Samouczek: konfigurowanie przycisku F5 BIG-IP easy dla logowania jednokrotnego do aplikacji Oracle PeopleSoft

W tym artykule dowiesz się, jak zabezpieczyć oprogramowanie Oracle PeopleSoft (PeopleSoft) przy użyciu identyfikatora Entra firmy Microsoft, z przewodnikiem F5 BIG-IP Easy Button Configuration 16.1.

Zintegruj big-IP z identyfikatorem Entra firmy Microsoft, aby uzyskać wiele korzyści:

• Ulepszone zarządzanie Zero Trust poprzez wstępne uwierzytelnianie Microsoft Entra i dostęp warunkowy
  • Zobacz: Struktura Zero Trust umożliwiająca pracę zdalną
  • Zobacz Co to jest dostęp warunkowy?
• Logowanie jednokrotne (SSO) między opublikowanymi usługami Microsoft Entra ID i BIG-IP
• Zarządzanie tożsamościami i dostępem z centrum administracyjnego firmy Microsoft Entra

Więcej informacji:

• Integrowanie F5 BIG-IP z identyfikatorem Entra firmy Microsoft
• Włączanie logowania jednokrotnego w przypadku aplikacji dla przedsiębiorstw

Opis scenariusza

W tym samouczku jest używana aplikacja PeopleSoft korzystająca z nagłówków autoryzacji HTTP w celu zarządzania dostępem do chronionej zawartości.

Starsze aplikacje nie mają nowoczesnych protokołów do obsługi integracji z firmą Microsoft Entra. Modernizacja jest kosztowna, wymaga planowania i wprowadza potencjalne ryzyko przestoju. Zamiast tego należy użyć kontrolera dostarczania aplikacji F5 BIG-IP (ADC), aby wypełnić lukę między starszymi aplikacjami a nowoczesną kontrolą identyfikatorów z przejściem protokołu.

Dzięki umieszczeniu BIG-IP przed aplikacją, nakładasz na usługę wstępne uwierzytelnianie Microsoft Entra i logowanie jednokrotne oparte na nagłówkach. Ta akcja poprawia stan zabezpieczeń aplikacji.

Uwaga

Uzyskaj zdalny dostęp do tej aplikacji za pomocą serwera proxy aplikacji Firmy Microsoft Entra.
Zobacz Dostęp zdalny do aplikacji lokalnych za pośrednictwem serwera proxy aplikacji firmy Microsoft Entra.

Architektura scenariusza

Rozwiązanie bezpiecznego dostępu hybrydowego (SHA) dla tego samouczka zawiera następujące składniki:

• PeopleSoft Application — opublikowana usługa BIG-IP zabezpieczona przez Microsoft Entra SHA
• Microsoft Entra ID — dostawca tożsamości Security Assertion Markup Language (SAML) (IdP), który weryfikuje poświadczenia użytkownika, dostęp warunkowy i logowanie jednokrotne oparte na protokole SAML do BIG-IP
  • Poprzez SSO, Microsoft Entra ID udostępnia atrybuty sesji do BIG-IP.
• BIG-IP — serwer proxy działający w trybie zwrotnym oraz dostawca usług SAML (SP) dla aplikacji. Deleguje uwierzytelnianie do IdP SAML, a następnie wykonuje logowanie jednokrotne oparte na nagłówkach do usługi PeopleSoft.

W tym scenariuszu funkcja SHA obsługuje przepływy inicjowane przez dostawcę usług oraz dostawcę tożsamości. Na poniższym diagramie przedstawiono przepływ inicjowany przez dostawcę usług (SP).

1. Użytkownik łączy się z punktem końcowym aplikacji (BIG-IP).
2. Zasada dostępu BIG-IP APM przekierowuje użytkownika do Microsoft Entra ID (SAML IdP).
3. Firma Microsoft Entra wstępnie uwierzytelnia użytkownika i stosuje zasady dostępu warunkowego.
4. Użytkownik jest przekierowywany do BIG-IP (SAML SP), gdzie następuje jednokrotne uwierzytelnianie za pomocą wystawionego tokenu SAML.
5. BIG-IP wprowadza atrybuty Microsoft Entra jako nagłówki w żądaniu do aplikacji.
6. Aplikacja autoryzuje żądanie i zwraca ładunek.

Wymagania wstępne

• Bezpłatne konto microsoft Entra ID lub nowsze
  • Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure
• BIG-IP lub BIG-IP Virtual Edition (VE) na platformie Azure
  • Zobacz Wdrażanie maszyny wirtualnej F5 BIG-IP Virtual Edition na platformie Azure
• Dowolne z następujących licencji F5 BIG-IP:
  • F5 BIG-IP® Najlepszy pakiet
  • Licencja autonomiczna F5 BIG-IP APM
  • Licencja dodatku F5 BIG-IP APM do istniejącego systemu BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • 90-dniowa licencja na pełną wersję próbną funkcji BIG-IP
• Tożsamości użytkowników synchronizowane z katalogu lokalnego do Microsoft Entra ID lub utworzone w Microsoft Entra ID i przesyłane z powrotem do katalogu lokalnego.
  • Zobacz: Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji
• Jedną z następujących ról: Administrator aplikacji w chmurze lub Administrator aplikacji.
• Certyfikat sieci Web SSL do publikowania usług za pośrednictwem protokołu HTTPS lub użyj domyślnych certyfikatów BIG-IP do testowania
  • Zobacz Wdrażanie maszyny wirtualnej F5 BIG-IP Virtual Edition na platformie Azure
• Środowisko PeopleSoft

Konfiguracja BIG-IP

W tym samouczku użyto konfiguracji przewodnika 16.1 z szablonem przycisku Łatwość.

Dzięki przyciskowi Easy Button administratorzy nie muszą przełączać się między Microsoft Entra ID a BIG-IP, aby włączyć usługi dla SHA. Kreator konfiguracji z przewodnikiem APM i program Microsoft Graph obsługują wdrażanie i zarządzanie zasadami. Integracja zapewnia, że aplikacje obsługują federację tożsamości, logowanie jednokrotne i dostęp warunkowy.

Uwaga

Zamień przykładowe ciągi lub wartości w tym samouczku na te ze swojego środowiska.

Zarejestruj przycisk Łatwy

Zanim klient lub usługa uzyskuje dostęp do programu Microsoft Graph, Platforma tożsamości Microsoft musi mu ufać.

Dowiedz się więcej: Szybki start: rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft

Instrukcje poniższe pomagają w utworzeniu rejestracji aplikacji dla dzierżawcy w celu autoryzacji dostępu do usługi Microsoft Graph przy użyciu przycisku Easy Button. Przy użyciu tych uprawnień BIG-IP wypycha konfiguracje, aby ustanowić zaufanie między instancją SAML SP dla opublikowanej aplikacji a Microsoft Entra ID jako IdP SAML.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do sekcji Identity>Applications> Rejestracje aplikacji > Nowa rejestracja.

3. Wprowadź nazwę aplikacji.

4. Dla Kont tylko w tym katalogu organizacyjnym, określ, kto korzysta z aplikacji.

5. Wybierz pozycję Zarejestruj.

6. Przejdź do uprawnień interfejsu API.

7. Autoryzuj następujące uprawnienia aplikacji programu Microsoft Graph:

   • Application.ReadWrite.All
   • Aplikacja.OdczytZapis.Właściciel
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Udziel zgody administratora organizacji.

9. Przejdź do Certyfikatów i tajemnic.

10. Wygeneruj nowy klucz tajny klienta i zanotuj go.

11. Przejdź do pozycji Przegląd i zanotuj identyfikator klienta i identyfikator dzierżawy.

Konfigurowanie przycisku Easy

1. Rozpocznij konfigurację z przewodnikiem APM.
2. Uruchom szablon Easy Button.
3. Przejdź do Dostępu do konfiguracji z przewodnikiem>.
4. Wybierz pozycję Integracja z firmą Microsoft.
5. Wybierz pozycję Microsoft Entra Application.
6. Przejrzyj sekwencję konfiguracji.
7. Wybierz Dalej
8. Postępuj zgodnie z sekwencją konfiguracji.

Właściwości konfiguracji

Użyj karty właściwości konfiguracji , aby utworzyć nowe konfiguracje aplikacji i obiekty logowania jednokrotnego. Sekcja Szczegóły konta usługi platformy Azure reprezentuje klienta, którego zarejestrowałeś w dzierżawie Microsoft Entra jako aplikację. Użyj ustawień klienta OAuth BIG-IP, aby zarejestrować SP SAML w tenant z właściwościami SSO. Easy Button wykonuje tę akcję dla usług BIG-IP opublikowanych i włączonych dla algorytmu SHA.

Uwaga

Niektóre z następujących ustawień są globalne. Możesz użyć ich ponownie, aby opublikować więcej aplikacji.

1. Wprowadź nazwę konfiguracji. Unikatowe nazwy ułatwiają odróżnienie konfiguracji.
2. W przypadku Single Sign-On (SSO) i nagłówków HTTP, wybierz Włącz.
3. Wprowadź zanotowany identyfikator dzierżawy, identyfikator klienta i tajny kod klienta.
4. Upewnij się, że BIG-IP nawiązuje połączenie z dzierżawcą.
5. Wybierz Dalej.

Dostawca usług

Użyj ustawień dostawcy usług, aby zdefiniować właściwości dostawcy usług SAML dla instancji APM reprezentującej aplikację zabezpieczoną SHA.

1. W polu Host wprowadź publiczną nazwę FQDN zabezpieczonej aplikacji.
2. W polu Identyfikator jednostki wprowadź identyfikator używany przez firmę Microsoft Entra ID w celu zidentyfikowania dostawcy usługi SAML żądającego tokenu.

3. (Opcjonalnie) W obszarze Ustawienia zabezpieczeń wskaż, że identyfikator Entra firmy Microsoft szyfruje wystawione asercje SAML. Ta opcja zwiększa pewność, że tokeny zawartości nie są przechwytywane ani nie zostały naruszone.

4. Z listy Klucz prywatny odszyfrowywania asercji wybierz Utwórz nowy.

5. Wybierz przycisk OK.
6. Zostanie wyświetlone okno dialogowe Importowanie certyfikatu SSL i kluczy na nowej karcie.
7. W obszarze Typ importu wybierz pozycję PKCS 12 (IIS). Ta opcja importuje certyfikat i klucz prywatny.
8. Zamknij kartę przeglądarki, aby powrócić do karty głównej.

9. W polu Włącz szyfrowaną asercję zaznacz pole wyboru.
10. Jeśli włączono szyfrowanie, z listy Klucz prywatny do odszyfrowywania asercji wybierz certyfikat. Ten klucz prywatny służy do certyfikatu, którego BIG-IP APM używa do odszyfrowywania asercji Microsoft Entra.
11. Jeśli włączono szyfrowanie, z listy Certyfikat Odszyfrowywania Asercji wybierz swój certyfikat. BIG-IP przesyła ten certyfikat do usługi Microsoft Entra ID w celu szyfrowania wystawionych asercji SAML.

Microsoft Entra ID

Plik Easy Button zawiera szablony dla rozwiązań Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP i ogólnego szablonu SHA.

1. Wybierz pozycję Oracle PeopleSoft.
2. Wybierz Dodaj.

Konfiguracja platformy Azure

1. Wprowadź Wyświetlaną Nazwę dla aplikacji, którą BIG-IP tworzy w dzierżawie. Nazwa jest wyświetlana na ikonie w Moje aplikacje.

2. (Opcjonalnie) W polu Adres URL logowania wprowadź publiczną nazwę FQDN aplikacji PeopleSoft.

3. Obok Klucz podpisywania i Certyfikat podpisywania wybierz odśwież. Ta akcja lokalizuje zaimportowany certyfikat.

4. W polu Hasło klucza podpisywania wprowadź hasło certyfikatu.

5. (Opcjonalnie) W obszarze Opcja podpisywania wybierz opcję. Ten wybór gwarantuje, że big-IP akceptuje tokeny i oświadczenia podpisane przez identyfikator Entra firmy Microsoft.

6. Użytkownicy i grupy użytkowników są dynamicznie odpytywani z dzierżawy Microsoft Entra.
7. Dodaj użytkownika lub grupę do testowania. W przeciwnym razie odmowa dostępu.

Atrybuty i oświadczenia użytkownika

Po uwierzytelnieniu użytkownika identyfikator Entra firmy Microsoft wystawia token SAML z domyślnymi oświadczeniami i atrybutami identyfikującymi użytkownika. Karta Atrybuty użytkownika i oświadczenia ma domyślne oświadczenia, które mają być wystawiane dla nowej aplikacji. Służy do konfigurowania większej liczby oświadczeń. Szablon Easy Button ma oświadczenie o identyfikatorze pracownika wymaganym przez firmę PeopleSoft.

W razie potrzeby dołącz inne atrybuty firmy Microsoft Entra. Przykładowa aplikacja PeopleSoft wymaga wstępnie zdefiniowanych atrybutów.

Dodatkowe atrybuty użytkownika

Karta Dodatkowe atrybuty użytkownika obsługuje systemy rozproszone, które wymagają, aby atrybuty były przechowywane w innych katalogach dla zwiększenia sesji. Atrybuty ze źródła LDAP są wstrzykiwane jako dodatkowe nagłówki SSO, aby kontrolować dostęp na podstawie ról, identyfikatorów partnerów itd.

Uwaga

Ta funkcja nie ma korelacji z identyfikatorem Entra firmy Microsoft; jest to inne źródło atrybutów.

Zasady dostępu warunkowego

Zasady dostępu warunkowego są wymuszane po wstępnym uwierzytelnieniu Microsoft Entra, aby kontrolować dostęp w oparciu o urządzenia, aplikacje, lokalizację i sygnały o ryzyku. Widok Dostępne zasady zawiera zasady dostępu warunkowego bez akcji użytkownika. Widok Wybrane zasady zawiera zasady przeznaczone dla aplikacji w chmurze. Nie można usunąć zaznaczenia ani przeniesienia tych zasad do listy Dostępne zasady, ponieważ są one wymuszane na poziomie dzierżawy.

Wybierz zasady dla aplikacji.

1. Na liście Dostępne zasady wybierz zasady.
2. Wybierz strzałkę w prawo i przenieś zasady do pozycji Wybrane zasady.

Wybrane zasady mają zaznaczoną opcję Dołącz lub Wyklucz . Jeśli obie opcje są zaznaczone, zasady nie są wymuszane.

Uwaga

Lista zasad pojawia się jednorazowo, gdy wybierzesz kartę. Użyj odświeżenia w kreatorze, aby wysłać zapytanie do tenant. Ta opcja jest wyświetlana po wdrożeniu aplikacji.

Właściwości serwera wirtualnego

Serwer wirtualny to obiekt płaszczyzny danych BIG-IP reprezentowany przez wirtualny adres IP. Serwer nasłuchuje żądań klientów do aplikacji. Odebrany ruch jest przetwarzany i oceniany względem profilu APM serwera wirtualnego. Następnie ruch jest kierowany zgodnie z zasadami.

1. W polu Adres docelowy wprowadź adres IPv4 lub IPv6 używany przez big-IP do odbierania ruchu klienta. Odpowiedni rekord pojawia się w systemie DNS, co umożliwia klientom rozpoznawanie zewnętrznego adresu URL opublikowanej aplikacji do adresu IP. Do testowania użyj serwera DNS hosta lokalnego komputera testowego.
2. W polu Port usługi wprowadź wartość 443 i wybierz pozycję HTTPS.
3. Włącz Port przekierowania, zaznaczając pole wyboru.
4. W polu Port przekierowania wprowadź wartość 80 i wybierz pozycję HTTP. Ta opcja przekierowuje przychodzący ruch klienta HTTP do protokołu HTTPS.
5. W polu Profil SSL klienta wybierz pozycję Użyj istniejącej.
6. W obszarze Wspólne wybierz utworzoną opcję. W przypadku testowania pozostaw wartość domyślną. Profil SSL klienta włącza serwer wirtualny dla protokołu HTTPS, więc połączenia klienckie są szyfrowane za pośrednictwem protokołu TLS.

Właściwości puli

Karta puli aplikacji zawiera usługi obsługiwane przez BIG-IP, które są przedstawione jako pula z serwerami aplikacji.

1. W obszarze Wybierz pulę wybierz pozycję Utwórz nową lub wybierz jedną z nich.
2. W polu Metoda równoważenia obciążenia wybierz Round Robin.
3. Dla Serwery puli, w polu Adres IP/Nazwa węzła wybierz węzeł lub wprowadź adres IP i port dla serwerów hostujących aplikację PeopleSoft.

Logowanie jednokrotne i nagłówki HTTP

Kreator łatwych przycisków obsługuje nagłówki autoryzacji Kerberos, OAuth Bearer i HTTP dla logowania jednokrotnego do opublikowanych aplikacji. Aplikacja PeopleSoft oczekuje nagłówków.

1. W przypadku nagłówków HTTP zaznacz pole wyboru.
2. Dla Operacja nagłówka wybierz Zamień.
3. W polu Nazwa nagłówka wprowadź PS_SSO_UID.
4. Dla Wartości nagłówka, wprowadź %{session.sso.token.last.username}.

Zrzut ekranu przedstawiający pozycje Operacja nagłówka, Nazwa nagłówka i Wartość nagłówka w obszarze Logowanie Jednokrotne & nagłówki HTTP.

Uwaga

Zmienne sesji APM w nawiasach klamrowych są uwzględniane wielkości liter. Jeśli na przykład wprowadzisz orclGUID, a nazwa atrybutu to orclguid, mapowanie atrybutów zakończy się niepowodzeniem.

Zarządzanie sesjami

Użyj ustawień zarządzania sesjami BIG-IP, aby zdefiniować warunki zakończenia sesji użytkownika lub kontynuacji. Ustaw limity dla użytkowników i adresów IP oraz odpowiednie informacje o użytkowniku.

Aby dowiedzieć się więcej, przejdź do support.f5.com dla K18390492: Zabezpieczenia | Przewodnik operacyjny BIG-IP APM

W przewodniku obsługi nie opisano funkcji pojedynczego wylogowania (SLO), która zapewnia zakończenie sesji dostawcy tożsamości (IdP), BIG-IP i agenta użytkownika po wylogowaniu użytkowników. Gdy przycisk Easy Button tworzy wystąpienie aplikacji SAML w dzierżawie Microsoft Entra, wypełnia adres URL wylogowywania punktem końcowym APM SLO. Wylogowanie inicjowane przez IdP z Moje aplikacje kończy sesje BIG-IP i sesje klienta.

Dane związane z federacją SAML dla opublikowanej aplikacji są importowane z dzierżawy. Ta akcja zapewnia APM punkt końcowy wylogowania SAML dla Microsoft Entra ID, co zapewnia, że wylogowanie inicjowane przez SP kończy sesje klienta i Microsoft Entra. Aplikacja APM musi wiedzieć, kiedy użytkownik się wylogował.

Gdy portal webtop BIG-IP uzyskuje dostęp do opublikowanych aplikacji, APM przetwarza wylogowanie, aby wywołać endpoint wylogowania Microsoft Entra. Jeśli portal BIG-IP webtop nie jest używany, użytkownik nie może poinstruować APM do wylogowania się. Jeśli użytkownik wyloguje się z aplikacji, BIG-IP nie jest tego świadomy. Wylogowywanie inicjowane przez dostawcę usług wymaga bezpiecznego zakończenia sesji. Dodaj funkcję SLO do przycisku Wyloguj się w aplikacji, aby przekierować klienta do punktu końcowego wylogowania Microsoft Entra SAML lub BIG-IP. Adres URL punktu końcowego wylogowywania SAML dla dzierżawcy w Rejestracje aplikacji > Punktach końcowych.

Jeśli nie możesz zmienić aplikacji, rozważ użycie funkcji nasłuchiwania BIG-IP dla wywołań wylogowania aplikacji i wyzwolenie funkcji SLO (Single Logout). Aby uzyskać więcej informacji, zobacz PeopleSoft Single Logout w poniższej sekcji.

Wdrożenie

1. Wybierz Wdróż.
2. Zweryfikuj aplikację na liście dzierżaw aplikacji dla przedsiębiorstw.
3. Aplikacja jest publikowana i dostępna za pomocą algorytmu SHA.

Konfigurowanie firmy PeopleSoft

Użyj programu Oracle Access Manager dla tożsamości aplikacji PeopleSoft i zarządzania dostępem.

Aby dowiedzieć się więcej, zapoznaj się z Przewodnikiem integracji Oracle Access Manager na docs.oracle.com w sekcji Integracja PeopleSoft.

Konfiguracja logowania jednokrotnego w Oracle Access Manager

Skonfiguruj program Oracle Access Manager, aby akceptował SSO z BIG-IP.

1. Zaloguj się do konsoli Oracle przy użyciu uprawnień administratora.

2. Przejdź do PeopleTools > Security.
3. Wybierz Profile użytkowników.
4. Wybierz Profile użytkowników.
5. Utwórz nowy profil użytkownika.
6. W polu Identyfikator użytkownika wprowadź wartość OAMPSFT
7. W polu Rola użytkownika wprowadź wartość PeopleSoft User.
8. Wybierz pozycję Zapisz.
9. Przejdź do People Tools>Profil internetowy.
10. Wybierz profil internetowy.
11. Na karcie Zabezpieczenia w obszarze Użytkownicy publiczni wybierz pozycję Zezwalaj na dostęp publiczny.
12. W polu Identyfikator użytkownika wprowadź wartość OAMPSFT.
13. Wprowadź hasło.
14. Pozostaw konsolę Peoplesoft.
15. Uruchom projektanta aplikacji PeopleTools.
16. Kliknij prawym przyciskiem myszy pole LDAPAUTH .
17. Wybierz pozycję Wyświetl PeopleCode.

18. Okno kodu LDAPAUTH zostanie otwarte.

19. Znajdź funkcję OAMSSO_AUTHENTICATION.

20. Zastąp &defaultUserId wartością OAMPSFT.

    

21. Zapisz rekord.

22. Przejdź do **PeopleTools > Security.

23. Wybierz Obiekty zabezpieczeń.

24. Wybierz Sign on PeopleCode.

25. Włącz OAMSSO_AUTHENTICATION.

Jednokrotne wylogowanie PeopleSoft

Po wylogowaniu się z Moje aplikacje mechanizm SLO firmy PeopleSoft zostaje zainicjowany, który z kolei wywołuje punkt końcowy SLO BIG-IP. BIG-IP wymaga instrukcji, aby wykonać SLO w imieniu aplikacji. Spraw, aby BIG-IP nasłuchiwał żądań wylogowania użytkowników z systemu PeopleSoft, a następnie uruchamiał SLO.

Dodaj obsługę slo dla użytkowników PeopleSoft.

1. Uzyskaj adres URL wylogowywania portalu PeopleSoft.
2. Otwórz portal za pomocą przeglądarki internetowej.
3. Włącz narzędzia debugowania.
4. Znajdź element za pomocą identyfikatora PT_LOGOUT_MENU .
5. Zapisz ścieżkę adresu URL przy użyciu parametrów zapytania. W tym przykładzie: /psp/ps/?cmd=logout.

Utwórz regułę iRule dla BIG-IP, aby przekierować użytkowników do punktu końcowego wylogowania usługi SAML: /my.logout.php3.

1. Przejdź do **Ruch Lokalny > Listy iRules.
2. Wybierz pozycję Utwórz.
3. Wprowadź Nazwa reguły.
4. Wprowadź następujące wiersze polecenia.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

5. Wybierz pozycję Zakończono.

Przypisz adres iRule do serwera wirtualnego BIG-IP.

1. Przejdź do pozycji Uzyskaj dostęp do > konfiguracji z przewodnikiem.
2. Wybierz link do konfiguracji aplikacji PeopleSoft.

3. Na górnym pasku nawigacyjnym wybierz pozycję Serwer wirtualny.
4. W obszarze Ustawienia zaawansowane wybierz pozycję *Włączone.

4. Przewiń do dołu.
5. W obszarze Wspólne dodaj utworzony element iRule.

5. Wybierz pozycję Zapisz.
6. Wybierz Dalej.
7. Kontynuuj konfigurowanie ustawień.

Aby dowiedzieć się więcej, przejdź do support.f5.com dla:

• K42052145: Konfigurowanie automatycznego kończenia sesji (wylogowywania) na podstawie nazwy pliku wskazywanej przez identyfikator URI
• K12056: Omówienie opcji Dołącz URI wylogowania

Przejdź do domyślnej strony głównej PeopleSoft

Przekieruj żądania użytkowników z katalogu głównego ("/") do zewnętrznego portalu PeopleSoft, zwykle znajdującego się w lokalizacji "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL"

1. Przejdź do Local Traffic > iRule.
2. Wybierz iRule_PeopleSoft.
3. Dodaj następujące wiersze polecenia.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

4. Przypisz adres iRule do serwera wirtualnego BIG-IP.

Potwierdzanie konfiguracji

1. W przeglądarce przejdź do zewnętrznego adresu URL aplikacji PeopleSoft lub wybierz ikonę aplikacji w Moje aplikacje.

2. Uwierzytelnij się w identyfikatorze Entra firmy Microsoft.

3. Następuje przekierowanie do serwera wirtualnego BIG-IP i logowanie za pomocą SSO.

   Uwaga

   Możesz zablokować bezpośredni dostęp do aplikacji, wymuszając w ten sposób ścieżkę za pośrednictwem big-IP.

Wdrażanie zaawansowane

Czasami szablonom konfiguracji prowadzonej brakuje elastyczności.

Dowiedz się więcej: Samouczek: Konfigurowanie menedżera zasad dostępu F5 BIG-IP w celu jednokrotnego logowania opartego na nagłówkach

Alternatywnie, w BIG-IP wyłącz restrykcyjny tryb zarządzania w Konfiguracji z Przewodnikiem. Konfiguracje można zmienić ręcznie, chociaż większość konfiguracji jest zautomatyzowana za pomocą szablonów kreatora.

1. Przejdź do Dostęp do > Konfiguracji z przewodnikiem.
2. Na końcu wiersza wybierz kłódkę.

Zmiany w interfejsie użytkownika kreatora nie są możliwe, jednak obiekty BIG-IP skojarzone z opublikowanym wystąpieniem aplikacji są odblokowywane do zarządzania.

Uwaga

Po ponownym włączeniu trybu ścisłego i wdrożeniu konfiguracji ustawienia dokonane poza Konfiguracją z Przewodnikiem zostaną zastąpione. Zalecamy zaawansowaną konfigurację usług produkcyjnych.

Rozwiązywanie problemów

Rejestrowanie BIG-IP służy do izolowania problemów z łącznością, logowaniem jednokrotnym, naruszeniami zasad lub nieprawidłowo skonfigurowanymi mapowaniami zmiennych.

Szczegółowość logów

1. Przejdź do Podsumowanie zasad dostępu>.
2. Wybierz Dzienniki zdarzeń.
3. Wybierz Ustawienia.
4. Wybierz wiersz dotyczący opublikowanej aplikacji.
5. Wybierz pozycjęEdytuj.
6. Wybierz Dzienniki systemu
7. Z listy SSO wybierz Debug.
8. Wybierz przycisk OK.
9. Odtwórz swój problem.
10. Sprawdź dzienniki.

Po zakończeniu przywróć tę funkcję, ponieważ tryb pełny generuje dużo danych.

Komunikat o błędzie BIG-IP

Jeśli po wstępnym uwierzytelnieniu Microsoft Entra pojawi się błąd BIG-IP, możliwe, że problem dotyczy integracji Microsoft Entra ID z logowaniem jednokrotnym BIG-IP.

1. Przejdź do Przegląd dostępu.
2. Wybierz pozycję Raporty programu Access.
3. Uruchom raport z ostatniej godziny.
4. Przejrzyj dzienniki, aby uzyskać wskazówki.

Użyj linku Wyświetl sesję, aby potwierdzić, że APM otrzymuje oczekiwane twierdzenia Microsoft Entra.

Brak komunikatu o błędzie BIG-IP

Jeśli nie zostanie wyświetlony komunikat o błędzie BIG-IP, problem może być związany z żądaniem back-end lub z logowaniem jednokrotnym aplikacji przez BIG-IP.

1. Przejdź do Przegląd zasad dostępu>.
2. Wybierz pozycję Aktywne sesje.
3. Wybierz link aktywnej sesji.

Użyj linku Wyświetl zmienne , aby określić problemy z logowaniem jednokrotnym, szczególnie jeśli funkcja BIG-IP APM uzyskuje nieprawidłowe atrybuty ze zmiennych sesji.

Więcej informacji:

• Przejdź do devcentral.f5.com po przykłady przypisania zmiennych APM.
• Aby uzyskać więcej informacji o zmiennych sesji, przejdź do techdocs.f5.com.