25 нояб. 2016 г.

IDCS (Oracle Identity Cloud Service): SSO в Oracle e-Business Suite и другие приложения Oracle

Short intro: here you can find use case – how to establish SSO with Oracle e-Business Suite and other Oracle Apps using IDCS & SPGateway (partner solution from ICSynergy)…

В последнее время поступил уже ряд запросов на то, как лучше (проще, дешевле и качественнее, и желательно еще без CAPEXа) организовать SSO между Oracle e-Business Suite (и другими приложениями Oracle) и MS Active Directory. Немного текста сравнения текущего On-Prem решения и уже предлагаемого облачного решения – под катом.




Традиционно эта задача решалась при помощи продукта Oracle Single Sign-On, однако он вскоре был заменен на Oracle Access Manager и именно этот продукт стал позиционироваться для проведения SSO  (https://blogs.oracle.com/stevenChan/entry/oracle_access_manager_11_15, там далее по линкам). Однако, с Restricted Use сервера приложений, который поставляется вместе с Oracle Applications (например, с Oracle e-Business Suite) можно получить только Oracle Access Manager Basic, который достаточен, чтобы выполнить SSO для пользователя, зарегистрированного в OID.

Часто задача ставится по-другому. Необходимо организовать SSO в Oracle Application (здесь и далее будем использовать пример Oracle e-Business Suite) для пользователей домена MS Active Directory с использованием протокола Kerberos. Это возможно с использованием Oracle Access Manager, но Kerberos в данном случае рассматривается как механизм аутентификации «третьих фирм» (Third Party Authentication Mechanism) (https://docs.oracle.com/cd/E18727_01/doc.121/e12843/T156458T465432.htm). Неудивительно, что этот механизм не поддерживается лицензией Oracle Access Manager Basic (http://docs.oracle.com/cd/E55108_01/doc.1213/e56762/oam_basic1.htm). Выход один – требуется лицензировать Oracle Access Manager.

Как известно из правил лицензирования Oracle Access Manager (можете посмотреть любой актуальный Oracle Global Technology Price List), его тип лицензии – Employee User  ($25 / Employee User), что означает, что вы должны будете лицензировать OAM по всем пользователям, которые работают за компьютером, вне зависимости от того, работает он с приложением или нет.

С выходом Identity Cloud Service (IDCS - https://cloud.oracle.com/idcs) появилось новое предложение для осуществления подобной интеграции. Как вы знаете, этот сервис позволяет на основе облачного репозитория пользователей входить в локальные системы, которые поддерживают протокол SAML2. Однако, приложения Oracle (это касается как Oracle e-Business Suite, так и многих других приложений) SAML2 не поддерживают. Для интеграции этих приложений с IDCS-сервисом компания-партнер Oracle, ICSynergy (https://www.icsynergy.com) разработала специальный продукт под названием SPGateway (https://www.icsynergy.com/spgateway/). В результате вы можете установить небольшой, простой в настройке шлюз (по крайней мере, как это заявляется) в DMZ зону своей компании и пользоваться сервисом SSO (от $1 / пользователя в месяц).

Преимущества облачного решения очевидны – вам нет необходимости вкладываться в лицензии Oracle Access Manager, которые моментально уйдут на амортизацию вашего отдела или подразделения, вы избавляетесь от головной боли по настройки и поддержания интеграции, включая поддержание 24x7 доступности серверов OAM в кластере в вашем ЦОД. В конце концов, это просто дешевле, начиная с определенного количества сотрудников компании, да и пользователей вы можете считать не по количеству пользователей компании, а по тому количеству, которое реально работает с системой. Недостатки – это партнерское решение от партнера в США, которое, помимо самого продукта, тянет с собой небольшой консалтинг, и SSO сервер будет находиться в ЦОД за пределами периметра компании (это ограничение впоследствии можно будет обойти с OCM – Oracle Cloud Machine, https://cloud.oracle.com/en_US/cloudmachine).

К сожалению, материалами, которые есть у меня, я поделиться не могу ввиду грифа ”Proprietary & Confidential”, поэтому в данном посте ограничусь общедоступными линками и информацией. Для деталей можете обратиться ко мне лично.


Комментариев нет:

Отправить комментарий