Руководство. Настройка простой кнопки F5 BIG-IP для единого входа в Oracle JDE

В этом руководстве вы узнаете, как защитить Oracle JD Edwards (JDE) с использованием Microsoft Entra ID при помощи F5 BIG-IP Easy Button Guided Configuration.

Интегрируйте BIG-IP с Microsoft Entra ID, чтобы получить множество преимуществ.

• Улучшено управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и условного доступа
  • См. рамку "Нулевое доверие" для обеспечения удаленной работы.
  • Смотрите, что такое условный доступ?
• Единая аутентификация (SSO) между Microsoft Entra ID и опубликованными службами BIG-IP
• Управляйте удостоверениями и доступом из Центра администрирования Microsoft Entra

Подробнее:

• Интеграция F5 BIG-IP с Microsoft Entra ID
• Включение единого входа для корпоративного приложения

Описание сценария

В этом руководстве используется приложение Oracle JDE с помощью заголовков авторизации HTTP для управления доступом к защищенному содержимому.

Устаревшие приложения не имеют современных протоколов для поддержки интеграции Microsoft Entra. Модернизация является дорогостоящим, требует планирования и приводит к потенциальному риску простоя. Вместо этого используйте контроллер доставки приложений F5 BIG-IP (ADC), чтобы преодолеть разрыв между устаревшими приложениями и современным управлением идентификацией, с поддержкой перехода протокола.

Используя BIG-IP перед приложением, вы накладываете службу предварительной проверки подлинности Microsoft Entra и единую аутентификацию, основанную на заголовках. Это действие улучшает состояние безопасности приложения.

Архитектура сценария

Решение SHA для этого сценария состоит из нескольких компонентов:

• Приложение Oracle JDE — опубликованная служба BIG-IP, защищенная Microsoft Entra SHA
• Microsoft Entra ID — поставщик удостоверений SAML (язык разметки утверждений безопасности), который проверяет учетные данные пользователя, усложненные условия доступа и SAML-основанный единый вход в BIG-IP.
  • С помощью SSO Microsoft Entra ID предоставляет атрибуты сеанса для BIG-IP.
• BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение
  • BIG-IP делегирует аутентификацию поставщику удостоверений SAML, а затем выполняет единый вход на основе заголовков в службу Oracle.

В этом руководстве SHA поддерживает потоки, инициированные SP и IdP. На следующем диаграмме показан поток, инициированный SP.

1. Пользователь подключается к конечной точке приложения (BIG-IP).
2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
3. Microsoft Entra предварительно выполняет проверку подлинности пользователей и применяет политики условного доступа.
4. Пользователь перенаправляется на BIG-IP (SAML SP). Единый вход использует выданный токен SAML.
5. BIG-IP внедряет атрибуты Microsoft Entra в качестве заголовков в запросе приложения.
6. Приложение авторизует запрос и возвращает полезную нагрузку.

Предварительные условия

• Бесплатная учетная запись Microsoft Entra ID Free или более поздняя
  • Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• BIG-IP или виртуальная редакция BIG-IP (VE) в Azure
  • См. развертывание виртуальной машины F5 BIG-IP Virtual Edition в Azure
• Любая из следующих лицензий F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • Отдельная лицензия F5 BIG-IP APM
  • Дополнительная лицензия F5 BIG-IP APM для существующего BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • 90-дневная лицензия на полную пробную версию BIG-IP.
• Учетные записи пользователей, синхронизированные из локальной директории в Microsoft Entra ID или созданные в Microsoft Entra ID и переданные обратно в локальную директорию.
  • См. Microsoft Entra Connect Sync: понимание и настройка синхронизации
• Одна из следующих ролей: администратор облачных приложений или администратор приложений
• Ssl-веб-сертификат для публикации служб по протоколу HTTPS или использования сертификатов BIG-IP по умолчанию для тестирования
  • См. развертывание виртуальной машины F5 BIG-IP Virtual Edition в Azure
• Среда Oracle JDE.

Конфигурация BIG-IP

В этом руководстве используется управляемая конфигурация 16.1 с шаблоном Easy Button. С помощью кнопки Easy администраторы не переключаются между Microsoft Entra ID и BIG-IP для активации служб SHA. Мастер интерактивной настройки APM и Microsoft Graph обрабатывают развертывание и управление политиками. Интеграция гарантирует, что приложения поддерживают федерацию удостоверений, SSO и условный доступ.

Примечание.

Замените примеры строк или значений в этом руководстве теми, что в вашей среде.

Регистрация простой кнопки

Прежде чем клиент или служба смогут получить доступ к Microsoft Graph, платформа удостоверений Майкрософт должна им доверять.

Дополнительные сведения: краткое руководство. Регистрация приложения на платформе удостоверений Майкрософт

Приведенные ниже инструкции помогут вам создать регистрацию приложения арендатора для авторизации доступа Easy Button к Graph. С этими разрешениями BIG-IP отправляет конфигурации для установления доверия между экземпляром SAML SP для опубликованного приложения и Microsoft Entra ID в качестве SAML IdP.

1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор облачных приложений.

2. Перейдите к разделу Идентификация>Приложения>Регистрация приложений>Новая регистрация.

3. Введите имя приложения.

4. Только для учетных записей в этом каталоге организации укажите, кто использует приложение.

5. Выберите Зарегистрировать.

6. Перейдите к разрешениям API.

7. Авторизуйте следующие разрешения приложения Microsoft Graph:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Предоставьте согласие от имени администратора для вашей организации.

9. Перейдите к сертификатам и секретам.

10. Создайте новый секрет клиента и запишите его.

11. Перейдите к Обзору и запишите идентификатор клиента и идентификатор клиента

Настройка простой кнопки

1. Инициируйте пошаговую конфигурацию APM.

2. Запустите шаблон Easy Button.

3. Перейдите к Доступ к управляемой конфигурации>.

4. Выберите Microsoft Integration.

5. Выберите приложение Microsoft Entra.

6. Просмотрите последовательность конфигурации.

7. Выберите Далее

8. Следуйте последовательности конфигурации.

   

Свойства конфигурации

Используйте вкладку «Свойства конфигурации» для создания новых конфигураций приложений и объектов единого входа. Раздел подробностей учётной записи службы Azure представляет собой клиента, которого вы зарегистрировали в клиенте Microsoft Entra в качестве приложения. Используйте параметры клиента OAuth BIG-IP, чтобы зарегистрировать SAML SP в арендаторе с использованием свойств SSO. Easy Button выполняет это действие для служб BIG-IP, опубликованных и активированных для SHA.

Примечание.

Некоторые из следующих параметров являются глобальными. Их можно повторно использовать для публикации дополнительных приложений.

1. Для единого входа (SSO) и HTTP заголовков выберите Вкл.
2. Введите идентификатор клиента, идентификатор клиента и секрет клиента, который вы указали.
3. Подтвердите подключение BIG-IP к клиенту.
4. Выберите Далее

Поставщик услуг

Параметры поставщика услуг определяют свойства экземпляра SAML SP приложения, защищенного через SHA.

1. Для узла введите общедоступное полное доменное имя защищенного приложения.

2. Для идентификатора сущности введите идентификатор, который Microsoft Entra ID использует для идентификации SAML SP, запрашивающего токен.

   

3. (Необязательно) Для параметров безопасности укажите, что идентификатор Microsoft Entra шифрует утверждения SAML. Этот параметр повышает уверенность в том, что маркеры содержимого не перехватываются и не скомпрометированы.

4. В списке закрытого ключа для расшифровки утверждений выберите Создать новый.

   

5. Нажмите ОК.

6. Диалоговое окно импорта SSL-сертификата и ключей отображается на новой вкладке.

7. Для типа импорта выберите PKCS 12 (IIS). Этот параметр импортирует сертификат и закрытый ключ.

8. Закройте вкладку браузера, чтобы вернуться на главную вкладку.

   

9. Для включения зашифрованного утверждения установите флажок.

10. Если вы включили шифрование, в списке закрытых ключей расшифровки утверждения выберите сертификат. Этот закрытый ключ предназначен для сертификата, который big-IP APM использует для расшифровки утверждений Microsoft Entra.

11. Если вы включили шифрование, в списке сертификатов расшифровки утверждений выберите сертификат. BIG-IP загружает этот сертификат в Microsoft Entra ID для шифрования выданных утверждений SAML.

Microsoft Entra ID

Easy Button содержит шаблоны для Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP и универсального шаблона SHA.

1. Выберите JD Эдвардс, защищенный F5 BIG-IP.
2. Выберите Добавить.

Конфигурация Azure

1. Введите отображаемое имя приложения BIG-IP, создаваемое в клиенте. Имя отображается на значке в Мои приложения.

2. (Необязательно) Для URL для входа введите общедоступное полное доменное имя приложения PeopleSoft.

3. Рядом с ключом подписи и сертификатом подписывания выберите "Обновить". Это действие находит импортированный сертификат.

4. Для парольной фразы ключа подписи введите пароль сертификата.

5. (Необязательно) Для параметра подписывания выберите параметр. Этот параметр гарантирует, что BIG-IP принимает токены и заявки, подписанные Microsoft Entra ID.

   

6. Пользователи и группы пользователей динамически запрашиваются из арендатора Microsoft Entra.

7. Добавьте пользователя или группу для тестирования, в противном случае доступ запрещен.

   

Атрибуты и утверждения пользователя

Когда пользователь проходит проверку подлинности, идентификатор Microsoft Entra выдает токен SAML с утверждениями и атрибутами по умолчанию, определяющими пользователя. Вкладка "Атрибуты пользователя" и "Утверждения" имеет утверждения по умолчанию, которые будут выдаваться для нового приложения. Используйте его для настройки дополнительных утверждений.

При необходимости включите другие атрибуты Microsoft Entra. Для сценария Oracle JDE требуются атрибуты по умолчанию.

Дополнительные атрибуты пользователя

Вкладка "Дополнительные атрибуты пользователя" поддерживает распределенные системы, требующие, чтобы атрибуты хранились в других каталогах для дополнения сеанса. Атрибуты из источника LDAP внедряются в виде дополнительных заголовков единого входа для управления доступом на основе ролей, идентификаторов партнеров и т. д.

Примечание.

Эта функция не имеет корреляции с идентификатором Microsoft Entra; это другой источник атрибута.

Политика условного доступа

Политики условного доступа применяются после предварительной проверки подлинности Microsoft Entra для управления доступом на основе устройств, приложений, расположений и сигналов риска. Представление "Доступные политики" содержит политики условного доступа без действий пользователя. В представлении "Выбранные политики" есть политики, предназначенные для облачных приложений. Вы не можете отменить выбор или переместить эти политики в список доступных политик, так как они применяются на уровне клиента.

Выберите политику для приложения.

1. В списке доступных политик выберите политику.
2. Щелкните стрелку вправо и переместите политику в выбранные политики.

Выбранные политики имеют флажок "Включить " или "Исключить ". Если оба параметра проверяются, политика не применяется.

Примечание.

При выборе вкладки список политик появится один раз. Используйте Обновление, чтобы мастер сделал запрос арендатора. Этот параметр отображается после развертывания приложения.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом. Сервер прослушивает клиентские запросы к приложению. Полученный трафик обрабатывается и оценивается в профиле APM виртуального сервера. Затем трафик направляется в соответствии с политикой.

1. В поле "Адрес назначения" введите IPv4 или IPv6-адрес BIG-IP, который используется для получения трафика клиента. В DNS появляется соответствующая запись, которая позволяет клиентам определять внешний URL опубликованного приложения до IP-адреса. Используйте локальный dns-сервер локального узла компьютера для тестирования.

2. Для порта службы введите 443 и выберите HTTPS.

3. Для включения порта перенаправления установите флажок.

4. Для порта перенаправления введите 80 и выберите HTTP. Этот параметр перенаправляет входящий трафик КЛИЕНТА HTTP на HTTPS.

5. Для профиля SSL клиента выберите "Использовать существующий".

6. В разделе "Общие" выберите созданный параметр. При тестировании оставьте значение по умолчанию. Профиль SSL клиента включает виртуальный сервер для HTTPS, поэтому клиентские подключения шифруются по протоколу TLS.

   

Свойства пула

На вкладке "Пул приложений" представлены службы, работающие за BIG-IP, в виде пула с серверами приложений.

1. Для выбора пула нажмите кнопку "Создать" или выберите ее.

2. Для метода балансировки нагрузки выберите Round Robin.

3. Для серверов пула в имени IP-адреса или узла выберите узел или введите IP-адрес и порт для серверов, на котором размещено приложение Oracle JDE.

   

Единый вход и HTTP-заголовки

Мастер Easy Button поддерживает Kerberos, OAuth Bearer и заголовки авторизации HTTP для единой аутентификации в опубликованных приложениях. Приложение PeopleSoft ожидает заголовки.

1. Отметьте флажок для HTTP заголовков.

2. Для операции заголовка выберите замену.

3. В поле "Имя заголовка" введите JDE_SSO_UID.

4. В поле Значение заголовка введите %{session.sso.token.last.username}.

   

   Примечание.

   Переменные сеанса APM в фигурных скобках чувствительны к регистру. Например, если ввести OrclGUID, а имя атрибута — orclguid, сопоставление атрибутов завершается ошибкой.

Управление сеансом

Используйте параметры управления сеансами BIG-IP, чтобы определить условия прекращения или продолжения сеансов пользователей. Задайте ограничения для пользователей и IP-адресов и соответствующих сведений о пользователе.

Чтобы узнать больше, перейдите на support.f5.com, чтобы получить K18390492: Безопасность | Руководство по эксплуатации BIG-IP APM

Не рассмотрены в руководстве по операциям функции единого выхода (SLO), обеспечивающие завершение сеансов IdP, BIG-IP и агентов пользователя при выходе пользователя. Когда Easy Button инициализирует приложение SAML в клиенте Microsoft Entra, оно заполняет URL-адрес выхода конечной точкой APM SLO. Инициированный IdP выход из Мои приложения завершает сеансы BIG-IP и клиентских сеансов.

Опубликованные данные федерации SAML из клиента импортируются. Это действие предоставляет APM конечную точку выхода SAML для Microsoft Entra ID, что обеспечивает, что выход, инициированный поставщиком услуг, прекращает сеансы клиента и Microsoft Entra. APM должен знать, когда пользователь выходит из сети.

Когда портал BIG-IP обращается к опубликованным приложениям, APM инициирует процесс выхода для обращения к конечной точке выхода Microsoft Entra. Если веб-портал BIG-IP не используется, пользователь не может указать АПМ выйти из системы. Если пользователь выходит из приложения, BIG-IP этого не замечает. Для выхода, инициированного поставщиком услуг (SP), требуется безопасное завершение сеанса. Добавьте функцию SLO для кнопки Выход в вашем приложении, чтобы перенаправить пользователя на конечную точку выхода Microsoft Entra SAML или BIG-IP. URL-адрес конечной точки выхода SAML для клиента в конечных точках регистрации приложений>.

Если вы не можете изменить приложение, подумайте о конфигурации BIG-IP для отслеживания сигналов выхода из приложения и последующего запуска процедуры SLO.

Узнать больше: Руководство: Настройка простой кнопки F5 BIG-IP для единого входа в Oracle PeopleSoft и единого выхода PeopleSoft

Дополнительные сведения см. в support.f5.com:

• K42052145: Configuring automatic session termination (logout) based on a URI-referenced file name (Настройка автоматического завершения сеанса (выхода) на основе имени файла, указанного в URI)
• K12056: Обзор параметра включения URI выхода из системы.

Развертывание

1. Выберите Развернуть.
2. Убедитесь, что приложение находится в списке клиентов корпоративных приложений.

Подтверждение конфигурации

1. С помощью браузера подключитесь к внешнему URL-адресу приложения Oracle JDE или выберите значок приложения в Мои приложения.

2. Авторизуйтесь в Microsoft Entra ID.

3. Вы перенаправляетесь на виртуальный сервер BIG-IP для приложения и войдете в систему с помощью единого входа.

   Примечание.

   Вы можете заблокировать прямой доступ к приложению, тем самым применяя путь через BIG-IP.

Расширенное развертывание

Иногда шаблоны управляемой конфигурации недостаточно гибки.

Узнать больше: руководство: настройка диспетчера политик доступа F5 BIG-IP для единого входа на основе заголовков

В качестве альтернативы отключите в BIG-IP строгий режим управления Guided Configuration. Вы можете вручную изменять конфигурации, хотя большинство конфигураций автоматизированы с помощью шаблонов мастера.

1. Перейдите к Доступ к Руководству по Настройке.

2. В конце этой строки выберите замок.

   

Изменения в пользовательском интерфейсе мастера недоступны, но объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для управления.

Примечание.

При повторном использовании строгого режима и развертывании конфигурации параметры, выполняемые вне управляемой конфигурации, перезаписываются. Мы рекомендуем расширенную конфигурацию для рабочих служб.

Устранение неполадок

Используйте ведение журнала BIG-IP, чтобы изолировать проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных.

Детализация журнала

1. Перейдите к обзору >политики доступа.
2. Выберите журналы событий.
3. Выберите Параметры.
4. Выберите строку опубликованного приложения.
5. Выберите"Изменить".
6. Выберите журналы системы доступа
7. В списке SSO выберите Отладка.
8. Нажмите ОК.
9. Воспроизведите вашу проблему.
10. Проверьте журналы.

По завершении верните эту функцию, так как подробный режим создает большое количество данных.

Сообщение об ошибке BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, возможно, проблема связана с идентификатором Microsoft Entra и единым входом BIG-IP.

1. Перейдите к Обзор доступа.
2. Выберите Access Отчеты.
3. Запустите отчет за последний час.
4. Просмотрите журналы для получения подсказок.

Используйте ссылку представления сеанса, чтобы подтвердить, что APM получает ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если сообщение об ошибке BIG-IP не отображается, проблема может быть связана с запросом на сервере или с BIG-IP и SSO для приложения.

1. Перейдите к обзору >политики доступа.
2. Выберите активные сеансы.
3. Выберите ссылку активного сеанса.

Используйте ссылку «Посмотреть переменные», чтобы определить проблемы единого входа (SSO), особенно если BIG-IP APM получает неправильные атрибуты из переменных сеанса.

Подробнее:

• Перейдите на devcentral.f5.com для примеров присвоения переменных APM
• Перейдите на techdocs.f5.com, чтобы получить информацию о переменных сеанса