Azure AD 와 Identity Cloud Service 간 통합 보안 설정

통합 트러스트를 설정하려면 Azure AD 테넌트에서 Oracle Identity Cloud Service 를 갤러리 애플리케이션으로 추가해야 합니다. 애플리케이션이 테넌트에 추가된 후 Azure AD 을 Oracle Identity Cloud Service 에 ID 제공자 (IDP) 로 추가한 다음 Azure AD 에서 Single Sign-On을 구성합니다.

시작하기 전에

Azure AD 와 Oracle Identity Cloud Service 간의 통합 트러스트를 설정하기 전에 다음을 준비합니다.

Contributor에 Azure 가 설치되어 있거나 더 높은 권한 있는 계정이 있어야 합니다. 또한 Azure 플랫폼 사용 시 실습 경험이 있어야 합니다. 이 솔루션은 Vm 및 애플리케이션을 생성하고 실행하는 데 필요한 Azure IaaS 및 보안 최적의 방법을 다루지 않습니다.
Azure AD 가입을 가져오고 Azure AD 포털에서 애플리케이션 관리자 또는 전역 관리자 롤을 가진 사용자를 생성합니다.
Azure 에서 보안 그룹을 생성하고 여기에 사용자를 추가하는 방법을 알고 있어야 합니다.
SSO가 작동하려면 Azure AD 와 E-Business Suite 애플리케이션 간의 사용자 동기화가 필요 조건입니다. 또한 Oracle Identity Cloud Service 기능을 사용하여 Azure AD 와 Oracle Identity Cloud Service 간에 사용자를 동기화할 수 있습니다. 세 시스템 중 하나 이상의 속성이 일치해야 합니다. 예를 들어, Azure AD 의 사용자 주체 이름 (UPN 또는 기타 고유 속성) 은 Oracle Identity Cloud Service 의 사용자 이름 또는 다른 모든 속성과 일치해야 하며, 해당 속성도 E-Business Suite 애플리케이션 사용자 이름과 일치해야 합니다.

Azure AD 에서 Oracle Identity Cloud Service 를 갤러리 애플리케이션으로 추가

Azure AD 에서 갤러리 애플리케이션으로 추가하려면 Oracle Identity Cloud Service 테넌시에 대한 관리자 인증서가 필요합니다.

나중에 단계에서 메타데이터 파일이 필요합니다. 따라서 Oracle Identity Cloud Service 테넌시 관련 메타데이터 URL로 이동하여 메타데이터를 다운로드합니다. URL은 https://<your_tenancy>.identity.oraclecloud.com/fed/v1/metadata 와 유사합니다.

Azure 포털의 왼쪽 탐색 창에서 Azure Active Directory 를 선택합니다.
Azure Active Directory 에서 엔터프라이즈 응용 프로그램을 선택합니다.
새 애플리케이션 을 선택합니다.
갤러리에서 추가 로 이동하고 검색 상자에 "Oracle Identity Cloud Service for E-Business Suite" 를 입력합니다. 검색 결과에서 일치하는 애플리케이션을 선택하고 애플리케이션을 추가합니다.
단일 사인온을 구성할 애플리케이션을 선택하고 관리 에서 왼쪽 창의 단일 사인온으로 이동합니다.
Single Sign-On 메소드로 SAML을 선택합니다.
SAML을 사용하여 Single Sign-On 설정 - 미리보기 페이지에서 [기본 SAML 구성 ] 섹션으로 이동하고 메타 데이터 파일 업로드 를 누릅니다.
이전에 다운로드한 Oracle Identity Cloud Service 메타 데이터 파일을 선택한 다음 추가 를 누릅니다.
사인온 URL 속성 상자에 Oracle Identity Cloud Service myconsole URL을 입력합니다.
SAML 구성을 확인하십시오. Oracle Identity Cloud Service 로그아웃 url이 누락된 경우 추가합니다. 사용자 속성 및 클레임 섹션에서 기본값을 유지합니다.
SAML 서명 인증서 섹션에서 Federation 메타데이터 XML 옆에 있는 다운로드 를 눌러 Azure AD 통합 메타데이터 파일을 다운로드합니다.
이 애플리케이션은 Azure AD 및 Oracle Identity Cloud Service 간 SAML 2.0 통합 링크를 제공하지만, E-Business Suite 애플리케이션 사용자는 [내 앱 ] 포털의 E-Business Suite 애플리케이션만 확인해야 합니다.
내 앱 포털에서 애플리케이션을 숨기려면 사용자에게 표시 여부 속성을 아니오 로 설정합니다.

Oracle Identity Cloud Service 에서 Azure AD 을 id 제공자로 추가

Id 제공자를 추가하면 갤러리 애플리케이션을 추가하는 동안 다운로드한 id 제공자의 메타데이터 콘텐츠를 임포트합니다. 메타데이터 XML 파일 또는 URL을 사용할 수 있는지 확인하십시오.

Oracle Identity Cloud Service 관리 콘솔에 로그인합니다.
보안 으로 이동한 다음 Id 제공자 를 선택하고 id 제공자를 추가합니다.
Id 제공자 추가 마법사에서 이름을 입력하고 다음 을 누릅니다.
갤러리에 애플리케이션을 추가하는 동안 다운로드한 Azure AD Federation 메타데이터 XML 파일을 임포트합니다.
마법사의 [구성 ] 창에서 요청된 NameID 형식 의 기본값을 사용합니다. ID 제공자 사용자 속성의 값은 이름 ID이어야 합니다.
Oracle Identity Cloud Service 사용자 속성의 값을 기본 전자메일 주소 로 설정하거나 Identity Cloud Service 의 다른 속성 (Azure AD 의 사용자 주체 이름을 보유할 수 있음) 으로 설정합니다.
IDP 정책을 설정하고 이전에 생성된 Webgate-App를 추가하여 인증에 Azure AD 를 사용합니다.
1. 탐색 창에서 보안 을 누른 다음 IDP 정책 을 눌러 추가합니다.
2. 마법사에서 정책의 이름을 입력하고 다음 을 누릅니다.
3. 지정 을 누르고 목록에서 Azure AD IDP 를 선택한 다음 마법사를 종료합니다. 이 IDP를 사용할 수 있는 애플리케이션을 두 개 이상 지정할 수 있습니다.

Azure AD 에서 Single Sign-On 구성 완료

Single Sign-On 구성을 완료하여 Oracle Cloud Infrastructure 와 Azure AD 간 접속을 설정합니다.

Azure 포털에 사인인합니다.
보안 그룹을 생성하고 이름을 지정합니다. 예: oracle-Users.
Azure Active Directory 로 이동하고 사용자 를 선택한 다음 사용자를 생성하여 테스트 사용자를 생성합니다.
보안 그룹에 사용자를 추가합니다.
Oracle Identity Cloud Service SSO 애플리케이션에 그룹을 지정합니다. 예를 들어, Oracle 사용자 그룹은 Oracle Identity Cloud Service. 를 통해 E-Business Suite 응용 프로그램에 액세스할 수 있는 모든 사용자를 포함합니다.
Oracle Identity Cloud Service 관리 콘솔을 엽니다.
테스트를 위해 Oracle Identity Cloud Service 에서 사용자를 수동으로 생성하거나 Oracle Identity Cloud Service 에서 Azure AD 사용자를 동기화할 수 있습니다. Azure AD 의 사용자 이름이 Oracle Identity Cloud Service 의 사용자 기본 전자메일 주소 (또는 일부 다른 속성) 와 일치하도록 사용자를 생성하거나 동기화해야 합니다. 예를 들어, joe.smith@example.com 은 Azure AD 사용자 주체 이름과 Oracle Identity Cloud Service 기본 전자메일 주소입니다.
Azure AD 에서 IDCS-SSO 엔터프라이즈 애플리케이션으로 이동하고 테스트 계정을 사용하여 단일 사인온을 테스트합니다.