1. 針對 Oracle E-Business Suite 在 Azure AD 和 Oracle Access Manager 之間設定 SSO
  2. 準備在 Azure AD 和 Oracle Access Manager 之間設定 SSO (適用於 Oracle E-Business Suite)

準備在 Azure AD 和 Oracle Access Manager 之間設定 SSO (適用於 Oracle E-Business Suite)

在嘗試此解決方案中描述的整合之前,您需要考慮某些假設和詳細資料。

除了此處所討論的先決條件和假設之外,您還必須佈建使用者屬性,包括對此整合至關重要的三個屬性:使用者原則名稱 (UPN)、USER_NAME 以及 USER_ORCLGUID。本文提供有關這些屬性及其使用方式的詳細資料。

瞭解必要條件與假設

您可採用的關鍵先決條件和假設如下:

  • 「架構」區段中列出的所有元件都已經建置且正在運作中。
  • 已整合 Oracle E-Business Suite 和 Oracle Access Manager。如果沒有,請依照 My Oracle Support 中主要清單所參考的正確文件:使用最新 Oracle E-Business Suite AccessGate 用於與 Oracle Access Manager 整合的單一登入 (文件 ID 2202932.1)。
  • 已將使用者帳戶從 Azure AD 佈建至 Oracle Access Manager LDAP 伺服器 (請參閱下列段落)。佈建實行超出此文件的範圍,因為有多種方法可以實行此文件。
  • 已使用 Oracle Directory Integration Platform 將使用者從 Oracle Access Manager LDAP 伺服器佈建至 E-Business Suite 資料庫。此流程會在其中一個 Oracle E-Business Suite SSO 與 Oracle Access Manager 整合指南中說明。另請參閱下列小節。
  • 已導入任何 Oracle E-Business Suite 和 Oracle Access Manager 元件的高可用性 (HA)。可以達成高可用性,但已經超出本文件的範圍。

佈建 Oracle Access Manager 與 E-Business Suite 整合的屬性

正確指派整合 Oracle Access Manager 和 E-Business Suite 所需的唯一使用者金鑰,是成功導入此解決方案的關鍵。

在 E-Business Suite 和 Oracle Access Manager 整合中,USERNAMEORCLGUID 是 Oracle Access Manager LDAP 伺服器與 E-Business Suite 資料庫之間使用的重要唯一使用者金鑰。例如,Oracle Access Manager LDAP 伺服器 (Oracle Unified Directory 或 Oracle Internet Directory) 通常使用 LDAP 屬性 uid 作為使用者名稱。不過,建立使用者項目時,會自動建立作業屬性 orclguid,並儲存唯一的 32 字元值。同樣地,在 E-Business Suite 中,使用者名稱儲存在 USER_NAME 中,orclGUID 儲存在 USER_GUID 中。兩個屬性都必須是唯一的。

在驗證流程中,WebGate 會傳送三個標頭:USER_NAMEUSER_ORCLGUIDOAM_LOCALE。與 E-Business Suite 認證最為重要的是 USER_NAMEUSER_ORCLGUID,可從 Oracle Access Manager LDAP 伺服器擷取。屬性值必須符合 Oracle Access Manager LDAP 伺服器與 E-Business Suite 資料庫使用者綱要。

關於從 Azure AD 佈建,您可以使用 samAccountName 作為 Oracle Access Manager LDAP 伺服器中的 uidsamAccountName 對於 Oracle Access Manager 與 E-Business Suite 整合而言也很重要,因為會啟用唯一性 Plugin,以確保 uid 是唯一的。uid 屬性在聯合認證中並不重要,但請務必確保值在 Oracle Access Manager LDAP 伺服器和 E-Business Suite 資料庫中是唯一的。

佈建 Azure AD 與 Oracle Access Manager 整合的屬性

正確指派整合 Azure AD 和 Oracle Access Manager 所需的唯一使用者金鑰,是成功建置此解決方案的關鍵。

依照 Azure AD 最佳做法,會使用使用者主要項目名稱 (UPN) 作為聯合使用者對應屬性值。UPN 提供可靠的唯一值,可登入使用者帳戶並比對 Oracle Access Manager 與 E-Business Suite。因此,這是 Azure AD 與 Oracle Access Manager 之間的聯合的最佳選擇。

下表列出建議從 Azure AD 啟動設定至 Oracle Access Manager LDAP 伺服器的最小屬性。
Azure 屬性 LDAP 屬性 範例
userPrincipalName mail test.user1@mydomain.com
samAccountName uid test.user1@mydomain.com
displayName cn User1
givenName givenName 測試
sn sn User1