البرنامج التعليمي: تكوين الزر السهل BIG-IP لـ F5 لتسجيل الدخول الأحادي إلى Oracle EBS

في هذه المقالة، تعرف على كيفية تأمين Oracle Enterprise Business Suite (EBS) باستخدام Azure Active Directory (Azure AD)، من خلال التكوين الإرشادي BIG-IP Easy Button في F5.

يوفر دمج BIG-IP مع Azure AD العديد من المزايا، بما في ذلك:

للتعرف على جميع المزايا، راجع المقالة حول تكامل F5 BIG-IP و Microsoft Azure Active Directory و ما هو الوصول إلى التطبيق وتسجيل الدخول الأحادي باستخدام Microsoft Azure Active Directory.

وصف السيناريو

هذا السيناريو يلقي نظرة على تطبيق Oracle EBS الكلاسيكي الذي يستخدم عناوين تخويل HTTP للتحكم في الوصول إلى المحتوى المحمي.

كونه إرثًا، يفتقر التطبيق إلى بروتوكولات حديثة لدعم التكامل المباشر مع Microsoft Azure Active Directory. يمكن تحديث التطبيق ولكنه مُكلف ويتطلب تخطيطًا دقيقًا ويُحتمل أن يُسفر عن خطر حدوث تعطل. بدلًا من ذلك، تُستخدم وحدة تحكم تسليم التطبيق F5 BIG-IP لسد الفجوة بين التطبيق القديم ووحدة تحكم المعرّف الحديثة، من خلال نقل البروتوكول.

وجود BIG-IP أمام التطبيق يُمكننا من تراكب الخدمة مع تسجيل الدخول الأحادي المستند إلى العنوان والمصادقة المسبقة من Microsoft Azure Active Directory، ما يحسن الوضع الأمني العام للتطبيق بشكل ملحوظ.

هندسة السيناريو

يتكون حل الوصول المختلط الآمن لهذا السيناريو من عدة مكونات بما في ذلك بنية Oracle متعددة المستويات:

تطبيق Oracle EBS: خدمة BIG-IP المنشورة الواجب على Microsoft Azure Active Directory SHA حمايتها.

Azure AD: موفر هوية (IdP) لغة ترميز تأكيد الأمان (SAML) المسؤول عن التحقق من بيانات اعتماد المستخدم والوصول المشروط (CA) وتسجيل الدخول الأحادي المستند إلى SAML إلى BIG-IP. من خلال تسجيل الدخول الأحادي، Microsoft Azure Active Directory يزود BIG-IP بأي من سمات جلسة العمل المطلوبة.

دليل إنترنت Oracle (OID): يستضيف قاعدة بيانات المستخدم. يتحقق BIG-IP من سمات التخويل عبر LDAP.

Oracle AccessGate: التحقق من صحة سمات التخويل من خلال القناة الخلفية باستخدام خدمة OID، قبل إصدار ملفات تعريف ارتباط الوصول إلى EBS

BIG-IP: عكس الوكيل وموفر خدمة SAML (SP) للتطبيق، وتفويض المصادقة إلى موفر هوية SAML، قبل إجراء تسجيل دخول أحادي مستند إلى العنوان إلى تطبيق Oracle.

يدعم الوصول المختلط الآمن لهذا السيناريو كلاً من التدفقات المبدئية لموفر الخدمة وموفر الهوية. توضح الصورة التالية التدفق الذي بدأه SP.

Secure hybrid access - SP initiated flow

‏‏الخطوات الوصف
1 اتصال المستخدم بنقطة نهاية التطبيق (BIG-IP)
2 نهج الوصول إلى BIG-IP APM يعيد توجيه المستخدم إلى Microsoft Azure Active Directory (موفر هوية SAML)
3 يصادق Microsoft Azure Active Directory المستخدم مسبقاً ويُطبق أي نُهج وصول مشروط مفروضة
4 يُعاد توجيه المستخدم إلى BIG-IP (موفر خدمة SAML) ويُنفذ تسجيل الدخول الأحادي باستخدام الرمز المميز SAML الصادر
5 BIG-IP ينفذ استعلام LDAP للمستخدمين سمة المعرف الفريد (UID)
6 يُدرج BIG-IP سمة المعرّف الفريد للمستخدم المُرجعة كعنوان user_orclguid في طلب ملف تعريف ارتباط جلسة EBS إلى Oracle AccessGate
7 يتحقق Oracle AccessGate من صحة المعرّف الفريد للمستخدم مقابل خدمة دليل إنترنت Oracle (OID) ويُصدر ملفات تعريف ارتباط الوصول إلى EBS
8 يُرسل عناوين مستخدمين EBS وملفات تعريف الارتباط إلى التطبيق ويُرجع الحمولة إلى المستخدم

المتطلبات الأساسية

لا تحتاج إلى خبرة مسبقة في BIG-IP، لكنك ستحتاج إلى:

  • اشتراك مجاني في Azure AD أو أعلى

  • BIG-IP موجود أو توزيع إصدار BIG-IP الظاهري (VE) في Azure

  • أي من وحدات SKU لترخيص F5 BIG-IP التالية

    • F5 BIG-IP® أفضل مجموعة

    • ترخيص مستقل لـ F5 BIG-IP Access Policy Manager™ (APM)

    • لترخيص المكون الإضافيF5 BIG-IP Access Policy Manager™ (APM) علىBIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)

    • ميزة كاملة BIG-IP لمدة 90 يوماً ترخيص تجريبي.

  • تمت مزامنة هويات المستخدمين من دليل محلي إلى Azure AD أو تم إنشاؤها مباشرة داخل Azure AD وتدفقت مرة أخرى إلى الدليل المحلي

  • حساب بأذونات مسؤول تطبيق في Azure AD

  • شهادة SSL للويب لنشر الخدمات عبر HTTPS، أو استخدام شهادات BIG-IP الافتراضية أثناء الاختبار

  • مجموعة Oracle EBS موجودة بما في ذلك Oracle AccessGate وOID التي مكّنها LDAP (قاعدة بيانات إنترنت Oracle)

أساليب تكوين BIG-IP

ثمة العديد من الأساليب لتكوين BIG-IP لهذا السيناريو، بما في ذلك خياران يستندان إلى القالب والتكوين المتقدم. يغطي هذا البرنامج التعليمي أحدث تكوين إرشادي 16.1 يُقدم قالب الزر السهل. باستخدام الزر سهل، لم يعد المسؤولون يتنقلون ذهاباً وإياباً بين Microsoft Azure Active Directory وBIG-IP لتمكين الخدمات من أجل SHA. تُعالج إدارة النهج والتوزيع مباشرة بين معالج التكوين الإرشادي لـ APM و Microsoft Graph. يضمن هذا التكامل الثري بين BIG-IP APM وMicrosoft Azure Active Directory أن التطبيقات يمكنها دعم اتحاد الهوية وتسجيل الدخول الأحادي والوصول المشروط من Microsoft Azure Active Directory بسرعة وسهولة، ما يقلل من تكاليف الإدارة.

ملاحظة

يجب استبدال كافة سلاسل الأمثلة أو القيم المُشار إليها في هذا الدليل مع تلك الخاصة بالبيئة الفعلية.

تسجيل Easy Button

قبل أن يتمكن العميل أو الخدمة من الوصول إلى Microsoft Graph، يجب أن يثق النظام الأساسي للهوية من Microsoft بهما.

هذه الخطوة الأولى بإنشاء تسجيل تطبيق مستأجر سيُستخدم لتخويل وصول Easy Button إلى Graph. من خلال هذه الأذونات، سيُسمح لـ BIG-IP يدفع التكوينات المطلوبة لتأسيس ثقة بين مثيل SAML SP للتطبيق المنشور، وAzure AD باعتباره SAML IdP.

  1. سجّل الدخول إلى مدخل Microsoft Azure Active Directory باستخدام حساب له حقوق إدارية للتطبيق

  2. في جزء التنقل الأيسر، اختر خدمة Azure Active Directory

  3. ضمن إدارة، حدد "تسجيلات التطبيق"> تسجيل جديد

  4. أدخل اسم العرض لتطبيقك. على سبيل المثال، F5 BIG-IP Easy Button

  5. تحديد من يمكنه استخدام التطبيق > الحسابات في هذا الدليل التنظيمي فقط

  6. تحديد التسجيل لإكمال تسجيل التطبيق الأولي

  7. انتقل إلى أذونات API وخوِّل أذونات تطبيق Microsoft Graph التالية:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • المجموعة- قراءة- الكل
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • المستخدم- قراءة- الكل
  8. مَنح موافقة المسؤول لمؤسستك

  9. انتقل إلى الشهادات & الأسرار، أنشئ سر العميلجديد ودونه

  10. انتقل إلى نظرة عامة، ودوّن معرّف العميل ومعرّف المستأجر

تكوين Easy Button

بدء التكوين الإرشادي لـ APM لبدء قالب Easy Button.

  1. انتقل إلى الوصول إلى > التكوين الإرشادي > تكامل Microsoft وحدد تطبيق Microsoft Azure Active Directory.

    Screenshot for Configure Easy Button- Install the template

  2. راجع قائمة خطوات التكوين وحدد "التالي"

    Screenshot for Configure Easy Button - List configuration steps

  3. اتبع تسلسل الخطوات المطلوبة لنشر التطبيق.

    Configuration steps flow

خَصائص التكوين

تُنشئ علامة تبويب خصائص التكوين تكوين تطبيق BIG-IP وكائن تسجيل دخول أحادي. ضع في اعتبارك قسم تفاصيل حساب خدمة Azure لتمثيل العميل الذي سجلته في مستأجر Azure AD خاصتك سابقاً، كتطبيق. تسمح هذه الإعدادات لعميل OAuth لـ BIG-IP بتسجيل SAML SP بشكل فردي مباشرةً في مستأجرك، جنباً إلى جنب مع خصائص تسجيل الدخول الأحادي التي عادةً ما تكونها يدوياً. يقوم Easy Button بعمل ذلك لكل خدمة BIG-IP يتم نشرها وتمكينها للوصول المختلط الآمن.

بعض هذه الإعدادات عمومية، وهكذا يمكن إعادة استخدامها لنشر المزيد من التطبيقات، ما يقلل وقت التوزيع وجهده بشكل أكبر.

  1. أدخل اسم تكوين فريد يُمكّن المسؤول من التمييز بسهولة بين تكوينات الزر السهل

  2. تمكين SSO& عناوين HTTP

  3. أدخل معرف المستأجر، ومعرف العميل، وسر العميل الذي سجلته عند تسجيل عميل Easy Button في المستأجر الخاص بك.

  4. قبل قيامك بتحديد التالي، تأكد من أن BIG-IP يمكنه الاتصال بالمستأجر الخاص بك بنجاح.

     Screenshot for Configuration General and Service Account properties

موفر الخدمة

تُحدد إعدادات موفر الخدمة الخصائص لمثيل SAML SP للتطبيق المحمي من خلال الوصول المختلط الآمن.

  1. أدخل "المضيف". هذا هو FQDN العام للتطبيق الذي يجري تأمينه

  2. أدخل معرف الكيان. هذا هو المعرف الذي سيستخدمه Microsoft Azure Active Directory لتحديد SAML SP الذي يطلب رمزًا مميزًا

    Screenshot for Service Provider settings

    ثم ضمن إعدادات الأمان حدد ما إذا كان يجب على Microsoft Azure Active Directory تشفير تأكيدات SAML الصادرة. يوفر تشفير التأكيدات بين Microsoft Azure Active Directory وBIG-IP APM ضماناً بأنه لا يمكن اعتراض الرموز المميزة للمحتوى، وأنه لا يمكن اختراق البيانات الشخصية أو بيانات الشركة.

  3. من قائمة المفتاح الخاص لفك تشفير التأكيد، حدد إنشاء جديد

    Screenshot for Configure Easy Button- Create New import

  4. حدد "OK". يؤدي ذلك إلى فتح مربع حوار استيراد المفاتيح وشهادة SSL في علامة تبويب جديدة

  5. حدد PKCS 12 (IIS) لاستيراد الشهادة والمفتاح الخاص. بمجرد توفيره، اغلق علامة تبويب المتصفح للعودة إلى علامة التبويب الرئيسية.

    Screenshot for Configure Easy Button- Import new cert

  6. تحقق من تمكين التأكيد المشفر

  7. إذا مكنت التشفير، فحدد شهادتك من قائمة المفتاح الخاص لفك تشفير التأكيد. هذا هو المفتاح الخاص للشهادة التي يستخدمها BIG-IP APM لفك تشفير تأكيدات Microsoft Azure Active Directory

  8. إذا مكنت التشفير، فحدد شهادتك من قائمة شهادة فك تشفير التأكيد. هذه هي الشهادة التي سيُحملها BIG-IP إلى Microsoft Azure Active Directory لتشفير تأكيدات SAML الصادرة.

    Screenshot for Service Provider security settings

Azure Active Directory

يحدد هذا القسم جميع الخصائص التي قد تستخدمها عادةً لتكوين تطبيق BIG-IP SAML جديد يدويًا داخل مستأجر Microsoft Azure Active Directory. يوفر Easy Button مجموعة من قوالب التطبيقات المحددة مسبقاً لـ Oracle PeopleSoft ومجموعة Oracle للأعمال الإلكترونية وOracle JD Edwards وSAP ERP وكذلك قالب الوصول المختلط الآمن العام لأي تطبيقات أخرى. لهذا السيناريو حدد مجموعة Oracle للأعمال الإلكترونية> إضافة.

Screenshot for Azure configuration add BIG-IP application

تكوين Azure

  1. أدخل الاسم المعروض للتطبيق الذي يُنشئه BIG-IP في مستأجر Microsoft Azure Active Directory، والرمز الذي سيراه المستخدمون في مدخل MyApps

  2. في عنوان URL لتسجيل الدخول (اختياري)، أدخل FQDN العام لتطبيق EBS الذي يتم تأمينه، بجانب المسار الافتراضي لصفحة Oracle EBS الرئيسية

    Screenshot for Azure configuration add display info

  3. حدد رمز التحديث بجوار مفتاح التوقيع و شهادة التوقيع لتحديد موقع الشهادة التي قمت باستيرادها سابقًا

  4. أدخل كلمة مرور الشهادة في عبارة مرور مفتاح التوقيع

  5. تمكين خيار التوقيع (اختياري). يضمن هذا أن BIG-IP يقبل فقط الرموز المميزة والمطالبات التي تم توقيعها بواسطة Azure AD

    Screenshot for Azure configuration - Add signing certificates info

  6. يتم الاستعلام عن مجموعات المستخدمين والمستخدمين ديناميكيًا من مستأجر Microsoft Azure Active Directory الخاص بك واستخدامها لتفويض الوصول إلى التطبيق. أضف مستخدمًا أو مجموعة يمكنك استخدامها لاحقًا للاختبار، وإلا فسيتم رفض كل الوصول

    Screenshot for Azure configuration - Add users and groups

سمات المستخدم & المطالبات

عندما يصادق المستخدم بنجاح، يصدر Microsoft Azure Active Directory رمز SAML مع مجموعة افتراضية من المطالبات والسمات التي تحدد المستخدم بشكل فريد. علامة تبويب سمات المستخدم & المطالبات تعرض المطالبات الافتراضية لإصدارها للتطبيق الجديد. كما يتيح لك أن تكون المزيد من المطالبات.

Screenshot for user attributes and claims

يمكنك تضمين سمات Microsoft Azure Active Directory إضافية إذا لزم الأمر، ولكن يتطلب سيناريو Oracle EBS السمات الافتراضية فقط.

سمات المستخدم الإضافية

يمكن أن تدعم علامة التبويب سمات المستخدم الإضافية مجموعة متنوعة من الأنظمة الموزعة التي تتطلب سمات مُخزنة في دلائل أخرى لزيادة الجلسة. يمكن بعد ذلك إدخال السمات التي تم جلبها من مصدر LDAP كعناوين SSO إضافية لمزيد من التحكم في الوصول استنادًا إلى الأدوار ومعرفات الشريك وما إلى ذلك.

  1. قم بتمكين خيار «الإعدادات المتقدمة»

  2. قم بتحديد خانة الاختيار سمات LDAP

  3. اختر إنشاء جديد في اختيار خادم المصادقة

  4. حدد وضع استخدام تجمع أو اتصال الخادم المباشر اعتمادا على الإعداد. يوفر هذا عنوان الخادم لخدمة LDAP الهدف. في حالة استخدام خادم LDAP واحد، اختر مباشر.

  5. أدخل في منفذ الخدمةقيمة 3060 (افتراضي) أو 3161 (آمن) أو أي منفذ آخر تعمل عليه خدمة Oracle LDAP

  6. أدخل بحث DN الأساسي (اسم مميز) للبحث عنه. يُستخدم بحث DN هذا للبحث عن مجموعات عبر دليل بأكمله.

  7. عيّن DN المسؤول إلى الاسم المميز بالضبط للحساب الذي سيستخدمه APM للمصادقة على استعلامات LDAP، مع كلمة المرور الخاصة به

    Screenshot for additional user attributes

  8. اترك كافة سمات مخطط LDAP الافتراضية

    Screenshot for LDAP schema attributes

  9. ضمن خصائص استعلام LDAP، عيّن بحث Dn إلى العقدة الأساسية من خادم LDAP والتي من خلالها يمكن البحث عن كائنات المستخدم

  10. أضف اسم سمة كائن المستخدم التي يجب إرجاعها من دليل LDAP. بالنسبة لـ EBS، الافتراضي هو orclguid

    Screenshot for LDAP query properties.png

نَهج الوصول المشروط

تُفرض نُهج الوصول المشروط بعد المصادقة المسبقة لـ Microsoft Azure Active Directory، للتحكم في الوصول استناداً إلى إشارات الأجهزة والتطبيقات والموقع والمخاطر.

عرض النُهج المتوفرة بشكل افتراضي سوف يسرد كافة نُهج الوصول المشروط التي لا تتضمن إجراءات تستند إلى المستخدم.

تعرض طريقة عرض النُهج المحددة، افتراضياً، كافة النُهج التي تستهدف جميع تطبيقات السحابة. لا يمكن إلغاء تحديد هذه النهج أو نقلها إلى قائمة النهج المتوفرة حيث يتم فرضها على مستوى المستأجر.

لتحديد سياسة يتم تطبيقها على التطبيق الجاري نشره:

  1. حدد السياسة المطلوبة في قائمة السياسات المتاحة

  2. حدد السهم الأيمن وانقله إلى قائمة السياسات المحددة

    يجب تحديد الخيار تضمين أو استبعاد في النُهج المحددة. إذا تم تحديد كلا الخيارين، فلن يُفرض النهج المحدد.

    Screenshot for CA policies

ملاحظة

يتم تعداد قائمة النهج مرة واحدة فقط عند التبديل إلى علامة التبويب هذه لأول مرة. يتوفر زر تحديث لإجبار المعالج يدويًا على الاستعلام عن المستأجر الخاص بك، ولكن يتم عرض هذا الزر فقط عند توزيع التطبيق.

خصائص الخادم الظاهري

الخادم الظاهري هو عنصر مستوى بيانات BIG-IP يتم تمثيله بواسطة عنوان IP ظاهري الذي يستمع لطلبات العملاء إلى التطبيق. تتم معالجة أي حركة مرور مستلمة وتقييمها مقابل ملف تعريف APM المرتبط بالخادم الظاهري، قبل توجيهها وفقًا لنتائج السياسة والإعدادات.

  1. أدخل عنوان الوجهة . هذا هو أي عنوان IPv4/IPv6 متوفر يمكن استخدامها في BIG-IP لتلقي نسبة استخدام الشبكة العميل. يجب أن يوجد سجل مطابق أيضاً في DNS، ما يمكِّن العملاء من حل عنوان URL الخارجي لتطبيق BIG-IP المنشور إلى عنوان IP هذا، بدلاً من التطبيق نفسه. استخدام اختبار localhost DNS للكمبيوتر لأمرٌ جيدٌ للاختبار.

  2. إدخال منفذ الخدمة ك 443 لـ HTTPS

  3. حدد "تمكين منفذ إعادة التوجيه" ثم أدخل "منفذ إعادة التوجيه". يقوم بإعادة توجيه نسبة استخدام الشبكة عميل HTTP الواردة إلى HTTPS

  4. يؤدي "ملف تعريف عميل SSL" إلى تمكين الخادم الظاهري لـ HTTPS، بحيث تُشفَّر اتصالات العميل عبر TLS. حدد ملف تعريف SSL للعميل الذي أنشأته باعتباره جزءاً من المتطلبات المسبقة أو اترك الإعداد الافتراضي أثناء الاختبار

    Screenshot for Virtual server

خصائص التجمع

تعرض علامة التبويب تجمع التطبيقات تفاصيل الخدمات خلف BIG-IP، ممثلة كتجمع يحتوي على خادم تطبيق واحد أو أكثر من خادم.

  1. اختر من تحديد تجمع. إنشاء تجمع جديد أو تحديد تجمع موجود بالفعل

  2. اختر طريقة موازنة التحميل كـ ترتيب دوري

  3. بالنسبة لـ خوادم التجمع حدد عقدة موجودة أو حدد عنوان IP ومنفذاً للخادم الذي يستضيف تطبيق Oracle EBS.

    Screenshot for Application pool

  4. يُحدد تجمع بوابة الوصول خوادم Oracle EBS المُستخدمة لتعيين مستخدم تسجيل دخول أحادي مُصادق لجلسة مجموعة Oracle للأعمال الإلكترونية. تحديث خوادم التجمع مع عنوان IP ومنفذ لخوادم تطبيق Oracle الذي يستضيف التطبيق

    Screenshot for AccessGate pool

تسجيل الدخول الأحادي & عناوين HTTP

يدعم معالج الزر السهل Kerberos والرمز المميز لحامل OAuth وعناوين مصادقة HTTP لخدمة تسجيل الدخول الأحادي للتطبيقات المنشورة. كما يتوقع تطبيق EBS Oracle العناوين، مكّن عناوين HTTP وأدخل الخصائص التالية.

  • عملية العنوان: استبدال

  • اسم العنوان: USER_NAME

  • قيمة العنوان: %{session.sso.token.last.username}

  • عملية العنوان: استبدال

  • اسم العنوان: USER_ORCLGUID

  • قيمة العنوان: %{session.ldap.last.attr.orclguid}

     Screenshot for SSO and HTTP headers

ملاحظة

متغيرات جلسة APM، المعرفة داخل الأقواس المجعدة، حساسة لحالة الأحرف. على سبيل المثال، إذا أدخلت OrclGUID عند تعريف اسم سمة Azure AD لتكون orclguid، سيؤدي ذلك إلى فشل تعيين السمة

إدارة الجلسة

تُستخدم إعدادات إدارة جلسة BIG-IPs لتحديد الشروط التي يتم بها إنهاء جلسات عمل المستخدم أو السماح لها بالمتابعة، وحدود المستخدمين وعناوين IP، ومعلومات المستخدم المطابقة. ارجع إلى وثائق F5 للحصول على تفاصيل عن هذه الإعدادات.

مع ذلك، فإن ما لم يتم تناوله هنا هو وظيفة تسجيل الخروج الأحادي (SLO)، والتي تضمن إنهاء جميع الجلسات بين BIG-IP وموفر هوية وعميل مستخدم بعد أن يُسجل المستخدم الخروج. عندما ينشئ Easy Button مثيلاً لتطبيق SAML في مستأجر Azure AD لديك، فإنه يملأ أيضاً عنوان Url لتسجيل الخروج بنقطة نهاية تسجيل الخروج الأحادي الخاصة بـ APM. بهذه الطريقة، بدأ موفر الهوية عمليات تسجيل الخروج من مدخل Microsoft Azure Active Directory MyApps أيضًا بإنهاء الجلسة بين BIG-IP والعميل.

إلى جانب هذا، يجري أيضاً استيراد بيانات تعريف اتحاد SAML للتطبيق المنشور من مستأجرك، ما يوفر لـ APM نقطة نهاية تسجيل خروج SAML لـ Azure AD. يضمن هذا عمليات تسجيل الخروج التي بدأها مقدم الخدمة على إنهاء الجلسة بين Azure AD وأحد العملاء. ولكن لكي يكون هذا الأمر فعالاً حقاً، يجب أن يعرف APM بالضبط متى يسجل المستخدم الخروج من التطبيق.

في حالة استخدام مدخل سطح ويب BIG-IP للوصول إلى التطبيقات المنشورة، فسيتم معالجة تسجيل خروج من هناك من قبل APM لاستدعاء أيضاً نقطة نهاية تسجيل الخروج من Azure AD. لكن ضع في اعتبارك سيناريو لا يُستخدَم فيه مدخل سطح ويب BIG-IP، فلن يملك المستخدم أي طريقة لتوجيه APM لتسجيل الخروج. حتى إذا سجَّل المستخدم الخروج من التطبيق نفسه، فإن BIG-IP غافل من الناحية الفنية عن ذلك. لهذا السبب، يحتاج تسجيل الخروج الذي بدأه مقدم الخدمة إلى دراسةٍ متأنيةٍ لضمان إنهاء الجلسات على نحوٍ آمنٍ عند عدم الحاجة إليها. إحدى الطرق لتحقيق ذلك هي إضافة وظيفة تسجيل الدخول الأحادي إلى زر تسجيل الخروج للتطبيقات لديك، بحيث يمكن إعادة توجيه العميل إلى نقطة نهاية تسجيل الخروج من Azure AD SAML أو BIG-IP. يمكن العثور على عنوان موقع الويب لنقطة نهاية تسجيل الخروج من SAML لمستأجرك في تسجيلات التطبيق > نقاط النهاية.

إذا كان إجراء تغيير على التطبيق أمراً محظوراً، ففكر في السماح لـ BIG-IP بالاستماع إلى مكالمة تسجيل الخروج من التطبيقات، وعند اكتشاف الطلب، فبادر بتشغيل تسجيل الدخول الأحادي. ارجع إلى إرشادات Oracle PeopleSoft SLO لاستخدام BIG-IP irules لتحقيق ذلك. يتوفر المزيد من التفاصيل حول استخدام BIG-IP iRules لتحقيق ذلك في المقالة المعرفية F5 تكوين الإنهاء التلقائي للجلسة (تسجيل الخروج) استنادًا إلى اسم الملف المشار إليه في URI و نظرة عامة على خيار تضمين تسجيل الخروج URI.

الملخص

توفر هذه الخطوة الأخيرة تعطيل التكوينات الخاصة بك. حدد توزيع لتنفيذ كافة الإعدادات والتحقق من ظهور التطبيق الآن في قائمة المستأجرين لديك لتطبيقات المؤسسة.

الخطوات التالية

من متصفح، اتصل بعنوان URL الخارجي لتطبيق Oracle EBS أو حدد رمز التطبيق في مدخل Microsoft MyApps. بعد المصادقة إلى Microsoft Azure Active Directory، سيُعاد توجيهك إلى خادم BIG-IP الظاهري للتطبيق وتسجيل دخولك تلقائياً من خلال تسجيل دخول أحادي.

لزيادة الأمان، يمكن للمؤسسات التي تستخدم هذا النمط أيضاً أن تنظر في حظر كل الوصول المباشر إلى التطبيق، وبالتالي فرض مسار صارم من خلال BIG-IP.

نشر متقدم

قد تكون هناك حالات تفتقر فيها قوالب التكوين الإرشادي إلى المرونة لتحقيق المزيد من المتطلبات المحددة. لهذه السيناريوهات، راجع التكوين المتقدم لتسجيل الدخول الأحادي المستند إلى العناوين. بدلاً من ذلك، يعطيك BIG-IP خيار تعطيل وضع إدارة صارم للتكوين الإرشادي. يسمح لك هذا بتعديل التكوينات يدويًا، على الرغم من أن معظم تكويناتك تتم تلقائيًا من خلال القوالب المستندة إلى المعالج.

يمكنك الانتقال إلى الوصول > إلى التكوين الإرشادي وحدد رمز القفل الصغير في أقصى يمين الصف لتكوينات تطبيقاتك.

Screenshot for Configure Easy Button - Strict Management

في هذه المرحلة، لم تعد التغييرات عبر واجهة مستخدم المعالج ممكنة، ولكن سيتم إلغاء قفل جميع عناصر BIG-IP المرتبطة بالمثيل المنشور للتطبيق للإدارة المباشرة.

ملاحظة

إعادة تمكين الوضع الصارم ونشر التكوين سيؤدي إلى استبدال أي إعدادات تم إجراؤها خارج واجهة مستخدم التكوين الإرشادية، لذلك نوصي باستخدام طريقة التكوين المتقدمة لخدمات الإنتاج.

استكشاف الأخطاء وإصلاحها

يمكن أن يكون الفشل في الوصول إلى تطبيق محمي من خلال SHA بسبب أي عدد من العوامل. يمكن أن يساعد تسجيل BIG-IP في تسريع عزل كافة أنواع المشكلات المتعلقة بالاتصال أو تسجيل الدخول الأحادي أو انتهاكات النهج أو تعيينات المتغيرات التي تم تكوينها بشكل خاطئ. بدء استكشاف الأخطاء وإصلاحها عن طريق زيادة مستوى إسهاب السجل.

  1. انتقل إلى سياسة الوصول > نظرة عامة > سجلات الأحداث >الإعدادات

  2. حدد صف التطبيق المنشور ثم «تحرير»> الدخول إلى سجلات النظام

  3. حدد «تتبع الأخطاء» من قائمة تسجيل الدخول الأحادي ثم اختر«موافق»

إعادة إنشاء المشكلة، ثم فحص السجلات، ولكن تذكر تبديلها مرة أخرى عند الانتهاء، فوضع الإسهاب يُولد الكثير من البيانات.

إذا رأيت خطأ BIG-IP ذا علامة تجارية مباشرة بعد المصادقة المسبقة الناجحة لـ Microsoft Azure Active Directory، فمن المحتمل أن تكون المشكلة متعلقة بالدخول الموحد من Microsoft Azure Active Directory إلى BIG-IP.

  1. انتقل إلى Access > Overview > Access reports

  2. شغّل التقرير للساعة الأخيرة لمشاهدة ما إذا كانت السجلات توفر أية أدلة. سيساعد ارتباط متغيرات عرض الجلسة لجلستك أيضًا في فهم ما إذا كانت APM تتلقى المطالبات المتوقعة من Microsoft Azure Active Directory

إذا لم تشاهد صفحة خطأ BIG IP، فإن المشكلة ربما أكثر صلة بطلب الخلفية أو تسجيل الدخول الفردي من BIG-IP إلى التطبيق.

  1. في هذه الحالة، توجه إلى نهج الوصول > نظرة عامة > الجلسات النشطة وحدد الرابط لجلستك النشطة

  2. قد يساعد ارتباط عرض المتغيرات في هذا الموقع أيضاً في جذر مشكلات تسجيل الدخول الأحادي، خاصةً إذا فشلت BIG-IP APM في الحصول على السمات الصحيحة من Azure AD أو مصدر آخر

راجع أمثلة تعيين متغير BIG-IP APM ومرجع متغيرات جلسة F5 BIG-IP لمزيد من المعلومات.

يتحقق الأمر التالي من bash shell من صحة حساب خدمة APM المستخدم لاستعلامات LDAP ويمكنه بنجاح مصادقة عنصر مستخدم والاستعلام عنه:

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

لمزيد من المعلومات، قم بزيارة مقالة المعرفة F5 هذه تكوين مصادقة LDAP عن بعد لـ AD DS. يوجد أيضًا جدول مرجعي رائع لـ BIG-IP للمساعدة في تشخيص المشكلات المتعلقة بـ LDAP في مقالة المعرفة F5 حول استعلام LDAP.