共用方式為

教學課程:設定 SSO 至 Oracle EBS 的 F5 BIG-IP 簡單按鈕

  • 發行項

瞭解如何使用 Microsoft Entra ID 來保護 Oracle E-Business Suite (EBS),並搭配 F5 BIG-IP 簡易按鈕引導式設定。 將 BIG-IP 與 Microsoft Entra ID 整合有許多優點:

深入了解:

案例描述

此案例涵蓋使用 HTTP 授權標頭的傳統 Oracle EBS 應用程式,以管理受保護內容的存取權。

舊版應用程式缺少新式通訊協定,可支援 Microsoft Entra ID 整合。 現代化成本高昂、耗時,並帶來停機時間風險。 相反地,使用 F5 BIG-IP 應用程式傳遞控制器 (ADC) 來橋接舊版應用程式與新式識別碼控制平面之間的差距,並轉換通訊協定。

應用程式前面的 BIG-IP 可讓您使用 Microsoft Entra 預先驗證和標頭型 SSO 來重疊服務。 此設定可改善應用程式安全性態勢。

案例架構

安全混合式存取 (SHA) 解決方案具有下列元件:

  • Oracle EBS 應用程式 - 由 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
  • Microsoft Entra ID - 安全性聲明標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取,以及對 BIG-IP 的 SAML 型 SSO
    • 透過 SSO,Microsoft Entra ID 提供 BIG-IP 工作階段屬性
  • Oracle Internet Directory (OID) - 裝載使用者資料庫
    • BIG-IP 使用 LDAP 驗證授權屬性
  • Oracle E-Business Suite AccessGate - 使用 OID 服務驗證授權屬性,然後發出 EBS 存取 Cookie
  • BIG-IP - 應用程式的反向 Proxy 和 SAML 服務提供者 (SP)
    • 驗證會委派給 SAML IdP,然後對 Oracle 應用程式進行標頭型 SSO

SHA 支援 SP 和 IdP 起始的流程。 下圖說明 SP 起始的流程。

根據 SP 起始流程的安全混合式存取圖表。

  1. 使用者會連線到應用程式端點 (BIG-IP)。
  2. BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)。
  3. Microsoft Entra 會預先驗證使用者,並套用條件式存取原則。
  4. 使用者會重新導向至 BIG-IP (SAML SP),並使用已發行的 SAML 權杖來執行 SSO。
  5. BIG-IP 會針對使用者唯一識別碼 (UID) 屬性執行 LDAP 查詢。
  6. BIG-IP 會將傳回的 UID 屬性作為 Oracle EBS 工作階段 Cookie 要求中的 user_orclguid 標頭插入至 Oracle AccessGate。
  7. Oracle AccessGate 會根據 OID 服務驗證 UID,並發出 Oracle EBS 存取 Cookie。
  8. Oracle EBS 使用者標頭和 Cookie 已傳送至應用程式,並將承載傳回給使用者。

必要條件

您需要下列元件:

  • Azure 訂用帳戶
  • 雲端應用程式系統管理員或應用程式系統管理員角色。
  • BIG-IP 或在 Azure 中部署 BIG-IP 虛擬版本 (VE)
  • 下列任一個 F5 BIG-IP 授權 SKU:
    • F5 BIG-IP® Best 套件組合
    • F5 BIG-IP Access Policy Manager™ (APM) 獨立授權
    • BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) 上的 F5 BIG-IP Access Policy Manager™ (APM) 附加元件授權
    • 90 天 BIG-IP 完整功能試用版。 請參閱免費試用版
  • 從內部部署目錄同步至 Microsoft Entra ID 的使用者身分識別
  • 用來透過 HTTPS 發佈服務的 SSL 憑證,或在測試時使用預設的憑證
  • Oracle EBS、Oracle AccessGate 及已啟用 LDAP 的 Oracle 網際網路資料庫 (OID)

BIG-IP 設定方法

本教學課程使用引導式設定 v16.1 簡易按鈕範本。 使用「簡單按鈕」,管理員就不需要再來回切換,以啟用適用於 SHA 的服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 此整合可確保應用程式支援身分識別同盟、SSO 及條件式存取,進而降低系統管理負擔。

注意

請以您環境中的字串或值取代範例字串或值。

註冊簡單按鈕

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

在用戶端或服務存取 Microsoft Graph 之前,Microsoft 身分識別平台必須信任它。

深入瞭解:快速入門:向 Microsoft 身分識別平台註冊應用程式

建立租用戶應用程式註冊,為簡單按鈕授權存取 Graph。 BIG-IP 會推送組態,以建立 SAML SP 執行個體與已發行應用程式的之間的信任,並將 Microsoft Entra ID 作為 SAML IdP。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[應用程式]>[應用程式註冊]>[新增註冊]

  3. 輸入 [應用程式名稱]。 例如,F5 BIG-IP 簡單按鈕。

  4. 指定誰可以使用應用程式 > [僅此組織目錄中的帳戶]

  5. 選取註冊

  6. 瀏覽至 API 權限

  7. 授權下列 Microsoft Graph 應用程式權限

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. 為您的組織授與管理員同意。

  9. 移至 [憑證和秘密]

  10. 產生新的用戶端密碼。 記下用戶端密碼。

  11. 移至概觀。 記下用戶端識別碼和租用戶識別碼。

設定 [簡易] 按鈕

  1. 起始 APM 引導式設定

  2. 啟動簡易按鈕範本。

  3. 瀏覽至 Access> 引導式設定 >Microsoft 整合

  4. 選取 [Microsoft Entra 應用程式]

  5. 檢閱設定選項。

  6. 選取 [下一步]。

  7. 使用圖形來協助發佈您的應用程式。

    圖形的螢幕擷取畫面,指出設定區域。

組態屬性

[設定屬性] 索引標籤會建立 BIG-IP 應用程式設定和 SSO 物件。 Azure 服務帳戶詳細資料 區段代表您在 Microsoft entra 租用戶中註冊的應用程式型用戶端。 透過這些設定,BIG-IP OAuth 用戶端會在租用戶中註冊 SAML SP,並具有 SSO 屬性。 簡單按鈕會為針對 SHA 發佈並啟用的 BIG-IP 服務執行此動作。

若要減少時間和精力,請重複使用全域設定來發佈其他應用程式。

  1. 輸入設定名稱
  2. 針對單一登入 (SSO) 和 HTTP 標頭,選取 [On]
  3. 針對租使用者識別碼、用戶端識別碼客戶端密碼輸入您在簡易按鈕用戶端註冊期間所注意到的內容。
  4. 確認 BIG-IP 連線至您的租用戶。
  5. 選取 [下一步]。

服務提供者

針對受保護應用程式的 SAML SP 執行個體屬性使用服務提供者設定。

  1. 針對主機,輸入應用程式的公用 FQDN。

  2. 針對實體識別碼,輸入用於要求權杖之 SAML SP 的識別碼 Microsoft Entra ID。

    服務提供者輸入和選項的螢幕擷取畫面。

  3. (選擇性) 在 [安全性設定]中,選取或清除 [啟用加密判斷提示] 選項。 加密 Microsoft Entra ID 與 BIG-IP APM 之間的判斷提示表示無法攔截內容權杖,也無法攔截個人或公司資料遭到入侵。

  4. 從 [判斷提示解密私密金鑰] 清單中,選取 [新建]

    [判斷提示解密私密金鑰] 下拉式清單中 [建立新選項] 的螢幕擷取畫面。

  5. 選取 [確定]。

  6. [匯入 SSL 憑證和金鑰] 對話方塊會在新的索引標籤中出現。

  7. 選取 [PKCS 12 (IIS)]

  8. 憑證和私密金鑰會匯入。

  9. 關閉瀏覽器索引標籤以返回主要索引標籤。

    [匯入類型]、[憑證與金鑰名稱] 及 [密碼] 輸入的螢幕擷取畫面。

  10. 選取 [啟用加密的判斷提示]

  11. 若要啟用加密,請從 [判斷提示解密私密金鑰] 清單中,選取憑證私密金鑰 BIG-IP APM 用來解密Microsoft Entra 判斷提示。

  12. 如需啟用加密,請從判斷提示解密憑證清單中,選取憑證 BIG-IP 上傳至 Microsoft Entra ID,以加密所發出的 SAML 判斷提示。

    [判斷提示解密私密金鑰] 和 [判斷提示解密憑證] 的所選憑證螢幕擷取畫面。

Microsoft Entra ID

Easy Button 具有 Oracle PeopleSoft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 及一般 SHA 範本的應用程式範本。 下列螢幕擷取畫面是 Azure 設定下的 Oracle E-Business Suite 選項。

  1. 選取 [Oracle E-Business Suite]
  2. 選取 [新增]。

Azure 設定

  1. 輸入 BIG-IP 在您 Microsoft Entra 租用戶中所建立應用程式的 [顯示名稱],以及在 MyApps 上的圖示。

  2. 在 [登入 URL (選擇性)] 中,輸入 EBS 應用程式公用 FQDN。

  3. 輸入 Oracle EBS 首頁的預設路徑。

  4. 在 [簽署金鑰] 和 [簽署憑證]旁邊,選取重新整理圖示。

  5. 找出您匯入的憑證。

  6. 簽署金鑰複雜密碼中,請輸入憑證密碼。

  7. (選擇性) 啟用簽署選項。 此選項可確保 BIG-IP 接受由 Microsoft Entra ID 簽署的權杖和宣告。

    簽署金鑰、簽署憑證及簽署金鑰複雜密碼的選項和項目螢幕擷取畫面。

  8. 針對使用者和使用者群組,請新增使用者或群組進行測試,否則會拒絕所有存取。 使用者和使用者群組會從您的 Microsoft Entra 租用戶動態查詢,並授權對應用程式的存取權限。

    [使用者和使用者群組] 下方 [新增] 選項的螢幕擷取畫面。

使用者屬性與宣告

當使用者進行驗證時,Microsoft Entra ID 發出 SAML 權杖,其中包含識別使用者的預設宣告和屬性。 [使用者屬性與宣告] 索引標籤會針對新應用程式發出的預設宣告。 使用此區域來設定更多宣告。 如有需要,請新增 Microsoft Entra 屬性,但 Oracle EBS 案例需要預設屬性。

使用者屬性和宣告的選項和項目螢幕擷取畫面。

其他使用者屬性

[其他使用者屬性] 索引標籤會支援分散式系統,而這些系統需要目錄中所儲存的屬性來進行工作階段增強。 您可以插入擷取自 LDAP 來源的屬性作為更多 SSO 標頭,以根據角色、合作夥伴識別碼等來控制存取。

  1. 啟用 [進階設定] 選項。

  2. 核取 [LDAP 屬性] 核取方塊。

  3. 在 [選擇驗證伺服器] 中,選取 [新建]

  4. 根據您的設定,選取 [使用集區] 或目標 LDAP 服務伺服器位址的 [直接]伺服器連線模式。 針對單一 LDAP 伺服器,選取 [直接]

  5. 針對服務連接埠,輸入 3060 (預設值)、3161 (安全) 或 Oracle LDAP 服務的另一個連接埠。

  6. 輸入基底搜尋 DN。 使用辨別名稱 (DN) 來搜尋目錄中的群組。

  7. 針對 Admin DN,輸入帳戶辨別名稱 APM 用來驗證 LDAP 查詢。

  8. 針對系統管理員密碼,請輸入密碼。

    [其他使用者屬性] 的選項和項目的螢幕擷取畫面。

  9. 保留預設 [LDAP 結構描述屬性]

    LDAP 結構描述屬性的螢幕擷取畫面

  10. 在 [LDAP 查詢屬性]下,針對 [搜尋 Dn] 輸入使用者物件搜尋的 LDAP 伺服器基底節點。

  11. 針對必要屬性,請輸入要從 LDAP 目錄傳回的使用者物件屬性名稱。 針對 EBS,預設值為 orclguid

    LDAP 查詢屬性的項目和選項螢幕擷取畫面

條件式存取原則

條件式存取原則會根據裝置、應用程式、位置及風險訊號來控制存取。 原則會在 Microsoft Entra 預先驗證之後強制執行。 [可用的原則] 檢視具有沒有使用者動作的條件式存取原則。 [選取的原則] 檢視具有雲端應用程式的原則。 您無法取消選取這些原則,或將它們移至 [可用的原則],因為它們會在租用戶層級強制執行。

若要選取要發行之應用程式的原則:

  1. 在 [可用的原則] 中,選取原則。

  2. 選取 [向右鍵]

  3. 將原則移至 [選取的原則]

    注意

    已針對某些原則選取 [包含] 或 [排除] 選項。 如果同時核取這兩個選項,則取消強制執行該原則。

    針對四個原則選取 [排除] 選項的螢幕擷取畫面。

    注意

    選取 [條件式存取原則] 索引標籤,並顯示原則清單。 選取 [重新整理],精靈會查詢您的租用戶。 已部署應用程式的重新整理隨即出現。

虛擬伺服器屬性

虛擬伺服器是一種 BIG-IP 資料平面物件,由接聽應用程式用戶端要求的虛擬 IP 位址表示。 收到的流量都會根據與虛擬伺服器相關聯的 APM 設定檔進行處理和評估。 然後,流量會根據原則進行導向。

  1. 輸入目的地位址、IPv4 或 IPv6 位址 BIG-IP 用來接收用戶端流量。 請確定 DNS 中的對應記錄,讓用戶端能夠將 BIG-IP 已發佈應用程式的外部 URL 解析為 IP。 使用測試電腦 localhost DNS 進行測試。

  2. 針對 [服務連接埠],輸入 443,然後選取 [HTTPS]

  3. 選取 [啟用重新導向連接埠]

  4. 針對 [重新導向轉接連接埠],輸入 80 並選取 [HTTP]。 此動作會將傳入的 HTTP 用戶端流量重新導向至 HTTPS。

  5. 選取您建立的用戶端 SSL 設定檔,或保留預設值進行測試。 用戶端 SSL 設定檔會啟用 HTTPS 的虛擬伺服器。 用戶端連線會透過 TLS 加密。

    虛擬伺服器屬性的選項和選取項目的螢幕擷取畫面。

集區屬性

[應用程式集區] 索引標籤具有 BIG-IP、具有一或多個應用程式伺服器的集區後方服務。

  1. 從 [選取集區],選取 [新建],或選取其他選項。

  2. 針對 [負載平衡方法],選取 [循環配置資源]

  3. 在 [集區伺服器] 下,選取並輸入裝載 Oracle EBS 的伺服器 [IP 位址/節點名稱] 和 [連接埠]

  4. 選取 [HTTPS]

    集區屬性的選項和選取項目的螢幕擷取畫面

  5. 在 [存取閘道集區] 下,確認 Access Gate Subpath

  6. 針對 [集區伺服器],選取並輸入裝載 Oracle EBS 的伺服器 [IP 位址/節點名稱] 和 [連接埠]

  7. 選取 [HTTPS]

    [存取閘道集區] 選項和項目的螢幕擷取畫面。

單一登入和 HTTP 標頭

[簡單按鈕精靈] 支援 Kerberos、OAuth 持有人和 HTTP 授權標頭,以對已發佈應用程式進行 SSO。 Oracle EBS 應用程式需要標頭,因此啟用 HTTP 標頭。

  1. 單一登入和 HTTP 標頭上,選取 [HTTP 標頭]

  2. 針對標頭作業,選取 [取代]

  3. 針對 標頭名稱,輸入 [USER_NAME]

  4. 針對標頭值,輸入 %{session.sso.token.last.username}

  5. 針對標頭作業,選取 [取代]

  6. 針對標頭名稱,輸入 USER_ORCLGUID

  7. 針對標頭值,輸入 %{session.ldap.last.attr.orclguid}

    標頭作業、標頭名稱及標頭值的項目和選取項目的螢幕擷取畫面。

    注意

    大括弧內的 APM 工作階段變數會區分大小寫。

工作階段管理

使用 BIG-IP 工作階段管理來定義使用者工作階段終止或接續的條件。

若要深入瞭解,請移至 support.f5.com 獲取 K18390492:安全性 | BIG-IP APM 操作指南

單一登出 (SLO) 功能可確保 IdP、BIG-IP 及使用者代理程式之間的工作階段會在使用者登出時終止。當您的 [簡易] 按鈕在您的 Microsoft Entra 租用戶中具現化 SAML 應用程式時,它會將 APM SLO 端點填入登出 URL。 因此,IdP 從 MyApps 入口網站起始的登出會終止 BIG-IP 與用戶端之間的工作階段。

請參閱,Microsoft 我的應用程式

已發佈應用程式的 SAML 同盟中繼資料會從租用戶匯入。 此操作為 APM 提供 Microsoft Entra ID 的 SAML 登出端點。 然後,SP 起始的登出會終止用戶端和 Microsoft Entra 工作階段。 確定 APM 知道使用者何時登出。

如果您使用 BIG-IP Webtop 入口網站來存取已發佈的應用程式,APM 會處理登出程序,以呼叫 Microsoft Entra 登出端點。 如果您未使用 BIG-IP Webtop 入口網站,用戶就無法指示 APM 登出。如果使用者登出應用程式,則 BIG-IP 無法察覺該動作。 確定 SP 起始的登出觸發程式會終止安全工作階段。 將 SLO 函式新增至應用程式登出按鈕,將用戶端重新導向至 Microsoft Entra SAML 或 BIG-IP 登出端點。 在 [應用程式註冊 > 端點] 中尋找租用戶的 SAML 登出端點 URL。

若無法變更應用程式,請讓 BIG-IP 接聽應用程式登出呼叫,然後觸發 SLO。

深入了解:

部署

  1. 選取 [部署] 來認可設定。
  2. 確認應用程式出現在租用戶企業應用程式清單中。

Test

  1. 從瀏覽器連線到 Oracle EBS 應用程式外部 URL,或選取[我的應用程式] 中的應用程式圖示。
  2. 對 Microsoft Entra ID 進行驗證。
  3. 系統會將您重新導向至應用程式的 BIG-IP 虛擬伺服器,並透過 SSO 登入。

為了提高安全性,請封鎖直接應用程式存取,藉此強制執行透過 BIG-IP 的路徑。

進階部署

有時候,引導式設定範本缺乏需求彈性。

深入瞭解:教學課程:針對標頭型 SSO 設定 F5 BIG-IP 的存取原則管理員

手動變更組態

或者,在 BIG-IP 中,停用引導式設定嚴格管理模式以手動變更設定。 精靈範本會將大部分組態自動化。

  1. 瀏覽至 [存取 > 引導式設定]

  2. 在應用程式設定的資料列右側,選取掛鎖圖示。

    掛鎖圖示的螢幕擷取畫面

停用嚴格模式之後,您無法使用精靈進行變更。 不過,與已發佈應用程式執行個體相關聯的 BIG-IP 物件會解除鎖定以進行管理。

注意

如果您重新啟用 strict 模式,新的組態會覆寫在沒有引導式設定的情況下執行的設定。 我們建議用於生產服務的進階設定方法。

疑難排解

請使用下列指示來針對問題進行疑難排解。

增加記錄詳細程度

使用 BIG-IP 記錄來隔離與連線能力、SSO、原則違規或變數對應設定錯誤的問題。 提高記錄詳細程度層級。

  1. 導覽至 [存取原則] > [概觀] > [事件記錄檔]
  2. 選取設定
  3. 選取已發佈應用程式的資料列。
  4. 選取 [編輯] > [存取系統記錄]
  5. 從 SSO 清單中,選取 [偵錯]
  6. 選取 [確定]。
  7. 重現問題。
  8. 檢查記錄。

還原設定變更,因為詳細資訊模式會產生過多的資料。

BIG-IP 錯誤訊息

如果 BIG-IP 錯誤出現在 Microsoft Entra 預先驗證之後,則問題可能與 Microsoft Entra ID 和 BIG-IP SSO 有關。

  1. 瀏覽至 Access > 概觀。
  2. 選取 [存取報告]
  3. 執行過去一小時的報告。
  4. 檢閱記錄以取得線索。

使用工作階段檢視工作階段連結,確認 APM 收到預期的Microsoft Entra 宣告。

沒有 BIG-IP 錯誤訊息

如果沒有顯示 BIG-IP 錯誤頁面,則問題可能與後端要求或 BIG-IP 和應用程式 SSO 相關。

  1. 瀏覽至存取原則 > 概觀
  2. 選取 [作用中工作階段]
  3. 選取作用中工作階段的連結。

使用檢視變數連結來調查 SSO 問題,特別是當 BIG-IP APM 無法從 Microsoft Entra ID 或其他來源取得正確的屬性時。

深入了解:

驗證 APM 服務帳戶

使用下列 bash 殼層命令來驗證 LDAP 查詢的 APM 服務帳戶。 命令會驗證和查詢使用者物件。

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

深入了解: