共用方式為


教學課程:設定 F5 BIG-IP Easy Button 以便 SSO 至 Oracle PeopleSoft

在本文中,瞭解如何使用 Microsoft Entra ID 保護 Oracle PeopleSoft (PeopleSoft),並搭配 F5 BIG-IP Easy Button Guided Configuration 16.1。

整合 BIG-IP 與 Microsoft Entra ID,以取得許多優點:

深入了解:

案例描述

在本教學課程中,使用 HTTP 授權標頭來管理受保護內容的存取權的 PeopleSoft 應用程式。

舊版應用程式缺少新式通訊協定,可支援 Microsoft Entra ID 整合。 現代化成本高昂,需要規劃,並帶來潛在的停機時間風險。 相反地,使用 F5 BIG-IP 應用程式傳遞控制器 (ADC) 來橋接舊版應用程式與新式識別碼控制之間的差距,並轉換通訊協定。

在應用程式前面使用 BIG-IP,您可以使用 Microsoft Entra 預先驗證和標頭型 SSO 來重疊服務。 此動作可改善應用程式的安全性狀態。

注意

使用 Microsoft Entra 應用程式 Proxy 來遠端存取這種類型的應用程式。
請參閱,透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署的應用程式

案例架構

本教學課程的安全混合式存取 (SHA) 解決方案具有下列元件:

  • PeopleSoft 應用程式 - 由 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
  • Microsoft Entra ID - 安全性聲明標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取,以及對 BIG-IP 的 SAML 型 SSO
    • 透過 SSO,Microsoft Entra ID 提供 BIG-IP 的工作階段屬性
  • BIG-IP - 應用程式的反向 Proxy 和 SAML 服務提供者 (SP)。 它會將驗證委派給 SAML IdP,然後將標頭型 SSO 委派給 PeopleSoft 服務。

在此案例中,SHA 支援由 SP 和 IdP 起始的流程。 下圖說明 SP 起始的流程。

使用 SP 起始流程的安全混合式存取圖表。

  1. 使用者會連線到應用程式端點 (BIG-IP)。
  2. BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)。
  3. Microsoft Entra 會預先驗證使用者,並套用條件式存取原則。
  4. 使用者會重新導向至 BIG-IP (SAML SP),且 SSO 發生於已發行的 SAML 權杖。
  5. BIG-IP 會在應用程式的要求中插入 Microsoft Entra 屬性作為標頭。
  6. 應用程式會授權要求並傳回承載。

必要條件

BIG-IP 設定

本教學課程使用引導式設定 16.1 搭配簡易按鈕範本。

使用 [簡易] 按鈕時,系統管理員不會在 Microsoft Entra ID 與 BIG-IP 之間切換,以啟用 SHA 服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 此整合可確保應用程式支援身分識別同盟、SSO 及條件式存取。

注意

將本教學課程中的範例字串或值取代為您環境中的字串或值。

註冊簡單按鈕

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

在用戶端或服務存取 Microsoft Graph 之前,Microsoft 身分識別平台必須信任它。

深入瞭解:快速入門:向 Microsoft 身分識別平台註冊應用程式

下列指示可協助您建立租用戶應用程式註冊,以授權簡單按鈕存取圖表。 有了這些權限,BIG-IP 會推送組態,以建立SAML SP 實例與已發行應用程式的之間的信任,並將 Microsoft Entra ID 作為 SAML IdP。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[應用程式]>[應用程式註冊] > [新增註冊]

  3. 輸入 [應用程式名稱]

  4. 針對此組織目錄中帳戶,請指定誰使用應用程式。

  5. 選取註冊

  6. 瀏覽至 API 權限

  7. 授權下列 Microsoft Graph 應用程式權限

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. 授與系統管理員同意您的組織。

  9. 移至 [憑證和秘密]

  10. 產生新的用戶端密碼並記下它。

  11. 移至 [概觀],並記下 [用戶端識別碼] 和 [租用戶識別碼]

設定 [簡易] 按鈕

  1. 起始 APM 引導式設定。
  2. 啟動簡易按鈕範本。
  3. 瀏覽至 [存取] > [引導式設定]
  4. 選取 [Microsoft 整合]
  5. 選取 [Microsoft Entra 應用程式]
  6. 檢閱設定順序。
  7. 選取下一個
  8. 遵循設定順序。

[Microsoft Entra Application Configuration] 底下的設定順序螢幕擷取畫面。

組態屬性

使用 [設定屬性] 索引標籤來建立新的應用程式組態和 SSO 物件。 Azure 服務帳戶詳細資料區段代表您在 Microsoft entra 租用戶中註冊的應用程式型用戶端。 使用 BIG-IP OAuth 客戶端的設定,使用 SSO 屬性在租用戶中註冊 SAML SP。 簡單按鈕會為針對 SHA 發佈並啟用的 BIG-IP 服務執行此動作。

注意

下列部分設定是全域設定。 您可以重複使用它們來發佈更多應用程式。

  1. 輸入設定名稱。 唯一名稱有助於區分組態。
  2. 針對單一登入 (SSO) 和 HTTP 標頭,選取 [On]
  3. 輸入租用戶識別碼、用戶端識別碼,以及您注意到的客戶端密碼
  4. 確認 BIG-IP 連線至租用戶。
  5. 選取 [下一步]

服務提供者

使用服務提供者設定,為代表 SHA 安全應用程式的 APM 執行個體定義 SAML SP 屬性。

  1. 針對主機,輸入安全應用程式的公用 FQDN。
  2. 針對實體識別碼,輸入 Microsoft Entra ID 使用此識別碼來識別要求權杖的 SAML SP。

服務提供者的螢幕擷取畫面選項和選取項目。

  1. (選擇性) 針對安全性設定來指出發出 SAML 判斷提示的 Microsoft Entra ID 加密。 此選項會增加保證不會攔截內容權杖,也不會遭到資料入侵。

  2. 從 [判斷提示解密私密金鑰] 清單中,選取 [新建]

[判斷提示解密私密金鑰] 清單中的 [新建] 螢幕擷取畫面。

  1. 選取 [確定]。
  2. [匯入 SSL 憑證和金鑰] 對話方塊會在新的索引標籤中出現。
  3. 針對匯入類型,請選取 PKCS 12 (IIS)。 這個選項會匯入您的憑證和私密金鑰。
  4. 關閉瀏覽器索引標籤以返回主要索引標籤。

[SSL 憑證和金鑰來源] 的選項和選取項目的螢幕擷取畫面

  1. 針對 [啟用加密判斷提示],核取此方塊。
  2. 如果您已啟用加密,從 [判斷提示解密私密金鑰] 清單中選取您的憑證。 這是 BIG-IP APM 用來解密 Microsoft Entra 判斷提示的憑證私密金鑰。
  3. 如果您已啟用加密,從 [判斷提示解密憑證] 清單中選取您的憑證。 BIG-IP 會將此憑證上傳至 Microsoft Entra ID,將發行的 SAML 判斷提示加密。

[安全性設定] 的螢幕擷取畫面選項和選取項目。

Microsoft Entra ID

Easy Button 具有 Oracle PeopleSoft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 及一般 SHA 範本的範本。

  1. 選取 [Oracle PeopleSoft]
  2. 選取 [新增]。

Azure 設定

  1. 針對租使用者中建立的應用程式 BIG-IP,輸入顯示名稱。 名稱會出現在我的應用程式中的圖示上。

  2. (選擇性) 如需登入 URL 輸入 PeopleSoft 應用程式公用 FQDN。

  3. 在 [簽署金鑰] 和 [簽署憑證]旁邊,選取 [重新整理]。 此動作會找出您匯入的憑證。

  4. 如需 簽署金鑰複雜密碼,請輸入憑證密碼。

  5. (選擇性) 針對 [簽署選項],請選取選項。 此選取項目可確保 BIG-IP 接受由 Microsoft Entra ID 簽署的權杖和宣告。

[SAML 簽署憑證] 下方 [簽署金鑰]、[簽署憑證] 和 [簽署金鑰複雜密碼] 的螢幕擷取畫面。

  1. 使用者和使用者群組會從 Microsoft Entra 租用戶動態查詢。
  2. 新增用於測試的使用者或群組,否則存取會被拒絕。

[使用者和使用者群組] 下方 [新增] 選項的螢幕擷取畫面。

使用者屬性與宣告

當使用者進行驗證時,Microsoft Entra ID 發出 SAML 權杖,其中包含識別使用者的預設宣告和屬性。 [使用者屬性與宣告] 索引標籤會針對新應用程式發出的預設宣告。 使用其來設定更多宣告。 Easy Button 範本具有 PeopleSoft 所需的員工識別碼宣告。

使用者屬性和宣告選項的螢幕擷取畫面。

如有需要,請包含其他 Microsoft Entra 屬性。 範例 PeopleSoft 應用程式需要預先定義的屬性。

其他使用者屬性

[其他使用者屬性] 索引標籤會支援分散式系統,而這些系統需要其他目錄中所儲存的屬性來進行工作階段增強。 您可以插入自 LDAP 來源的屬性作為更多 SSO 標頭,以根據角色、合作夥伴識別碼等來控制存取。

注意

這項功能與 Microsoft Entra ID 沒有關聯;它是另一個屬性來源。

條件式存取原則

條件式存取原則會在 Microsoft Entra 預先驗證後強制執行,以根據裝置、應用程式、位置和風險訊號來控制存取。 [可用的原則] 檢視具有沒有使用者動作的條件式存取原則。 [選取的原則] 檢視具有以雲端應用程式為目標的原則。 您無法取消選取或將這些原則移至 [可用的原則] 清單,因為它們會在租用戶層級強制執行。

選取應用程式的原則。

  1. [可用原則] 清單中選取原則。
  2. 選取向右鍵,並將原則移至 選取的原則

選取的原則已核取 [包含] 或 [排除] 選項。 如果同時核取這兩個選項,則不會強制執行原則。

[條件式存取原則] 索引標籤上 [選取的原則] 下已排除原則的螢幕擷取畫面。

注意

當您選取索引標籤時,原則清單會出現一次。使用重新整理精靈來查詢租用戶。 這個選項會出現在部署應用程式之後。

虛擬伺服器屬性

虛擬伺服器是一種以虛擬 IP 位址表示的 BIG-IP 資料平面物件。 伺服器會接聽用戶端對應用程式的要求。 接收的流量會根據虛擬伺服器 APM 設定檔進行處理和評估。 然後,流量會根據原則進行導向。

  1. 針對目的地位址,輸入 IPv4 或 IPv6 位址 BIG-IP 用來接收用戶端流量。 DNS 中會出現對應的記錄,可讓用戶端將已發佈應用程式的外部 URL 解析為 IP。 使用測試電腦 localhost DNS 進行測試。
  2. 針對 [服務連接埠],輸入 443 並選取 [HTTPS]
  3. 針對 [啟用重新導向轉接連接埠] ,請核取此方塊。
  4. 針對 [重新導向轉接連接埠],輸入 80 並選取 [HTTP]。 此選項會將傳入的 HTTP 用戶端流量重新導向至 HTTPS。
  5. 針對用戶端 SSL 設定檔,選取 [使用現有的]
  6. 在 [一般] 下選取您所建立的選項。 如果測試,請保留預設值。 用戶端 SSL 設定檔會啟用適用 HTTPS 的虛擬伺服器,因此可以透過 TLS 加密用戶端連線。

虛擬伺服器屬性的選項和選取項目的螢幕擷取畫面。

集區屬性

[應用程式集區] 索引標籤會將受 BIG-IP 保護的服務,而這些服務以應用程式伺服器的集區表示。

  1. 針對 [選取集區],請選取 [新建],或選取一個。
  2. 針對 [負載平衡方法],選取 [循環配置資源]
  3. 針對 [集區伺服器],請在 [IP 位址/節點名稱] 中選取節點,或輸入裝載 PeopleSoft 應用程式之伺服器的 IP 和連接埠。

[集區屬性] 上 [IP 位址/節點名稱和連接埠] 選項的螢幕擷取畫面。

單一登入和 HTTP 標頭

[簡單按鈕精靈] 支援 Kerberos、OAuth 持有人和 HTTP 授權標頭,以對已發佈應用程式進行 SSO。 PeopleSoft 應用程式需要標頭。

  1. 針對 HTTP 標頭,核取此方塊。
  2. 針對標頭作業,選取 [取代]
  3. 針對標頭名稱,輸入 PS_SSO_UID
  4. 針對標頭值,輸入 %{session.sso.token.last.username}

[單一登入與 HTTP 標頭] 底下的 [標頭作業]、[標頭名稱] 及 [標頭] 值項目的螢幕擷取畫面。

注意

大括弧內的 APM 工作階段變數會區分大小寫。 例如,如果您輸入 OrclGUID,而且屬性名稱為 orclguid,則屬性對應會失敗。

工作階段管理

使用 BIG-IP 工作階段管理設定來定義使用者工作階段終止或接續的條件。 設定使用者和 IP 位址的限制,以及對應的使用者資訊。

若要深入瞭解,請移至 support.f5.com 獲取 K18390492:安全性 | BIG-IP APM 操作指南

作業指南中未涵蓋單一註銷 (SLO) 功能,可確保當使用者登出時,IdP、BIG-IP 及使用者代理程式工作階段會終止。當 [簡易] 按鈕在 Microsoft Entra 租用戶中具現化 SAML 應用程式時,它會將 APM SLO 端點填入登出 URL。 從我的應用程式起始的 IdP 起始登出會終止 BIG-IP 和用戶端工作階段。

已發佈的應用程式 SAML 同盟資料會從租用戶匯入。 此動作會為 APM 提供 SAML 登出端點,以取得 Microsoft Entra ID,以確保 SP 起始的登出會終止用戶端和 Microsoft Entra 工作階段。 APM 需要知道使用者何時登出。

當使用 BIG-IP Webtop 入口網站存取已發佈的應用程式時,APM 會處理登出程序,以呼叫 Microsoft Entra 登出端點。 如果未使用 BIG-IP Webtop 入口網站,使用者就無法指示 APM 登出。如果使用者登出應用程式,BIG-IP 也毫無警示。 SP 起始的登出需要安全的工作階段終止。 將 SLO 函式新增至您的應用程式 [登出]按鈕,將用戶端重新導向至 Microsoft Entra SAML 或 BIG-IP 登出端點。 [應用程式註冊 > 端點] 中的租用戶的 SAML 登出端點 URL。

如果您無法變更應用程式,請考慮讓 BIG-IP 接聽應用程式登出呼叫,並觸發 SLO。 如需詳細資訊,請參閱下一節中的 PeopleSoft 單一登出

部署

  1. 選取部署
  2. 確認企業應用程式租用戶清單中的應用程式。
  3. 應用程式是透過 SHA 發行和存取。

設定 PeopleSoft

使用 Oracle Access Manager 進行 PeopleSoft 應用程式身分識別和存取管理。

若要深入瞭解,請取得適用於 Oracle Access Manger 整合指南的 o docs.oracle.com,整合 PeopleSoft

設定 Oracle Access Manager SSO

設定 Oracle 存取管理員以接受 BIG-IP 的 SSO。

  1. 使用系統管理員權限登入 Oracle 主控台。

Oracle 控制台的螢幕擷取畫面。

  1. 瀏覽至 PeopleTools > Security
  2. 選取使用者設定檔
  3. 選取使用者設定檔
  4. 建立新使用者設定檔。
  5. 針對 [使用者識別碼],輸入 OAMPSFT
  6. 針對 [使用者角色],輸入 PeopleSoft User
  7. 選取 [儲存]
  8. 瀏覽至 [People Tools]>[Web Profile]
  9. 選取 Web 設定檔。
  10. 在 [安全性] 索引標籤的 [公用使用者] 中,選取 [允許公用存取]
  11. 針對 [使用者識別碼],輸入 OAMPSFT
  12. 輸入 [密碼]
  13. 離開 Peoplesoft 主控台。
  14. 啟動 PeopleTools 應用程式設計工具
  15. 以滑鼠右鍵按一下 [LDAPAUTH] 欄位。
  16. 選取 [檢視 PeopleCode]

應用程式設計工具下 LDAPAUTH 選項的螢幕擷取畫面。

  1. LDAPAUTH 程式碼視窗隨即開啟。

  2. 找出 OAMSSO_AUTHENTICATION 功能。

  3. &defaultUserId 值取代為 OAMPSFT

    預設使用者識別碼值等於 [函式] 底下的 OAMPSFT 螢幕擷取畫面。

  4. 儲存記錄。

  5. 瀏覽至 **PeopleTools > Security。

  6. 選取 [安全性物件]

  7. 選取 [登入 PeopleCode]

  8. 啟用 OAMSSO_AUTHENTICATION

PeopleSoft 單一登出

當您登出我的應用程式時,會起始 PeopleSoft SLO,進而呼叫 BIG-IP SLO 端點。 BIG-IP 需要指示來代表應用程式執行 SLO。 讓 BIG-IP 接聽使用者向 PeopleSoft 登出要求,然後觸發 SLO。

新增 PeopleSoft 使用者的 SLO 支援。

  1. 取得 PeopleSoft 入口網站登出 URL。
  2. 使用網頁瀏覽器開啟入口網站。
  3. 啟用偵錯工具。
  4. 找出具有 PT_LOGOUT_MENU 識別碼的元素。
  5. 使用查詢參數儲存 URL 路徑。 在此範例中為:/psp/ps/?cmd=logout

PeopleSoft 登出 URL 的螢幕擷取畫面。

建立 BIG-IP iRule,將使用者重新導向至 SAML SP 登出端點:/my.logout.php3

  1. 瀏覽至 **本機流量 > iRules 清單。
  2. 選取 建立
  3. 輸入規則名稱
  4. 輸入下列命令列。

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

  1. 選取 [完成]

將 iRule 指派給 BIG-IP 虛擬伺服器。

  1. 瀏覽至 [存取] > [引導式設定]
  2. 選取 PeopleSoft 應用程式設定連結。

PeopleSoft 應用程式設定連結的螢幕擷取畫面。

  1. 從頂端導覽列中,選取 [虛擬伺服器]
  2. 針對 [進階設定],選取 [On]

虛擬伺服器屬性上 [進階設定] 選項的螢幕擷取畫面。

  1. 捲動至底部。
  2. 在 [Common] 下,新增您所建立的 iRule。

[虛擬伺服器設定] 上 [一般] 下方的 irule 螢幕擷取畫面。

  1. 選取 [儲存]。
  2. 選取 [下一步]。
  3. 繼續進行設定。

若要深入瞭解,請移至下列 support.f5.com:

預設為 PeopleSoft 登陸頁面

將使用者要求從根目錄 ("/") 重新導向至外部 PeopleSoft 入口網站,通常位於:"/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL"

  1. 瀏覽至本機流量 > iRule
  2. 選取 [iRule_PeopleSoft]
  3. 新增下列命令列。

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. 將 iRule 指派給 BIG-IP 虛擬伺服器。

確認設定

  1. 使用瀏覽器,移至 PeopleSoft 應用程式外部 URL,或在 [我的應用程式] 中選取應用程式圖示。

  2. 對 Microsoft Entra ID 進行驗證。

  3. 系統會將您重新導向至 BIG-IP 虛擬伺服器,並使用 SSO 登入。

    注意

    您可以封鎖對應用程式的直接存取,藉此強制執行透過 BIG-IP 的路徑。

進階部署

引導式設定範本有時缺乏彈性。

深入瞭解:教學課程:針對標頭型 SSO 設定 F5 BIG-IP 的存取原則管理員

或者,在 BIG-IP 中停用引導式設定嚴格管理模式。 您可以手動變更組態,不過大部分的組態都是使用精靈範本自動化的。

  1. 瀏覽至 [存取] > [引導式設定]
  2. 在資料列結尾,選取掛鎖

掛鎖圖示的螢幕擷取畫面。

您無法使用精靈 UI 進行變更,但與應用程式發行執行個體相關聯的 BIG-IP 物件會解除鎖定以進行管理。

注意

當您重新啟用嚴格模式並部署組態時,會覆寫在引導式設定外部執行的設定。 我們建議用於生產服務的進階設定。

疑難排解

使用 BIG-IP 記錄來隔離與連線能力、SSO、原則違規或變數對應設定錯誤的問題。

記錄詳細程度

  1. 瀏覽至存取原則 > 概觀
  2. 選取 [事件記錄]
  3. 選取設定
  4. 選取已發佈應用程式的資料列。
  5. 選取 [編輯]
  6. 選取 [存取系統記錄]
  7. 從 SSO 清單中,選取 [偵錯]
  8. 選取 [確定]。
  9. 重現您的問題。
  10. 檢查記錄。

完成時,請還原此功能,因為詳細資訊模式會產生大量資料。

BIG-IP 錯誤訊息

如果在 Microsoft Entra 預先驗證之後出現 BIG-IP 錯誤,問題可能與 BIG-IP SSO Microsoft Entra ID 有關。

  1. 瀏覽至 Access > 概觀
  2. 選取 [存取報告]
  3. 執行過去一小時的報告。
  4. 檢閱記錄以取得線索。

使用工作階段的檢視工作階段連結來確認 APM 收到預期的 Microsoft Entra 宣告。

沒有 BIG-IP 錯誤訊息

如果沒有出現 BIG-IP 錯誤訊息,則問題可能與後端要求或 BIG-IP 至應用程式的 SSO 有關。

  1. 瀏覽至存取原則 > 概觀
  2. 選取 [作用中工作階段]
  3. 選取使用中工作階段連結。

使用檢視變數連結來判斷 SSO 問題,特別是當 BIG-IP APM 從工作階段變數取得不正確的屬性時。

深入了解: