1. Azure ADとOracle Identity Cloud Service for Oracle E-Business Suiteの間のSSOの設定
  2. Azure ADとOracle Identity Cloud Serviceの間のSSOの設定について

Azure ADとOracle Identity Cloud Serviceの間のSSOの設定について

E-Business Suiteアプリケーションをクラウドに移動し、Microsoft Azureを介してアプリケーションへのアクセス権を提供する場合、ユーザーはAzureポータルにサインインし、E-Business Suiteアプリケーションにサインインするために資格証明を再入力する必要があります。

フェデレーテッドSSOにより統合がシームレスに行われ、ユーザーは1回のみ認証して複数のアプリケーションにアクセスできます。ただし、各アプリケーションに別々にサインインする必要はありません。

Identity Federationを使用すると、企業はコストを削減できます。これは、各アイデンティティ管理システムでユーザー・アカウントを個別に作成して管理する必要がないためです。ユーザー同期化プロセスにより、Idがすべてのフェデレーテッド・システムに伝播されます。

始める前に

Oracle Cloudでデータベースに接続しているMicrosoft Azureでアプリケーションの実行を開始する前に、Oracle CloudおよびMicrosoft Azureにデプロイされているワークロードに接続するネットワーク・アーキテクチャを理解します。

Microsoft Azureを使用したOracle Cloudのインターコネクトについてを参照してください

アーキテクチャ

このアーキテクチャ・ダイアグラムは、Oracle Identity Cloud ServiceがアプリケーションとAzure ADの間のブリッジとして機能する、E - Business Suite などのOracle アプリケーションでSSOを設定するためのパターンをカバーしています。この設定では、Azure ADをアイデンティティ・プロバイダとして使用しながら、ユーザーがOracle Cloud InfrastructureでOracle Databaseをホストできるシナリオを有効にします。

この図は、E-Business Suiteアサーション・プロバイダとE-Business SuiteOracle Identity Cloud Serviceとどのように相互作用するかを示しています。E-Business Suiteアサータは、個別のOracle WebLogic Serverインスタンスにデプロイされ、OpenID Connect (OIDC)を介してOracle Identity Cloud Serviceと対話します。E-Business Suite Asserterは、ユーザーのWebブラウザをOracle Identity Cloud ServiceおよびE-Business Suiteにリダイレクトします。

図- arch-diag.pngの説明が続きます
図ebs-arch-diag.pngの説明

認証フロー

Oracle Cloudのデータベースに接続しているMicrosoft Azureでアプリケーションを実行する場合、Azure ADは、ユーザー資格証明を保持するアイデンティティ・プロバイダ(IDP)にできます。

次の図は、ユーザー認証フローを示しています。Ebs - auth - low.pngの説明が続きます
図ebs-auth - low.pngの説明

ユーザーは、E-Business SuiteのAppsLoginページまたは「自分のアプリケーション」ポータルに移動して、E-Business Suiteアプリケーションに直接アクセスします。次の手順は、各種コンポーネント間の認証フローを示しています。

  1. ユーザーはOracle E-Business Suiteの保護リソースへのアクセスをリクエストします。
  2. Oracle E-Business Suiteにより、ユーザー・ブラウザがE-Business Suiteアサータ・アプリケーションにリダイレクトされます。
  3. E-Business Suiteアサータは、Oracle Identity Cloud Service SDKを使用して認可URLを生成し、ブラウザをOracle Identity Cloud Serviceにリダイレクトします。
  4. Oracle Identity Cloud Serviceは、ユーザーをAzure ADにリダイレクトします。
  5. ユーザーは、アプリケーションへのサインインに必要な資格証明を提供します。
  6. Azure ADがユーザー認証を実行すると、SAMLトークンが生成され、ブラウザ経由でOracle Identity Cloud Serviceに送信されます。
  7. Oracle Identity Cloud Serviceは、認証トークンを消費し、OpenID Connect (OIDC)トークンを生成して、そのトークンをE-Business Suiteアサータに発行します。
  8. E-Business Suiteアサーション・プロバイダは、Oracle E-Business Suite Cookieを作成し、ユーザー・ブラウザをOracle E-Business Suiteにリダイレクトします。
  9. Oracle E-Business Suiteは、ユーザーが要求した保護リソースを提示します。

E-Business Suiteアサーション・プロバイダのネットワーク・セキュリティと高可用性

Identity Cloud Serviceと通信するには、E-Business SuiteアサータVMにパブリックIPアドレスがあるかどうか、またはアサータがパブリック・ロード・バランサの背後にある場合は、アサータがOracle Identity Cloud Serviceトークン・エンドポイントに到達できることを確認してください。

追加されたセキュリティの場合、E-Business Suite Asserter仮想マシンをAzure Virtual Network (VNet)内の独自のサブネットに配置し、ネットワークトラフィック・フローを制御するようにネットワーク・セキュリティ・グループ(NSG)を構成する必要があります。

Ebs-security-topology.pngの説明が続きます
図ebs-security-topology.pngの説明

必要なサービス、製品およびロールについて

Oracle Identity Cloud Service管理者は、Oracle Identity Cloud Serviceコンソールにアクセスしてアプリケーションを構成およびアクティブ化できる必要があります。

次のサービスおよび製品にアクセスできる必要があります。
  • Oracle Identity Cloud Service
  • Oracle Cloud Infrastructure
  • Microsoft Azureにデプロイされている、すべての機能を持つOracleのE-Business Suiteインスタンス
  • Microsoft Azure

各サービスに必要なロールです。

サービス名:ロール 必須対象
サーバー管理者 E-Business Suiteの構成およびセキュリティ設定の変更
アイデンティティ・ドメイン管理者:セキュリティ管理者 アプリケーションの登録
Azureコントリビュータまたは以上の特権アカウント Azureサブスクリプションの取得
アプリケーション管理者またはグローバル管理者 構成を処理し、Azure側で設定します

必要なクラウド・サービスを取得するために、OracleソリューションのOracle Cloudサービスを取得する方法について説明します。