1. 在高可用性模式下使用 EBS 断言器,通过 OCI IAM 为 Oracle E-Business Suite 启用 SSO
  2. 了解如何在高可用性模式下使用 EBS 断言器通过 OCI IAM 为 Oracle E-Business Suite 启用 SSO

了解如何在高可用性模式下使用 EBS 断言器通过 OCI IAM 为 Oracle E-Business Suite 启用 SSO

如果您有 Oracle E-Business Suite (EBS) 实例,则可以使用 OCI IAM E-Business Suite 断言器组件,与其他使用 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 作为验证机制的应用程序无缝进行身份验证。

通过此集成,您的 Oracle E-Business Suite 可以参与 OCI IAM 提供的单点登录 (SSO)。要增强登录过程的安全性,可以设置登录和身份提供者策略,以及配置多因素验证。您还可以实现自适应安全,以跨应用和 OCI IAM 中的 Oracle E-Business Suite 为您的用户提供强大的身份验证功能和风险分析。

此解决方案手册介绍了在高可用性模式下使用 OCI IAM 断言器将 OCI IAM 与 Oracle EBS 集成的步骤和配置,其中:
  • Oracle WebLogic Server 部署在 OCI 计算实例上,并且
  • Oracle EBS 使用 Oracle EBS Cloud Manager 部署在 OCI 上

对于每个 EBS 实例,您可以配置和部署 OCI IAM E-Business Suite Asserter application.You 的一个实例,以 HA 模式使用不同配置部署 EBS Asserter,如下节所述:

  1. 多个 WebLogic 服务器计算机,每台计算机托管一个受管服务器并使用单个 EBS 断言器进行部署。
  2. 具有多个托管服务器的单个 WebLogic 服务器计算机。每个托管服务器都有一个 EBS Asserter 部署。
  3. 具有单个受管服务器的单个 WebLogic 服务器计算机。托管服务器具有多个 EBS Asserter 部署。

要完成第三个方案,必须执行以下任务:

  • 在将文件部署到同一 WebLogic 受管服务器之前,请重命名每个 EBS Asserter 应用程序的 Web 应用程序资源 (Web Application Resource,WAR) 文件。在这种情况下,所有 E-Business Suite 断言程序 URL 的域名和端口号将相同,但 URL 的上下文将更改。
  • 将每个 ebs.war 文件的内容提取到文件夹中,找到 weblogic.xml 文件,编辑此文件,更新 <cookie-path> 标记的值以匹配 EBS 断言器的 URL,然后重新生成 ebs.war 文件。

例如,如果您希望 E-Business Suite Asserter 响应 URL 上下文 /app/ebs,则使用值 <cookie-path>/app/ebs</cookie-path> 更新 weblogic.xml 中的标记。

例如,如果您有两个名为 Development 1Development 2 的 EBS 实例,并且希望使用 E-Business Suite Asserter 将这些 EBS 实例与 OCI IAM 集成,但是对于两个 E-Business Suite Asserter 应用程序,您只有一个 WebLogic 管理服务器,则需要针对每个 EBS 实例执行本教程中的过程。您只需配置一次 WebLogic 服务器,并为每个 EBS 实例配置和部署 E-Business Suite 断言程序应用程序:

  • 对于 EBS 实例开发 1
    • 创建 ebs.war 文件的副本,并将新文件命名为 ebsdev1.war
    • 通过将 cookie-path 标记替换为以下值来更新 ebsdev1.war 文件中包含的 weblogic.xml<cookie-path>/ebsdev1</cookie-path>
    • 更新 ebsdev1.war 文件中包含的 bridge.properties 文件(第 5 部分)。
    • 重新生成 ebsdev1.war 文件,然后将此文件(第 7 部分)部署到 WebLogic 受管服务器。
  • 对于 EBS 实例开发 2
    • 创建 ebs.war 文件的副本,并将新文件命名为 ebsdev2.war
    • 通过将 cookie-path 标记替换为以下值来更新 ebsdev2.war 文件中包含的 weblogic.xml<cookie-path>/ebsdev2</cookie-path>
    • 更新 ebsdev2.war 文件中包含的 bridge.properties 文件(第 5 部分)。
    • 重新生成 ebsdev2.war 文件,然后将此文件(第 7 部分)部署到 WebLogic 受管服务器。

您将 ebsdev1.warebsdev2.war 文件部署到同一 WebLogic 受管服务器中。EBS 实例 Development 1 的 E-Business Suite Asserter URL 将为 https://ebsasserter.example.com:7002/ebsdev1,EBS 实例为 Development 2 https://ebsasserter.example.com:7002/ebsdev2。

开始之前

在开始使用 E-Business Suite Asserter 之前,请先了解如何启用它,以及它如何与其他组件一起使用。

  • 如果您的 Oracle E-Business Suite 与 Oracle Access Manager、Oracle Internet Directory、E-Business Suite AccessGate 集成,或者使用任何其他 SSO 配置文件,则删除这些组件与 Oracle E-Business Suite 之间的集成,然后在使用 OCI IAM E-Business Suite 断言器之前重新启动服务器。
  • 了解支持哪些功能。所有使用基于浏览器的登录的 Oracle E-Business 模块都将与 E-Business Suite Asserter for SSO 一起使用。支持基于 Excel 的 Web ADI 登录。支持适用于 EBS 的移动应用,例如审批和费用。不支持不使用基于浏览器的登录的模块,如移动 Web 应用程序 (Mobile Web Applications,MWA) 和电子签名。

体系结构

在此手册中,一个 WebLogic 集群由两台 WebLogic 计算机组成。这些 WebLogic 计算机中的每台都托管一个 WebLogic 托管服务器。E-Business Suite Asserter 的两个实例部署在两个 WebLogic 托管服务器上。OCI 负载平衡器用于在 OCI IAM Asserter 的两个节点之间提供高可用性和流量管理。

Oracle E-Business Suite 还使用 Oracle EBS Cloud Manager 部署在具有两个不同节点的高可用性中。Oracle E-Business Suite 使用具有两个数据库服务器节点的 Oracle RAC 数据库。OCI IAM Asserter 通过 OCI IAM Rest API 与 OCI IAM 交互,并将用户的 Web 浏览器重定向到 OCI IAM 和 Oracle E-Business Suite。

以下体系结构图显示了 E-Business Suite Asserter、Oracle E-Business Suite 和 OCI IAM 的交互方式。


后面是 ebs_asserter_ha_arch.png 的说明
插图 ebs_asserter_ha_arch.png 的说明

  1. 用户请求访问受 Oracle E-Business Suite 保护的资源。
  2. 请求将到达 OCI 负载平衡器,并根据后端服务器的可用性,将请求转发到相应的 Oracle E-Business Suite 服务器。
  3. Oracle E-Business Suite 会将用户浏览器重定向到 E-Business Suite Asserter 应用程序,该应用程序通过 OCI 负载平衡器进行定向。
  4. OCI 负载平衡器基于后端 E-Business Suite 断言程序服务器的配置和可用性,将请求转发到相应的 E-Business Suite 断言程序服务器。OCI 负载平衡器生成 Cookie 并将其附加到请求以维护会话粘滞性。
  5. OCI IAM 断言程序使用 OCI IAM SDK 生成授权 URL,然后将浏览器重定向到 OCI IAM。
  6. OCI IAM 会将其登录页提供给用户。
  7. 用户将身份证明提交到 OCI IAM。
  8. OCI IAM 发出授权代码并将用户的浏览器重定向到 E-Business Suite Asserter。
  9. 响应到达 OCI 负载平衡器,并基于会话 Cookie 重定向请求以批准 E-Business Suite Asserter 服务器。
  10. E-Business Suite Asserter 使用 OCI IAM SDK 与 OCI IAM 进行通信,以交换访问令牌的授权代码。
  11. OCI IAM 向 E-Business Suite Asserter 发出访问令牌和 ID 令牌。
  12. E-Business Suite 断言程序创建 Oracle E-Business Suite Cookie 并将用户的浏览器重定向到 Oracle E-Business Suite。
  13. Oracle E-Business Suite 提供用户请求的受保护资源。

关于必需的服务和角色

OCI IAM 管理员必须能够访问 OCI IAM 控制台,才能下载 E-Business Suite 断言程序以及配置和激活应用程序。

您必须有权访问以下服务和产品:
  • OCI IAM
  • Oracle E-Business Suite

您必须具有以下角色:

角色 需要 ...

OCI IAM:安全管理员

访问 OCI IAM 控制台的下载页面。您可以从此页面下载 OCI IAM E-Business Suite Asserter。

OCI IAM:应用程序管理员

在 OCI IAM 中管理应用,包括向 OCI IAM 注册示例移动应用。

Oracle E-Business Suite:服务器管理员

访问 Oracle E-Business Suite 安装文件夹、您部署 E-Business Suite Asserter 的 Oracle WebLogic Server 和 E-Business Suite Asserter 计算机作为操作系统用户。