Dela via

Självstudie: Konfigurera enkel F5 BIG-IP-knapp för enkel inloggning till Oracle JDE

  • Artikel

I den här självstudien lär du dig att skydda Oracle JD Edwards (JDE) med hjälp av Microsoft Entra-ID, med enkel F5 BIG-IP-knappstyrd konfiguration.

Integrera BIG-IP med Microsoft Entra-ID för många fördelar:

Läs mer:

Beskrivning av scenario

I den här självstudien används Oracle JDE-program med http-auktoriseringshuvuden för att hantera åtkomst till skyddat innehåll.

Äldre program saknar moderna protokoll som stöder Microsoft Entra-integrering. Moderniseringen är kostsam, kräver planering och medför potentiella avbrottsrisker. Använd i stället en F5 BIG-IP Application Delivery Controller (ADC) för att överbrygga klyftan mellan äldre program och modern ID-kontroll, med protokollövergång.

Med en BIG-IP framför appen lägger du över tjänsten med Microsoft Entra-förautentisering och huvudbaserad enkel inloggning. Den här åtgärden förbättrar programmets säkerhetsstatus.

Scenariots arkitektur

SHA-lösningen för det här scenariot består av flera komponenter:

  • Oracle JDE-program – BIG-IP-publicerad tjänst som skyddas av Microsoft Entra SHA
  • Microsoft Entra ID – SAML-identitetsprovider (Security Assertion Markup Language) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst och SAM-baserad enkel inloggning till BIG-IP
    • Med enkel inloggning tillhandahåller Microsoft Entra ID sessionsattribut till BIG-IP
  • BIG-IP – omvänd proxy och SAML-tjänstprovider (SP) till programmet
    • BIG-IP delegerar autentisering till SAML IdP och utför sedan huvudbaserad enkel inloggning till Oracle-tjänsten

I den här självstudien stöder SHA SP- och IdP-initierade flöden. Följande diagram illustrerar det SP-initierade flödet.

Diagram över säker hybridåtkomst med SP-initierat flöde.

  1. Användaren ansluter till programslutpunkten (BIG-IP).
  2. BIG-IP APM-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra förautentiserar användaren och tillämpar principer för villkorsstyrd åtkomst.
  4. Användaren omdirigeras till BIG-IP (SAML SP). Enkel inloggning sker med en utfärdad SAML-token.
  5. BIG-IP matar in Microsoft Entra-attribut som rubriker i programbegäran.
  6. Programmet auktoriserar begäran och returnerar nyttolast.

Förutsättningar

  • Ett kostnadsfritt Microsoft Entra-ID-konto eller senare
    • Om du inte har något får du ett kostnadsfritt Azure-konto
  • En BIG-IP eller en BIG-IP Virtual Edition (VE) i Azure
  • Någon av följande F5 BIG-IP-licenser:
    • F5 BIG-IP® Bästa paket
    • Fristående F5 BIG-IP APM-licens
    • F5 BIG IP APM-tilläggslicens på en befintlig BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Utvärderingslicens för fullständig 90-dagars BIG-IP-funktion
  • Användaridentiteter synkroniserade från en lokal katalog till Microsoft Entra-ID, eller skapade i Microsoft Entra-ID och flödade tillbaka till den lokala katalogen
  • En av följande roller: Molnprogramadministratör eller programadministratör
  • Ett SSL-webbcertifikat för att publicera tjänster via HTTPS eller använda big-IP-standardcertifikat för testning
  • En Oracle JDE-miljö

BIG-IP-konfiguration

I den här självstudien används guidad konfiguration 16.1 med en mall för Enkel knapp. Med enkel knapp går administratörer inte mellan Microsoft Entra-ID och en BIG-IP för att aktivera tjänster för SHA. Guiden APM Guidad konfiguration och Microsoft Graph hanterar distribution och principhantering. Integreringen säkerställer att program stöder identitetsfederation, enkel inloggning och villkorsstyrd åtkomst.

Kommentar

Ersätt exempelsträngar eller värden i den här självstudien med dem i din miljö.

Registrera knappen Enkel

Innan en klient eller tjänst får åtkomst till Microsoft Graph måste Microsofts identitetsplattform lita på den.

Läs mer: Snabbstart: Registrera ett program med Microsofts identitetsplattform

Följande instruktioner hjälper dig att skapa en registrering av klientappen för att auktorisera enkel knappåtkomst till Graph. Med dessa behörigheter push-överför BIG-IP konfigurationerna för att upprätta ett förtroende mellan en SAML SP-instans för publicerat program och Microsoft Entra-ID som SAML-IdP.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identitetsprogram>> Ny registrering.

  3. Ange ett programnamn.

  4. För Endast konton i den här organisationskatalogen anger du vem som använder programmet.

  5. Välj Registrera.

  6. Gå till API-behörigheter.

  7. Auktorisera följande Microsoft Graph-programbehörigheter:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Bevilja administratörsmedgivande till din organisation.

  9. Gå till Certifikat och hemligheter.

  10. Generera en ny klienthemlighet och anteckna den.

  11. Gå till Översikt och notera klient-IDoch klient-ID

Konfigurera knappen Enkel

  1. Initiera den guidade APM-konfigurationen.

  2. Starta mallen Enkel knapp.

  3. Gå till Åtkomst > till guidad konfiguration.

  4. Välj Microsoft-integrering.

  5. Välj Microsoft Entra-program.

  6. Granska konfigurationssekvensen.

  7. Välj Nästa

  8. Följ konfigurationssekvensen.

    Skärmbild av konfigurationssekvensen under Microsoft Entra-programkonfiguration.

Konfigurationsegenskaper

Använd fliken Konfigurationsegenskaper för att skapa nya programkonfigurationer och SSO-objekt. Avsnittet Information om Azure-tjänstkonto representerar klienten som du registrerade i Microsoft Entra-klientorganisationen som ett program. Använd inställningarna för BIG-IP OAuth-klienten för att registrera en SAML SP i klientorganisationen med egenskaper för enkel inloggning. Easy Button gör den här åtgärden för BIG-IP-tjänster som publicerats och aktiverats för SHA.

Kommentar

Några av följande inställningar är globala. Du kan återanvända dem för att publicera fler program.

  1. För Enkel inloggning (SSO) och HTTP-huvuden väljer du .
  2. Ange klientorganisations-ID , klient-ID och klienthemlighet som du antecknade.
  3. Bekräfta att BIG-IP ansluter till klientorganisationen.
  4. Välj Nästa

Tjänstleverantör

Inställningarna för tjänstprovidern definierar egenskaperna för SAML SP-instansen av programmet som skyddas via SHA.

  1. För Värd anger du det offentliga fullständiga domännamnet för det skyddade programmet.

  2. För Entitets-ID anger du den identifierare som Microsoft Entra-ID använder för att identifiera SAML SP som begär en token.

    Skärmbild av alternativ och val för tjänstleverantör.

  3. (Valfritt) För Säkerhetsinställningar anger du att Microsoft Entra ID krypterar utfärdade SAML-intyg. Det här alternativet ökar försäkran om att innehållstoken inte fångas upp eller att data komprometteras.

  4. I listan Med privata nycklar för försäkran väljer du Skapa ny.

    Skärmbild av Skapa ny i listan Med privat nyckel för kontrolldekryptering.

  5. Välj OK.

  6. Dialogrutan Importera SSL-certifikat och nycklar visas på en ny flik.

  7. För Importtyp väljer du PKCS 12 (IIS). Det här alternativet importerar ditt certifikat och din privata nyckel.

  8. Stäng webbläsarfliken för att återgå till huvudfliken.

    Skärmbild av alternativ och val för SSL-certifikat och nyckelkälla.

  9. Markera kryssrutan för Aktivera krypterad försäkran.

  10. Om du har aktiverat kryptering väljer du certifikatet från listan Med privata nycklar för försäkrandekryptering. Den här privata nyckeln är för certifikatet som BIG-IP APM använder för att dekryptera Microsoft Entra-försäkran.

  11. Om du har aktiverat kryptering väljer du certifikatet i listan Certifikat för dekryptering av försäkran. BIG-IP överför det här certifikatet till Microsoft Entra-ID för att kryptera utfärdade SAML-intyg.

Skärmbild av alternativ och val för säkerhetsinställningar.

Microsoft Entra ID

Easy Button har mallar för Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP och en allmän SHA-mall.

  1. Välj JD Edwards Skyddad av F5 BIG-IP.
  2. Markera Lägga till.

Azure-konfiguration

  1. Ange Visningsnamn för appen BIG-IP som skapas i klientorganisationen. Namnet visas på en ikon i Mina appar.

  2. (Valfritt) För inloggnings-URL anger du det offentliga FQDN-namnet för PeopleSoft-programmet.

  3. Bredvid signeringsnyckeln och signeringscertifikatet väljer du Uppdatera. Den här åtgärden letar upp certifikatet som du har importerat.

  4. För Lösenfras för signeringsnyckel anger du certifikatlösenordet.

  5. (Valfritt) För Signeringsalternativ väljer du ett alternativ. Det här valet säkerställer att BIG-IP accepterar token och anspråk som signerats av Microsoft Entra-ID.

    Skärmbild av alternativen signeringsnyckel, signeringscertifikat och signeringsnyckel för passprhase under SAML-signeringscertifikat.

  6. Användar- och användargrupper efterfrågas dynamiskt från Microsoft Entra-klientorganisationen.

  7. Lägg till en användare eller grupp för testning, annars nekas åtkomst.

    Skärmbild av alternativet Lägg till under Användare och användargrupper.

Användarattribut och anspråk

När en användare autentiserar utfärdar Microsoft Entra-ID en SAML-token med standardanspråk och attribut som identifierar användaren. Fliken Användarattribut och anspråk har standardanspråk för att utfärda för det nya programmet. Använd den för att konfigurera fler anspråk.

Skärmbild av alternativ och val för användarattribut och anspråk.

Om det behövs kan du inkludera andra Microsoft Entra-attribut. Oracle JDE-scenariot kräver standardattribut.

Ytterligare användarattribut

Fliken Ytterligare användarattribut stöder distribuerade system som kräver attribut lagras i andra kataloger för sessionsförstoring. Attribut från en LDAP-källa matas in som fler SSO-huvuden för att styra åtkomsten baserat på roller, partner-ID:n och så vidare.

Kommentar

Den här funktionen har ingen korrelation till Microsoft Entra-ID; det är en annan attributkälla.

Princip för villkorsstyrd åtkomst

Principer för villkorsstyrd åtkomst framtvingas efter Microsoft Entra-förautentisering för att styra åtkomst baserat på enheter, program, platser och risksignaler. Vyn Tillgängliga principer har principer för villkorsstyrd åtkomst utan användaråtgärder. Vyn Valda principer har principer som riktar sig till molnappar. Du kan inte avmarkera eller flytta dessa principer till listan Tillgängliga principer eftersom de tillämpas på klientorganisationsnivå.

Välj en princip för programmet.

  1. I listan Tillgängliga principer väljer du en princip.
  2. Välj högerpilenoch flytta principen till Valda principer.

Valda principer har alternativet Inkludera eller Exkludera markerat. Om båda alternativen är markerade tillämpas inte principen.

Skärmbild av exkluderade principer under Valda principer på fliken Princip för villkorsstyrd åtkomst.

Kommentar

Principlistan visas en gång när du väljer fliken. Använd Uppdatera för guiden för att fråga klientorganisationen. Det här alternativet visas när programmet har distribuerats.

Egenskaper för virtuell server

En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress. Servern lyssnar efter klientbegäranden till programmet. Mottagen trafik bearbetas och utvärderas mot den virtuella serverns APM-profil. Sedan dirigeras trafiken enligt principen.

  1. För Måladress anger du den IPv4- eller IPv6-adress som BIG-IP använder för att ta emot klienttrafik. En motsvarande post visas i DNS, vilket gör det möjligt för klienter att matcha det publicerade programmets externa URL till IP-adressen. Använd en testdator localhost DNS för testning.

  2. För Tjänstport anger du 443 och väljer HTTPS.

  3. Markera kryssrutan för Aktivera omdirigeringsport.

  4. För Omdirigeringsport anger du 80 och väljer HTTP. Det här alternativet omdirigerar inkommande HTTP-klienttrafik till HTTPS.

  5. För Klient-SSL-profil väljer du Använd befintlig.

  6. Under Vanliga väljer du det alternativ som du skapade. Om du testar lämnar du standardvärdet. Klient-SSL-profil aktiverar den virtuella servern för HTTPS, så klientanslutningar krypteras via TLS.

    Skärmbild av alternativ och val för Egenskaper för virtuell server.

Poolegenskaper

Fliken Programpool har tjänster bakom en BIG-IP som representeras som en pool med programservrar.

  1. För Välj en pool väljer du Skapa ny eller väljer en.

  2. För Belastningsutjämningsmetod väljer du Resursallokering.

  3. För poolservrar i IP-adress/nodnamn väljer du en nod eller anger en IP-adress och port för servrar som är värdar för Oracle JDE-programmet.

    Skärmbild av ip-adress-/nodnamn och portalternativ för poolegenskaper.

Enkel inloggning och HTTP-huvuden

Guiden Enkel knapp stöder Kerberos-, OAuth Bearer- och HTTP-auktoriseringshuvuden för enkel inloggning till publicerade program. PeopleSoft-programmet förväntar sig rubriker.

  1. Markera kryssrutan för HTTP-huvuden.

  2. För Rubrikåtgärd väljer du Ersätt.

  3. Som Rubriknamn anger du JDE_SSO_UID.

  4. Som Rubrikvärde anger du %{session.sso.token.last.username}.

    Skärmbild av rubrikåtgärd, rubriknamn och rubrikvärdeposter under Enkel inloggning och HTTP-huvuden.

    Kommentar

    APM-sessionsvariabler inom klammerparenteser är skiftlägeskänsliga. Om du till exempel anger OrclGUID och attributnamnet är orclguid misslyckas attributmappningen.

Sessionshantering

Använd inställningar för hantering av BIG-IP-sessioner för att definiera villkor för avslutning eller fortsättning av användarsessioner. Ange gränser för användare och IP-adresser samt motsvarande användarinformation.

Mer information finns i support.f5.com för K18390492: Säkerhet | APM-driftguide för BIG-IP

Det som inte beskrivs i driftguiden är funktioner för enkel utloggning (SLO), vilket säkerställer att IdP-, BIG-IP- och användaragentsessioner avslutas när användarna loggar ut. När Enkel knapp instansierar ett SAML-program i Microsoft Entra-klientorganisationen fyller den i utloggnings-URL:en med APM SLO-slutpunkten. IdP-initierad utloggning från Mina appar avslutar BIG-IP- och klientsessioner.

SAML-federationsdata för publicerade program importeras från klientorganisationen. Den här åtgärden ger APM slutpunkten för SAML-utloggning för Microsoft Entra ID, vilket säkerställer att SP-initierad utloggning avslutar klient- och Microsoft Entra-sessioner. APM måste veta när en användare loggar ut.

När BIG-IP-webbportalen kommer åt publicerade program bearbetar APM en utloggning för att anropa Microsoft Entra-utloggningsslutpunkten. Om BIG-IP-webbportalen inte används kan användaren inte instruera APM att logga ut. Om användaren loggar ut från programmet är BIG-IP omedveten. SP-initierad utloggning kräver säker sessionsavslutning. Lägg till en SLO-funktion i appens utloggningsknapp för att omdirigera klienten till microsoft Entra SAML- eller BIG-IP-utloggningsslutpunkten. URL:en för SAML-utloggningsslutpunkt för din klientorganisation i slutpunkter för > appregistreringar.

Om du inte kan ändra appen kan du överväga att låta BIG-IP-lyssna efter utloggningsanrop för program och sedan utlösa SLO.

Läs mer: Självstudie: Konfigurera enkel F5 BIG-IP-knapp för enkel inloggning för Oracle PeopleSoft, PeopleSoft – enkel inloggning

Mer information finns i support.f5.com för:

Distribution

  1. Välj distribuera.
  2. Kontrollera att programmet finns i klientorganisationens lista över Företagsprogram.

Bekräfta konfigurationen

  1. Anslut till Oracle JDE-programmets externa URL med hjälp av en webbläsare eller välj programikonen i Mina appar.

  2. Autentisera till Microsoft Entra-ID.

  3. Du omdirigeras till den virtuella BIG-IP-servern för programmet och loggas in med enkel inloggning.

    Kommentar

    Du kan blockera direkt åtkomst till programmet och därmed framtvinga en sökväg via BIG-IP.

Avancerad distribution

Ibland saknar de guidade konfigurationsmallarna flexibilitet.

Läs mer: Självstudie: Konfigurera F5 BIG-IP Access Policy Manager för huvudbaserad enkel inloggning

I BIG-IP kan du också inaktivera strikt hanteringsläge för den guidade konfigurationen. Du kan ändra konfigurationer manuellt, även om de flesta konfigurationer automatiseras med guidemallar.

  1. Gå till Åtkomst > till guidad konfiguration.

  2. I slutet av raden väljer du hänglåset.

    Skärmbild av hänglåsikonen.

Ändringar med guidens användargränssnitt är inte möjliga, men BIG-IP-objekt som är associerade med den publicerade programinstansen låss upp för hantering.

Kommentar

När du kan återanvända strikt läge och distribuera en konfiguration skrivs inställningar som utförs utanför den guidade konfigurationen över. Vi rekommenderar avancerad konfiguration för produktionstjänster.

Felsökning

Använd BIG-IP-loggning för att isolera problem med anslutning, enkel inloggning, principöverträdelser eller felkonfigurerade variabelmappningar.

Loggveroalitet

  1. Gå till > åtkomstprincip.
  2. Välj Händelseloggar.
  3. Välj Inställningar.
  4. Välj raden i ditt publicerade program.
  5. VäljRedigera.
  6. Välj Åtkomstsystemloggar
  7. I listan med enkel inloggning väljer du Felsök.
  8. Välj OK.
  9. Återskapa problemet.
  10. Granska loggarna.

När du är klar återställer du den här funktionen eftersom utförligt läge genererar massor av data.

BIG-IP-felmeddelande

Om ett BIG-IP-fel visas efter Microsoft Entra-förautentisering är det möjligt att problemet gäller Microsoft Entra-ID till BIG-IP SSO.

  1. Gå till Åtkomstöversikt>.
  2. Välj Åtkomstrapporter.
  3. Kör rapporten för den senaste timmen.
  4. Granska loggarna för att få ledtrådar.

Använd sessionens vysessionslänk för att bekräfta att APM tar emot förväntade Microsoft Entra-anspråk.

Inget BIG-IP-felmeddelande

Om inget BIG-IP-felmeddelande visas kan problemet vara relaterat till serverdelsbegäran eller BIG-IP till program-SSO.

  1. Gå till > åtkomstprincip.
  2. Välj Aktiva sessioner.
  3. Välj den aktiva sessionslänken.

Använd länken Visa variabler för att fastställa problem med enkel inloggning, särskilt om BIG-IP APM hämtar felaktiga attribut från sessionsvariabler.

Läs mer: