Azure ADとOracle Access Manager for Oracle E-Business Suiteの間のSSO設定の準備
このソリューションで説明する統合を試行する前に、考慮する必要がある主要な項目に関する特定の前提と詳細があります。
ここで説明する前提条件および前提条件とともに、この統合にとって重要な3つのユーザー属性(ユーザー・プリンシパル名(UPN)、USER_NAMEおよびUSER_ORCLGUID)もプロビジョニングする必要があります。この記事では、これらの属性とその使用方法について詳しく説明します。
前提条件の理解
必要な主な前提条件と可能な前提は次のとおりです。
- 「アーキテクチャ」セクションで説明されているすべてのコンポーネントがデプロイされ、機能しています。
- Oracle E-Business SuiteとOracle Access Managerが統合されています。そうでない場合は、My Oracle Supportのマスター・リストから参照されている正しいドキュメントに従ってください。Oracle Access Managerとのシングル・サインオン統合のための最新のOracle E-Business Suite AccessGateの使用(ドキュメントID 2202932.1)。
- ユーザー・アカウントがAzure ADからOracle Access Manager LDAPサーバーにプロビジョニングされています(次の項を参照)。プロビジョニングの実装は、実装方法が複数ある可能性があるため、このドキュメントの範囲外です。
- ユーザーは、Oracle Directory Integration Platformを使用してOracle Access Manager LDAPサーバーからE-Business Suiteデータベースにプロビジョニングされています。このプロセスについては、Oracle E-Business Suite SSOとOracle Access Managerの統合ガイドのいずれかで説明します。次のセクションも参照してください。
- Oracle E-Business SuiteおよびOracle Access Managerコンポーネントの高可用性(HA)はすでに実装されています。HAは実現できますが、このドキュメントの範囲外です。
Oracle Access ManagerおよびE-Business Suite統合の属性のプロビジョニング
このソリューションを正常に実装するには、Oracle Access ManagerとE-Business Suiteを統合するために必要な一意のユーザー・キーを適切に割り当てることが重要です。
E-Business SuiteとOracle Access Managerの統合の一部として、USERNAME
とORCLGUID
は、Oracle Access Manager LDAPサーバーとE-Business Suiteデータベースの間で使用される重要な一意ユーザー・キーです。たとえば、Oracle Access Manager LDAPサーバー(Oracle Unified DirectoryまたはOracle Internet Directory)では、通常、ユーザー名にLDAP属性UIDが使用されます。ただし、ユーザー・エントリが作成されると、操作属性orclguidが自動的に作成され、一意の32文字の値が格納されます。同様に、E-Business Suiteでは、ユーザー名はUSER_NAME
に格納され、orclGUIDはUSER_GUID
に格納されます。どちらの属性も一意である必要があります。
認証フローでは、WebGateは3つのヘッダーUSER_NAME
、USER_ORCLGUID
およびOAM_LOCALE
を渡します。E-Business Suiteでの認証には、Oracle Access Manager LDAPサーバーから取得されるUSER_NAME
およびUSER_ORCLGUID
が最も重要です。属性値は、Oracle Access Manager LDAPサーバーとE-Business Suiteデータベース・ユーザー・スキーマ間で一致する必要があります。
Azure ADからのプロビジョニングに関して、samAccountName
をOracle Access Manager LDAPサーバーのuid
として使用できます。Oracle Access ManagerおよびE-Business Suiteの統合の一部として、一意性プラグインが有効化され、UIDが一意になるため、samAccountName
も一意であることがより重要です。uid
属性はフェデレーション認証では重要ではありませんが、値がOracle Access Manager LDAPサーバーおよびE-Business Suiteデータベース全体で一意であることを確認することが重要です。
Azure ADおよびOracle Access Manager統合の属性のプロビジョニング
このソリューションを正常に実装するには、Azure ADとOracle Access Managerを統合するために必要な一意のユーザー・キーを適切に割り当てることが重要です。
Azure ADのベスト・プラクティスに従って、ユーザー・プリンシパル名(UPN)がフェデレーテッド・ユーザー・マッピング属性値として使用されます。UPNは、Oracle Access ManagerおよびE-Business Suiteでのユーザー・アカウントへのサインオンおよび照合に信頼できる一意の値を提供します。そのため、Azure ADとOracle Access Managerの間のフェデレーションに最適な選択肢です。
Azure属性 | LDAP属性 | 例 |
---|---|---|
userPrincipalName |
mail |
test.user1@mydomain.com |
samAccountName |
uid |
test.user1@mydomain.com |
displayName |
cn |
User1 |
givenName |
givenName |
テスト |
sn |
sn |
User1 |