1. Azure ADとOracle Access Manager for Oracle E-Business Suiteの間のSSOの設定
  2. Azure ADとOracle Access Manager for Oracle E-Business Suiteの間のSSO設定の準備

Azure ADとOracle Access Manager for Oracle E-Business Suiteの間のSSO設定の準備

このソリューションで説明する統合を試行する前に、考慮する必要がある主要な項目に関する特定の前提と詳細があります。

ここで説明する前提条件および前提条件とともに、この統合にとって重要な3つのユーザー属性(ユーザー・プリンシパル名(UPN)、USER_NAMEおよびUSER_ORCLGUID)もプロビジョニングする必要があります。この記事では、これらの属性とその使用方法について詳しく説明します。

前提条件の理解

必要な主な前提条件と可能な前提は次のとおりです。

  • 「アーキテクチャ」セクションで説明されているすべてのコンポーネントがデプロイされ、機能しています。
  • Oracle E-Business SuiteとOracle Access Managerが統合されています。そうでない場合は、My Oracle Supportのマスター・リストから参照されている正しいドキュメントに従ってください。Oracle Access Managerとのシングル・サインオン統合のための最新のOracle E-Business Suite AccessGateの使用(ドキュメントID 2202932.1)。
  • ユーザー・アカウントがAzure ADからOracle Access Manager LDAPサーバーにプロビジョニングされています(次の項を参照)。プロビジョニングの実装は、実装方法が複数ある可能性があるため、このドキュメントの範囲外です。
  • ユーザーは、Oracle Directory Integration Platformを使用してOracle Access Manager LDAPサーバーからE-Business Suiteデータベースにプロビジョニングされています。このプロセスについては、Oracle E-Business Suite SSOとOracle Access Managerの統合ガイドのいずれかで説明します。次のセクションも参照してください。
  • Oracle E-Business SuiteおよびOracle Access Managerコンポーネントの高可用性(HA)はすでに実装されています。HAは実現できますが、このドキュメントの範囲外です。

Oracle Access ManagerおよびE-Business Suite統合の属性のプロビジョニング

このソリューションを正常に実装するには、Oracle Access ManagerとE-Business Suiteを統合するために必要な一意のユーザー・キーを適切に割り当てることが重要です。

E-Business SuiteとOracle Access Managerの統合の一部として、USERNAMEORCLGUIDは、Oracle Access Manager LDAPサーバーとE-Business Suiteデータベースの間で使用される重要な一意ユーザー・キーです。たとえば、Oracle Access Manager LDAPサーバー(Oracle Unified DirectoryまたはOracle Internet Directory)では、通常、ユーザー名にLDAP属性UIDが使用されます。ただし、ユーザー・エントリが作成されると、操作属性orclguidが自動的に作成され、一意の32文字の値が格納されます。同様に、E-Business Suiteでは、ユーザー名はUSER_NAMEに格納され、orclGUIDはUSER_GUIDに格納されます。どちらの属性も一意である必要があります。

認証フローでは、WebGateは3つのヘッダーUSER_NAMEUSER_ORCLGUIDおよびOAM_LOCALEを渡します。E-Business Suiteでの認証には、Oracle Access Manager LDAPサーバーから取得されるUSER_NAMEおよびUSER_ORCLGUIDが最も重要です。属性値は、Oracle Access Manager LDAPサーバーとE-Business Suiteデータベース・ユーザー・スキーマ間で一致する必要があります。

Azure ADからのプロビジョニングに関して、samAccountNameをOracle Access Manager LDAPサーバーのuidとして使用できます。Oracle Access ManagerおよびE-Business Suiteの統合の一部として、一意性プラグインが有効化され、UIDが一意になるため、samAccountNameも一意であることがより重要です。uid属性はフェデレーション認証では重要ではありませんが、値がOracle Access Manager LDAPサーバーおよびE-Business Suiteデータベース全体で一意であることを確認することが重要です。

Azure ADおよびOracle Access Manager統合の属性のプロビジョニング

このソリューションを正常に実装するには、Azure ADとOracle Access Managerを統合するために必要な一意のユーザー・キーを適切に割り当てることが重要です。

Azure ADのベスト・プラクティスに従って、ユーザー・プリンシパル名(UPN)がフェデレーテッド・ユーザー・マッピング属性値として使用されます。UPNは、Oracle Access ManagerおよびE-Business Suiteでのユーザー・アカウントへのサインオンおよび照合に信頼できる一意の値を提供します。そのため、Azure ADとOracle Access Managerの間のフェデレーションに最適な選択肢です。

次の表に、Azure ADからOracle Access Manager LDAPサーバーにプロビジョニングすることを推奨する最小属性を示します。
Azure属性 LDAP属性
userPrincipalName mail test.user1@mydomain.com
samAccountName uid test.user1@mydomain.com
displayName cn User1
givenName givenName テスト
sn sn User1