1. Azure ADとOracle Access Manager for Oracle Retail Merchandising Suiteの間のSSOの設定
  2. Azure ADとOracle Access Manager for Oracle Retail Merchandising Suiteの間のSSOの設定について

Azure ADとOracle Access Manager for Oracle Retail Merchandising Suiteの間のSSOの設定について

このソリューションでは、Oracle Retail Merchandising SuiteをMicrosoft Azureに実装し、Oracle Cloud Infrastructure上で稼働しているデータベースに関連付けるための参照アーキテクチャを提供します。両方のクラウドを使用すると、カスタマがクラウドに移動する際に柔軟性が向上します。

Retail Merchandising Suiteのこのクロスクラウド・ソリューションは、データベース層をOracle Cloud Infrastructureおよびミドルウェア層、F層(ファイアウォール、プロキシおよびロード・バランサ)およびDS層にMicrosoft Azure上に配置します。また、このアーキテクチャは、Azure Active Directory (Azure AD)をフェデレーテッド・アイデンティティ・プロバイダ(IDP)として使用して、ユーザーをRetail Merchandising Suiteに対して認証しますが、Oracle Access Managerはサービス・プロバイダ(SP)です。

また、Retail Merchandising Suiteをクロス・クラウド・モデルにインストールし、Oracle Access Managerを使用してAzure AD 2.0フェデレーテッド・シングル・サインオン(SSO)を構成する場合の高度な手順について説明します。この認可統合を理解するには、Oracle Retail Merchandising Cross Cloudアーキテクチャを理解しておく必要があります。

始める前に

Oracle Cloudでデータベースに接続しているMicrosoft Azureでアプリケーションの実行を開始する前に、Oracle CloudおよびMicrosoft Azureにデプロイされているワークロードに接続するネットワーク・アーキテクチャを理解します。

Microsoft Azureを使用したOracle Cloudのインターコネクトについてを参照してください

Oracle Access ManagerおよびAzure ADでのSSOの理解

Retail MerchandisingはOracle Access Managerを認可に使用し、Oracle Access Manager自体は認証をバックエンドLDAPストアに委譲します。

このアーキテクチャでは、バックエンドLDAPストアはOracle Internet Directoryですが、ユーザーのレコード・システムはAzure ADです。Oracle Directory Integration Platformは、Azure ADとOracle Internet Directoryとの間でユーザー情報を同期することで、Oracle Internet DirectoryとAzure ADの間のブリッジとして機能します。この同期により、Oracle Internet DirectoryはOracle Access Managerのバッキング・ストアとして動作し続けることができるため、他のすべてのデプロイメント・モデルと同様に、Oracle Access ManagerとRetail Merchandisingとの既存の統合が可能になります。このクロス・クラウド・モデルでは、Azure ADによって認証が実行され、Oracle Access Managerによって認可が実行されます。

アーキテクチャ

このクロスクラウド方式ソリューションを実装するには、まず、それを実装する3つのアーキテクチャを理解する必要があります。

  • 物理アーキテクチャ
  • 論理アーキテクチャ
  • 認証と認可のアーキテクチャ

論理アーキテクチャの理解

Retail Merchandising Suite参照アーキテクチャは、3つの論理層と、これらの層を構成するコンポーネントで構成されています。

Merch-logical-arch.pngの説明が続きます
図merch-logical-arch.pngの説明
  • Web層: Webブラウザからアクセス可能なOracle ADFベースのUI
  • アプリケーション層:
    • Merchandising Suiteアプリケーションを小売してください。
    • 小売統合スイート(Retail Integration Bus、Retail Service BusおよびRetail Bulk Data Integrationを含む)。
    • OracleのIdentity Managementスタック(Oracle Access Manager、Oracle Identity ManagerおよびOracle Internet Directory)を介したアイデンティティ管理。
    • SFTPおよびその他の統合でのファイル転送用の接続。
  • データ層: MerchandisingおよびIntegrationのプラガブル・データベース(Oracle RAC Database )。

物理アーキテクチャの理解

上位レベルのクラウド間モデルでは、小売業者が自分のデータ層をOracle Cloud Infrastructureにデプロイし、それらのアプリケーション層をMicrosoft Azureにデプロイできます。

Merch-physical-arch.pngの説明が続きます
図merch-psical-arch.pngの説明

参照アーキテクチャは、データベースおよびコンピュート・ノードをクラスタ化して、可用性の高いアーキテクチャを実現します。Oracle Cloud InfrastructureとAzureの間のFastConnectにより、すべてのサービス・レベル合意(SLA)を満たす信頼性の高いパフォーマンスが保証されます。

サポートされる参照アーキテクチャでは、次のように層をデプロイします。
  • Oracle Cloud Infrastructure (OCI)のデータベース層
  • Azure上のミドルウェア層(高性能なネットワーク・ファイル・システム付き)
  • Azure上のf層(ファイアウォール、プロキシおよびロード・バランサ)
  • AzureのDS層(SFTP)

認証および認可アーキテクチャの理解

認証と認可のアーキテクチャは、Oracle Access ManagerとRetail Merchandising Suiteの統合に基づいています。

Merch-authn - authz-arch.pngの説明が続きます。
図merch-authn - authz-arch.pngの説明

Oracle Access Managerでは、バックエンドLDAPストアがOracle Unified DirectoryまたはOracle Internet Directoryである必要があります。このアーキテクチャでは、ユーザーのレコードのシステムはAzure ADです。双方向同期サービスとして使用されるOracle Directory Integration Platformは、そのアカウントをOracle Internet Directoryに同期します。

Oracleは、このドキュメントで説明するプロセスを介してフェデレーテッドSSOを含め、Retail Merchandising Suite 16.0.2以降のこのクロスクラウド・デプロイメント・アーキテクチャを検証およびサポートしています。

必要なサービスおよびロールについて

このソリューションには、特定のサービスとそれらのサービス内でのロールの組合せが必要です。

次のサービスおよびアプリケーションが必要です。
  • Oracle Cloud Infrastructure
  • Oracle Access Manager
  • Azureにデプロイされた完全に機能するOracle Retail Merchandising Suiteインスタンス
  • Microsoft Azure AD

必要なロールは次のとおりです。

サービス名:ロール 必須対象
Oracle Cloud Infrastructure:管理者 アイデンティティ・リソースの作成および管理
Oracle Access Manager:管理者 オンプレミスでのユーザー設定の構成および保守
マーチャンダイジング:管理ロール、データベース管理者およびLDAP管理者を含む 小売商品の構成およびセキュリティ設定の変更
Azure AD:コントリビュータまたは特権アカウント以上 Azureサブスクリプションを取得するには:
Azure AD:アプリケーションまたはグローバル管理者 構成を処理し、Azure側で設定します

考慮事項を説明します。