ORDINA BLOGT

Single sign on Active directory met Oracle E-Business suite

  • Patrick van 't Hul
  • 1 december 2017

Single Sign On (SSO)
Systeem waarbij de gebruiker zich slechts één keer moet aanmelden om toegang te krijgen tot de verschillende systemen waarvoor hij autorisatie heeft.

Veel bedrijven maken gebruik van Microsoft Active Directory (AD) als basis voor de SSO-oplossing binnen het IT-landschap. Gebruikers kunnen zichzelf zo met slechts één gebruikersnaam en wachtwoordcombinatie in alle IT-systemen authentiseren. Het AD houdt voor al de systemen bij of de gebruiker de juiste autorisaties heeft voordat deze toegang tot het doelsysteem verleent.

De Oracle E-business suite(EBS) heeft standaard geen integratiemogelijkheid met de Microsoft AD. Deze functionaliteit is te realiseren door een combinatie van verschillende Oracle-producten die samen de Oracle Directory and Access Services vormen. De Directory and Access Services vallen dan weer onder Oracle fusion Middleware.

Van oud naar nieuw
Met behulp van Oracle Fusion Middleware 11GR2 maakt Oracle Single Sign On (SSO) mogelijk tussen Microsoft AD en Oracle E-Business suite 12.2.5 en nieuwer. Oracle beschrijft de EBS SSO-integratieopties in Oracle support document 1388152.1. De onderstaande afbeelding komt dan ook uit hoofdstuk vijf van diezelfde note:


 SSO_FLOW Bron: Oracle note 1388152.1

Het belangrijkste verschil tussen de oude 11gR1-integratie en de nieuwe 11gR2-integratie is de versimpeling van de initiële configuratie. Oracle heeft het met behulp van een aantal scripts aanzienlijk eenvoudiger gemaakt om de verschillende componenten van de SSO stack aan elkaar te koppelen. Daarnaast maakt de door Oracle geadviseerde integratiemethode voor 12.2.5+ gebruik van Oracle unified directory (OUD) in plaats van de voor 12.1.3 aanbevolen Oracle internet directory (OID). In tegenstelling tot OID heeft OUD geen Oracle-database nodig als opslag. OUD maakt gebruik van een ingebouwde onderhoudsarme Berkely-database.

Knelpunten
Ondanks dat Oracle de integratie met EBS vereenvoudigt heeft, blijft de totale SSO-integratie relatief veel tijd kosten. Dit komt mede doordat de huidige documentatie vanuit Oracle de nodige bugs en known issues bevat. De belangrijkste reden hiervoor blijft echter de integratie met Microsoft AD.

Wanneer Oracle EBS in een SSO-oplossing moet werken met andere Oracle-producten ontstaat de in het volgende figuur weergeven totale authenticatie flow.


 
SSO_Authenticatie Bron: Oracle note 1388152.1

Echter wanneer een SSO-integratie van EBS met bijvoorbeeld Microsoft AD vereist is, verschijnen nieuwe keuzes. Voor de integratie tussen de Oracle directory Services en Microsoft AD kan gekozen worden voor “Proxy authenticatie” of voor het maken en bijhouden van een schaduwkopie van het AD in de Oracle unified directory. Beide oplossingen hebben hun eigen voor- en nadelen, waarbij de benodigde SSO-functionaliteit doorslag geeft voor de keuze. De “Proxy authenticatie”-methode kan voorzien in een echte SSO-oplossing. Hierbij hoeft de gebruiker niet opnieuw in te loggen als reeds een eerdere sessie geregistreerd is bij het AD. In het geval van de schaduwmethode zal iedere gebruiker altijd zijn of haar AD-wachtwoord op moeten geven bij het inloggen in EBS.

Dit was het eerste deel in de serie SSO blogs. In de volgende editie beschrijven we de globale SSO-integratie.

Wilt u meer over bovenstaande onderwerp te weten komen? Neem dan contact op met het Ordina Apps DBA-team.