准备在 Azure AD 与 Oracle Access Manager for Oracle E-Business Suite 之间设置 SSO
在尝试此解决方案中所述的集成之前,您需要考虑的一些假设和详细信息。
除了此处讨论的先决条件和假设之外,您还需要预配用户属性,包括三个对于此集成至关重要的属性:用户名 (UPN)、USER_NAME 和 USER_ORCLGUID。本文详细介绍了这些属性及其使用方式。
了解先决条件和假设
所需的关键先决条件和假设如下:
- “体系结构”部分中列出的所有组件都已部署并正在运行。
- Oracle E-Business Suite 和 Oracle Access Manager 已集成。如果尚未执行,请遵循 My Oracle Support:使用最新的 Oracle E-Business Suite AccessGate 与 Oracle Access Manager 进行一次登入集成(文档 ID 2202932.1)中从主列表中引用的正确文档。
- 用户帐户已从 Azure AD 预配到 Oracle Access Manager LDAP 服务器(请参见下一节)。配置实施超出本文档的范围,因为可以有多种实施方法。
- 已使用 Oracle Directory Integration Platform 将用户从 Oracle Access Manager LDAP 服务器预配到 E-Business Suite 数据库。此流程记录在 Oracle E-Business Suite SSO 与 Oracle Access Manager 集成指南之一中。另请参见下一节。
- 已实施 Oracle E-Business Suite 和 Oracle Access Manager 组件的任何高可用性 (HA)。可以实现高可用性,但超出本文档的范围。
Oracle Access Manager 和 E-Business Suite 集成的预配属性
要成功实施此解决方案,必须正确分配集成 Oracle Access Manager 和 E-Business Suite 所需的唯一用户关键字。
作为 E-Business Suite 和 Oracle Access Manager 集成的一部分,USERNAME
和 ORCLGUID
是 Oracle Access Manager LDAP 服务器与 E-Business Suite 数据库之间使用的关键唯一用户密钥。例如,Oracle Access Manager LDAP 服务器(无论是 Oracle Unified Directory 还是 Oracle Internet Directory)通常使用 LDAP 属性 uid 作为用户名。但是,创建用户条目时,会自动创建运行属性 orclguid 并存储唯一的 32 个字符值。同样,在 E-Business Suite 中,用户名存储在 USER_NAME
中,orclGUID 存储在 USER_GUID
中。两个属性都必须唯一。
在验证流中,WebGate 传递三个标头:USER_NAME
、USER_ORCLGUID
和 OAM_LOCALE
。使用 E-Business Suite 进行验证最关键的两个是 USER_NAME
和 USER_ORCLGUID
,它们是从 Oracle Access Manager LDAP 服务器中检索的。属性值必须在 Oracle Access Manager LDAP 服务器与 E-Business Suite 数据库用户方案之间匹配。
关于从 Azure AD 进行预配,可以在 Oracle Access Manager LDAP 服务器中使用 samAccountName
作为 uid
。更重要的是,samAccountName
也具有唯一性,因为作为 Oracle Access Manager 和 E-Business Suite 集成的一部分,启用了唯一性插件以确保 uid 是唯一的。uid
属性在联盟验证中并不重要,但务必确保值在 Oracle Access Manager LDAP 服务器和 E-Business Suite 数据库中是唯一的。
Azure AD 和 Oracle Access Manager 集成的预配属性
要成功实施此解决方案,必须正确分配集成 Azure AD 和 Oracle Access Manager 所需的唯一用户密钥。
遵循 Azure AD 最佳实践,用户主体名称 (User Principal Name,UPN) 用作联合用户映射属性值。UPN 提供了一个唯一值,可用于登录用户帐户并在 Oracle Access Manager 和 E-Business Suite 中进行匹配。因此,这是 Azure AD 和 Oracle Access Manager 之间的联盟的最佳选择。
Azure 属性 | LDAP 属性 | 示例 |
---|---|---|
userPrincipalName |
邮件 |
test.user1@mydomain.com |
samAccountName |
uid |
test.user1@mydomain.com |
displayName |
cn |
User1 |
givenName |
givenName |
测试 |
sn |
sn |
User1 |