我们准备使用PBCS的新服务实例上线-从PROD本地Hyperion Planning 11.1.2.5迁移。
我们的大多数最终用户已通过ADFS LDAP管理了Active Directory用户帐户-他们将没有本地目录云帐户。这将允许我们自定义的两因素身份验证,然后用户才能登录到我们的身份域的服务实例。
但是,我们拥有一个服务帐户,该帐户将仅由我们的ODI数据集成器工具使用,以通过EPM Automate连接到PBCS进行ETL执行。该PBCS服务帐户将是ETL中使用的登录用户ID。因此,我们希望该帐户永远不具有对PBCS实例的前端访问权限,因为它只能通过EPM自动化连接以执行ODI程序包。
我正在研究是否可以包含PKI证书-该服务帐户将被设置为需要两步身份验证的Active Directory帐户。用户将使用PIV卡绕过两因素身份验证。服务帐户必须使用某种类型的证书令牌来屏蔽它,才能通过EPM自动登录。但是,根据我的研究,似乎EPM Automate本身不具有呈现这些令牌或传递给ADFS控制台进行外部身份验证的功能?
另一种选择是使用Oracle Cloud Services安全防火墙来阻止通过前端的某些类型的访问-但仅使用仪表板来执行此操作似乎并不简单,因为我无法区分通过登录进行前端和后端访问,相对于说EPM自动化。不仅如此-其他用户还必须能够通过Active Directory仍然登录-这些防火墙还会阻止该条目吗?
有人曾经设置过这种类型的服务帐户,可以向我推荐我的选择/风险是什么吗?
再次感谢!
山姆