Azure AD와 Oracle Access Manager for Oracle E-Business Suite 간에 SSO 설정 정보
고객이 Microsoft Azure에서 Oracle E-Business Suite와 같은 Oracle 애플리케이션을 실행하지만 서비스 제공자로 온프레미스 Oracle Access Manager를 사용하려면 Azure AD와 온프레미스 OAM 사이에 통합 SSO가 필요합니다.
다른 클라우드 애플리케이션과 작업할 때 클라우드 내에서 논리적으로 가장 강력한 통합 지원을 제공하므로 이상적인 솔루션은 필요한 통합 SSO 아키텍처를 제공하도록 SAML 2.0을 구성하는 것입니다.
시작하기 전에
구조
이 솔루션은 Oracle Access Manager와 E-Business Suite 간에 이미 문서화된 온프레미스 통합에 대한 하이브리드 접근 방식의 아키텍처를 제공합니다.
- Azure에 Oracle E-Business Suite를 배치합니다.
- Azure Active Directory(Azure AD)를 통합 ID 제공자(IDP)로 사용하여 사용자를 E-Business Suite에 인증합니다.
- Oracle Access Manager는 백엔드 LDAP 서버(Oracle Unified Directory 또는 Oracle Internet Directory)를 사용하여 온프레미스에서 SP(서비스 제공자)로 실행됩니다.
그림 ebiz-architecture.png에 대한 설명
이러한 접근 방식을 통해 일부 인프라를 클라우드로 이전하는 데 한 걸음 더 가까이 다가갈 수 있습니다. E-Business Suite, Oracle Access Manager, Oracle Unified Directory, Oracle Internet Directory 등으로만 전환할 필요는 없습니다.
이 아키텍처의 또 다른 핵심은 사용자 계정을 프로비저닝하는 것입니다. 이 백서에서는 Azure AD가 사용자 계정의 신뢰 소스라고 가정합니다. 즉, Oracle Directory Integration Platform 동기화와 같은 프로비전 방법 또는 Microsoft Identity Manager 또는 Oracle Identity Manager와 같은 ID 관리 툴을 사용하여 사용자 계정을 Oracle Access Manager LDAP 서버(Oracle Unified Directory 또는 Oracle Internet Directory)로 프로비전해야 합니다. 그런 다음 양방향 동기화 서비스로 사용되는 Oracle Directory Integration Platform은 해당 계정을 E-Business Suite 데이터베이스로 동기화할 수 있습니다. SSO에 중요한 특정 주요 속성은 이 백서 뒷부분에서 다룹니다.
구성요소 이해
위 그림과 같이 이 하이브리드 아키텍처의 구성 요소는 다음 표에 설명되어 있습니다.
| 데이터 센터 | 구성요소 |
|---|---|
| Azure |
|
| Oracle Cloud Infrastructure | Oracle E-Business Suite Database 12.2 이상 |
| 고객 온프레미스 |
|
프로비저닝(Provisioning) 및 통합 흐름 이해
위 다이어그램은 이 구조에 대해 정의된 통합 프로비저닝 및 페더레이션 플로우를 보여줍니다.
이 프로비저닝 흐름(트랜잭션 1-3에서 아래 설명됨)은 사용자 계정이 Azure AD에서 생성되고, Oracle Access Manager LDAP 서버에 프로비저닝되고, Oracle Directory Integration Platform을 사용하여 E-Business Suite 데이터베이스에 동기화되는 방법의 한 가지 예를 보여줍니다. 통합 흐름은 트랜잭션 4-10에 설명되어 있습니다. 추가 페더레이션 플로우 세부정보는 Understand the Azure AD and E-Business Suite Federation Flow에 설명되어 있습니다.
- UPN(사용자 주체 이름)을 포함하는 초기 사용자 계정은 Azure AD에서 Oracle Access Manager LDAP 서버(Oracle Unified Directory 또는 Oracle Internet Directory)로 프로비전됩니다. 이 프로비저닝은 Oracle Directory Integration Platform의 책임은 아니지만 대신 이 플레이북 범위 밖의 프로비저닝 유형에 의해 수행됩니다.
- Oracle Directory Integration Platform은 Oracle Unified Directory 변경 로그를 수신하고 사용자 계정을 E-Business Suite 데이터베이스에 프로비전합니다.
- Oracle Directory Integration Platform은 USER_NAME에 uid를 매핑하고 USER_GUID에 orclguid를 E-Business Suite 데이터베이스에 매핑하여 사용자 계정을 프로비저닝합니다.
- 사용자가 E-Business Suite 액세스를 요청하고 WebGate가 OAMAuthCookie 토큰을 확인합니다.
- WebGate는 사용자에게 OAMAuthCookie 토큰이 없는지 확인하므로 Oracle Access Manager에서 작업 과정을 확인합니다.
- Oracle Access Manager는 통합 인증을 위해 사용자를 Azure AD로 리디렉션하도록 WebGate에 지시하고, Azure AD는 사용자에게 로그인을 요구합니다.
- Azure AD는 사용자의 인증서를 검증한 다음 메일 속성을 사용자 매핑으로 사용하여 Oracle Access Manager에 SAML 2.0 검증을 전송합니다.
- Oracle Access Manager는 SAML 2.0 검증을 수락하고 UPN을 사용하여 Oracle Unified Directory에서 일치하는 사용자를 반환합니다. 응답에서 Oracle Unified Directory의 USER_NAME(uid) 및 USER_ORCLGUID(orclguid)를 정책에 정의된 헤더에 제공합니다.
- WebGate는 사용자를 E-Business Suite로 재지정하고 USER_NAME 및 USER_ORCLGUID를 헤더로 AccessGate로 전송합니다.
- AccessGate는 E-Business Suite 데이터베이스에서 USER_NAME 및 USER_ORCLGUID를 조회하여 사용자가 있는지 확인합니다. 성공하면 자체 세션을 설정하고 E-Business Suite 포털 페이지를 사용자에게 다시 반환합니다.
필수 서비스 및 역할 정보
이 솔루션을 사용하려면 해당 서비스 내의 특정 서비스와 역할의 조합이 필요합니다.
- Oracle Cloud Infrastructure
- Oracle Access Manager
- 완벽하게 작동하는 Oracle E-Business Suite 인스턴스가 Azure에 배포됨
- Microsoft Azure 광고
| 서비스 이름: 역할 | 필요 대상... |
|---|---|
| Oracle Cloud Infrastructure: 관리자 | ID 리소스 생성 및 관리 |
| Oracle Access Manager: 관리자 | 온-프레미스(On-Premise) 유저 설정 구성 및 유지 관리 |
| E-Business Suite: 데이터베이스 관리자 및 LDAP 관리자를 포함하는 관리 역할 | E-Business Suite 구성 및 보안 설정 변경 |
| Azure AD: Azure AD 공헌자 이상 권한 있는 계정 | Azure 구독을 얻으려면 |
| Azure AD: Azure 애플리케이션 또는 글로벌 관리자 | Azure 측에서 구성 처리 및 설정 |