Compartilhar via


Tutorial: Configurar o BIG-IP Easy Button da F5 para o SSO no Oracle JDE

Neste tutorial, aprenda a proteger o Oracle JDE (JD Edwards) usando a ID do Microsoft Entra por meio da Configuração Guiada do F5 BIG-IP Easy Button.

Integre o BIG-IP à ID do Microsoft Entra para aproveitar vários benefícios:

Saiba mais:

Descrição do cenário

Este tutorial utiliza o aplicativo Oracle JDE usando cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido.

Os aplicativos herdados não têm protocolos modernos para dar suporte à integração ao Microsoft Entra. A modernização é onerosa, requer planejamento e apresenta risco potencial de tempo de inatividade. Como alternativa, use um Controlador de Entrega de Aplicativos (ADC) BIG-IP da F5 para preencher a lacuna entre aplicativos herdados e o controle de ID moderno, com transição de protocolo.

Com um BIG-IP na frente do aplicativo, você sobrepõe o serviço com o SSO baseado em cabeçalho e a autenticação prévia do Microsoft Entra. Essa ação melhora a postura de segurança do aplicativo.

Arquitetura de cenário

A solução SHA para este cenário é composta por vários componentes:

  • Aplicativo Oracle JDE – Serviço publicado do BIG-IP protegido pelo SHA do Microsoft Entra
  • Microsoft Entra ID – provedor de identidade (IdP) da Security Assertion Markup Language (SAML) que verifica as credenciais do usuário, o Acesso Condicional e o SSO baseado em SAM para o BIG-IP
    • Com o SSO, a ID do Microsoft Entra fornece atributos de sessão ao BIG-IP
  • BIG-IP – proxy reverso e provedor de serviços (SP) de SAML para o aplicativo
    • O BIG-IP delega a autenticação ao IdP do SAML, executa o SSO baseado em cabeçalho para o serviço do Oracle

Neste tutorial, o SHA dá suporte a fluxos iniciados por SP e IdP. O diagrama a seguir demonstra o fluxo iniciado pelo SP.

Diagrama do acesso híbrido seguro com fluxo iniciado por SP.

  1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
  2. A política de acesso do APM do BIG-IP redireciona o usuário para a ID do Microsoft Entra (IdP do SAML).
  3. O Microsoft Entra autentica o usuário previamente e aplica as políticas de acesso condicional.
  4. O usuário é redirecionado para o BIG-IP (SP do SAML). O SSO ocorre usando o token SAML emitido.
  5. O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos na solicitação do aplicativo.
  6. O aplicativo autoriza a solicitação e retorna o conteúdo.

Pré-requisitos

Configuração do BIG-IP

Este tutorial usa a Configuração Guiada 16.1 com um modelo do botão fácil. Com o Easy Button, os administradores não ficam entre o Microsoft Entra ID e um BIG-IP para habilitar serviços do SHA. O Assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de política. A integração garante que os aplicativos suportem a federação de identidade, SSO e Acesso Condicional.

Observação

Substitua as cadeias de caracteres ou os valores de exemplo desse tutorial pelos do seu ambiente.

Registrar o Easy Button

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Antes que um cliente ou serviço acesse o Microsoft Graph, a plataforma de identidade da Microsoft precisa confiar nele.

Saiba mais: Início Rápido: registrar um aplicativo na plataforma de identidade da Microsoft

As instruções a seguir ajudam você a criar um registro de aplicativo de locatário para autorizar o acesso do Easy Button ao Graph. Com essas permissões, o BIG-IP envia as configurações por push para estabelecer uma relação de confiança entre uma instância do SP do SAML do aplicativo publicado e a ID do Microsoft Entra como o IdP do SAML.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Registros de aplicativo>Novo registro.

  3. Insira um Nome de aplicativo.

  4. Em Contas apenas neste diretório organizacional, especifique quem pode usar o aplicativo.

  5. Selecione Registrar.

  6. Navegue até Permissões de API.

  7. Autorize as seguintes Permissões de aplicativo do Microsoft Graph:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy. Read. All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Forneça consentimento do administrador para sua organização.

  9. Acesse Certificados e Segredos.

  10. Gere um novo Segredo do Cliente e anote-o.

  11. Acesse Visão geral e anote a ID do Cliente e a ID do Locatário

Configurar o botão fácil

  1. Inicie a Configuração Guiada do APM.

  2. Inicie o modelo do Easy Button.

  3. Navegue até Acesso > Configuração Guiada.

  4. Selecione Integração da Microsoft.

  5. Selecione Aplicativo do Microsoft Entra.

  6. Examine a sequência de configuração.

  7. Selecione Avançar

  8. Siga a sequência de configuração.

    Captura de tela da sequência de configuração em Configuração do Aplicativo do Microsoft Entra.

Configuration Properties

Use a guia Propriedades de Configuração para criar configurações de aplicativo e objetos SSO. A seção Detalhes da Conta de Serviço do Azure representa o cliente que você registrou como um aplicativo no locatário do Microsoft Entra. Use as configurações do cliente OAuth do BIG-IP para registrar um SP SAML em seu locatário, com propriedades SSO. O Easy Button executa essa ação para serviços BIG-IP publicados e habilitados para SHA.

Observação

Algumas das configurações a seguir são globais. Você pode reutilizá-las para publicar mais aplicativos.

  1. Para SSO (Logon Único) e Cabeçalhos HTTP, selecione Ativado.
  2. Insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou.
  3. Confirme se o BIG-IP se conecta ao locatário.
  4. Selecione Avançar

Provedor de serviços

As configurações do Provedor de Serviços definem as propriedades para a instância de SP no SAML do aplicativo protegido por SHA.

  1. No Host, insira o FQDN público do aplicativo protegido.

  2. Em ID da Entidade, insira o identificador que a ID do Microsoft Entra usa para identificar o SP do SAML solicitando um token.

    Captura de tela das opções e seleções para o Provedor de Serviços.

  3. (Opcional) Em Configurações de Segurança, indique que a ID do Microsoft Entra criptografa as declarações SAML emitidas. Essa opção aumenta a garantia de que os tokens de conteúdo não sejam interceptados nem os dados comprometidos.

  4. Na lista Chave Privada de Descriptografia da Declaração, selecione Criar.

    Captura de tela de Criar Nova na lista de Chave Privada da Descriptografia de Declaração.

  5. Selecione OK.

  6. A caixa de diálogo Importar Certificado SSL e Chaves abre em uma nova guia.

  7. Em Importar Tipo, selecione PKCS 12 (IIS). Essa opção importa o certificado e a chave privada.

  8. Feche a guia do navegador para retornar à guia principal.

    Captura de tela das opções e seleções do certificado SSL e da Fonte de Chave.

  9. Para Habilitar a Declaração Criptografada, marque a caixa.

  10. Se você habilitou a criptografia, na lista de Chave Privada da Descriptografia de Declaração, selecione o certificado. Essa chave privada se destina ao certificado que o APM do BIG-IP usa para descriptografar as declarações do Microsoft Entra.

  11. Se você habilitou a criptografia, na lista de Certificado da Descriptografia de Declaração, selecione o certificado. O BIG-IP carrega esse certificado na ID do Microsoft Entra para criptografar as declarações SAML emitidas.

Captura de tela das opções e seleções para Configurações de segurança.

Microsoft Entra ID

O Easy Button tem modelos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico.

  1. Selecione JD Edwards Protegido por F5 BIG-IP.
  2. Selecione Adicionar.

Configuração do Azure

  1. Insira o Nome de exibição para o aplicativo que o BIG-IP cria no locatário. O nome aparece em um ícone em Meus Aplicativos.

  2. (Opcional) Para URL de logon, insira o FQDN público do aplicativo PeopleSoft.

  3. Ao lado da Chave de Autenticação e do Certificado de Autenticação, selecione atualizar. Essa ação localiza o certificado que você importou.

  4. Em Frase Secreta da Chave de Autenticação, insira a senha do certificado.

  5. (Opcional) Para Opção de Assinatura, selecione uma opção. Essa seleção garante que o BIG-IP aceite tokens e declarações assinados pela ID do Microsoft Entra.

    Captura de tela das opções Chave de Autenticação, Certificado de Autenticação e Frase Secreta da Chave de Autenticação em Certificado de Autenticação do SAML.

  6. Os Usuários e Grupos de Usuários são consultados dinamicamente no locatário do Microsoft Entra.

  7. Adicionar um usuário ou grupo para teste, caso contrário, o acesso é negado.

    Captura de tela da opção Adicionar em Usuário e Grupos de Usuários.

Declarações e Atributos do Usuário

Quando um usuário é autenticado, a ID do Microsoft Entra emite um token SAML com declarações e atributos padrão que identificam o usuário. A guia Atributos e Declarações do Usuário mostra as declarações padrão a serem emitidas para o novo aplicativo. Use-o para configurar mais declarações.

Captura de tela das opções e seleções para Atributos e Declarações do Usuário.

Se necessário, inclua outros atributos do Microsoft Entra. O cenário do Oracle JDE requer atributos padrão.

Atributos de usuário adicionais

A guia Atributos de Usuário Adicionais dá suporte a sistemas distribuídos que exigem atributos que são armazenados em outros diretórios para o aumento da sessão. Os atributos de uma fonte LDAP podem ser injetados como mais cabeçalhos de SSO para controlar o acesso com base em funções, IDs de Parceiros, etc.

Observação

Esse recurso não tem correlação com a ID do Microsoft Entra, mas é outra fonte de atributo.

Política de Acesso Condicional

As políticas de acesso condicional são impostas após a autenticação prévia do Microsoft Entra para controlar o acesso baseado no dispositivo, no aplicativo, na localização e nos sinais de risco. A exibição Políticas Disponíveis tem políticas de Acesso Condicional sem ações do usuário. A exibição Políticas Selecionadas contém as políticas direcionadas aos aplicativos na nuvem. Não é possível desmarcar ou mover essas políticas para a lista de políticas disponíveis porque elas são impostas no nível do locatário.

Selecione uma política para o aplicativo.

  1. Na lista Políticas Disponíveis, selecione uma política.
  2. Escolha a seta para a direita e mova-a para a lista Políticas selecionadas.

As políticas selecionadas têm a opção Incluir ou Excluir marcada. Se as duas opções estiverem marcadas, a política não será imposta.

Captura de tela das políticas excluídas em Políticas selecionadas na Política de Acesso Condicional.

Observação

A lista de políticas é exibida uma vez, quando você seleciona a guia. Use Atualizar para o assistente consultar o locatário. Essa opção aparecerá depois o aplicativo for implantado.

Propriedades do Servidor Virtual

Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual. O servidor escuta solicitações do cliente para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil do APM do servidor virtual. Em seguida, o tráfego é direcionado de acordo com a política.

  1. Para Endereço de Destino, insira o endereço IPv4 ou IPv6 que o BIG-IP usa para receber o tráfego do cliente. Um registro correspondente aparece no DNS, o que permite que os clientes resolvam o URL externo do aplicativo publicado para o IP. Use um DNS localhost do computador de teste para teste.

  2. Para Porta de Serviço, insira 443 e selecione HTTPS.

  3. Para Habilitar a Porta de Redirecionamento, marque a caixa.

  4. Para Porta de Redirecionamento, insira 80 e selecione HTTP. Essa opção redireciona o tráfego do cliente HTTP de entrada para HTTPS.

  5. Para Perfil SSL do Cliente, selecione Usar Existente.

  6. Em Comum, selecione a opção que você criou. Se estiver testando, deixe o padrão. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, portanto, as conexões do cliente são criptografadas por TLS.

    Captura de tela das opções e seleções para Propriedades do Servidor Virtual.

Propriedades de Pool

A guia Pool de Aplicativos possui serviços por trás de um BIG-IP, representados por um pool com servidores de aplicativos.

  1. Para Selecionar um Pool, selecione Criar Novo ou selecione um.

  2. Para o Método de Balanceamento de Carga, selecione Round Robin.

  3. Para Servidores de Pool, em Endereço IP/Nome do Nó, selecione um nó ou insira um IP e uma porta para servidores que hospedam o aplicativo Oracle JDE.

    Captura de tela do Endereço IP/Nome do Nó e opções de porta nas propriedades do pool.

Logon Único e Cabeçalhos HTTP

O assistente do Easy Button dá suporte a cabeçalhos de autorização Kerberos, portador OAuth e HTTP para o SSO nos aplicativos publicados. O aplicativo PeopleSoft espera cabeçalhos.

  1. Para Cabeçalhos HTTP, marque a caixa.

  2. Para Operação de Cabeçalho, selecione substituir.

  3. Em Nome do Cabeçalho, insira JDE_SSO_UID.

  4. Para Valor do Cabeçalho, insira %{session.sso.token.last.username}.

    Captura de tela da Operação do cabeçalho, Nome do cabeçalho e entradas de valor do cabeçalho em Logon único e Cabeçalhos HTTP.

    Observação

    As variáveis de sessão do APM entre colchetes diferenciam maiúsculas de minúsculas. Por exemplo, se você inserir OrclGUID e o nome do atributo for orclguid, o mapeamento de atributos falhará.

Gerenciamento da sessão

Use as configurações de gerenciamento de sessão do BIG-IP para definir as condições de encerramento ou de continuação das sessões do usuário. Defina limites para usuários e endereços IP e informações de usuário correspondentes.

Para saber mais, acesse support.f5.com para K18390492: Segurança | Guia de operações do APM do BIG-IP

A funcionalidade de SLO (logoff único), não abordada no guia de operações, garante que as sessões do IdP, do BIG-IP e do agente do usuário sejam encerradas quando os usuários saírem. Quando o Easy Button cria uma instância de um aplicativo SAML no locatário do Microsoft Entra, ele preenche a URL de Logoff com o ponto de extremidade de SLO do APM. A saída iniciada por IdP em Meus Aplicativos encerra as sessões do BIG-IP e de cliente.

Os dados de federação SAML do aplicativo publicado são importados do locatário. Essa ação fornece ao APM o ponto de extremidade de saída do SAML para a ID do Microsoft Entra, o que garante que a saída iniciada pelo SP encerre as sessões do cliente e do Microsoft Entra. O APM precisa saber quando um usuário sai.

Quando o portal do webtop do BIG-IP acessa os aplicativos publicados, o APM processa uma saída para chamar o ponto de extremidade de saída do Microsoft Entra. Se o portal webtop do BIG-IP não for usado, o usuário não poderá instruir o APM a sair. Se o usuário sair do aplicativo, o BIG-IP será alheio. A saída iniciada por SP precisa de encerramento seguro da sessão. Adicione uma função de SLO ao botão Sair do aplicativo para redirecionar o cliente ao ponto de extremidade de saída do BIG-IP ou do SAML do Microsoft Entra. O URL do ponto de extremidade de saída do SAML para seu locatário em Registros de Aplicativo > Pontos de Extremidade.

Se você não puder alterar o aplicativo, considere fazer com que o BIG-IP ouça as chamadas de saída do aplicativo e, em seguida, acione o SLO.

Saiba mais: Tutorial: configurar o F5 BIG-IP Easy Button de SSO para Logoff único do Oracle PeopleSoft, PeopleSoft

Para saber mais, acesse support.f5.com para:

Implantação

  1. Selecione Implantar.
  2. Verificar se o aplicativo está na lista de locatários de Aplicativos empresariais.

Confirmar configuração

  1. Usando um navegador, conecte-se ao URL externo do aplicativo Oracle JDE ou selecione o ícone do aplicativo em Meus Aplicativos.

  2. Autentique-se no Microsoft Entra ID.

  3. Você será redirecionado para o servidor virtual do BIG-IP do aplicativo e conectado por meio do SSO.

    Observação

    Você pode bloquear o acesso direto ao aplicativo, impondo assim um caminho através do BIG-IP.

Implantação avançada

Às vezes, os modelos de Configuração Guiada não têm flexibilidade.

Saiba mais: Tutorial: configurar o Gerenciador de Política de Acesso do BIG-IP da F5 para SSO baseado em cabeçalho

Como alternativa, no BIG-IP, desabilite o modo de gerenciamento estrito da Configuração Guiada. Você pode alterar as configurações manualmente, embora a maioria das configurações seja automatizada com modelos de assistente.

  1. Navegue até Acesso > Configuração Guiada.

  2. No final da linha, selecione o cadeado.

    Captura de tela do ícone de cadeado.

Não são possíveis alterações com a interface do usuário do assistente, mas os objetos BIG-IP associados à instância publicada do aplicativo são desbloqueados para gerenciamento.

Observação

Quando você reabilita o modo estrito e implanta uma configuração, as definições executadas fora da Configuração Guiada serão substituídas. Recomendamos configuração avançada para os serviços de produção.

Solução de problemas

Use o registro em log do BIG-IP para isolar problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis configurados incorretamente.

Detalhamento do log

  1. Navegue até Política de Acesso Visão Geral>.
  2. Selecione Logs de Eventos.
  3. Selecione Configurações.
  4. Selecione a linha do aplicativo publicado.
  5. SelecioneEditar.
  6. Selecione Acessar Logs do Sistema
  7. Na lista de SSO, selecione Depurar.
  8. Selecione OK.
  9. Reproduza o problema.
  10. Inspecionar os logs.

Ao concluir, reverta esse recurso porque o modo detalhado gera muitos dados.

Mensagem de erro do BIG-IP

Se um erro do BIG-IP é exibido após a autenticação prévia do Microsoft Entra, é possível que o problema esteja relacionado ao SSO da ID do Microsoft Entra para o BIG-IP.

  1. Navegue até Acesso > Visão Geral.
  2. Selecione Acessar relatórios.
  3. Execute o relatório da última hora.
  4. Analise os logs em busca de pistas.

Use o link Exibir sessão da sessão para confirmar se o APM recebe as declarações esperadas do Microsoft Entra.

Nenhuma mensagem de erro do BIG-IP

Se nenhuma mensagem de erro do BIG-IP for exibida, o problema poderá estar relacionado à solicitação de back-end ou do BIG-IP para SSO do aplicativo.

  1. Navegue até Política de Acesso > Visão Geral.
  2. Selecione Sessões Ativas.
  3. Clique no link da sessão ativa.

Use o link Exibir Variáveis para determinar problemas de SSO, especialmente se o APM do BIG-IP obtiver atributos incorretos de variáveis da sessão.

Saiba mais: