E-Business Suiteアサーション・プロバイダを使用したOCI IAMによるOracle E-Business SuiteのSSOの有効化について学習
ノート:
このドキュメントは、Oracle Cloud Infrastructure (OCI)リージョンがOracle Cloud Infrastructure Identity and Access Management (OCI IAM)アイデンティティ・ドメインを使用するように更新されている場合に使用します。OCIリージョンでOracle Identity Cloud Serviceを使用している場合は、E-Business Suite AsserterによるOracle E-Business Suiteの認証の簡略化を参照してくださいログイン・プロセスのセキュリティを強化するために、サインインおよびアイデンティティ・プロバイダ・ポリシーを設定し、マルチファクタ認証を構成できます。アダプティブ・セキュリティを有効にして、OCI IAMのアプリケーションおよびOracle E-Business Suite全体でユーザーに強力な認証機能およびリスク分析を提供することもできます。
開始する前に
E-Business Suite Asserterの使用を開始する前に、有効化する方法と、他のコンポーネントと連携する方法について説明します。
- Oracle E-Business SuiteがOracle Access Manager、Oracle Internet Directory、E-Business Suite AccessGateと統合されている場合、または他のSSOプロファイルを使用している場合は、OCI IAM E-Business Suite Asserterを使用する前に、これらのコンポーネントとOracle E-Business Suite間の統合を削除してから、サーバーを再起動します。
- サポートされるものを確認します。ブラウザベースのログインを使用するすべてのOracle E-Businessモジュールは、SSO用のE-Business Suite Asserterで動作します。EBS用のモバイル・アプリは、Web ADIのExcelベースのログインをサポートしています。モバイルWebアプリケーション(MWA)や電子署名など、ブラウザベースのログインを使用しないモジュールはサポートされていません。
アーキテクチャ
OCI IAM E-Business Suite Asserterは、別のOracle WebLogic Serverインスタンスにデプロイされます。E-Business Suite Asserterは、OCI IAM REST APIを使用してOCI IAMと対話し、ユーザーのWebブラウザをOCI IAMおよびOracle E-Business Suiteにリダイレクトします。
このアーキテクチャ図は、E-Business Suite Asserter、Oracle E-Business SuiteおよびOCI IAMがどのように対話するかを示しています。
図architecture.pngの説明
次の図は、E-Business Suite Asserterを使用してOracle E-Business SuiteをOCI IAMと統合する場合のログインおよびログアウト・フローを示しています。これらのフロー・ダイアグラムは、Oracle E-Business Suiteからのログインおよびログアウト・プロセスを示していますが、E-Business Suite Asserterアプローチでは、E-Business Suite AsserterおよびOCI IAMが開始するフローもサポートされています。
図login- flow- chart.pngの説明
- ユーザーは、Oracle E-Business Suiteの保護されたリソースへのアクセスをリクエストします。
- Oracle E-Business Suiteにより、ユーザー・ブラウザがE-Business Suite Asserterアプリケーションにリダイレクトされます。
- E-Business Suite Asserterは、OCI IAM SDKを使用して認可URLを生成し、ブラウザをOCI IAMにリダイレクトします。
- OCI IAMは、そのサインイン・ページをユーザーに提供します。
- ユーザーは、資格証明をOCI IAMに送信します。
- OCI IAMは認可コードを発行し、ユーザーのブラウザをE-Business Suite Asserterにリダイレクトします。
- E-Business Suite Asserterは、OCI IAM SDKを使用してOCI IAMと通信し、認可コードをアクセス・トークンに交換します。
- OCI IAMは、アクセス・トークンおよびIDトークンをE-Business Suite Asserterに発行します。
- E-Business Suite Asserterは、Oracle E-Business Suite Cookieを作成し、ユーザーのブラウザをOracle E-Business Suiteにリダイレクトします。
- Oracle E-Business Suiteは、ユーザーがリクエストした保護されたリソースを表示します。
次に説明するログアウト・プロセスは、Oracle E-Business Suiteからログアウトを呼び出すユーザーを指します。ログイン・プロセスがOCI IAMで開始された場合は、ステップ5および6のみが実行されます。
図logout- flow- chart.pngの説明
- ユーザーは、
/ebslogoutURLをリクエストして、Oracle E-Business Suiteからログアウトすることを選択します。 - Oracle E-Business Suiteはユーザーをログアウトし、ユーザーのブラウザをE-Business Suite Asserterアプリケーションにリダイレクトします。
- E-Business Suite Asserterは、OCI IAM SDKを使用してOCI IAMログアウトURLを取得し、ユーザーのブラウザをこのURLにリダイレクトします
- ユーザー・ブラウザは、OCI IAMログアウトURLを起動します。
- OCI IAMによってユーザー・セッションが削除され、ユーザーのブラウザがアプリケーション構成で定義されたE-Business Suite AsserterログアウトURLにリダイレクトされます。
- E-Business Suite Asserterはユーザーをログアウトさせ、ユーザーのブラウザをアプリケーション構成で定義されたログアウト後のリダイレクトURLにリダイレクトします。
必須サービスおよびロールについて
OCI IAM管理者は、OCI IAMコンソールにアクセスし、E-Business Suite Asserterをダウンロードしてアプリケーションを構成およびアクティブ化できる必要があります。
- OCI IAM
- Oracle E-Business Suite
次のロールが必要です:
| ロール | 次が必要です... |
|---|---|
|
OCI IAM: セキュリティ管理者 |
OCI IAMコンソールの「ダウンロード」ページにアクセスします。このページから、OCI IAM E-Business Suite Asserterをダウンロードできます。 |
|
OCI IAM: アプリケーション管理者 |
OCI IAMでアプリケーションを管理します。これには、OCI IAMへのサンプル・モバイル・アプリケーションの登録が含まれます。 |
|
Oracle E-Business Suite: サーバー管理者 |
オペレーティング・システム・ユーザーとして、Oracle E-Business Suiteインストール・フォルダ、E-Business Suite AsserterをデプロイするOracle WebLogic ServerおよびE-Business Suite Asserterマシンにアクセスします。 |