Habilitar a autorização e a autenticação do usuário final ao migrar aplicativos Java no WebLogic Server para o Azure

Este guia ajuda você a habilitar a autenticação e a autorização do usuário final de nível empresarial para aplicativos Java no WebLogic Server usando a ID do Microsoft Entra.

Os desenvolvedores do Java EE esperam que os mecanismos de segurança da plataforma padrão funcionem conforme o esperado, mesmo ao mover suas cargas de trabalho para o Azure. Os aplicativos do Azure do Oracle WebLogic Server (WLS) permitem que você preencha o domínio de segurança interno com usuários do Microsoft Entra Domain Services. Quando você usa o elemento standard <security-role> em seu Java EE em aplicativos do Azure, as informações do usuário fluem do Microsoft Entra Domain Services por meio do LDAP (Lightweight Directory Access Protocol).

Este guia é dividido em duas partes. Se você já tiver o Microsoft Entra Domain Services com LDAP seguro exposto, poderá pular para a seção Configurar WLS .

Neste guia, você aprenderá a:

• Crie e configure um domínio gerenciado do Microsoft Entra Domain Services.
• Configure o LDAP (Lightweight Directory Access Protocol) seguro para um domínio gerenciado do Microsoft Entra Domain Services.
• Ative o WebLogic Server para acessar o LDAP como sua região de segurança padrão.

Este guia não ajuda você a reconfigurar uma implantação existente do Microsoft Entra ID Domain Services. No entanto, deve ser possível acompanhar este guia e ver quais etapas você pode pular.

Pré-requisitos

• Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita.
• A capacidade de implantar os Serviços de Domínio Microsoft Entra. Para obter mais informações, consulte Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
• A capacidade de implantar um dos aplicativos WLS Azure listados em Quais são as soluções para executar o Oracle WebLogic Server em Máquinas Virtuais do Azure?
• Um computador local com Windows com Windows Subsystem for Linux (WSL), GNU/Linux ou macOS instalado.
• CLI do Azure versão 2.54.0 ou superior.

Considere o contexto de migração

A lista a seguir descreve algumas coisas a serem consideradas sobre a migração de instalações WLS locais e ID do Microsoft Entra:

• Se você já tiver um locatário de ID do Microsoft Entra sem os Serviços de Domínio expostos via LDAP, este guia mostrará como expor o recurso LDAP e integrá-lo ao WLS.
• Se o cenário envolver uma floresta do Active Directory local, considere implementar uma solução de identidade híbrida com a ID do Microsoft Entra. Para obter mais informações, confira a Documentação sobre identidade híbrida.
• Se você já tiver uma implantação local do AD DS (Active Directory Domain Services), explore os caminhos de migração em Comparar os Serviços de Domínio Active Directory autogerenciados, a ID do Microsoft Entra e os Serviços de Domínio Microsoft Entra gerenciados.
• Se você estiver otimizando para a nuvem, este guia mostra como começar do zero com o LDAP e o WLS dos Serviços de Domínio de ID do Microsoft Entra.
• Para uma pesquisa abrangente da migração do WebLogic Server para máquinas virtuais do Azure, confira Migrar aplicativos do WebLogic Server para Máquinas Virtuais do Azure.
• Para obter mais informações sobre o Active Directory e a ID do Microsoft Entra, consulte Comparar o Active Directory com a ID do Microsoft Entra.

Configurar o domínio gerenciado dos Serviços de Domínio do Microsoft Entra

Esta seção orienta você por todas as etapas para criar um domínio gerenciado do Microsoft Entra Domain Services integrado ao WLS. O ID do Microsoft Entra não oferece suporte ao protocolo LDAP (Lightweight Directory Access Protocol) ou LDAP Seguro diretamente. Em vez disso, o suporte é habilitado por meio da instância de domínio gerenciado do Microsoft Entra Domain Services em seu locatário de ID do Microsoft Entra.

Observação

Este guia usa o recurso de conta de usuário "somente nuvem" dos Serviços de Domínio Microsoft Entra. Há suporte para outros tipos de conta de usuário, mas não são descritos neste guia.

Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services

Este artigo usa um tutorial separado para criar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.

Conclua o tutorial Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services até, mas não incluindo, a seção Habilitar contas de usuário para o Domain Services. Essa seção requer tratamento especial no contexto deste tutorial, conforme descrito na próxima seção. Certifique-se de concluir as ações de DNS de modo completo e correto.

Anote o valor especificado ao concluir a etapa "Insira um nome de domínio DNS para seu domínio gerenciado". Você o usará mais adiante neste artigo.

Criar usuários e redefinir senhas

As etapas a seguir mostram como criar usuários e alterar suas senhas, o que é necessário para fazer com que os usuários se propaguem com êxito por meio do LDAP. Se você tiver um domínio gerenciado existente do Microsoft Entra Domain Services, essas etapas podem não ser necessárias.

1. No portal do Azure, verifique se a assinatura correspondente ao locatário da ID do Microsoft Entra é o diretório ativo no momento. Para saber como selecionar o diretório correto, consulte Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra. Se o diretório incorreto for selecionado, você não poderá criar usuários ou criará usuários no diretório errado.
2. Na caixa de pesquisa na parte superior do portal do Azure, insira Usuários.
3. Selecione Novo usuário.
4. Certifique-se de que Criar usuário esteja selecionado.
5. Preencha os valores para Nome de usuário, nome, Nome e Sobrenome. Deixe os outros campos com suas definições padrão.
6. Selecione Criar.
7. Selecione o usuário recém-criado na tabela.
8. Selecione Redefinir senha.
9. No painel que aparece, selecione Redefinir senha.
10. Anote a senha temporária.
11. Em uma janela "anônima" ou privada do navegador, visite o portal do Azure e entre com as credenciais e a senha do usuário.
12. Altere a senha, quando solicitado. Anote a nova senha. Você o usará depois.
13. Saia e feche a janela "anônima".

Repita as etapas de "Selecionar novo usuário" a "Sair e fechar" para cada usuário que você deseja habilitar.

Configurar o LDAP seguro para um domínio gerenciado dos Serviços de Domínio do Microsoft Entra

Esta seção orienta você por um tutorial separado para extrair valores para uso na configuração do WLS.

Primeiro, abra o tutorial Configurar LDAP seguro para um domínio gerenciado do Microsoft Entra Domain Services em uma janela separada do navegador para que você possa examinar as variações abaixo enquanto executa o tutorial.

Quando você chegar à seção Exportar um certificado para computadores clientes, anote onde você salva o arquivo de certificado que termina em .cer. Você usa o certificado como entrada para a configuração do WLS.

Quando você chegar à seção Bloquear o acesso LDAP seguro pela Internet, especifique Qualquer como a origem. Você reforça a regra de segurança com um endereço IP específico mais adiante neste guia.

Antes de executar as etapas em Testar consultas para o domínio gerenciado, use as seguintes etapas para permitir que o teste seja bem-sucedido:

1. No portal do Azure, visite a página de visão geral da instância do Microsoft Entra Domain Services.

2. Na área Configurações, selecione Propriedades.

3. No painel direito da página, role para baixo até ver Grupo de administradores. Abaixo desse título deve haver um link para Administradores de DC do AAD. Selecione esse link.

4. Na seção Gerenciar, selecione Membros.

5. Selecione Adicionar membros.

6. No campo de texto Pesquisar, insira alguns caracteres para localizar um dos usuários que você criou em uma etapa anterior.

7. Selecione o usuário e ative o botão Selecionar.

   Esse usuário é o que você deve usar ao executar as etapas na seção Testar consultas para o domínio gerenciado.

Observação

A lista a seguir fornece algumas dicas sobre como consultar os dados LDAP, o que você precisa fazer para coletar alguns valores necessários para a configuração do WLS:

• O tutorial aconselha você a usar o programa do Windows LDP.exe. Esse programa está disponível apenas no Windows. Para usuários não Windows, também é possível usar o Apache Directory Studio para a mesma finalidade.
• Ao fazer login no LDAP com LDP.exe, o nome de usuário é apenas a parte antes do @. Por exemplo, se o usuário for alice@contoso.onmicrosoft.com, o nome de usuário para a ação de associação do LDP.exe será alice. Além disso, deixe LDP.exe em execução e conectado para uso nas etapas subsequentes.

Na seção Configurar zona DNS para acesso externo, anote o valor do Endereço IP externo do LDAP Seguro. Você o usará depois.

Se o valor do endereço IP externo LDAP seguro não for prontamente aparente, use as seguintes etapas para obter o endereço IP:

1. No portal do Azure, localize o grupo de recursos que contém o recurso Microsoft Entra Domain Services.

2. Na lista de recursos, selecione o recurso de endereço IP público para o recurso Microsoft Entra Domain Services, conforme mostrado na captura de tela a seguir. O endereço IP público provavelmente começa com aadds.

   

Não execute as etapas em Limpar recursos até que seja instruído a fazê-lo neste guia.

Com essas variações em mente, conclua Configurar LDAP seguro para um domínio gerenciado do Microsoft Entra Domain Services. Agora você pode coletar os valores que precisa fornecer à configuração do WLS.

Observação

Aguarde até que a configuração LDAP segura conclua o processamento antes de passar para a próxima seção.

Desabilitar a criptografia TLS v1 fraca

Por padrão, os Serviços de Domínio Microsoft Entra habilitam o uso do TLS v1, que é considerado fraco e não tem suporte no WebLogic Server 14 e posterior.

Esta seção mostra como desabilitar a cifra TLS v1.

Primeiro, obtenha a ID do recurso do domínio gerenciado do Serviço de Domínio do Microsoft Entra que habilita o LDAP. O comando a seguir obtém a ID de uma instância do Azure Domain Service nomeada aaddscontoso.com em um grupo de recursos chamado aadds-rg:

AADDS_ID=$(az resource show \
    --resource-group aadds-rg \
    --resource-type "Microsoft.AAD/DomainServices" \
    --name aaddscontoso.com \
    --query "id" \
    --output tsv)

Para desabilitar o TLS v1, use o seguinte comando:

az resource update \
    --ids $AADDS_ID \
    --set properties.domainSecuritySettings.tlsV1=Disabled

A saída é exibida "tlsV1": "Disabled" para domainSecuritySettings, conforme mostrado no exemplo a seguir:

"domainSecuritySettings": {
      "ntlmV1": "Enabled",
      "syncKerberosPasswords": "Enabled",
      "syncNtlmPasswords": "Enabled",
      "syncOnPremPasswords": "Enabled",
      "tlsV1": "Disabled"
}

Para obter mais informações, consulte Proteger um domínio gerenciado do Microsoft Entra Domain Services.

Observação

Se você adicionar um bloqueio ao recurso ou grupo de recursos, encontrará uma mensagem de erro ao tentar atualizar o domínio gerenciado, como: Message: The scope '/subscriptions/xxxxx/resourceGroups/aadds-rg/providers/Microsoft.AAD/domainServices/aaddscontoso.com' cannot perform write operation because the following scope(s) are locked: '/subscriptions/xxxxx/resourceGroups/aadds-rg'. Please remove the lock and try again.

Anote as informações a seguir para o domínio gerenciado do Serviço de Domínio do Microsoft Entra. Você usará essas informações em uma seção posterior.

Propriedade	Descrição
Host do servidor	Esse valor é o nome DNS público que você salvou ao concluir Criar e configurar um domínio gerenciado do Microsoft Entra ID Domain Services.
Endereço IP externo do LDAP Seguro	Esse valor é o valor do endereço IP externo LDAP seguro que você salvou na seção Configurar zona DNS para acesso externo.
Principal	Para obter esse valor, retorne ao LDP.exe e use as seguintes etapas para obter o valor da entidade de segurança para uso somente em sua nuvem: No menu Exibir, selecione Árvore. Na caixa de diálogo Modo de Exibição de Árvore, deixe BaseDN em branco e selecione OK. Clique com o botão direito do mouse no painel do lado direito e selecione Limpar saída. Expanda a visualização em árvore e selecione a entrada que começa com OU=AADDC Users. No menu Procurar, selecione Pesquisar. Na caixa de diálogo que aparece, aceite os padrões e selecione Executar. Depois que a saída aparecer no painel direito, selecione Fechar, ao lado de Executar. Examine a saída da Dn entrada correspondente ao usuário que você adicionou ao AAD DC Administrators grupo. Começa com Dn: CN=<user name>OU=AADDC Users .
DN de base de usuário e DN de base de grupo	Para os fins deste tutorial, os valores de ambas as propriedades são os mesmos: a entidade de segurança de OU=AADDC Users.
Senha para a entidade de segurança	Esse valor é a senha do usuário que foi adicionado ao AAD DC Administrators grupo.
Chave pública para conexão LDAPS do Serviço de Domínio do Microsoft Entra	Esse valor é o arquivo .cer que você foi solicitado a salvar ao concluir a seção Exportar um certificado para computadores clientes.

Configurar o WLS

Esta seção ajuda você a coletar os valores de parâmetro do domínio gerenciado do Serviço de Domínio do Microsoft Entra implantado anteriormente.

Ao implantar qualquer um dos Aplicativos do Azure listados em O que são soluções para executar o Oracle WebLogic Server em Máquinas Virtuais do Azure?, você pode seguir as etapas para integrar o domínio gerenciado do Microsoft Entra Domain Service ao WLS.

Após a conclusão da implantação do aplicativo do Azure, use as seguintes etapas para localizar a URL para acessar o Console de Administração do WebLogic:

1. Abra o portal do Azure e vá para o grupo de recursos que você provisionou.
2. No painel de navegação, na seção Configurações, escolha Implantações. Você verá uma lista ordenada das implantações nesse grupo de recursos, com a mais recente primeiro.
3. Role até a entrada mais antiga nesta lista. Essa entrada corresponde à implantação iniciada na seção anterior. Selecione a implantação mais antiga, cujo nome começa com algo semelhante a oracle..
4. Selecione Saídas. Essa opção mostra a lista de saídas da implantação.
5. O valor adminConsole é o link totalmente qualificado, público e visível na Internet para o console de administração do WLS. Selecione o ícone de cópia ao lado do valor do campo para copiar o link para a área de transferência e salvá-lo em um arquivo.

Observação

Este tutorial demonstra como usar o TLS v1.2 para se conectar ao servidor LDAP de domínio gerenciado do Serviço de Domínio do Microsoft Entra. Para garantir a compatibilidade, você precisa habilitar o TLS v1.2 para implantações no JDK 8.

Para verificar sua versão do JDK, use as seguintes etapas:

1. Cole o valor de adminConsole na barra de endereços do navegador e entre no console de administração do WLS.

2. Em Estrutura de domínio, selecione Monitoramento>geral do administrador>>de servidores de ambiente>e localize Versão do Java.

   

Se a versão do Java for 8, ative o TLS v1.2 usando as seguintes etapas:

1. Em Estrutura de Domínio, selecione Servidor de Configuração do administrador de>>Servidores>de Ambiente>Iniciar Servidor.

2. Na seção Argumentos, especifique o valor -Djdk.tls.client.protocols=TLSv1.2.

3. Selecione Salvar para salvar as alterações.

4. Em Centro de Alterações, selecione Ativar Alterações para habilitar a opção.

   

Integrar o domínio gerenciado do Microsoft Entra Domain Service ao WLS

Com o servidor de administração WebLogic em execução e o domínio gerenciado do Serviço de Domínio do Microsoft Entra implantado e protegido com LDAPs, agora é possível iniciar a configuração.

Carregar e importar a autoridade de certificação pública

O WLS se comunica com o domínio gerenciado usando LDAP seguro (LDAPS), que é LDAP sobre SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). Para estabelecer essa conexão, você deve carregar e importar o certificado de autoridade de certificação (CA) público (um arquivo .cer ) para o armazenamento de chaves de confiança do WLS.

Carregue e importe o certificado para a máquina virtual que executa o servidor admin usando as seguintes etapas:

1. Habilite o adminVM acesso seguindo as instruções na seção Conectar-se à máquina virtual do Início Rápido: Implantar o WebLogic Server em Máquinas Virtuais do Azure.

2. Abra um terminal Bash e carregue o certificado usando os comandos a seguir. Substitua o ADMIN_PUBLIC_IP valor pelo valor real, que você pode encontrar no portal do Azure. Você deve inserir a senha usada para conectar a máquina.

   export CER_FILE_NAME=azure-ad-ds-client.cer
   export ADMIN_PUBLIC_IP="<admin-public-ip>"
   export ADMIN_VM_USER="weblogic"
   
   cd <path-to-cert>
   scp ${CER_FILE_NAME} "$ADMIN_VM_USER@$ADMIN_PUBLIC_IP":/home/${ADMIN_VM_USER}/${CER_FILE_NAME}
   

3. Depois que o certificado for carregado, você precisará movê-lo para a pasta de domínio WLS /u01/domains e alterar sua propriedade oracle:oracle usando os seguintes comandos:

   export RESOURCE_GROUP_NAME=contoso-rg
   export ADMIN_VM_NAME=adminVM
   export CA_PATH=/u01/domains/${CER_FILE_NAME}
   
   az vm run-command invoke \
       --resource-group $RESOURCE_GROUP_NAME \
       --name ${ADMIN_VM_NAME} \
       --command-id RunShellScript \
       --scripts "mv /home/${ADMIN_VM_USER}/${CER_FILE_NAME} /u01/domains; chown oracle:oracle ${CA_PATH}"
   

4. Importe o certificado para o repositório de chaves. O aplicativo do Azure provisiona o WLS com um repositório confiável padrão no <jvm-path-to-security>/cacerts. O caminho específico pode variar dependendo da versão do JDK. Você pode importar a AC pública de domínio gerenciado do Serviço de Domínio do Microsoft Entra usando as seguintes etapas:

   1. Consulte o script que você usou para definir as variáveis de ambiente de domínio.

      export DOMIAN_FILE_PATH=$(az vm run-command invoke \
          --resource-group $RESOURCE_GROUP_NAME \
          --name ${ADMIN_VM_NAME} \
          --command-id RunShellScript \
          --scripts "find /u01/domains -name setDomainEnv.sh" \
          --query value[*].message \
          --output tsv \
          | sed -n '/\[stdout\]/!b; n; p')
      
      echo $DOMIAN_FILE_PATH
      

   2. Importe a CA usando o comando a seguir. Preste atenção à sua versão do Java, que você verificou na seção anterior.

      Java 11 e superior

      az vm run-command invoke \
          --resource-group $RESOURCE_GROUP_NAME \
          --name ${ADMIN_VM_NAME} \
          --command-id RunShellScript \
          --scripts ". ${DOMIAN_FILE_PATH};export JVM_CER_PATH=\${JAVA_HOME}/lib/security/cacerts;\${JAVA_HOME}/bin/keytool -noprompt -import -alias aadtrust -file ${CA_PATH} -keystore \${JVM_CER_PATH} -storepass changeit"
      

      Java 8

      az vm run-command invoke \
          --resource-group $RESOURCE_GROUP_NAME \
          --name ${ADMIN_VM_NAME} \
          --command-id RunShellScript \
          --scripts ". ${DOMIAN_FILE_PATH};export JVM_CER_PATH=\${JAVA_HOME}/jre/lib/security/cacerts;\${JAVA_HOME}/bin/keytool -noprompt -import -alias aadtrust -file ${CA_PATH} -keystore \${JVM_CER_PATH} -storepass changeit"
      

   Você deverá ver uma saída semelhante ao seguinte exemplo:

   {
   "value": [
     {
       "code": "ProvisioningState/succeeded",
       "displayStatus": "Provisioning succeeded",
       "level": "Info",
       "message": "Enable succeeded: \n[stdout]\n\n[stderr]\nCertificate was added to keystore\n",
       "time": null
     }
    ]
   }
   

Observação

Se você personalizar o armazenamento confiável, deverá importar a CA pública de domínio gerenciado do Serviço de Domínio Entra para o armazenamento de chaves de confiança. Não há necessidade de importar o certificado para os servidores gerenciados do WLS. Para obter mais informações, consulte Configurando o WebLogic para usar LDAP.

Configurar a verificação do nome do host WLS

Como Configurar LDAP seguro para um domínio gerenciado do Microsoft Entra Domain Services usa um curinga *.aaddscontoso.com para o nome do host no certificado, você deve configurar o servidor de administração WLS com a verificação de nome de host apropriada. Use as etapas a seguir para desativar a verificação. Para WLS 14 e superior, você pode selecionar Verificação de nome de host curinga.

1. Cole o valor de adminConsole no navegador e faça login no console de administração do WLS.
2. Na Central de Alterações, selecione Bloquear e Editar.
3. Selecione Ambiente>Servidores>admin>SSL>Avançado.
4. Ao lado de Verificação de nome de host, selecione Nenhum.
5. Selecione Salvar e Ativar Alterações para salvar a configuração.

Resolver o tráfego para acesso LDAP seguro

Com o acesso LDAP seguro habilitado pela Internet, você pode atualizar sua zona DNS para que os computadores cliente possam encontrar esse domínio gerenciado. O valor do endereço IP externo LDAP seguro está listado na guia Propriedades do domínio gerenciado. Para obter mais informações, consulte Configurar a zona DNS para acesso externo.

Se você não tiver uma zona DNS registrada, poderá adicionar uma entrada no arquivo hosts para resolver o adminVM tráfego de ldaps.<managed-domain-dns-name> (aqui ldaps.aaddscontoso.comestá ) para o endereço IP externo. Altere o valor com o seu antes de executar os seguintes comandos:

export LDAPS_DNS=ldaps.aaddscontoso.com
export LDAPS_EXTERNAL_IP=<entra-domain-services-manged-domain-external-ip>

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "echo \"${LDAPS_EXTERNAL_IP} ${LDAPS_DNS}\" >> /etc/hosts"

Execute o seguinte comando para reiniciar o servidor de administração para carregar as configurações:

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl stop wls_admin"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl start wls_admin"

Criar e configurar o provedor de autenticação LDAP

Com o certificado importado e o tráfego de acesso LDAP seguro resolvido, você pode configurar o provedor LDAP no console WLS usando as seguintes etapas:

1. Cole o valor adminConsole na barra de endereços do navegador e entre no console de administração do WLS.

2. Em Central de Alterações, selecione Bloquear e Editar.

3. Em Estrutura de Domínio, selecione Realms>de Segurança myrealm>Providers>Novo e use os valores a seguir para criar um novo provedor de autenticação.

   • Em Nome, preencha AzureEntraIDLDAPProvider.
   • Para Tipo, selecione ActiveDirectoryAuthenticator.

4. Selecione OK para salvar a alteração.

5. Na lista de provedores, selecione AzureEntraIDLDAPProvider.

6. Para Sinalizador de Controle Comum>de Configuração>, selecione SUFICIENTE.

7. Selecione Salvar para salvar as alterações.

8. Para Específico do Provedor de Configuração>, insira as informações de conexão de domínio gerenciado do Microsoft Entra Domain Services obtidas anteriormente. As etapas para obter o valor estão listadas na tabela em Configurar LDAP seguro para um domínio gerenciado do Microsoft Entra Domain Services.

9. Preencha os seguintes campos obrigatórios, mantendo os demais campos com seus valores padrão:

   Item	Valor	Valor de exemplo
   Host	DNS de servidor LDAP de domínio gerenciado, ldaps.<managed-domain-dns-name>	ldaps.aaddscontoso.com
   Porta	636	636
   Principal	Entidade de segurança do usuário somente na nuvem	CN=WLSTest,OU=AADDC Users,DC=aaddscontoso,DC=com
   Credencial	Credencial do seu usuário somente na nuvem	-
   SSLEnabled	Selecionados	-
   DN da base de usuários	Nome distinto (DN) da sua base de usuários	OU=AADDC Users,DC=aaddscontoso,DC=com
   Filtro de nome do usuário	(&(sAMAccountName=%u)(objectclass=user))	(&(sAMAccountName=%u)(objectclass=user))
   Atributo de nome de usuário	sAMAccountName	sAMAccountName
   Classe de objeto de usuário	user	user
   DN Base do Grupo	O DN base do seu grupo.	OU=AADDC Users,DC=aaddscontoso,DC=com
   Pesquisa de associação de grupo	limit	limit
   Nível máximo de pesquisa de associação ao grupo	1	1
   Usar grupos de tokens para pesquisa de associação de grupo	Selecionados	-
   Tamanho do pool de conexões	5	5
   Connect Timeout	120	120
   Limite de repetição de conexão	5	5
   Limite de tempo dos resultados	300	300
   Manter Alive Ativado	Selecionados	-
   Cache Habilitado	Selecionados	-
   Tamanho do cache	4000	4000
   Cache TTL	300	300

10. Selecione Salvar para salvar o provedor.

11. Selecione Desempenho ao lado de Configuração.

12. Selecione Habilitar Cache de Hierarquia de Pesquisa de Associação de Grupo.

13. Selecione Habilitar SID para cache de pesquisa de grupo.

14. Selecione Salvar para salvar a configuração.

15. Selecione Ativar alterações para invocar as alterações.

Observação

Preste atenção ao nome do host do servidor LDAP. Ela deve estar no formato ldaps.<managed-domain-dns-name>. Neste exemplo, o valor é ldaps.aaddscontoso.com.

Se você encontrar um erro como [Security:090834]No LDAP connection could be established. ldap://dscontoso.com:636 Cannot contact LDAP servero , tente reiniciar adminVM para resolver o problema.

Você deve reiniciar o servidor de administração WLS para que as alterações entrem em vigor. Execute o seguinte comando para reiniciar o servidor de administração:

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl stop wls_admin"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl start wls_admin"

Observação

Se você estiver autenticando um aplicativo em um cluster com usuários da ID do Microsoft Entra, deverá reiniciar o servidor gerenciado para ativar o provedor. Você pode fazer isso reiniciando a máquina virtual que hospeda o servidor.

Validação

Depois de reiniciar o servidor de administração, use as seguintes etapas para verificar se a integração foi bem-sucedida:

1. Visite o console de administração do WLS.
2. No painel de navegação, expanda a árvore e selecione Provedores myrealm>>de Regiões de Segurança.
3. Se a integração foi bem-sucedida, você pode encontrar o provedor de ID do Microsoft Entra - por exemplo AzureEntraIDLDAPProvider.
4. Na área de janela de navegação, expanda a árvore e selecione Usuários e Grupos myrealm>>das Regiões de Segurança.
5. Se a integração foi bem-sucedida, você poderá encontrar usuários do provedor de ID do Microsoft Entra.

Observação

Leva alguns minutos para carregar usuários na primeira vez que você acessa Usuários e Grupos. O WLS armazena os usuários em cache e é mais rápido no próximo acesso.

Bloquear e proteger o acesso LDAP seguro na Internet

Ao ativar o LDAP seguro nas etapas anteriores, defina a origem como Qualquer para a AllowLDAPS regra no grupo de segurança de rede. Agora que o Servidor de Administração WLS está implantado e conectado ao LDAP, obtenha seu endereço IP público usando o portal do Azure. Reveja Bloquear acesso LDAP seguro pela Internet e altere Qualquer para o endereço IP específico do servidor de administração do WLS.

Limpar os recursos

Agora é hora de seguir as etapas na seção Limpar recursos de Configurar LDAP seguro para um domínio gerenciado do Microsoft Entra Domain Services.

Próximas etapas

Explore outros aspectos da migração de aplicativos do WebLogic Server para o Azure.

Migrar aplicativos do WebLogic Server para as Máquinas Virtuais do Azure