Zelfstudie: F5 BIG-IP Easy Button configureren voor eenmalige aanmelding bij Oracle JDE

In deze zelfstudie leert u hoe u Oracle JD Edwards (JDE) beveiligt met behulp van Microsoft Entra ID, met F5 BIG-IP Easy Button Guided Configuration.

Integreer BIG-IP met Microsoft Entra ID voor veel voordelen:

• Verbeterde Zero Trust-governance via preauthenticatie en voorwaardelijke toegang van Microsoft Entra
  • Zie, Zero Trust Framework om extern werk in te schakelen
  • Wat is voorwaardelijke toegang?
• Eenmalige aanmelding (SSO) tussen Microsoft Entra ID en big-IP gepubliceerde services
• Identiteiten en toegang beheren vanuit het Microsoft Entra-beheercentrum

Meer informatie:

• F5 BIG-IP integreren met Microsoft Entra ID
• Eenmalige aanmelding inschakelen voor bedrijfstoepassing

Beschrijving van scenario

In deze zelfstudie wordt de Oracle JDE-toepassing gebruikt met behulp van HTTP-autorisatieheaders om de toegang tot beveiligde inhoud te beheren.

Verouderde toepassingen hebben geen moderne protocollen ter ondersteuning van Microsoft Entra-integratie. Modernisering is kostbaar, vereist planning en introduceert potentiële downtimerisico's. Gebruik in plaats daarvan een F5 BIG-IP Application Delivery Controller (ADC) om de kloof tussen oudere toepassingen en modern ID-beheer te overbruggen, met protocolovergang.

Met een BIG-IP-adres voor de app overlayt u de service met vooraf verificatie en op headers gebaseerde eenmalige aanmelding van Microsoft Entra. Deze actie verbetert het beveiligingspostuur van de toepassing.

Scenario-architectuur

De SHA-oplossing voor dit scenario bestaat uit de volgende componenten:

• Oracle JDE-toepassing - BIG-IP gepubliceerde service beveiligd door Microsoft Entra SHA
• Microsoft Entra ID - IdP (Security Assertion Markup Language) waarmee gebruikersreferenties, voorwaardelijke toegang en eenmalige aanmelding op basis van SAM worden gecontroleerd op big-IP
  • Met eenmalige aanmelding biedt Microsoft Entra ID sessiekenmerken aan het BIG-IP-adres
• BIG-IP - reverse-proxy en SAML-serviceprovider (SP) naar de toepassing
  • BIG-IP delegeert verificatie aan de SAML IdP en voert vervolgens eenmalige aanmelding op basis van headers uit naar de Oracle-service

In deze zelfstudie ondersteunt SHA door SP en IdP geïnitieerde stromen. In het volgende diagram ziet u de door SP geïnitieerde stroom.

1. De gebruiker maakt verbinding met het eindpunt van de toepassing (BIG-IP).
2. Big-IP APM-toegangsbeleid leidt de gebruiker om naar Microsoft Entra ID (SAML IdP).
3. Microsoft Entra voert vooraf verificatie uit voor de gebruiker en past beleid voor voorwaardelijke toegang toe.
4. Gebruiker wordt omgeleid naar BIG-IP (SAML SP). Eenmalige aanmelding vindt plaats met een uitgegeven SAML-token.
5. BIG-IP injecteert Microsoft Entra-kenmerken als headers in de toepassingsaanvraag.
6. Toepassing autoriseert aanvraag en retourneert nettolading.

Vereisten

• Een gratis Microsoft Entra ID-account of hoger
  • Als u nog geen account hebt, kunt u een gratis Azure-account krijgen
• Een BIG-IP of een BIG-IP Virtual Edition (VE) in Azure
  • Zie F5 BIG-IP Virtual Edition-VM implementeren in Azure
• Een van de volgende F5 BIG-IP-licenties:
  • F5 BIG-IP® Best bundle
  • Zelfstandige F5 BIG-IP APM-licentie
  • Invoegtoepassingslicentie voor F5 BIG-IP APM in een bestaande BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Licentie voor volledige proefversie van BIG-IP van 90 dagen
• Gebruikersidentiteiten die zijn gesynchroniseerd vanuit een on-premises adreslijst naar Microsoft Entra-id of die zijn gemaakt in Microsoft Entra-id en zijn teruggegaan naar de on-premises directory
  • Zie Microsoft Entra Connect Sync: Synchronisatie begrijpen en aanpassen
• Een van de volgende rollen: Cloudtoepassingsbeheerder of Toepassingsbeheerder
• Een SSL-webcertificaat voor het publiceren van services via HTTPS of het gebruik van standaard-BIG-IP-certificaten voor testen
  • Zie F5 BIG-IP Virtual Edition-VM implementeren in Azure
• Een Oracle JDE-omgeving

BIG-IP-configuratie

In deze zelfstudie wordt gebruikgemaakt van begeleide configuratie 16.1 met een eenvoudige knopsjabloon. Met de Easy Button gaan beheerders niet tussen Microsoft Entra ID en een BIG-IP om services voor SHA in te schakelen. De wizard Begeleide configuratie van APM en Microsoft Graph verwerken implementatie en beleidsbeheer. De integratie zorgt ervoor dat toepassingen identiteitsfederatie, eenmalige aanmelding en voorwaardelijke toegang ondersteunen.

Notitie

Vervang voorbeeldtekenreeksen of -waarden in deze zelfstudie door tekenreeksen of waarden in uw omgeving.

De knop Easy registreren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Voordat een client of service toegang heeft tot Microsoft Graph, moet het Microsoft Identity Platform dit vertrouwen.

Meer informatie: Quickstart: Een toepassing registreren bij het Microsoft Identity Platform

Met de volgende instructies kunt u een tenant-app-registratie maken om Easy Button-toegang tot Graph te autoriseren. Met deze machtigingen pusht het BIG-IP de configuraties om een vertrouwensrelatie tot stand te brengen tussen een SAML SP-exemplaar voor gepubliceerde toepassing en Microsoft Entra-id als de SAML IdP.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identiteitstoepassingen>> App-registraties> Nieuwe registratie.

3. Voer een toepassingsnaam in.

4. Geef voor accounts in deze organisatiemap alleen op wie de toepassing gebruikt.

5. Selecteer Registreren.

6. Navigeer naar API-machtigingen.

7. Autoriseren van de volgende Microsoft Graph-toepassingsmachtigingen:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Beheerderstoestemming verlenen aan uw organisatie.

9. Ga naar Certificaten en geheimen.

10. Genereer een nieuw clientgeheim en noteer het.

11. Ga naar Overzicht en noteer de client-id en tenant-id

De knop Eenvoudig configureren

1. Start de begeleide configuratie van APM.

2. Start de sjabloon Easy Button.

3. Navigeer naar de begeleide toegangsconfiguratie>.

4. Selecteer Microsoft Integration.

5. Selecteer Microsoft Entra Application.

6. Controleer de configuratiereeks.

7. Selecteer Volgende

8. Volg de configuratiereeks.

   

Configuratie-eigenschappen

Gebruik het tabblad Configuratie-eigenschappen om nieuwe toepassingsconfiguraties en SSO-objecten te maken. De sectie Details van het Azure-serviceaccount vertegenwoordigt de client die u hebt geregistreerd in de Microsoft Entra-tenant als een toepassing. Gebruik de instellingen voor de BIG-IP OAuth-client om een SAML SP te registreren in de tenant, met SSO-eigenschappen. Easy Button voert deze actie uit voor BIG-IP-services die zijn gepubliceerd en ingeschakeld voor SHA.

Notitie

Sommige van de volgende instellingen zijn globaal. U kunt ze opnieuw gebruiken om meer toepassingen te publiceren.

1. Voor eenmalige aanmelding (SSO) en HTTP-headers selecteert u Aan.
2. Voer de tenant-id , client-id en clientgeheim in die u hebt genoteerd.
3. Bevestig dat het BIG-IP-adres verbinding maakt met de tenant.
4. Selecteer Volgende

Serviceprovider

Met de instellingen van de serviceprovider worden de eigenschappen bepaald voor de instantie van de SAML-serviceprovider van de toepassing die is beveiligd via SHA.

1. Voer voor Host de openbare FQDN van de beveiligde toepassing in.

2. Voer voor entiteits-id de id in die door Microsoft Entra ID wordt gebruikt om de SAML SP te identificeren die een token aanvraagt.

   

3. (Optioneel) Voor Beveiligingsinstellingen geeft u aan dat Microsoft Entra ID SAML-asserties versleutelt. Met deze optie wordt de zekerheid vergroot dat inhoudstokens niet worden onderschept, noch gegevens die zijn aangetast.

4. Selecteer Nieuwe maken in de lijst met persoonlijke sleutel voor Assertion Decryption.

   

5. Selecteer OK.

6. Het dialoogvenster SSL-certificaat en sleutels importeren wordt weergegeven op een nieuw tabblad.

7. Selecteer PKCS 12 (IIS) als importtype. Met deze optie importeert u uw certificaat en persoonlijke sleutel.

8. Sluit het browsertabblad om terug te keren naar het hoofdtabblad.

   

9. Schakel voor Versleutelde assertie inschakelen het selectievakje in.

10. Als u versleuteling hebt ingeschakeld, selecteert u uw certificaat in de lijst met persoonlijke sleutel voor Assertion Decryption. Deze persoonlijke sleutel is bedoeld voor het certificaat dat BIG-IP APM gebruikt om Microsoft Entra-asserties te ontsleutelen.

11. Als u versleuteling hebt ingeschakeld, selecteert u uw certificaat in de lijst met Assertion Decryption Certificate . BIG-IP uploadt dit certificaat naar Microsoft Entra ID om uitgegeven SAML-asserties te versleutelen.

Microsoft Entra ID

De Easy Button heeft sjablonen voor Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP en een algemene SHA-sjabloon.

1. Selecteer JD Edwards Protected by F5 BIG-IP.
2. Selecteer Toevoegen.

Azure-configuratie

1. Voer de weergavenaam in voor de app DIE BIG-IP maakt in de tenant. De naam wordt weergegeven op een pictogram in Mijn apps.

2. (Optioneel) Voer voor de aanmeldings-URL de openbare FQDN van de PeopleSoft-toepassing in.

3. Selecteer vernieuwen naast de ondertekeningssleutel en het handtekeningcertificaat. Met deze actie wordt het certificaat gevonden dat u hebt geïmporteerd.

4. Voer het certificaatwachtwoord in voor de wachtwoordzin voor ondertekeningssleutels.

5. (Optioneel) Selecteer een optie voor ondertekeningsoptie. Deze selectie zorgt ervoor dat BIG-IP tokens en claims accepteert die zijn ondertekend door Microsoft Entra ID.

   

6. Gebruikers- en gebruikersgroepen worden dynamisch opgevraagd vanuit de Microsoft Entra-tenant.

7. Voeg een gebruiker of groep toe om te testen, anders wordt de toegang geweigerd.

   

Gebruikerskenmerken en claims

Wanneer een gebruiker wordt geverifieerd, geeft Microsoft Entra ID een SAML-token uit met standaardclaims en kenmerken die de gebruiker identificeren. Het tabblad Gebruikerskenmerken en -claims bevat standaardclaims voor de nieuwe toepassing. Gebruik deze om meer claims te configureren.

Neem indien nodig andere Microsoft Entra-kenmerken op. Voor het Oracle JDE-scenario zijn standaardkenmerken vereist.

Aanvullende gebruikerskenmerken

Het tabblad Aanvullende gebruikerskenmerken ondersteunt gedistribueerde systemen waarvoor kenmerken zijn vereist, worden opgeslagen in andere mappen voor sessie-uitbreiding. Kenmerken van een LDAP-bron worden geïnjecteerd als meer SSO-headers om de toegang te beheren op basis van rollen, partner-id's enzovoort.

Notitie

Deze functie heeft geen correlatie met Microsoft Entra-id; het is een andere kenmerkbron.

Beleid voor voorwaardelijke toegang

Beleidsregels voor voorwaardelijke toegang worden afgedwongen na verificatie vooraf door Microsoft Entra om de toegang te beheren op basis van apparaat-, toepassings-, locatie- en risicosignalen. De weergave Beschikbaar beleid bevat beleidsregels voor voorwaardelijke toegang zonder gebruikersacties. De weergave Geselecteerde beleidsregels bevat beleidsregels die gericht zijn op cloud-apps. U kunt deze beleidsregels niet deselecteren of verplaatsen naar de lijst Met beschikbare beleidsregels omdat deze worden afgedwongen op tenantniveau.

Selecteer een beleid voor de toepassing.

1. Selecteer een beleid in de lijst Beschikbare beleidsregels .
2. Selecteer de pijl-rechts en verplaats het beleid naar Geselecteerd beleid.

Voor geselecteerde beleidsregels is de optie Opnemen of Uitsluiten ingeschakeld. Als beide opties zijn ingeschakeld, wordt het beleid niet afgedwongen.

Notitie

De beleidslijst wordt eenmaal weergegeven wanneer u het tabblad selecteert. Gebruik Vernieuwen voor de wizard om een query uit te voeren op de tenant. Deze optie wordt weergegeven nadat de toepassing is geïmplementeerd.

Eigenschappen van virtuele server

Een virtuele server is een BIG-IP-gegevensvlakobject dat wordt vertegenwoordigd door een virtueel IP-adres. De server luistert naar clientaanvragen naar de toepassing. Ontvangen verkeer wordt verwerkt en geëvalueerd op basis van het APM-profiel van de virtuele server. Vervolgens wordt verkeer omgeleid volgens het beleid.

1. Voer voor doeladres het IPv4- of IPv6-adres big-IP-adres in voor het ontvangen van clientverkeer. Er wordt een bijbehorende record weergegeven in DNS, waarmee clients de externe URL van de gepubliceerde toepassing naar het IP-adres kunnen omzetten. Gebruik een localhost-DNS voor testcomputers voor testen.

2. Voer voor servicepoort 443 in en selecteer HTTPS.

3. Schakel het selectievakje in voor Omleidingspoort inschakelen.

4. Voer voor omleidingspoort 80 in en selecteer HTTP. Met deze optie wordt binnenkomend HTTP-clientverkeer omgeleid naar HTTPS.

5. Selecteer Bestaand gebruiken voor client-SSL-profiel.

6. Selecteer onder Algemeen de optie die u hebt gemaakt. Als u test, laat u de standaardwaarde staan. Met client-SSL-profiel kan de virtuele server voor HTTPS worden ingeschakeld, zodat clientverbindingen worden versleuteld via TLS.

   

Groepseigenschappen

Het tabblad Groep van toepassingen bevat services achter een BIG-IP, weergegeven als een groep met toepassingsservers.

1. Als u een pool selecteert, selecteert u Nieuwe maken of selecteert u er een.

2. Selecteer Round Robin voor taakverdelingsmethode.

3. Voor poolservers selecteert u in IP-adres/knooppuntnaam een knooppunt of voert u een IP-adres en poort in voor servers die als host fungeren voor de Oracle JDE-toepassing.

   

Eenmalige aanmelding en HTTP-headers

De wizard Easy Button ondersteunt Kerberos-, OAuth Bearer- en HTTP-autorisatieheaders voor eenmalige aanmelding bij gepubliceerde toepassingen. De PeopleSoft-toepassing verwacht headers.

1. Schakel het selectievakje in voor HTTP-headers.

2. Selecteer vervangen voor headerbewerking.

3. Voer bij Koptekstnaam JDE_SSO_UID in.

4. Voer voor headerwaarde %{session.sso.token.last.username} in.

   

   Notitie

   APM-sessievariabelen in accolades zijn hoofdlettergevoelig. Als u bijvoorbeeld OrclGUID invoert en de kenmerknaam orclguid is, mislukt de kenmerktoewijzing.

Sessiebeheer

Gebruik instellingen voor BIG-IP-sessiebeheer om voorwaarden te definiëren voor beëindiging of voortzetting van gebruikerssessies. Stel limieten in voor gebruikers en IP-adressen en bijbehorende gebruikersgegevens.

Ga voor meer informatie naar support.f5.com voor K18390492: Beveiliging | Handleiding voor BIG-IP APM-bewerkingen

Niet gedekt in de bedieningshandleiding is de functionaliteit voor eenmalige afmelding (SLO), waardoor idP-, BIG-IP- en gebruikersagentsessies worden beëindigd wanneer gebruikers zich afmelden. Wanneer met de Easy Button een SAML-toepassing wordt geïnstitueert in de Microsoft Entra-tenant, wordt de afmeldings-URL gevuld met het APM SLO-eindpunt. Door IdP geïnitieerde afmelding bij Mijn apps beëindigt BIG-IP- en clientsessies.

Gepubliceerde SAML-federatiegegevens worden geïmporteerd uit de tenant. Deze actie biedt de APM het SAML-afmeldingseindpunt voor Microsoft Entra-id, waardoor door SP geïnitieerde afmelding de client- en Microsoft Entra-sessies beëindigt. De APM moet weten wanneer een gebruiker zich afmeldt.

Wanneer de BIG-IP-webtopportal toegang heeft tot gepubliceerde toepassingen, verwerkt de APM een afmelding om het Microsoft Entra-afmeldingseindpunt aan te roepen. Als de BIG-IP-webtopportal niet wordt gebruikt, kan de gebruiker de APM niet instrueren zich af te melden. Als de gebruiker zich afmeldt bij de toepassing, is het BIG-IP vergeten. Door SP geïnitieerde afmelding vereist beveiligde sessie-beëindiging. Voeg een SLO-functie toe aan de knop Afmelden van uw toepassing om uw client om te leiden naar het afmeldingseindpunt van Microsoft Entra SAML of BIG-IP. De EINDPUNT-URL voor SAML-afmelding voor uw tenant in Eindpunten voor app-registraties>.

Als u de app niet kunt wijzigen, kunt u overwegen om het BIG-IP-nummer te laten luisteren naar afmeldingsaanvragen voor toepassingen en vervolgens SLO te activeren.

Meer informatie: Zelfstudie: F5 BIG-IP Easy Button configureren voor eenmalige aanmelding bij Oracle PeopleSoft, PeopleSoft Single Logout

Ga voor meer informatie naar support.f5.com voor:

• K42052145: automatische sessiebeëindiging configureren (afmelden) op basis van een URI-bestandsnaam
• K12056: Overzicht van de optie Afmeldings-URI Opnemen.

Implementatie

1. Selecteer Implementeren.
2. Controleer of de toepassing zich in de tenantlijst van Bedrijfstoepassingen bevindt.

Configuratie bevestigen

1. Maak via een browser verbinding met de externe URL van de Oracle JDE-toepassing of selecteer het toepassingspictogram in Mijn apps.

2. Verifiëren bij Microsoft Entra-id.

3. U wordt omgeleid naar de virtuele BIG-IP-server voor de toepassing en aangemeld met eenmalige aanmelding.

   Notitie

   U kunt directe toegang tot de toepassing blokkeren, waardoor een pad wordt afgedwongen via het BIG-IP-adres.

Geavanceerde implementatie

Soms ontbreken de sjablonen voor begeleide configuraties flexibiliteit.

Meer informatie: Zelfstudie: F5 BIG-IP-toegangsbeleidsbeheer configureren voor eenmalige aanmelding op basis van headers

U kunt ook in BIG-IP de strikte beheermodus voor begeleide configuratie uitschakelen. U kunt configuraties handmatig wijzigen, hoewel de meeste configuraties worden geautomatiseerd met wizardsjablonen.

1. Navigeer naar de begeleide toegangsconfiguratie>.

2. Selecteer aan het einde van de rij het hangslot.

   

Wijzigingen met de gebruikersinterface van de wizard zijn niet mogelijk, maar BIG-IP-objecten die zijn gekoppeld aan het gepubliceerde exemplaar van de toepassing, worden ontgrendeld voor beheer.

Notitie

Wanneer u de strikte modus opnieuw kunt inschakelen en een configuratie implementeert, worden instellingen die buiten begeleide configuratie worden uitgevoerd, overschreven. We raden een geavanceerde configuratie aan voor productieservices.

Probleemoplossing

Gebruik BIG-IP-logboekregistratie om problemen met connectiviteit, SSO, beleidsschendingen of onjuist geconfigureerde variabeletoewijzingen te isoleren.

Uitgebreidheid van logboeken

1. Navigeer naar Overzicht van toegangsbeleid>.
2. Selecteer gebeurtenislogboeken.
3. Selecteer Instellingen.
4. Selecteer de rij van uw gepubliceerde toepassing.
5. SelecteerBewerken.
6. Systeemlogboeken van Access selecteren
7. Selecteer Fouten opsporen in de lijst met eenmalige aanmelding.
8. Selecteer OK.
9. Reproduceer het probleem.
10. Inspecteer de logboeken.

Als u klaar bent, kunt u deze functie herstellen omdat de uitgebreide modus veel gegevens genereert.

BIG-IP-foutbericht

Als er een BIG-IP-fout wordt weergegeven nadat Microsoft Entra vooraf is geverifieerd, is het mogelijk dat het probleem betrekking heeft op Microsoft Entra-id naar BIG-IP SSO.

1. Navigeer naar Overzicht van Access>.
2. Selecteer Access-rapporten.
3. Voer het rapport uit voor het afgelopen uur.
4. Bekijk de logboeken voor aanwijzingen.

Gebruik de sessiekoppeling Weergeven van de sessie om te bevestigen dat de APM verwachte Microsoft Entra-claims ontvangt.

Geen BIG-IP-foutbericht

Als er geen BIG-IP-foutbericht wordt weergegeven, is het probleem mogelijk gerelateerd aan de back-endaanvraag of BIG-IP-to-application SSO.

1. Navigeer naar Overzicht van toegangsbeleid>.
2. Selecteer Actieve sessies.
3. Selecteer de actieve sessiekoppeling.

Gebruik de koppeling Variabelen weergeven om problemen met eenmalige aanmelding vast te stellen, met name als BIG-IP APM onjuiste kenmerken van sessievariabelen verkrijgt.

Meer informatie:

• Ga naar devcentral.f5.com voor voorbeelden van APM-variabelen toewijzen
• Ga naar techdocs.f5.com voor sessievariabelen