Dela via

Självstudie: Konfigurera enkel F5 BIG-IP-knapp för enkel inloggning till Oracle EBS

  • Artikel

Lär dig att skydda Oracle E-Business Suite (EBS) med hjälp av Microsoft Entra-ID, med enkel konfiguration med enkel F5 BIG-IP-knapp. Integreringen av en BIG-IP med Microsoft Entra ID har många fördelar:

  • Förbättrad Nolltillit styrning via Microsoft Entra-förautentisering och villkorlig åtkomst
  • Fullständig enkel inloggning mellan Microsoft Entra-ID och BIG-IP-publicerade tjänster
  • Hanterade identiteter och åtkomst från ett kontrollplan

Läs mer:

Beskrivning av scenario

Det här scenariot omfattar det klassiska Oracle EBS-programmet som använder HTTP-auktoriseringshuvuden för att hantera åtkomst till skyddat innehåll.

Äldre program saknar moderna protokoll som stöder Microsoft Entra-integrering. Modernisering är kostsamt, tidskrävande och medför avbrottsrisker. Använd i stället en F5 BIG-IP Application Delivery Controller (ADC) för att överbrygga klyftan mellan äldre program och det moderna ID-kontrollplanet, med protokollövergång.

En BIG-IP framför appen möjliggör överlägg av tjänsten med Microsoft Entra-förautentisering och huvudbaserad enkel inloggning. Den här konfigurationen förbättrar programmets säkerhetsstatus.

Scenariots arkitektur

Lösningen för säker hybridåtkomst (SHA) har följande komponenter:

  • Oracle EBS-program – BIG-IP-publicerad tjänst som ska skyddas av Microsoft Entra SHA
  • Microsoft Entra-ID – SAML-identitetsprovider (Security Assertion Markup Language) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst och SAML-baserad enkel inloggning till BIG-IP
    • Med enkel inloggning tillhandahåller Microsoft Entra-ID big-IP-sessionsattribut
  • Oracle Internet Directory (OID) – är värd för användardatabasen
    • BIG-IP verifierar auktoriseringsattribut med LDAP
  • Oracle E-Business Suite AccessGate – validerar auktoriseringsattribut med OID-tjänsten och utfärdar sedan EBS-åtkomstcookies
  • BIG-IP – omvänd proxy och SAML-tjänstprovider (SP) till programmet
    • Autentisering delegeras till SAML IdP och sedan sker huvudbaserad enkel inloggning till Oracle-programmet

SHA stöder SP- och IdP-initierade flöden. Följande diagram illustrerar det SP-initierade flödet.

Diagram över säker hybridåtkomst baserat på det SP-initierade flödet.

  1. Användaren ansluter till programslutpunkten (BIG-IP).
  2. BIG-IP APM-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra förautentiserar användaren och tillämpar principer för villkorsstyrd åtkomst.
  4. Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning sker med hjälp av den utfärdade SAML-token.
  5. BIG-IP utför en LDAP-fråga för UID-attributet (user Unique ID).
  6. BIG-IP matar in returnerade UID-attribut som user_orclguid rubrik i Oracle EBS-sessionscookiebegäran till Oracle AccessGate.
  7. Oracle AccessGate validerar UID mot OID-tjänsten och utfärdar Oracle EBS-åtkomstcookie.
  8. Oracle EBS-användarhuvuden och cookie som skickas till programmet och returnerar nyttolasten till användaren.

Förutsättningar

Du behöver följande komponenter:

  • En Azure-prenumeration
    • Om du inte har något får du ett kostnadsfritt Azure-konto
  • En molnprogramadministratör eller programadministratörsroll.
  • En BIG-IP eller distribuera en BIG-IP Virtual Edition (VE) i Azure
  • Någon av följande F5 BIG-IP-licens-SKU:er:
    • F5 BIG-IP® Bästa paket
    • Fristående licens för F5 BIG-IP Access Policy Manager™ (APM)
    • F5 APM-tilläggslicens (BIG-IP Access Policy Manager™) på en BIG IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 dagars utvärderingsversion av big-IP-fullständig funktion. Se Kostnadsfria utvärderingsversioner.
  • Användaridentiteter som synkroniseras från en lokal katalog till Microsoft Entra-ID
  • Ett SSL-certifikat för att publicera tjänster via HTTPS eller använda standardcertifikat vid testning
  • En Oracle EBS, Oracle AccessGate och en LDAP-aktiverad Oracle Internet Database (OID)

BIG-IP-konfigurationsmetod

I den här självstudien används mallen Guidad konfiguration v16.1 Enkel knapp. Med knappen Enkel går administratörer inte längre fram och tillbaka för att aktivera tjänster för SHA. Guiden APM Guidad konfiguration och Microsoft Graph hanterar distribution och principhantering. Den här integreringen säkerställer att program stöder identitetsfederation, enkel inloggning och villkorsstyrd åtkomst, vilket minskar de administrativa kostnaderna.

Kommentar

Ersätt exempelsträngar eller värden med dem i din miljö.

Registrera knappen Enkel

Innan en klient eller tjänst får åtkomst till Microsoft Graph måste Microsofts identitetsplattform lita på den.

Läs mer: Snabbstart: Registrera ett program med Microsofts identitetsplattform

Skapa en registrering av klientappen för att auktorisera enkel knappåtkomst till Graph. BIG-IP push-överför konfigurationer för att upprätta ett förtroende mellan en SAML SP-instans för publicerat program och Microsoft Entra-ID som SAML IdP.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identitetsprogram>> Ny registrering.

  3. Ange ett programnamn. Till exempel enkel F5 BIG-IP-knapp.

  4. Ange vem som endast kan använda programkontona >i den här organisationskatalogen.

  5. Välj Registrera.

  6. Gå till API-behörigheter.

  7. Auktorisera följande Microsoft Graph-programbehörigheter:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Bevilja administratörsmedgivande för din organisation.

  9. Gå till Certifikat och hemligheter.

  10. Generera en ny klienthemlighet. Anteckna klienthemligheten.

  11. Gå till Översikt. Anteckna klient-ID och klient-ID.

Konfigurera knappen Enkel

  1. Initiera den guidade APM-konfigurationen.

  2. Starta mallen Enkel knapp .

  3. Gå till Åtkomst > till interaktiv konfiguration > Microsoft-integrering.

  4. Välj Microsoft Entra-program.

  5. Granska konfigurationsalternativen.

  6. Välj Nästa.

  7. Använd bilden för att publicera ditt program.

    Skärmbild av grafik som anger konfigurationsområden.

Konfigurationsegenskaper

Fliken Konfigurationsegenskaper skapar ett BIG-IP-programkonfigurations- och SSO-objekt. Avsnittet Information om Azure-tjänstkonto representerar den klient som du registrerade i din Microsoft Entra-klientorganisation som ett program. Med de här inställningarna registrerar en BIG-IP OAuth-klient en SAML SP i din klientorganisation med SSO-egenskaper. Easy Button gör den här åtgärden för BIG-IP-tjänster som publicerats och aktiverats för SHA.

Om du vill minska tiden och ansträngningen återanvänder du globala inställningar för att publicera andra program.

  1. Ange ett konfigurationsnamn.
  2. För Enkel inloggning (SSO) och HTTP-huvuden väljer du .
  3. För klient-ID anger klient-ID och klienthemlighet det du antecknade under enkel knapp-klientregistrering.
  4. Bekräfta att BIG-IP ansluter till din klientorganisation.
  5. Välj Nästa.

Tjänstleverantör

Använd tjänstproviderinställningar för egenskaperna för SAML SP-instansen av det skyddade programmet.

  1. Som Värd anger du det offentliga fullständiga domännamnet för programmet.

  2. För Entitets-ID anger du den identifierare som Microsoft Entra-ID använder för SAML SP som begär en token.

    Skärmbild av indata och alternativ för tjänstleverantören.

  3. (Valfritt) I Säkerhetsinställningar väljer eller avmarkerar du alternativet Aktivera krypterad försäkran . Kryptering av intyg mellan Microsoft Entra-ID och BIG-IP APM innebär att innehållstoken inte kan fångas upp eller att personliga data eller företagsdata komprometteras.

  4. I listan Avkryptering av kontroll privat nyckel väljer du Skapa ny

    Skärmbild av Skapa nya alternativ i listrutan Avkryptering av kontroll av privat nyckel.

  5. Välj OK.

  6. Dialogrutan Importera SSL-certifikat och nycklar visas på en ny flik.

  7. Välj PKCS 12 (IIS).

  8. Certifikatet och den privata nyckeln importeras.

  9. Stäng webbläsarfliken för att återgå till huvudfliken.

    Skärmbild av indata för importtyp, certifikat och nyckelnamn samt lösenord.

  10. Välj Aktivera krypterad försäkran.

  11. För aktiverad kryptering väljer du den privata certifikatnyckeln BIG-IP APM som används för att dekryptera Microsoft Entra-försäkran i listan Med kontrolldekryptering privat nyckel .

  12. För aktiverad kryptering går du till listan Kontrolldekrypteringscertifikat och väljer certifikatet BIG-IP-uppladdningar till Microsoft Entra-ID för att kryptera de utfärdade SAML-försäkran.

    Skärmbild av valda certifikat för den privata nyckeln för kontrolldekryptering och dekrypteringscertifikatet för försäkran.

Microsoft Entra ID

Easy Button har programmallar för Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP och en allmän SHA-mall. Följande skärmbild är alternativet Oracle E-Business Suite under Azure Configuration.

  1. Välj Oracle E-Business Suite.
  2. Markera Lägga till.

Azure-konfiguration

  1. Ange ett visningsnamn för appen BIG-IP som skapas i din Microsoft Entra-klientorganisation och ikonen på MyApps.

  2. I Inloggnings-URL (valfritt) anger du det offentliga fullständiga domännamnet för EBS-programmet.

  3. Ange standardsökvägen för Oracle EBS-startsidan.

  4. Bredvid signeringsnyckeln och signeringscertifikatet väljer du uppdateringsikonen.

  5. Leta upp certifikatet som du har importerat.

  6. I Lösenfras för signeringsnyckel anger du certifikatlösenordet.

  7. (Valfritt) Aktivera signeringsalternativ. Det här alternativet säkerställer att BIG-IP accepterar token och anspråk som signerats av Microsoft Entra-ID.

    Skärmbild av alternativ och poster för signeringsnyckel, signeringscertifikat och lösenfras för signeringsnyckel.

  8. För användar- och användargrupper lägger du till en användare eller grupp för testning, annars nekas all åtkomst. Användare och användargrupper efterfrågas dynamiskt från Microsoft Entra-klientorganisationen och ger åtkomst till programmet.

    Skärmbild av alternativet Lägg till under Användar- och användargrupper.

Användarattribut och anspråk

När en användare autentiserar utfärdar Microsoft Entra-ID en SAML-token med standardanspråk och attribut som identifierar användaren. Fliken Användarattribut och anspråk har standardanspråk för att utfärda för det nya programmet. Använd det här området för att konfigurera fler anspråk. Om det behövs lägger du till Microsoft Entra-attribut, men Oracle EBS-scenariot kräver standardattributen.

Skärmbild av alternativ och poster för användarattribut och anspråk.

Ytterligare användarattribut

Fliken Ytterligare användarattribut stöder distribuerade system som kräver attribut som lagras i kataloger för sessionsförstoring. Attribut som hämtas från en LDAP-källa matas in som fler SSO-huvuden för att styra åtkomsten baserat på roller, partner-ID och så vidare.

  1. Aktivera alternativet Avancerade inställningar.

  2. Markera kryssrutan LDAP-attribut .

  3. I Välj autentiseringsserver väljer du Skapa ny.

  4. Beroende på konfigurationen väljer du Använd pool - eller direktserveranslutningsläge för målserveradressen för LDAP-tjänsten. För en enskild LDAP-server väljer du Direkt.

  5. För Tjänstport anger du 3060 (standard), 3161 (säker) eller en annan port för Oracle LDAP-tjänsten.

  6. Ange ett DN för bassökning. Använd det unika namnet (DN) för att söka efter grupper i en katalog.

  7. För Admin DN anger du det unika namn som APM använder för att autentisera LDAP-frågor.

  8. Ange lösenordet som administratörslösenord.

    Skärmbild av alternativ och poster för ytterligare användarattribut.

  9. Lämna standardattributen för LDAP-schema.

    Skärmbild för LDAP-schemaattribut

  10. Under LDAP-frågeegenskaper för Sök Dn anger du LDAP-serverbasnoden för sökning efter användarobjekt.

  11. För Obligatoriska attribut anger du det attributnamn för användarobjekt som ska returneras från LDAP-katalogen. För EBS är standardvärdet orclguid.

    Skärmbild av poster och alternativ för LDAP-frågeegenskaper

Princip för villkorsstyrd åtkomst

Principer för villkorlig åtkomst styr åtkomst baserat på enheter, program, platser och risksignaler. Principer tillämpas efter Microsoft Entra-förautentisering. Vyn Tillgängliga principer har principer för villkorsstyrd åtkomst utan användaråtgärder. Vyn Valda principer har principer för molnappar. Du kan inte avmarkera dessa principer eller flytta dem till Tillgängliga principer eftersom de tillämpas på klientorganisationsnivå.

Så här väljer du en princip för programmet som ska publiceras:

  1. I Tillgängliga principer väljer du en princip.

  2. Välj högerpilen.

  3. Flytta principen till Valda principer.

    Kommentar

    Alternativet Inkludera eller Exkludera är valt för vissa principer. Om båda alternativen är markerade, är principen ogenomträngd.

    Skärmbild av alternativet Exkludera valt för fyra principer.

    Kommentar

    Välj fliken Princip för villkorsstyrd åtkomst så visas principlistan. Välj Uppdatera och guiden frågar din klientorganisation. Uppdatering visas för distribuerade program.

Egenskaper för virtuell server

En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress som lyssnar efter programklientbegäranden. Mottagen trafik bearbetas och utvärderas mot den APM-profil som är associerad med den virtuella servern. Sedan dirigeras trafiken enligt principen.

  1. Ange en måladress, en IPv4- eller IPv6-adress som BIG-IP använder för att ta emot klienttrafik. Kontrollera en motsvarande post i DNS som gör det möjligt för klienter att matcha den externa URL:en för det BIG IP-publicerade programmet till IP-adressen. Använd en testdator localhost DNS för testning.

  2. För Tjänstport anger du 443 och väljer HTTPS.

  3. Välj Aktivera omdirigeringsport.

  4. För Omdirigeringsport anger du 80 och väljer HTTP. Den här åtgärden omdirigerar inkommande HTTP-klienttrafik till HTTPS.

  5. Välj den klient-SSL-profil som du skapade eller lämna standardvärdet för testning. Klient-SSL-profil aktiverar den virtuella servern för HTTPS. Klientanslutningar krypteras via TLS.

    Skärmbild av alternativ och val för Egenskaper för virtuell server.

Poolegenskaper

fliken Programpool finns tjänster bakom en BIG-IP, en pool med en eller flera programservrar.

  1. Välj Skapa ny i Välj en pool eller välj ett annat alternativ.

  2. För Belastningsutjämningsmetod väljer du Resursallokering.

  3. Under Poolservrar väljer och anger du en IP-adress/nodnamn och port för servrarna som är värdar för Oracle EBS.

  4. Välj HTTPS.

    Skärmbild av alternativ och val för poolegenskaper

  5. Under Åtkomstgrindspoolenbekräftar du åtkomstgrindens undersökväg.

  6. För Poolservrar väljer och anger du en IP-adress/nodnamn och port för servrarna som är värdar för Oracle EBS.

  7. Välj HTTPS.

    Skärmbild av alternativ och poster för Access Gate-pool.

Enkel inloggning och HTTP-huvuden

Guiden Enkel knapp stöder Kerberos-, OAuth Bearer- och HTTP-auktoriseringshuvuden för enkel inloggning till publicerade program. Oracle EBS-programmet förväntar sig rubriker och aktiverar därför HTTP-huvuden.

  1. Enkel inloggning och HTTP-huvuden väljer du HTTP-huvuden.

  2. För Rubrikåtgärd väljer du Ersätt.

  3. Som Rubriknamn anger du USER_NAME.

  4. Som Rubrikvärde anger du %{session.sso.token.last.username}.

  5. För Rubrikåtgärd väljer du Ersätt.

  6. Som Rubriknamn anger du USER_ORCLGUID.

  7. Som Rubrikvärde anger du %{session.ldap.last.attr.orclguid}.

    Skärmbild av poster och val för Rubrikåtgärd, Rubriknamn och Rubrikvärde.

    Kommentar

    APM-sessionsvariabler inom klammerparenteser är skiftlägeskänsliga.

Sessionshantering

Använd BIG-IP-sessionshantering för att definiera villkor för avslutning eller fortsättning av användarsessioner.

Mer information finns i support.f5.com för K18390492: Säkerhet | APM-driftguide för BIG-IP

Funktioner för enkel utloggning (SLO) säkerställer sessioner mellan IdP, BIG-IP och användaragenten och avslutas när användarna loggar ut. När easy button instansierar ett SAML-program i din Microsoft Entra-klientorganisation fyller den utloggnings-URL:en med APM SLO-slutpunkten. Därför avslutar IdP-initierad utloggning, från Mina appar-portalen, sessionen mellan BIG-IP och en klient.

Se Microsoft Mina appar

SAML-federationsmetadata för det publicerade programmet importeras från klientorganisationen. Den här åtgärden tillhandahåller APM med slutpunkten för SAML-utloggning för Microsoft Entra-ID. Sedan avslutar SP-initierad utloggning klienten och Microsoft Entra-sessionen. Kontrollera att APM vet när en användare loggar ut.

Om du använder BIG-IP-webbportalen för att komma åt publicerade program bearbetar APM en utloggning för att anropa Microsoft Entra-slutpunkten för utloggning. Om du inte använder BIG-IP-webbportalen kan användaren inte instruera APM att logga ut. Om användaren loggar ut från programmet är BIG-IP omedveten om åtgärden. Se till att SP-initierad utloggning utlöser säker sessionsavslutning. Lägg till en SLO-funktion i appens utloggningsknapp för att omdirigera klienten till Microsoft Entra SAML- eller BIG-IP-utloggningsslutpunkten. Leta reda på SLUTpunkts-URL:en för SAML-utloggning för din klientorganisation i Slutpunkter för > appregistreringar.

Om du inte kan ändra appen ska du låta BIG-IP-lyssna efter utloggningsanropet för programmet och sedan utlösa SLO.

Läs mer:

Distribuera

  1. Välj Distribuera för att checka in inställningar.
  2. Kontrollera att programmet visas i listan enterprise-program för klientorganisation.

Test

  1. Från en webbläsare ansluter du till oracle EBS-programmets externa URL eller väljer programikonen i Mina appar.
  2. Autentisera till Microsoft Entra-ID.
  3. Du omdirigeras till den virtuella BIG-IP-servern för programmet och loggas in av enkel inloggning.

För ökad säkerhet blockerar du direkt programåtkomst och framtvingar därmed en sökväg via BIG-IP.

Avancerad distribution

Ibland saknar de guidade konfigurationsmallarna flexibilitet för kraven.

Läs mer: Självstudie: Konfigurera F5 BIG-IP:s Åtkomstprinciphanterare för huvudbaserad enkel inloggning.

Ändra konfigurationer manuellt

I BIG-IP kan du också inaktivera strikt hanteringsläge för guidad konfiguration för att manuellt ändra konfigurationer. Guidemallar automatiserar de flesta konfigurationer.

  1. Gå till Åtkomst > till guidad konfiguration.

  2. Välj hänglåsikonen i den högra änden av raden för programkonfigurationen.

    Skärmbild av hänglåsikonen

När du har inaktiverat strikt läge kan du inte göra ändringar med guiden. BIG-IP-objekt som är associerade med den publicerade appinstansen är dock olåst för hantering.

Kommentar

Om du återaktiverar strikt läge skriver nya konfigurationer över inställningar som utförs utan den guidade konfigurationen. Vi rekommenderar den avancerade konfigurationsmetoden för produktionstjänster.

Felsökning

Använd följande instruktioner för att felsöka problem.

Öka loggverositeten

Använd BIG-IP-loggning för att isolera problem med anslutning, enkel inloggning, principöverträdelser eller felkonfigurerade variabelmappningar. Öka loggens verbositetsnivå.

  1. Gå till > för åtkomstprincip.
  2. Välj Inställningar.
  3. Välj raden för det publicerade programmet.
  4. Välj Redigera > åtkomstsystemloggar.
  5. I listan med enkel inloggning väljer du Felsök.
  6. Välj OK.
  7. Återskapa problemet.
  8. Granska loggarna.

Återställ inställningarna eftersom utförligt läge genererar överdrivna data.

BIG-IP-felmeddelande

Om ett BIG-IP-fel visas efter Microsoft Entra-förautentisering kan problemet bero på Microsoft Entra ID och BIG-IP SSO.

  1. Gå till **Åtkomstöversikt > .
  2. Välj Åtkomstrapporter.
  3. Kör rapporten för den senaste timmen.
  4. Granska loggarna för att få ledtrådar.

Använd länken Visa session för sessionen för att bekräfta att APM tar emot förväntade Microsoft Entra-anspråk.

Inget BIG-IP-felmeddelande

Om det inte visas någon BIG-IP-felsida kan problemet bero på serverdelsbegäran eller BIG-IP och program-SSO.

  1. Gå till > åtkomstprincip.
  2. Välj Aktiva sessioner.
  3. Välj länken för den aktiva sessionen.

Använd länken Visa variabler för att undersöka problem med enkel inloggning, särskilt om BIG-IP APM inte hämtar rätt attribut från Microsoft Entra-ID eller någon annan källa.

Läs mer:

Verifiera APM-tjänstkontot

Använd följande bash shell-kommando för att verifiera APM-tjänstkontot för LDAP-frågor. Kommandot autentiserar och frågar användarobjekt.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Läs mer: