1. 使用高可用性模式中的 EBS 宣告器啟用 Oracle E-Business Suite 與 OCI IAM 的 SSO
  2. 瞭解在高可用性模式中使用 EBS 宣告器啟用 Oracle E-Business Suite 搭配 OCI IAM 的 SSO

瞭解在高可用性模式中使用 EBS 宣告器啟用 Oracle E-Business Suite 搭配 OCI IAM 的 SSO

如果您有 Oracle E-Business Suite (EBS) 執行處理,您可以使用 OCI IAM E-Business Suite Asserter 元件,與其他使用 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 作為認證機制的應用程式以無縫接軌的方式認證。

這項整合可讓您的 Oracle E-Business Suite 參與 OCI IAM 提供的單一登入 (SSO)。若要強化登入程序的安全性,您可以設定登入及身分識別提供者原則,並設定多重因素認證。您也可以啟用調適型安全性,為跨應用系統的使用者提供強化的認證功能和 OCI IAM 中的 Oracle E-Business Suite 風險分析。

此解決方案手冊說明使用 OCI IAM Asserter 以高可用性模式整合 OCI IAM 與 Oracle EBS 的步驟和組態,其中:
  • Oracle WebLogic Server 部署在 OCI 運算執行處理上,而且
  • Oracle EBS 使用 Oracle EBS Cloud Manager 部署在 OCI 上

對於每個 EBS 執行處理,您可以設定並部署一個 OCI IAM E-Business Suite Asserter application.You 執行處理,以使用不同組態在 HA 模式部署 EBS Asserter,如下節所述:

  1. 多部 WebLogic 伺服器機器,每部機器都代管單一受管理伺服器,並以單一 EBS Asserter 部署。
  2. 具有多個受管理伺服器的單一 WebLogic 伺服器機器。每個受管理伺服器都具有 EBS Asserter 的單一部署。
  3. 具有單一受管理伺服器的單一 WebLogic 伺服器機器。受管理伺服器具有多個 EBS Asserter 部署。

若要完成第三個方案,您必須執行下列任務:

  • 將檔案部署至相同的 WebLogic 受管理伺服器之前,請先重新命名每個 EBS 宣告器應用程式的 Web 應用程式資源 (WAR) 檔案。在此情況下,所有 E-Business Suite Asserter URL 的網域名稱和連接埠號碼都會相同,但 URL 的相關資訊環境將會變更。
  • 將每個 ebs.war 檔案的內容擷取至資料夾、尋找 weblogic.xml 檔案、編輯此檔案、更新 <cookie-path> 標記的值以符合 EBS Asserter 的 URL,然後重建 ebs.war 檔案。

例如,若要讓 E-Business Suite Asserter 回應 URL 相關資訊環境 /app/ebs,請在 weblogic.xml 內將標記更新為值 <cookie-path>/app/ebs</cookie-path>

例如,如果您有兩個名為 Development 1Development 2 的 EBS 執行處理,而您想要使用 E-Business Suite Asserter 將這些 EBS 執行處理與 OCI IAM 整合,但這兩個 E-Business Suite Asserter 應用程式只有一個 WebLogic 受管理伺服器,則您必須針對每個 EBS 執行處理執行此教學課程中的程序。您只能設定 WebLogic 伺服器一次,並為每個 EBS 執行處理設定和部署 E-Business Suite Asserter 應用程式:

  • EBS 執行處理開發 1
    • 建立 ebs.war 檔案的複本,並將新檔案命名為 ebsdev1.war
    • 使用下列值取代 cookie-path 標記,以更新 ebsdev1.war 檔案中包含的 weblogic.xml<cookie-path>/ebsdev1</cookie-path>
    • 更新 ebsdev1.war 檔案中包含的 bridge.properties 檔案 (區段 5)。
    • 重新建立 ebsdev1.war 檔案,然後將此檔案 (第 7 節) 部署到 WebLogic 受管理伺服器。
  • EBS 執行處理開發 2
    • 建立 ebs.war 檔案的複本,並將新檔案命名為 ebsdev2.war
    • 使用下列值取代 cookie-path 標記,以更新 ebsdev2.war 檔案中包含的 weblogic.xml<cookie-path>/ebsdev2</cookie-path>
    • 更新 ebsdev2.war 檔案中包含的 bridge.properties 檔案 (區段 5)。
    • 重新建立 ebsdev2.war 檔案,然後將此檔案 (第 7 節) 部署到 WebLogic 受管理伺服器。

您將同時將 ebsdev1.warebsdev2.war 檔案建置到相同的 WebLogic 受管理伺服器。EBS 執行處理 Development 1 的 E-Business Suite Asserter URL 將會是 https://ebsasserter.example.com:7002/ebsdev1,而 EBS 執行處理 Development 2 https://ebsasserter.example.com:7002/ebsdev2 則是如此。

開始之前

開始使用 E-Business Suite Asserter 之前,請先瞭解如何啟用它,以及如何與其他元件搭配運作。

  • 您的 Oracle E-Business Suite 若已與 Oracle Access Manager、Oracle Internet Directory、E-Business Suite AccessGate 整合,或使用任何其他 SSO 設定檔,請先移除這些元件與 Oracle E-Business Suite 之間的整合,然後再重新啟動伺服器,再使用 OCI IAM E-Business Suite Asserter。
  • 瞭解支援的項目。所有使用瀏覽器登入的 Oracle E-Business 模組,將搭配 E-Business Suite Asserter for SSO 使用。支援以 Excel 為基礎的 Web ADI 登入。支援 EBS 的行動 App,例如核准與費用。不支援不使用瀏覽器登入的模組,如 Mobile Web Applications (MWA) 與 E-Signature。

架構

在此播放手冊中,會建立一個由兩個 WebLogic 機器組成的 WebLogic 叢集。每台 WebLogic 機器都代管一個 WebLogic 受管理伺服器。兩個 E-Business Suite Asserter 的兩個執行處理會部署在兩個 WebLogic 受管理伺服器上。OCI 負載平衡器主要用於提供 OCI IAM 宣告器兩個節點之間的高可用性和流量管理。

Oracle E-Business Suite 也部署在高可用性環境,同時使用 Oracle EBS Cloud Manager 在兩個不同的節點。Oracle E-Business Suite 使用具有兩個資料庫伺服器節點的 Oracle RAC 資料庫。OCI IAM 宣告器會透過 OCI IAM Rest API 與 OCI IAM 互動,並將使用者的 Web 瀏覽器重新導向至 OCI IAM 和 Oracle E-Business Suite。

下列架構圖說明 E-Business Suite Asserter、Oracle E-Business Suite 及 OCI IAM 的互動方式。


ebs_asserter_ha_arch.png 的描述如下
ebs_asserter_ha_arch.png 圖解說明

  1. 使用者要求存取受 Oracle E-Business Suite 保護的資源。
  2. 此要求會送達 OCI 負載平衡器,並根據後端伺服器的可用性,將要求轉送至適當的 Oracle E-Business Suite 伺服器。
  3. Oracle E-Business Suite 會將使用者瀏覽器重新導向至透過 OCI 負載平衡器導向的 E-Business Suite Asserter 應用程式。
  4. OCI 負載平衡器會根據後端 E-Business Suite Asserter 伺服器的組態和可用性,將要求轉送至適當的 E-Business Suite Asserter 伺服器。OCI 負載平衡器會產生 Cookie,並將其連附至要求以維持階段作業固定性。
  5. OCI IAM 宣告器使用 OCI IAM SDK 產生授權 URL,然後將瀏覽器重新導向至 OCI IAM。
  6. OCI IAM 會向使用者顯示其登入頁面。
  7. 使用者會將證明資料送出至 OCI IAM。
  8. OCI IAM 會發出授權代碼,並將使用者的瀏覽器重新導向至「E-Business Suite 宣告器」。
  9. 回應會送達 OCI 負載平衡器,而且會根據階段作業 Cookie,將要求重新導向至適當的 E-Business Suite Asserter 伺服器。
  10. E-Business Suite Asserter 使用 OCI IAM SDK 與 OCI IAM 進行通訊,以交換存取權杖的授權代碼。
  11. OCI IAM 會對 E-Business Suite Asserter 發出存取記號和 ID 記號。
  12. E-Business Suite Asserter 會建立 Oracle E-Business Suite Cookie,並將使用者的瀏覽器重新導向至 Oracle E-Business Suite。
  13. Oracle E-Business Suite 會顯示使用者請求的受保護資源。

關於必要的服務與角色

OCI IAM 管理員必須能夠存取 OCI IAM 主控台,才能下載 E-Business Suite Asserter 並設定及啟用應用程式。

您必須有下列服務和產品的存取權:
  • OCI IAM
  • Oracle E-Business Suite - 甲骨文電子商務應用軟體

您必須具有下列角色:

角色 需要 ...

OCI IAM:安全管理員

存取 OCI IAM 主控台的下載頁面。您可以從此頁面下載 OCI IAM E-Business Suite Asserter。

OCI IAM:應用程式管理員

管理 OCI IAM 中的應用程式,包括向 OCI IAM 註冊範例行動 App。

Oracle E-Business Suite:伺服器管理員

存取 Oracle E-Business Suite 安裝資料夾、您部署 E-Business Suite Asserter 的 Oracle WebLogic Server,以及以作業系統使用者身分部署 E-Business Suite Asserter 機器。