1. Configurar SSO entre Azure AD y Oracle Identity Cloud Service para Oracle E-Business Suite
  2. Información sobre la configuración de SSO entre Azure AD y Oracle Identity Cloud Service

Información sobre la configuración de SSO entre Azure AD y Oracle Identity Cloud Service

Al mover la aplicación de E-Business Suite a la nube y proporcionar acceso a la aplicación a través de Microsoft Azure, los usuarios deben conectarse al portal Azure y volver a introducir las credenciales para conectarse a las aplicaciones de E-Business Suite.

La SSO federada hace que la integración sea perfecta y permite que los usuarios se autentiquen una sola vez para acceder a varias aplicaciones, sin tener que conectarse por separado para acceder a cada aplicación.

La federación de identidad ayuda a las empresas a reducir el costo, ya que las cuentas de usuario no se tienen que crear y gestionar por separado en cada sistema de gestión de identidad. El proceso de sincronización de usuarios garantiza que las identidades se propaguen a todos los sistemas federados.

Antes de Empezar

Antes de empezar a ejecutar una aplicación en Microsoft Azure conectada a una base de datos en Oracle Cloud, comprenda la arquitectura de red para conectar cargas de trabajo desplegadas en Oracle Cloud y Microsoft Azure.

Consulte la sección sobre la interconexión de Oracle Cloud con Microsoft Azure.

Arquitectura

Este diagrama de arquitectura abarca un patrón para configurar SSO con aplicaciones Oracle como E-Business Suite en el que Oracle Identity Cloud Service actúa como un puente entre las aplicaciones y Azure AD. Esta configuración permite casos en los que los usuarios pueden alojar Oracle Database en Oracle Cloud Infrastructure al utilizar Azure AD como proveedor de identidad.

El diagrama muestra cómo interactúa la afirmación de E-Business Suite y E-Business Suite con Oracle Identity Cloud Service. La afirmación de E-Business Suite se despliega en una instancia de Oracle WebLogic Server independiente e interactúa con Oracle Identity Cloud Service mediante OpenID Connect (OIDC). La afirmación de E-Business Suite redirige el explorador web del usuario a Oracle Identity Cloud Service y a E-Business Suite.

A continuación se muestra la descripción de ebs-arch-diag.png
Descripción de la ilustración ebs-arch-diag.png

Flujo de Autenticación

Al ejecutar una aplicación en Microsoft Azure conectada a una base de datos en Oracle Cloud, Azure AD puede ser el proveedor de identidad (IDP) para contener las credenciales del usuario.

En el siguiente diagrama se muestra el flujo de autenticación del usuario. Descripción de ebs-auth-flow.png
Descripción de la ilustración ebs-auth-flow.png

Un usuario accede a la aplicación de E-Business Suite directamente desde la página de E-Business Suite AppsLogin o el portal Mis aplicaciones. En los siguientes pasos se explica el flujo de autenticación entre los diferentes componentes:

  1. El usuario solicita acceso a un recurso protegido de Oracle E-Business Suite.
  2. Oracle E-Business Suite redirige el explorador de usuario a la aplicación de afirmación de E-Business Suite.
  3. La afirmación de E-Business Suite utiliza un SDK de Oracle Identity Cloud Service para generar la dirección URL de autorización y, a continuación, redirige el explorador a Oracle Identity Cloud Service.
  4. Oracle Identity Cloud Service redirige al usuario a Azure AD.
  5. El usuario proporciona las credenciales necesarias para conectarse a la aplicación.
  6. Después de que Azure AD realice la autenticación de usuario, genera un token SAML y lo envía a Oracle Identity Cloud Service a través del explorador.
  7. Oracle Identity Cloud Service consume el token de autenticación, genera un token de OpenID Connect (OIDC) y emite el token a la afirmación de E-Business Suite.
  8. La afirmación de E-Business Suite crea una cookie de Oracle E-Business Suite y redirecciona el explorador de usuario a Oracle E-Business Suite.
  9. Oracle E-Business Suite presenta el recurso protegido solicitado por el usuario.

Seguridad de Red y Alta Disponibilidad de la Afirmación de E-Business Suite

Para comunicarse con Identity Cloud Service, compruebe si la VM de la afirmación de E-Business Suite tiene una dirección IP pública o si la afirmación está detrás de un equilibrador de carga público, asegúrese de que la afirmación puede acceder al punto final del token de Oracle Identity Cloud Service.

Para mayor seguridad, debe colocar la máquina virtual de la afirmación de E-Business Suite en su propia subred dentro de Azure Virtual Network (VNet) y configurar el grupo de seguridad de red (NSG) para controlar el flujo de tráfico de red.

A continuación se muestra la descripción de ebs-security-topology.png
Descripción de la ilustración ebs-security-topology.png

Acerca de los servicios, productos y funciones necesarios

Un administrador de Oracle Identity Cloud Service debe poder acceder a la consola de Oracle Identity Cloud Service para configurar y activar aplicaciones.

Debe tener acceso a los siguientes servicios y productos:
  • Oracle Identity Cloud Service
  • Infraestructura de Nube de Oracle
  • Instancia de E-Business Suite de Oracle totalmente funcional desplegada en Microsoft Azure
  • Microsoft Azure

Estos son los roles necesarios para cada servicio.

Nombre del Servicio: Rol Necesario para...
Administrador del servidor Configurar E-Business Suite y cambiar la configuración de seguridad
Administrador de dominio de identidad: Administrador de seguridad Registrar una aplicación
Contribuyente de Azure o cuenta con privilegios superior Obtener suscripción a Azure
Administrador de la aplicación o Administrador global Configuración de manejador y configuración en el lado de Azure

Consulte más información sobre cómo obtener los servicios de Oracle Cloud para las soluciones de Oracle para obtener los servicios en la nube que necesite.