Nota

Aggiornare il flusso di logout di un'applicazione enterprise utilizzando il gateway applicazioni

Introduzione

Man mano che le organizzazioni modernizzano la propria infrastruttura di identità e adottano Single Sign-On (SSO) per semplificare l'accesso tra applicazioni cloud e on-premise, molta attenzione viene rivolta all'esperienza di login. Ma c'è un altro aspetto, spesso trascurato, che svolge un ruolo fondamentale sia nella sicurezza che nella soddisfazione dell'utente: il flusso di logout.

Per le applicazioni protette da App Gateway, in particolare le applicazioni aziendali come le applicazioni PeopleSoft di Oracle e JD Edwards EnterpriseOne di Oracle che utilizzano l'autenticazione basata su intestazioni, il comportamento predefinito al momento del logout può sembrare intuitivo. Quando un utente si disconnette e tenta di eseguire di nuovo il login utilizzando la stessa scheda del browser, viene reindirizzato alla console di Oracle Cloud Infrastructure (OCI) anziché essere restituito all'applicazione. Questa interruzione del flusso può causare confusione, interrompere i flussi di lavoro e ridurre la fiducia nell'affidabilità del sistema.

La documentazione standard copre la configurazione SSO, ma è anche fondamentale considerare l'esperienza utente completa, incluso il flusso di logout.

Un'esperienza di logout non completamente ottimizzata può portare a:

Affinare il comportamento di logout è essenziale per offrire un percorso SSO lucido, coerente e sicuro, soprattutto in ambienti ibridi che combinano applicazioni cloud native con sistemi legacy.

Questa esercitazione si concentra sul miglioramento del flusso di logout. Per l'impostazione iniziale, vedere:

In questo tutorial, rivisitiamo una configurazione sottile ma di impatto che può migliorare in modo significativo l'esperienza dell'utente finale quando si utilizza SSO con App Gateway. Inoltre, andremo oltre l'impostazione SSO standard ed esploreremo le opzioni di configurazione per creare un'esperienza SSO più fluida e coerente per gli utenti delle applicazioni aziendali.

Funzionamento del logout del gateway applicazioni

Gli utenti possono eseguire il logout dalle applicazioni protette da Gateway applicazioni utilizzando due meccanismi diversi: Utilizzo dell'URL di logout di Gateway applicazioni e Utilizzo delle risorse protette dal metodo di autenticazione di logout. Per ulteriori informazioni, vedere URL di logout del gateway applicazioni o chiamando una risorsa protetta da un metodo di autenticazione di logout.

Obiettivi

Prerequisiti

Task 1: Configurare il logout dall'applicazione protetta del gateway applicazioni

Opzione 1: utilizzare l'URL di logout di Gateway applicazioni per migliorare l'esperienza SSO per JD Edwards EnterpriseOne

In questa opzione, ci stiamo concentrando sull'aggiornamento dell'impostazione di logout del gateway applicazioni in JD Edwards EnterpriseOne.

  1. Eseguire il login a JD Edwards EnterpriseOne Server Manager Console.

    Login a JD Edwards EnterpriseOne

  2. Passare a Seleziona istanza... e selezionare EnterpriseOne HTML Server.

    Istanza JAS

  3. Passare a Configurazione, selezionare Avanzate come Visualizza e fare clic su Sicurezza.

    Configurazione sicurezza avanzata

  4. Selezionare Abilita Oracle Access Manager e aggiornare URL di approvazione di Oracle Access Manager nel seguente formato:

    http(s)://<appgateway_host>:<appgateway_port>/cloudgate/logout.html?postlogouturl=<url_encoded>&state=<state_value>
    

    Aggiorna impostazioni di logout gateway applicazioni

  5. Fare clic su Applica per salvare la configurazione.

  6. Fare clic su Arresta e Avviare il server JAS per riavviare il server JD Edwards EnterpriseOne.

  7. Riavviare il gateway applicazioni ed eseguire il test del flusso di logout.

Opzione 2: utilizzare la risorsa protetta dal metodo di autenticazione di logout per migliorare l'esperienza SSO per PeopleSoft

In questa opzione, ci stiamo concentrando sulla risorsa protetta dal metodo di autenticazione di logout per migliorare l'esperienza SSO per PeopleSoft. Per ulteriori informazioni su come configurare SSO PeopleSoft utilizzando il gateway applicazioni, vedere Configurare l'autenticazione trasparente per le applicazioni PeopleSoft utilizzando i domini di Identity OCI IAM.

Nota: si presuppone che la configurazione di PeopleSoft con OCI IAM per SSO sia riuscita mediante il gateway applicazioni. Questa sezione è dedicata all'aggiunta di configurazioni di logout.

  1. Andare all'istanza di Enterprise Application for PeopleSoft configurata durante l'impostazione SSO.

    Andare a Identità e sicurezza, Domini, selezionare il dominio, fare clic su Applicazioni integrate e selezionare l'applicazione enterprise per PeopleSoft.

    Applicazione integrata

    Applicazione enterprise

    Nota: il nome dell'applicazione enterprise per PeopleSoft può variare, sarà il nome con cui è stata creata durante l'impostazione SSO per PeopleSoft.

  2. Fare clic su Configurazione SSO e su Modifica configurazione SSO.

    Modifica configurazioni SSO

  3. In Modifica configurazione SSO fare clic su Aggiungi risorsa per Logout, immettere le informazioni riportate di seguito e fare clic su Aggiungi risorsa.

    • Nome risorsa: immettere logout.
    • URL risorsa: immettere l'URL della risorsa nel formato dell'URL dell'applicazione.
    • Stringa query URL: immettere cmd=logout.
    • Selezionare Usa espressioni regex.

    Risorsa di logout PSP

  4. Creare in modo simile un'altra risorsa di logout per l'URL PSC Logout.

    Risorsa logout PSC

  5. A questo punto, fare clic su Aggiungi risorsa per Scadenza, immettere le seguenti informazioni e fare clic su Aggiungi risorsa.

    • Nome risorsa: immettere PSP Expire.
    • URL risorsa: immettere l'URL della risorsa nel formato dell'URL dell'applicazione.
    • Stringa query URL: immettere cmd=expire.
    • Selezionare Usa espressioni regex.

    Risorsa scadenza PSP

  6. Creare in modo analogo un'altra Risorsa scadenza per PSC Expire.

    Risorsa scadenza PSC

  7. Aggiungere ora il criterio di autenticazione per la risorsa creata, selezionare la risorsa di logout in Risorse e Form + Logout in Metodo di autenticazione. In URL dopo la disconnessione aggiungere l'URL della pagina di arrivo PeopleSoft.

    Risorsa logout criteri di autenticazione

    Nota: seguire il passo 7 anche per le risorse riportate di seguito.

    • Risorsa di logout del componente PeopleSoft (PSC)
    • Risorsa scadenza PeopleSoft Portal (PSP)
    • Risorsa scadenza PSC
  8. Spostare tutte queste risorse create a una priorità più alta nella lista Criteri di autenticazione. L'ordine deve essere costituito da risorse Logout e Scadenza, quindi da risorse psc e Predefinite.

    Priorità risorsa

  9. Fare clic su Arresta e su Avvia server PeopleSoft per riavviare il server PeopleSoft.

  10. Riavviare il gateway applicazioni ed eseguire il test del flusso di logout.

Task 2: Configurare le impostazioni della sessione IAM OCI per il logout

Questa impostazione funziona in modo indipendente dalle configurazioni menzionate in precedenza e gestisce in modo specifico l'esperienza di scollegamento all'interno di OCI IAM. Si consiglia di abilitare questa opzione solo quando il caso d'uso coinvolge una singola applicazione aziendale o quando si desidera che tutti gli utenti, al momento della disconnessione, siano costantemente reindirizzati a una pagina di destinazione aziendale unificata, garantendo un'esperienza di uscita senza interruzioni e con brand.

  1. Andare alla console OCI, andare a Identità e sicurezza, Domini e selezionare il dominio. Selezionare impostazioni e fare clic su Impostazioni sessione.

    Impostazioni sessione

  2. Aggiornare l'URL di disconnessione in una pagina di arrivo in cui si desidera che tutti gli utenti vengano reindirizzati dopo aver eseguito correttamente la disconnessione e fare clic su Salva modifiche.

    Aggiorna pagina di arrivo

Task 3: Gestisci inserimento utente con reindirizzamenti personalizzati

Un modello comune che abbiamo osservato in molte organizzazioni è la necessità di semplificare l'esperienza di onboarding degli utenti, in particolare quando i nuovi utenti reimpostano o impostano le loro password per la prima volta. Per impostazione predefinita, quando gli utenti completano queste azioni nella stessa scheda del browser, OCI IAM presenta un'opzione Continua accesso, reindirizzandole alla pagina di arrivo /myconsole.

Tuttavia, per molti ambienti aziendali, l'esposizione degli utenti finali all'interfaccia /myconsole non è né necessaria né ideale. Queste organizzazioni preferiscono invece che gli utenti inizino in una sessione pulita e vengano indirizzati direttamente a una pagina di destinazione dell'applicazione enterprise specifica utilizzando un flusso SSO avviato da un provider di servizi (SP).

Per supportare questa preferenza, OCI IAM ora offre la possibilità di nascondere l'opzione Continua accesso. Quando questa impostazione è abilitata, gli utenti che completano i passi di formazione iniziale, ad esempio l'impostazione o la reimpostazione della password, non vedranno più l'opzione Continua accesso. Ciò garantisce che, dopo aver completato questi passi, gli utenti non vengano reindirizzati a /myconsole, ma possano invece avviare una nuova sessione allineata al punto di accesso SSO dell'organizzazione.

Questa configurazione migliora l'esperienza di onboarding e garantisce che gli utenti vengano indirizzati alle applicazioni e agli ambienti previsti senza reindirizzamenti non necessari.

Attenersi alla procedura per disabilitare l'opzione Continua accesso in IAM OCI:

  1. Andare alla console OCI, andare a Identità e sicurezza, Domini, selezionare il dominio e fare clic su Branding.

    Branding

  2. Selezionare Branding personalizzato, Nascondi pulsante Continua accesso, è possibile aggiornare le altre impostazioni e personalizzare l'aspetto nella pagina di arrivo OCI IAM, quindi fare clic su Salva modifiche.

    Nascondi pulsante Continua accesso

Conferme

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare Oracle Help Center.