Short intro: here you can find use case – how to establish
SSO with Oracle e-Business Suite and other Oracle Apps using IDCS & SPGateway
(partner solution from ICSynergy)…
В последнее время
поступил уже ряд запросов на то, как лучше (проще, дешевле и качественнее, и
желательно еще без CAPEXа)
организовать SSO между Oracle e-Business Suite (и другими приложениями Oracle)
и MS Active Directory. Немного текста сравнения текущего On-Prem решения и уже предлагаемого облачного решения – под катом.
Традиционно эта
задача решалась при помощи продукта Oracle Single Sign-On, однако он вскоре был
заменен на Oracle Access Manager и именно этот продукт стал позиционироваться
для проведения SSO (https://blogs.oracle.com/stevenChan/entry/oracle_access_manager_11_15,
там далее по линкам). Однако, с Restricted Use сервера приложений,
который поставляется вместе с Oracle Applications (например, с Oracle e-Business Suite) можно получить только Oracle Access Manager Basic, который достаточен, чтобы выполнить SSO для пользователя,
зарегистрированного в OID.
Часто задача
ставится по-другому. Необходимо организовать SSO в Oracle Application (здесь и
далее будем использовать пример Oracle e-Business Suite) для пользователей
домена MS Active Directory с использованием протокола Kerberos. Это возможно с
использованием Oracle Access Manager, но Kerberos в данном случае
рассматривается как механизм аутентификации «третьих фирм» (Third Party Authentication Mechanism) (https://docs.oracle.com/cd/E18727_01/doc.121/e12843/T156458T465432.htm).
Неудивительно, что этот механизм не поддерживается лицензией Oracle Access
Manager Basic (http://docs.oracle.com/cd/E55108_01/doc.1213/e56762/oam_basic1.htm). Выход один –
требуется лицензировать Oracle Access Manager.
Как известно из
правил лицензирования Oracle Access Manager (можете посмотреть любой актуальный
Oracle Global Technology Price List), его тип лицензии – Employee User ($25 / Employee User), что
означает, что вы должны будете лицензировать OAM по всем пользователям, которые
работают за компьютером, вне зависимости от того, работает он с приложением или
нет.
С выходом
Identity Cloud Service (IDCS - https://cloud.oracle.com/idcs) появилось новое предложение
для осуществления подобной интеграции. Как вы знаете, этот сервис позволяет на
основе облачного репозитория пользователей входить в локальные системы, которые
поддерживают протокол SAML2. Однако, приложения Oracle (это касается как Oracle e-Business Suite, так и многих других приложений) SAML2 не
поддерживают. Для интеграции этих приложений с IDCS-сервисом компания-партнер
Oracle, ICSynergy (https://www.icsynergy.com) разработала
специальный продукт под названием SPGateway (https://www.icsynergy.com/spgateway/).
В результате вы можете установить небольшой, простой в настройке шлюз (по крайней мере, как это заявляется) в DMZ
зону своей компании и пользоваться сервисом SSO (от $1 / пользователя в месяц).
Преимущества
облачного решения очевидны – вам нет необходимости вкладываться в лицензии
Oracle Access Manager, которые моментально уйдут на амортизацию вашего отдела
или подразделения, вы избавляетесь от головной боли по настройки и поддержания
интеграции, включая поддержание 24x7 доступности серверов OAM в кластере в
вашем ЦОД. В конце концов, это просто дешевле, начиная с определенного количества
сотрудников компании, да и пользователей вы можете считать не по количеству
пользователей компании, а по тому количеству, которое реально работает с
системой. Недостатки – это партнерское решение от партнера в США, которое, помимо
самого продукта, тянет с собой небольшой консалтинг, и SSO сервер будет
находиться в ЦОД за пределами периметра компании (это ограничение впоследствии
можно будет обойти с OCM – Oracle Cloud Machine, https://cloud.oracle.com/en_US/cloudmachine).
К сожалению,
материалами, которые есть у меня, я поделиться не могу ввиду грифа ”Proprietary & Confidential”, поэтому в данном посте ограничусь
общедоступными линками и информацией. Для деталей можете обратиться ко мне
лично.
No comments:
Post a Comment