1. 在 Azure AD 和 Oracle Identity Cloud Service for Oracle E-Business Suite 之间设置 SSO
  2. 了解如何在 Azure AD 与 Oracle Identity Cloud Service 之间设置 SSO

了解如何在 Azure AD 与Oracle Identity Cloud Service之间设置 SSO

E-Business Suite 应用程序移到云中并提供通过 Microsoft Azure 访问应用程序时,用户必须登录 Azure 门户,同时重新输入身份证明以登录E-Business Suite 应用程序。

联合 SSO 实现了无缝集成,并且允许用户仅通过一次验证来访问多个应用程序,而无需单独登录即可访问每个应用程序。

身份联盟有助于企业减少成本,因为无需在每个身份管理系统中单独创建和管理用户帐户。用户同步过程可确保将身份传播到所有联合系统。

准备工作

开始在连接到 Oracle Cloud 中的数据库的 Microsoft Azure 中运行应用程序之前,请了解用于连接在 Oracle Cloud 和 Microsoft Azure 上部署的工作量的网络体系结构。

请参阅了解有关将 Oracle Cloud 与 Microsoft Azure 进行互连的信息。

体系结构

此体系结构图介绍了一种使用 Oracle 应用程序(例如E-Business Suite)设置 SSO 的模式,Oracle Identity Cloud Service 在应用程序和 Azure AD 之间充当桥。此设置允许用户在使用 Azure AD 作为其身份提供方时,在Oracle Cloud Infrastructure 中托管 Oracle Database 的方案。

此图表显示E-Business Suite 断言者和E-Business Suite 如何与Oracle Identity Cloud Service交互。E-Business Suite 断言者将部署到单独的 Oracle WebLogic Server 实例,并通过 OpenID Connect (OIDC)与Oracle Identity Cloud Service 进行交互。E-Business Suite 断言者将用户的 Web 浏览器重定向到Oracle Identity Cloud ServiceE-Business Suite

后面是 ebs-arch-diag.png 的说明
插图 ebs-arch-diag.png 的说明

验证流

在 Microsoft Azure 中运行连接到 Oracle Cloud 中的数据库的应用程序时,Azure AD 可以成为身份提供方(IDP)以保存用户身份证明。

下图显示了用户验证流。后面是 ebs-auth-flow.png 的说明
插图 ebs-auth-flow.png 的说明

用户直接通过转到E-Business Suite AppsLogin 页或 My Apps 门户来访问E-Business Suite 应用程序。以下步骤说明了不同组件之间的验证流:

  1. 用户请求对受 Oracle E-Business Suite 保护的资源的访问。
  2. Oracle E-Business Suite 将用户浏览器重定向到 E-Business Suite 断言者应用程序。
  3. E-Business Suite 断言者使用Oracle Identity Cloud Service SDK 生成授权 URL,然后将浏览器重定向到Oracle Identity Cloud Service
  4. Oracle Identity Cloud Service 会将用户重定向到 Azure AD。
  5. 用户提供登录应用程序所需的身份证明。
  6. Azure AD 执行用户验证后,它会生成 SAML 标记,并通过浏览器将其发送到Oracle Identity Cloud Service
  7. Oracle Identity Cloud Service 使用验证标记,生成 OpenID Connect (OIDC)标记,并将标记发布到E-Business Suite 断言者。
  8. E-Business Suite 断言者创建 Oracle E-Business Suite cookie 并将用户浏览器重定向到 Oracle E-Business Suite
  9. Oracle E-Business Suite 提供用户请求的受保护资源。

E-Business Suite 断言者的网络安全性和高可用性

要与 Identity Cloud Service 通信,请检查您的E-Business Suite 断言者 VM 是否具有公共 IP 地址或者您的断言者是否位于公共负载平衡器之后,确保断言者可以访问Oracle Identity Cloud Service 标记端点。

为了增加安全性,应将E-Business Suite 断言者虚拟机放置在 Azure 虚拟网络(VNet)中自己的子网中,并配置网络安全组(NSG)来控制网络通信量流。

后面是 ebs-security-topology.png 的说明
插图 ebs-security-topology.png 的说明

关于必需的服务、产品和角色

Oracle Identity Cloud Service 管理员必须能够访问Oracle Identity Cloud Service 控制台来配置和激活应用程序。

您必须有权访问以下服务和产品 :
  • Oracle Identity Cloud Service
  • Oracle Cloud Infrastructure
  • 在 Microsoft Azure 上部署了完全功能的 Oracle E-Business Suite 实例
  • Microsoft Azure

这些是每个服务所需的角色。

服务名 : 角色 必需...
服务器管理员 配置E-Business Suite 并更改安全设置
身份域管理员:安全管理员 注册应用程序
Azure Contributor 或更高版本的授权帐户 获取 Azure 订阅
应用程序管理员或全局管理员 处理 Azure 一端的配置和设置

请参阅了解如何为 Oracle 解决方案获取 Oracle Cloud 服务以获取所需的云服务。