Tutorial: Configurar o BIG-IP Easy Button da F5 para SSO no Oracle PeopleSoft
Neste artigo, saiba como proteger o PeopleSoft (Oracle PeopleSoft) usando a ID do Microsoft Entra com a Configuração Guiada do F5 BIG-IP Easy Button 16.1.
Integre o BIG-IP à ID do Microsoft Entra para aproveitar vários benefícios:
- Melhor governança de Confiança Zero por meio da autenticação prévia e do acesso condicional do Microsoft Entra
- Logon único (SSO) entre os serviços publicados do Microsoft Entra ID e do BIG-IP
- Gerenciar as identidades e o acesso no centro de administração do Microsoft Entra
Saiba mais:
Descrição do cenário
Para este tutorial, há o uso de um aplicativo PeopleSoft usando cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido.
Os aplicativos herdados não têm protocolos modernos para dar suporte à integração ao Microsoft Entra. A modernização é onerosa, requer planejamento e apresenta risco potencial de tempo de inatividade. Como alternativa, use um Controlador de Entrega de Aplicativos (ADC) BIG-IP da F5 para preencher a lacuna entre aplicativos herdados e o controle de ID moderno, com transição de protocolo.
Com um BIG-IP na frente do aplicativo, você sobrepõe o serviço com o SSO baseado em cabeçalho e a autenticação prévia do Microsoft Entra. Essa ação melhora a postura de segurança do aplicativo.
Observação
Obtenha acesso remoto a esse tipo de aplicativo com o proxy de aplicativo do Microsoft Entra.
Confira Acesso remoto aos aplicativos locais por meio do proxy de aplicativo do Microsoft Entra.
Arquitetura de cenário
A solução de SHA (acesso híbrido seguro) para esse tutorial tem os seguintes componentes:
- Aplicativo PeopleSoft – Serviço publicado do BIG-IP protegido pelo SHA do Microsoft Entra
- Microsoft Entra ID – IdP (provedor de identidade) do SAML (Security Assertion Markup Language) que verifica as credenciais do usuário, o acesso condicional e o SSO baseado em SAML para o BIG-IP
- Por meio do SSO, a ID do Microsoft Entra fornece atributos de sessão ao BIG-IP
- BIG-IP – proxy reverso e provedor de serviços (SP) de SAML para o aplicativo. Ele delega a autenticação ao IdP do SAML, executa o SSO baseado em cabeçalho para o serviço do PeopleSoft.
Nesse cenário, o SHA dá suporte a fluxos iniciados pelo SP e pelo IdP. O diagrama a seguir ilustra o fluxo iniciado pelo SP.
- O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
- A política de acesso do APM do BIG-IP redireciona o usuário para a ID do Microsoft Entra (IdP do SAML).
- O Microsoft Entra autentica o usuário previamente e aplica as políticas de acesso condicional.
- O usuário é redirecionado para o BIG-IP (SP SAML) e o SSO ocorre com o token SAML emitido.
- O BIG-IP injeta os atributos do Microsoft Entra como cabeçalhos na solicitação ao aplicativo.
- O aplicativo autoriza a solicitação e retorna o conteúdo.
Pré-requisitos
- Uma conta gratuita do Microsoft Entra ID ou superior
- Se não tiver uma, obtenha uma conta gratuita do Azure
- Um BIG-IP ou uma VE (Virtual Edition) do BIG-IP no Azure
- Qualquer uma das seguintes licenças de F5 BIG-IP:
- Pacote F5 BIG-IP® Best
- Licença autônoma do F5 BIG-IP APM
- Licença de complemento do APM do F5 BIG-IP em um LTM (Local Traffic Manager™) do BIG-IP F5 BIG-IP® já existente
- Licença de avaliação completa de 90 dias do BIG-IP
- Identidades de usuário sincronizadas de um diretório local com o Microsoft Entra ID ou criadas no Microsoft Entra ID e retornadas para o diretório local
- Uma das seguintes funções: Administrador de Aplicativos de Nuvem ou Administrador de Aplicativos.
- Um certificado Web SSL é necessário para publicar serviços em HTTPS, ou você pode usar os certificados BIG-IP padrão para testes
- Um ambiente PeopleSoft
Configuração do BIG-IP
Este tutorial usa a Configuração Guiada 16.1 com um modelo do Easy Button.
Com o Easy Button, os administradores não ficam entre o Microsoft Entra ID e um BIG-IP para habilitar serviços do SHA. O assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de políticas. A integração garante que os aplicativos suportem a federação de identidade, SSO e Acesso Condicional.
Observação
Substitua as cadeias de caracteres ou os valores de exemplo desse tutorial pelos do seu ambiente.
Registrar o Easy Button
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Antes que um cliente ou serviço acesse o Microsoft Graph, a plataforma de identidade da Microsoft precisa confiar nele.
Saiba mais: Início Rápido: registrar um aplicativo na plataforma de identidade da Microsoft
As instruções a seguir ajudam você a criar um registro de aplicativo de locatário para autorizar o acesso do Easy Button ao Graph. Com essas permissões, o BIG-IP envia as configurações por push para estabelecer uma relação de confiança entre uma instância do SP do SAML do aplicativo publicado e a ID do Microsoft Entra como o IdP do SAML.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Registros de aplicativo > Novo registro.
Insira um Nome de aplicativo.
Em Contas apenas neste diretório organizacional, especifique quem pode usar o aplicativo.
Selecione Registrar.
Navegue até Permissões de API.
Autorize as seguintes Permissões de aplicativo do Microsoft Graph:
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy. Read. All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Forneça consentimento do administrador para sua organização.
Acesse Certificados e Segredos.
Gere um novo Segredo do Cliente e anote-o.
Acesse Visão geral e anote a ID do Cliente e a ID do Locatário.
Configurar o botão fácil
- Inicie a Configuração Guiada do APM.
- Inicie o modelo do Easy Button.
- Navegue até Acesso > Configuração Guiada.
- Selecione Integração da Microsoft.
- Selecione Aplicativo do Microsoft Entra.
- Examine a sequência de configuração.
- Selecione Avançar
- Siga a sequência de configuração.
Configuration Properties
Use a guia Propriedades de Configuração para criar configurações de aplicativo e objetos SSO. A seção Detalhes da Conta de Serviço do Azure representa o cliente que você registrou como um aplicativo no locatário do Microsoft Entra. Use as configurações do cliente OAuth do BIG-IP para registrar um SP SAML em seu locatário, com propriedades SSO. O Easy Button executa essa ação para serviços BIG-IP publicados e habilitados para SHA.
Observação
Algumas das configurações a seguir são globais. Você pode reutilizá-las para publicar mais aplicativos.
- Insira o Nome da Configuração. Nomes exclusivos ajudam a diferenciar as configurações.
- Para SSO (Logon Único) e Cabeçalhos HTTP, selecione Ativado.
- Insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou.
- Confirme se o BIG-IP se conecta ao locatário.
- Selecione Avançar.
Provedor de serviços
Use as configurações do Provedor de Serviços para definir as propriedades do SP SAML para a instância do APM que representa o aplicativo protegido por SHA.
- No Host, insira o FQDN público do aplicativo protegido.
- Em ID da Entidade, insira o identificador que a ID do Microsoft Entra usa para identificar o SP do SAML solicitando um token.
(Opcional) Em Configurações de Segurança, indique que a ID do Microsoft Entra criptografa as declarações SAML emitidas. Essa opção aumenta a garantia de que os tokens de conteúdo não sejam interceptados nem os dados comprometidos.
Na lista Chave Privada de Descriptografia da Declaração, selecione Criar.
- Selecione OK.
- A caixa de diálogo Importar Certificado SSL e Chaves abre em uma nova guia.
- Em Importar Tipo, selecione PKCS 12 (IIS). Essa opção importa o certificado e a chave privada.
- Feche a guia do navegador para retornar à guia principal.
- Para Habilitar a Declaração Criptografada, marque a caixa.
- Se você habilitou a criptografia, na lista de Chave Privada da Descriptografia de Declaração, selecione o certificado. Essa chave privada se destina ao certificado que o APM do BIG-IP usa para descriptografar as declarações do Microsoft Entra.
- Se você habilitou a criptografia, na lista de Certificado da Descriptografia de Declaração, selecione o certificado. O BIG-IP carrega esse certificado na ID do Microsoft Entra para criptografar as declarações SAML emitidas.
Microsoft Entra ID
O Easy Button tem modelos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico.
- Selecione Oracle PeopleSoft.
- Selecione Adicionar.
Configuração do Azure
Insira o Nome de exibição para o aplicativo que o BIG-IP cria no locatário. O nome aparece em um ícone em Meus Aplicativos.
(Opcional) Para URL de logon, insira o FQDN público do aplicativo PeopleSoft.
Ao lado da Chave de Autenticação e do Certificado de Autenticação, selecione atualizar. Essa ação localiza o certificado que você importou.
Em Frase Secreta da Chave de Autenticação, insira a senha do certificado.
(Opcional) Para Opção de Assinatura, selecione uma opção. Essa seleção garante que o BIG-IP aceite tokens e declarações assinados pela ID do Microsoft Entra.
- Os Usuários e Grupos de Usuários são consultados dinamicamente no locatário do Microsoft Entra.
- Adicionar um usuário ou grupo para teste, caso contrário, o acesso é negado.
Declarações e Atributos do Usuário
Quando um usuário é autenticado, a ID do Microsoft Entra emite um token SAML com declarações e atributos padrão que identificam o usuário. A guia Atributos e Declarações do Usuário mostra as declarações padrão a serem emitidas para o novo aplicativo. Use-o para configurar mais declarações. O modelo Easy Button tem a declaração de ID do funcionário exigida pelo PeopleSoft.
Se necessário, inclua outros atributos do Microsoft Entra. O aplicativo PeopleSoft de exemplo requer atributos predefinidos.
Atributos de usuário adicionais
A guia Atributos de Usuário Adicionais dá suporte a sistemas distribuídos que exigem atributos que são armazenados em outros diretórios para o aumento da sessão. Os atributos de uma fonte LDAP podem ser injetados como mais cabeçalhos de SSO para controlar o acesso com base em funções, IDs de Parceiros, etc.
Observação
Esse recurso não tem correlação com a ID do Microsoft Entra, mas é outra fonte de atributo.
Política de Acesso Condicional
As políticas de acesso condicional são impostas após a autenticação prévia do Microsoft Entra para controlar o acesso baseado no dispositivo, no aplicativo, na localização e nos sinais de risco. A exibição Políticas Disponíveis tem políticas de Acesso Condicional sem ações do usuário. A exibição Políticas Selecionadas contém as políticas direcionadas aos aplicativos na nuvem. Não é possível desmarcar ou mover essas políticas para a lista de políticas disponíveis porque elas são impostas no nível do locatário.
Selecione uma política para o aplicativo.
- Na lista Políticas Disponíveis, selecione uma política.
- Escolha a seta para a direita e mova-a para a lista Políticas selecionadas.
As políticas selecionadas têm a opção Incluir ou Excluir marcada. Se as duas opções estiverem marcadas, a política não será imposta.
Observação
A lista de políticas é exibida uma vez, quando você seleciona a guia. Use Atualizar para o assistente consultar o locatário. Essa opção aparecerá depois o aplicativo for implantado.
Propriedades do Servidor Virtual
Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual. O servidor escuta solicitações do cliente para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil do APM do servidor virtual. Em seguida, o tráfego é direcionado de acordo com a política.
- Para Endereço de Destino, insira o endereço IPv4 ou IPv6 que o BIG-IP usa para receber o tráfego do cliente. Um registro correspondente aparece no DNS, o que permite que os clientes resolvam o URL externo do aplicativo publicado para o IP. Use um DNS localhost do computador de teste para teste.
- Para Porta de Serviço, insira 443 e selecione HTTPS.
- Para Habilitar a Porta de Redirecionamento, marque a caixa.
- Para Porta de Redirecionamento, insira 80 e selecione HTTP. Essa opção redireciona o tráfego do cliente HTTP de entrada para HTTPS.
- Para Perfil SSL do Cliente, selecione Usar Existente.
- Em Comum, selecione a opção que você criou. Se estiver testando, deixe o padrão. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, portanto, as conexões do cliente são criptografadas por TLS.
Propriedades de Pool
A guia Pool de Aplicativos possui serviços por trás de um BIG-IP, representados por um pool com servidores de aplicativos.
- Para Selecionar um Pool, selecione Criar Novo ou selecione um.
- Para o Método de Balanceamento de Carga, selecione Round Robin.
- Para Servidores de Pool, em Endereço IP/Nome do Nó, selecione um nó ou insira um IP e uma porta para servidores que hospedam o aplicativo PeopleSoft.
Logon único e Cabeçalhos HTTP
O assistente do Easy Button dá suporte a cabeçalhos de autorização Kerberos, portador OAuth e HTTP para o SSO nos aplicativos publicados. O aplicativo PeopleSoft espera cabeçalhos.
- Para Cabeçalhos HTTP, marque a caixa.
- Para Operação de Cabeçalho, selecione substituir.
- Em Nome do Cabeçalho, insira PS_SSO_UID.
- Para Valor do Cabeçalho, insira %{session.sso.token.last.username}.
Observação
As variáveis de sessão do APM entre colchetes diferenciam maiúsculas de minúsculas. Por exemplo, se você inserir OrclGUID e o nome do atributo for orclguid, o mapeamento de atributos falhará.
Gerenciamento da sessão
Use as configurações de gerenciamento de sessão do BIG-IP para definir as condições de encerramento ou continuação das sessões de usuário. Defina limites para usuários e endereços IP e informações de usuário correspondentes.
Para saber mais, acesse support.f5.com para K18390492: Segurança | Guia de operações do APM do BIG-IP
A funcionalidade de SLO (logoff único), não abordada no guia de operações, garante que as sessões do IdP, do BIG-IP e do agente do usuário sejam encerradas quando os usuários saírem. Quando o Easy Button cria uma instância de um aplicativo SAML no locatário do Microsoft Entra, ele preenche a URL de Logoff com o ponto de extremidade de SLO do APM. A saída iniciada por IdP em Meus Aplicativos encerra as sessões do BIG-IP e de cliente.
Os dados de federação SAML do aplicativo publicado são importados do locatário. Essa ação fornece ao APM o ponto de extremidade de saída do SAML para a ID do Microsoft Entra, o que garante que a saída iniciada pelo SP encerre as sessões do cliente e do Microsoft Entra. O APM precisa saber quando um usuário sai.
Quando o portal do webtop do BIG-IP acessa os aplicativos publicados, o APM processa uma saída para chamar o ponto de extremidade de saída do Microsoft Entra. Se o portal webtop do BIG-IP não for usado, o usuário não poderá instruir o APM a sair. Se o usuário sair do aplicativo, o BIG-IP será alheio. A saída iniciada por SP precisa de encerramento seguro da sessão. Adicione uma função de SLO ao botão Sair do aplicativo para redirecionar o cliente ao ponto de extremidade de saída do BIG-IP ou do SAML do Microsoft Entra. O URL do ponto de extremidade de saída do SAML para seu locatário em Registros de Aplicativo > Pontos de Extremidade.
Se você não puder alterar o aplicativo, considere fazer com que o BIG-IP ouça as chamadas de saída do aplicativo e acionar o SLO. Para obter mais informações, confira Logoff Único do PeopleSoft na seção a seguir.
Implantação
- Selecione Implantar.
- Verificar se o aplicativo está na lista de locatários de Aplicativos empresariais.
- O aplicativo é publicado e acessível com SHA.
Configurar o PeopleSoft
Use o Oracle Access Manager para gerenciamento de identidade e acesso do aplicativo PeopleSoft.
Para saber mais, acesse o docs.oracle.com e obtenha o Guia de Integração do Oracle Access Manager, Integrando o PeopleSoft
Configurar SSO do Oracle Access Manager
Configure o Oracle Access Manager para aceitar o SSO do BIG-IP.
- Entre no console do Oracle com permissões de administrador.
- Navegue até PeopleTools > Segurança.
- Selecione Perfis de Usuário.
- Selecione Perfis de Usuário.
- Crie um novo perfil de usuário.
- Para ID de Usuário, insira OAMPSFT
- Para Função de Usuário, insira PeopleSoft User.
- Selecione Salvar.
- Navegue até PeopleTools>Perfil da Web.
- Selecione o Perfil da Web.
- Na guia Segurança, em Usuários Públicos, selecione Permitir Acesso Público.
- Para ID de Usuário, insira OAMPSFT.
- Insira a Senha.
- Deixe o console do Peoplesoft.
- Inicie o Designer de Aplicativos PeopleTools.
- Clique com o botão direito do mouse no campo LDAPAUTH.
- Selecione Exibir PeopleCode.
As janelas de código LDAPAUTH são abertas.
Localize a função OAMSSO_AUTHENTICATION.
Substitua o valor &defaultUserId por OAMPSFT.
Salve o registro.
Navegue até **PeopleTools > Segurança.
Selecione Objetos de Segurança.
Selecione Entrar no PeopleCode.
Habilite OAMSSO_AUTHENTICATION.
Logoff único do PeopleSoft
Quando você sai de Meus Aplicativos, o SLO do PeopleSoft é iniciado, o que, por sua vez, chama o ponto de extremidade SLO do BIG-IP. O BIG-IP precisa de instruções para executar o SLO em nome do aplicativo. Faça com que o BIG-IP ouça as solicitações de saída do usuário para o PeopleSoft e dispare o SLO.
Adicione suporte ao SLO para usuários do PeopleSoft.
- Obtenha a URL de saída do portal PeopleSoft.
- Abra o portal com um navegador.
- Habilite as ferramentas de depuração.
- Localize o elemento com a ID PT_LOGOUT_MENU .
- Salve o caminho da URL com os parâmetros de consulta. Neste exemplo:
/psp/ps/?cmd=logout
.
Crie uma iRule no BIG-IP para redirecionar os usuários para o ponto de extremidade de saída do SP SAML: /my.logout.php3
.
- Navegue até **Tráfego Local > Lista de iRules.
- Selecione Criar.
- Insira um Nome para a regra.
- Insira as linhas de comando a seguir.
when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}
- Selecione Concluído.
Para atribuir essa iRule ao servidor virtual do BIG-IP.
- Navegue até Acesso > Configuração Guiada.
- Selecione o link de configuração do aplicativo PeopleSoft.
- Na barra de navegação superior, selecione Servidor Virtual.
- Em Configurações Avançadas, selecione *Ativado.
- Role até a parte inferior.
- Em Comum, adicione a iRule que você criou.
- Selecione Salvar.
- Selecione Avançar.
- Continue definindo as configurações.
Para saber mais, acesse support.f5.com para:
- K42052145: configurar o encerramento automático da sessão (logoff) com base em um nome de arquivo referenciado por URI
- K12056: visão geral da opção Incluir URI de logoff
Padrão para a página de aterrissagem da PeopleSoft
Redirecione as solicitações do usuário da raiz ("/") para o portal do PeopleSoft externo, que geralmente está localizado em: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL"
- Navegue até Tráfego Local > iRule.
- Selecione iRule_PeopleSoft.
- Adicione as linhas de comando a seguir.
when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }
- Para atribuir essa iRule ao servidor virtual do BIG-IP.
Confirmar configuração
Com um navegador, vá para a URL externa do aplicativo PeopleSoft ou selecione o ícone do aplicativo em Meus Aplicativos.
Autentique-se no Microsoft Entra ID.
Você será redirecionado para o servidor virtual BIG-IP e conectado com SSO.
Observação
Você pode bloquear o acesso direto ao aplicativo, impondo assim um caminho através do BIG-IP.
Implantação avançada
Às vezes, os modelos de Configuração Guiada não têm flexibilidade.
Saiba mais: Tutorial: configurar o Gerenciador de Política de Acesso do BIG-IP da F5 para SSO baseado em cabeçalho
Como alternativa, no BIG-IP, desabilite o modo de gerenciamento estrito da Configuração Guiada. Você pode alterar as configurações manualmente, embora a maioria das configurações seja automatizada com modelos de assistente.
- Navegue até Acesso > Configuração Guiada.
- No final da linha, selecione o cadeado.
Não são possíveis alterações com a interface do usuário do assistente, no entanto, os objetos BIG-IP associados à instância publicada do aplicativo são desbloqueados para gerenciamento.
Observação
Quando você reabilita o modo estrito e implanta uma configuração, as definições executadas fora da Configuração Guiada serão substituídas. Recomendamos configuração avançada para os serviços de produção.
Solução de problemas
Use o registro em log do BIG-IP para isolar problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis configurados incorretamente.
Detalhamento do log
- Navegue até Política de Acesso Visão Geral>.
- Selecione Logs de Eventos.
- Selecione Configurações.
- Selecione a linha do aplicativo publicado.
- SelecioneEditar.
- Selecione Acessar Logs do Sistema
- Na lista de SSO, selecione Depurar.
- Selecione OK.
- Reproduza o problema.
- Inspecionar os logs.
Ao concluir, reverta esse recurso porque o modo detalhado gera muitos dados.
Mensagem de erro do BIG-IP
Se um erro do BIG-IP é exibido após a autenticação prévia do Microsoft Entra, é possível que o problema esteja relacionado ao SSO da ID do Microsoft Entra para o BIG-IP.
- Navegue até Acesso > Visão Geral.
- Selecione Acessar relatórios.
- Execute o relatório da última hora.
- Analise os logs em busca de pistas.
Use o link Exibir sessão da sessão para confirmar se o APM recebe as declarações esperadas do Microsoft Entra.
Nenhuma mensagem de erro do BIG-IP
Se nenhuma mensagem de erro do BIG-IP for exibida, o problema poderá estar relacionado à solicitação de back-end ou do BIG-IP para SSO do aplicativo.
- Navegue até Política de Acesso > Visão Geral.
- Selecione Sessões Ativas.
- Clique no link da sessão ativa.
Use o link Exibir Variáveis para determinar problemas de SSO, especialmente se o APM do BIG-IP obtiver atributos incorretos de variáveis da sessão.
Saiba mais:
- Vá para devcentral.f5.com para Exemplos de atribuição de variável do APM
- Acesse techdocs.f5.com para obter as Variáveis da sessão