1. 為 Oracle E-Business Suite 設定 Azure AD 與 Oracle Identity Cloud Service 之間的 SSO
  2. 在 Azure AD 與 Identity Cloud Service 之間設定聯合信任

在 Azure AD 與 Identity Cloud Service 之間設定聯合信任

若要設定聯合信任,您必須將Oracle Identity Cloud Service 新增為 Azure AD 用戶中的圖庫應用程式。將應用程式新增至用戶之後,將 Azure AD 新增為Oracle Identity Cloud Service中的識別提供者 (IDP),然後在 Azure AD 中設定單一登入。

開始之前

設定 Azure AD 與Oracle Identity Cloud Service之間的聯合信任之前,請準備下列項目:

  • 您應該要有具備 Contributor 或更高權限之帳戶的 Azure 訂閱。您也必須在使用 Azure 平台的實機操作經驗。此解決方案不涵蓋 Azure IaaS 和安全最佳做法,無法建立和執行 vm 和應用程式。
  • 取得 Azure AD 訂閱並建立具備 Azure AD 入口網站中「應用程式管理員」或「全域管理員」角色的使用者。
  • 您應該知道如何在 Azure 中建立安全性群組,以及如何新增使用者至該群組。
  • Azure AD 與E-Business Suite 應用程式之間的使用者同步化是 SSO 的必要條件。您甚至可以使用Oracle Identity Cloud Service 功能,讓使用者在 Azure AD 與Oracle Identity Cloud Service之間保持同步。所有三個系統中至少要有一個相符的屬性。例如,Azure AD 中的使用者主要項目名稱 (UPN 或任何其他唯一屬性) 必須與Oracle Identity Cloud Service中的使用者名稱或任何其他屬性相符,而該屬性也必須與E-Business Suite 應用程式使用者名稱相符。

在 Azure AD 中將Oracle Identity Cloud Service 新增為圖庫應用程式

您需要Oracle Identity Cloud Service 租用的管理證明資料,才能新增為 Azure AD 中的圖庫應用程式。

您稍後需要有描述資料檔案。因此,請移至您的Oracle Identity Cloud Service 租用特定描述資料 URL,然後下載描述資料。URL 的外觀如下:https://<your_tenancy>.identity.oraclecloud.com/fed/v1/metadata
  1. 在 Azure 入口網站中,於左瀏覽窗格中選取Azure Active Directory
  2. 選取Azure Active Directory中的企業應用程式
  3. 選取新應用程式
  4. 導覽至圖庫中的新增, 然後在搜尋方塊中輸入"Oracle Identity Cloud Service for E-Business Suite"。從搜尋結果中選取符合的應用程式,然後新增您的應用程式。
  5. 選取您的應用程式以設定單一登入,然後在管理下,導覽至左側窗格中的單一登入
  6. 選取 SAML 作為單一登入方法。
  7. 在「使用 SAML -預覽設定單一登入」頁面中,瀏覽至「基本 SAML 組態」區段並按一下「上傳中繼資料檔案」。
  8. 選取您之前下載的Oracle Identity Cloud Service 描述資料檔案,然後按一下新增
  9. 在「登入 URL」特性方塊中,輸入Oracle Identity Cloud Service myconsole URL。
  10. 驗證 SAML 組態。如果遺漏Oracle Identity Cloud Service 登出 url,請新增。在使用者屬性與索賠區段中,保留預設值。
  11. 在「SAML 簽署憑證」段落中,按一 聯合描述資料 XML 旁邊的下載,即可下載 Azure AD 聯合描述資料檔案。
    此應用程式提供 Azure AD 與Oracle Identity Cloud Service之間的 SAML 2.0聯合連結,但E-Business Suite 應用程式使用者在 My Apps 入口網站中只能看到E-Business Suite 應用程式。
  12. 若要在「我的應用程式」入口網站中隱藏應用程式,請將可供使用者檢視? 特性設為

將 Azure AD 新增為Oracle Identity Cloud Service中的身分識別提供者

新增身分識別提供者時,會匯入您在新增儲藏庫應用程式時下載之身分識別提供者的描述資料內容。確定您有描述資料 XML 檔案或 URL 可供使用。

  1. 登入Oracle Identity Cloud Service 管理主控台。
  2. 瀏覽至安全性,選取身分識別提供者,然後新增身分識別提供者。
  3. 在「新增身分識別提供者」精靈中,輸入名稱並按「下一步」。
  4. 將您的應用程式新增至儲藏庫時,匯入已下載的Azure AD Federation Metadata XML 檔案。
  5. 在精靈的「設定」窗格中,使用要求的 NameID 格式的預設值。身分識別提供者使用者屬性的值應該是名稱 ID
  6. 將「Oracle Identity Cloud Service 使用者屬性」的值設為「主要電子郵件地址」,或設為 Identity Cloud Service 中可能保留 Azure AD 中使用者主要名稱的任何其他屬性。
  7. 設定 IDP 原則並新增先前建立的 Webgate-App 以使用 Azure AD 進行認證。
    1. 在導覽窗格中,按一下安全,然後按一下 IDP 原則以新增。
    2. 在精靈中輸入原則名稱,然後按「下一步」。
    3. 按一下指派,從清單中選取Azure AD IDP,然後結束精靈。您可以指派一個以上可能使用此 IDP 的應用程式。

Azure AD 中的完整「單一登入組態」

完成單一登入組態,建立Oracle Cloud Infrastructure 與 Azure AD 之間的連線。

  1. 登入 Azure 入口網站。
  2. 建立安全性群組並提供名稱。例如,oracleUsers.
  3. 瀏覽至Azure Active Directory 並選取使用者,然後建立使用者,以建立測試使用者。
  4. 將使用者新增至安全性群組。
  5. 指派群組給Oracle Identity Cloud Service SSO 應用程式。例如,Oracle -使用者群組包含可能透過Oracle Identity Cloud Service.存取E-Business Suite 應用程式的所有使用者
  6. 開啟Oracle Identity Cloud Service admin 主控台。
    為了進行測試,您可以在Oracle Identity Cloud Service 中手動建立使用者,或在Oracle Identity Cloud Service 中同步 Azure AD 使用者。應建立或同步使用者,讓 Azure AD 中的使用者主要項目名稱與Oracle Identity Cloud Service中使用者的主要電子郵件地址 (或某些其他屬性) 相符。例如,joe.smith@example.com 將是 Azure AD 和Oracle Identity Cloud Service 主要電子郵件地址中使用者的主要項目名稱。
  7. 在 Azure AD 中,使用測試帳戶瀏覽至 idcsso 企業應用程式並測試單一登入。