Článek přečtěte do 3 min.

Způsob, jakým konfigurujete jednotné přihlašování SAML 2.0 pro OAS, se liší od Oracle Business Intelligence Enterprise Edition (OBIEE). S OAS nesmíte upravovat ani přizpůsobovat binární soubory, jako jsou soubory .ear a konfigurační soubory domény. Toto řešení využívá Apache HTTP server fungující na Oracle Enterprise Linux 7/8 nebo Red Hat Enterprise Linux 7/8 s autentizačním modulem mod_auth_mellon.

Předpoklady

  • Oracle Analytics Server (verze 5.9.0 nebo vyšší).
  • V konzole pro správu serveru Oracle WebLogic Server je stejné úložiště uživatelů dostupné u poskytovatele identity SAML nakonfigurováno jako poskytovatel ověřování.
  • Pokud Oracle WebLogic Server nemá externí autentizátor, nakonfigurujte OAS tak, aby používal stejné uživatele a skupiny ve vestavěném LDAP WebLogic, které odešle SAML IdP po úspěšné autentizaci.
  • Oracle WebLogic Server konfigurovaný s prvkem prosazování identity, jako je Oracle Access Manager Identity Asserter (OAMIdentityAsserter) pro OAS.

Přehled konfigurace

  • Nakonfigurujte server Apache HTTP jako server proxy OAS.
  • Nainstalujte mod_auth_mellon na server Apache HTTP a nakonfigurujte plugin na webovém serveru.
  • Nakonfigurujte SAML SP pomocí SAML IdP.
  • Nakonfigurujte seznam Protected, Public, Excluded Resources na serveru Apache HTTP s AuthType jako mellon.
  • Nakonfigurujte OAM Identity Asserter v OAS WebLogic Server.
  • V aplikaci Fusion Middleware Enterprise Manager nakonfigurujte adresu URL pro odhlášení jednotného přihlášení.

Tok autentizace

Tento sekvenční diagram ukazuje tok ověřování a komunikaci mezi prohlížečem, serverem Apache HTTP, poskytovatelem identity SAML a serverem Oracle WebLogic Server, na kterém je nainstalován server Oracle Analytics Server. Diagram neukazuje přesnou komunikaci, ke které dochází mezi prohlížečem, serverem Apache HTTP, serverem Oracle Analytics a jakýmkoli poskytovatelem identity kompatibilním se standardem SAML 2.0.

saml_mellon

  1. Uživatel přejde na adresu URL OAS v prohlížeči pomocí serveru Apache HTTP (/dv nebo /analytics).
  2. Pokud je zdrojem chráněný zdroj, ověřovací modul HTTP serveru Apache (mellon) odkáže uživatele na poskytovatele identity SAML za účelem ověření.
  3. K ověření poskytovatel identity SAML zobrazí přihlašovací stránku jednotného přihlášení v prohlížeči nebo použije mechanismus ověřování nastavený pro poskytovatele identity SAML.
  4. Uživatel odešle přihlašovací údaje poskytovateli identity SAML.
  5. Po úspěšné autentizaci poskytovatel identity SAML doručí ověřeného uživatele v odpovědi SAML poskytovateli služeb (server Apache HTTP s mod_auth_mellon).
  6. Poskytovatel služeb doručí ID uživatele do Oracle WebLogic v HTTP hlavičce s názvem OAM_REMOTE_USER.
  7. Oracle WebLogic Server používá nástroj Oracle Access Manager Identity Asserter (OAMIdentityAsserter) k načtení ID uživatele z hlavičky HTTP. Pokud uživatel existuje, OAS udělí uživateli role aplikace a udělí přístup k požadovanému zdroji (/dv nebo /analytics) prostřednictvím webového serveru.
  8. Webový server zobrazí požadovaný zdroj v prohlížeči uživatele.

Úvahy

Společnost Oracle doporučuje, abyste použili referenční implementaci pro vlastní jednotné přihlašování SAML 2.0, které je k dispozici jako řešení založené na Dockeru pro OAS. Tento přístup využívá webovou vrstvu a prvek WebLogic. Viz SAML 2.0 a Konfigurace jednotného přihlášení Kerberos pro Oracle Analytics Server (ID dokumentu 2761678.1).

OAM_REMOTE_USER, iv-user a SM_USER jsou podporované hlavičky dostupné na OAM Identity Asserter.

Aby se zabránilo nesprávnému přístupu, společnost Oracle doporučuje omezit přímý přístup pro všechny koncové uživatele na spravovaný server Oracle WebLogic hostující OAS (bi_serverN) na portu 9502.

K dosažení adresy URL OAS musí koncoví uživatelé použít server HTTP Apache.

Konkrétní zdroje jsou záměrně ponechány nechráněné modulem mod_auth_mellon. Tyto prostředky jsou přístupné prostřednictvím základního ověřovacího mechanismu (ID uživatele a heslo) OAS a jsou určeny pro použití nástroji, které nemohou používat jednotné přihlašování.

Přístup

Pro toto řešení SSO je před OAS nasazen Apache HTTP Server (httpd) s autentizačním modulem mod_auth_mellon.

Apache HTTP Server provádí ověřování SAML 2.0 SSO a poskytuje ID uživatele úspěšně ověřeného uživatele serveru Oracle WebLogic Server, který je hostitelem OAS.

Oracle WebLogic Server je nakonfigurován s Identity Asserter (jako je OAMIdentityAsserter), aby přijal ID uživatele a potvrdil uživatele stejně jako běžná konfigurace jednotného přihlašování založená na Oracle Access Manager (OAM). V důsledku toho je tento přístup běžným řešením OAM (HTTP header-based SSO), pokud si je OAS vědom, což znamená, že veškerá funkčnost certifikovaná pro běžné SSO také funguje s tímto přístupem.

HTTP Server Apache s požadovaným modulem ověřování mod_auth_mellon musí být nainstalován na stejném nebo samostatném počítači jako server OAS.

Seznam chráněných, veřejných a vyloučených zdrojů pro OAS.

Viz Aktualizace chráněných, veřejných a vyloučených zdrojů pro podnikové nasazení.

Pokyny pro konfiguraci

Podpora Oracle má pokyny pro konfiguraci jednotného přihlášení SAML 2.0 pro OAS pomocí ověřovacího modulu Mellon a serveru Apache HTTP. Viz znalostní dokument ID 2902159.1, Konfigurace serveru Oracle Analytics Server pro jednotné přihlášení (SSO) SAML 2.0 pomocí modulu Mellon Authentication Module Apache HTTP Server (DocID 2902159.1).

Výzva k akci

V tomto článku jste se naučili, jak nakonfigurovat jednotné přihlašování SAML 2.0 pro OAS pomocí serveru Apache HTTP a jeho ověřovacího modulu mod_auth_mellon. Ke zpracování jednotného přihlašování SAML 2.0 využívá Apache HTTP Server modul mod_auth_mellon. Jiné techniky SSO pro OAS jsou podporovány. Konfigurace SAML 2.0 a Kerberos Single Sign-On pro Oracle Analytics Server je navrhovaným přístupem pro SSO.

Zdroj: Oracle