1. Impostare SSO tra Azure AD e Oracle Access Manager per Oracle E-Business Suite
  2. Preparazione all'impostazione di SSO tra Azure AD e Oracle Access Manager per Oracle E-Business Suite

Preparazione all'impostazione di SSO tra Azure AD e Oracle Access Manager per Oracle E-Business Suite

Esistono alcune ipotesi e dettagli sugli elementi chiave da considerare prima di tentare l'integrazione descritta in questa soluzione.

Oltre ai prerequisiti e alle ipotesi descritte qui, è necessario eseguire il provisioning degli attributi utente, inclusi tre elementi fondamentali per questa integrazione: nome del principio utente (UPN), USER_NAME e USER_ORCLGUID. In questo articolo vengono forniti dettagli su questi attributi e su come vengono utilizzati.

Comprendere i prerequisiti e le ipotesi

I prerequisiti principali richiesti e le ipotesi che è possibile fare sono:

  • Tutti i componenti descritti nella sezione Architettura sono stati distribuiti e funzionano.
  • Oracle E-Business Suite e Oracle Access Manager sono stati integrati. In caso contrario, seguire il documento corretto a cui viene fatto riferimento dall'elenco principale in My Oracle Support: uso dell'ultima soluzione Oracle E-Business Suite AccessGate per l'integrazione Single Sign-On con Oracle Access Manager (ID documento 2202932.1).
  • È stato eseguito il provisioning di un account utente da Azure AD al server LDAP di Oracle Access Manager (vedere la sezione seguente). L'implementazione del provisioning non rientra nell'ambito di questo documento perché può esistere più di un modo per implementarlo.
  • È stato eseguito il provisioning di un utente dal server LDAP di Oracle Access Manager al database E-Business Suite utilizzando Oracle Directory Integration Platform. Questo processo è documentato in una delle guide di integrazione di Oracle E-Business Suite SSO con Oracle Access Manager. Vedere anche la sezione seguente.
  • Qualsiasi High Availability (HA) per i componenti di Oracle E-Business Suite e Oracle Access Manager è già stata implementata. La HA può essere raggiunta, ma non rientra nel campo di applicazione del presente documento.

Esegui provisioning degli attributi per l'integrazione di Oracle Access Manager ed E-Business Suite

Per implementare correttamente questa soluzione, è fondamentale disporre di una corretta assegnazione delle chiavi utente univoche necessarie per integrare Oracle Access Manager ed E-Business Suite.

Come parte dell'integrazione di E-Business Suite e Oracle Access Manager, USERNAME e ORCLGUID sono chiavi utente univoche critiche utilizzate tra il server LDAP di Oracle Access Manager e il database E-Business Suite. Ad esempio, il server LDAP di Oracle Access Manager, Oracle Unified Directory o Oracle Internet Directory, in genere utilizza l'UID dell'attributo LDAP per il nome utente. Tuttavia, quando viene creata una voce utente, l'attributo operativo orclguid viene creato automaticamente e memorizza un valore univoco di 32 caratteri. Analogamente, in E-Business Suite, un nome utente viene memorizzato in USER_NAME e orclGUID viene memorizzato in USER_GUID. Entrambi gli attributi devono essere univoci.

Nel flusso di autenticazione, WebGate passa tre intestazioni, USER_NAME, USER_ORCLGUID e OAM_LOCALE. I due criteri più importanti per l'autenticazione con E-Business Suite sono USER_NAME e USER_ORCLGUID, recuperati dal server LDAP di Oracle Access Manager. I valori degli attributi devono corrispondere tra il server LDAP di Oracle Access Manager e lo schema utente del database E-Business Suite.

Per quanto riguarda il provisioning da Azure AD, è possibile utilizzare samAccountName come uid nel server LDAP di Oracle Access Manager. È più importante che samAccountName sia univoco anche perché, come parte dell'integrazione di Oracle Access Manager ed E-Business Suite, è abilitato un plugin di univocità per garantire che uid sia univoco. L'attributo uid non è importante nell'autenticazione federata, ma è importante assicurarsi che il valore sia univoco nel server LDAP di Oracle Access Manager e nel database E-Business Suite.

Esegui provisioning degli attributi per l'integrazione di Azure AD e Oracle Access Manager

Una corretta assegnazione delle chiavi utente univoche necessarie per integrare Azure AD e Oracle Access Manager è fondamentale per implementare correttamente questa soluzione.

In base alle procedure ottimali di Azure AD, il nome principal utente (UPN) viene utilizzato come valore dell'attributo di mapping degli utenti federati. Il codice UPN fornisce un valore univoco affidabile per l'accesso all'account utente e la corrispondenza in Oracle Access Manager e E-Business Suite. Di conseguenza, è la scelta migliore per la federazione tra Azure AD e Oracle Access Manager.

Nella tabella seguente sono elencati gli attributi minimi di cui si consiglia di eseguire il provisioning da Azure AD al server LDAP di Oracle Access Manager.
Attributo Azure Attributo LDAP Esempio
userPrincipalName mail test.user1@mydomain.com
samAccountName uid test.user1@mydomain.com
displayName cn User1
givenName givenName Esegui il test
sn sn User1