SSO für SiteMinder

SiteMinder ist eine Weblösung. Desktopanwendungen und ihre Add-ins (beispielsweise Microsoft Excel und Report Designer) können Authentifizierung durch SiteMinder nicht verwenden. Oracle Smart View for Office kann jedoch die SiteMinder-Authentifizierung verwenden.

Prozessfluss

In der folgenden Abbildung finden Sie eine Übersicht über SiteMinder-fähiges SSO:


SiteMinder-Single Sign-On-Prozess

SiteMinder-SSO-Prozess:

  1. Benutzer versuchen, auf eine mit SiteMinder geschützte Oracle Enterprise Performance Management System-Ressource zuzugreifen. Sie verwenden eine URL, um eine Verbindung zu dem Webserver herzustellen, der als Frontend für den SiteMinder-Policy-Server dient, wie z.B. http://WebAgent_Web_Server_Name:WebAgent_Web_ServerPort/interop/index.jsp.
  2. Der Webserver leitet Benutzer an den Policy-Server um, der die Benutzer nach Zugangsdaten fragt. Nachdem die Zugangsdaten anhand der konfigurierten Benutzerverzeichnisse geprüft wurden, übergibt der Policy-Server die Zugangsdaten an den Webserver, der den SiteMinder-Web-Agent hostet.
  3. Der Webserver, der den SiteMinder-Web-Agent hostet, leitet die Anforderung an den Oracle HTTP Server um, der als Frontend für EPM System dient. Oracle HTTP Server leitet Benutzer an die angeforderte Anwendung um, die auf Oracle WebLogic Server bereitgestellt ist.
  4. Die EPM System-Komponente prüft Provisioning-Informationen und zeigt Inhalt an. Damit dieser Prozess funktioniert, müssen die Benutzerverzeichnisse, die SiteMinder zur Benutzerauthentifizierung verwendet, als externe Benutzerverzeichnisse in EPM System konfiguriert sein. Diese Verzeichnisse müssen als vertrauenswürdig konfiguriert sein.

Besondere Hinweise

SiteMinder ist eine Weblösung. Desktopanwendungen und ihre Add-ins (beispielsweise Microsoft Excel und Report Designer) können Authentifizierung durch SiteMinder nicht verwenden. Smart View kann jedoch die SiteMinder-Authentifizierung verwenden.

Voraussetzungen

  1. Eine vollständig funktionsfähige SiteMinder-Installation mit den folgenden Komponenten:
    • SiteMinder-Policy-Server, auf dem Policys und Agent-Objekte definiert sind
    • SiteMinder-Web-Agent, der auf dem Webserver installiert ist, der als Frontend für den SiteMinder-Policy-Server dient
  2. Ein vollständig funktionsfähiges EPM System-Deployment.

    Beim Konfigurieren des Werbservers für EPM System-Komponenten konfiguriert EPM System Configurator den Wert mod_wl_ohs.conf, um Proxyanforderungen an den WebLogic Server zu senden.

SiteMinder-Web-Agent aktivieren

Der Web-Agent ist auf einem Webserver installiert, der Abfragen für EPM System-Ressourcen abfängt. Wenn nicht authentifizierte Benutzer versuchen, auf geschützte EPM System-Ressourcen zuzugreifen, wird der Web-Agent gezwungen, die Benutzer nach SSO-Zugangsdaten zu fragen. Wenn der Benutzer authentifiziert wird, fügt der Policy-Server den Anmeldenamen dieses Benutzers im Header hinzu. Danach wird die HTTP-Anforderung an den EPM System-Webserver übergeben, der die Anforderungen umleitet. EPM System-Komponenten extrahieren die Zugangsdaten von authentifizierten Benutzern aus Headern.

SiteMinder unterstützt SSO in allen EPM System-Produkten, die auf heterogenen Webserverplattformen laufen. Wenn EPM System-Produkte verschiedene Webserver verwenden, müssen Sie sicherstellen, dass das SiteMinder-Cookie unter Webservern der gleichen Domain weitergegeben werden kann. Hierzu geben Sie die entsprechende EPM System-Anwendungsdomain als Wert für die Eigenschaft Cookiedomain in der Datei WebAgent.conf der einzelnen Webserver an.

Informationen hierzu finden Sie im Abschnitt zum Konfigurieren von Web-Agents in der Dokumentation Netegrity SiteMinder Agent Guide.

Hinweis:

Da Oracle Hyperion Shared Services die Basisauthentifizierung verwendet, um den zugehörigen Inhalt zu schützen, muss der Webserver, der Anforderungen an Shared Services abfängt, die Basisauthentifizierung aktivieren, um SSO mit SiteMinder zu unterstützen.

Sie konfigurieren den Web-Agent, indem Sie den Konfigurationsassistenten für den SiteMinder-Web-Agent ausführen (über WEBAGENT_HOME/install_config_info/nete-wa-config, z.B. C:\netegrity\webagent\install_config_info\nete-wa-config.exe unter Windows). Der Konfigurationsprozess erstellt die Datei WebAgent.conf für den SiteMinder-Webserver.

So aktivieren Sie den SiteMinder-Web-Agent:

  1. Öffnen Sie WebAgent.conf mit einem Texteditor. Der Speicherort dieser Datei hängt von dem verwendeten Webserver ab.
  2. Setzen Sie den Wert der Eigenschaft enableWebAgent auf Yes.
    enableWebAgent="YES"
  3. Speichern und schließen Sie die Konfigurationsdatei des Web-Agents.

Beispiel 3-1 SiteMinder-Policy-Server konfigurieren

Ein SiteMinder-Administrator muss den Policy-Server so konfigurieren, dass SSO für EPM System-Produkte aktiviert ist.

Der Konfigurationsprozess umfasst die folgenden Schritte:

  • Erstellen Sie einen SiteMinder-Web-Agent, und fügen Sie geeignete Konfigurationsobjekte für den SiteMinder-Webserver hinzu.
  • Erstellen Sie eine Realm für jede EPM System-Ressource, die geschützt werden soll, und fügen Sie der Realm den Web-Agent hinzu. Informationen hierzu finden Sie unter Zu schützende Ressourcen.
  • Erstellen Sie in der Realm, die für geschützte EPM System-Ressourcen erstellt wurde, Realms für nicht geschützte Ressourcen. Informationen hierzu finden Sie unter Ressourcen mit aufzuhebendem Schutz.
  • Erstellen Sie eine HTTP-Headerreferenz. Der Header muss EPM System-Anwendungen den Wert von Login Attribute bereitstellen. Eine kurze Beschreibung zu Login Attribute finden Sie unter "OID, Active Directory und andere LDAP-basierte Benutzerverzeichnisse konfigurieren" in der Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit.
  • Erstellen Sie Regeln in den Realms mit den Web-Agent-Aktionen "Get", "Post" und "Put".
  • Erstellen Sie ein Antwortattribut mit dem Wert hyplogin=<%userattr="SM_USERLOGINNAME"%>.
  • Erstellen Sie eine Policy, weisen Sie Zugriff auf das Benutzerverzeichnis zu, und fügen Sie der Liste "Aktuelle Elemente" Regeln hinzu, die Sie für EPM System erstellt haben.
  • Legen Sie Antworten für die Regeln fest, die Sie für EPM System-Komponenten erstellt haben.

Beispiel 3-2 SiteMinder-Webserver zum Weiterleiten von Anforderungen an den EPM System-Webserver konfigurieren

Konfigurieren Sie den Webserver, der den SiteMinder-Weg-Agent hostet, sodass Anforderungen von authentifizierten Benutzern (die den Header enthalten, mit dem der Benutzer identifiziert wird) an den EPM System-Webserver weitergeleitet werden.

Verwenden Sie für Webserver, die auf Apache basieren, Anweisungen wie die folgende, um authentifizierte Anforderungen weiterzuleiten:

ProxyPass / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPassReverse / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/
ProxyPreserveHost On
#If SiteMinder Web Server is using HTTPS but EPM Web Server is using HTTP
RequestHeader set WL-Proxy-SSL true

Ersetzen Sie in dieser Anweisung EPM_WEB_SERVER und EPM_WEB_SERVER_PORT durch die tatsächlichen Werte für Ihre Umgebung.

Beispiel 3-3 SiteMinder in EPM System aktivieren

Die Integration von SiteMinder erfordert, dass Sie die SiteMinder-Authentifizierung für EPM System-Produkte aktivieren. Informationen hierzu finden Sie unter EPM System für SSO konfigurieren.