注意:

使用 OCI IAM 識別網域為 PeopleSoft 應用程式設定無縫認證

簡介

Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 識別網域是一項全方位的身分識別即服務 (IDaaS) 解決方案,可用於處理各種 IAM 使用案例和案例。OCI IAM 可用於管理眾多雲端和內部部署應用程式中使用者的存取權,進而為終端使用者提供安全驗證、輕鬆管理權益以及順暢的 SSO。您也可以設定識別網域,以便存取業務夥伴的供應鏈或排序系統。或者,您也可以使用識別網域針對直接面向消費者的應用系統啟用 IAM,讓消費者使用者執行自行註冊、社群登入和 (或) 使用條款許可。

如果您需要在 Oracle PeopleSoft 應用程式 (內部部署或在 OCI 上) 之間提供無縫登入體驗,請使用 OCI IAM 識別網域來啟用單一登入。OCI IAM 識別網域有一項稱為 App 閘道的功能,此功能是部署在代理主機組態中的 Nginx 型軟體設備。若要增強安全性,您可以利用登入原則中的調適型安全性,強制允許或拒絕存取,或為更嚴格的 MFA 機制逐步進行認證。

對象

本教學課程的適用對象為 OCI IAM 管理員。熟悉虛擬環境中的運算、網路和儲存體,包括 IAM 概念。必須具備 OCI IAM 知識。

目標

使用 OCI IAM 識別網域為 PeopleSoft 應用程式設定無縫認證。

必要條件

架構

此架構圖顯示 OCI IAM 識別網域、App 閘道以及 Oracle PeopleSoft 應用程式之間的流量。

App 閘道的作用就像是反向代理主機。它會攔截 PeopleSoft Web 使用者介面的所有 HTTP 要求,並確保使用者已登入並取得存取應用程式的授權。OCI IAM 識別網域會處理 PeopleSoft 應用程式的認證。

注意:App 閘道部署在與 Oracle PeopleSoft 應用程式相同的網路基礎架構上。這兩個元件必須能夠相互檢視網路。只有 HTTP 資源 (Web UI) 的存取會受到 App 閘道的保護。

小米 1

下列步驟說明不同元件之間的認證流程:

  1. 在 Web 瀏覽器中,使用者透過 App 閘道公開的 URL 要求存取 PeopleSoft 應用程式。
  2. App 閘道會攔截要求、確認使用者先前未登入,然後將瀏覽器重新導向至 OCI IAM 識別網域。
  3. OCI IAM 識別網域會顯示登入頁面。
  4. 使用者會提供登入識別網域所需的證明資料。
  5. 成功認證後,OCI IAM 識別網域會為使用者建立階段作業,並對 App 閘道發出安全宣告標記語言 (SAML) 權杖。
  6. App 閘道會接收 SAML 權杖、識別使用者、在要求中新增標頭變數,以及將要求轉送至 PeopleSoft App。
  7. PeopleSoft App 會接收標頭變數、識別使用者,然後啟動 PeopleSoft 使用者階段作業。

作業 1:設定 App Gateway Server

軟體設備設備 Appliance 閘道會從壓縮 (.zip) 檔案中的 OCI IAM 識別網域主控台下載。此檔案包含一個 Open Virtual Appliance (.ova) 檔案,需要用來安裝 App 閘道伺服器。

您可以按照本文件中的步驟,輕鬆將 App 閘道伺服器安裝在 OCI 的運算執行處理,或是安裝在您的網路環境代管的虛擬機器,也可以安裝在本機機器上執行的 Oracle VM Virtual Box Manager 中。

注意:您也可以使用 Docker 部署 App 閘道。這份文件主要討論如何建立及執行 App 閘道 Docker 容器。

作業 2:在 OCI IAM 識別網域中為 PeopleSoft 應用程式建立企業應用程式

在下列步驟中,我們將使用 App 閘道公開的 URL,在 OCI IAM 中為 PeopleSoft 應用程式建立企業應用程式。

  1. 登入 OCI 租用戶並瀏覽至個別的識別網域。

  2. 按一下應用程式,移至新增應用程式頁籤,然後選取企業應用程式啟動工作流程

    二次曲線

  3. 提供應用程式的名稱應用程式 URL

    小米 3

    注意

    • 應用程式 URL 會由 App 閘道顯示,因此 IP 位址和連接埠屬於 App 閘道伺服器。
    • 本教學課程使用 PeopleSoft ERP 應用程式,因此使用端點 /psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?
    • 若為 PeopleSoft HCM,請使用 /psc/peoplesoft01_22/EMPLOYEE/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?

  4. 選取顯示在我的 App 中,以在指定使用者的「我的 App」頁面中顯示應用程式。如果您只要允許指定的使用者存取 App,請選取必須授予此 App 的使用者

    小便 4

  5. 選取設定 OAuth 區段中的略過以供稍後使用

    小米 5

  6. 設定單一登入區段中,按一下新增資源以新增下列資源。

    小米 6

    小便 7

  7. 新增資源之後,請按一下新增受管理資源,然後選取認證方法作為表單或存取權杖,為每個資源建立認證原則。

    • 新增提及的表頭名稱與值。

    • 確定已啟用 Require secure cookiesAdd managed resources 選項。

      小便 8

      小便 9

      注意:認證原則主要定義用以保護您企業應用程式資源的認證方法,以及「App 閘道」是否會將標頭變數新增至其轉送至應用程式的要求。

  8. 完成設定後啟用應用程式,然後將其指派給適當的 usersgroups

    小便 10 小便 11

作業 3:在 OCI IAM 識別網域中註冊 App 閘道伺服器

設定 App 閘道之前,必須先在識別網域中註冊已部署的 App 閘道伺服器。我們會新增主機,並將主機與網域中的 PeopleSoft 企業應用程式建立關聯,App 閘道將保護這些網域。

  1. 在 OCI 識別網域主控台中,按一下安全應用程式閘道,然後按一下建立 App 閘道

    小便 12

  2. 指定您 App 閘道的名稱,然後按一下下一步

    小便 13

  3. 新增主機 (Add Hosts) 窗格中,按一下新增主機 (Add host)

    • 新增主機對話方塊的主機 ID 欄位中提供名稱。

    • 輸入 App 閘道伺服器回應 HTTP 要求的主機連接埠值。

    • 若要讓 App 閘道以安全模式 (HTTPS) 監聽 HTTP 要求,請選取啟用 SSL 核取方塊,然後按一下新增主機

      小便 14

      注意其他特性文字區域必須使用 App 閘道伺服器將使用的憑證金鑰組指定,以及 SSL 的協定和加密方式。/etc/ssl/private/server.crt 是 App 閘道伺服器中憑證檔案的完整路徑。/etc/ssl/private/server.key 是該憑證檔案的私密金鑰。安裝 App 閘道二進位檔案之後,必須將這兩個檔案上傳至 App 閘道伺服器。

      ssl_certificate /scratch/oracle/cloudgate/home/bin/server.crt;
ssl_certificate_key /scratch/oracle/cloudgate/home/bin/server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;

  4. 新增應用程式頁籤中,按一下新增應用程式。選取要保護的企業 App,然後選取先前新增的主機。在資源前置碼欄位中,使用 /,在原始伺服器中指定 PeopleSoft 應用程式的基本 URL。

    小便 15

    注意資源前置碼中的 / 表示會將根路徑之後的每個要求轉送至您選取的企業應用程式。如果應用程式無法直接存取,但可透過 Web 代理主機存取,請在來源伺服器欄位中輸入 Web 代理主機的 URL。

  5. 按一下啟用 App 閘道,並記下要用於設定 App 閘道的從屬端 ID從屬端加密密碼

    小便 16

作業 4:設定 App 閘道

App 閘道伺服器準備就緒之後,即可透過 SSH 從屬端使用預設證明資料輕鬆存取。

Localhost login: oracle
Password: cloudgateR0X!

注意您必須在第一次登入時變更已佈建的密碼。

登入 App 閘道伺服器之後,請執行下列步驟:

  1. 執行 sudo yum updateinfo list security all 命令並提供 sudo 密碼。此命令會列出您 App Gateway Oracle Linux 伺服器的安全勘誤表。若要更新套裝軟體最新版本有安全性相關勘誤表可用的所有套裝軟體,請輸入 sudo yum --security update

    圖像 17 圖像 18

  2. 請執行 telnet <idcs-tenant>.identity.oraclecloud.com 命令,以確認 App 閘道伺服器可以連線至 OCI IAM 識別網域執行處理。如果未安裝 telnet,請使用 sudo yum install telnet-server telnet 指令進行安裝,然後重試。

    影像 19 影像 20

  3. 產生 CSR 並由 CA 簽署,以在 SSL 模式設定 App 閘道。為了測試目的或 POC,可以使用自行簽署的憑證。以下為產生步驟。

    openssl genrsa -aes128 -out server.key 2048
openssl rsa -in server.key -out server.key
openssl req -new -days 3650 -key server.key -out server.csr
openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 3650

    影像 21

  4. 在套用更新之後重新啟動 App 閘道伺服器。

  5. 執行 nslookup <your_identity_cloud_service_domain> 指令、複製伺服器 IP 位址,以及更新 /usr/local/nginx/conf/nginx-cg-sub.conf 檔案中的解析器項目。

    影像 22 影像 23

  6. 瀏覽至 /scratch/oracle/cloudgate/ova/bin/setup 資料夾,然後編輯 cloudgate-env 檔案以包含下列參數。

    a.IDCS_INSTANCE_URL :OCI IAM 識別網域 URL 的 URL。

    b.CG_APP_TENANT :識別網域執行處理的租用戶名稱。例如,idcs-123456789

    c.CG_APP_NAME :在 OCI IAM 識別網域中註冊 App 閘道伺服器時所收集的從屬端 ID 值。

    d.CG_APP_SECRET :在 OCI IAM 識別網域中註冊 App 閘道伺服器時所收集的從屬端密碼值。

    e.CG_CALLBACK_PREFIX :如果「App 閘道」是以 SSL 模式 (HTTPS) 設定,則會將值設為 https://%hostid%。否則,請使用 http://%hostid% 作為此參數的值。

    影像 24 影像 25

  7. 瀏覽至 /scratch/oracle/cloudgate/ova/bin/setup 資料夾並執行 ./setup-cloudgate 指令。出現提示時,請輸入 y 以繼續進行組態設定。複查並驗證用於雲端閘道組態的所有參數。

    影像 26 影像 27

注意:您可以參考此文件,輕鬆解決設定 App 閘道時可能遇到的常見問題。

作業 5 :Oracle PeopleSoft 應用程式組態

使用管理證明資料登入 PeopleSoft 主控台,並執行文件中提及的步驟,為 SSO 設定 PeopleSoft 應用程式。

作業 6:測試 PeopleSoft 應用程式的存取

設定讓 App 閘道伺服器與您的 OCI IAM 識別網域通訊,然後啟動伺服器,對您的企業應用程式進行測試存取。由於 App 閘道會代理您的 PeopleSoft 應用程式,因此請使用 App 閘道基本 URL 存取應用程式,而非 PeopleSoft 應用程式實際 URL。

  1. 開啟新的 Web 瀏覽器,並使用 App 閘道 URL 存取應用程式。在此範例中,URL 為:https://##.##.##.##:4443/psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL?

  2. App 閘道會攔截要求並與 OCI IAM 識別網域通訊,以確認 URL 是否對應至企業應用程式。在此範例中,已註冊 PSFT,且此企業應用程式的認證原則為表單或存取權杖

  3. App 閘道會驗證要求是否在 Authorization Bearer 標頭或識別網域階段作業 Cookie 中包含有效的識別網域存取記號,指示使用者已經登入 OCI IAM 識別網域。

  4. 如果使用者尚未登入 OCI IAM 識別網域,App 閘道會將使用者瀏覽器重新導向至 OCI IAM 識別網域的登入頁面。

  5. 如果使用者已登入,則 App 閘道會將標頭變數和 Cookie 新增至要求,然後將要求轉送至 PeopleSoft 應用程式。

  6. 應用程式會收到要求,使用標頭變數來識別要呈現 /psc/peoplesoft01_22/EMPLOYEE/ERP/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL? 頁面內容的使用者。

確認

作者 - Gautam Mishra (資深雲端工程師)

貢獻者 - Deepthi Shetty (雲端工程師經理)、Aqib Bhat (資深雲端工程師)

其他學習資源

探索 docs.oracle.com/learn 的其他實驗室,或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外,請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。

如需產品文件,請造訪 Oracle Help Center