Dela via

Självstudie: Konfigurera enkel F5 BIG-IP-knapp för enkel inloggning till Oracle PeopleSoft

  • Artikel

I den här artikeln lär du dig att skydda Oracle PeopleSoft (PeopleSoft) med Microsoft Entra-ID, med enkel F5 BIG-IP-knapp guidad konfiguration 16.1.

Integrera BIG-IP med Microsoft Entra-ID för många fördelar:

Läs mer:

Beskrivning av scenario

I den här självstudien används ett PeopleSoft-program med hjälp av HTTP-auktoriseringshuvuden för att hantera åtkomst till skyddat innehåll.

Äldre program saknar moderna protokoll som stöder Microsoft Entra-integrering. Moderniseringen är kostsam, kräver planering och medför potentiella avbrottsrisker. Använd i stället en F5 BIG-IP Application Delivery Controller (ADC) för att överbrygga klyftan mellan äldre program och modern ID-kontroll, med protokollövergång.

Med en BIG-IP framför appen lägger du över tjänsten med Microsoft Entra-förautentisering och huvudbaserad enkel inloggning. Den här åtgärden förbättrar programmets säkerhetsstatus.

Kommentar

Få fjärråtkomst till den här typen av program med Microsoft Entra-programproxy.
Se Fjärråtkomst till lokala program via Microsoft Entra-programproxy.

Scenariots arkitektur

Lösningen för säker hybridåtkomst (SHA) för den här självstudien har följande komponenter:

  • PeopleSoft Application – BIG-IP-publicerad tjänst som skyddas av Microsoft Entra SHA
  • Microsoft Entra-ID – SAML-identitetsprovider (Security Assertion Markup Language) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst och SAML-baserad enkel inloggning till BIG-IP
    • Via enkel inloggning tillhandahåller Microsoft Entra-ID sessionsattribut till BIG-IP
  • BIG-IP – omvänd proxy och SAML-tjänstprovider (SP) till programmet. Den delegerar autentisering till SAML IdP och utför sedan huvudbaserad enkel inloggning till PeopleSoft-tjänsten.

I det här scenariot stöder SHA SP- och IdP-initierade flöden. Följande diagram illustrerar det SP-initierade flödet.

Diagram över säker hybridåtkomst med SP-initierat flöde.

  1. Användaren ansluter till programslutpunkten (BIG-IP).
  2. BIG-IP APM-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra förautentiserar användaren och tillämpar principer för villkorsstyrd åtkomst.
  4. Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning sker med utfärdad SAML-token.
  5. BIG-IP matar in Microsoft Entra-attribut som rubriker i begäran till programmet.
  6. Programmet auktoriserar begäran och returnerar nyttolast.

Förutsättningar

  • Ett kostnadsfritt Microsoft Entra-ID-konto eller senare
    • Om du inte har något får du ett kostnadsfritt Azure-konto
  • En BIG-IP eller en BIG-IP Virtual Edition (VE) i Azure
  • Någon av följande F5 BIG-IP-licenser:
    • F5 BIG-IP® Bästa paket
    • Fristående F5 BIG-IP APM-licens
    • F5 BIG IP APM-tilläggslicens på en befintlig BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Utvärderingslicens för fullständig 90-dagars BIG-IP-funktion
  • Användaridentiteter synkroniserade från en lokal katalog till Microsoft Entra-ID, eller skapade i Microsoft Entra-ID och flödade tillbaka till den lokala katalogen
  • En av följande roller: Molnprogramadministratör eller programadministratör.
  • Ett SSL-webbcertifikat för att publicera tjänster via HTTPS eller använda big-IP-standardcertifikat för testning
  • En PeopleSoft-miljö

BIG-IP-konfiguration

I den här självstudien används guidad konfiguration 16.1 med en enkel knappmall.

Med enkel knapp går administratörer inte mellan Microsoft Entra-ID och en BIG-IP för att aktivera tjänster för SHA. Guiden APM Guidad konfiguration och Microsoft Graph hanterar distributions- och principhantering. Integreringen säkerställer att program stöder identitetsfederation, enkel inloggning och villkorsstyrd åtkomst.

Kommentar

Ersätt exempelsträngar eller värden i den här självstudien med dem i din miljö.

Registrera knappen Enkel

Innan en klient eller tjänst får åtkomst till Microsoft Graph måste Microsofts identitetsplattform lita på den.

Läs mer: Snabbstart: Registrera ett program med Microsofts identitetsplattform

Följande instruktioner hjälper dig att skapa en registrering av klientappen för att auktorisera enkel knappåtkomst till Graph. Med dessa behörigheter push-överför BIG-IP konfigurationerna för att upprätta ett förtroende mellan en SAML SP-instans för publicerat program och Microsoft Entra-ID som SAML-IdP.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identitetsprogram>> Appregistreringar > Ny registrering.

  3. Ange ett programnamn.

  4. För Endast konton i den här organisationskatalogen anger du vem som använder programmet.

  5. Välj Registrera.

  6. Gå till API-behörigheter.

  7. Auktorisera följande Microsoft Graph-programbehörigheter:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Bevilja administratörsmedgivande till din organisation.

  9. Gå till Certifikat och hemligheter.

  10. Generera en ny klienthemlighet och anteckna den.

  11. Gå till Översikt och notera klient-IDoch klient-ID.

Konfigurera knappen Enkel

  1. Initiera den guidade APM-konfigurationen.
  2. Starta mallen Enkel knapp.
  3. Gå till Åtkomst > till guidad konfiguration.
  4. Välj Microsoft-integrering.
  5. Välj Microsoft Entra-program.
  6. Granska konfigurationssekvensen.
  7. Välj Nästa
  8. Följ konfigurationssekvensen.

Skärmbild av konfigurationssekvensen under Microsoft Entra-programkonfiguration.

Konfigurationsegenskaper

Använd fliken Konfigurationsegenskaper för att skapa nya programkonfigurationer och SSO-objekt. Avsnittet Information om Azure-tjänstkonto representerar klienten som du registrerade i Microsoft Entra-klientorganisationen som ett program. Använd inställningarna för BIG-IP OAuth-klienten för att registrera en SAML SP i klientorganisationen med egenskaper för enkel inloggning. Easy Button gör den här åtgärden för BIG-IP-tjänster som publicerats och aktiverats för SHA.

Kommentar

Några av följande inställningar är globala. Du kan återanvända dem för att publicera fler program.

  1. Ange ett konfigurationsnamn. Unika namn hjälper till att särskilja konfigurationer.
  2. För Enkel inloggning (SSO) och HTTP-huvuden väljer du .
  3. Ange klientorganisations-ID , klient-ID och klienthemlighet som du antecknade.
  4. Bekräfta att BIG-IP ansluter till klientorganisationen.
  5. Välj Nästa.

Tjänstleverantör

Använd inställningarna för tjänstprovidern för att definiera SAML SP-egenskaper för den APM-instans som representerar det SHA-skyddade programmet.

  1. För Värd anger du det offentliga fullständiga domännamnet för det skyddade programmet.
  2. För Entitets-ID anger du den identifierare som Microsoft Entra-ID använder för att identifiera SAML SP som begär en token.

Skärmbild av alternativ och val för tjänstleverantör.

  1. (Valfritt) För Säkerhetsinställningar anger du att Microsoft Entra ID krypterar utfärdade SAML-intyg. Det här alternativet ökar försäkran om att innehållstoken inte fångas upp eller att data komprometteras.

  2. I listan Med privata nycklar för försäkran väljer du Skapa ny.

Skärmbild Skapa ny i listan Med privat nyckel för kontrolldekryptering.

  1. Välj OK.
  2. Dialogrutan Importera SSL-certifikat och nycklar visas på en ny flik.
  3. För Importtyp väljer du PKCS 12 (IIS). Det här alternativet importerar ditt certifikat och din privata nyckel.
  4. Stäng webbläsarfliken för att återgå till huvudfliken.

Skärmbild av alternativ och val för SSL-certifikat och nyckelkälla

  1. Markera kryssrutan för Aktivera krypterad försäkran.
  2. Om du har aktiverat kryptering väljer du certifikatet från listan Med privata nycklar för försäkrandekryptering. Den här privata nyckeln är för certifikatet som BIG-IP APM använder för att dekryptera Microsoft Entra-försäkran.
  3. Om du har aktiverat kryptering väljer du certifikatet i listan Certifikat för dekryptering av försäkran. BIG-IP överför det här certifikatet till Microsoft Entra-ID för att kryptera utfärdade SAML-intyg.

Skärmbild av alternativ och val för säkerhetsinställningar.

Microsoft Entra ID

Easy Button har mallar för Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP och en allmän SHA-mall.

  1. Välj Oracle PeopleSoft.
  2. Markera Lägga till.

Azure-konfiguration

  1. Ange Visningsnamn för appen BIG-IP som skapas i klientorganisationen. Namnet visas på en ikon i Mina appar.

  2. (Valfritt) För inloggnings-URL anger du det offentliga FQDN-namnet för PeopleSoft-programmet.

  3. Bredvid signeringsnyckeln och signeringscertifikatet väljer du Uppdatera. Den här åtgärden letar upp certifikatet som du har importerat.

  4. För Lösenfras för signeringsnyckel anger du certifikatlösenordet.

  5. (Valfritt) För Signeringsalternativ väljer du ett alternativ. Det här valet säkerställer att BIG-IP accepterar token och anspråk som signerats av Microsoft Entra-ID.

Skärmbild av alternativen signeringsnyckel, signeringscertifikat och signeringsnyckel för passprhase under SAML-signeringscertifikat.

  1. Användar- och användargrupper efterfrågas dynamiskt från Microsoft Entra-klientorganisationen.
  2. Lägg till en användare eller grupp för testning, annars nekas åtkomst.

Skärmbild av alternativet Lägg till under Användare och användargrupper.

Användarattribut och anspråk

När en användare autentiserar utfärdar Microsoft Entra-ID en SAML-token med standardanspråk och attribut som identifierar användaren. Fliken Användarattribut och anspråk har standardanspråk för att utfärda för det nya programmet. Använd den för att konfigurera fler anspråk. Mallen Easy Button har det medarbetar-ID som krävs av PeopleSoft.

Skärmbild av alternativ och val för användarattribut och anspråk.

Om det behövs kan du inkludera andra Microsoft Entra-attribut. PeopleSoft-exempelprogrammet kräver fördefinierade attribut.

Ytterligare användarattribut

Fliken Ytterligare användarattribut stöder distribuerade system som kräver attribut lagras i andra kataloger för sessionsförstoring. Attribut från en LDAP-källa matas in som fler SSO-huvuden för att styra åtkomsten baserat på roller, partner-ID:n och så vidare.

Kommentar

Den här funktionen har ingen korrelation till Microsoft Entra-ID; det är en annan attributkälla.

Princip för villkorsstyrd åtkomst

Principer för villkorsstyrd åtkomst framtvingas efter Microsoft Entra-förautentisering för att styra åtkomst baserat på enheter, program, platser och risksignaler. Vyn Tillgängliga principer har principer för villkorsstyrd åtkomst utan användaråtgärder. Vyn Valda principer har principer som riktar sig till molnappar. Du kan inte avmarkera eller flytta dessa principer till listan Tillgängliga principer eftersom de tillämpas på klientorganisationsnivå.

Välj en princip för programmet.

  1. I listan Tillgängliga principer väljer du en princip.
  2. Välj högerpilenoch flytta principen till Valda principer.

Valda principer har alternativet Inkludera eller Exkludera markerat. Om båda alternativen är markerade tillämpas inte principen.

Skärmbild av exkluderade principer under Valda principer på fliken Princip för villkorsstyrd åtkomst.

Kommentar

Principlistan visas en gång när du väljer fliken. Använd Uppdatera för guiden för att fråga klientorganisationen. Det här alternativet visas när programmet har distribuerats.

Egenskaper för virtuell server

En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress. Servern lyssnar efter klientbegäranden till programmet. Mottagen trafik bearbetas och utvärderas mot den virtuella serverns APM-profil. Sedan dirigeras trafiken enligt principen.

  1. För Måladress anger du den IPv4- eller IPv6-adress som BIG-IP använder för att ta emot klienttrafik. En motsvarande post visas i DNS, vilket gör det möjligt för klienter att matcha det publicerade programmets externa URL till IP-adressen. Använd en testdator localhost DNS för testning.
  2. För Tjänstport anger du 443 och väljer HTTPS.
  3. Markera kryssrutan för Aktivera omdirigeringsport.
  4. För Omdirigeringsport anger du 80 och väljer HTTP. Det här alternativet omdirigerar inkommande HTTP-klienttrafik till HTTPS.
  5. För Klient-SSL-profil väljer du Använd befintlig.
  6. Under Vanliga väljer du det alternativ som du skapade. Om du testar lämnar du standardvärdet. Klient-SSL-profil aktiverar den virtuella servern för HTTPS, så klientanslutningar krypteras via TLS.

Skärmbild av alternativ och val för Egenskaper för virtuell server.

Poolegenskaper

Fliken Programpool har tjänster bakom en BIG-IP som representeras som en pool med programservrar.

  1. För Välj en pool väljer du Skapa ny eller väljer en.
  2. För Belastningsutjämningsmetod väljer du Resursallokering.
  3. För poolservrar i IP-adress/nodnamn väljer du en nod eller anger en IP-adress och port för servrar som är värdar för PeopleSoft-programmet.

Skärmbild av ip-adress-/nodnamn och portalternativ för poolegenskaper.

Enkel inloggning och HTTP-huvuden

Guiden Enkel knapp stöder Kerberos-, OAuth Bearer- och HTTP-auktoriseringshuvuden för enkel inloggning till publicerade program. PeopleSoft-programmet förväntar sig rubriker.

  1. Markera kryssrutan för HTTP-huvuden.
  2. För Rubrikåtgärd väljer du Ersätt.
  3. Som Rubriknamn anger du PS_SSO_UID.
  4. Som Rubrikvärde anger du %{session.sso.token.last.username}.

Skärmbild av rubrikåtgärd, rubriknamn och rubrikvärdeposter under Enkel inloggning och HTTP-huvuden.

Kommentar

APM-sessionsvariabler inom klammerparenteser är skiftlägeskänsliga. Om du till exempel anger OrclGUID och attributnamnet är orclguid misslyckas attributmappningen.

Sessionshantering

Använd inställningar för hantering av BIG-IP-sessioner för att definiera villkor för avslutning eller fortsättning av användarsessioner. Ange gränser för användare och IP-adresser samt motsvarande användarinformation.

Mer information finns i support.f5.com för K18390492: Säkerhet | APM-driftguide för BIG-IP

Det som inte beskrivs i driftguiden är funktioner för enkel utloggning (SLO), vilket säkerställer att IdP-, BIG-IP- och användaragentsessioner avslutas när användarna loggar ut. När Enkel knapp instansierar ett SAML-program i Microsoft Entra-klientorganisationen fyller den i utloggnings-URL:en med APM SLO-slutpunkten. IdP-initierad utloggning från Mina appar avslutar BIG-IP- och klientsessioner.

SAML-federationsdata för publicerade program importeras från klientorganisationen. Den här åtgärden ger APM slutpunkten för SAML-utloggning för Microsoft Entra ID, vilket säkerställer att SP-initierad utloggning avslutar klient- och Microsoft Entra-sessioner. APM måste veta när en användare loggar ut.

När BIG-IP-webbportalen kommer åt publicerade program bearbetar APM en utloggning för att anropa Microsoft Entra-utloggningsslutpunkten. Om BIG-IP-webbportalen inte används kan användaren inte instruera APM att logga ut. Om användaren loggar ut från programmet är BIG-IP omedveten. SP-initierad utloggning kräver säker sessionsavslutning. Lägg till en SLO-funktion i appens utloggningsknapp för att omdirigera klienten till microsoft Entra SAML- eller BIG-IP-utloggningsslutpunkten. URL:en för SAML-utloggningsslutpunkt för din klientorganisation i slutpunkter för > appregistreringar.

Om du inte kan ändra appen kan du överväga att låta BIG-IP-lyssna efter utloggningsanrop för program och utlösa SLO. Mer information finns i PeopleSoft Enkel utloggning i följande avsnitt.

Distribution

  1. Välj distribuera.
  2. Verifiera programmet i klientlistan över Företagsprogram.
  3. Programmet publiceras och är tillgängligt med SHA.

Konfigurera PeopleSoft

Använd Oracle Access Manager för PeopleSoft-programidentitet och åtkomsthantering.

Om du vill veta mer får du o docs.oracle.com för Oracle Access Manger Integration Guide, Integrating PeopleSoft

Konfigurera enkel inloggning för Oracle Access Manager

Konfigurera Oracle Access Manager för att acceptera enkel inloggning från BIG-IP.

  1. Logga in på Oracle-konsolen med administratörsbehörigheter.

Skärmbild av Oracle-konsolen.

  1. Gå till PeopleTools > Security.
  2. Välj Användarprofiler.
  3. Välj Användarprofiler.
  4. Skapa en ny användarprofil.
  5. För Användar-ID anger du OAMPSFT
  6. För Användarroll anger du PeopleSoft-användare.
  7. Välj Spara.
  8. Gå till Webbprofil för Personverktyg>.
  9. Välj webbprofilen.
  10. fliken Säkerhet går du till Offentliga användare och väljer Tillåt offentlig åtkomst.
  11. För Användar-ID anger du OAMPSFT.
  12. Ange lösenordet.
  13. Lämna Peoplesoft-konsolen.
  14. Starta PeopleTools Application Designer.
  15. Högerklicka på fältet LDAPAUTH .
  16. Välj Visa PeopleCode.

Skärmbild av LDAPAUTH-alternativ under Programdesignern.

  1. LDAPAUTH-kodfönstren öppnas.

  2. Leta upp funktionen OAMSSO_AUTHENTICATION .

  3. Ersätt värdet &defaultUserId med OAMPSFT.

    Skärmbild av standardvärdet för användar-ID är lika med OAMPSFT under Funktion.

  4. Spara posten.

  5. Gå till **PeopleTools > Security.

  6. Välj Säkerhetsobjekt.

  7. Välj Logga in på PeopleCode.

  8. Aktivera OAMSSO_AUTHENTICATION.

PeopleSoft – enkel utloggning

När du loggar ut från Mina appar initieras PeopleSoft SLO, som i sin tur anropar BIG-IP SLO-slutpunkten. BIG-IP behöver instruktioner för att utföra SLO för programmets räkning. Låt BIG-IP-lyssning för användare logga ut begäranden till PeopleSoft och sedan utlösa SLO.

Lägg till SLO-stöd för PeopleSoft-användare.

  1. Hämta inloggnings-URL:en för PeopleSoft-portalen.
  2. Öppna portalen med en webbläsare.
  3. Aktivera felsökningsverktygen.
  4. Leta upp elementet med PT_LOGOUT_MENU-ID :t.
  5. Spara URL-sökvägen med frågeparametrarna. I det här exemplet: /psp/ps/?cmd=logout.

Skärmbild av PeopleSofts utloggnings-URL.

Skapa en BIG-IP-iRule för att omdirigera användare till SAML SP-utloggningsslutpunkten: /my.logout.php3.

  1. Gå till listan **Lokal trafik > iRules.
  2. Välj Skapa.
  3. Ange ett regelnamn.
  4. Ange följande kommandorader.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

  1. Välj Slutförd.

Tilldela iRule till den virtuella BIG-IP-servern.

  1. Gå till Åtkomst > till guidad konfiguration.
  2. Välj länken PeopleSoft-programkonfiguration.

Skärmbild av konfigurationslänken för PeopleSoft-programmet.

  1. I det övre navigeringsfältet väljer du Virtuell server.
  2. För Avancerade inställningar väljer du *.

Skärmbild av alternativet Avancerade Aettings på Egenskaper för virtuell server.

  1. Rulla längst ned.
  2. Under Common lägger du till den iRule som du skapade.

Skärmbild av irule under Common på Virtual Server Configuration.

  1. Välj Spara.
  2. Välj Nästa.
  3. Fortsätt att konfigurera inställningar.

Mer information finns i support.f5.com för:

Standard för PeopleSoft-landningssida

Omdirigera användarbegäranden från roten ("/") till den externa PeopleSoft-portalen, som vanligtvis finns i: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL"

  1. Gå till Lokal trafik > iRule.
  2. Välj iRule_PeopleSoft.
  3. Lägg till följande kommandorader.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. Tilldela iRule till den virtuella BIG-IP-servern.

Bekräfta konfigurationen

  1. Med en webbläsare går du till den externa URL:en för PeopleSoft-programmet eller väljer programikonen i Mina appar.

  2. Autentisera till Microsoft Entra-ID.

  3. Du omdirigeras till den virtuella BIG-IP-servern och loggas in med enkel inloggning.

    Kommentar

    Du kan blockera direkt åtkomst till programmet och därmed framtvinga en sökväg via BIG-IP.

Avancerad distribution

Ibland saknar de guidade konfigurationsmallarna flexibilitet.

Läs mer: Självstudie: Konfigurera F5 BIG-IP Access Policy Manager för huvudbaserad enkel inloggning

I BIG-IP kan du också inaktivera strikt hanteringsläge för den guidade konfigurationen. Du kan ändra konfigurationer manuellt, även om de flesta konfigurationer automatiseras med guidemallar.

  1. Gå till Åtkomst > till guidad konfiguration.
  2. I slutet av raden väljer du hänglåset.

Skärmbild av hänglåsikonen.

Ändringar med guidens användargränssnitt är inte möjliga, men BIG-IP-objekt som är associerade med den publicerade programinstansen låss upp för hantering.

Kommentar

När du kan återanvända strikt läge och distribuera en konfiguration skrivs inställningar som utförs utanför den guidade konfigurationen över. Vi rekommenderar avancerad konfiguration för produktionstjänster.

Felsökning

Använd BIG-IP-loggning för att isolera problem med anslutning, enkel inloggning, principöverträdelser eller felkonfigurerade variabelmappningar.

Loggveroalitet

  1. Gå till > åtkomstprincip.
  2. Välj Händelseloggar.
  3. Välj Inställningar.
  4. Välj raden i ditt publicerade program.
  5. VäljRedigera.
  6. Välj Åtkomstsystemloggar
  7. I listan med enkel inloggning väljer du Felsök.
  8. Välj OK.
  9. Återskapa problemet.
  10. Granska loggarna.

När du är klar återställer du den här funktionen eftersom utförligt läge genererar massor av data.

BIG-IP-felmeddelande

Om ett BIG-IP-fel visas efter Microsoft Entra-förautentisering är det möjligt att problemet gäller Microsoft Entra-ID till BIG-IP SSO.

  1. Gå till Åtkomstöversikt>.
  2. Välj Åtkomstrapporter.
  3. Kör rapporten för den senaste timmen.
  4. Granska loggarna för att få ledtrådar.

Använd sessionens vysessionslänk för att bekräfta att APM tar emot förväntade Microsoft Entra-anspråk.

Inget BIG-IP-felmeddelande

Om inget BIG-IP-felmeddelande visas kan problemet vara relaterat till serverdelsbegäran eller BIG-IP till program-SSO.

  1. Gå till > åtkomstprincip.
  2. Välj Aktiva sessioner.
  3. Välj den aktiva sessionslänken.

Använd länken Visa variabler för att fastställa problem med enkel inloggning, särskilt om BIG-IP APM hämtar felaktiga attribut från sessionsvariabler.

Läs mer: