "Anmelde-URL" und "Relay-Status" sind für dieses Szenario nicht relevant, sodass Sie sie überspringen können.
  9. Konfigurieren Sie im Bereich Benutzerattribute und Ansprüche die Benutzerattribute, die in die SAML-Assertion eingefügt und an Oracle Access Manager gesendet werden. Für dieses Szenario reicht es aus, eine bestimmte Form der eindeutigen Benutzeridentifizierung zu senden.
    Behalten Sie die Werte als Standardwert für die Namens-ID value: user.userprincipalname [nameid-format:emailAddress] bei, weil userprincipalname ein eindeutiges Attribut in Azure AD ist. Die Auswirkung dieser Konfiguration besteht darin, dass der Wert userprincipalname in den Benutzereintrag im Identitätsspeicher von Oracle Access Manager (den LDAP-Serverspeicher) importiert werden muss.
  10. . Klicken Sie im Bereich SAML Signing Certificate auf den Link Download neben Federation Metadata XML, und speichern Sie die Datei auf Ihrem Computer. Sie verwenden es später, wenn Sie Oracle Access Manager als Serviceprovider konfigurieren.

Benutzer der Anwendung zuweisen

Als Nächstes weisen Sie der Anwendung Benutzer zu. Nachdem Azure AD eine Authentifizierungsanforderung von der Anwendung empfangen hat, können sich nur die Benutzer anmelden, die Sie der Anwendung zuweisen.

  1. Klicken Sie in der Azure AD-Anwendung, die Sie im vorherigen Abschnitt erstellt haben, auf Benutzer und Gruppen und dann auf Benutzer hinzufügen.
  2. Wählen Sie die Option Benutzer und Gruppen: Keine ausgewählt, und führen Sie die folgenden Schritte aus:
    1. Geben Sie im Suchfeld Mitglied auswählen oder einen externen Benutzer einladen den Namen eines Benutzers ein, und drücken Sie die Eingabetaste.
    2. Wählen Sie den Benutzer aus, und klicken Sie auf Auswählen, um den Benutzer hinzuzufügen.
    3. Klicken Sie auf Zuweisen.
    4. Gehen Sie wie folgt vor, um weitere Benutzer oder Gruppen hinzuzufügen.
  3. Um zu verhindern, dass Benutzer diese Unternehmensanwendung anzeigen, die nur für die SSO-Konfiguration gedacht ist, klicken Sie auf Eigenschaften, ändern Sie den Wert von Für Benutzer sichtbar in Nein, und klicken Sie auf Speichern.

Neuen Identitätsprovider für Azure AD erstellen

Erstellen Sie als Nächstes einen neuen Identitätsprovider für Azure AD. In diesem Schritt wird davon ausgegangen, dass Oracle Access Manager Federation Services aktiviert wurden.

  1. Melden Sie sich als Administrator bei der Oracle Access Manager-Konsole an.
  2. Klicken Sie oben in der Konsole auf die Registerkarte Federation.
  3. Klicken Sie im Bereich Föderation der Registerkarte Startpad auf Serviceproviderverwaltung.
  4. Klicken Sie auf der Registerkarte Serviceprovideradministration auf Identitätsproviderpartner erstellen.
  5. Geben Sie im Bereich Allgemein einen Namen für den Identitätsproviderpartner ein, und wählen Sie sowohl Partner aktivieren als auch Standard-Identitätsproviderpartner aus. Gehen Sie vor dem Speichern zum nächsten Schritt.
  6. . Im Bereich Serviceinformationen:
    1. Wählen Sie SAML2.0 als Protokoll.
    2. Wählen Sie Aus Providermetadaten laden aus.
    3. Klicken Sie auf Durchsuchen (für Windows) oder Datei auswählen (für Mac), und wählen Sie die Azure AD-SAML-Metadatendatei aus, die Sie zuvor gespeichert haben.
    4. Gehen Sie vor dem Speichern zum nächsten Schritt.
  7. Gehen Sie im Bereich Zuordnungsoptionen wie folgt vor:
    1. Wählen Sie die Option Benutzeridentitätsspeicher aus, die als LDAP-Identitätsspeicher von Oracle Access Manager verwendet wird, der für E-Business Suite-Benutzer aktiviert ist. Dieser ist in der Regel bereits als Oracle Access Manager-Identitätsspeicher konfiguriert.
    2. Lassen Sie DN der Benutzersuchbasis leer. Die Suchbasis wird automatisch aus der Identitätsspeicherkonfiguration ausgewählt.
    3. Wählen Sie Assertion-Name-ID dem Benutzer-ID-Speicher zuordnen Attribut aus, und geben Sie die E-Mail in das Textfeld ein.

    Hinweis:

    Diese Konfiguration definiert die Benutzerzuordnung zwischen Azure AD und Oracle Access Manager. Oracle Access Manager verwendet den Wert des Elements NameID in der eingehenden SAML-Assertion und versucht, diesen Wert für das E-Mail-Attribut in allen Benutzereinträgen im konfigurierten Identitätsspeicher zu suchen. Daher muss der Principal-Name des Azure AD-Benutzers (in der zuvor angezeigten Azure AD-Konfiguration) mit dem mail-Attribut im Identitätsspeicher von Oracle Access Manager synchronisiert werden.
  8. Klicken Sie auf Speichern, um den Identitätsproviderpartner zu speichern.
  9. Nachdem der Partner gespeichert wurde, kehren Sie zum Bereich Erweitert unten auf der Registerkarte zurück. Stellen Sie sicher, dass die Optionen wie folgt konfiguriert sind:
    • Globale Abmeldung aktivieren ist ausgewählt.
    • HTTP POST SSO Response Binding ist ausgewählt.
      Dies ist eine Anweisung, die Oracle Access Manager in der Authentifizierungsanforderung sendet und Azure AD mitteilt, wie die SAML-Assertion zurückgesendet werden soll. Wenn Sie die von Oracle Access Manager gesendete Authentifizierungsanforderung prüfen, sehen Sie etwa das folgende Beispiel. Beachten Sie das fett formatierte ProtocolBinding-Attribut des AuthnRequest-Elements im Beispiel.
      <?xml version="1.0"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:dsig="http://www.w3.org/2000/09/xmldsig#"
xmlns:enc="http://www.w3.org/2001/04/xmlenc#"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
xmlns:x500="urn:oasis:names:tc:SAML:2.0:profiles:attribute:X500"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
Destination="https://login.microsoftonline.com/4e39517e-7ef9-45a7-
9751-6ef6f2d43429/saml2" ID="id-y5nmx61xB8QWXtDmYWcH7rPYs5zXtV-fcKRyyM9" IssueInstant="2019-04-23T17:01:25Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Version="2.0">
<saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameidformat:entity">http://myoamserver.mycompany.com:14100/oam/fed</saml:Is
suer>
<dsig:Signature>
<dsig:SignedInfo>
<dsig:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xmlexc-c14n#"/>
<dsig:SignatureMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<dsig:Reference URI="#id-y5nmx61xB8QWXtDmYWcH7rPYs5zXtV-fcKRy-yM9">
<dsig:Transforms>
<dsig:Transform
Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<dsig:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</dsig:Transforms>
<dsig:DigestMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<dsig:DigestValue>pa00UWdqfywm4Qb59HioA6BhD18=</dsig:DigestValue>
</dsig:Reference>
</dsig:SignedInfo>
<dsig:SignatureValue>X4eZRyFD6sznA0g3BJebU2c6ftunG2UvwbMptO+10wFky0aAL
nnr0Na+5fF83U4Ut99OvAIZ41K3YMNaR4A8zr37SSlBrb72X7CTtxjh2mAphWDRPmkJx4v
S0HACzZh0MHimdwq+qVXuFRbSLBE+9XNSGWJzGAh//WqGBlNrKnw=</dsig:SignatureV
alue>
</dsig:Signature>
</samlp:AuthnRequest>
    • "HTTP-Basisauthentifizierung aktivieren" ist nicht ausgewählt.

      Diese Einstellung fordert Azure AD auf, die Assertion über eine HTTP-POST-Anforderung zu senden. Beim Empfang einer solchen Anforderung erstellen Identitätsprovider in der Regel ein HTML-Formular mit der Assertion als verborgenes Formularelement, das automatisch im Assertion Consumer Service (ACS) des Serviceproviders veröffentlicht wird.

  10. Klicken Sie im Bereich "Allgemein" auf die Schaltfläche "Authentifizierungsschema und Modul erstellen".
    Ein Authentifizierungsschema und ein Modul werden mit dem Partnernamen erstellt. Die einzige verbleibende Konfiguration ist das Anhängen des Authentifizierungsschemas an die E-Business Suite-Ressourcen, für die Azure AD-Zugangsdaten zur Authentifizierung erforderlich sind, die Sie im nächsten Abschnitt ausführen werden.
  11. Sie können das Authentifizierungsmodul wie folgt prüfen:
    1. Klicken Sie oben in der Konsole auf die Registerkarte "Anwendungssicherheit".
    2. Wählen Sie unter "Plug-ins" die Option "Authentifizierungsmodule", klicken Sie auf "Suchen", und suchen Sie das Föderationsmodul.
    3. Wählen Sie das Modul, und klicken Sie auf die Registerkarte "Schritte".
    4. Beachten Sie, dass der Wert in der Eigenschaft FedSSOIdP der Identitätsproviderpartner ist.

E-Business Suite-Ressourcen mit dem Authentifizierungsschema verknüpfen

Der letzte Konfigurationsschritt besteht darin, die E-Business Suite-Ressourcen mit dem Authentifizierungsschema zu verknüpfen. Führen Sie diese Schritte aus, während Sie als Administrator bei der Oracle Access Manager-Konsole angemeldet sind

  1. Klicken Sie oben in der Konsole auf Anwendungssicherheit.
  2. Wählen Sie unter Zugriffsmanager die Option Anwendungsdomain aus, klicken Sie auf Suchen, und wählen Sie die Anwendungsdomain aus, die bei der Ausführung des E-Business Suite-Skripts für die Integration erstellt wurde, die E-Business Suite WebGate registriert hätte.
  3. Klicken Sie auf die Registerkarte Authentifizierungs-Policys und dann auf Policy für geschützte Ressourcen.
    Ändern Sie das Authentifizierungsschema, indem Sie das zuvor erstellte Authentifizierungsschema mit dem neuen Federation-Authentifizierungsschema ändern. So verknüpft Oracle Access Manager eine geschützte Ressource mit einem Identitätsprovider
  4. Klicken Sie auf Apply, um die Änderung zu speichern.