Preparación para configurar SSO entre Azure AD y Oracle Access Manager para Oracle E-Business Suite

Existen ciertas suposiciones y detalles sobre los elementos clave que debe tener en cuenta antes de intentar la integración descrita en esta solución.

Junto con los requisitos y las suposiciones que se describen aquí, también debe aprovisionar atributos de usuario, incluidos tres que son críticos para esta integración: nombre de principio de usuario (UPN), USER_NAME y USER_ORCLGUID. En este artículo se proporcionan detalles sobre estos atributos y cómo se utilizan.

Descripción de los requisitos y suposiciones

Los requisitos previos y las suposiciones que puede realizar son los siguientes:

  • Todos los componentes descritos en la sección Arquitectura se han desplegado y están funcionando.
  • Se han integrado Oracle E-Business Suite y Oracle Access Manager. Si no lo han hecho, siga el documento correcto al que se hace referencia en la lista maestra en My Oracle Support: Uso de Oracle E-Business Suite AccessGate para la integración de Single Sign-On con Oracle Access Manager (ID de documento 2202932.1).
  • Se ha aprovisionado una cuenta de usuario desde Azure AD al servidor LDAP de Oracle Access Manager (consulte la siguiente sección). La implantación del aprovisionamiento está fuera del ámbito de este documento porque puede haber más de una forma de implantarlo.
  • Se ha aprovisionado un usuario desde el servidor LDAP de Oracle Access Manager a la base de datos de E-Business Suite mediante Oracle Directory Integration Platform. Este proceso está documentado en uno de los SSO de Oracle E-Business Suite con guías de integración de Oracle Access Manager. Consulte también la sección siguiente.
  • Cualquier componente de alta disponibilidad (HA) para Oracle E-Business Suite y Oracle Access Manager ya se ha implantado. Se puede lograr alta disponibilidad, pero está fuera del alcance de este documento.

Aprovisionamiento de atributos para la integración de Oracle Access Manager y E-Business Suite

Para implantar correctamente esta solución, es fundamental asignar correctamente las claves de usuario únicas necesarias para integrar Oracle Access Manager y E-Business Suite.

Como parte de la integración de E-Business Suite y Oracle Access Manager, USERNAME y ORCLGUID son claves de usuario únicas críticas utilizadas entre el servidor LDAP de Oracle Access Manager y la base de datos de E-Business Suite. Por ejemplo, el servidor LDAP de Oracle Access Manager, tanto si Oracle Unified Directory como Oracle Internet Directory, suele utilizar el UID de atributo LDAP para el nombre de usuario. Sin embargo, cuando se crea una entrada de usuario, el atributo operativo orclguid se crea automáticamente y almacena un valor único de 32 caracteres. Del mismo modo, en E-Business Suite, el nombre de usuario se almacena en USER_NAME y orclGUID se almacena en USER_GUID. Ambos atributos deben ser únicos.

En el flujo de autenticación, WebGate transfiere tres cabeceras, USER_NAME, USER_ORCLGUID y OAM_LOCALE. Los dos más críticos para la autenticación con E-Business Suite son USER_NAME y USER_ORCLGUID, que se recuperan del servidor LDAP de Oracle Access Manager. Los valores de atributo deben coincidir entre el servidor LDAP de Oracle Access Manager y el esquema de usuario de base de datos de E-Business Suite.

Con respecto al aprovisionamiento desde Azure AD, puede utilizar samAccountName como uid en el servidor LDAP de Oracle Access Manager. Es más importante que samAccountName también sea único porque, como parte de la integración de Oracle Access Manager y E-Business Suite, se activa un plugin de unicidad para garantizar que uid sea único. El atributo uid no es importante en la autenticación de federación, pero es importante asegurarse de que el valor es único en el servidor LDAP de Oracle Access Manager y en la base de datos de E-Business Suite.

Aprovisionamiento de atributos para la integración de Azure AD y Oracle Access Manager

La asignación adecuada de las claves de usuario únicas necesarias para integrar Azure AD y Oracle Access Manager es fundamental para implementar correctamente esta solución.

Siguiendo las mejores prácticas de Azure AD, el nombre de principal de usuario (UPN) se utiliza como valor de atributo de asignación de usuario federado. La UPN proporciona un valor único que es fiable para conectarse a la cuenta de usuario y hacer coincidir en Oracle Access Manager y E-Business Suite. Como tal, es la mejor opción para la federación entre Azure AD y Oracle Access Manager.

En la siguiente tabla se muestran los atributos mínimos que recomendamos aprovisionar desde Azure AD al servidor LDAP de Oracle Access Manager.
Atributo de Azure Atributo de LDAP Ejemplo
userPrincipalName mail test.user1@mydomain.com
samAccountName uid test.user1@mydomain.com
displayName cn User1
givenName givenName Probar
sn sn User1