1. Impostare SSO tra Azure AD e Oracle Identity Cloud Service per Oracle E-Business Suite
  2. Informazioni sull'impostazione di SSO tra Azure AD e Oracle Identity Cloud Service

Informazioni sull'impostazione di SSO tra Azure AD e Oracle Identity Cloud Service

Quando si sposta l'applicazione E-Business Suite nel cloud e si accede all'applicazione tramite Microsoft Azure, gli utenti devono collegarsi al portale Azure e reimmettere le credenziali per accedere alle applicazioni E-Business Suite.

L'SSO federato rende l'integrazione agevole e consente agli utenti di eseguire l'autenticazione una sola volta per accedere a più applicazioni senza effettuare l'accesso separatamente per accedere a ogni applicazione.

La federazione delle identità consente alle aziende di ridurre i costi, in quanto gli account utente non devono essere creati e gestiti separatamente in ogni sistema di gestione delle identità. Il processo di sincronizzazione dell'utente assicura che le identità vengano propagate a tutti i sistemi federativi.

Prima di iniziare

Prima di iniziare a eseguire un'applicazione in Microsoft Azure connessa a un database in Oracle Cloud, individuare l'architettura di rete per la connessione dei carichi di lavoro distribuiti su Oracle Cloud e Microsoft Azure.

Vedere Informazioni sull'interconnessione di Oracle Cloud con Microsoft Azure.

Architettura

Questo diagramma di architettura descrive un pattern per l'impostazione di SSO con le applicazioni Oracle come E-Business Suite in cui Oracle Identity Cloud Service funge da bridge tra le applicazioni e AD Azure. Questa impostazione abilita gli scenari in cui gli utenti possono ospitare Oracle Database in Oracle Cloud Infrastructure utilizzando Azure AD come proprio provider di identità.

Il diagramma mostra l'interazione di E-Business Suite Asserter e E-Business Suite con Oracle Identity Cloud Service. Lo strumento di asserzione di E-Business Suite viene distribuito in un'istanza Oracle WebLogic Server separata e interagisce con Oracle Identity Cloud Service tramite OpenID Connect (OIDC). Lo strumento di asserzione di E-Business Suite reindirizza il browser Web dell'utente a Oracle Identity Cloud Service e a E-Business Suite.

Segue una descrizione di ebs-arch-diag.png
Descrizione dell'immagine ebs-arch-diag.png

Flusso di autenticazione

Quando si esegue un'applicazione in Microsoft Azure connessa a un database in Oracle Cloud, Azure AD può essere il provider di identità (IDP) per contenere le credenziali utente.

Il diagramma riportato di seguito mostra il flusso di autenticazione dell'utente. Segue la descrizione di ebs-auth-flow.png
Descrizione dell'immagine ebs-auth-flow.png

Un utente accede direttamente all'applicazione E-Business Suite andando alla pagina AppsLogin di E-Business Suite o al portale Applicazioni personali. Nella procedura riportata di seguito viene descritto il flusso di autenticazione tra i vari componenti.

  1. L'utente richiede l'accesso a una risorsa protetta di Oracle E-Business Suite.
  2. Oracle E-Business Suite reindirizza il browser utente all'applicazione dello strumento di asserzione di E-Business Suite.
  3. Lo strumento di asserzione di E-Business Suite utilizza un kit SDK di Oracle Identity Cloud Service per generare l'URL di autorizzazione e quindi reindirizza il browser a Oracle Identity Cloud Service.
  4. Oracle Identity Cloud Service reindirizza l'utente a Azure AD.
  5. L'utente fornisce le credenziali necessarie per collegarsi all'applicazione.
  6. Una volta eseguita l'autenticazione dell'utente, Azure AD genera un token SAML e lo invia a Oracle Identity Cloud Service tramite il browser.
  7. Oracle Identity Cloud Service utilizza il token di autenticazione, genera un token OpenID Connect (OIDC) ed emette il token nello strumento di asserzione E-Business Suite.
  8. Lo strumento di asserzione di E-Business Suite crea un cookie Oracle E-Business Suite e reindirizza il browser utente a Oracle E-Business Suite.
  9. Oracle E-Business Suite presenta la risorsa protetta richiesta dall'utente.

Sicurezza della rete e alta disponibilità dello strumento di asserzione E-Business Suite

Per comunicare con Identity Cloud Service, controllare se la VM dello strumento di asserzione E-Business Suite dispone di un indirizzo IP pubblico o se lo strumento di asserzione è dietro un load balancer pubblico, assicurarsi che lo strumento di asserzione possa raggiungere l'endpoint del token Oracle Identity Cloud Service.

Per aumentare la sicurezza, è necessario collocare la Virtual Machine dello strumento di asserzione E-Business Suite nella propria subnet all'interno di Azure Virtual Network (VNet) e configurare il gruppo di sicurezza della rete (NSG) per controllare il flusso di traffico di rete.

Segue la descrizione dell'immagine ebs-security-topology.png
Descrizione dell'immagine ebs-security-topology.png

Informazioni su servizi, prodotti e ruoli richiesti

Un amministratore di Oracle Identity Cloud Service deve essere in grado di accedere alla console di Oracle Identity Cloud Service per configurare e attivare le applicazioni.

È necessario avere accesso ai servizi e ai prodotti seguenti:
  • Oracle Identity Cloud Service
  • Infrastruttura Oracle Cloud
  • Istanza E-Business Suite Oracle completamente funzionale distribuita su Microsoft Azure
  • Microsoft Azure

Questi sono i ruoli necessari per ogni servizio.

Nome servizio: ruolo Richiesto per...
Amministratore del server Configurare E-Business Suite e modificare le impostazioni di sicurezza
Amministratore del dominio di Identity: amministratore della sicurezza Registrare un'applicazione
Account con privilegi Azure Contributor o superiori Ottieni sottoscrizione a Azure
Amministratore applicazione o amministratore globale Gestione della configurazione e configurazione sul lato Azure

Per ottenere i servizi cloud necessari, vedere Informazioni su come ottenere i servizi Oracle Cloud per le soluzioni Oracle.