Tutorial: Konfigurieren von BIG-IP Easy Button von F5 für einmaliges Anmelden bei Oracle PeopleSoft

In diesem Artikel erfahren Sie, wie Sie Oracle PeopleSoft (PeopleSoft) mithilfe von Azure Active Directory (Azure AD) über die gesteuerte Konfiguration von BIG-IP Easy Button von F5 schützen.

Die Integration eines BIG-IP mit Azure AD bietet viele Vorteile, darunter:

Informationen zu allen Vorteilen finden Sie im Abschnitt F5-BIG-IP- und Azure-AD-Integration und Was bedeutet ein anwendungsbasierter Zugriff und einmaliges Anmelden bei Azure AD.

Beschreibung des Szenarios

In diesem Szenario wird eine PeopleSoft-Anwendung mit HTTP-Autorisierungsheadern verwendet, um den Zugriff auf geschützte Inhalte zu verwalten.

Da die Anwendung veraltet ist, fehlen moderne Protokolle, um eine direkte Integration in Azure AD zu unterstützen. Die Anwendung lässt sich modernisieren, was aber kostspielig ist, eine sorgfältige Planung erfordert und Risiken für potenzielle Ausfallzeiten birgt. Stattdessen wird ein F5-BIG-IP-Anwendungsbereitstellungscontroller verwendet, um die Lücke zwischen der Legacyanwendung und der modernen ID-Steuerungsebene durch Protokollübergang zu schließen.

Mit einer BIG-IP-Instanz vor der App können wir den Dienst mit Azure AD-Vorauthentifizierung und headerbasiertem einmaligem Anmelden überlagern und so die Gesamtsicherheit der Anwendung erheblich verbessern.

Hinweis

Organisationen können auch mit einem Azure AD-Anwendungsproxy Remotezugriff auf diese Art von Anwendung erhalten.

Szenarioarchitektur

Die sichere Hybridzugriffslösung für dieses Szenario besteht aus mehreren Komponenten:

PeopleSoft-Anwendung: Veröffentlichter BIG-IP-Dienst, der durch SHA von Azure AD geschützt werden soll

Azure AD: SAML-IdP (Security Assertion Markup Language Identity Provider), der für die Überprüfung der Benutzeranmeldeinformationen, für den bedingten Zugriff (Conditional Access, CA) und für das SAML-basierte einmalige Anmelden (Single Sign-On, SSO) bei BIG-IP zuständig ist. Über SSO werden BIG-IP von Azure AD alle erforderlichen Sitzungsattribute zur Verfügung gestellt.

BIG-IP: Reverseproxy und SAML-Dienstanbieter (Service Provider, SP) für die Anwendung, der die Authentifizierung an den SAML-Identitätsanbieter delegiert, bevor headerbasiertes einmaliges Anmelden beim PeopleSoft-Dienst durchgeführt wird.

SHA für dieses Szenario unterstützt sowohl SP-initiierte als auch IdP-initiierte Flows. Die folgende Abbildung veranschaulicht den SP-initiierten Flow.

Secure hybrid access - SP initiated flow

Schritte Beschreibung
1 Benutzer verbindet sich mit Anwendungsendpunkt (BIG-IP)
2 Die BIG-IP APM-Zugriffsrichtlinie leitet den Benutzer zu Azure AD (SAML-Identitätsanbieter) um.
3 Azure AD führt eine Vorauthentifizierung des Benutzers durch und wendet alle erzwungenen Richtlinien für bedingten Zugriff an.
4 Der Benutzer wird zurück zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das einmalige Anmelden wird unter Verwendung des ausgestellten SAML-Tokens durchgeführt.
5 BIG-IP fügt Azure AD-Attribute als Header in die Anforderung für die Anwendung ein.
6 Die Anwendung autorisiert die Anforderung und sendet die Nutzdaten zurück

Voraussetzungen

Vorherige Erfahrungen mit BIG-IP sind nicht erforderlich, Sie benötigen aber Folgendes:

  • Eine kostenloses Abonnement (oder höher) von Azure AD

  • Eine vorhandene BIG-IP-Adresse oder Bereitstellen einer BIG-IP Virtual Edition (VE) in Azure

  • Eine der folgenden F5 BIG-IP-Lizenz-SKUs

    • F5 BIG-IP® Best Bundle

    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM)

    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine bereits vorhandene Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)

    • 90-Tage-Testlizenz für sämtliche Features von BIG-IP

  • Benutzeridentitäten synchronisiert von einem lokalen Verzeichnis zu Azure AD oder direkt in Azure AD erstellt und in Ihr lokales Verzeichnis zurückfließen lassen

  • Ein Konto mit den Berechtigungen eines Azure AD-Anwendungsadministrators

  • Ein SSL-Webzertifikat zum Veröffentlichen von Diensten über HTTPS, oder Sie verwenden Standardzertifikate von BIG-IP beim Testen

  • Eine vorhandene PeopleSoft-Umgebung

BIG-IP-Konfigurationsmethoden

Es gibt viele Methoden, BIG-IP für dieses Szenario zu konfigurieren, darunter zwei vorlagenbasierte Optionen und eine erweiterte Konfiguration. In diesem Tutorial wird die neueste geführte Konfiguration (Version 16.1) mit Easy Button-Vorlage behandelt.

Mit Easy Button müssen Administratoren nicht mehr zwischen Azure AD und BIG-IP hin und her wechseln, um Dienste für SHA zu aktivieren. Die Bereitstellung und Richtlinienverwaltung erfolgt direkt zwischen dem Assistenten für die geführte Konfiguration von APM und Microsoft Graph. Diese umfassende Integration zwischen BIG-IP APM und Azure AD sorgt dafür, dass Anwendungen schnell und einfach Identitätsverbund, SSO und bedingten Zugriff mit Azure AD unterstützen können, wodurch sich der Verwaltungsaufwand reduziert.

Hinweis

Alle Beispielzeichenfolgen und -werte in diesem Leitfaden sollten durch die tatsächlichen Werte für Ihre Umgebung ersetzt werden.

Registrieren von “Easy Button“

Bevor ein Client oder Dienst auf Microsoft Graph zugreifen kann, muss er von der Microsoft Identity Platform als vertrauenswürdig eingestuft werden.

In diesem ersten Schritt wird die Registrierung einer Mandanten-App erstellt, die zum Autorisieren des Easy Button-Zugriffs auf Graph verwendet wird. Durch diese Berechtigungen kann BIG-IP die Konfigurationen pushen, die zum Einrichten einer Vertrauensstellung zwischen einer SAML-SP-Instanz für eine veröffentlichte Anwendung und Azure AD als SAML-IdP erforderlich sind.

  1. Melden Sie sich beim Azure AD-Portal mit Anwendungsadministratorrechten an.

  2. Wählen Sie im linken Navigationsbereich den Dienst Azure Active Directory aus.

  3. Wählen Sie unter Verwalten die Option App-Registrierungen Neue Registrierung aus.

  4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Zum Beispiel *BIG-IP Easy Button von F5

  5. Geben Sie an, wer die Anwendung verwenden darf >>

  6. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.

  7. Navigieren Sie zu API-Berechtigungen, und autorisieren Sie die folgenden Anwendungsberechtigungen für Microsoft Graph:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Application.ReadWrite.OwnedBy
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Erteilen der Administratorzuwilligung für Ihre Organisation

  9. Wechseln Sie zu Zertifikate & Geheimnisse, generieren Sie einen neuen Geheimen Clientschlüssel, und notieren Sie diesen.

  10. Wechseln Sie zur Übersicht, und notieren Sie die Client-ID und die Mandanten-ID.

Konfigurieren von “Easy Button“

Initiieren Sie die gesteuerte APM-Konfiguration, um die Easy Button-Vorlage zu starten.

  1. Navigieren Sie zu Zugang > Geführte Konfiguration > Microsoft Integration und wählen Sie Azure AD Application aus.

    Screenshot for Configure Easy Button- Install the template

  2. Sehen Sie sich die Liste der Konfigurationsschritte an und wählen Sie Weiter.

    Screenshot for Configure Easy Button - List configuration steps

  3. Führen Sie die Abfolge der Schritte aus, die zum Veröffentlichen Ihrer Anwendung erforderlich sind.

    Configuration steps flow

Configuration Properties

Auf der Registerkarte Konfigurationseigenschaften werden eine neue Anwendungskonfiguration und ein neues SSO-Objekt erstellt.

Betrachten Sie den Abschnitt Azure-Dienstkontodetails als Repräsentation des Clients, den Sie zuvor in Ihrem Azure AD-Mandanten als Anwendung registriert haben. Diese Einstellungen ermöglichen es dem OAuth-Client von BIG-IP, einzelne SAML-SPs direkt in Ihrem Mandanten zu registrieren – zusammen mit den SSO-Eigenschaften, die Sie normalerweise manuell konfigurieren würden. Dies wird von Easy Button für jeden BIG-IP-Dienst durchgeführt, der veröffentlicht und für SHA aktiviert wird.

Einige dieser Einstellungen sind globale Einstellungen, die zum Veröffentlichen weiterer Anwendungen wiederverwendet werden können, was die Bereitstellungszeit und den Aufwand weiter reduziert.

  1. Geben Sie einen eindeutigen Konfigurationsnamen an, der es einem Administrator ermöglicht, einfach zwischen Easy Button-Konfigurationen zu unterscheiden.

  2. Ermöglichen Sie einmaliges Anmelden (Single Sign-On, SSO) HTTP Headers

  3. Geben Sie unter Mandanten-ID, „Client-ID“ und Geheimer Clientschlüssel die Werte ein, die Sie aus Ihrer registrierten Anwendung notiert haben.

  4. Bevor Sie Weiter auswählen, vergewissern Sie sich, dass die BIG-IP-Instanz erfolgreich eine Verbindung mit Ihrem Mandanten herstellen kann.

    Screenshot for Configuration General and Service Account properties

Dienstanbieter

Die Dienstanbietereinstellungen definieren die Eigenschaften des SAML-Dienstanbieters für die APM-Instanz, die die durch SHA geschützte Anwendung darstellt.

  1. Host eingeben. Dies ist der öffentliche FQDN der zu schützenden Anwendung.

  2. Entität eingeben Dies ist der Bezeichner, den Azure AD verwendet, um den SAML-SP zu identifizieren, der ein Token anfordert.

    Screenshot for Service Provider settings

    Geben Sie als Nächstes unter optionale Sicherheitseinstellungen an, ob Azure AD ausgestellte SAML-Assertionen verschlüsseln soll. Das Verschlüsseln von Assertions zwischen Azure AD und dem BIG-IP APM bietet Sicherheit, sodass die Inhaltstoken nicht abgefangen werden können und persönliche Daten oder Unternehmensdaten kompromittiert werden.

  3. Wählen Sie in der Liste Privater Schlüssel zur Assertion-Entschlüsselung die Option Neu erstellen aus.

    Screenshot for Configure Easy Button- Create New import

  4. Klicken Sie auf OK. Daraufhin wird das Dialogfeld Import SSL Certificate and Keys (SSL-Zertifikat und Schlüssel importieren) in einem neuen Tab geöffnet.

  5. Wählen Sie PKCS 12 (IIS) aus, um Ihr Zertifikat und Ihren privaten Schlüssel zu importieren. Schließen Sie nach der Bereitstellung den Browsertab, um zum Haupttab zurückzukehren.

    Screenshot for Configure Easy Button- Import new cert

  6. Aktivieren Sie das Kontrollkästchen Enable Encrypted Assertion (Verschlüsselte Assertionen aktivieren).

  7. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie Ihr Zertifikat aus der Liste Privater Schlüssel zur Assertion-Entschlüsselung aus. Dies ist der private Schlüssel für das Zertifikat, das BIG-IP APM zum Entschlüsseln Azure AD Assertionen verwendet.

  8. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie Ihr Zertifikat aus der Liste Zertifikat zur Assertion-Entschlüsselung aus. Dies ist das Zertifikat, das BIG-IP zum Verschlüsseln der ausgestellten SAML-Assertions in Azure AD hochlädt.

    Screenshot for Service Provider security settings

Azure Active Directory

In diesem Abschnitt werden alle Eigenschaften definiert, die Sie normalerweise zum manuellen Konfigurieren einer neuen BIG-IP-SAML-Anwendung in Ihrem Azure AD Mandanten verwenden. Easy Button bietet eine Reihe vordefinierter Anwendungsvorlagen für Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP sowie eine generische SHA-Vorlage für alle anderen Apps.

Wählen Sie für dieses Szenario Oracle PeopleSoft > Hinzufügen aus.

Screenshot for Azure configuration add BIG-IP application

Azure-Konfiguration

  1. Geben Sie den Anzeigenamen für die App ein, die BIG-IP in Ihrem Azure AD-Mandanten erstellt, und das Symbol, das die Benutzer*innen im MyApps-Portal sehen.

  2. Geben Sie in Anmelde-URL (optional) den öffentlichen FQDN der zu schützenden PeopleSoft-Anwendung ein.

    Screenshot for Azure configuration add display info

  3. Wählen Sie das Aktualisierungssymbol neben Signing Key (Signaturschlüssel) und neben Signing Certificate (Signaturzertifikat) aus, um das zuvor importierte Zertifikat zu finden.

  4. Geben Sie unter Signing Key Passphrase (Passphrase für Signaturschlüssel) das Kennwort des Zertifikats ein.

  5. Aktivieren Sie Signing Option (Signaturoption) (optional). Dadurch wird sichergestellt, dass BIG-IP nur Token und Ansprüche akzeptiert, die von Azure AD signiert wurden.

    Screenshot for Azure configuration - Add signing certificates info

  6. Benutzer- und Benutzergruppen werden dynamisch von Ihrem Azure AD Mandanten abgefragt und zum Autorisieren des Zugriffs auf die Anwendung verwendet. Fügen Sie einen Benutzer oder eine Gruppe hinzu, den bzw. die Sie später zum Testen verwenden können. Andernfalls wird der gesamte Zugriff verweigert

    Screenshot for Azure configuration - Add users and groups

Benutzerattribute & Ansprüche

Wenn sich ein Benutzer erfolgreich authentifiziert hat, gibt Azure AD ein SAML-Token mit einem Standardsatz von Ansprüchen und Attributen aus, die den Benutzer eindeutig identifizieren. Auf der Registerkarte Benutzerattribute &Ansprüche werden die Standardansprüche angezeigt, die für die neue Anwendung ausgestellt werden sollen. Außerdem können Sie mehr Ansprüche konfigurieren. Die Easy Button-Vorlage zeigt den vordefinierten Mitarbeiter-ID-Anspruch an, der von PeopleSoft benötigt wird.

Screenshot for user attributes and claims

Sie können bei Bedarf zusätzliche Azure AD-Attribute einschließen, doch für diese PeopleSoft-Beispielanwendung sind nur die vordefinierten Attribute erforderlich.

Zusätzliche Benutzerattribute

Die Registerkarte Zusätzliche Benutzerattribute kann eine Vielzahl verteilter Systeme unterstützen, die Attribute für die Sitzungserweiterung erfordern, die in anderen Verzeichnissen gespeichert sind. Attribute, die aus einer LDAP-Quelle abgerufen werden, können dann als zusätzliche SSO-Header eingefügt werden, um den Zugriff basierend auf Rollen, Partner-IDs usw. weiter zu steuern.

Screenshot for additional user attributes

Hinweis

Dieses Feature hängt nicht mit Azure AD zusammen, sondern ist eine weitere Quelle von Attributen.

Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff werden nach Azure AD Vorauthentifizierung erzwungen, um den Zugriff basierend auf Geräte-, Anwendungs-, Standort- und Risikosignalen zu steuern.

In der Ansicht Verfügbare Richtlinien werden standardmäßig alle Richtlinien für bedingten Zugriff aufgeführt, die keine benutzerbasierten Aktionen enthalten.

In der Ansicht Ausgewählte Richtlinien werden standardmäßig alle Richtlinien angezeigt, die auf alle Cloud-Apps ausgerichtet sind. Diese Richtlinien können nicht deaktiviert oder in die Liste „Available Policies“ (Verfügbare Richtlinien) verschoben werden, da sie auf Mandantenebene erzwungen werden.

So wählen Sie eine Richtlinie aus, die auf die zu veröffentlichende Anwendung angewendet werden soll:

  1. Wählen Sie die gewünschte Richtlinie in der Liste Verfügbare Richtlinien aus

  2. Wählen Sie den rechten Pfeil aus und verschieben Sie ihn in die Liste Ausgewählte Richtlinien

    Bei den ausgewählten Richtlinien muss entweder die Option Include (Einschließen) oder Exclude (Ausschließen) aktiviert sein. Wenn beide Optionen aktiviert sind, wird die Richtlinie nicht erzwungen.

    Screenshot for CA policies

Hinweis

Die Richtlinienliste wird beim ersten Wechsel zu dieser Registerkarte nur einmal aufzählt. Eine Aktualisierungsschaltfläche ist verfügbar, um den Assistenten zum Abfragen Ihres Mandanten manuell zu zwingen. Diese Schaltfläche wird jedoch nur angezeigt, wenn die Anwendung bereitgestellt wurde.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird, die auf Clientanforderungen für die Anwendung lauscht. Jeder empfangene Datenverkehr wird verarbeitet und anhand des APM-Zugriffsprofils ausgewertet, das dem virtuellen Server zugeordnet ist, bevor er gemäß den Richtlinienergebnissen und -einstellungen weitergeleitet wird.

  1. Geben Sie Zieladresse ein. Dies ist eine beliebige verfügbare IPv4/IPv6-Adresse, die BIG-IP zum Empfangen von Clientdatenverkehr verwenden kann. Ein entsprechender Eintrag sollte auch im DNS vorhanden sein, damit Clients anstelle der Anwendung selbst die externe URL Ihrer veröffentlichten BIG-IP-Anwendung in diese IP-Adresse auflösen können. Zum Testen ist es in Ordnung, das Localhost-DNS des Test-PCs zu verwenden.

  2. Geben Sie Service Port als 443 für HTTPS ein

  3. Aktivieren Sie Umleitungsport aktivieren und geben Sie dann Umleitungsport ein. Eingehender HTTP-Clientdatenverkehr wird an HTTPS umgeleitet.

  4. Das Client-SSL-Profil aktiviert den virtuellen Server für HTTPS, damit Clientverbindungen über TLS verschlüsselt werden. Wählen Sie das Client-SSL-Profil aus, das Sie als Teil der Voraussetzungen erstellt haben, oder behalten Sie die Standardeinstellung bei, wenn Sie testen

    Screenshot for Virtual server

Pooleigenschaften

Auf der Registerkarte Anwendungspool werden die Dienste hinter einer BIG-IP detailliert aufgeführt, wobei sie als Pool, der einen oder mehrere Anwendungsserver enthält, dargestellt werden.

  1. Wählen Sie von Pool auswählen aus. Erstellen Sie eine neuen Pool, oder wählen Sie einen vorhandenen Pool aus.

  2. Wählen Sie die Load-Balancing-Methode als Round Robin aus

  3. Wählen Sie für Poolserver einen vorhandenen Knoten aus, oder geben Sie eine IP und einen Port für die Server an, die die PeopleSoft-Anwendung hosten.

    Screenshot for Application pool

Einmaliges Anmelden und HTTP-Header

Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO bei veröffentlichten Anwendungen. Da die PeopleSoft-Anwendung Header erwartet, aktivieren Sie HTTP-Header, und geben Sie die folgenden Eigenschaften ein.

  • Headervorgang: Ersetzen.
  • Headername: PS_SSO_UID
  • Headerwert: %{session.sso.token.last.username}

Screenshot for SSO and HTTP headers

Hinweis

Bei APM-Sitzungsvariablen, die in geschweiften Klammern definiert sind, wird zwischen Groß-/Kleinschreibung unterschieden. Wenn Sie beispielsweise „OrclGUID“ eingeben, der Azure AD-Attributname jedoch als „orclguid“ definiert ist, tritt ein Attributzuordnungsfehler auf.

Sitzungsverwaltung

Die Sitzungsverwaltungseinstellungen von BIG-IPs werden verwendet, um die Bedingungen zu definieren, unter denen Benutzersitzungen beendet oder fortgesetzt werden dürfen, Beschränkungen für Benutzer und IP-Adressen sowie entsprechende Benutzerinformationen. Weitere Informationen zu diesen Einstellungen finden Sie in der F5-Dokumentation.

Was hier jedoch nicht behandelt wird, ist die Funktionalität für einmaliges Abmelden (Single Log-Out, SLO), die sicherstellt, dass alle Sitzungen zwischen dem IdP, BIG-IP und dem Benutzer-Agent beendet werden, wenn sich Benutzer*innen abmelden. Wenn Easy Button eine SAML-Anwendung in Ihrem Azure AD-Mandanten instanziiert, wird auch die Abmelde-URL mit dem SLO-Endpunkt von APM aufgefüllt. Auf diese Weise beenden IdP-initiierte Abmeldungen über das MyApps-Portal von Azure AD auch die Sitzung zwischen BIG-IP und einem Client.

Außerdem werden die SAML-Verbundmetadaten für die veröffentlichte Anwendung aus Ihrem Mandanten importiert, wodurch APM der SAML-Abmeldeendpunkt für Azure AD bereitgestellt wird. Dadurch wird sichergestellt, dass SP-initiierte Abmeldungen die Sitzung zwischen einem Client und Azure AD beenden. Damit dies wirklich effektiv ist, muss APM jedoch genau wissen, wann sich Benutzer*innen von einer Anwendung abmelden.

Wenn das BIG-IP-Webtopportal für den Zugriff auf veröffentlichte Anwendungen verwendet wird, wird eine Abmeldung von dort von der APM-Instanz verarbeitet, damit auch der Azure AD-Abmeldeendpunkt aufgerufen wird. Stellen Sie sich jedoch ein Szenario vor, bei dem das BIG-IP-Webtopportal nicht verwendet wird und Benutzer*innen APM nicht anweisen können, sie abzumelden. Selbst wenn sich Benutzer*innen von der Anwendung selbst abmelden, bemerkt BIG-IP dies technisch nicht. Aus diesem Grund muss die vom SP initiierte Abmeldung sorgfältig geprüft werden, um sicherzustellen, dass die Sitzungen sicher beendet werden, wenn sie nicht mehr benötigt werden. Eine Möglichkeit, dies zu erreichen, ist das Hinzufügen einer SLO-Funktion zur Abmeldeschaltfläche Ihrer Anwendungen, damit Ihr Client entweder an den Azure AD-SAML- oder den BIG-IP-Abmeldeendpunkt umgeleitet werden kann. Die URL für den SAML-Abmeldeendpunkt für Ihren Mandanten finden Sie unter „App-Registrierungen > Endpunkte“.

Wenn eine Änderung der Anwendung nicht möglich ist, sollte BIG-IP auf den Abmeldeaufruf der Anwendung lauschen und beim Erkennen der Anforderung ein SLO auslösen. Um dies zu erreichen, lesen Sie Einmaliges Abmelden von PeopleSoft im nächsten Abschnitt.

Zusammenfassung

Dieser letzte Schritt liefert eine Aufschlüsselung Ihrer Konfigurationen. Wählen Sie Deploy (Bereitstellen) aus, um alle Einstellungen zu committen, und vergewissern Sie sich, dass die Anwendung jetzt in Ihrer Mandantenliste mit Unternehmensanwendungen enthalten ist. Ihre Anwendung sollte dann veröffentlicht und über SHA zugänglich sein, entweder direkt über die URL oder über die Anwendungsportale von Microsoft.

Konfigurieren von PeopleSoft

Oracle Access Manager bietet Identitäts- und Zugriffsverwaltung für PeopleSoft-Anwendungen. Weitere Informationen finden Sie unter Integrieren von PeopleSoft mit Oracle Access Manager.

Konfigurieren des SSO von Oracle Access Manager

In diesem Szenario konfigurieren Sie Oracle Access Manager so, dass das SSO von BIG-IP akzeptiert wird.

  1. Melden Sie sich bei der PeopleSoft-Konsole mit Administratoranmeldeinformationen an.

Screenshot for PeopleSoft console

  1. Navigieren Sie zu PeopleTools > Sicherheit > Benutzerprofile > Benutzerprofile, und erstellen Sie ein neues Benutzerprofil.

  2. Geben Sie die Benutzer-ID als OAMPSFT ein.

  3. Weisen Sie eine Benutzerrolle als PeopleSoft-Benutzer zu, und wählen Sie Speichern aus.

Screenshot for User Profiles

  1. Navigieren Sie zu PeopleTools>Webprofile, um das verwendete Webprofil auszuwählen.

  2. Wählen Sie die Registerkarte Sicherheit aus, und aktivieren Sie im Abschnitt Öffentliche Benutzer die Option Öffentlichen Zugriff erlauben.

  3. Geben Sie die Benutzer-ID als OAMPSFT zusammen mit dem Kennwort des Kontos ein.

Screenshot for Web Profile configuration

  1. Verlassen Sie die Peoplesoft-Konsole, und starten Sie den PeopleTools-Anwendungsdesigner.

  2. Klicken Sie mit der rechten Maustaste auf das Feld LDAPAUTH, und wählen Sie PeopleCode anzeigen aus.

Screenshot for Application Designer

  1. Wenn das LDAPAUTH-Codefenster geöffnet wird, suchen Sie die OAMSSO_AUTHENTICATION-Funktion heraus.

  2. Ersetzen Sie den Wert, der der Standardeinstellung &defaultUserId zugewiesen ist, durch OAMPSFT, was im Webprofil definiert wurde.

    Screenshot for OAMSSO_AUTHENTICATION function

  3. Speichern Sie den Datensatz, und navigieren Sie zu PeopleTools > Sicherheit > Sicherheitsobjekte >PeopleCode anmelden.

  4. Aktivieren Sie die OAMSSO_AUTHENTICATION-Funktion.

    ![Screenshot zum Aktivieren von „PeopleCode anmelden“] (./media/f5-big-ip-easy-button-oracle-peoplesoft/enabling-sign-on people-code.png)

Einmaliges Abmelden von PeopleSoft

PeopleSoft-SLO wird initiiert, wenn Sie sich vom Microsoft MyApps-Portal abmelden, das wiederum den BIG-IP-SLO-Endpunkt aufruft.

BIG-IP benötigt Anweisungen, um für die Anwendung ein SLO auszuführen. Eine Möglichkeit besteht in der Änderung der Abmeldefunktion für Anwendungen, sodass der BIG-IP-SLO-Endpunkt aufgerufen wird, doch dies ist mit PeopleSoft nicht möglich. BIG-IP sollte lauschen, wenn Benutzer*innen eine Abmeldeanforderung an PeopleSoft senden, um ein SLO auszulösen.

So fügen Sie eine SLO-Unterstützung für alle PeopleSoft-Benutzer*innen hinzu:

  1. Ermitteln Sie die richtige Abmelde-URL für das PeopleSoft-Portal.

  2. Öffnen Sie das Portal über einen Webbrowser mit aktivierten Debugtools. Suchen Sie nach dem Element mit der ID PT_LOGOUT_MENU, und speichern Sie den URL-Pfad mit den Abfrageparametern. In diesem Beispiel lautet er wie folgt: /psp/ps/?cmd=logout

    Screenshot for PeopleSoft logout URL

Erstellen Sie als Nächstes eine BIG-IP-iRule zum Umleiten von Benutzer*innen an den SAML-SP-Abmeldeendpunkt: /my.logout.php3.

  1. Navigieren Sie zu Lokaler Datenverkehr > iRules-Liste > Erstellen, und stellen Sie einen Namen für Ihre Regel bereit.

  2. Geben Sie die folgenden Befehlszeilen ein, und wählen Sie dann Fertig gestellt aus.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

So weisen Sie diese iRule dem virtuellen BIG-IP-Server zu:

  1. Navigieren Sie zu Zugriff > Gesteuerte Konfiguration.

  2. Wählen Sie den Konfigurationslink für Ihre PeopleSoft-Anwendung aus.

    Screenshot for link for your PeopleSoft application

  3. Wählen Sie in der oberen Navigationsleiste Virtueller Server, und aktivieren Sie Erweiterte Einstellungen.

    Screenshot for Enable Advanced settings

  4. Scrollen Sie bis ans Ende, und fügen Sie die iRule hinzu, die Sie gerade eben erstellt haben.

    Screenshot for PeopleSoft irule

  5. Wählen Sie Speichern und weiter, und fahren Sie mit dem Bereitstellen Ihrer neuen Einstellungen fort.

Weitere Einzelheiten finden Sie im F5-Knowledge-Artikel Konfigurieren der automatischen Sitzungsbeendigung (Logout) basierend auf einem Dateinamen mit URI-Verweis und unter Übersicht über die Option „Logout URI Include“ („Logout-URI einschließen“).

Standardeinstellung: PeopleSoft-Landing Page

Es ist zwar am besten, wenn eine Anwendung Benutzer*innen zur Landing Page umleitet, Sie können jedoch auch eine ähnliche iRule erstellen, um dies auf BIG-IP zu erreichen. In diesem Szenario leiten Sie alle Benutzeranforderungen vom Stamm („/“) zum externen PeopleSoft-Portal um, das sich normalerweise hier befindet: „/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL“.

  1. Navigieren Sie zu Lokaler Datenverkehr > iRule, wählen Sie iRule_PeopleSoft aus, und fügen Sie diese Befehlszeilen hinzu:

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. Weisen Sie die iRule wie in den obigen Schritten dem virtuellen BIG-IP-Server zu.

Nächste Schritte

Stellen Sie in einem Browser eine Verbindung mit der externen URL der PeopleSoft-Anwendung her, oder wählen Sie das Symbol der Anwendung im Microsoft MyApps-Portal aus. Nach der Authentifizierung bei Azure AD werden Sie zum virtuellen BIG-IP-Server für die Anwendung weitergeleitet und durch SSO (einmaliges Anmelden) automatisch angemeldet.

Um die Sicherheit zu erhöhen, könnten Organisationen, die dieses Muster verwenden, auch erwägen, den direkten Zugriff auf die Anwendung zu blockieren, damit ein strikter Pfad über BIG-IP erzwungen wird.

Erweiterte Bereitstellung

Es kann Fälle geben, in denen die Vorlagen für die geführte Konfiguration nicht flexibel genug sind, um spezifischere Anforderungen zu erfüllen. Informationen zu diesen Szenarien finden Sie unter Erweiterte Konfiguration für headerbasiertes einmaliges Anmelden. Alternativ bietet BIG-IP die Möglichkeit, den strikten Verwaltungsmodus der geführten Konfiguration zu deaktivieren. Dadurch können Sie Ihre Konfigurationen manuell optimieren, auch wenn der Großteil Ihrer Konfigurationen mithilfe der assistentenbasierten Vorlagen automatisiert wird.

Sie können dann zu Access Guided Configuration (Zugriff > Geführte Konfiguration) navigieren und ganz rechts in der Zeile für Ihre Anwendungskonfigurationen das kleine Vorhängeschlosssymbol auswählen.

Screenshot for Configure Easy Button - Strict Management

An diesem Punkt sind Änderungen über die Benutzeroberfläche des Assistenten nicht mehr möglich, aber alle BIG-IP-Objekte, die der veröffentlichten Instanz der Anwendung zugeordnet sind, werden für die direkte Verwaltung entsperrt.

Hinweis

Wenn Sie den strikten Modus erneut aktivieren und eine Konfiguration bereitstellen, werden alle Einstellungen überschrieben, die außerhalb der Benutzeroberfläche für die geführte Konfiguration vorgenommen wurden. Für Produktionsdienste empfiehlt sich daher die erweiterte Konfigurationsmethode.

Problembehandlung

Fehler beim Zugriff auf eine durch SHA geschützte Anwendung können auf eine viele Faktoren zurückzuführen sein. Die BIG-IP-Protokollierung kann dabei helfen, eine Vielzahl von Problemen mit Konnektivität, SSO, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen schnell herauszufiltern. Beginnen Sie mit der Problembehandlung, indem Sie den Ausführlichkeitsgrad des Protokolls erhöhen.

  1. Navigieren Sie zu Zugriffsrichtlinien Übersicht > Ereignisprotokolle > Einstellungen

  2. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung und dann Bearbeiten> Auf Systemprotokolle zugreifen aus.

  3. Wählen Sie Debug (Debuggen) in der SSO-Liste und dann OK aus.

Reproduzieren Sie Ihr Problem, und überprüfen Sie dann die Protokolle, aber denken Sie daran, dies wieder zurückzuändern, wenn Sie fertig sind, da der ausführliche Modus viele Daten generiert. Wenn Sie unmittelbar nach einer erfolgreichen Azure AD-Vorauthentifizierung einen BIG-IP-Fehler sehen, ist es möglich, dass das Problem mit SSO von Azure AD zu BIG-IP zusammenhängt.

  1. Navigieren Sie zu Zugang Übersicht > Zugriff auf Berichte

  2. Führen Sie den Bericht für die letzte Stunde aus, um herauszufinden, ob die Protokolle Hinweise enthalten. Der Link Sitzungsvariablen anzeigen für Ihre Sitzung hilft auch zu verstehen, ob das APM die erwarteten Ansprüche von Azure AD erhält

Wenn keine BIG-IP-Fehlerseite angezeigt wird, hängt das Problem wahrscheinlich eher mit der Back-End-Anforderung oder dem einmaligen Anmelden von BIG-IP bei der Anwendung zusammen.

  1. Navigieren Sie in diesem Fall zu Zugriffsrichtlinien > Übersicht > Aktive Sitzungen, und wählen Sie den Link für Ihre aktive Sitzung aus.

  2. Der Link Variablen anzeigen an diesem Ort kann auch beim Ermitteln der Grundursache der SSO-Probleme helfen, insbesondere wenn die BIG-IP-APM-Instanz die richtigen Attribute nicht von den Sitzungsvariablen abrufen kann.

Weitere Informationen finden Sie unter Beispiele für Zuweisungen von BIG-IP-APM-Variablen und unter Empfehlung für F5-BIG-IP-Sitzungsvariablen.