チュートリアル: Datawiza を構成して多要素認証 (MFA) を有効にし、Oracle Hyperion EPM にシングル サインオンする

このチュートリアルを使用して、Datawiza アクセス プロキシ (DAP) を使用して Oracle Hyperion Enterprise Performance Management (EPM) に対して Microsoft Entra 多要素認証とシングル サインオン (SSO) を有効にします。

詳細については、datawiza.com を参照してください。

DAP を使用してアプリケーションを Microsoft Entra ID と統合する利点:

• ゼロ トラストを使用してプロアクティブなセキュリティを採用する - 最新の環境に適応し、ハイブリッド ワークプレースを採用しつつ、ユーザー、デバイス、アプリ、データを保護するセキュリティ モデル
• Microsoft Entra ID シングル サインオン - 任意の場所からの、デバイスを使用した、ユーザーとアプリにとって安全かつシームレスなアクセス
• 仕組み: Microsoft Entra 多要素認証 - ユーザーは、サインイン時に携帯電話上のコードや指紋スキャンなどの識別形式を求められます
• 条件付きアクセスとは - ポリシーは if-then ステートメントで、ユーザーがリソースにアクセスするにはアクションを完了する必要がある
• コードなしの Datawiza を使用した Microsoft Entra ID での簡単な認証と認可 - Oracle JDE、Oracle E-Business Suite、Oracle Sibel、自社製アプリなどの Web アプリケーションを使用します
• Datawiza Cloud 管理コンソール (DCMC) を使用する - パブリック クラウドとオンプレミスのアプリケーションへのアクセスを管理する

シナリオの説明

このシナリオでは、保護されたコンテンツへのアクセスを管理するために HTTP Authorization ヘッダーを使用する Oracle Hyperion EPM 統合に重点を置いています。

レガシ アプリケーションでは最新のプロトコルがサポートされていないため、Microsoft Entra SSO との直接的な統合は困難です。 Datawiza Access Proxy (DAP) では、プロトコル遷移によって従来のアプリケーションと最新の ID コントロール プレーンとの間のギャップを橋渡しします。 DAP を使用すると、統合のオーバーヘッドが軽減され、エンジニアリングにかかる時間が短縮され、アプリケーションのセキュリティが向上します。

シナリオのアーキテクチャ

このソリューションには、次のコンポーネントがあります。

• Microsoft Entra ID - ユーザーが外部と内部のリソースにサインインしてアクセスするのを助ける、ID とアクセスの管理サービス
• Datawiza アクセス プロキシ (DAP) - ユーザー サインイン フロー用に OpenID Connect (OIDC)、OAuth、または Security Assertion Markup Language (SAML) を実装するコンテナー ベースのリバース プロキシ。 HTTP ヘッダーを介して ID をアプリケーションに透過的に渡します。
• Datawiza Cloud Management Console (DCMC) - 管理者は、DAP とアクセス制御ポリシーを構成するために UI API と RESTful API を使用して DAP を管理します。
• Oracle Hyperion EPM: Microsoft Entra ID と DAP によって保護されるレガシ アプリケーション

Microsoft Entra 認証アーキテクチャを使用した Datawiza でサービス プロバイダーによって開始されるフローについてご確認ください。

前提条件

次の前提条件が満たされていることを確認してください。

• Azure サブスクリプション
  • お持ちでない場合は、Azure 無料アカウントを取得できます
• Azure サブスクリプションにリンクされた Microsoft Entra テナント
  • 「クイックスタート: Microsoft Entra ID で新しいテナントを作成する」をご覧ください
• Docker と Docker Compose
  • docs.docker.com に移動して Docker を取得し、Docker Compose をインストールします
• オンプレミス ディレクトリから Microsoft Entra ID に同期されたユーザー ID、または Microsoft Entra ID 内で作成されてオンプレミス ディレクトリに戻されたユーザー ID
  • 「Microsoft Entra Connect 同期: 同期を理解してカスタマイズする」を参照してください
• Microsoft Entra ID アプリケーション管理者の役割を持つアカウント
  • 「Microsoft Entra 組み込みロール、すべてのロール」を参照してください
• Oracle Hyperion EMP 環境
  • (省略可能) HTTPS 経由でサービスを公開するための SSL Web 証明書。 テストには、既定の Datawiza 自己署名証明書を使用できます。

DAP の使用を開始する

Oracle Hyperion EPM を Microsoft Entra ID と統合するには:

1. Datawiza Cloud Management Console (DCMC) にサインインします。

2. [ようこそ] ページが表示されます。

3. オレンジ色の [作業の開始] ボタンを選択します。

   

4. [デプロイ名] の [名前] フィールドと [説明] フィールドに情報を入力します。

   

5. [次へ] を選択します。

6. [アプリケーションの追加] ダイアログが表示されます。

7. [プラットフォーム] で、[Web] を選択します。

8. [アプリ名] に一意のアプリケーション名を入力します。

9. [パブリック ドメイン] に、たとえば https://hyperion.example.com を使用します。 テストでは、localhost DNS を使用できます。 ロード バランサーの内側に DAP をデプロイしていない場合は、パブリック ドメイン ポートを使用します。

10. [リッスン ポート] で、DAP でリッスンされるポートを選択します。

11. [アップストリーム サーバー] で、保護する Oracle Hyperion 実装の URL とポートを選択します。

12. [次へ] を選択します。

13. [アプリケーションの追加] で、情報を入力します。 [パブリック ドメイン]、[リッスン ポート]、[アップストリーム サーバー] のエントリ例を確認してください。

14. [次へ] を選択します。

15. [IdP の構成] ダイアログで、関連情報を入力します。

16. ［作成］ を選択します

17. DAP デプロイ ページが表示されます。

18. デプロイ用の Docker Compose ファイルを書き留めておきます。 このファイルには DAP イメージが含まれています。また、プロビジョニング キーとプロビジョニング シークレットも含まれていて、DCMC から最新の構成とポリシーをプルします。

    

19. 完了 を選択します。

SSO ヘッダーと HTTP ヘッダー

DAP では ID プロバイダー (IdP) からユーザー属性が取得され、ヘッダーまたは Cookie を使用してアップストリーム アプリケーションに渡されます。

次の手順では、Oracle Hyperion EPM アプリケーションがユーザーを認識できるようにします。 名前を使用して、HTTP ヘッダーを介して IdP からアプリケーションに値を渡すように DAP に指示します。

1. 左側のナビゲーションから、[アプリケーション] を選択します。

2. 作成したアプリケーションを特定します。

3. [属性パス] サブタブを選択します。

4. [フィールド] で、[Email] を選択します。

5. [予想] で、[HYPLOGIN] を選択します。

6. [種類] で、[ヘッダー] を選択します。

   

   Note

   この構成では、Oracle Hyperion によって使用されるサインイン ユーザー名として Microsoft Entra ユーザー プリンシパル名を使用します。 別のユーザー ID については、[マッピング] タブに移動します。

   

SSL の構成

次の手順を使用して SSL を構成します。

1. [詳細] タブを選択します。

   

2. [SSL] タブで、[SSL を有効にする] を選択します。

3. [証明書の種類] ドロップダウンで、種類を選択します。 テスト用として、自己署名証明書があります。

   

   Note

   ファイルから証明書をアップロードできます。

   

4. [保存] を選択します。

ログイン リダイレクト URI とログアウト リダイレクト URI

ログイン リダイレクト URI とログアウト リダイレクト URI を示すには、次の手順に従います。

1. [詳細オプション] タブを選択します。

2. [ログイン リダイレクト URI] と [ログアウト リダイレクト URI] については、「/workspace/index.jsp」と入力します。

   

3. [保存] を選択します。

Microsoft Entra 多要素認証を有効にする

サインインのセキュリティを強化するために、Microsoft Entra MFA を適用することができます。

詳細については、「チュートリアル: Microsoft Entra MFA を使用してユーザー サインイン イベントをセキュリティで保護する」をご確認ください。

1. アプリケーション管理者ロールとして、Azure portal にサインインします。
2. [Microsoft Entra ID]>[管理]>[プロパティ] を選択します。
3. [プロパティ] で、[セキュリティの既定値の管理] を選択します。
4. [セキュリティの既定値群を有効にする] で、[はい] を選択します。
5. [保存] を選択します。

Oracle Hyperion Shared Services コンソールで SSO を有効にする

Oracle Hyperion 環境で SSO を有効にするには、次の手順に従います。

1. 管理者のアクセス許可を使用して Hyperion Shared Service コンソールにサインインします。 たとえば、http://{your-hyperion-fqdn}:19000/workspace/index.jsp のようにします。

2. [移動]、[Shared Services コンソール] の順に選択します。

   

3. [管理]、[ユーザー ディレクトリの構成] の順に選択します。

4. [セキュリティ オプション] タブを選択します。

5. [シングル サインオン構成] で、[SSO を有効にする] チェック ボックスをオンにします。

6. [SSO プロバイダーまたはエージェント] ドロップダウンから、[その他] を選択します。

7. [SSO メカニズム] ドロップダウンから、[カスタム HTTP ヘッダー] を選択します。

8. 次のフィールドに、セキュリティ エージェントが EMP に渡すヘッダー名である「HYPLOGIN」を入力します。

9. [OK] を選択します。

   

EMP ワークスペースでログオフ後に URL 設定を更新する

1. [移動] を選択します。

2. [管理] で、[ワークスペースの設定]、[サーバー設定] の順に選択します。

   

3. [ワークスペース サーバーの設定] ダイアログで、[ログオフ後の URL] について、ユーザーが EPM からサインアウトするときに表示される URL /datawiza/ab-logout を選択します。

4. [OK] を選択します。

   

Oracle Hyperion EMP アプリケーションをテストする

Oracle Hyperion アプリケーションのアクセスを確認するために、サインインに Microsoft Entra アカウントを使用するためのプロンプトが表示されます。 資格情報がチェックされ、Oracle Hyperion EPM のホーム ページが表示されます。

次のステップ

• チュートリアル: Microsoft Entra ID および Datawiza で安全なハイブリッド アクセスを構成する
• チュートリアル: セキュリティで保護されたハイブリッド アクセスを提供するために、Azure AD B2C と Datawiza を構成する
• Datawiza に移動して Sso と MFA を Oracle Hyperion EPM に数分で追加する
• docs.datawiza.com に移動して Datawiza のユーザー ガイドを確認する