1. 在 Azure AD 与 Oracle Access Manager for Oracle E-Business Suite 之间设置 SSO
  2. 准备在 Azure AD 与 Oracle Access Manager for Oracle E-Business Suite 之间设置 SSO

准备在 Azure AD 与 Oracle Access Manager for Oracle E-Business Suite 之间设置 SSO

在尝试此解决方案中所述的集成之前,您需要考虑的一些假设和详细信息。

除了此处讨论的先决条件和假设之外,您还需要预配用户属性,包括三个对于此集成至关重要的属性:用户名 (UPN)、USER_NAME 和 USER_ORCLGUID。本文详细介绍了这些属性及其使用方式。

了解先决条件和假设

所需的关键先决条件和假设如下:

  • “体系结构”部分中列出的所有组件都已部署并正在运行。
  • Oracle E-Business Suite 和 Oracle Access Manager 已集成。如果尚未执行,请遵循 My Oracle Support:使用最新的 Oracle E-Business Suite AccessGate 与 Oracle Access Manager 进行一次登入集成(文档 ID 2202932.1)中从主列表中引用的正确文档。
  • 用户帐户已从 Azure AD 预配到 Oracle Access Manager LDAP 服务器(请参见下一节)。配置实施超出本文档的范围,因为可以有多种实施方法。
  • 已使用 Oracle Directory Integration Platform 将用户从 Oracle Access Manager LDAP 服务器预配到 E-Business Suite 数据库。此流程记录在 Oracle E-Business Suite SSO 与 Oracle Access Manager 集成指南之一中。另请参见下一节。
  • 已实施 Oracle E-Business Suite 和 Oracle Access Manager 组件的任何高可用性 (HA)。可以实现高可用性,但超出本文档的范围。

Oracle Access Manager 和 E-Business Suite 集成的预配属性

要成功实施此解决方案,必须正确分配集成 Oracle Access Manager 和 E-Business Suite 所需的唯一用户关键字。

作为 E-Business Suite 和 Oracle Access Manager 集成的一部分,USERNAMEORCLGUID 是 Oracle Access Manager LDAP 服务器与 E-Business Suite 数据库之间使用的关键唯一用户密钥。例如,Oracle Access Manager LDAP 服务器(无论是 Oracle Unified Directory 还是 Oracle Internet Directory)通常使用 LDAP 属性 uid 作为用户名。但是,创建用户条目时,会自动创建运行属性 orclguid 并存储唯一的 32 个字符值。同样,在 E-Business Suite 中,用户名存储在 USER_NAME 中,orclGUID 存储在 USER_GUID 中。两个属性都必须唯一。

在验证流中,WebGate 传递三个标头:USER_NAMEUSER_ORCLGUIDOAM_LOCALE。使用 E-Business Suite 进行验证最关键的两个是 USER_NAMEUSER_ORCLGUID,它们是从 Oracle Access Manager LDAP 服务器中检索的。属性值必须在 Oracle Access Manager LDAP 服务器与 E-Business Suite 数据库用户方案之间匹配。

关于从 Azure AD 进行预配,可以在 Oracle Access Manager LDAP 服务器中使用 samAccountName 作为 uid。更重要的是,samAccountName 也具有唯一性,因为作为 Oracle Access Manager 和 E-Business Suite 集成的一部分,启用了唯一性插件以确保 uid 是唯一的。uid 属性在联盟验证中并不重要,但务必确保值在 Oracle Access Manager LDAP 服务器和 E-Business Suite 数据库中是唯一的。

Azure AD 和 Oracle Access Manager 集成的预配属性

要成功实施此解决方案,必须正确分配集成 Azure AD 和 Oracle Access Manager 所需的唯一用户密钥。

遵循 Azure AD 最佳实践,用户主体名称 (User Principal Name,UPN) 用作联合用户映射属性值。UPN 提供了一个唯一值,可用于登录用户帐户并在 Oracle Access Manager 和 E-Business Suite 中进行匹配。因此,这是 Azure AD 和 Oracle Access Manager 之间的联盟的最佳选择。

下表列出了建议从 Azure AD 预配到 Oracle Access Manager LDAP 服务器的最小属性。
Azure 属性 LDAP 属性 示例
userPrincipalName 邮件 test.user1@mydomain.com
samAccountName uid test.user1@mydomain.com
displayName cn User1
givenName givenName 测试
sn sn User1