Tutorial: Configurar o BIG-IP Easy Button da F5 para o SSO no Oracle JDE

Neste tutorial, aprenda a proteger o Oracle JDE (JD Edwards) usando a Microsoft Entra ID por meio da Configuração Guiada do F5 BIG-IP Easy Button.

Integre o BIG-IP à Microsoft Entra ID para aproveitar vários benefícios:

• Melhor governança de Confiança Zero por meio da autenticação prévia e do acesso condicional do Microsoft Entra
  • Confira, Estrutura de Confiança Zero para permitir o trabalho remoto
  • Consulte O que é Acesso Condicional?
• Logon único (SSO) entre os serviços publicados do Microsoft Entra ID e do BIG-IP
• Gerenciar as identidades e o acesso no centro de administração do Microsoft Entra

Saiba mais:

• Integrar o F5 BIG-IP ao Microsoft Entra ID
• Habilitar o logon único em um aplicativo empresarial

Descrição do cenário

Este tutorial utiliza o aplicativo Oracle JDE usando cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido.

Os aplicativos herdados não têm protocolos modernos para dar suporte à integração ao Microsoft Entra. A modernização é onerosa, requer planejamento e apresenta risco potencial de tempo de inatividade. Como alternativa, use um Controlador de Entrega de Aplicativos (ADC) BIG-IP da F5 para preencher a lacuna entre aplicativos herdados e o controle de ID moderno, com transição de protocolo.

Com um BIG-IP na frente do aplicativo, você sobrepõe o serviço com o SSO baseado em cabeçalho e a autenticação prévia do Microsoft Entra. Essa ação melhora a postura de segurança do aplicativo.

Arquitetura de cenário

A solução SHA para este cenário é composta por vários componentes:

• Aplicativo Oracle JDE – Serviço publicado do BIG-IP protegido pelo SHA do Microsoft Entra
• Microsoft Entra ID – provedor de identidade (IdP) da Security Assertion Markup Language (SAML) que verifica as credenciais do usuário, o Acesso Condicional e o SSO baseado em SAM para o BIG-IP
  • Com o SSO, a Microsoft Entra ID fornece atributos de sessão ao BIG-IP
• BIG-IP – proxy reverso e provedor de serviços (SP) de SAML para o aplicativo
  • O BIG-IP delega a autenticação ao IdP do SAML, executa o SSO baseado em cabeçalho para o serviço do Oracle

Neste tutorial, o SHA dá suporte a fluxos iniciados por SP e IdP. O diagrama a seguir ilustra o fluxo iniciado pelo SP.

1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
2. A política de acesso do APM do BIG-IP redireciona o usuário para o Microsoft Entra ID (IdP do SAML).
3. O Microsoft Entra autentica o usuário previamente e aplica as políticas de acesso condicional.
4. O usuário é redirecionado para o BIG-IP (SP do SAML). O SSO ocorre usando o token SAML emitido.
5. O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos na solicitação do aplicativo.
6. O aplicativo autoriza a solicitação e retorna o conteúdo.

Pré-requisitos

• Uma conta gratuita do Microsoft Entra ID ou superior
  • Se não tiver uma, obtenha uma conta gratuita do Azure
• Um BIG-IP ou uma VE (Virtual Edition) do BIG-IP no Azure
  • Confira Implantar a VM do BIG-IP Virtual Edition da F5 no Azure
• Qualquer uma das seguintes licenças do F5 BIG-IP:
  • Pacote F5 BIG-IP® Best
  • Licença autônoma do F5 BIG-IP APM
  • Licença de complemento do APM do F5 BIG-IP em um LTM (Local Traffic Manager™) do BIG-IP F5 BIG-IP® já existente
  • Licença de avaliação completa de 90 dias do BIG-IP
• Identidades de usuário sincronizadas de um diretório local com o Microsoft Entra ID ou criadas no Microsoft Entra ID e retornadas para o diretório local
  • Consulte Sincronização do Microsoft Entra Connect: entender e personalizar a sincronização
• Uma das seguintes funções: Administrador de Aplicativos de Nuvem ou Administrador de Aplicativos
• Um certificado Web SSL é necessário para publicar serviços em HTTPS, ou você pode usar os certificados BIG-IP padrão para testes
  • Confira Implantar a VM do BIG-IP Virtual Edition da F5 no Azure
• Um ambiente Oracle JDE

Configuração do BIG-IP

Este tutorial usa a Configuração Guiada 16.1 com um modelo do Easy Button. Com o Easy Button, os administradores não ficam entre o Microsoft Entra ID e um BIG-IP para habilitar serviços do SHA. O Assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de política. A integração garante que os aplicativos deem suporte para a federação de identidade, SSO e Acesso Condicional.

Observação

Substitua as cadeias de caracteres ou os valores de exemplo desse tutorial pelos do seu ambiente.

Registrar o Easy Button

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Antes que um cliente ou serviço acesse o Microsoft Graph, a plataforma de identidade da Microsoft precisa confiar nele.

Saiba mais: Início Rápido: registrar um aplicativo na plataforma de identidade da Microsoft

As instruções a seguir ajudam você a criar um registro de aplicativo de locatário para autorizar o acesso do Easy Button ao Graph. Com essas permissões, o BIG-IP envia as configurações por push para estabelecer uma relação de confiança entre uma instância do SP do SAML do aplicativo publicado e a Microsoft Entra ID como o IdP do SAML.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de nuvem.

2. Navegue até Identidade>Aplicativos>Registros de aplicativo>Novo registro.

3. Insira um Nome de aplicativo.

4. Em Contas apenas neste diretório organizacional, especifique quem usa o aplicativo.

5. Selecione Registrar.

6. Navegue até Permissões de API.

7. Autorize as seguintes Permissões de aplicativo do Microsoft Graph:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Forneça consentimento do administrador para sua organização.

9. Acesse Certificados e Segredos.

10. Gere um novo Segredo do Cliente e anote-o.

11. Acesse Visão geral e anote a ID do Cliente e a ID do Locatário

Configurar o Easy Button

1. Inicie a Configuração Guiada do APM.

2. Inicie o modelo do Easy Button.

3. Navegue até Acessar > Configuração Guiada.

4. Selecione Integração da Microsoft.

5. Selecione Aplicativo do Microsoft Entra.

6. Examine a sequência de configuração.

7. Selecione Avançar

8. Siga a sequência de configuração.

   

Propriedades de Configuração

Use a guia Propriedades de Configuração para criar configurações de aplicativo e objetos SSO. A seção Detalhes da Conta de Serviço do Azure representa o cliente que você registrou como um aplicativo no locatário do Microsoft Entra. Use as configurações do cliente OAuth do BIG-IP para registrar um SP SAML em seu locatário, com propriedades SSO. O Easy Button executa essa ação para serviços BIG-IP publicados e habilitados para SHA.

Observação

Algumas das configurações a seguir são globais. Você pode reutilizá-las para publicar mais aplicativos.

1. Para SSO (Logon Único) e Cabeçalhos HTTP, selecione Ativado.
2. Insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou.
3. Confirme se o BIG-IP se conecta ao locatário.
4. Selecione Avançar

Provedor de serviços

As configurações do Provedor de Serviços definem as propriedades para a instância de SP no SAML do aplicativo protegido por SHA.

1. No Host, insira o FQDN público do aplicativo protegido.

2. Em ID da Entidade, insira o identificador que a Microsoft Entra ID usa para identificar o SP do SAML solicitando um token.

   

3. (Opcional) Em Configurações de Segurança, indique que a Microsoft Entra ID criptografa as declarações SAML emitidas. Essa opção aumenta a garantia de que os tokens de conteúdo não sejam interceptados nem os dados comprometidos.

4. Na lista Chave Privada de Descriptografia da Declaração, selecione Criar novo.

   

5. Selecione OK.

6. A caixa de diálogo Importar Certificado SSL e Chaves aparece em uma nova guia.

7. Em Importar Tipo, selecione PKCS 12 (IIS). Essa opção importa o certificado e a chave privada.

8. Feche a guia do navegador para retornar à guia principal.

   

9. Para Habilitar a Declaração Criptografada, marque a caixa.

10. Se você habilitou a criptografia, na lista de Chave Privada da Descriptografia de Declaração, selecione o seu certificado. Essa chave privada se destina ao certificado que o APM do BIG-IP usa para descriptografar as declarações do Microsoft Entra.

11. Se você habilitou a criptografia, na lista de Certificado da Descriptografia de Declaração, selecione o seu certificado. O BIG-IP carrega esse certificado na Microsoft Entra ID para criptografar as declarações SAML emitidas.

Microsoft Entra ID

O Easy Button tem modelos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico.

1. Selecione JD Edwards Protegido por F5 BIG-IP.
2. Selecione Adicionar.

Configuração do Azure

1. Insira o Nome de exibição para o aplicativo que o BIG-IP cria no locatário. O nome aparece em um ícone em Meus Aplicativos.

2. (Opcional) Para URL de logon, insira o FQDN público do aplicativo PeopleSoft.

3. Ao lado da Chave de Autenticação e do Certificado de Autenticação, selecione atualizar. Essa ação localiza o certificado que você importou.

4. Em Senha da Chave de Autenticação, insira a senha de certificado.

5. (Opcional) Para Opção de Assinatura, selecione uma opção. Essa seleção garante que o BIG-IP aceite tokens e declarações assinados pela Microsoft Entra ID.

   

6. Os Usuários e Grupos de Usuários são consultados dinamicamente no locatário do Microsoft Entra.

7. Adicionar um usuário ou grupo para teste, caso contrário, o acesso é negado.

   

Declarações e Atributos do Usuário

Quando um usuário é autenticado, a Microsoft Entra ID emite um token SAML com declarações e atributos padrão que identificam o usuário. A guia Atributos e Declarações do Usuário mostra as declarações padrão a serem emitidas para o novo aplicativo. Use-o para configurar mais declarações.

Se necessário, inclua outros atributos do Microsoft Entra. O cenário do Oracle JDE requer atributos padrão.

Atributos de usuário adicionais

A guia Atributos de Usuário Adicionais dá suporte a sistemas distribuídos que exigem atributos que são armazenados em outros diretórios para o aumento da sessão. Os atributos de uma fonte LDAP podem ser injetados como mais cabeçalhos de SSO para controlar o acesso com base em funções, IDs de Parceiros, etc.

Observação

Esse recurso não tem correlação com a Microsoft Entra ID, mas é outra fonte de atributo.

Política de Acesso Condicional

As políticas de acesso condicional são impostas após a autenticação prévia do Microsoft Entra para controlar o acesso baseado no dispositivo, no aplicativo, na localização e nos sinais de risco. A exibição Políticas Disponíveis tem políticas de Acesso Condicional sem ações do usuário. A exibição Políticas Selecionadas contém as políticas direcionadas aos aplicativos na nuvem. Não é possível desmarcar ou mover essas políticas para a lista de políticas disponíveis porque elas são impostas no nível do locatário.

Selecione uma política para o aplicativo.

1. Na lista Políticas Disponíveis, selecione uma política.
2. Selecione a seta para a direita e mova-a para a lista Políticas selecionadas.

As políticas selecionadas têm a opção Incluir ou Excluir marcada. Se as duas opções estiverem marcadas, a política não será imposta.

Observação

A lista de políticas é exibida uma vez, quando você seleciona a guia. Use Atualizar para o assistente consultar o locatário. Essa opção aparecerá depois o aplicativo for implantado.

Propriedades do Servidor Virtual

Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual. O servidor escuta solicitações do cliente para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil do APM do servidor virtual. Em seguida, o tráfego é direcionado de acordo com a política.

1. Para Endereço de Destino, insira o endereço IPv4 ou IPv6 que o BIG-IP usa para receber o tráfego do cliente. Um registro correspondente aparece no DNS, o que permite que os clientes resolvam o URL externo do aplicativo publicado para o IP. Use um DNS localhost do computador de teste para teste.

2. Para Porta de Serviço, insira 443 e selecione HTTPS.

3. Para Habilitar Porta de Redirecionamento, marque a caixa.

4. Para Porta de Redirecionamento, insira 80 e selecione HTTP. Essa opção redireciona o tráfego do cliente HTTP de entrada para HTTPS.

5. Para Perfil SSL do Cliente, selecione Usar Existente.

6. Em Comum, selecione a opção que você criou. Se estiver testando, deixe o padrão. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, portanto, as conexões do cliente são criptografadas por TLS.

   

Propriedades de Pool

A guia Pool de Aplicativos possui serviços por trás de um BIG-IP, representados como um pool com servidores de aplicativos.

1. Para Selecionar um Pool, selecione Criar Novo ou selecione um.

2. Para o Método de Balanceamento de Carga, selecione Round Robin.

3. Para Servidores de Pool, em Endereço IP/Nome do Nó, selecione um nó ou insira um IP e uma porta para servidores que hospedam o aplicativo Oracle JDE.

   

Logon Único e Cabeçalhos HTTP

O assistente do Easy Button dá suporte a cabeçalhos de autorização Kerberos, portador OAuth e HTTP para o SSO nos aplicativos publicados. O aplicativo PeopleSoft espera cabeçalhos.

1. Para Cabeçalhos HTTP, marque a caixa.

2. Para Operação de Cabeçalho, selecione substituir.

3. Em Nome do Cabeçalho, insira JDE_SSO_UID.

4. Para Valor do Cabeçalho, insira %{session.sso.token.last.username}.

   

   Observação

   As variáveis de sessão do APM entre colchetes diferenciam maiúsculas de minúsculas. Por exemplo, se você inserir OrclGUID e o nome do atributo for orclguid, o mapeamento de atributos falhará.

Gerenciamento da sessão

Use as configurações de gerenciamento de sessão do BIG-IP para definir as condições de encerramento ou continuação das sessões de usuário. Defina limites para usuários e endereços IP e informações de usuário correspondentes.

Para saber mais, acesse support.f5.com para K18390492: Segurança | Guia de operações do APM do BIG-IP

A funcionalidade de SLO (logoff único), não abordada no guia de operações, garante que as sessões do IdP, do BIG-IP e do agente do usuário sejam encerradas quando os usuários saírem. Quando o Easy Button cria uma instância de um aplicativo SAML no locatário do Microsoft Entra, ele preenche a URL de Logoff com o ponto de extremidade de SLO do APM. A saída iniciada por IdP em Meus Aplicativos encerra as sessões do BIG-IP e de cliente.

Os dados de federação SAML do aplicativo publicado são importados do locatário. Essa ação fornece ao APM o ponto de extremidade de saída do SAML para a Microsoft Entra ID, o que garante que a saída iniciada pelo SP encerre as sessões do cliente e do Microsoft Entra. O APM precisa saber quando um usuário sai.

Quando o portal do webtop do BIG-IP acessa os aplicativos publicados, o APM processa uma saída para chamar o ponto de extremidade de saída do Microsoft Entra. Se o portal webtop do BIG-IP não for usado, o usuário não poderá instruir o APM a sair. Se o usuário sair do aplicativo, o BIG-IP será alheio. A saída iniciada por SP precisa de encerramento seguro da sessão. Adicione uma função de SLO ao botão Sair do aplicativo para redirecionar o cliente ao ponto de extremidade de saída do BIG-IP ou do SAML do Microsoft Entra. O URL do ponto de extremidade de saída do SAML para seu locatário em Registros de Aplicativo > Pontos de Extremidade.

Se você não puder alterar o aplicativo, considere fazer com que o BIG-IP ouça as chamadas de saída do aplicativo e, em seguida, acione o SLO.

Saiba mais: Tutorial: configurar o F5 BIG-IP Easy Button de SSO para Logoff único do Oracle PeopleSoft, PeopleSoft

Para saber mais, acesse support.f5.com para:

• K42052145: Configurar o encerramento automático da sessão (logoff) com base em um nome de arquivo referenciado por URI
• K12056: Visão geral da opção Incluir URI de logoff.

Implantação

1. Selecione Implantar.
2. Verificar se o aplicativo está na lista de locatários de Aplicativos empresariais.

Confirmar configuração

1. Usando um navegador, conecte-se ao URL externo do aplicativo Oracle JDE ou selecione o ícone do aplicativo em Meus Aplicativos.

2. Autentique-se no Microsoft Entra ID.

3. Você será redirecionado para o servidor virtual do BIG-IP do aplicativo e conectado por meio do SSO.

   Observação

   É possível bloquear o acesso direto ao aplicativo, impondo assim um caminho através do BIG-IP.

Implantação avançada

Às vezes, os modelos de Configuração Guiada não têm flexibilidade.

Saiba mais: Tutorial: configurar o Gerenciador de Política de Acesso do BIG-IP da F5 para SSO baseado em cabeçalho

Como alternativa, no BIG-IP, desabilite o modo de gerenciamento estrito da Configuração Guiada. Você pode alterar as configurações manualmente, embora a maioria das configurações seja automatizada com modelos de assistente.

1. Navegue até Acessar > Configuração Guiada.

2. No final da linha, selecione o cadeado.

   

Não são possíveis alterações com a interface do usuário do assistente, mas os objetos BIG-IP associados à instância publicada do aplicativo são desbloqueados para gerenciamento.

Observação

Quando você reabilita o modo estrito e implanta uma configuração, as definições executadas fora da Configuração Guiada serão substituídas. Recomendamos configuração avançada para os serviços de produção.

Solução de problemas

Use o registro em log do BIG-IP para isolar problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis configurados incorretamente.

Detalhamento do log

1. Navegue até Política de Acesso Visão Geral>.
2. Selecione Logs de Eventos.
3. Selecione Configurações.
4. Selecione a linha do aplicativo publicado.
5. SelecioneEditar.
6. Selecione Logs do Sistema de Acesso
7. Na lista de SSO, selecione Depurar.
8. Selecione OK.
9. Reproduza o problema.
10. Inspecione os logs.

Ao concluir, reverta esse recurso porque o modo detalhado gera muitos dados.

Mensagem de erro do BIG-IP

Se um erro do BIG-IP é exibido após a autenticação prévia do Microsoft Entra, é possível que o problema esteja relacionado ao SSO da Microsoft Entra ID para o BIG-IP.

1. Navegue até Acesso > Visão Geral.
2. Selecione Acessar relatórios.
3. Execute o relatório da última hora.
4. Analise os logs em busca de pistas.

Use o link Exibir sessão da sessão para confirmar se o APM recebe as declarações esperadas do Microsoft Entra.

Nenhuma mensagem de erro do BIG-IP

Se nenhuma mensagem de erro do BIG-IP for exibida, o problema poderá estar relacionado à solicitação de back-end ou do BIG-IP para SSO do aplicativo.

1. Navegue até Política de Acesso Visão Geral>.
2. Selecione Sessões Ativas.
3. Selecione o link da sessão ativa.

Use o link Exibir Variáveis para determinar problemas de SSO, especialmente se o APM do BIG-IP obtiver atributos incorretos de variáveis da sessão.

Saiba mais:

• Vá para devcentral.f5.com para Exemplos de atribuição de variável do APM
• Acesse techdocs.f5.com para obter as Variáveis da sessão