1. 使用 E-Business Suite Asserter 在 OCI IAM 中启用 SSO for Oracle E-Business Suite
  2. 了解如何使用 E-Business Suite 断言程序为 Oracle E-Business Suite 启用带有 OCI IAM 的 SSO

了解如何使用 E-Business Suite 断言程序为 Oracle E-Business Suite 启用带有 OCI IAM 的 SSO

注意:

如果您的 Oracle Cloud Infrastructure (OCI) 区域已更新为使用 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 身份域,请使用此文档。如果您的 OCI 区域使用 Oracle Identity Cloud Service ,请参阅 使用 E-Business Suite Asserter 简化 Oracle E-Business Suite 的验证
如果您有 Oracle E-Business Suite 实例,则可以使用 OCI IAM E-Business Suite 断言器组件,与其他使用 OCI IAM 作为其验证机制的应用程序无缝进行身份验证。通过此集成,您的 Oracle E-Business Suite 可以参与 OCI IAM 提供的单点登录 (SSO)。

要增强登录过程的安全性,可以设置登录和身份提供者策略,以及配置多因素验证。您还可以实现自适应安全,以跨应用和 OCI IAM 中的 Oracle E-Business Suite 为您的用户提供强大的身份验证功能和风险分析。

开始之前

在开始使用 E-Business Suite Asserter 之前,请先了解如何启用它,以及它如何与其他组件一起使用。

  • 如果您的 Oracle E-Business Suite 与 Oracle Access Manager、Oracle Internet Directory、E-Business Suite AccessGate 集成,或者使用任何其他 SSO 配置文件,则删除这些组件与 Oracle E-Business Suite 之间的集成,然后在使用 OCI IAM E-Business Suite 断言器之前重新启动服务器。
  • 了解支持哪些功能。所有使用基于浏览器的登录的 Oracle E-Business 模块都将与 E-Business Suite Asserter for SSO 一起使用。支持基于 Excel 的 Web ADI 登录,支持 EBS 移动应用程序。不支持不使用基于浏览器的登录的模块,如移动 Web 应用程序 (Mobile Web Applications,MWA) 和电子签名。

体系结构

OCI IAM E-Business Suite 断言程序部署到单独的 Oracle WebLogic Server 实例。E-Business Suite Asserter 通过 OCI IAM REST API 与 OCI IAM 交互,并将用户的 Web 浏览器重定向到 OCI IAM 和 Oracle E-Business Suite。

此架构图显示了 E-Business Suite Asserter、Oracle E-Business Suite 和 OCI IAM 的交互方式。

后面是 architecture.png 的说明
插图 architecture.png 的说明

下图显示了使用 E-Business Suite Asserter 将 Oracle E-Business Suite 与 OCI IAM 集成时的登录和注销流程。这些流图显示了从 Oracle E-Business Suite 开始的登录和注销过程,但 E-Business Suite Asserter 方法还支持 E-Business Suite Asserter 和 OCI IAM 启动的流。

后面是 login-flow-chart.png 的说明
插图 login-flow-chart.png 的说明
  1. 用户请求访问受 Oracle E-Business Suite 保护的资源。
  2. Oracle E-Business Suite 会将用户浏览器重定向到 E-Business Suite Asserter 应用程序。
  3. E-Business Suite Asserter 使用 OCI IAM SDK 生成授权 URL,然后将浏览器重定向到 OCI IAM。
  4. OCI IAM 会将其登录页提供给用户。
  5. 用户将身份证明提交到 OCI IAM。
  6. OCI IAM 发出授权代码并将用户的浏览器重定向到 E-Business Suite Asserter。
  7. E-Business Suite Asserter 使用 OCI IAM SDK 与 OCI IAM 进行通信,以交换访问令牌的授权代码。
  8. OCI IAM 向 E-Business Suite Asserter 发出访问令牌和 ID 令牌。
  9. E-Business Suite 断言程序创建 Oracle E-Business Suite Cookie 并将用户的浏览器重定向到 Oracle E-Business Suite。
  10. Oracle E-Business Suite 提供用户请求的受保护资源。

下面介绍的注销过程是指从 Oracle E-Business Suite 调用注销的用户。如果在 OCI IAM 中启动了注销过程,则仅执行步骤 5 和 6。

后面是 logout-flow-chart.png 的说明
插图 logout-flow-chart.png 的说明
  1. 用户选择从 Oracle E-Business Suite 注销,请求 /ebslogout URL。
  2. Oracle E-Business Suite 将用户注销,然后将用户的浏览器重定向到 E-Business Suite Asserter 应用程序。
  3. E-Business Suite 断言程序使用 OCI IAM SDK 获取 OCI IAM 注销 URL,然后将用户的浏览器重定向到此 URL
  4. 用户浏览器调用 OCI IAM 注销 URL。
  5. OCI IAM 会删除用户会话,然后将用户的浏览器重定向到应用程序配置中定义的 E-Business Suite 断言程序注销 URL。
  6. E-Business Suite Asserter 将用户注销并将用户的浏览器重定向到应用程序配置中定义的注销后重定向 URL。

关于必需的服务和角色

OCI IAM 管理员必须能够访问 OCI IAM 控制台,才能下载 E-Business Suite 断言程序以及配置和激活应用程序。

您必须有权访问以下服务和产品:
  • OCI IAM
  • Oracle E-Business Suite

您必须具有以下角色:

角色 需要 ...

OCI IAM:安全管理员

访问 OCI IAM 控制台的下载页面。您可以从此页面下载 OCI IAM E-Business Suite Asserter。

OCI IAM:应用程序管理员

在 OCI IAM 中管理应用,包括向 OCI IAM 注册示例移动应用。

Oracle E-Business Suite:服务器管理员

访问 Oracle E-Business Suite 安装文件夹、您部署 E-Business Suite Asserter 的 Oracle WebLogic Server 和 E-Business Suite Asserter 计算机作为操作系统用户。

请参阅 了解如何获取适用于 Oracle 解决方案的 Oracle Cloud 服务