Tutorial: Konfigurieren der BIG-IP Easy Button von F5 für einmaliges Anmelden bei Oracle EBS

In diesem Artikel erfahren Sie, wie Sie Oracle Enterprise Business Suite (EBS) mithilfe von Azure Active Directory (Azure AD) über die interaktive Konfiguration von BIG-IP Easy Button von F5 schützen.

Die Integration eines BIG-IP mit Azure AD bietet viele Vorteile, darunter:

Informationen zu allen Vorteilen finden Sie im Abschnitt F5-BIG-IP- und Azure-AD-Integration und Was bedeutet ein anwendungsbasierter Zugriff und einmaliges Anmelden bei Azure AD.

Beschreibung des Szenarios

In diesem Szenario wird die klassische Oracle EBS-Anwendung behandelt, die mithilfe von HTTP-Autorisierungsheadern den Zugriff auf geschützte Inhalte steuert.

Da die Anwendung veraltet ist, fehlen moderne Protokolle, um eine direkte Integration in Azure AD zu unterstützen. Die Anwendung lässt sich modernisieren, was aber kostspielig ist, eine sorgfältige Planung erfordert und Risiken für potenzielle Ausfallzeiten birgt. Stattdessen wird ein F5-BIG-IP-Anwendungsbereitstellungscontroller verwendet, um die Lücke zwischen der Legacyanwendung und der modernen ID-Steuerungsebene durch Protokollübergang zu schließen.

Mit einer BIG-IP-Instanz vor der App können wir den Dienst mit Azure AD-Vorauthentifizierung und headerbasiertem einmaligem Anmelden überlagern und so die Gesamtsicherheit der Anwendung erheblich verbessern.

Szenarioarchitektur

Die sichere Hybridzugriffslösung für dieses Szenario besteht aus mehreren Komponenten, einschließlich einer mehrstufigen Oracle-Architektur:

Oracle EBS-Anwendung: Veröffentlichter BIG-IP-Dienst, der durch SHA von Azure AD geschützt werden soll.

Azure AD: SAML-IdP (Security Assertion Markup Language-Identitätsanbieter), der für die Überprüfung der Benutzeranmeldeinformationen, für den bedingten Zugriff (Conditional Access, CA) und für das SAML-basierte einmalige Anmelden (Single Sign-On, SSO) bei BIG-IP zuständig ist. Über SSO werden BIG-IP von Azure AD alle erforderlichen Sitzungsattribute zur Verfügung gestellt.

Oracle Internet Directory (OID): Hostet die Benutzerdatenbank. BIG-IP überprüft über LDAP auf Autorisierungsattribute.

Oracle AccessGate: Überprüft Autorisierungsattribute über den Backchannel mit dem OID-Dienst, bevor EBS-Zugriffscookies ausgegeben werden.

BIG-IP: Reverseproxy und SAML-Dienstanbieter (Service Provider, SP) für die Anwendung, der die Authentifizierung an den SAML-Identitätsanbieter delegiert, bevor headerbasiertes einmaliges Anmelden für die Oracle-Anwendung durchgeführt wird.

SHA für dieses Szenario unterstützt sowohl SP-initiierte als auch IdP-initiierte Flows. Die folgende Abbildung veranschaulicht den SP-initiierten Flow.

Secure hybrid access - SP initiated flow

Schritte Beschreibung
1 Benutzer verbindet sich mit Anwendungsendpunkt (BIG-IP)
2 Die BIG-IP APM-Zugriffsrichtlinie leitet den Benutzer zu Azure AD (SAML-Identitätsanbieter) um.
3 Azure AD führt eine Vorauthentifizierung des Benutzers durch und wendet alle erzwungenen Richtlinien für bedingten Zugriff an.
4 Der Benutzer wird zurück zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das einmalige Anmelden wird unter Verwendung des ausgestellten SAML-Tokens durchgeführt.
5 BIG-IP führt eine LDAP-Abfrage für das Attribut „Users Unique ID“ (UID) durch.
6 BIG-IP fügt das zurückgegebene UID-Attribut als „user_orclguid“-Header in dioe EBS-Sitzungscookieanforderung an Oracle AccessGate ein.
7 Oracle AccessGate überprüft die UID anhand des Oracle Internet Directory-Diensts (OID) und gibt ein EBS-Zugriffscookie aus.
8 EBS verwendet den an die Anwendung gesendeten Header und Cookie und gibt die Nutzdaten an den Benutzer zurück.

Voraussetzungen

Vorherige Erfahrungen mit BIG-IP sind nicht erforderlich, Sie benötigen aber Folgendes:

  • Eine kostenloses Abonnement (oder höher) von Azure AD

  • Eine vorhandene BIG-IP-Adresse oder Bereitstellen einer BIG-IP Virtual Edition (VE) in Azure

  • Eine der folgenden F5 BIG-IP-Lizenz-SKUs

    • F5 BIG-IP® Best Bundle

    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM)

    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine bereits vorhandene Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)

    • 90-Tage-Testlizenz für sämtliche Features von BIG-IP

  • Benutzeridentitäten synchronisiert von einem lokalen Verzeichnis zu Azure AD oder direkt in Azure AD erstellt und in Ihr lokales Verzeichnis zurückfließen lassen

  • Ein Konto mit den Berechtigungen eines Azure AD-Anwendungsadministrators

  • Ein SSL-Webzertifikat zum Veröffentlichen von Diensten über HTTPS oder Standardzertifikate von BIG-IP beim Testen

  • Eine vorhandene Oracle EBS-Suite, einschließlich Oracle AccessGate und einer LDAP-fähigen OID (Oracle Internet Database)

BIG-IP-Konfigurationsmethoden

Es gibt viele Methoden, BIG-IP für dieses Szenario zu konfigurieren, darunter zwei vorlagenbasierte Optionen und eine erweiterte Konfiguration. In diesem Tutorial wird die neueste geführte Konfiguration (Version 16.1) mit Easy Button-Vorlage behandelt. Mit Easy Button müssen Administratoren nicht mehr zwischen Azure AD und BIG-IP hin und her wechseln, um Dienste für SHA zu aktivieren. Die Bereitstellung und Richtlinienverwaltung erfolgt direkt zwischen dem Assistenten für die geführte Konfiguration von APM und Microsoft Graph. Diese umfassende Integration zwischen BIG-IP APM und Azure AD sorgt dafür, dass Anwendungen schnell und einfach Identitätsverbund, SSO und bedingten Zugriff mit Azure AD unterstützen können, wodurch sich der Verwaltungsaufwand reduziert.

Hinweis

Alle Beispielzeichenfolgen und -werte in diesem Leitfaden sollten durch die tatsächlichen Werte für Ihre Umgebung ersetzt werden.

Registrieren von “Easy Button“

Bevor ein Client oder Dienst auf Microsoft Graph zugreifen kann, muss er von Microsoft Identity Platform als vertrauenswürdig eingestuft werden.

In diesem ersten Schritt wird die Registrierung einer Mandanten-App erstellt, die zum Autorisieren des Easy Button-Zugriffs auf Graph verwendet wird. Durch diese Berechtigungen kann BIG-IP die Konfigurationen pushen, die zum Einrichten einer Vertrauensstellung zwischen einer SAML-SP-Instanz für eine veröffentlichte Anwendung und Azure AD als SAML-IdP erforderlich sind.

  1. Melden Sie sich beim Azure AD-Portal mit Anwendungsadministratorrechten an.

  2. Wählen Sie im linken Navigationsbereich den Dienst Azure Active Directory aus.

  3. Wählen Sie unter Verwalten die Option App-Registrierungen Neue Registrierung aus.

  4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Beispiel: F5 BIG-IP Easy Button

  5. Geben Sie an, wer die Anwendung verwenden darf >>

  6. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.

  7. Navigieren Sie zu API-Berechtigungen, und autorisieren Sie die folgenden Anwendungsberechtigungen für Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Application.ReadWrite.OwnedBy
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Erteilen der Administratorzuwilligung für Ihre Organisation

  9. Wechseln Sie zu Zertifikate & Geheimnisse, generieren Sie einen neuen Geheimen Clientschlüssel, und notieren Sie diesen.

  10. Wechseln Sie zur Übersicht, und notieren Sie die Client-ID und die Mandanten-ID.

Konfigurieren von “Easy Button“

Initiieren Sie die gesteuerte APM-Konfiguration, um die Easy Button-Vorlage zu starten.

  1. Navigieren Sie zu Zugang Geführte Konfiguration > Microsoft Integration und wählen Sie > aus.

    Screenshot for Configure Easy Button- Install the template

  2. Sehen Sie sich die Liste der Konfigurationsschritte an und wählen Sie Weiter.

    Screenshot for Configure Easy Button - List configuration steps

  3. Führen Sie die Abfolge der Schritte aus, die zum Veröffentlichen Ihrer Anwendung erforderlich sind.

    Configuration steps flow

Configuration Properties

Auf der Registerkarte Konfigurationseigenschaften werden eine BIG-IP-Anwendungskonfiguration und ein neues SSO-Objekt erstellt. Betrachten Sie den Abschnitt Azure-Dienstkontodetails als Repräsentation des Clients, den Sie zuvor in Ihrem Azure AD-Mandanten als Anwendung registriert haben. Diese Einstellungen ermöglichen es dem OAuth-Client von BIG-IP, einzelne SAML-SPs direkt in Ihrem Mandanten zu registrieren – zusammen mit den SSO-Eigenschaften, die Sie normalerweise manuell konfigurieren würden. Dies wird von Easy Button für jeden BIG-IP-Dienst durchgeführt, der veröffentlicht und für SHA aktiviert wird.

Einige dieser Einstellungen sind globale Einstellungen, die wiederverwendet werden können, um weitere Anwendungen zu veröffentlichen, was die Bereitstellungszeit und den Aufwand weiter reduziert.

  1. Geben Sie einen eindeutigen Konfigurationsnamen an, der es einem Administrator ermöglicht, einfach zwischen Easy Button-Konfigurationen zu unterscheiden.

  2. Ermöglichen Sie einmaliges Anmelden (Single Sign-On, SSO) HTTP Headers

  3. Geben Sie die Mandanten-ID, die Client-ID und den geheimen Clientschlüssel ein, die Sie beim Registrieren des Easy Button-Clients in Ihrem Mandanten notiert haben.

  4. Bevor Sie Weiter auswählen, vergewissern Sie sich, dass die BIG-IP-Instanz erfolgreich eine Verbindung zu Ihrem Mandanten herstellen kann.

     Screenshot for Configuration General and Service Account properties

Dienstanbieter

Die Dienstanbietereinstellungen definieren die Eigenschaften der SAML-SP-Instanz der durch SHA geschützten Anwendung.

  1. Host eingeben. Dies ist der öffentliche FQDN der zu schützenden Anwendung.

  2. Entität eingeben Dies ist der Bezeichner, den Azure AD verwendet, um den SAML-SP zu identifizieren, der ein Token anfordert.

    Screenshot for Service Provider settings

    Geben Sie als Nächstes unter optionale Sicherheitseinstellungen an, ob Azure AD ausgestellte SAML-Assertionen verschlüsseln soll. Das Verschlüsseln von Assertions zwischen Azure AD und dem BIG-IP APM bietet Sicherheit, sodass die Inhaltstoken nicht abgefangen werden können und persönliche Daten oder Unternehmensdaten kompromittiert werden.

  3. Wählen Sie in der Liste Privater Schlüssel zur Assertion-Entschlüsselung die Option Neu erstellen aus.

    Screenshot for Configure Easy Button- Create New import

  4. Klicken Sie auf OK. Daraufhin wird das Dialogfeld Import SSL Certificate and Keys (SSL-Zertifikat und Schlüssel importieren) in einem neuen Tab geöffnet.

  5. Wählen Sie PKCS 12 (IIS) aus, um Ihr Zertifikat und Ihren privaten Schlüssel zu importieren. Schließen Sie nach der Bereitstellung den Browsertab, um zum Haupttab zurückzukehren.

    Screenshot for Configure Easy Button- Import new cert

  6. Aktivieren Sie das Kontrollkästchen Enable Encrypted Assertion (Verschlüsselte Assertionen aktivieren).

  7. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie Ihr Zertifikat aus der Liste Privater Schlüssel zur Assertion-Entschlüsselung aus. Dies ist der private Schlüssel für das Zertifikat, das BIG-IP APM zum Entschlüsseln Azure AD Assertionen verwendet.

  8. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie Ihr Zertifikat aus der Liste Zertifikat zur Assertion-Entschlüsselung aus. Dies ist das Zertifikat, das BIG-IP zum Verschlüsseln der ausgestellten SAML-Assertionen in Azure AD hochlädt.

    Screenshot for Service Provider security settings

Azure Active Directory

In diesem Abschnitt werden alle Eigenschaften definiert, die Sie normalerweise zum manuellen Konfigurieren einer neuen BIG-IP-SAML-Anwendung in Ihrem Azure AD Mandanten verwenden. Easy Button bietet vordefinierte Anwendungsvorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP sowie eine generische SHA-Vorlage für alle anderen Apps. Wählen Sie für dieses Szenario Oracle E-Business Suite > Hinzufügen aus.

Screenshot for Azure configuration add BIG-IP application

Azure-Konfiguration

  1. Geben Sie den Anzeigenamen der App ein, die BIG-IP in Ihrem Azure AD-Mandanten erstellt, und das Symbol, das die Benutzer im MyApps-Portal sehen.

  2. Geben Sie unter Anmelde-URL (optional) den öffentlichen vollqualifizierten Domänenname (FQDN) der zu sichernden EBS-Anwendung sowie den Standardpfad für die Oracle EBS-Startseite ein.

    Screenshot for Azure configuration add display info

  3. Wählen Sie das Aktualisierungssymbol neben Signing Key (Signaturschlüssel) und neben Signing Certificate (Signaturzertifikat) aus, um das zuvor importierte Zertifikat zu finden.

  4. Geben Sie unter Signing Key Passphrase (Passphrase für Signaturschlüssel) das Kennwort des Zertifikats ein.

  5. Aktivieren Sie Signing Option (Signaturoption) (optional). Dadurch wird sichergestellt, dass BIG-IP nur Token und Ansprüche akzeptiert, die von Azure AD signiert wurden.

    Screenshot for Azure configuration - Add signing certificates info

  6. Benutzer- und Benutzergruppen werden dynamisch von Ihrem Azure AD Mandanten abgefragt und zum Autorisieren des Zugriffs auf die Anwendung verwendet. Fügen Sie einen Benutzer oder eine Gruppe hinzu, den bzw. die Sie später zum Testen verwenden können. Andernfalls wird der gesamte Zugriff verweigert

    Screenshot for Azure configuration - Add users and groups

Benutzerattribute & Ansprüche

Wenn sich ein Benutzer erfolgreich authentifiziert hat, gibt Azure AD ein SAML-Token mit einem Standardsatz von Ansprüchen und Attributen aus, die den Benutzer eindeutig identifizieren. Auf der Registerkarte Benutzerattribute &Ansprüche werden die Standardansprüche angezeigt, die für die neue Anwendung ausgestellt werden sollen. Außerdem können Sie mehr Ansprüche konfigurieren.

Screenshot for user attributes and claims

Sie können bei Bedarf Azure AD Attributs angeben, für das Oracle EBS-Szenario sind jedoch nur die Standardattribute erforderlich.

Zusätzliche Benutzerattribute

Die Registerkarte Zusätzliche Benutzerattribute kann eine Vielzahl verteilter Systeme unterstützen, die Attribute für die Sitzungserweiterung erfordern, die in anderen Verzeichnissen gespeichert sind. Attribute, die aus einer LDAP-Quelle abgerufen werden, können dann als zusätzliche SSO-Header eingefügt werden, um den Zugriff basierend auf Rollen, Partner-IDs usw. weiter zu steuern.

  1. Erweiterte Einstellungen-Option aktivieren.

  2. Überprüfen Sie das LDAP Attribute Kontrollkästchen

  3. Wählen Sie Neu erstellen in Authentifizierungsserver auswählen aus.

  4. Wählen Sie abhängig von Ihrem Setup den Serververbindungsmodus Pool verwenden oder Direkt aus. Dadurch wird die Serveradresse des LDAP-Zieldiensts bereitgestellt. Wenn Sie einen einzelnen LDAP-Server verwenden, wählen Sie Direkt aus.

  5. Geben Sie den Dienstport mit 3060 (Standard), 3161 (Sicher) oder einen anderen Port ein, an dem Ihr Oracle LDAP-Dienst ausgeführt wird.

  6. Geben Sie den DN für die Basissuche (Distinguished Name) ein, ab dem gesucht werden soll. Dieser Such-DN wird verwendet, um Gruppen in einem ganzen Verzeichnis zu durchsuchen.

  7. Legen Sie den Administrator-DN auf den genauen Distinguished Name für das Konto fest, das APM für die Authentifizierung für LDAP-Abfragen verwendet, zusammen mit dem Kennwort.

    Screenshot for additional user attributes

  8. Belassen Sie alle standardmäßigen LDAP-Schemaattribute.

    Screenshot for LDAP schema attributes

  9. Legen Sie unter LDAP-Abfrageeigenschaften den Such-DN auf den Basisknoten des LDAP-Servers fest, ab dem nach Benutzerobjekten gesucht werden soll.

  10. Fügen Sie den Namen des Benutzerobjektattributs hinzu, das aus dem LDAP-Verzeichnis zurückgegeben werden muss. Für EBS ist der Standardwert orclguid.

    Screenshot for LDAP query properties.png

Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff werden nach Azure AD Vorauthentifizierung erzwungen, um den Zugriff basierend auf Geräte-, Anwendungs-, Standort- und Risikosignalen zu steuern.

In der Ansicht Verfügbare Richtlinien werden standardmäßig alle Richtlinien für bedingten Zugriff aufgeführt, die keine benutzerbasierten Aktionen enthalten.

In der Ansicht Ausgewählte Richtlinien werden standardmäßig alle Richtlinien angezeigt, die auf alle Cloud-Apps ausgerichtet sind. Diese Richtlinien können nicht deaktiviert oder in die Liste „Available Policies“ (Verfügbare Richtlinien) verschoben werden, da sie auf Mandantenebene erzwungen werden.

So wählen Sie eine Richtlinie aus, die auf die zu veröffentlichende Anwendung angewendet werden soll:

  1. Wählen Sie die gewünschte Richtlinie in der Liste Verfügbare Richtlinien aus

  2. Wählen Sie den rechten Pfeil aus und verschieben Sie ihn in die Liste Ausgewählte Richtlinien

    Bei den ausgewählten Richtlinien muss entweder die Option Include (Einschließen) oder Exclude (Ausschließen) aktiviert sein. Wenn beide Optionen aktiviert sind, wird die Richtlinie nicht erzwungen.

    Screenshot for CA policies

Hinweis

Die Richtlinienliste wird beim ersten Wechsel zu dieser Registerkarte nur einmal aufzählt. Eine Aktualisierungsschaltfläche ist verfügbar, um den Assistenten zum Abfragen Ihres Mandanten manuell zu zwingen. Diese Schaltfläche wird jedoch nur angezeigt, wenn die Anwendung bereitgestellt wurde.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird, die auf Clientanforderungen für die Anwendung lauscht. Jeder empfangene Datenverkehr wird verarbeitet und anhand des APM-Zugriffsprofils ausgewertet, das dem virtuellen Server zugeordnet ist, bevor er gemäß den Richtlinienergebnissen und -einstellungen weitergeleitet wird.

  1. Geben Sie Zieladresse ein. Dies ist eine beliebige verfügbare IPv4/IPv6-Adresse, die BIG-IP zum Empfangen von Clientdatenverkehr verwenden kann. Ein entsprechender Eintrag sollte auch im DNS vorhanden sein, damit Clients anstelle der Anwendung selbst die externe URL Ihrer veröffentlichten BIG-IP-Anwendung in diese IP-Adresse auflösen können. Zum Testen ist es in Ordnung, das Localhost-DNS des Test-PCs zu verwenden.

  2. Geben Sie Service Port als 443 für HTTPS ein

  3. Aktivieren Sie Umleitungsport aktivieren und geben Sie dann Umleitungsport ein. Eingehender HTTP-Clientdatenverkehr wird an HTTPS umgeleitet.

  4. Das Client-SSL-Profil aktiviert den virtuellen Server für HTTPS, damit Clientverbindungen über TLS verschlüsselt werden. Wählen Sie beim Testen das Client-SSL-Profil aus, das Sie im Rahmen der Vorbereitung erstellt haben, oder übernehmen Sie die Standardeinstellung.

    Screenshot for Virtual server

Pooleigenschaften

Auf der Registerkarte Anwendungspool werden die Dienste hinter einer BIG-IP detailliert aufgeführt, wobei sie als Pool, der einen oder mehrere Anwendungsserver enthält, dargestellt werden.

  1. Wählen Sie von Pool auswählen aus. Erstellen Sie eine neuen Pool, oder wählen Sie einen vorhandenen Pool aus.

  2. Wählen Sie die Load-Balancing-Methode als Round Robin aus

  3. Wählen Sie für Poolserver einen vorhandenen Knoten aus, oder geben Sie eine IP-Adresse und einen Port für die Server an, die die Oracle EBS-Anwendung hosten.

    Screenshot for Application pool

  4. Der AccessGate-Pool gibt die Server an, die Oracle EBS zum Zuordnen eines mittels einmaligen Anmeldens authentifizierten Benutzers zu einer Oracle E-Business Suite-Sitzung verwendet. Aktualisieren von Poolservern mit der IP-Adresse und dem Port für die Oracle-Anwendungsserver, die die Anwendung hosten

    Screenshot for AccessGate pool

Einmaliges Anmelden und HTTP-Header

Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO bei veröffentlichten Anwendungen. Da die Oracle EBS-Anwendung Header erwartet, aktivieren Sie HTTP-Header, und geben Sie die folgenden Eigenschaften ein.

  • Headervorgang: Ersetzen.

  • Headername: USER_NAME

  • Headerwert: %{session.sso.token.last.username}

  • Headervorgang: Ersetzen.

  • Headername: USER_ORCLGUID

  • Headerwert: %{session.ldap.last.attr.eventroles}

     Screenshot for SSO and HTTP headers

Hinweis

Bei APM-Sitzungsvariablen, die in geschweiften Klammern definiert sind, wird zwischen Groß-/Kleinschreibung unterschieden. Wenn Sie beispielsweise „OrclGUID“ eingeben, der Azure AD-Attributname jedoch als „orclguid“ definiert ist, tritt ein Attributzuordnungsfehler auf.

Sitzungsverwaltung

Die Sitzungsverwaltungseinstellungen von BIG-IPs werden verwendet, um die Bedingungen zu definieren, unter denen Benutzersitzungen beendet oder fortgesetzt werden dürfen, Beschränkungen für Benutzer und IP-Adressen sowie entsprechende Benutzerinformationen. Weitere Informationen zu diesen Einstellungen finden Sie in der F5-Dokumentation.

Was hier jedoch nicht behandelt wird, ist die Funktionalität für einmaliges Abmelden (Single Log-Out, SLO), die sicherstellt, dass alle Sitzungen zwischen dem IdP, BIG-IP und dem Benutzer-Agent beendet werden, wenn sich Benutzer*innen abmelden. Wenn Easy Button eine SAML-Anwendung in Ihrem Azure AD-Mandanten instanziiert, wird auch die Abmelde-URL mit dem SLO-Endpunkt von APM aufgefüllt. Auf diese Weise beenden IdP-initiierte Abmeldungen über das MyApps-Portal von Azure AD auch die Sitzung zwischen BIG-IP und einem Client.

Außerdem werden die SAML-Verbundmetadaten für die veröffentlichte Anwendung aus Ihrem Mandanten importiert, wodurch APM der SAML-Abmeldeendpunkt für Azure AD bereitgestellt wird. Dadurch wird sichergestellt, dass SP-initiierte Abmeldungen die Sitzung zwischen einem Client und Azure AD beenden. Damit dies wirklich effektiv ist, muss APM jedoch genau wissen, wann sich Benutzer*innen von einer Anwendung abmelden.

Wenn das BIG-IP-Webtopportal für den Zugriff auf veröffentlichte Anwendungen verwendet wird, wird eine Abmeldung von dort von der APM-Instanz verarbeitet, damit auch der Azure AD-Abmeldeendpunkt aufgerufen wird. Stellen Sie sich jedoch ein Szenario vor, bei dem das BIG-IP-Webtopportal nicht verwendet wird und Benutzer*innen APM nicht anweisen können, sie abzumelden. Selbst wenn sich Benutzer*innen von der Anwendung selbst abmelden, bemerkt BIG-IP dies technisch nicht. Aus diesem Grund muss die vom SP initiierte Abmeldung sorgfältig geprüft werden, um sicherzustellen, dass die Sitzungen sicher beendet werden, wenn sie nicht mehr benötigt werden. Eine Möglichkeit, dies zu erreichen, ist das Hinzufügen einer SLO-Funktion zur Abmeldeschaltfläche Ihrer Anwendungen, damit Ihr Client entweder an den Azure AD-SAML- oder den BIG-IP-Abmeldeendpunkt umgeleitet werden kann. Die URL für den SAML-Abmeldeendpunkt für Ihren Mandanten finden Sie unter App-Registrierungen > Endpunkte.

Wenn eine Änderung der Anwendung nicht möglich ist, sollte BIG-IP auf den Abmeldeaufruf der Anwendung lauschen und beim Erkennen der Anforderung das SLO auslösen. Informationen zur Verwendung von BIG-IP iRules finden Sie in unserer Anleitung zur SLO bei Oracle PeopleSoft. Weitere Details zur Verwendung von BIG-IP iRules, um dies zu erreichen, finden Sie im F5-Wissensartikel Konfigurieren der automatischen Sitzungsbeendigung (Abmeldung) basierend auf einem URI-referenzierten Dateinamen und Übersicht über die Option zum Abmelden von der URI Include Option.

Zusammenfassung

Dieser letzte Schritt liefert eine Aufschlüsselung Ihrer Konfigurationen. Wählen Sie Deploy (Bereitstellen) aus, um alle Einstellungen zu committen, und vergewissern Sie sich, dass die Anwendung jetzt in Ihrer Mandantenliste mit Unternehmensanwendungen enthalten ist.

Nächste Schritte

Stellen Sie in einem Browser eine Verbindung mit der externen URL der Oracle EBS-Anwendung her, oder wählen Sie das Symbol der Anwendung im MyApps-Portal von Microsoft aus. Nach der Authentifizierung bei Azure AD werden Sie zum virtuellen BIG-IP-Server für die Anwendung weitergeleitet und durch SSO (einmaliges Anmelden) automatisch angemeldet.

Um die Sicherheit zu erhöhen, könnten Organisationen, die dieses Muster verwenden, auch erwägen, den direkten Zugriff auf die Anwendung zu blockieren, damit ein strikter Pfad über BIG-IP erzwungen wird.

Erweiterte Bereitstellung

Es kann Fälle geben, in denen die Vorlagen für die geführte Konfiguration nicht flexibel genug sind, um spezifischere Anforderungen zu erfüllen. Informationen zu diesen Szenarien finden Sie unter Erweiterte Konfiguration für headerbasiertes einmaliges Anmelden. Alternativ bietet BIG-IP die Möglichkeit, den strikten Verwaltungsmodus der geführten Konfiguration zu deaktivieren. Dadurch können Sie Ihre Konfigurationen manuell optimieren, auch wenn der Großteil Ihrer Konfigurationen mithilfe der assistentenbasierten Vorlagen automatisiert wird.

Sie können dann zu Access Guided Configuration (Zugriff > Geführte Konfiguration) navigieren und ganz rechts in der Zeile für Ihre Anwendungskonfigurationen das kleine Vorhängeschlosssymbol auswählen.

Screenshot for Configure Easy Button - Strict Management

An diesem Punkt sind Änderungen über die Benutzeroberfläche des Assistenten nicht mehr möglich, aber alle BIG-IP-Objekte, die der veröffentlichten Instanz der Anwendung zugeordnet sind, werden für die direkte Verwaltung entsperrt.

Hinweis

Wenn Sie den strikten Modus erneut aktivieren und eine Konfiguration bereitstellen, werden alle Einstellungen überschrieben, die außerhalb der Benutzeroberfläche für die geführte Konfiguration vorgenommen wurden. Für Produktionsdienste empfiehlt sich daher die erweiterte Konfigurationsmethode.

Problembehandlung

Fehler beim Zugriff auf eine durch SHA geschützte Anwendung können auf eine viele Faktoren zurückzuführen sein. Die BIG-IP-Protokollierung kann dabei helfen, eine Vielzahl von Problemen mit Konnektivität, SSO, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen schnell herauszufiltern. Beginnen Sie mit der Problembehandlung, indem Sie den Ausführlichkeitsgrad des Protokolls erhöhen.

  1. Navigieren Sie zu Zugriffsrichtlinien Übersicht > Ereignisprotokolle > Einstellungen

  2. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung und dann Bearbeiten> Auf Systemprotokolle zugreifen aus.

  3. Wählen Sie Debug (Debuggen) in der SSO-Liste und dann OK aus.

Reproduzieren Sie Ihr Problem, und überprüfen Sie dann die Protokolle, aber denken Sie daran, dies wieder zurückzuändern, wenn Sie fertig sind, da der ausführliche Modus viele Daten generiert.

Wenn Sie unmittelbar nach einer erfolgreichen Azure AD-Vorauthentifizierung einen BIG-IP-Fehler sehen, ist es möglich, dass das Problem mit SSO von Azure AD zu BIG-IP zusammenhängt.

  1. Navigieren Sie zu Zugang Übersicht > Zugriff auf Berichte

  2. Führen Sie den Bericht für die letzte Stunde aus, um herauszufinden, ob die Protokolle Hinweise enthalten. Der Link Sitzungsvariablen anzeigen für Ihre Sitzung hilft auch zu verstehen, ob das APM die erwarteten Ansprüche von Azure AD erhält

Wenn keine BIG-IP-Fehlerseite angezeigt wird, hängt das Problem wahrscheinlich eher mit der Back-End-Anforderung oder dem einmaligen Anmelden von BIG-IP bei der Anwendung zusammen.

  1. Navigieren Sie in diesem Fall zu Zugriffsrichtlinien > Übersicht > Aktive Sitzungen, und wählen Sie den Link für Ihre aktive Sitzung aus.

  2. Der Link Variablen anzeigen dort kann auch beim Ermitteln der Grundursache der SSO-Probleme helfen, insbesondere wenn die APM-Instanz von BIG-IP die richtigen Attribute nicht von Azure AD oder einer anderen Quelle abrufen kann.

Weitere Informationen finden Sie unter Beispiele für Zuweisungen von BIG-IP-APM-Variablen und unter Empfehlung für F5-BIG-IP-Sitzungsvariablen.

Der folgende Befehl aus einer Bash-Shell überprüft das für LDAP-Abfragen verwendete APM-Dienstkonto und kann ein Benutzerobjekt erfolgreich authentifizieren und abfragen:

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Weitere Informationen finden Sie in diesem F5-Wissensartikel Konfigurieren der LDAP-Remoteauthentifizierung für Active Directory. In diesem F5-Wissensartikel zur LDAP-Abfrage finden Sie auch eine hervorragende BIG-IP-Referenztabelle zum Diagnostizieren von LDAP-bezogenen Problemen.