1. Azure ADとOracle Access Manager for Oracle Retail Merchandising Suiteの間のSSOの設定
  2. Azure ADとOracle Access Manager for Oracle Retail Merchandising Suite間のSSOの構成の準備

Azure ADとOracle Access Manager for Oracle Retail Merchandising Suite間のSSOの構成の準備

このソリューションを試す前に、フェデレーション・フロー、容量、ソフトウェア要件などの重要な概念を理解しておく必要があります。また、Retail Merchandising Suiteコンポーネントをインストールし、ユーザー属性をプロビジョニングして、環境を準備する必要があります。

ライセンスおよびソフトウェア要件

Oracle Retain Merchandising Suiteをインストールする前に、次の点を確認してください。

  • Retail Merchandising Suiteバージョン16.0.2以降用のソフトウェア・ライセンスがあります。

  • ご使用の環境は、ここで説明する容量およびソフトウェア要件を満たしています。
    コンポーネント 要件
    データベース・ソフトウェア Oracle Database Enterprise Edition 12cR1 (12.1.0.2)
    データベース・ハードウェア(Oracle Cloud Infrastructureの場所)

    注意:

    容量計画の完全な演習を実行して、小売企業のワークロードに多くのデータベース容量または記憶域が必要かどうかを確認します。
    		2-node RAC DBシステムまたは小売業者のボリュームに適切なサイズのExadata DBシステム(最小8 VCPUおよび60-GB RAM)
    ミドルウェア・ソフトウェア Oracle Fusion Middleware 12.2.1.3.0
    コンポーネント:
    • FMW 12.2.1.3.0インフラストラクチャ(WLSおよびADFを含む)
    • Oracle Enterprise Manager Fusion Middleware Control 12.2.1.3.0
    • レガシー・レポートのBI Publisher 12.2.1.3.0
    • Oracle Identity Management 11gリリース1 (11.1.1.9)

    Java: JDK 1.8+ 64ビット

    シングル・サインオン(SSO ):)
    • Oracle Web層 (12.2.1.3.0)
    • Oracle Access Manager 11gリリース2 (11.1.2.3) Oracle Access Manager Agent (WebGate) 11gリリース2 (11.1.2.3)
    ミドルウェア・ハードウェアの最小量(Azureの場所)

    注意:

    容量計画の完全な演習を実行して、小売企業のワークロードに多くのデータベース容量または記憶域が必要かどうかを確認します。
    • 4つの2-node Cluster Azureコンピュートおよび300-GB Storage for Retail Merchandising and Retail Integrationアプリケーション
    • BIおよびIDMコンポーネント用の4つの2-node Cluster Azure Compute and 300-GB Storage
    • 1つのVS AzureのSFTPサーバーの計算

フェデレーション・フローの理解

このシナリオでは、ユーザーは、Azure ADに格納されている資格証明を使用してRetail Merchandisingアプリケーションにアクセスします。このアクセスは、SAML 2.0プロトコルによるフェデレーテッド認証設定によって実現されます。この設定では、Azure ADはアイデンティティ・プロバイダ(IDP)です。Oracle Access Managerは、SSOのRetail Merchandising Suiteの前にデプロイされるため、フェデレーション機能を提供するコンポーネントでもあります。
Merch-federation-flow.pngの説明が続きます
図merch-federation-flow.pngの説明

プライマリのユースケースは、Retail Merchandising Suiteエンドポイントへのアクセス時に開始されるフェデレーション・フローです。前述の図に示すように、Oracle Access Managerサーバー(OAMサーバー)はRetail Merchandisingへのアクセスを検出し、認証リクエスト(SAMLRequest)を作成して、ブラウザをAzure ADに認証のためにリダイレクトします。Azure ADは、ユーザーに資格証明についてチャレンジし、それを検証し、受信した認証リクエストに対するレスポンスとしてSAMLResponseを作成し、Oracle Access Managerに送信します。次に、Oracle Access Managerでアサーションが検証され、アサーションに埋め込まれているユーザー識別情報がアサートされて、保護されたリソースへのアクセスが許可されます。

コンポーネントのインストール

Retail Merchandising Suiteは、Oracle Access ManagerとAzure AD for Retail Merchandisingを統合する前に、別々にインストールする必要がある4つのコンポーネントで構成されています。

インストールする必要があるコンポーネントは次のとおりです。
  • MerchandisingおよびRetail Integrationデータベース

    インストールするRetail MerchandisingおよびRetail Integrationアプリケーションは、Oracle Cloud Infrastructureの12.1.0.2 RACデータベースに対して検証されています。

  • MerchandisingおよびRetail Integrationアプリケーション
    Retail Merchandising Systemは、Azure内のWebLogicクラスタにデプロイされます。ロード・バランサからのリクエストは、クラスタ化された各ノードでホストされるOracle HTTP Webサーバーを通過し、アクティブ-アクティブ水平WebLogicクラスタにプロキシされます。

    注意:

    インストール・プロセスを開始する前に、すべてのミドルウェア・ソフトウェアがAzureの必須としてインストールされていることを確認します。

Merchandisingデータベースをインストールする

Merchandisingリリースには、Merchandisingアプリケーションのデータベース・オブジェクトをインストールするために使用されるインストーラ・パッケージが含まれています。

Merchandisingデータベースをインストールするには:

  1. rms16installer.zipファイルをステージング・ディレクトリに抽出し、必要なMerchandising表領域およびスキーマが作成されていることを確認します。
  2. Merchandisingデータベースをサイレント・モードでインストールするには、共有NFSがクラスタ・ノードにマウントされていることを確認します。
  3. ant.install.propertiesファイルに使用する必要があるすべての別名を含むウォレットをRETAIL_HOMEパスに作成します。
  4. Oracle環境変数(ORACLE_HOME、ORACLE_SID、PATHなど)をエクスポートします。
  5. install.shスクリプトを実行してインストーラをサイレント・モードで起動します。次に例を示します。
    ./install.sh silent

Merchandisingデータベースをインストールする

Retail Integration Busアプリケーションをインストールし、必要な権限を付与するために必要なユーザー・スキーマを作成します。

Merchandisingアプリケーションのインストール

まず、Merchandisingアプリケーションをインストールします。

Merchandisingアプリケーションをインストールするには:

  1. MerchandisingおよびRetail IntegrationアプリケーションごとにWebLogicドメインを作成し、安全な通信のためにSSL証明書を構成します。WebLogicドメインでOracle Internet Directoryプロバイダを構成し、アプリケーション・リクエストを認証するために必要なLDIFファイルをロードします。
  2. シングル・サインオン認証のために、Oracle HTTPサーバーを使用してOracle Access Managerを構成します。
  3. クラスタ・ノード間でマウントされた共有NFS上のそれぞれのアプリケーション・ステージング・ディレクトリに、MerchandisingおよびRetail Integrationアプリケーションごとにインストーラzipファイルを抽出します。
  4. Ant.install.propertiesファイルで使用するために必要なすべての別名を持つウォレットを、各アプリケーションのRETAIL_HOMEパスに作成します。
  5. 環境変数(J2EE_ORACLE_HOME、J2EE_DOMAIN_HOME、JAVA_HOMEなど)を設定します。
  6. install.shスクリプトを実行して、アプリケーションのインストーラをサイレント・モードで起動します。
  7. アプリケーションのSSO urlが、セキュアな通信を介してロード・バランサのIPアドレスを介してアクセス可能であることを確認します。

小売統合アプリケーションのインストール

Retail Integrationアプリケーションは、Azure内のWebLogicサーバーにデプロイされます。

小売統合アプリケーションをインストールする手順は、次のとおりです。

  1. ファイル・システム上のステージング・ディレクトリにRetail Integrationアプリケーションを抽出します。
  2. Confディレクトリにあるプロパティ・ファイルを、適切な環境情報で変更します。
  3. Binディレクトリで使用可能なシェル・スクリプトを使用して、セキュリティ・ウォレットをコンパイルおよび設定します。
  4. 各WebLogicサーバーに、小売統合アプリケーション(RIB、RSB、JMS、IGS、RSEおよびRIHA)をデプロイします。
  5. WebLogicドメインでOracle Internet Directoryプロバイダを構成し、アプリケーション・リクエストの認証に必要なLDIFファイルをロードします。
  6. アプリケーションのSSO urlが、セキュアな通信を介してロード・バランサのIPアドレスを介してアクセスできることを確認します。

クリティカル・ユーザー属性のプロビジョニング

Azure ADのベスト・プラクティスに続いて、ユーザー・プリンシパル名(UPN)がフェデレーテッド・ユーザー・マッピング属性値として使用されます。UPNは、Oracle Access Managerでユーザー・アカウントにサインオンして照合するための、信頼性の高い一意の値を提供します。

少なくとも、次の属性をプロビジョニングする必要があります。パスワードをプロビジョニングする必要はありません。
Azure属性 LDAP属性
userPrincipalName メール test.user1@example.co
samAccountName uid test.user1@example.com
displayName cn User1のテスト
givenName givenName テスト
sn sn User1