1. SSO zwischen Azure AD und Oracle Identity Cloud Service für Oracle E-Business Suite einrichten
  2. Informationen zum Einrichten von SSO zwischen Azure AD und Oracle Identity Cloud Service

Informationen zum Einrichten von SSO zwischen Azure AD und Oracle Identity Cloud Service

Wenn Sie Ihre E-Business Suite-Anwendung in die Cloud verschieben und über Microsoft Azure Zugriff auf die Anwendung bereitstellen, müssen sich Benutzer bei dem Azure-Portal anmelden und erneut Zugangsdaten eingeben, um sich bei E-Business Suite-Anwendungen anzumelden.

Federated SSO macht die Integration nahtlos und ermöglicht es Benutzern, nur einmal auf mehrere Anwendungen zuzugreifen, ohne sich separat anzumelden, um auf jede Anwendung zuzugreifen.

Mit Identity Federation können Unternehmen Kosten senken, da Benutzeraccounts nicht separat in jedem Identity Management-System erstellt und verwaltet werden müssen. Der Benutzer-Synchronisierungsprozess stellt sicher, dass Identitäten an alle föderierten Systeme propagiert werden.

Bevor Sie beginnen

Bevor Sie mit der Ausführung einer Anwendung in Microsoft Azure beginnen, die mit einer Datenbank in Oracle Cloud verbunden ist, müssen Sie die Netzwerkarchitektur verstehen, um Workloads zu verbinden, die in Oracle Cloud und Microsoft Azure bereitgestellt sind.

Siehe Informationen zum Interconnect von Oracle Cloud mit Microsoft Azure.

Architektur

Dieses Architekturdiagramm deckt ein Muster für die Einrichtung von SSO mit Oracle-Anwendungen ab, wie E-Business Suite, in dem Oracle Identity Cloud Service als Bridge zwischen den Anwendungen und Azure AD fungiert. Dieses Setup ermöglicht Szenarios, in denen Benutzer Oracle Database in Oracle Cloud Infrastructure hosten können, während Azure AD als Identitätsprovider verwendet wird.

Das Diagramm zeigt, wie der E-Business Suite Asserter und E-Business Suite mit Oracle Identity Cloud Service interagieren. Der E-Business Suite Asserter wird in einer separaten Oracle WebLogic Server-Instanz bereitgestellt und interagiert mit Oracle Identity Cloud Service über OpenID Connect (OIDC). Der E-Business Suite Asserter leitet den Webbrowser des Benutzers an Oracle Identity Cloud Service und E-Business Suite weiter.

Beschreibung von ebs-arch-diag.png folgt
Beschreibung der Abbildung ebs-arch-diag.png

Authentifizierungsfluss

Wenn Sie eine Anwendung in Microsoft Azure ausführen, die mit einer Datenbank in Oracle Cloud verbunden ist, kann Azure AD der Identitätsprovider (IDP) zur Aufnahme von Benutzerzugangsdaten sein.

Das folgende Diagramm zeigt den Benutzerauthentifizierungsfluss. Beschreibung von ebs-auth-flow.png folgt
Beschreibung der Abbildung ebs-auth-flow.png

Ein Benutzer greift direkt auf die E-Business Suite-Anwendung zu, indem er die Seite" AppsLogin" von E-Business Suite oder das Portal" Meine Apps" aufruft. In den folgenden Schritten wird der Authentifizierungsfluss zwischen den verschiedenen Komponenten erläutert:

  1. Der Benutzer fordert Zugriff auf eine geschützte Oracle E-Business Suite-Ressource an.
  2. Oracle E-Business Suite leitet den Benutzer-Browser an die E-Business Suite Asserter-Anwendung um.
  3. Der E-Business Suite Asserter verwendet ein Oracle Identity Cloud Service-SDK zum Generieren der Autorisierungs-URL und leitet den Browser dann an Oracle Identity Cloud Service um.
  4. Oracle Identity Cloud Service leitet den Benutzer an Azure AD um.
  5. Der Benutzer stellt die Zugangsdaten bereit, die zur Anmeldung bei der Anwendung erforderlich sind.
  6. Nachdem Azure AD eine Benutzerauthentifizierung durchgeführt hat, wird ein SAML-Token generiert und über Browser an Oracle Identity Cloud Service gesendet.
  7. Oracle Identity Cloud Service verwendet das Authentifizierungstoken, generiert ein OpenID Connect (OIDC)-Token und gibt das Token an den E-Business Suite Asserter aus.
  8. Der E-Business Suite Asserter erstellt ein Oracle E-Business Suite-Cookie und leitet den Benutzerbrowser an Oracle E-Business Suite weiter.
  9. Oracle E-Business Suite stellt die vom Benutzer angeforderte geschützte Ressource bereit.

Netzwerksicherheit und High Availability von E-Business Suite Asserter

Um mit Identity Cloud Service zu kommunizieren, prüfen Sie, ob Ihre E-Business Suite Asserter VM eine öffentliche IP-Adresse hat oder ob Ihr Asserter sich hinter einem öffentlichen Load Balancer befindet. Stellen Sie anschließend sicher, dass der Asserter den Oracle Identity Cloud Service-Tokenendpunkt erreichen kann.

Für zusätzliche Sicherheit sollte die virtuelle E-Business Suite Asserter-Maschine in ihrem eigenen Subnetz im Azure Virtual Network (VNet) platziert und die Netzwerksicherheitsgruppe (NSG) konfiguriert werden, um den Netzwerkverkehrsablauf zu steuern.

Beschreibung von ebs-security-topology.png folgt
Beschreibung der Abbildung ebs-security-topology.png

Info zu erforderlichen Services, Produkten und Rollen

Ein Oracle Identity Cloud Service-Administrator muss auf die Oracle Identity Cloud Service-Konsole zugreifen können, um Anwendungen zu konfigurieren und zu aktivieren.

Sie müssen Zugriff auf die folgenden Services und Produkte haben:
  • Oracle Identity Cloud Service
  • Oracle Cloud Infrastructure
  • Eine vollständig funktionsfähige E-Business Suite-Instanz von Oracle, die auf Microsoft Azure bereitgestellt ist
  • Microsoft Azure

Diese Rollen sind für jeden Service erforderlich.

Servicename: Rolle Erforderlich für...
Serveradministrator E-Business Suite konfigurieren und Sicherheitseinstellungen ändern
Identitätsdomainadministrator: Sicherheitsadministrator Anwendung registrieren
Azure Contributor- oder höher privilegierter Account Azure -Abonnement abrufen
Anwendungsadministrator oder globaler Administrator Konfiguration verarbeiten und Azure-Seite einrichten

In Lernen Sie, wie Sie Oracle Cloud-Services für Oracle-Lösungen herunterladen können, um die benötigten Cloud-Services zu erhalten.