mai 28, 2018

Configuration de SAML SSO avec Azure AD et Oracle EPBCS / PBCS

Azure Active Directory (AD) est le répertoire Microsoft et le service IAM (Identity and Access Management) dans le cloud, par opposition à ADFS, un service de jeton de sécurité (STS) sur Windows basé sur les revendications. Dans une fédération SAML (Security Assertion Markup Language) cependant, Azure AD et ADFS sont fonctionnellement équivalents en tant que fournisseur d'identité (IdP) pour un fournisseur de services (SP) tel qu'une application basée sur le cloud. Auparavant, nous avons discuté de la fédération SAML avec ADFS et Oracle PBCS ici . Dans cette discussion, nous décrivons les étapes de haut niveau pour établir l'authentification unique SAML entre Azure et Oracle Enterprise Planning and Budgeting Cloud Service (EPBCS).

Configuration IdP : La configuration IdP est effectuée par un administrateur Azure et les détails sont En fonction de la version d'Azure utilisée, nous soulignons uniquement les conditions requises pour configurer Azure comme fournisseur d'identité pour EPBCS ci-dessous.

Depuis le portail Azure, ajoutez l'application EPBCS

Continuer pour configurer l'authentification unique pour EPBCS dans Azure. Sélectionner le protocole SAML pour EPBCS

Entrer Détails EPBCS

Un exemple d'identificateur: https: // login.us.oraclecloud.com:443/oam/fed/cloud/adomain. L'identificateur est appelé URL de connexion ou ID de fournisseur dans EPBCS. Un exemple d'URL de réponse: https://login.us.oraclecloud.com:443/oam/server/fed/sp/sso?tenant=adomain . L'URL de réponse est connue sous le nom d'URL ACS (Assertion Consumer Service) dans EPBCS. À ce stade, ces valeurs ne doivent pas être exactes; nous pouvons les mettre à jour plus tard.

Poursuivre avec la configuration EPBCS, générer des métadonnées de fédération Azure et sauvegarder en tant que fichier xml, par exemple IdPmetadata.xml. Enregistrer la configuration EPBCS dans Azure.

Configuration SP : configurer EPBCS en tant que fournisseur de services

Se connecter à un domaine EPBCS avec un ID administrateur de domaine d'identité. Accédez à Utilisateurs-> Configuration SSO

Cliquez sur Configurer l'authentification unique

Sélectionnez "Importer les métadonnées du fournisseur d'identité" et naviguez jusqu'à téléchargez le fichier IdPmetadata.xml enregistré précédemment.

Laissez le protocole SSO comme identifiant HTTP et utilisateur à l'adresse e-mail de l'utilisateur contenue dans NameID. Cliquez sur Enregistrer pour continuer

Dans la capture d'écran ci-dessous, l'étape 2 montre les informations IdP stockées dans EPBCS. Notez l'ID du fournisseur EPBCS et l'URL ACS indiqués à l'étape 3. Comme mentionné précédemment, dans Azure, mettez à jour les URL SP pour EPBCS et enregistrez.

Toujours à partir du portail, un administrateur Azure peut affecter des utilisateurs et des groupes à EPBCS. Les mêmes utilisateurs ou groupes doivent exister dans EPBCS, soit par saisie manuelle, soit par téléchargement à partir d'un fichier CSV exporté depuis Azure. Les détails d'un processus de téléchargement par lots peuvent être trouvés ici

Test et activation SSO de EPBCS

Cliquez sur Test pour lancer la fédération SSO

Cliquez sur StartSSO et entrez l'ID utilisateur tel que défini dans Azure et dans EPBCS, par exemple, l'adresse e-mail de l'entreprise. Le message de réussite SSO est renvoyé