1. Abilita SSO per Oracle E-Business Suite con IAM OCI utilizzando Asserter EBS in modalità High Availability
  2. Informazioni sull'abilitazione di SSO per Oracle E-Business Suite con IAM OCI mediante Asserter EBS in modalità High Availability

Informazioni sull'abilitazione di SSO per Oracle E-Business Suite con IAM OCI mediante Asserter EBS in modalità High Availability

Se si dispone di un'istanza di Oracle E-Business Suite (EBS), è possibile eseguire l'autenticazione con altre applicazioni che utilizzano Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) come meccanismo di autenticazione utilizzando il componente Asserter di IAM E-Business Suite OCI.

Questa integrazione consente a Oracle E-Business Suite di partecipare al Single Sign-On (SSO) fornito da IAM OCI. Per migliorare la sicurezza del processo di accesso, è possibile impostare i criteri di accesso e del provider di identità e configurare l'autenticazione con più fattori. Puoi anche abilitare la sicurezza adattiva per fornire efficaci funzionalità di autenticazione e analisi dei rischi per gli utenti nelle varie applicazioni e in Oracle E-Business Suite in IAM OCI.

Questa guida sulla soluzione descrive i passi e la configurazione per l'integrazione di IAM OCI con Oracle EBS utilizzando IAM Asserter OCI in modalità High Availability dove:
  • Oracle WebLogic Server viene distribuito su un'istanza di computazione OCI e
  • Oracle EBS viene distribuito su OCI utilizzando Oracle EBS Cloud Manager

Per ciascuna istanza EBS, è possibile configurare e distribuire un'istanza di IAM E-Business Suite Asserter application.You OCI per la distribuzione di EBS Asserter in modalità HA utilizzando diverse configurazioni come descritto nella sezione seguente:

  1. Più computer server WebLogic, ognuno dei quali ospita un singolo server gestito e distribuito con un singolo Asserter EBS.
  2. Un unico computer server WebLogic con più server gestiti. Ogni server gestito dispone di una singola distribuzione di Asserter EBS.
  3. Un singolo computer server WebLogic con un singolo server gestito. Il server gestito dispone di più distribuzioni di Asserter EBS.

Per eseguire il terzo scenario, è necessario eseguire i task riportati di seguito.

  • Rinominare ogni file WAR (Web Application Resource) dell'applicazione Asserter EBS prima di distribuire il file nello stesso server gestito WebLogic. In questo caso, il nome dominio e il numero di porta di tutti gli URL di Asserter di E-Business Suite saranno uguali, ma il contesto dell'URL cambierà.
  • Estrarre il contenuto di ogni file ebs.war in una cartella, trovare il file weblogic.xml, modificare il file, aggiornare il valore della tag <cookie-path> in modo che corrisponda all'URL dell'Asserter EBS, quindi ricreare il file ebs.war.

Ad esempio, se si desidera che E-Business Suite Asserter risponda al contesto URL /app/ebs, aggiornare la tag all'interno di weblogic.xml con il valore <cookie-path>/app/ebs</cookie-path>.

Ad esempio, se si dispone di due istanze EBS denominate Development 1 e Development 2 e si desidera integrare tali istanze EBS con IAM OCI utilizzando E-Business Suite Asserter, ma si dispone di un solo server gestito WebLogic per le due applicazioni E-Business Suite Asserter, è necessario eseguire le procedure in questa esercitazione per ogni istanza EBS. È possibile configurare il server WebLogic una sola volta e configurare e distribuire l'applicazione E-Business Suite Asserter per ogni istanza EBS.

  • Per l'istanza EBS Sviluppo 1:
    • Creare una copia del file ebs.war e assegnare un nome al nuovo file ebsdev1.war.
    • Aggiornare il file weblogic.xml contenuto nel file ebsdev1.war sostituendo la tag cookie-path con il valore seguente: <cookie-path>/ebsdev1</cookie-path>.
    • Aggiornare il file bridge.properties (sezione 5) contenuto nel file ebsdev1.war.
    • Ricreare il file ebsdev1.war, quindi distribuirlo (sezione 7) nel server gestito WebLogic.
  • Per l'istanza EBS Sviluppo 2:
    • Creare una copia del file ebs.war e assegnare un nome al nuovo file ebsdev2.war.
    • Aggiornare il file weblogic.xml contenuto nel file ebsdev2.war sostituendo la tag cookie-path con il valore seguente: <cookie-path>/ebsdev2</cookie-path>.
    • Aggiornare il file bridge.properties (sezione 5) contenuto nel file ebsdev2.war.
    • Ricreare il file ebsdev2.war, quindi distribuirlo (sezione 7) nel server gestito WebLogic.

I file ebsdev1.war e ebsdev2.war verranno distribuiti nello stesso server gestito WebLogic. L'URL di E-Business Suite Asserter per l'istanza EBS Development 1 sarà https://ebsasserter.example.com:7002/ebsdev1 e per l'istanza EBS Development 2 https://ebsasserter.example.com:7002/ebsdev2.

Operazioni preliminari

Prima di iniziare a utilizzare E-Business Suite Asserter, capire come abilitarlo e come funziona con altri componenti.

  • Se Oracle E-Business Suite è integrato con Oracle Access Manager, Oracle Internet Directory, E-Business Suite AccessGate o utilizza qualsiasi altro profilo SSO, rimuovere l'integrazione tra questi componenti e Oracle E-Business Suite, quindi riavviare i server prima di utilizzare OCI IAM E-Business Suite Asserter.
  • Scopri cosa è supportato. Tutti i moduli Oracle E-Business che utilizzano il login basato su browser funzioneranno con E-Business Suite Asserter per SSO. È supportato il login basato su Excel a Web ADI. Sono supportate le applicazioni Mobile per EBS, ad esempio approvazioni e spese. I moduli che non utilizzano il login basato su browser, ad esempio Mobile Web Applications (MWA) e E-Signature, non sono supportati.

Architettura

In questo playbook viene creato un cluster WebLogic composto da due computer WebLogic. Ciascuno di questi computer WebLogic funge da host per un server gestito WebLogic. Due istanze di E-Business Suite Asserter vengono distribuite su ognuno dei due server gestiti WebLogic. Il load balancer OCI viene utilizzato per fornire alta disponibilità e gestione del traffico tra i due nodi dell'Asserter IAM OCI.

Oracle E-Business Suite viene distribuito anche in modalità High Availability con due nodi diversi, mediante Oracle EBS Cloud Manager. Oracle E-Business Suite utilizza il database Oracle RAC con due nodi di database server. L'Asserter IAM OCI interagisce con IAM OCI tramite l'API Rest IAM OCI e reindirizza il browser Web dell'utente a IAM OCI e a Oracle E-Business Suite.

Il diagramma di architettura riportato di seguito mostra le modalità di interazione tra E-Business Suite Asserter, Oracle E-Business Suite e IAM OCI.


Segue la descrizione di ebs_asserter_ha_arch.png
Descrizione dell'immagine ebs_asserter_ha_arch.png

  1. L'utente richiede l'accesso a una risorsa protetta di Oracle E-Business Suite.
  2. La richiesta raggiunge il load balancer OCI e, in base alla disponibilità dei server backend, inoltra le richieste al server Oracle E-Business Suite appropriato.
  3. Oracle E-Business Suite reindirizza il browser utente all'applicazione E-Business Suite Asserter, diretta tramite il load balancer OCI.
  4. Il load balancer OCI, in base alla configurazione e alla disponibilità dei server E-Business Suite Asserter backend, inoltra la richiesta al server E-Business Suite Asserter appropriato. Il load balancer OCI genera un cookie e lo allega alla richiesta di mantenere la coerenza della sessione.
  5. OCI IAM Asserter utilizza un SDK IAM OCI per generare l'URL di autorizzazione e quindi reindirizza il browser a IAM OCI.
  6. IAM OCI presenta la pagina di collegamento all'utente.
  7. L'utente sottomette le credenziali a IAM OCI.
  8. IAM OCI emette un codice di autorizzazione e reindirizza il browser dell'utente allo strumento di asserzione E-Business Suite.
  9. La risposta raggiunge il load balancer OCI e, in base al cookie di sessione, reindirizza la richiesta di approvazione del server Asserter E-Business Suite.
  10. E-Business Suite Asserter utilizza un SDK IAM OCI per comunicare con IAM OCI e scambiare il codice di autorizzazione per un token di accesso.
  11. IAM OCI invia un token di accesso e un token ID a E-Business Suite Asserter.
  12. Lo strumento di asserzione di E-Business Suite crea un cookie di Oracle E-Business Suite e reindirizza il browser dell'utente a Oracle E-Business Suite.
  13. Oracle E-Business Suite presenta la risorsa protetta richiesta dall'utente.

Informazioni sui servizi e i ruoli necessari

Un amministratore IAM OCI deve essere in grado di accedere alla console IAM OCI per scaricare E-Business Suite Asserter e configurare e attivare le applicazioni.

È necessario avere accesso ai seguenti servizi e prodotti:
  • IAM OCI
  • Oracle E-Business Suite

È necessario disporre dei seguenti ruoli:

Ruolo Richiesto per...

IAM OCI: amministratore della sicurezza

Accedere alla pagina Download della console di IAM OCI. Da questa pagina è possibile scaricare OCI IAM E-Business Suite Asserter.

IAM OCI: amministratore dell'applicazione

Consente di gestire le applicazioni in IAM OCI, che include la registrazione dell'applicazione Mobile di esempio con IAM OCI.

Oracle E-Business Suite: amministratore del server

Accedere alla cartella di installazione di Oracle E-Business Suite, a Oracle WebLogic Server in cui distribuire E-Business Suite Asserter e a E-Business Suite Asserter come utente del sistema operativo.