チュートリアル: Oracle JD Edwards への Microsoft Entra 多要素認証とシングル サインオンを有効にするように Datawiza を構成する

このチュートリアルでは、Datawiza Access Proxy (DAP) を使用して Oracle JD Edwards (JDE) アプリケーションの Microsoft Entra シングル サインオン (SSO) と Microsoft Entra 多要素認証を有効にする方法について説明します。

詳細については、Datawiza アクセス プロキシに関するページを参照してください

DAP を使用してアプリケーションを Microsoft Entra ID と統合する利点:

• ゼロ トラストを使用してプロアクティブなセキュリティを採用する - 最新の環境に適応し、ハイブリッド ワークプレースを採用しつつ、ユーザー、デバイス、アプリ、データを保護するセキュリティ モデル
• Microsoft Entra ID シングル サインオン - 任意の場所からの、デバイスを使用した、ユーザーとアプリにとって安全かつシームレスなアクセス
• 仕組み: Microsoft Entra 多要素認証 - ユーザーは、サインイン時に携帯電話上のコードや指紋スキャンなどの識別形式を求められます
• 条件付きアクセスとは - ポリシーは if-then ステートメントで、ユーザーがリソースにアクセスするにはアクションを完了する必要がある
• コードなしの Datawiza を使用した Microsoft Entra ID での簡単な認証と認可 - Oracle JDE、Oracle E-Business Suite、Oracle Sibel、自社製アプリなどの Web アプリケーションを使用します
• Datawiza Cloud 管理コンソール (DCMC) を使用する - パブリック クラウドとオンプレミスのアプリケーションへのアクセスを管理する

シナリオの説明

このシナリオでは、保護されたコンテンツへのアクセスを管理するために HTTP Authorization ヘッダーを使用する Oracle JDE アプリケーション統合に重点を置いています。

レガシ アプリケーションでは、最新のプロトコルがサポートされていないため、Microsoft Entra SSO との直接的な統合は困難です。 DAP では、プロトコル遷移によって従来のアプリケーションと最新の ID コントロール プレーンとの間のギャップを橋渡しすることができます。 DAP を使用すると、統合のオーバーヘッドが軽減され、エンジニアリングにかかる時間が短縮され、アプリケーションのセキュリティが向上します。

シナリオのアーキテクチャ

このシナリオのソリューションには、次のコンポーネントがあります。

• Microsoft Entra ID - ユーザーが外部と内部のリソースにサインインしてアクセスするのを助ける、ID とアクセスの管理サービス
• Oracle JDE アプリケーション - Microsoft Entra ID によって保護されるレガシ アプリケーション
• Datawiza アクセス プロキシ (DAP) - ユーザー サインイン フロー用に OpenID Connect (OIDC)、OAuth、または Security Assertion Markup Language (SAML) を実装するコンテナー ベースのリバース プロキシ。 HTTP ヘッダーを介して ID をアプリケーションに透過的に渡します。
• Datawiza Cloud Management Console (DCMC) - DAP を管理するコンソール。 管理者は UI と RESTful API を使用して、DAP とアクセス制御ポリシーを構成します。

詳細情報: 「Datawiza と Microsoft Entra 認証アーキテクチャ」

前提条件

次の前提条件が満たされていることを確認してください。

• Azure サブスクリプション。
  • お持ちでない場合は、Azure 無料アカウントを取得できます
• Azure サブスクリプションにリンクされた Microsoft Entra テナント
  • 「クイックスタート: Microsoft Entra ID で新しいテナントを作成する」を参照してください。
• Docker と Docker Compose
  • docs.docker.com に移動して Docker を取得し、Docker Compose をインストールします
• オンプレミス ディレクトリから Microsoft Entra ID に同期されたユーザー ID、または Microsoft Entra ID 内で作成されてオンプレミス ディレクトリに戻されたユーザー ID
  • 「Microsoft Entra Connect 同期: 同期を理解してカスタマイズする」を参照してください
• Microsoft Entra ID でのアカウントとアプリケーション管理者ロール。 「Microsoft Entra 組み込みロール、すべてのロール」を参照してください
• Oracle JDE 環境
• (省略可能) HTTPS 経由でサービスを公開するための SSL Web 証明書。 テストには、既定の Datawiza 自己署名証明書を使用することもできます

DAB の使用を開始する

Oracle JDE を Microsoft Entra ID と統合するには:

1. Datawiza Cloud Management Console にサインインします。

2. [ようこそ] ページが表示されます。

3. オレンジ色の [作業の開始] ボタンを選択します。

   

4. [名前] フィールドと [説明] フィールドに情報を入力します。

5. [次へ] を選択します。

   

6. [アプリケーションの追加] ダイアログで、[プラットフォーム] に [Web] を選択します。

7. [アプリ名] に一意のアプリケーション名を入力します。

8. [パブリック ドメイン] に、たとえば、「https://jde-external.example.com」と入力します。 構成のテストには、localhost DNS を使用できます。 ロード バランサーの内側に DAP をデプロイしていない場合は、パブリック ドメイン ポートを使用します。

9. [リッスン ポート] で、DAP でリッスンされるポートを選択します。

10. [アップストリーム サーバー] で、保護する Oracle JDE 実装の URL とポートを選択します。

11. [次へ] を選択します。

12. [IdP の構成] ダイアログで、情報を入力します。

13. ［作成］ を選択します

14. DAP デプロイ ページが表示されます。

15. デプロイ用の Docker Compose ファイルを書き留めておきます。 このファイルには DAP イメージ、プロビジョニング キーとプロビジョニング シークレットも含まれていて、DCMC から最新の構成とポリシーをプルします。

    

SSO ヘッダーと HTTP ヘッダー

DAP では IdP からユーザー属性を取得し、ヘッダーまたは Cookie を使用してアップストリーム アプリケーションに渡します。

Oracle JDE アプリケーションはユーザーを認識する必要があります。名前を使用すると、アプリケーションは IdP から HTTP ヘッダーを介してアプリケーションに値を渡すように DAP に指示します。

1. Oracle JDE で、左側のナビゲーションから [アプリケーション] を選択します。

2. [属性パス] サブタブを選択します。

3. [フィールド] で [Email] を選択します。

4. [予想] で、[JDE_SSO_UID] を選択します。

5. [種類] で、[ヘッダー] を選択します。

   

   Note

   この構成では、Oracle JDE によって使用されるサインイン ユーザー名として Microsoft Entra ユーザー プリンシパル名を使用します。 別のユーザー ID を使用するには、[マッピング] タブに移動します。

   

6. [詳細] タブを選択します。

   

   

7. [SSL を有効にする] を選択します。

8. [証明書の種類] ドロップダウンで、種類を選択します。

   

9. テスト目的で、自己署名証明書を提供する予定です。

   

   注意

   ファイルから証明書をアップロードするオプションがあります。

   

10. [保存] を選択します。

Microsoft Entra 多要素認証を有効にする

サインインのセキュリティを強化するために、ユーザー サインインに MFA を適用できます。

「チュートリアル: Microsoft Entra 多要素認証を使用してユーザー サインイン イベントをセキュリティで保護する」を参照してください。

1. アプリケーション管理者として Microsoft Entra 管理センターにサインインします。
2. ID>概要>プロパティ タブを参照します。
3. セキュリティの既定値 で、セキュリティの既定値の管理 を選択します。
4. セキュリティの既定値 ウィンドウで、ドロップダウン メニューを切り替えて 有効 を選択します。
5. [保存] を選択します。

Oracle JDE EnterpriseOne コンソールで SSO を有効にする

Oracle JDE 環境で SSO を有効にするには、

1. Oracle JDE EnterpriseOne サーバー マネージャー管理コンソールに管理者としてサインインします。

2. [インスタンスの選択] で、EnterpriseOne HTML Server の上にあるオプションを選択します。

3. [構成] タイルで、[詳細として表示] を選択します。

4. [セキュリティ] を選択します。

5. [Oracle Access Manager を有効にする] チェック ボックスをオンにします。

6. [Oracle Access Manager Sign-Off URL] フィールドに、「datawiza/ab-logout」と入力します。

7. [セキュリティ サーバー構成] セクションで、[適用] を選択します。

8. [停止] を選択します。

   Note

   Web サーバーの構成 (jas.ini) が最新ではないというメッセージが表示されている場合は、[構成の同期] を選択します。

9. [スタート] を選択します。

Oracle JDE ベースのアプリケーションをテストする

Oracle JDE アプリケーションをテストするには、アプリケーション ヘッダー、ポリシー、および全体的なテストを検証します。 必要に応じて、ヘッダーとポリシーのシミュレーションを使用して、ヘッダー フィールドとポリシーの実行を検証します。

Oracle JDE アプリケーションのアクセスが行われることを確認するために、サインインに Microsoft Entra アカウントを使用するためのプロンプトが表示されます。 資格情報がチェックされ、Oracle JDE が表示されます。

次のステップ

• ビデオ Datawiza を介して Microsoft Entra ID を使用して Oracle JDE) の SSO と MFA を有効にする
• チュートリアル: Microsoft Entra ID および Datawiza で安全なハイブリッド アクセスを構成する
• チュートリアル: セキュリティで保護されたハイブリッド アクセスを提供するために、Azure AD B2C と Datawiza を構成する
• docs.datawiza.com に移動して Datawiza のユーザー ガイドを確認する