Nota:

Configure la autenticación perfecta para las aplicaciones PeopleSoft mediante los dominios de identidad de OCI IAM

Introducción

Los dominios de identidad de Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) son una completa solución de identidad como servicio (IDaaS) que se puede utilizar para abordar una variedad de casos de uso y escenarios de IAM. OCI IAM se puede utilizar para gestionar el acceso de los usuarios en numerosas aplicaciones locales y en la nube, lo que permite una autenticación segura, una gestión sencilla de los derechos y una SSO perfecta para los usuarios finales. También puede que desee configurar un dominio de identidad para permitir el acceso a la cadena de suministro o a los sistemas de órdenes para partners de negocio. También puede utilizar dominios de identidad para activar IAM en aplicaciones orientadas al consumidor y permitir que los usuarios consumidores realicen autorregistro, conexión social y/o consentimiento en las condiciones de uso.

Si necesita proporcionar una experiencia de conexión perfecta entre la aplicación Oracle PeopleSoft (local u OCI), utilice los dominios de identidad de OCI IAM para activar la conexión única. Los dominios de identidad de OCI IAM tienen una función denominada gateway de aplicación que es un dispositivo de software basado en Nginx desplegado en una configuración de proxy. Para mejorar la seguridad, puede aprovechar la seguridad adaptable en las políticas de conexión para aplicar el acceso de permiso o denegación, o para aumentar la autenticación a un mecanismo de MFA más estricto.

Destinatarios

Este tutorial está dirigido a administradores de OCI IAM. Se asume que está familiarizado con los recursos informáticos, las redes y el almacenamiento en un entorno virtual, incluidos los conceptos de IAM. Se necesita el conocimiento de OCI IAM.

Objetivo

Configure la autenticación perfecta para las aplicaciones PeopleSoft mediante los dominios de identidad de OCI IAM.

Requisitos

Arquitectura

En este diagrama de arquitectura se muestra el flujo entre el dominio de identidad de OCI IAM, el gateway de aplicación y la aplicación Oracle PeopleSoft.

El gateway de aplicación actúa como proxy inverso. Intercepta todas las solicitudes HTTP a la interfaz de usuario web PeopleSoft y garantiza que el usuario esté conectado y autorizado para acceder a la aplicación. El dominio de identidad de OCI IAM maneja la autenticación para la aplicación PeopleSoft.

Nota: El gateway de aplicación se despliega en la misma infraestructura de red que la aplicación Oracle PeopleSoft. Estos dos componentes deben tener visibilidad de red entre sí. El gateway de aplicación solo protege el acceso a los recursos HTTP (principalmente, la interfaz de usuario web).

Pic 1

En los siguientes pasos se explica el flujo de autenticación entre los distintos componentes:

  1. En un explorador web, un usuario solicita acceso a la aplicación PeopleSoft a través de una URL expuesta por el gateway de aplicación.
  2. El gateway de aplicación intercepta la solicitud, verifica que el usuario no se haya conectado anteriormente y, a continuación, redirige el explorador al dominio de identidad de OCI IAM.
  3. El dominio de identidad de OCI IAM presenta la página de conexión.
  4. El usuario proporciona las credenciales necesarias para conectarse al dominio de identidad.
  5. Tras una autenticación correcta, el dominio de identidad de OCI IAM crea una sesión para el usuario y emite un token de lenguaje de marcado para confirmaciones de seguridad (SAML) al gateway de aplicación.
  6. El gateway de aplicación recibe el token de SAML, identifica al usuario, agrega variables de cabecera en la solicitud y reenvía la solicitud a la aplicación PeopleSoft.
  7. La aplicación PeopleSoft recibe las variables de cabecera, identifica al usuario e inicia la sesión de usuario PeopleSoft.

Tarea 1: Configuración del servidor de gateway de aplicación

El gateway de aplicación de dispositivo de software se descarga de la consola del dominio de identidad de OCI IAM en un archivo comprimido (.zip). Este archivo contiene un archivo de Open Virtual Appliance (.ova) que se debe utilizar para instalar el servidor del gateway de aplicación.

El servidor del gateway de aplicación se puede instalar fácilmente en una instancia informática en OCI o en una máquina virtual alojada en su entorno de red o en un gestor de caja virtual de Oracle VM que se ejecute en su máquina local, mediante los pasos mencionados en este documento.

Nota: El gateway de aplicación también se puede desplegar con Docker. En este documento se explica cómo crear y ejecutar el contenedor Docker del gateway de aplicación.

Tarea 2: Creación de una aplicación empresarial en dominios de identidad de OCI IAM para la aplicación PeopleSoft

En los siguientes pasos, crearemos una aplicación empresarial en OCI IAM para la aplicación PeopleSoft, utilizando las URL expuestas por el gateway de aplicación.

  1. Conéctese al arrendamiento de OCI y navegue hasta el dominio de identidad correspondiente.

  2. Haga clic en Aplicaciones, vaya al separador Agregar aplicación y, a continuación, seleccione Aplicación empresarial para Iniciar flujo de trabajo.

    Fotos 2

  3. Proporcione un nombre para la aplicación y la URL de aplicación.

    Pic 3

    Nota:

    • El gateway de aplicación expone la URL de aplicación, por lo que la dirección IP y el puerto son del servidor del gateway de aplicación.
    • En este tutorial se utiliza la aplicación ERP PeopleSoft y, por lo tanto, el punto final /psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?.
    • Para PeopleSoft HCM, utilice /psc/peoplesoft01_22/EMPLOYEE/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?.

  4. Seleccione Mostrar en Mis aplicaciones para mostrar la aplicación en la página Mis aplicaciones de los usuarios asignados. Seleccione A los usuarios se les debe otorgar esta aplicación si desea permitir que solo los usuarios asignados accedan a la aplicación.

    Pic 4

  5. Seleccione Omitir para más tarde en la sección Configurar OAuth.

    Pic 5

  6. En la sección Configurar conexión única, haga clic en Agregar recurso para agregar los siguientes recursos.

    Pic 6

    Pic 7

  7. Una vez agregados los recursos, cree una política de autenticación para cada recurso haciendo clic en Agregar recurso gestionado y seleccionando el método de autenticación como Token de acceso o formulario.

    • Agregue el nombre y el valor mencionados de Cabeceras.

    • Asegúrese de que las opciones Require secure cookies y Add managed resources estén activadas.

      Pic 8

      Pic 9

      Nota: La política de autenticación define el método de autenticación que se utilizará para proteger los recursos de su aplicación empresarial y si el gateway de la aplicación agregará las variables de cabecera a la solicitud que reenvía a la aplicación.

  8. Active la aplicación una vez finalizada la configuración y, a continuación, asígnela a users o groups adecuados.

    Pic 10 Pic 11

Tarea 3: Registro del servidor del gateway de aplicación en los dominios de identidad de OCI IAM

Antes de configurar el gateway de aplicación, debemos registrar el servidor del gateway de aplicación desplegado en los dominios de identidad. Agregaremos el host y asociaremos el host a la aplicación empresarial PeopleSoft en los dominios, que el gateway de aplicación protegerá.

  1. En la consola de dominios de identidad de OCI, haga clic en Seguridad, haga clic en Gateways de aplicación y, a continuación, haga clic en Crear gateway de aplicación.

    Pic 12

  2. Especifique el nombre del gateway de aplicación y, a continuación, haga clic en Siguiente.

    Pic 13

  3. En el panel Agregar hosts, haga clic en Agregar host.

    • En el cuadro de diálogo Agregar host, proporcione un nombre en el campo Identificador de host.

    • Introduzca los valores de Host y Puerto que el servidor del gateway de aplicación responderá a las solicitudes HTTP.

    • Active el gateway de aplicación para recibir solicitudes HTTP en modo seguro (HTTPS), active la casilla de control SSL activado y haga clic en Agregar host.

      Pic 14

      Nota: El área de texto Propiedades adicionales se debe especificar con el par de claves de certificado que utilizará el servidor del gateway de aplicación, los protocolos y los cifrados para SSL. /etc/ssl/private/server.crt es la ruta de acceso completa de un archivo de certificado en el servidor del gateway de aplicación. /etc/ssl/private/server.key es la clave secreta de ese archivo de certificado. Debemos cargar ambos archivos en el servidor del gateway de aplicación después de instalar el archivo binario del gateway de aplicación.

      ssl_certificate /scratch/oracle/cloudgate/home/bin/server.crt;
ssl_certificate_key /scratch/oracle/cloudgate/home/bin/server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;

  4. En el separador Agregar aplicaciones, haga clic en Agregar aplicación. Seleccione la aplicación empresarial que desea proteger y seleccione el host agregado anteriormente. En el campo Prefijo de recurso, utilice /y especifique la URL base de la aplicación PeopleSoft en el servidor de origen.

    Pic 15

    Nota: / en Prefijo de recurso indica que todas las solicitudes posteriores a la ruta raíz se reenviarán a la aplicación empresarial seleccionada. Si no se puede acceder directamente a la aplicación, pero se puede acceder a ella mediante un proxy web, introduzca la URL del proxy web en el campo Servidor de origen.

  5. Haga clic en Activar gateway de aplicación y observe el ID de cliente y el Secreto de cliente que se van a utilizar para configurar el gateway de aplicación.

    Pic 16

Tarea 4: Configuración del gateway de aplicación

Cuando el servidor de gateway de aplicación esté listo, se puede acceder fácilmente a él mediante las credenciales por defecto mediante el cliente SSH.

Localhost login: oracle
Password: cloudgateR0X!

Nota: Debe cambiar la contraseña aprovisionada en la primera conexión.

Una vez que se haya conectado al servidor de gateway de aplicación, realice los siguientes pasos:

  1. Ejecute el comando sudo yum updateinfo list security all y proporcione la contraseña sudo. Este comando muestra los errores de seguridad para el servidor Oracle Linux del gateway de aplicación. Para actualizar todos los paquetes para los que hay errores relacionados con la seguridad disponibles para las versiones más recientes de los paquetes, introduzca sudo yum --security update.

    Imagen 17 Imagen 18

  2. Ejecute el comando telnet <idcs-tenant>.identity.oraclecloud.com para confirmar que el servidor del gateway de aplicación puede acceder a la instancia del dominio de identidad de OCI IAM. Si telnet no está instalado, instálelo mediante el comando sudo yum install telnet-server telnet y, a continuación, vuelva a intentarlo.

    Imagen 19 Imagen 20

  3. Genere una CSR y consíguela firmada por una CA para configurar el gateway de aplicación en modo SSL. Para fines de prueba o POC, se pueden utilizar certificados autofirmados. A continuación se muestran los pasos para generar uno.

    openssl genrsa -aes128 -out server.key 2048
openssl rsa -in server.key -out server.key
openssl req -new -days 3650 -key server.key -out server.csr
openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 3650

    Imagen 21

  4. Reinicie el servidor del gateway de aplicación después de aplicar las actualizaciones.

  5. Ejecute el comando nslookup <your_identity_cloud_service_domain>, copie la dirección IP del servidor y actualice la entrada del solucionador en el archivo /usr/local/nginx/conf/nginx-cg-sub.conf.

    Imagen 22 Imagen 23

  6. Navegue hasta la carpeta /scratch/oracle/cloudgate/ova/bin/setup y, a continuación, edite el archivo cloudgate-env para incluir los siguientes parámetros.

    a. IDCS_INSTANCE_URL: URL de la URL de los dominios de identidad de OCI IAM.

    b. CG_APP_TENANT: nombre del inquilino de la instancia del dominio de identidad. Por ejemplo, idcs-123456789.

    c. CG_APP_NAME: valor de ID de cliente que recopilamos al registrar el servidor del gateway de aplicación en los dominios de identidad de OCI IAM.

    d. CG_APP_SECRET: valor secreto de cliente que hemos recopilado al registrar el servidor del gateway de aplicación en los dominios de identidad de OCI IAM.

    e. CG_CALLBACK_PREFIX: si el gateway de aplicación está configurado en modo SSL (HTTPS), defina el valor en https://%hostid%. De lo contrario, utilice http://%hostid% como valor para este parámetro.

    Imagen 24 Imagen 25

  7. Navegue hasta la carpeta /scratch/oracle/cloudgate/ova/bin/setup y ejecute el comando ./setup-cloudgate. Cuando se le solicite, introduzca y para continuar con la configuración. Revise y verifique todos los parámetros utilizados para la configuración de puerta de nube.

    Imagen 26 Imagen 27

Nota: Los problemas comunes que puede encontrar al configurar el gateway de aplicación se pueden resolver fácilmente consultando este documento.

Tarea 5: Configuración de la aplicación Oracle PeopleSoft

Conéctese a la consola PeopleSoft con credenciales de administrador y realice los pasos mencionados en el documento para configurar la aplicación PeopleSoft para SSO.

Tarea 6: Probar el acceso a la aplicación PeopleSoft

Después de configurar el servidor del gateway de aplicación para comunicarse con los dominios de identidad de OCI IAM e iniciar el servidor, pruebe el acceso a su aplicación empresarial. Puesto que el gateway de aplicación dirige la aplicación PeopleSoft, utilice la URL base del gateway de aplicación para acceder a la aplicación en lugar de la URL real de la aplicación PeopleSoft.

  1. Abra un nuevo explorador web y acceda a la aplicación mediante la URL de gateway de aplicación. En este ejemplo, la URL es: https://##.##.##.##:4443/psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?.

  2. El gateway de aplicación intercepta la solicitud y se comunica con el dominio de identidad de OCI IAM para verificar si la URL corresponde a una aplicación empresarial. En este ejemplo, PSFT está registrado y la política de autenticación para esta aplicación empresarial es Token de acceso o formulario.

  3. El gateway de aplicación verifica si la solicitud contiene un token de acceso de dominio de identidad válido en la cabecera Authorization Bearer o la cookie de sesión de dominio de identidad, lo que indica que el usuario ya se ha conectado al dominio de identidad de OCI IAM.

  4. Si el usuario no se ha conectado al dominio de identidad de OCI IAM, el gateway de aplicación redirige el explorador de usuario a la página de conexión del dominio de identidad de OCI IAM.

  5. Si el usuario se ha conectado, el gateway de aplicación agrega variables de cabecera y una cookie a la solicitud y, a continuación, reenvía la solicitud a la aplicación PeopleSoft.

  6. La aplicación recibe la solicitud, utiliza las variables de cabecera para identificar al usuario para presentar el contenido de la página /psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?.

Agradecimientos

Autor: Gautam Mishra (ingeniero sénior de la nube)

Contribuyentes - Deepthi Shetty (ingeniero de la nube del mánager), Aqib Bhat (ingeniero de la nube sénior)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre los productos, visite Oracle Help Center.