Observação:

• Este tutorial requer acesso ao Oracle Cloud. Para se inscrever e obter uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
• Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Configurar autenticação integrada para aplicativos PeopleSoft usando Domínios de Identidade do OCI IAM

Introdução

Os Domínios de Identidade do Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) são uma solução abrangente de identidade como serviço (IDaaS) que pode ser usada para tratar uma variedade de casos de uso e cenários do IAM. O OCI IAM pode ser usado para gerenciar o acesso para usuários em vários aplicativos na nuvem e locais, permitindo autenticação segura, gerenciamento fácil de direitos e SSO integrado para usuários finais. Você também pode configurar um domínio de identidades para permitir o acesso à cadeia de suprimentos ou sistemas de pedidos para parceiros de negócios. Como alternativa, você também pode usar domínios de identidade para ativar o IAM para aplicativos voltados para o consumidor e permitir que os usuários do consumidor executem autorregistro, logon social e/ou consentimento de termos de uso.

Se você precisar fornecer uma experiência de acesso perfeita entre seu aplicativo Oracle PeopleSoft (local ou no OCI), use Domínios de Identidade do OCI IAM para ativar o sign-on único. Os Domínios de Identidade do OCI IAM têm um recurso chamado Gateway de Aplicativo, que é um appliance de software baseado em Nginx implantado em uma configuração de proxy. Para aumentar a segurança, você pode aproveitar a segurança Adaptável nas políticas de sign-on para impor o acesso de permissão ou recusa ou para aumentar a autenticação para um mecanismo de MFA mais restrito.

Público-alvo

Este tutorial se destina a Administradores do OCI IAM. Presume-se a familiaridade com computação, rede e armazenamento em um ambiente virtual, incluindo conceitos do IAM. O conhecimento do OCI IAM é necessário.

Objetivo

Configure a autenticação perfeita para aplicativos PeopleSoft usando Domínios de Identidade do OCI IAM.

Pré-requisitos

• A tenancy dos Domínios de Identidade do OCI IAM com a licença Oracle Apps Premium é necessária para usar o recurso Gateway de Aplicativo.
• Um usuário com a atribuição de administrador de Domínio de Identidades ou de Segurança é necessário nos domínios para fazer download do arquivo do Gateway de Aplicativos e registrar um aplicativo confidencial.
• Um Aplicativo HCM PeopleSoft totalmente funcional.

Arquitetura

Este diagrama de arquitetura mostra o fluxo entre o Domínio de Identidades do OCI IAM, o Gateway de Aplicativos e o aplicativo Oracle PeopleSoft.

O Gateway de Aplicativo age como proxy reverso. Ele intercepta todas as solicitações HTTP para a interface do usuário Web PeopleSoft e garante que o usuário esteja conectado e autorizado a acessar o aplicativo. O Domínio de Identidades do OCI IAM trata a autenticação do aplicativo PeopleSoft.

Observação: o Gateway de Aplicativo é implantado na mesma infraestrutura de rede do aplicativo Oracle PeopleSoft. Esses dois componentes devem ter visibilidade de rede entre si. Somente o acesso a recursos HTTP (principalmente UI da Web) é protegido pelo Gateway de Aplicativo.

As seguintes etapas explicam o fluxo de autenticação entre os diferentes componentes:

1. Em um web browser, um usuário solicita acesso ao aplicativo PeopleSoft por meio de um URL exposto pelo Gateway de Aplicativo.
2. O Gateway de Aplicativo intercepta a solicitação, verifica se o usuário não acessou anteriormente e redireciona o browser para o Domínio de Identidades do OCI IAM.
3. O Domínio de Identidades do OCI IAM apresenta a página de acesso.
4. O usuário fornece as credenciais necessárias para acessar o Domínio de Identidades.
5. Após a autenticação bem-sucedida, o OCI IAM Identity Domain cria uma sessão para o usuário e emite um token SAML (Security Assertion Markup Language) para o App Gateway.
6. O Gateway de Aplicativo recebe o token SAML, identifica o usuário, adiciona variáveis de cabeçalho na solicitação e encaminha a solicitação ao aplicativo PeopleSoft.
7. O aplicativo PeopleSoft recebe as variáveis de cabeçalho, identifica o usuário e inicia a sessão do usuário PeopleSoft.

Tarefa 1: Configurar o Servidor do Gateway do Aplicativo

O gateway de aplicativo do appliance de software, é baixado da console do Domínio de Identidades do OCI IAM em um arquivo compactado (.zip). Este arquivo contém um arquivo do Open Virtual Appliance (.ova) que precisa ser usado para instalar o servidor do Gateway de Aplicativo.

O servidor do App Gateway pode ser facilmente instalado em uma instância de computação no OCI ou em uma máquina virtual hospedada em seu ambiente de rede ou em um Oracle VM Virtual Box Manager em execução na sua máquina local, usando as etapas mencionadas neste documento.

Observação: O gateway de aplicativo também pode ser implantado com o Docker. Este documento fala sobre como criar e executar o contêiner Docker do App Gateway.

Tarefa 2: Criar um aplicativo Empresarial nos Domínios de Identidade do OCI IAM para o Aplicativo PeopleSoft

Nas etapas a seguir, criaremos um aplicativo empresarial no OCI IAM para o aplicativo PeopleSoft, usando os URLs expostos pelo Gateway de Aplicativo.

1. Faça log-in na tenancy do OCI e navegue até o respectivo Domínio de Identidades.

2. Clique em Aplicativos, vá para a guia Adicionar aplicativo e selecione Aplicativo Empresarial para Iniciar workflow.

   

3. Forneça um Nome para o aplicativo e o URL do Aplicativo.

   

   Observação:

   • O URL do Aplicativo é exposto pelo Gateway de Aplicativo e, portanto, o endereço IP e a porta são do servidor do Gateway de Aplicativo.
   • Este tutorial usa o aplicativo ERP PeopleSoft e, portanto, o ponto final /psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?.
   • Para PeopleSoft HCM, use /psc/peoplesoft01_22/EMPLOYEE/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?.

4. Selecione Exibir em Meus Aplicativos para exibir o aplicativo na página Meus Aplicativos dos usuários atribuídos. Selecione Os usuários devem receber esse aplicativo se você quiser permitir que apenas os usuários designados acessem o aplicativo.

   

5. Selecione Ignorar para mais tarde na seção Configurar OAuth.

   

6. Na seção Configurar sign-on único, clique em Adicionar recurso para adicionar os recursos a seguir.

   

   

7. Depois que os recursos forem adicionados, crie uma política de autenticação para cada recurso clicando em Adicionar recurso gerenciado e selecionando o Método de autenticação como Token de Formato ou Acesso.

   • Adicione o nome e o valor dos Cabeçalhos mencionados.

   • Certifique-se de que as opções Require secure cookies e Add managed resources estejam ativadas.

     

     

     Observação: A política de autenticação define qual método de autenticação deve ser usado para proteger seus recursos de aplicativos empresariais e se o App Gateway adicionará variáveis de cabeçalho à solicitação que ele encaminhará ao aplicativo.

8. Ative o aplicativo depois que a configuração for concluída e, em seguida, atribua-o ao users ou groups apropriado.

   

Tarefa 3: Registrar o servidor do Gateway de Aplicativo em Domínios de Identidade do OCI IAM

Antes de configurar o Gateway de Aplicativo, devemos registrar o servidor do Gateway de Aplicativo implantado em Domínios de Identidades. Adicionaremos o host e associaremos o host ao aplicativo empresarial PeopleSoft nos Domínios, que o Gateway de Aplicativo protegerá.

1. Na console de Domínios de Identidade do OCI, clique em Segurança, clique em Gateways de Aplicativo e, em seguida, clique em Criar Gateway de Aplicativo.

   

2. Especifique o Nome do Gateway de Aplicativo e clique em Próximo.

   

3. No painel Adicionar Hosts, clique em Adicionar host.

   • Na caixa de diálogo Adicionar Host, forneça um nome no campo Identificador de Host.

   • Informe os valores de Host e Porta que o servidor do Gateway de Aplicativo responderá às solicitações HTTP.

   • Ative o Gateway de Aplicativo para fazer listening de solicitações HTTP no modo seguro (HTTPS), marcando a caixa de seleção SSL Ativado e clique em Adicionar host.

     

     Observação: A área de texto Propriedades Adicionais precisa ser especificada com o par de chaves de certificado que o servidor do Gateway de Aplicativo usará, protocolos e cifras para SSL. O /etc/ssl/private/server.crt é o caminho completo de um arquivo de certificado no servidor do Gateway de Aplicativo. O /etc/ssl/private/server.key é a chave secreta desse arquivo de certificado. Devemos fazer upload dos dois arquivos para o servidor do Gateway de Aplicativo depois de instalarmos o arquivo binário do Gateway de Aplicativo.

     ssl_certificate /scratch/oracle/cloudgate/home/bin/server.crt;
     ssl_certificate_key /scratch/oracle/cloudgate/home/bin/server.key;
     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
     ssl_ciphers HIGH:!aNULL:!MD5;
     

4. Na guia Adicionar Aplicativos, clique em Adicionar Aplicativo. Selecione o aplicativo empresarial a ser protegido e selecione o host adicionado anteriormente. No campo Prefixo do Recurso, use /e especifique o URL base do aplicativo PeopleSoft no Servidor de Origem.

   

   Observação: / em Prefixo do Recurso indica que cada caminho raiz do aftere da solicitação será encaminhado para o aplicativo empresarial selecionado. Se o aplicativo não estiver diretamente acessível, mas estiver acessível por meio de um proxy da Web, informe o URL do proxy da Web no campo Servidor de Origem.

5. Clique em Ativar gateway de aplicativo e anote o ID do Cliente e o Segredo do Cliente que serão usados para configurar o gateway de Aplicativo.

   

Tarefa 4: Configurar o Gateway de Aplicativo

Depois que o servidor do gateway de Aplicativo estiver pronto, ele poderá ser facilmente acessado usando as credenciais padrão via cliente SSH.

Localhost login: oracle
Password: cloudgateR0X!

Observação: Você deve alterar a senha provisionada no primeiro log-in.

Depois de fazer log-in no servidor do gateway de Aplicativo, execute as seguintes etapas:

1. Execute o comando sudo yum updateinfo list security all e forneça a senha sudo. Esse comando lista o errata de segurança do seu servidor Oracle Linux do Gateway de Aplicativo. Para atualizar todos os pacotes cujos errata relacionados à segurança estão disponíveis para as versões mais recentes dos pacotes, digite sudo yum --security update.

   

2. Execute o comando telnet <idcs-tenant>.identity.oraclecloud.com para confirmar se o servidor do Gateway de Aplicativo pode acessar a instância do Domínio de Identidades do OCI IAM. Se telnet não estiver instalado, instale-o usando o comando sudo yum install telnet-server telnet e tente novamente.

   

3. Gere um CSR e assine-o por uma CA para configurar o gateway de Aplicativo no modo SSL. Para fins de teste ou POC, é possível usar certificados autoassinados. Veja a seguir as etapas para gerar uma.

   openssl genrsa -aes128 -out server.key 2048
   openssl rsa -in server.key -out server.key
   openssl req -new -days 3650 -key server.key -out server.csr
   openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 3650
   

   

4. Reinicie o servidor do Gateway de Aplicativo após aplicar as atualizações.

5. Execute o comando nslookup <your_identity_cloud_service_domain>, copie o Endereço IP do Servidor e atualize a entrada do resolvedor no arquivo /usr/local/nginx/conf/nginx-cg-sub.conf.

   

6. Navegue até a pasta /scratch/oracle/cloudgate/ova/bin/setup e edite o arquivo cloudgate-env para incluir os seguintes parâmetros.

   a. IDCS_INSTANCE_URL: O URL do URL dos Domínios de Identidade do OCI IAM.

   b. CG_APP_TENANT: O nome do tenant da instância do Domínio de Identidade. Por exemplo, idcs-123456789.

   c. CG_APP_NAME: O valor do ID do cliente que coletamos durante o registro do servidor do Gateway de Aplicativos nos Domínios de Identidade do OCI IAM.

   d. CG_APP_SECRET: O valor secreto do cliente que coletamos durante o registro do servidor do App Gateway nos Domínios de Identidade do OCI IAM.

   e. CG_CALLBACK_PREFIX: Se o Gateway de Aplicativo estiver configurado no modo SSL (HTTPS), defina o valor como https://%hostid%. Caso contrário, use http://%hostid% como o valor desse parâmetro.

   

7. Navegue até a pasta /scratch/oracle/cloudgate/ova/bin/setup e execute o comando ./setup-cloudgate. Quando solicitado, digite y para prosseguir com a configuração. Verifique e verifique todos os parâmetros usados para a configuração do Cloud Gate.

   

Observação: Os problemas comuns que você pode encontrar ao configurar o Gateway de Aplicativo podem ser facilmente resolvidos consultando esse documento.

Tarefa 5: Configuração do aplicativo Oracle PeopleSoft

Faça log-in na console PeopleSoft usando credenciais de administração e execute as etapas mencionadas no documento para configurar o aplicativo PeopleSoft para SSO.

Tarefa 6: Testar o acesso ao aplicativo PeopleSoft

Depois de configurar o servidor do Gateway de Aplicativo para se comunicar com seus Domínios de Identidade do OCI IAM e iniciar o servidor, teste o acesso ao seu aplicativo empresarial. Como o Gateway de Aplicativo aproxime seu aplicativo PeopleSoft, use o URL base do Gateway de Aplicativo para acessar o aplicativo em vez do URL real do aplicativo PeopleSoft.

1. Abra um novo web browser e acesse o aplicativo usando o URL do Gateway de Aplicativo. Neste exemplo, o URL é: https://##.##.##.##:4443/psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?.

2. O Gateway de Aplicativo intercepta a solicitação e se comunica com o Domínio de Identidades do OCI IAM para verificar se o URL corresponde a um aplicativo empresarial. Neste exemplo, PSFT está registrado e a política de autenticação para este aplicativo empresarial é Token de Formato ou Acesso.

3. O Gateway de Aplicativo verifica se a solicitação contém um token de acesso do Domínio de Identidades válido no cabeçalho Authorization Bearer ou no cookie da sessão do Domínio de Identidades, indicando que o usuário já acessou o Domínio de Identidades do OCI IAM.

4. Se o usuário não tiver acessado o Domínio de Identidades do OCI IAM, o Gateway de Aplicativo redirecionará o browser do usuário para a página de Acesso do Domínio de Identidades do OCI IAM.

5. Se o usuário tiver acessado o sistema, o Gateway de Aplicativo adicionará variáveis de cabeçalho e um cookie à solicitação e encaminhará a solicitação ao aplicativo PeopleSoft.

6. O aplicativo recebe a solicitação, usa as variáveis de cabeçalho para identificar o usuário para apresentar o conteúdo da página /psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?.

Links Relacionados

• OCI IAM
• Premium de Aplicativos Oracle
• Implante o Aplicativo HCM PeopleSoft no OCI
• Configurar Gateway de Aplicativo
• Configurar o Aplicativo PeopleSoft para SSO

Aquisições

Autor - Gautam Mishra (Engenheiro de Nuvem Sênior)

Contribuidores - Deepthi Shetty (Engenheiro de Nuvem do Gerente), Aqib Bhat (Engenheiro de Nuvem Sênior)

Mais Recursos de Aprendizagem

Explore outros laboratórios no site docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal YouTube do Oracle Learning. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Configure seamless authentication for PeopleSoft applications using OCI IAM Identity Domains

F80225-01

April 2023

Copyright © 2023, Oracle and/or its affiliates.