使用应用程序网关更新企业应用程序的注销流

简介

随着组织对其身份基础设施进行现代化改造并采用单点登录 (SSO) 来简化跨云和内部部署应用的访问，登录体验备受关注。但还有另一个经常被忽视的方面在安全性和用户满意度方面都发挥着关键作用：注销流。

For applications protected by App Gateway, particularly the Enterprise Applications like Oracle’s PeopleSoft applications and Oracle’s JD Edwards EnterpriseOne that use header-based authentication, the default behaviour upon logout can feel unintuitive.当用户注销并尝试使用同一浏览器选项卡重新登录时，会将其重定向到 Oracle Cloud Infrastructure (OCI) 控制台，而不是返回到应用程序。这种流量中断会导致混乱、工作流中断，并降低对系统可靠性的信心。

标准文档涵盖 SSO 配置，但考虑完整的用户体验（包括注销流）也很关键。

未完全优化的注销体验可能会导致：

未从所有活动会话（包括身份提供者和应用程序级别）完全注销的用户。
虚拟会话导致的混淆在旧系统中持续存在。
不直观的重定向，例如发送到 OCI 控制台，而不是返回到原始应用程序。
错失了提供定制品牌、无缝的注销后体验的机会。
会话处于打开状态或终止不一致状态的安全风险。

优化注销行为对于提供精细、一致且安全的 SSO 旅程至关重要，尤其是在将云原生应用与传统系统相结合的混合环境中。

本教程重点介绍如何改进注销流。有关初始设置，请参见：

在本教程中，我们重新访问了一个微妙但有影响力的配置，该配置可以在将 SSO 与应用程序网关一起使用时显著改善最终用户体验。此外，我们将超越标准 SSO 设置，探索配置选项，为企业应用用户打造更顺畅、更一致的 SSO 体验。

应用程序网关注销的工作方式

用户可以使用两种不同的机制从受应用程序网关保护的应用程序注销： Using App Gateway Logout URL 和 Using Resource Protected by Logout Authentication Method 。有关更多信息，请参见 App Gateway Logout URL 或通过调用受注销验证方法保护的资源。

使用应用程序网关注销 URL：

此注销端点支持以下可选参数，这些参数有助于定制用户的注销后历程：
- postlogouturl：使用此参数定义注销后的定制登录页。URL 必须经过 URL 编码。如果未提供，则应用程序网关将回退到 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 会话设置中配置的默认注销重定向 URL。
- state：可从企业应用程序传递的可选参数，用于保留上下文信息或管理注销后行为。这对于需要在注销后跟踪会话转换或智能重定向用户的应用程序特别有用。
使用由注销验证方法保护的资源：

您可以通过创建专用资源并应用配置有表单 + 注销验证方法的验证策略来增强企业应用程序的注销流。当用户访问此受特殊保护的资源时，App Gateway 将自动触发注销过程，从而将用户从 OCI IAM 身份域管理的 SSO 会话中注销。

通过此方法，您可以将注销功能无缝集成到应用程序的导航或用户界面中，从而确保顺利安全地从会话过渡，而无需依赖外部重定向 URL 或手动令牌失效。

现在，让我们了解这些设置如何适用于不同的企业应用程序，以增强最终用户的整体 SSO 体验。

目标

优化应用程序网关注销配置，以实现无缝的 SSO 体验。
- 了解应用程序网关注销的工作方式。
  - 使用最适合 JD Edwards EnterpriseOne 的应用程序网关注销 URL 。
  - 使用最适合 PeopleSoft 的 Resource Protected by Logout Authentication Method 。
  - 为受应用程序网关保护的应用程序定制注销行为。
  - 将用户重定向回应用程序注销后。
  - 改进旧系统与现代身份提供商之间的会话处理。

Prerequisites

访问 OCI 租户。
Oracle Apps Premium 类型的身份域及其管理员账户。
启用了 PeopleSoft 和 JD Edwards EnterpriseOne SSO 的实例具有有效的 SSL 证书。
具有对 PeopleSoft 和 JD Edwards EnterpriseOne 的 SSO 访问权限以及所需权限的用户。

任务 1：配置从应用程序网关保护的应用程序注销

选项 1：使用应用程序网关注销 URL 增强 JD Edwards EnterpriseOne 的 SSO 体验

在此选项中，我们将重点更新 JD Edwards EnterpriseOne 上的应用程序网关注销设置。

登录到 JD Edwards EnterpriseOne 服务器管理器控制台。
导航到 Select Instance …（选择实例…），然后选择 EnterpriseOne HTML Server 。
导航到 Configuration（配置），选择 Advanced（高级）作为 View（查看）并单击 Security（安全性）。

选择启用 Oracle Access Manager 并按以下格式更新 Oracle Access Manager 注销 URL ：

http(s)://<appgateway_host>:<appgateway_port>/cloudgate/logout.html?postlogouturl=<url_encoded>&state=<state_value>

更新应用程序网关注销设置

单击应用可保存配置。
单击停止和启动 JAS 服务器以重新启动 JD Edwards EnterpriseOne 服务器。
重新启动应用程序网关并测试注销流。

选项 2：使用注销验证方法保护的资源来增强 PeopleSoft 的 SSO 体验

在此选项中，我们将重点放在“注销验证方法保护的资源”上，以增强 PeopleSoft 的 SSO 体验。有关使用应用程序网关配置 PeopleSoft SSO 的更多信息，请参阅使用 OCI IAM 身份域为 PeopleSoft 应用程序配置无缝验证。

注：我们假设您已成功将 PeopleSoft 配置为使用应用程序网关进行 SSO 的 OCI IAM。此部分专用于仅添加注销配置。

转到在 SSO 设置期间配置的 PeopleSoft Enterprise Application 实例。

导航到身份和安全、域，选择域，单击集成应用程序，然后选择 Enterprise application for PeopleSoft 。

注：您的 Enterprise Application for PeopleSoft 的名称可能有所不同，它将是您在为 PeopleSoft 设置 SSO 时创建它的名称。
单击 SSO 配置和 Edit SSO configuration 。
在编辑 SSO 配置中，单击注销的添加资源，输入以下信息，然后单击添加资源。
- 资源名称：输入 logout。
- 资源 URL：以应用程序 URL 的格式输入资源 URL。
- URL 查询字符串：输入 cmd=logout。
- 选择使用正则表达式。
同样，为 PSC Logout URL 创建另一个注销资源。
现在，单击到期的添加资源，输入以下信息，然后单击添加资源。
- 资源名称：输入 PSP Expire。
- 资源 URL：按应用程序 URL 的格式输入资源 URL。
- URL 查询字符串：输入 cmd=expire。
- 选择使用正则表达式。
同样，为 PSC Expire 创建另一个过期资源。
现在，为创建的资源添加验证策略，在资源下选择注销资源，在验证方法下选择表单 + 注销。在注销后的 URL 中，添加 PeopleSoft 登录页面 URL。
注：对于以下资源，请遵循步骤 7。
- PeopleSoft 组件 (PSC) 注销资源
- PeopleSoft Portal (PSP) 到期资源
- PSC 到期资源
在 Authentication Policy 列表中将所有这些创建的资源移至更高的优先级。顺序应为 Logout 、 Expire 、psc 和 Default 资源。
单击 Stop 和 Start PeopleSoft server 以重新启动 PeopleSoft 服务器。
重新启动应用程序网关并测试注销流。