高可用性モードでのEBS Asserterを使用したOCI IAMでのOracle E-Business SuiteのSSOの有効化について学習
この統合により、Oracle E-Business SuiteはOCI IAMによって提供されるシングル・サインオン(SSO)に参加できます。ログイン・プロセスのセキュリティを強化するために、サインインおよびアイデンティティ・プロバイダ・ポリシーを設定し、マルチファクタ認証を構成できます。アダプティブ・セキュリティを有効にして、OCI IAMのアプリケーションおよびOracle E-Business Suite全体でユーザーに強力な認証機能およびリスク分析を提供することもできます。
- Oracle WebLogic ServerはOCIコンピュート・インスタンスにデプロイされ、
- Oracle EBSは、Oracle EBS Cloud Managerを使用してOCIにデプロイされます。
EBSインスタンスごとに、OCI IAM E-Business Suite Asserter application.Youの1つのインスタンスを構成およびデプロイし、次の項で説明するように、異なる構成を使用してEBS AsserterをHAモードでデプロイできます:
- 複数のWebLogicサーバー・マシン。各マシンは単一の管理対象サーバーをホストし、単一のEBSアサータでデプロイします。
- 複数の管理対象サーバーがある単一のWebLogicサーバー・マシン。各管理対象サーバーには、EBS Asserterの単一のデプロイメントがあります。
- 単一の管理対象サーバーを持つ単一のWebLogicサーバー・マシン。管理対象サーバーにはEBS Asserterの複数のデプロイメントがあります。
3番目のシナリオを達成するために、次のタスクを実行する必要があります:
- ファイルを同じWebLogic管理対象サーバーにデプロイする前に、各EBSアサーション・アプリケーションのWebアプリケーション・リソース(WAR)ファイルの名前を変更します。この場合、すべてのE-Business Suite Asserter URLのドメイン名とポート番号は同じになりますが、URLのコンテキストは変更されます。
- 各
ebs.war
ファイルの内容をフォルダに抽出し、weblogic.xml
ファイルを見つけてこのファイルを編集し、EBS Asserter URLと一致するように<cookie-path>
タグの値を更新して、ebs.war
ファイルを再ビルドします。
たとえば、E-Business Suite AsserterでURLコンテキスト/app/ebs
に応答する場合は、weblogic.xml
内のタグを値<cookie-path>/app/ebs</cookie-path>
で更新します。
たとえば、開発1および開発2という名前のEBSインスタンスが2つあり、E-Business Suite Asserterを使用してこれらのEBSインスタンスをOCI IAMと統合するが、2つのE-Business Suite Asserterアプリケーションに対して1つのWebLogic管理対象サーバーのみがある場合、EBSインスタンスごとにこのチュートリアルの手順を実行する必要があります。WebLogicサーバーは一度のみ構成し、EBSインスタンスごとにE-Business Suiteアサータ・アプリケーションを構成およびデプロイします:
- EBSインスタンス開発1の場合:
- ebs.warファイルのコピーを作成し、新しいファイルに
ebsdev1.war
と入力します。 - cookie- pathタグを次の値に置き換えて、
ebsdev1.war
ファイルに含まれるweblogic.xml
を更新します:<cookie-path>/ebsdev1</cookie-path>
。 ebsdev1.war
ファイルに含まれるbridge.properties
ファイル(セクション5)を更新します。ebsdev1.war
ファイルを再構築し、このファイル(セクション7)をWebLogic管理対象サーバーにデプロイします。
- ebs.warファイルのコピーを作成し、新しいファイルに
- EBSインスタンス開発2の場合:
ebs.war
ファイルのコピーを作成し、新しいファイルにebsdev2.war
と入力します。- cookie- pathタグを次の値に置き換えて、
ebsdev2.war
ファイルに含まれるweblogic.xml
を更新します:<cookie-path>/ebsdev2</cookie-path>
。 ebsdev2.war
ファイルに含まれるbridge.properties
ファイル(セクション5)を更新します。ebsdev2.war
ファイルを再構築し、このファイル(セクション7)をWebLogic管理対象サーバーにデプロイします。
ebsdev1.war
ファイルとebsdev2.war
ファイルの両方を同じWebLogic管理対象サーバーにデプロイします。EBSインスタンスDevelopment 1のE-Business Suite Asserter URLは、 https://ebsasserter.example.com:7002/ebsdev1
およびEBSインスタンスDevelopment 2 https://ebsasserter.example.com:7002/ebsdev
2用です。
開始する前に
E-Business Suite Asserterの使用を開始する前に、有効化する方法と、他のコンポーネントと連携する方法について説明します。
- Oracle E-Business SuiteがOracle Access Manager、Oracle Internet Directory、E-Business Suite AccessGateと統合されている場合、または他のSSOプロファイルを使用している場合は、OCI IAM E-Business Suite Asserterを使用する前に、これらのコンポーネントとOracle E-Business Suite間の統合を削除してから、サーバーを再起動します。
- サポートされるものを確認します。ブラウザベースのログインを使用するすべてのOracle E-Businessモジュールは、SSO用のE-Business Suite Asserterで動作します。Web ADIのExcelベースのログインがサポートされています。承認や経費など、EBS用のモバイル・アプリケーションがサポートされています。モバイルWebアプリケーション(MWA)や電子署名など、ブラウザベースのログインを使用しないモジュールはサポートされていません。
アーキテクチャ
このプレイブックでは、2つのWebLogicマシンで構成される1つのWebLogicクラスタが作成されます。これらの各WebLogicマシンは、1つのWebLogic管理対象サーバーをホストします。2つのWebLogic管理対象サーバーのそれぞれに、E-Business Suite Asserterの2つのインスタンスがデプロイされます。OCI Load Balancerは、OCI IAM Asserterの2つのノード間の高可用性およびトラフィック管理を提供するために使用されます。
Oracle E-Business Suiteは、Oracle EBS Cloud Managerを使用して、2つの異なるノードを持つ高可用性にもデプロイされます。Oracle E-Business Suiteは、データベース・サーバーの2つのノードを持つOracle RACデータベースを使用します。OCI IAM Asserterは、OCI IAM Rest APIを介してOCI IAMと対話し、ユーザーのWebブラウザをOCI IAMおよびOracle E-Business Suiteにリダイレクトします。
次のアーキテクチャ図は、E-Business Suite Asserter、Oracle E-Business SuiteおよびOCI IAMがどのように対話するかを示しています。
- ユーザーは、Oracle E-Business Suiteの保護されたリソースへのアクセスをリクエストします。
- リクエストはOCI Load Balancerに到達し、バックエンド・サーバーの可用性に基づいて、リクエストを適切なOracle E-Business Suiteサーバーに転送します。
- Oracle E-Business Suiteは、ユーザー・ブラウザを、OCI Load Balancerを介して指示されるE-Business Suite Asserterアプリケーションにリダイレクトします。
- OCI Load Balancerは、バックエンドのE-Business Suite Asserterサーバーの構成および可用性に基づいて、リクエストを適切なE-Business Suite Asserterサーバーに転送します。OCI Load BalancerはCookieを生成し、それをリクエストにアタッチしてセッションのスティッキネスを維持します。
- OCI IAM Asserterは、OCI IAM SDKを使用して認可URLを生成し、ブラウザをOCI IAMにリダイレクトします。
- OCI IAMは、そのサインイン・ページをユーザーに提供します。
- ユーザーは、資格証明をOCI IAMに送信します。
- OCI IAMは認可コードを発行し、ユーザーのブラウザをE-Business Suite Asserterにリダイレクトします。
- レスポンスはOCI Load Balancerに到達し、セッションCookieに基づいて、E-Business Suite Asserterサーバーを割り当てるためにリクエストをリダイレクトします。
- E-Business Suite Asserterは、OCI IAM SDKを使用してOCI IAMと通信し、認可コードをアクセス・トークンに交換します。
- OCI IAMは、アクセス・トークンおよびIDトークンをE-Business Suite Asserterに発行します。
- E-Business Suite Asserterは、Oracle E-Business Suite Cookieを作成し、ユーザーのブラウザをOracle E-Business Suiteにリダイレクトします。
- Oracle E-Business Suiteは、ユーザーがリクエストした保護されたリソースを表示します。
必須サービスおよびロールについて
OCI IAM管理者は、OCI IAMコンソールにアクセスし、E-Business Suite Asserterをダウンロードしてアプリケーションを構成およびアクティブ化できる必要があります。
- OCI IAM
- Oracle E-Business Suite
次のロールが必要です:
ロール | 次が必要です... |
---|---|
OCI IAM: セキュリティ管理者 |
OCI IAMコンソールの「ダウンロード」ページにアクセスします。このページから、OCI IAM E-Business Suite Asserterをダウンロードできます。 |
OCI IAM: アプリケーション管理者 |
OCI IAMでアプリケーションを管理します。これには、OCI IAMへのサンプル・モバイル・アプリケーションの登録が含まれます。 |
Oracle E-Business Suite: サーバー管理者 |
オペレーティング・システム・ユーザーとして、Oracle E-Business Suiteインストール・フォルダ、E-Business Suite AsserterをデプロイするOracle WebLogic ServerおよびE-Business Suite Asserterマシンにアクセスします。 |