1. 為 Oracle E-Business Suite 設定 Azure AD 與 Oracle Identity Cloud Service 之間的 SSO
  2. 瞭解如何在 Azure AD 與 Oracle Identity Cloud Service 之間設定 SSO

瞭解如何在 Azure AD 與Oracle Identity Cloud Service之間設定 SSO

當您將E-Business Suite 應用程式移至雲端,並透過 Microsoft Azure 提供應用程式存取權時,使用者必須登入 Azure 入口網站,並且重新輸入證明資料以登入E-Business Suite 應用程式。

「聯合 SSO」讓整合無縫,且只允許使用者存取多個應用程式一次,而無需分別登入即可存取每個應用程式。

「識別」聯合可協助企業降低成本,因為您不需要在每個識別管理系統中個別建立及管理使用者帳戶。使用者同步處理可確保將識別傳輸至所有聯合系統。

開始之前

開始執行 Microsoft Azure 中連線至 Oracle Cloud 中某個資料庫的應用程式之前,請先瞭解連線 Oracle Cloud 和 Microsoft Azure 部署之工作負載的網路架構。

請參閱瞭解與 Microsoft Azure 的相互連線 Oracle Cloud

架構

此架構圖涵蓋使用 Oracle 應用程式 (例如E-Business Suite ) 設定 SSO 的樣式,其中Oracle Identity Cloud Service 作為應用程式與 Azure AD 之間的橋接器。此設定可讓使用者在使用 Azure AD 作為識別提供者時,能夠在Oracle Cloud Infrastructure 中代管 Oracle Database。

此圖表顯示E-Business Suite 宣告器和E-Business SuiteOracle Identity Cloud Service的互動方式。「E-Business Suite 宣告器」建置在個別的 Oracle WebLogic Server 執行處理,並且透過OpenID Connect (oid c) 與 Oracle Identity Cloud Service 互動。「E-Business Suite 宣告器」會將使用者的 Web 瀏覽器重導至Oracle Identity Cloud ServiceE-Business Suite

Ebs-arch-diag.png 的描述請參見下方
Ebs-arch-diag.png 圖解描述

認證流程

在 Microsoft Azure 中執行連線至 Oracle Cloud 中資料庫的應用程式時,Azure AD 可以是識別提供者 (IDP) 來保留使用者證明資料。

下列圖表顯示使用者認證流程。Ebs-authon-demand ow.png 的描述如下
Ebs-authTraffic ow.png 圖解描述

使用者可以直接存取E-Business Suite 應用程式,方法是前往E-Business Suite AppsLogin 頁面或 My Apps 入口網站。下列步驟說明不同元件之間的認證流程:

  1. 使用者要求存取 Oracle E-Business Suite 受保護的資源。
  2. Oracle E-Business Suite 會將使用者瀏覽器重導至「E-Business Suite 宣告器」應用程式。
  3. E-Business Suite 宣告器」使用Oracle Identity Cloud Service SDK 來產生授權 URL,然後將瀏覽器重導至Oracle Identity Cloud Service
  4. Oracle Identity Cloud Service 會將使用者重導至 Azure AD。
  5. 使用者提供登入應用程式所需的證明資料。
  6. Azure AD 執行使用者認證之後,會產生 SAML 記號,並透過瀏覽器將它傳送至Oracle Identity Cloud Service
  7. Oracle Identity Cloud Service 會使用認證記號、產生一個 OpenID Connect (oid c) 記號,然後將記號發給「E-Business Suite 宣告器」。
  8. E-Business Suite 宣告器」會建立一個 Oracle E-Business Suite Cookie,然後將使用者瀏覽器重導至 Oracle E-Business Suite
  9. Oracle E-Business Suite 提供使用者要求的受保護資源。

E-Business Suite 宣告器的網路安全和高可用性

若要與 Identity Cloud Service 通訊,請檢查您的「E-Business Suite 宣告器 VM」是否有公用 IP 位址,或是您的宣告器位於公用負載平衡器之後,確定宣告器可以連線Oracle Identity Cloud Service 記號端點。

為了增加安全性,您應該將「E-Business Suite 宣告器」虛擬機器放在 Azure 虛擬網路 (VNet) 內自己的子網路中,並設定網路安全性群組 (NSG) 以控制網路流量。

Ebs-security-toPOogy.png 的描述請參見下方
Ebs-security-toPOogy.png 圖解描述

關於必要的服務、產品以及角色

Oracle Identity Cloud Service 管理員必須能夠存取Oracle Identity Cloud Service 主控台,才能設定和啟用應用程式。

您必須能夠存取下列服務和產品:
  • Oracle Identity Cloud Service
  • Oracle Cloud Infrastructure
  • 完全功能的 Oracle E-Business Suite 執行處理部署於 Microsoft Azure 上
  • Microsoft Azure

這些是每項服務所需的角色。

服務名稱:角色 需要執行...
伺服器管理員 設定E-Business Suite 並變更安全設定值
識別網域管理員:安全管理員 登錄應用程式
Azure contributor 或更高權限的帳戶 取得 Azure 訂閱
應用程式管理員或全域管理員 處理 Azure 端的組態並設定

瞭解如何取得 Oracle Solutions 的 Oracle Cloud 服務,瞭解所需的雲端服務。