Tutorial: Configurar o BIG-IP Easy Button da F5 para o SSO no Oracle JDE
Neste tutorial, aprenda a proteger o Oracle JDE (JD Edwards) usando a ID do Microsoft Entra por meio da Configuração Guiada do F5 BIG-IP Easy Button.
Integre o BIG-IP à ID do Microsoft Entra para aproveitar vários benefícios:
- Melhor governança de Confiança Zero por meio da autenticação prévia e do acesso condicional do Microsoft Entra
- Logon único (SSO) entre os serviços publicados do Microsoft Entra ID e do BIG-IP
- Gerenciar as identidades e o acesso no centro de administração do Microsoft Entra
Saiba mais:
Descrição do cenário
Este tutorial utiliza o aplicativo Oracle JDE usando cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido.
Os aplicativos herdados não têm protocolos modernos para dar suporte à integração ao Microsoft Entra. A modernização é onerosa, requer planejamento e apresenta risco potencial de tempo de inatividade. Como alternativa, use um Controlador de Entrega de Aplicativos (ADC) BIG-IP da F5 para preencher a lacuna entre aplicativos herdados e o controle de ID moderno, com transição de protocolo.
Com um BIG-IP na frente do aplicativo, você sobrepõe o serviço com o SSO baseado em cabeçalho e a autenticação prévia do Microsoft Entra. Essa ação melhora a postura de segurança do aplicativo.
Arquitetura de cenário
A solução SHA para este cenário é composta por vários componentes:
- Aplicativo Oracle JDE – Serviço publicado do BIG-IP protegido pelo SHA do Microsoft Entra
- Microsoft Entra ID – provedor de identidade (IdP) da Security Assertion Markup Language (SAML) que verifica as credenciais do usuário, o Acesso Condicional e o SSO baseado em SAM para o BIG-IP
- Com o SSO, a ID do Microsoft Entra fornece atributos de sessão ao BIG-IP
- BIG-IP – proxy reverso e provedor de serviços (SP) de SAML para o aplicativo
- O BIG-IP delega a autenticação ao IdP do SAML, executa o SSO baseado em cabeçalho para o serviço do Oracle
Neste tutorial, o SHA dá suporte a fluxos iniciados por SP e IdP. O diagrama a seguir demonstra o fluxo iniciado pelo SP.
- O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
- A política de acesso do APM do BIG-IP redireciona o usuário para a ID do Microsoft Entra (IdP do SAML).
- O Microsoft Entra autentica o usuário previamente e aplica as políticas de acesso condicional.
- O usuário é redirecionado para o BIG-IP (SP do SAML). O SSO ocorre usando o token SAML emitido.
- O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos na solicitação do aplicativo.
- O aplicativo autoriza a solicitação e retorna o conteúdo.
Pré-requisitos
- Uma conta gratuita do Microsoft Entra ID ou superior
- Se não tiver uma, obtenha uma conta gratuita do Azure
- Um BIG-IP ou uma VE (Virtual Edition) do BIG-IP no Azure
- Qualquer uma das seguintes licenças de F5 BIG-IP:
- Pacote F5 BIG-IP® Best
- Licença autônoma do F5 BIG-IP APM
- Licença de complemento do APM do F5 BIG-IP em um LTM (Local Traffic Manager™) do BIG-IP F5 BIG-IP® já existente
- Licença de avaliação completa de 90 dias do BIG-IP
- Identidades de usuário sincronizadas de um diretório local com o Microsoft Entra ID ou criadas no Microsoft Entra ID e retornadas para o diretório local
- Uma das seguintes funções: Administrador de Aplicativos de Nuvem ou Administrador de Aplicativos
- Um certificado Web SSL é necessário para publicar serviços em HTTPS, ou você pode usar os certificados BIG-IP padrão para testes
- Um ambiente Oracle JDE
Configuração do BIG-IP
Este tutorial usa a Configuração Guiada 16.1 com um modelo do botão fácil. Com o Easy Button, os administradores não ficam entre o Microsoft Entra ID e um BIG-IP para habilitar serviços do SHA. O Assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de política. A integração garante que os aplicativos suportem a federação de identidade, SSO e Acesso Condicional.
Observação
Substitua as cadeias de caracteres ou os valores de exemplo desse tutorial pelos do seu ambiente.
Registrar o Easy Button
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Antes que um cliente ou serviço acesse o Microsoft Graph, a plataforma de identidade da Microsoft precisa confiar nele.
Saiba mais: Início Rápido: registrar um aplicativo na plataforma de identidade da Microsoft
As instruções a seguir ajudam você a criar um registro de aplicativo de locatário para autorizar o acesso do Easy Button ao Graph. Com essas permissões, o BIG-IP envia as configurações por push para estabelecer uma relação de confiança entre uma instância do SP do SAML do aplicativo publicado e a ID do Microsoft Entra como o IdP do SAML.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Registros de aplicativo>Novo registro.
Insira um Nome de aplicativo.
Em Contas apenas neste diretório organizacional, especifique quem pode usar o aplicativo.
Selecione Registrar.
Navegue até Permissões de API.
Autorize as seguintes Permissões de aplicativo do Microsoft Graph:
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy. Read. All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Forneça consentimento do administrador para sua organização.
Acesse Certificados e Segredos.
Gere um novo Segredo do Cliente e anote-o.
Acesse Visão geral e anote a ID do Cliente e a ID do Locatário
Configurar o botão fácil
Inicie a Configuração Guiada do APM.
Inicie o modelo do Easy Button.
Navegue até Acesso > Configuração Guiada.
Selecione Integração da Microsoft.
Selecione Aplicativo do Microsoft Entra.
Examine a sequência de configuração.
Selecione Avançar
Siga a sequência de configuração.
Configuration Properties
Use a guia Propriedades de Configuração para criar configurações de aplicativo e objetos SSO. A seção Detalhes da Conta de Serviço do Azure representa o cliente que você registrou como um aplicativo no locatário do Microsoft Entra. Use as configurações do cliente OAuth do BIG-IP para registrar um SP SAML em seu locatário, com propriedades SSO. O Easy Button executa essa ação para serviços BIG-IP publicados e habilitados para SHA.
Observação
Algumas das configurações a seguir são globais. Você pode reutilizá-las para publicar mais aplicativos.
- Para SSO (Logon Único) e Cabeçalhos HTTP, selecione Ativado.
- Insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou.
- Confirme se o BIG-IP se conecta ao locatário.
- Selecione Avançar
Provedor de serviços
As configurações do Provedor de Serviços definem as propriedades para a instância de SP no SAML do aplicativo protegido por SHA.
No Host, insira o FQDN público do aplicativo protegido.
Em ID da Entidade, insira o identificador que a ID do Microsoft Entra usa para identificar o SP do SAML solicitando um token.
(Opcional) Em Configurações de Segurança, indique que a ID do Microsoft Entra criptografa as declarações SAML emitidas. Essa opção aumenta a garantia de que os tokens de conteúdo não sejam interceptados nem os dados comprometidos.
Na lista Chave Privada de Descriptografia da Declaração, selecione Criar.
Selecione OK.
A caixa de diálogo Importar Certificado SSL e Chaves abre em uma nova guia.
Em Importar Tipo, selecione PKCS 12 (IIS). Essa opção importa o certificado e a chave privada.
Feche a guia do navegador para retornar à guia principal.
Para Habilitar a Declaração Criptografada, marque a caixa.
Se você habilitou a criptografia, na lista de Chave Privada da Descriptografia de Declaração, selecione o certificado. Essa chave privada se destina ao certificado que o APM do BIG-IP usa para descriptografar as declarações do Microsoft Entra.
Se você habilitou a criptografia, na lista de Certificado da Descriptografia de Declaração, selecione o certificado. O BIG-IP carrega esse certificado na ID do Microsoft Entra para criptografar as declarações SAML emitidas.
Microsoft Entra ID
O Easy Button tem modelos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico.
- Selecione JD Edwards Protegido por F5 BIG-IP.
- Selecione Adicionar.
Configuração do Azure
Insira o Nome de exibição para o aplicativo que o BIG-IP cria no locatário. O nome aparece em um ícone em Meus Aplicativos.
(Opcional) Para URL de logon, insira o FQDN público do aplicativo PeopleSoft.
Ao lado da Chave de Autenticação e do Certificado de Autenticação, selecione atualizar. Essa ação localiza o certificado que você importou.
Em Frase Secreta da Chave de Autenticação, insira a senha do certificado.
(Opcional) Para Opção de Assinatura, selecione uma opção. Essa seleção garante que o BIG-IP aceite tokens e declarações assinados pela ID do Microsoft Entra.
Os Usuários e Grupos de Usuários são consultados dinamicamente no locatário do Microsoft Entra.
Adicionar um usuário ou grupo para teste, caso contrário, o acesso é negado.
Declarações e Atributos do Usuário
Quando um usuário é autenticado, a ID do Microsoft Entra emite um token SAML com declarações e atributos padrão que identificam o usuário. A guia Atributos e Declarações do Usuário mostra as declarações padrão a serem emitidas para o novo aplicativo. Use-o para configurar mais declarações.
Se necessário, inclua outros atributos do Microsoft Entra. O cenário do Oracle JDE requer atributos padrão.
Atributos de usuário adicionais
A guia Atributos de Usuário Adicionais dá suporte a sistemas distribuídos que exigem atributos que são armazenados em outros diretórios para o aumento da sessão. Os atributos de uma fonte LDAP podem ser injetados como mais cabeçalhos de SSO para controlar o acesso com base em funções, IDs de Parceiros, etc.
Observação
Esse recurso não tem correlação com a ID do Microsoft Entra, mas é outra fonte de atributo.
Política de Acesso Condicional
As políticas de acesso condicional são impostas após a autenticação prévia do Microsoft Entra para controlar o acesso baseado no dispositivo, no aplicativo, na localização e nos sinais de risco. A exibição Políticas Disponíveis tem políticas de Acesso Condicional sem ações do usuário. A exibição Políticas Selecionadas contém as políticas direcionadas aos aplicativos na nuvem. Não é possível desmarcar ou mover essas políticas para a lista de políticas disponíveis porque elas são impostas no nível do locatário.
Selecione uma política para o aplicativo.
- Na lista Políticas Disponíveis, selecione uma política.
- Escolha a seta para a direita e mova-a para a lista Políticas selecionadas.
As políticas selecionadas têm a opção Incluir ou Excluir marcada. Se as duas opções estiverem marcadas, a política não será imposta.
Observação
A lista de políticas é exibida uma vez, quando você seleciona a guia. Use Atualizar para o assistente consultar o locatário. Essa opção aparecerá depois o aplicativo for implantado.
Propriedades do Servidor Virtual
Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual. O servidor escuta solicitações do cliente para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil do APM do servidor virtual. Em seguida, o tráfego é direcionado de acordo com a política.
Para Endereço de Destino, insira o endereço IPv4 ou IPv6 que o BIG-IP usa para receber o tráfego do cliente. Um registro correspondente aparece no DNS, o que permite que os clientes resolvam o URL externo do aplicativo publicado para o IP. Use um DNS localhost do computador de teste para teste.
Para Porta de Serviço, insira 443 e selecione HTTPS.
Para Habilitar a Porta de Redirecionamento, marque a caixa.
Para Porta de Redirecionamento, insira 80 e selecione HTTP. Essa opção redireciona o tráfego do cliente HTTP de entrada para HTTPS.
Para Perfil SSL do Cliente, selecione Usar Existente.
Em Comum, selecione a opção que você criou. Se estiver testando, deixe o padrão. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, portanto, as conexões do cliente são criptografadas por TLS.
Propriedades de Pool
A guia Pool de Aplicativos possui serviços por trás de um BIG-IP, representados por um pool com servidores de aplicativos.
Para Selecionar um Pool, selecione Criar Novo ou selecione um.
Para o Método de Balanceamento de Carga, selecione Round Robin.
Para Servidores de Pool, em Endereço IP/Nome do Nó, selecione um nó ou insira um IP e uma porta para servidores que hospedam o aplicativo Oracle JDE.
Logon Único e Cabeçalhos HTTP
O assistente do Easy Button dá suporte a cabeçalhos de autorização Kerberos, portador OAuth e HTTP para o SSO nos aplicativos publicados. O aplicativo PeopleSoft espera cabeçalhos.
Para Cabeçalhos HTTP, marque a caixa.
Para Operação de Cabeçalho, selecione substituir.
Em Nome do Cabeçalho, insira JDE_SSO_UID.
Para Valor do Cabeçalho, insira %{session.sso.token.last.username}.
Observação
As variáveis de sessão do APM entre colchetes diferenciam maiúsculas de minúsculas. Por exemplo, se você inserir OrclGUID e o nome do atributo for orclguid, o mapeamento de atributos falhará.
Gerenciamento da sessão
Use as configurações de gerenciamento de sessão do BIG-IP para definir as condições de encerramento ou de continuação das sessões do usuário. Defina limites para usuários e endereços IP e informações de usuário correspondentes.
Para saber mais, acesse support.f5.com para K18390492: Segurança | Guia de operações do APM do BIG-IP
A funcionalidade de SLO (logoff único), não abordada no guia de operações, garante que as sessões do IdP, do BIG-IP e do agente do usuário sejam encerradas quando os usuários saírem. Quando o Easy Button cria uma instância de um aplicativo SAML no locatário do Microsoft Entra, ele preenche a URL de Logoff com o ponto de extremidade de SLO do APM. A saída iniciada por IdP em Meus Aplicativos encerra as sessões do BIG-IP e de cliente.
Os dados de federação SAML do aplicativo publicado são importados do locatário. Essa ação fornece ao APM o ponto de extremidade de saída do SAML para a ID do Microsoft Entra, o que garante que a saída iniciada pelo SP encerre as sessões do cliente e do Microsoft Entra. O APM precisa saber quando um usuário sai.
Quando o portal do webtop do BIG-IP acessa os aplicativos publicados, o APM processa uma saída para chamar o ponto de extremidade de saída do Microsoft Entra. Se o portal webtop do BIG-IP não for usado, o usuário não poderá instruir o APM a sair. Se o usuário sair do aplicativo, o BIG-IP será alheio. A saída iniciada por SP precisa de encerramento seguro da sessão. Adicione uma função de SLO ao botão Sair do aplicativo para redirecionar o cliente ao ponto de extremidade de saída do BIG-IP ou do SAML do Microsoft Entra. O URL do ponto de extremidade de saída do SAML para seu locatário em Registros de Aplicativo > Pontos de Extremidade.
Se você não puder alterar o aplicativo, considere fazer com que o BIG-IP ouça as chamadas de saída do aplicativo e, em seguida, acione o SLO.
Saiba mais: Tutorial: configurar o F5 BIG-IP Easy Button de SSO para Logoff único do Oracle PeopleSoft, PeopleSoft
Para saber mais, acesse support.f5.com para:
- K42052145: configurar o encerramento automático da sessão (logoff) com base em um nome de arquivo referenciado por URI
- K12056: visão geral da opção Incluir URI de Logoff.
Implantação
- Selecione Implantar.
- Verificar se o aplicativo está na lista de locatários de Aplicativos empresariais.
Confirmar configuração
Usando um navegador, conecte-se ao URL externo do aplicativo Oracle JDE ou selecione o ícone do aplicativo em Meus Aplicativos.
Autentique-se no Microsoft Entra ID.
Você será redirecionado para o servidor virtual do BIG-IP do aplicativo e conectado por meio do SSO.
Observação
Você pode bloquear o acesso direto ao aplicativo, impondo assim um caminho através do BIG-IP.
Implantação avançada
Às vezes, os modelos de Configuração Guiada não têm flexibilidade.
Saiba mais: Tutorial: configurar o Gerenciador de Política de Acesso do BIG-IP da F5 para SSO baseado em cabeçalho
Como alternativa, no BIG-IP, desabilite o modo de gerenciamento estrito da Configuração Guiada. Você pode alterar as configurações manualmente, embora a maioria das configurações seja automatizada com modelos de assistente.
Navegue até Acesso > Configuração Guiada.
No final da linha, selecione o cadeado.
Não são possíveis alterações com a interface do usuário do assistente, mas os objetos BIG-IP associados à instância publicada do aplicativo são desbloqueados para gerenciamento.
Observação
Quando você reabilita o modo estrito e implanta uma configuração, as definições executadas fora da Configuração Guiada serão substituídas. Recomendamos configuração avançada para os serviços de produção.
Solução de problemas
Use o registro em log do BIG-IP para isolar problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis configurados incorretamente.
Detalhamento do log
- Navegue até Política de Acesso Visão Geral>.
- Selecione Logs de Eventos.
- Selecione Configurações.
- Selecione a linha do aplicativo publicado.
- SelecioneEditar.
- Selecione Acessar Logs do Sistema
- Na lista de SSO, selecione Depurar.
- Selecione OK.
- Reproduza o problema.
- Inspecionar os logs.
Ao concluir, reverta esse recurso porque o modo detalhado gera muitos dados.
Mensagem de erro do BIG-IP
Se um erro do BIG-IP é exibido após a autenticação prévia do Microsoft Entra, é possível que o problema esteja relacionado ao SSO da ID do Microsoft Entra para o BIG-IP.
- Navegue até Acesso > Visão Geral.
- Selecione Acessar relatórios.
- Execute o relatório da última hora.
- Analise os logs em busca de pistas.
Use o link Exibir sessão da sessão para confirmar se o APM recebe as declarações esperadas do Microsoft Entra.
Nenhuma mensagem de erro do BIG-IP
Se nenhuma mensagem de erro do BIG-IP for exibida, o problema poderá estar relacionado à solicitação de back-end ou do BIG-IP para SSO do aplicativo.
- Navegue até Política de Acesso > Visão Geral.
- Selecione Sessões Ativas.
- Clique no link da sessão ativa.
Use o link Exibir Variáveis para determinar problemas de SSO, especialmente se o APM do BIG-IP obtiver atributos incorretos de variáveis da sessão.
Saiba mais:
- Vá para devcentral.f5.com para Exemplos de atribuição de variável do APM
- Acesse techdocs.f5.com para obter as Variáveis da sessão