1. Configurar SSO entre Azure AD y Oracle Access Manager para Oracle E-Business Suite
  2. Acerca de la configuración de SSO entre Azure AD y Oracle Access Manager para Oracle E-Business Suite

Acerca de la configuración de SSO entre Azure AD y Oracle Access Manager para Oracle E-Business Suite

Cuando un cliente desea ejecutar una aplicación de Oracle, como Oracle E-Business Suite, en Microsoft Azure, pero utilizar Oracle Access Manager local como proveedor de servicios, se necesita SSO federada entre Azure AD y OAM local.

Puesto que, lógicamente, cuenta con el mayor soporte de integración en la nube al trabajar con otras aplicaciones en la nube, una solución ideal es configurar SAML 2.0 para proporcionar la arquitectura de SSO federada necesaria.

Antes de empezar

Antes de empezar a ejecutar una aplicación en Microsoft Azure conectada a una base de datos en Oracle Cloud, conozca la arquitectura de redes para conectar las cargas de trabajo desplegadas en Oracle Cloud y Microsoft Azure.

Consulte Obtenga información sobre la interconexión de Oracle Cloud con Microsoft Azure.

Arquitectura

Esta solución presenta una arquitectura que es un enfoque híbrido para una integración local ya documentada entre Oracle Access Manager y E-Business Suite.

Esto se considera una arquitectura híbrida porque:
  • Coloca Oracle E-Business Suite en Azure.
  • Utiliza Azure Active Directory (Azure AD) como proveedor de identidad federado (IDP) para autenticar un usuario en E-Business Suite.
  • Oracle Access Manager se ejecuta como proveedor de servicios (SP) localmente con su servidor LDAP backend (Oracle Unified Directory u Oracle Internet Directory).
A continuación se muestra la descripción de ebiz-architecture.png
Descripción de la ilustración ebiz-architecture.png

Este enfoque proporciona una forma de acercarse a trasladar parte de su infraestructura a la nube. No tiene que parar con solo E-Business Suite: Oracle Access Manager, Oracle Unified Directory u Oracle Internet Directory también se pueden mover a la nube.

Otra parte clave de esta arquitectura es el aprovisionamiento de cuentas de usuario. En este documento se asume que Azure AD es la fuente de datos para las cuentas de usuario. Esto significa que se debe utilizar un método de aprovisionamiento como la sincronización de Oracle Directory Integration Platform o una herramienta de gestión de identidad como Microsoft Identity Manager u Oracle Identity Manager para aprovisionar cuentas de usuario en el servidor LDAP de Oracle Access Manager (Oracle Unified Directory u Oracle Internet Directory). A continuación, Oracle Directory Integration Platform utilizado como servicio de sincronización bidireccional puede sincronizar esa cuenta en la base de datos de E-Business Suite. Algunos atributos clave que son de importancia crítica para SSO se tratarán más adelante en este documento.

Descripción de los componentes

Los componentes de esta arquitectura híbrida, como se muestra enla ilustración anterior, se describen en la siguiente tabla.

Centro de datos Componente
Azure
  • Azure AD
  • Oracle E-Business Suite 12.2.x
  • Oracle HTTP Server 11g o 12c
  • Oracle WebGate 11g o 12c
  • Oracle AccessGate 11g o 12c
Oracle Cloud Infrastructure Oracle E-Business Suite Database 12.2 o posterior
Cliente local
  • Oracle Access Manager 11g o 12c
  • Oracle Unified Directory o Oracle Internet Directory 11g o 12c
  • Oracle Directory Integration Platform 11g o 12c
  • Oracle HTTP Server 11g o 12c (opcional)

Descripción de los flujos de aprovisionamiento y federación

El diagrama anterior ilustra los flujos de aprovisionamiento y federación combinados definidos para esta arquitectura.

Este flujo de aprovisionamiento (que se describe a continuación en las transacciones 1-3) ilustra un ejemplo de cómo se crea una cuenta de usuario en Azure AD, se aprovisiona al servidor LDAP de Oracle Access Manager y se sincroniza mediante Oracle Directory Integration Platform con la base de datos de E-Business Suite. El flujo de federación se ilustra en las transacciones 4-10. En Descripción del Flujo de Federación de Azure AD y E-Business Suite, se describen detalles adicionales del flujo de federación.

  1. Una cuenta de usuario inicial que incluye el nombre de principal de usuario (UPN) se aprovisiona desde Azure AD al servidor LDAP de Oracle Access Manager (Oracle Unified Directory u Oracle Internet Directory). Este aprovisionamiento no es responsabilidad de Oracle Directory Integration Platform, sino que lo realiza algún tipo de aprovisionamiento fuera del ámbito de este manual.
  2. Oracle Directory Integration Platform recibe los logs de cambios de Oracle Unified Directory y aprovisiona la cuenta de usuario a la base de datos de E-Business Suite.
  3. Oracle Directory Integration Platform aprovisiona la cuenta de usuario, asignando uid a USER_NAME y orclguid a USER_GUID, a la base de datos de E-Business Suite.
  4. El usuario solicita acceso a E-Business Suite y WebGate comprueba el token OAMAuthCookie.
  5. WebGate verifica que el usuario no tiene ningún token OAMAuthCookie, por lo que comprueba con Oracle Access Manager una acción.
  6. Oracle Access Manager indica a WebGate que redirija al usuario a Azure AD para la autenticación federada y Azure AD solicita al usuario que inicie sesión.
  7. Azure AD valida las credenciales del usuario y, a continuación, envía una afirmación de SAML 2.0 a Oracle Access Manager, utilizando el atributo de correo como asignación de usuario.
  8. Oracle Access Manager acepta la afirmación SAML 2.0 y devuelve el usuario coincidente en Oracle Unified Directory mediante UPN. En la respuesta, proporciona USER_NAME (uid) y USER_ORCLGUID (orclguid) de Oracle Unified Directory en la cabecera definida en la política.
  9. WebGate redirige al usuario a E-Business Suite y envía USER_NAME y USER_ORCLGUID como cabeceras a AccessGate.
  10. AccessGate busca USER_NAME y USER_ORCLGUID en la base de datos de E-Business Suite para verificar que el usuario existe. Cuando se realiza correctamente, define su propia sesión y devuelve la página del portal de E-Business Suite al usuario.

Acerca de los servicios y los roles necesarios

Esta solución requiere la combinación de servicios y roles específicos dentro de esos servicios.

Estos servicios y aplicaciones son necesarios:
  • Oracle Cloud Infrastructure
  • Oracle Access Manager
  • Una instancia totalmente funcional de Oracle E-Business Suite desplegada en Azure
  • ANUNCIO DE Microsoft Azure
Nombre de servicio: rol Necesario para...
Oracle Cloud Infrastructure: administrador Crear y gestionar recursos de identidad
Oracle Access Manager: Administrador Configurar y mantener los valores de usuario de forma local
E-Business Suite: roles administrativos, que incluyen administrador de base de datos y administrador LDAP Configurar E-Business Suite y cambiar la configuración de seguridad
Azure AD: contribuyente de Azure AD o una cuenta con privilegios superiores Para obtener una suscripción a Azure
Azure AD: aplicación Azure o administrador global Gestión de la configuración y configuración en el lado de Azure