Självstudie: Konfigurera enkel F5 BIG-IP-knapp för enkel inloggning till Oracle PeopleSoft
I den här artikeln lär du dig att skydda Oracle PeopleSoft (PeopleSoft) med Microsoft Entra-ID, med enkel F5 BIG-IP-knapp guidad konfiguration 16.1.
Integrera BIG-IP med Microsoft Entra-ID för många fördelar:
- Förbättrad Nolltillit styrning via Microsoft Entra-förautentisering och villkorlig åtkomst
- Se Nolltillit ramverk för att aktivera distansarbete
- Se, Vad är villkorlig åtkomst?
- Enkel inloggning (SSO) mellan Microsoft Entra-ID och BIG-IP-publicerade tjänster
- Hantera identiteter och åtkomst från administrationscentret för Microsoft Entra
Läs mer:
Beskrivning av scenario
I den här självstudien används ett PeopleSoft-program med hjälp av HTTP-auktoriseringshuvuden för att hantera åtkomst till skyddat innehåll.
Äldre program saknar moderna protokoll som stöder Microsoft Entra-integrering. Moderniseringen är kostsam, kräver planering och medför potentiella avbrottsrisker. Använd i stället en F5 BIG-IP Application Delivery Controller (ADC) för att överbrygga klyftan mellan äldre program och modern ID-kontroll, med protokollövergång.
Med en BIG-IP framför appen lägger du över tjänsten med Microsoft Entra-förautentisering och huvudbaserad enkel inloggning. Den här åtgärden förbättrar programmets säkerhetsstatus.
Kommentar
Få fjärråtkomst till den här typen av program med Microsoft Entra-programproxy.
Se Fjärråtkomst till lokala program via Microsoft Entra-programproxy.
Scenariots arkitektur
Lösningen för säker hybridåtkomst (SHA) för den här självstudien har följande komponenter:
- PeopleSoft Application – BIG-IP-publicerad tjänst som skyddas av Microsoft Entra SHA
-
Microsoft Entra-ID – SAML-identitetsprovider (Security Assertion Markup Language) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst och SAML-baserad enkel inloggning till BIG-IP
- Via enkel inloggning tillhandahåller Microsoft Entra-ID sessionsattribut till BIG-IP
- BIG-IP – omvänd proxy och SAML-tjänstprovider (SP) till programmet. Den delegerar autentisering till SAML IdP och utför sedan huvudbaserad enkel inloggning till PeopleSoft-tjänsten.
I det här scenariot stöder SHA SP- och IdP-initierade flöden. Följande diagram illustrerar det SP-initierade flödet.
- Användaren ansluter till programslutpunkten (BIG-IP).
- BIG-IP APM-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP).
- Microsoft Entra förautentiserar användaren och tillämpar principer för villkorsstyrd åtkomst.
- Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning sker med utfärdad SAML-token.
- BIG-IP matar in Microsoft Entra-attribut som rubriker i begäran till programmet.
- Programmet auktoriserar begäran och returnerar nyttolast.
Förutsättningar
- Ett kostnadsfritt Microsoft Entra-ID-konto eller senare
- Om du inte har något får du ett kostnadsfritt Azure-konto
- En BIG-IP eller en BIG-IP Virtual Edition (VE) i Azure
- Se Distribuera virtuell F5 BIG-IP Virtual Edition-dator i Azure
- Någon av följande F5 BIG-IP-licenser:
- Användaridentiteter synkroniserade från en lokal katalog till Microsoft Entra-ID, eller skapade i Microsoft Entra-ID och flödade tillbaka till den lokala katalogen
- En av följande roller: Molnprogramadministratör eller programadministratör.
- Ett SSL-webbcertifikat för att publicera tjänster via HTTPS eller använda big-IP-standardcertifikat för testning
- Se Distribuera virtuell F5 BIG-IP Virtual Edition-dator i Azure
- En PeopleSoft-miljö
BIG-IP-konfiguration
I den här självstudien används guidad konfiguration 16.1 med en enkel knappmall.
Med enkel knapp går administratörer inte mellan Microsoft Entra-ID och en BIG-IP för att aktivera tjänster för SHA. Guiden APM Guidad konfiguration och Microsoft Graph hanterar distributions- och principhantering. Integreringen säkerställer att program stöder identitetsfederation, enkel inloggning och villkorsstyrd åtkomst.
Kommentar
Ersätt exempelsträngar eller värden i den här självstudien med dem i din miljö.
Registrera knappen Enkel
Innan en klient eller tjänst får åtkomst till Microsoft Graph måste Microsofts identitetsplattform lita på den.
Läs mer: Snabbstart: Registrera ett program med Microsofts identitetsplattform
Följande instruktioner hjälper dig att skapa en registrering av klientappen för att auktorisera enkel knappåtkomst till Graph. Med dessa behörigheter push-överför BIG-IP konfigurationerna för att upprätta ett förtroende mellan en SAML SP-instans för publicerat program och Microsoft Entra-ID som SAML-IdP.
Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
Bläddra till Identitetsprogram>> Appregistreringar > Ny registrering.
Ange ett programnamn.
För Endast konton i den här organisationskatalogen anger du vem som använder programmet.
Välj Registrera.
Gå till API-behörigheter.
Auktorisera följande Microsoft Graph-programbehörigheter:
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Bevilja administratörsmedgivande till din organisation.
Gå till Certifikat och hemligheter.
Generera en ny klienthemlighet och anteckna den.
Gå till Översikt och notera klient-IDoch klient-ID.
Konfigurera knappen Enkel
- Initiera den guidade APM-konfigurationen.
- Starta mallen Enkel knapp.
- Gå till Åtkomst > till guidad konfiguration.
- Välj Microsoft-integrering.
- Välj Microsoft Entra-program.
- Granska konfigurationssekvensen.
- Välj Nästa
- Följ konfigurationssekvensen.
Konfigurationsegenskaper
Använd fliken Konfigurationsegenskaper för att skapa nya programkonfigurationer och SSO-objekt. Avsnittet Information om Azure-tjänstkonto representerar klienten som du registrerade i Microsoft Entra-klientorganisationen som ett program. Använd inställningarna för BIG-IP OAuth-klienten för att registrera en SAML SP i klientorganisationen med egenskaper för enkel inloggning. Easy Button gör den här åtgärden för BIG-IP-tjänster som publicerats och aktiverats för SHA.
Kommentar
Några av följande inställningar är globala. Du kan återanvända dem för att publicera fler program.
- Ange ett konfigurationsnamn. Unika namn hjälper till att särskilja konfigurationer.
- För Enkel inloggning (SSO) och HTTP-huvuden väljer du På.
- Ange klientorganisations-ID , klient-ID och klienthemlighet som du antecknade.
- Bekräfta att BIG-IP ansluter till klientorganisationen.
- Välj Nästa.
Tjänstleverantör
Använd inställningarna för tjänstprovidern för att definiera SAML SP-egenskaper för den APM-instans som representerar det SHA-skyddade programmet.
- För Värd anger du det offentliga fullständiga domännamnet för det skyddade programmet.
- För Entitets-ID anger du den identifierare som Microsoft Entra-ID använder för att identifiera SAML SP som begär en token.
(Valfritt) För Säkerhetsinställningar anger du att Microsoft Entra ID krypterar utfärdade SAML-intyg. Det här alternativet ökar försäkran om att innehållstoken inte fångas upp eller att data komprometteras.
I listan Med privata nycklar för försäkran väljer du Skapa ny.
- Välj OK.
- Dialogrutan Importera SSL-certifikat och nycklar visas på en ny flik.
- För Importtyp väljer du PKCS 12 (IIS). Det här alternativet importerar ditt certifikat och din privata nyckel.
- Stäng webbläsarfliken för att återgå till huvudfliken.
- Markera kryssrutan för Aktivera krypterad försäkran.
- Om du har aktiverat kryptering väljer du certifikatet från listan Med privata nycklar för försäkrandekryptering. Den här privata nyckeln är för certifikatet som BIG-IP APM använder för att dekryptera Microsoft Entra-försäkran.
- Om du har aktiverat kryptering väljer du certifikatet i listan Certifikat för dekryptering av försäkran. BIG-IP överför det här certifikatet till Microsoft Entra-ID för att kryptera utfärdade SAML-intyg.
Microsoft Entra ID
Easy Button har mallar för Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP och en allmän SHA-mall.
- Välj Oracle PeopleSoft.
- Markera Lägga till.
Azure-konfiguration
Ange Visningsnamn för appen BIG-IP som skapas i klientorganisationen. Namnet visas på en ikon i Mina appar.
(Valfritt) För inloggnings-URL anger du det offentliga FQDN-namnet för PeopleSoft-programmet.
Bredvid signeringsnyckeln och signeringscertifikatet väljer du Uppdatera. Den här åtgärden letar upp certifikatet som du har importerat.
För Lösenfras för signeringsnyckel anger du certifikatlösenordet.
(Valfritt) För Signeringsalternativ väljer du ett alternativ. Det här valet säkerställer att BIG-IP accepterar token och anspråk som signerats av Microsoft Entra-ID.
- Användar- och användargrupper efterfrågas dynamiskt från Microsoft Entra-klientorganisationen.
- Lägg till en användare eller grupp för testning, annars nekas åtkomst.
Användarattribut och anspråk
När en användare autentiserar utfärdar Microsoft Entra-ID en SAML-token med standardanspråk och attribut som identifierar användaren. Fliken Användarattribut och anspråk har standardanspråk för att utfärda för det nya programmet. Använd den för att konfigurera fler anspråk. Mallen Easy Button har det medarbetar-ID som krävs av PeopleSoft.
Om det behövs kan du inkludera andra Microsoft Entra-attribut. PeopleSoft-exempelprogrammet kräver fördefinierade attribut.
Ytterligare användarattribut
Fliken Ytterligare användarattribut stöder distribuerade system som kräver attribut lagras i andra kataloger för sessionsförstoring. Attribut från en LDAP-källa matas in som fler SSO-huvuden för att styra åtkomsten baserat på roller, partner-ID:n och så vidare.
Kommentar
Den här funktionen har ingen korrelation till Microsoft Entra-ID; det är en annan attributkälla.
Princip för villkorsstyrd åtkomst
Principer för villkorsstyrd åtkomst framtvingas efter Microsoft Entra-förautentisering för att styra åtkomst baserat på enheter, program, platser och risksignaler. Vyn Tillgängliga principer har principer för villkorsstyrd åtkomst utan användaråtgärder. Vyn Valda principer har principer som riktar sig till molnappar. Du kan inte avmarkera eller flytta dessa principer till listan Tillgängliga principer eftersom de tillämpas på klientorganisationsnivå.
Välj en princip för programmet.
- I listan Tillgängliga principer väljer du en princip.
- Välj högerpilenoch flytta principen till Valda principer.
Valda principer har alternativet Inkludera eller Exkludera markerat. Om båda alternativen är markerade tillämpas inte principen.
Kommentar
Principlistan visas en gång när du väljer fliken. Använd Uppdatera för guiden för att fråga klientorganisationen. Det här alternativet visas när programmet har distribuerats.
Egenskaper för virtuell server
En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress. Servern lyssnar efter klientbegäranden till programmet. Mottagen trafik bearbetas och utvärderas mot den virtuella serverns APM-profil. Sedan dirigeras trafiken enligt principen.
- För Måladress anger du den IPv4- eller IPv6-adress som BIG-IP använder för att ta emot klienttrafik. En motsvarande post visas i DNS, vilket gör det möjligt för klienter att matcha det publicerade programmets externa URL till IP-adressen. Använd en testdator localhost DNS för testning.
- För Tjänstport anger du 443 och väljer HTTPS.
- Markera kryssrutan för Aktivera omdirigeringsport.
- För Omdirigeringsport anger du 80 och väljer HTTP. Det här alternativet omdirigerar inkommande HTTP-klienttrafik till HTTPS.
- För Klient-SSL-profil väljer du Använd befintlig.
- Under Vanliga väljer du det alternativ som du skapade. Om du testar lämnar du standardvärdet. Klient-SSL-profil aktiverar den virtuella servern för HTTPS, så klientanslutningar krypteras via TLS.
Poolegenskaper
Fliken Programpool har tjänster bakom en BIG-IP som representeras som en pool med programservrar.
- För Välj en pool väljer du Skapa ny eller väljer en.
- För Belastningsutjämningsmetod väljer du Resursallokering.
- För poolservrar i IP-adress/nodnamn väljer du en nod eller anger en IP-adress och port för servrar som är värdar för PeopleSoft-programmet.
Enkel inloggning och HTTP-huvuden
Guiden Enkel knapp stöder Kerberos-, OAuth Bearer- och HTTP-auktoriseringshuvuden för enkel inloggning till publicerade program. PeopleSoft-programmet förväntar sig rubriker.
- Markera kryssrutan för HTTP-huvuden.
- För Rubrikåtgärd väljer du Ersätt.
- Som Rubriknamn anger du PS_SSO_UID.
- Som Rubrikvärde anger du %{session.sso.token.last.username}.
Kommentar
APM-sessionsvariabler inom klammerparenteser är skiftlägeskänsliga. Om du till exempel anger OrclGUID och attributnamnet är orclguid misslyckas attributmappningen.
Sessionshantering
Använd inställningar för hantering av BIG-IP-sessioner för att definiera villkor för avslutning eller fortsättning av användarsessioner. Ange gränser för användare och IP-adresser samt motsvarande användarinformation.
Mer information finns i support.f5.com för K18390492: Säkerhet | APM-driftguide för BIG-IP
Det som inte beskrivs i driftguiden är funktioner för enkel utloggning (SLO), vilket säkerställer att IdP-, BIG-IP- och användaragentsessioner avslutas när användarna loggar ut. När Enkel knapp instansierar ett SAML-program i Microsoft Entra-klientorganisationen fyller den i utloggnings-URL:en med APM SLO-slutpunkten. IdP-initierad utloggning från Mina appar avslutar BIG-IP- och klientsessioner.
SAML-federationsdata för publicerade program importeras från klientorganisationen. Den här åtgärden ger APM slutpunkten för SAML-utloggning för Microsoft Entra ID, vilket säkerställer att SP-initierad utloggning avslutar klient- och Microsoft Entra-sessioner. APM måste veta när en användare loggar ut.
När BIG-IP-webbportalen kommer åt publicerade program bearbetar APM en utloggning för att anropa Microsoft Entra-utloggningsslutpunkten. Om BIG-IP-webbportalen inte används kan användaren inte instruera APM att logga ut. Om användaren loggar ut från programmet är BIG-IP omedveten. SP-initierad utloggning kräver säker sessionsavslutning. Lägg till en SLO-funktion i appens utloggningsknapp för att omdirigera klienten till microsoft Entra SAML- eller BIG-IP-utloggningsslutpunkten. URL:en för SAML-utloggningsslutpunkt för din klientorganisation i slutpunkter för > appregistreringar.
Om du inte kan ändra appen kan du överväga att låta BIG-IP-lyssna efter utloggningsanrop för program och utlösa SLO. Mer information finns i PeopleSoft Enkel utloggning i följande avsnitt.
Distribution
- Välj distribuera.
- Verifiera programmet i klientlistan över Företagsprogram.
- Programmet publiceras och är tillgängligt med SHA.
Konfigurera PeopleSoft
Använd Oracle Access Manager för PeopleSoft-programidentitet och åtkomsthantering.
Om du vill veta mer får du o docs.oracle.com för Oracle Access Manger Integration Guide, Integrating PeopleSoft
Konfigurera enkel inloggning för Oracle Access Manager
Konfigurera Oracle Access Manager för att acceptera enkel inloggning från BIG-IP.
- Logga in på Oracle-konsolen med administratörsbehörigheter.
- Gå till PeopleTools > Security.
- Välj Användarprofiler.
- Välj Användarprofiler.
- Skapa en ny användarprofil.
- För Användar-ID anger du OAMPSFT
- För Användarroll anger du PeopleSoft-användare.
- Välj Spara.
- Gå till Webbprofil för Personverktyg>.
- Välj webbprofilen.
- På fliken Säkerhet går du till Offentliga användare och väljer Tillåt offentlig åtkomst.
- För Användar-ID anger du OAMPSFT.
- Ange lösenordet.
- Lämna Peoplesoft-konsolen.
- Starta PeopleTools Application Designer.
- Högerklicka på fältet LDAPAUTH .
- Välj Visa PeopleCode.
LDAPAUTH-kodfönstren öppnas.
Leta upp funktionen OAMSSO_AUTHENTICATION .
Ersätt värdet &defaultUserId med OAMPSFT.
Spara posten.
Gå till **PeopleTools > Security.
Välj Säkerhetsobjekt.
Välj Logga in på PeopleCode.
Aktivera OAMSSO_AUTHENTICATION.
PeopleSoft – enkel utloggning
När du loggar ut från Mina appar initieras PeopleSoft SLO, som i sin tur anropar BIG-IP SLO-slutpunkten. BIG-IP behöver instruktioner för att utföra SLO för programmets räkning. Låt BIG-IP-lyssning för användare logga ut begäranden till PeopleSoft och sedan utlösa SLO.
Lägg till SLO-stöd för PeopleSoft-användare.
- Hämta inloggnings-URL:en för PeopleSoft-portalen.
- Öppna portalen med en webbläsare.
- Aktivera felsökningsverktygen.
- Leta upp elementet med PT_LOGOUT_MENU-ID :t.
- Spara URL-sökvägen med frågeparametrarna. I det här exemplet:
/psp/ps/?cmd=logout
.
Skapa en BIG-IP-iRule för att omdirigera användare till SAML SP-utloggningsslutpunkten: /my.logout.php3
.
- Gå till listan **Lokal trafik > iRules.
- Välj Skapa.
- Ange ett regelnamn.
- Ange följande kommandorader.
when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}
- Välj Slutförd.
Tilldela iRule till den virtuella BIG-IP-servern.
- Gå till Åtkomst > till guidad konfiguration.
- Välj länken PeopleSoft-programkonfiguration.
- I det övre navigeringsfältet väljer du Virtuell server.
- För Avancerade inställningar väljer du *På.
- Rulla längst ned.
- Under Common lägger du till den iRule som du skapade.
- Välj Spara.
- Välj Nästa.
- Fortsätt att konfigurera inställningar.
Mer information finns i support.f5.com för:
- K42052145: Konfigurera automatisk sessionsavslutning (utloggning) baserat på ett URI-refererat filnamn
- K12056: Översikt över alternativet Inkludera utloggnings-URI
Standard för PeopleSoft-landningssida
Omdirigera användarbegäranden från roten ("/") till den externa PeopleSoft-portalen, som vanligtvis finns i: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL"
- Gå till Lokal trafik > iRule.
- Välj iRule_PeopleSoft.
- Lägg till följande kommandorader.
when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }
- Tilldela iRule till den virtuella BIG-IP-servern.
Bekräfta konfigurationen
Med en webbläsare går du till den externa URL:en för PeopleSoft-programmet eller väljer programikonen i Mina appar.
Autentisera till Microsoft Entra-ID.
Du omdirigeras till den virtuella BIG-IP-servern och loggas in med enkel inloggning.
Kommentar
Du kan blockera direkt åtkomst till programmet och därmed framtvinga en sökväg via BIG-IP.
Avancerad distribution
Ibland saknar de guidade konfigurationsmallarna flexibilitet.
Läs mer: Självstudie: Konfigurera F5 BIG-IP Access Policy Manager för huvudbaserad enkel inloggning
I BIG-IP kan du också inaktivera strikt hanteringsläge för den guidade konfigurationen. Du kan ändra konfigurationer manuellt, även om de flesta konfigurationer automatiseras med guidemallar.
- Gå till Åtkomst > till guidad konfiguration.
- I slutet av raden väljer du hänglåset.
Ändringar med guidens användargränssnitt är inte möjliga, men BIG-IP-objekt som är associerade med den publicerade programinstansen låss upp för hantering.
Kommentar
När du kan återanvända strikt läge och distribuera en konfiguration skrivs inställningar som utförs utanför den guidade konfigurationen över. Vi rekommenderar avancerad konfiguration för produktionstjänster.
Felsökning
Använd BIG-IP-loggning för att isolera problem med anslutning, enkel inloggning, principöverträdelser eller felkonfigurerade variabelmappningar.
Loggveroalitet
- Gå till > åtkomstprincip.
- Välj Händelseloggar.
- Välj Inställningar.
- Välj raden i ditt publicerade program.
- VäljRedigera.
- Välj Åtkomstsystemloggar
- I listan med enkel inloggning väljer du Felsök.
- Välj OK.
- Återskapa problemet.
- Granska loggarna.
När du är klar återställer du den här funktionen eftersom utförligt läge genererar massor av data.
BIG-IP-felmeddelande
Om ett BIG-IP-fel visas efter Microsoft Entra-förautentisering är det möjligt att problemet gäller Microsoft Entra-ID till BIG-IP SSO.
- Gå till Åtkomstöversikt>.
- Välj Åtkomstrapporter.
- Kör rapporten för den senaste timmen.
- Granska loggarna för att få ledtrådar.
Använd sessionens vysessionslänk för att bekräfta att APM tar emot förväntade Microsoft Entra-anspråk.
Inget BIG-IP-felmeddelande
Om inget BIG-IP-felmeddelande visas kan problemet vara relaterat till serverdelsbegäran eller BIG-IP till program-SSO.
- Gå till > åtkomstprincip.
- Välj Aktiva sessioner.
- Välj den aktiva sessionslänken.
Använd länken Visa variabler för att fastställa problem med enkel inloggning, särskilt om BIG-IP APM hämtar felaktiga attribut från sessionsvariabler.
Läs mer:
- Gå till devcentral.f5.com för APM-variabeltilldela exempel
- Gå till techdocs.f5.com för sessionsvariabler