1. 高可用性モードでのEBS Asserterを使用したOCI IAMでのOracle E-Business SuiteのSSOの有効化
  2. 高可用性モードでのEBS Asserterを使用したOCI IAMでのOracle E-Business SuiteのSSOの有効化について学習

高可用性モードでのEBS Asserterを使用したOCI IAMでのOracle E-Business SuiteのSSOの有効化について学習

Oracle E-Business Suite (EBS)インスタンスがある場合、OCI IAM E-Business Suite Asserterコンポーネントを使用して、Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)を認証メカニズムとして使用する他のアプリケーションとシームレスに認証できます。

この統合により、Oracle E-Business SuiteはOCI IAMによって提供されるシングル・サインオン(SSO)に参加できます。ログイン・プロセスのセキュリティを強化するために、サインインおよびアイデンティティ・プロバイダ・ポリシーを設定し、マルチファクタ認証を構成できます。アダプティブ・セキュリティを有効にして、OCI IAMのアプリケーションおよびOracle E-Business Suite全体でユーザーに強力な認証機能およびリスク分析を提供することもできます。

このソリューション・プレイブックでは、高可用性モードでOCI IAM Asserterを使用してOCI IAMをOracle EBSと統合するためのステップおよび構成について説明します。
  • Oracle WebLogic ServerはOCIコンピュート・インスタンスにデプロイされ、
  • Oracle EBSは、Oracle EBS Cloud Managerを使用してOCIにデプロイされます。

EBSインスタンスごとに、OCI IAM E-Business Suite Asserter application.Youの1つのインスタンスを構成およびデプロイし、次の項で説明するように、異なる構成を使用してEBS AsserterをHAモードでデプロイできます:

  1. 複数のWebLogicサーバー・マシン。各マシンは単一の管理対象サーバーをホストし、単一のEBSアサータでデプロイします。
  2. 複数の管理対象サーバーがある単一のWebLogicサーバー・マシン。各管理対象サーバーには、EBS Asserterの単一のデプロイメントがあります。
  3. 単一の管理対象サーバーを持つ単一のWebLogicサーバー・マシン。管理対象サーバーにはEBS Asserterの複数のデプロイメントがあります。

3番目のシナリオを達成するために、次のタスクを実行する必要があります:

  • ファイルを同じWebLogic管理対象サーバーにデプロイする前に、各EBSアサーション・アプリケーションのWebアプリケーション・リソース(WAR)ファイルの名前を変更します。この場合、すべてのE-Business Suite Asserter URLのドメイン名とポート番号は同じになりますが、URLのコンテキストは変更されます。
  • ebs.warファイルの内容をフォルダに抽出し、weblogic.xmlファイルを見つけてこのファイルを編集し、EBS Asserter URLと一致するように<cookie-path>タグの値を更新して、ebs.warファイルを再ビルドします。

たとえば、E-Business Suite AsserterでURLコンテキスト/app/ebsに応答する場合は、weblogic.xml内のタグを値<cookie-path>/app/ebs</cookie-path>で更新します。

たとえば、開発1および開発2という名前のEBSインスタンスが2つあり、E-Business Suite Asserterを使用してこれらのEBSインスタンスをOCI IAMと統合するが、2つのE-Business Suite Asserterアプリケーションに対して1つのWebLogic管理対象サーバーのみがある場合、EBSインスタンスごとにこのチュートリアルの手順を実行する必要があります。WebLogicサーバーは一度のみ構成し、EBSインスタンスごとにE-Business Suiteアサータ・アプリケーションを構成およびデプロイします:

  • EBSインスタンス開発1の場合:
    • ebs.warファイルのコピーを作成し、新しいファイルにebsdev1.warと入力します。
    • cookie- pathタグを次の値に置き換えて、ebsdev1.warファイルに含まれるweblogic.xmlを更新します: <cookie-path>/ebsdev1</cookie-path>
    • ebsdev1.warファイルに含まれるbridge.propertiesファイル(セクション5)を更新します。
    • ebsdev1.warファイルを再構築し、このファイル(セクション7)をWebLogic管理対象サーバーにデプロイします。
  • EBSインスタンス開発2の場合:
    • ebs.warファイルのコピーを作成し、新しいファイルにebsdev2.warと入力します。
    • cookie- pathタグを次の値に置き換えて、ebsdev2.warファイルに含まれるweblogic.xmlを更新します: <cookie-path>/ebsdev2</cookie-path>
    • ebsdev2.warファイルに含まれるbridge.propertiesファイル(セクション5)を更新します。
    • ebsdev2.warファイルを再構築し、このファイル(セクション7)をWebLogic管理対象サーバーにデプロイします。

ebsdev1.warファイルとebsdev2.warファイルの両方を同じWebLogic管理対象サーバーにデプロイします。EBSインスタンスDevelopment 1のE-Business Suite Asserter URLは、 https://ebsasserter.example.com:7002/ebsdev1およびEBSインスタンスDevelopment 2 https://ebsasserter.example.com:7002/ebsdev2用です。

開始する前に

E-Business Suite Asserterの使用を開始する前に、有効化する方法と、他のコンポーネントと連携する方法について説明します。

  • Oracle E-Business SuiteがOracle Access Manager、Oracle Internet Directory、E-Business Suite AccessGateと統合されている場合、または他のSSOプロファイルを使用している場合は、OCI IAM E-Business Suite Asserterを使用する前に、これらのコンポーネントとOracle E-Business Suite間の統合を削除してから、サーバーを再起動します。
  • サポートされるものを確認します。ブラウザベースのログインを使用するすべてのOracle E-Businessモジュールは、SSO用のE-Business Suite Asserterで動作します。Web ADIのExcelベースのログインがサポートされています。承認や経費など、EBS用のモバイル・アプリケーションがサポートされています。モバイルWebアプリケーション(MWA)や電子署名など、ブラウザベースのログインを使用しないモジュールはサポートされていません。

アーキテクチャ

このプレイブックでは、2つのWebLogicマシンで構成される1つのWebLogicクラスタが作成されます。これらの各WebLogicマシンは、1つのWebLogic管理対象サーバーをホストします。2つのWebLogic管理対象サーバーのそれぞれに、E-Business Suite Asserterの2つのインスタンスがデプロイされます。OCI Load Balancerは、OCI IAM Asserterの2つのノード間の高可用性およびトラフィック管理を提供するために使用されます。

Oracle E-Business Suiteは、Oracle EBS Cloud Managerを使用して、2つの異なるノードを持つ高可用性にもデプロイされます。Oracle E-Business Suiteは、データベース・サーバーの2つのノードを持つOracle RACデータベースを使用します。OCI IAM Asserterは、OCI IAM Rest APIを介してOCI IAMと対話し、ユーザーのWebブラウザをOCI IAMおよびOracle E-Business Suiteにリダイレクトします。

次のアーキテクチャ図は、E-Business Suite Asserter、Oracle E-Business SuiteおよびOCI IAMがどのように対話するかを示しています。


ebs_asserter_ha_arch.pngの説明が続きます
図ebs_asserter_ha_arch.pngの説明

  1. ユーザーは、Oracle E-Business Suiteの保護されたリソースへのアクセスをリクエストします。
  2. リクエストはOCI Load Balancerに到達し、バックエンド・サーバーの可用性に基づいて、リクエストを適切なOracle E-Business Suiteサーバーに転送します。
  3. Oracle E-Business Suiteは、ユーザー・ブラウザを、OCI Load Balancerを介して指示されるE-Business Suite Asserterアプリケーションにリダイレクトします。
  4. OCI Load Balancerは、バックエンドのE-Business Suite Asserterサーバーの構成および可用性に基づいて、リクエストを適切なE-Business Suite Asserterサーバーに転送します。OCI Load BalancerはCookieを生成し、それをリクエストにアタッチしてセッションのスティッキネスを維持します。
  5. OCI IAM Asserterは、OCI IAM SDKを使用して認可URLを生成し、ブラウザをOCI IAMにリダイレクトします。
  6. OCI IAMは、そのサインイン・ページをユーザーに提供します。
  7. ユーザーは、資格証明をOCI IAMに送信します。
  8. OCI IAMは認可コードを発行し、ユーザーのブラウザをE-Business Suite Asserterにリダイレクトします。
  9. レスポンスはOCI Load Balancerに到達し、セッションCookieに基づいて、E-Business Suite Asserterサーバーを割り当てるためにリクエストをリダイレクトします。
  10. E-Business Suite Asserterは、OCI IAM SDKを使用してOCI IAMと通信し、認可コードをアクセス・トークンに交換します。
  11. OCI IAMは、アクセス・トークンおよびIDトークンをE-Business Suite Asserterに発行します。
  12. E-Business Suite Asserterは、Oracle E-Business Suite Cookieを作成し、ユーザーのブラウザをOracle E-Business Suiteにリダイレクトします。
  13. Oracle E-Business Suiteは、ユーザーがリクエストした保護されたリソースを表示します。

必須サービスおよびロールについて

OCI IAM管理者は、OCI IAMコンソールにアクセスし、E-Business Suite Asserterをダウンロードしてアプリケーションを構成およびアクティブ化できる必要があります。

次のサービスおよび製品にアクセスできる必要があります:
  • OCI IAM
  • Oracle E-Business Suite

次のロールが必要です:

ロール 次が必要です...

OCI IAM: セキュリティ管理者

OCI IAMコンソールの「ダウンロード」ページにアクセスします。このページから、OCI IAM E-Business Suite Asserterをダウンロードできます。

OCI IAM: アプリケーション管理者

OCI IAMでアプリケーションを管理します。これには、OCI IAMへのサンプル・モバイル・アプリケーションの登録が含まれます。

Oracle E-Business Suite: サーバー管理者

オペレーティング・システム・ユーザーとして、Oracle E-Business Suiteインストール・フォルダ、E-Business Suite AsserterをデプロイするOracle WebLogic ServerおよびE-Business Suite Asserterマシンにアクセスします。