Freigeben über

Tutorial: Konfigurieren von F5 BIG-IP Easy Button für einmaliges Anmelden (SSO) bei Oracle EBS

Erfahren Sie, wie Sie Oracle Enterprise Business Suite (EBS) mithilfe von Microsoft Entra ID und F5 BIG-IP Easy Button Guided Configuration schützen. Die Integration einer BIG-IP in Microsoft Entra ID hat viele Vorteile:

  • Verbesserte Zero Trust-Governance durch Vorabauthentifizierung und bedingten Zugriff von Microsoft Entra
  • Vollständiges einmaliges Anmelden zwischen Microsoft Entra ID und per BIG-IP veröffentlichten Diensten
  • Verwaltete Identitäten und Zugriff über eine einzelne Steuerungsebene

Weitere Informationen:

Beschreibung des Szenarios

In diesem Szenario wird die klassische Oracle EBS-Anwendung behandelt, die mithilfe von HTTP-Autorisierungsheadern den Zugriff auf geschützte Inhalte steuert.

Legacyanwendungen fehlt es an modernen Protokollen zur Unterstützung der Integration in Microsoft Entra. Eine Modernisierung ist kostspielig, zeitaufwändig und birgt das Risiko von Ausfallzeiten. Verwenden Sie stattdessen einen F5 BIG-IP Application Delivery Controller (ADC), um die Lücke zwischen Legacyanwendungen und moderner ID-Steuerungsebene (mit Protokollübergang) zu schließen.

Ein der App vorgeschaltetes BIG-IP ermöglicht es, den Dienst mit Microsoft Entra-Vorab-Authentifizierung und headerbasiertem SSO zu überlagern. Diese Konfiguration verbessert den Sicherheitsstatus der Anwendung.

Szenarioarchitektur

Die Lösung für sicheren Hybridzugriff (Secure Hybrid Access, SHA) besteht aus den folgenden Komponenten:

  • Oracle EBS-Anwendung – veröffentlichter Dienst BIG-IP, der durch Microsoft Entra SHA geschützt wird
  • Microsoft Entra ID - SAML-Identitätsanbieter (Security Assertion Markup Language) (IdP), der Benutzerdaten überprüft, bedingten Zugriff ermöglicht und SAML-basiertes SSO für die BIG-IP bereitstellt.
    • Durch die SSO-Funktionalität stellt Microsoft Entra ID BIG-IP die erforderlichen Sitzungsattribute bereit
  • Oracle Internet Directory (OID) – Hosten der Benutzerdatenbank
    • BIG-IP überprüft Autorisierungsattribute mit LDAP.
  • Oracle E-Business Suite AccessGate – überprüft Autorisierungsattribute mit dem OID-Dienst und gibt dann EBS-Zugriffscookies aus.
  • BIG-IP: Reverseproxy und SAML-Dienstanbieter (SP) für die Anwendung
    • Die Authentifizierung wird an den SAML-IdP delegiert. Anschließend erfolgt headerbasiertes einmaliges Anmelden bei der Oracle-Anwendung.

SHA unterstützt vom SP und IdP eingeleitete Flows. Die folgende Abbildung veranschaulicht den durch den SP eingeleiteten Flow.

Diagramm des sicheren Hybridzugriffs basierend auf dem vom SP initiierten Fluss.

  1. Der Benutzer stellt eine Verbindung mit dem Anwendungsendpunkt (BIG-IP) her.
  2. Die BIG-IP-APM-Zugriffsrichtlinie leitet Benutzer an Microsoft Entra ID (SAML IdP) um.
  3. Microsoft Entra führt eine Vorauthentifizierung von Benutzern durch und wendet Richtlinien für bedingten Zugriff an.
  4. Der Benutzer wird zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und einmaliges Anmelden erfolgt unter Verwendung des ausgestellten SAML-Tokens.
  5. BIG-IP führt eine LDAP-Abfrage für das UID-Attribut (Unique ID) des Benutzers aus.
  6. BIG-IP fügt das zurückgegebene UID-Attribut als Header des Typs user_orclguid in die EBS-Sitzungscookieanforderung an Oracle AccessGate ein.
  7. Oracle AccessGate überprüft die UID im Abgleich mit dem OID-Dienst und stellt ein EBS-Zugriffscookie aus.
  8. Oracle EBS verwendet den an die Anwendung gesendeten Header und das Cookie und gibt die Nutzdaten an den Benutzer zurück.

Voraussetzungen

Sie benötigen folgende Komponenten:

  • Azure-Abonnement
  • Die Rolle „Cloudanwendungsadministrator“ oder „Anwendungsadministrator“.
  • Eine BIG-IP-Instanz oder Bereitstellung einer BIG-IP Virtual Edition (VE) in Azure
  • Eine der folgenden F5 BIG-IP-Lizenz-SKUs:
    • F5 BIG-IP® Best Bundle
    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM)
    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 Tage gültige Testversion für sämtliche Features von BIG-IP. Siehe kostenlose Testversionen.
  • Benutzeridentitäten, die aus einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden
  • Ein SSL-Zertifikat zum Veröffentlichen von Diensten über HTTPS oder zum Verwenden von Standardzertifikaten beim Testen
  • Oracle EBS, Oracle AccessGate und eine LDAP-fähige Oracle Internet Database (OID)

BIG-IP-Konfigurationsmethode

In diesem Tutorial wird Guided Configuration v16.1 mit einer Easy Button-Vorlage verwendet. Die Easy Button-Vorlage erspart Administratoren Umwege beim Aktivieren von Diensten für SHA. Bereitstellung und Richtlinienverwaltung erfolgen durch den APM-Assistenten für Guided Configuration und Microsoft Graph. Durch diese Integration wird sichergestellt, dass Anwendungen Identitätsverbund, einmaliges Anmelden (Single Sign-On, SSO) und bedingten Zugriff unterstützen, wodurch sich der Verwaltungsaufwand reduziert.

Hinweis

Ersetzen Sie Beispielzeichenfolgen oder -werte durch Angaben für Ihre Umgebung.

Registrieren von Easy Button

Bevor ein Client oder Dienst auf Microsoft Graph zugreift, muss die Microsoft Identity Platform diesem vertrauen.

Weitere Informationen: Schnellstart: Registrieren einer Anwendung mit der Microsoft Identity Platform

Erstellen Sie die Registrierung einer Mandanten-App, um den Easy Button-Zugriff auf Graph zu autorisieren. Die BIG-IP-Instanz kann Konfigurationen zum Einrichten einer Vertrauensstellung zwischen einer SAML-SP-Instanz für eine veröffentlichte Anwendung und Microsoft Entra ID als SAML-Identitätsanbieter (Identity Provider, IdP) per Push übertragen.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>App-Registrierungen>Neue Registrierung.

  3. Geben Sie einen Anwendungsnamen ein. Zum Beispiel „F5 BIG-IP Easy Button“.

  4. Geben Sie an, wer die Anwendungskonten >nur in diesem Organisationsverzeichnis verwenden kann.

  5. Wählen Sie "Registrieren" aus.

  6. Navigieren Sie zu API-Berechtigungen.

  7. Autorisieren Sie die folgenden Microsoft Graph-Anwendungsberechtigungen:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Erteilen Sie die Administratoreinwilligung für Ihre Organisation.

  9. Wechseln Sie zu Zertifikaten und Geheimnissen.

  10. Generieren Sie einen neuen geheimen Clientschlüssel. Notieren Sie den geheimen Clientschlüssel.

  11. Wechseln Sie zur Übersicht. Notieren Sie sich die Client-ID und Mandanten-ID.

Konfigurieren von Easy Button

  1. Initiieren Sie die APM-geführte Konfiguration.

  2. Starten Sie die Vorlage "Einfache Schaltfläche" .

  3. Navigieren Sie zu Access > Guided Configuration > Microsoft Integration.

  4. Wählen Sie "Microsoft Entra-Anwendung" aus.

  5. Überprüfen Sie die Konfigurationsoptionen.

  6. Wählen Sie "Weiter" aus.

  7. Veröffentlichen Sie Ihre Anwendung mithilfe der Grafik.

    Screenshot der Grafik, die konfigurationsbereiche angibt.

Konfigurationseigenschaften

Auf der Registerkarte "Konfigurationseigenschaften " wird eine BIG-IP Anwendungskonfiguration und ein SSO-Objekt erstellt. Der Abschnitt "Azure Service Account Details " stellt den Client dar, den Sie in Ihrem Microsoft Entra-Mandanten als Anwendung registriert haben. Mithilfe dieser Einstellungen registriert ein BIG-IP-OAuth-Client einen SAML-Dienstanbieter mit SSO-Eigenschaften in Ihrem Mandanten. Easy Button führt diese Aktion für von BIG-IP veröffentlichte und für SHA aktivierte Dienste aus.

Um Zeit und Aufwand zu reduzieren, verwenden Sie globale Einstellungen zur Veröffentlichung anderer Anwendungen wieder.

  1. Geben Sie einen Konfigurationsnamen ein.
  2. Wählen Sie für Einmaliges Anmelden (Single Sign-On, SSO) und HTTP-Headerdie Option "Ein" aus.
  3. Für Mandanten-ID, Client-ID und Client Secret geben Sie die während der Easy Button-Clientregistrierung notierten Informationen ein.
  4. Vergewissern Sie sich, dass BIG-IP eine Verbindung mit Ihrem Mandanten herstellen kann.
  5. Wählen Sie "Weiter" aus.

Dienstanbieter

Verwenden Sie Dienstanbietereinstellungen für die Eigenschaften der SAML-SP-Instanz der geschützten Anwendung.

  1. Geben Sie für Host den öffentlichen FQDN der Anwendung ein.

  2. Geben Sie bei der Entitäts-ID den Bezeichner ein, den Microsoft Entra ID für den SAML-SP verwendet, der ein Token anfordert.

    Screenshot für Dienstanbietereingaben und -optionen.

  3. (Optional) Aktivieren oder deaktivieren Sie in den Sicherheitseinstellungen die Option " Verschlüsselte Assertion aktivieren ". Das Verschlüsseln von Assertionen zwischen Microsoft Entra ID und BIG-IP APM bedeutet, dass Inhaltstoken nicht abgefangen und personenbezogene oder Unternehmensdaten nicht kompromittiert werden können.

  4. Wählen Sie in der Liste "Assertion Decryption Private Key" die Option "Neu erstellen" aus.

    Screenshot der Option „Create New“ (Neu erstellen) in der Dropdownliste „Assertion Decryption Private Key“ (Privater Schlüssel zur Entschlüsselung von Assertionen).

  5. Wählen Sie "OK" aus.

  6. Das Dialogfeld "SSL-Zertifikat und Schlüssel importieren " wird auf einer neuen Registerkarte angezeigt.

  7. Wählen Sie PKCS 12 (IIS) aus.

  8. Zertifikat und privater Schlüssel werden importiert.

  9. Schließen Sie die Browserregisterkarte, um zur Hauptregisterkarte zurückzukehren.

    Screenshot der Eingabe für Importtyp, Zertifikat- und Schlüsselname und Kennwort.

  10. Wählen Sie "Verschlüsselte Assertion aktivieren" aus.

  11. Für die aktivierte Verschlüsselung wählen Sie aus der Liste Assertion Decryption Private Key den privaten Zertifikatschlüssel aus, den BIG-IP APM verwendet, um Microsoft Entra-Assertions zu entschlüsseln.

  12. Bei aktivierter Verschlüsselung wählen Sie in der Liste Assertion Decryption Certificate (Zertifikat zum Entschlüsseln von Assertionen) das Zertifikat aus, das BIG-IP in Microsoft Entra ID hochlädt, um die ausgestellten SAML-Assertionen zu verschlüsseln.

    Screenshot der ausgewählten Zertifikate für Assertion Decryption Private Key und Assertion Decryption Certificate.

Microsoft Entra ID

Easy Button umfasst Anwendungsvorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP sowie eine allgemeine SHA-Vorlage. Der folgende Screenshot zeigt die Option „Oracle E-Business Suite“ unter „Azure Configuration“ (Azure-Konfiguration).

  1. Wählen Sie Oracle E-Business Suite aus.
  2. Wählen Sie "Hinzufügen" aus.

Azure-Konfiguration

  1. Geben Sie einen Anzeigenamen für die App ein, die BIG-IP in Ihrem Microsoft Entra-Mandanten erstellt, und das Symbol, das in MyApps erscheint.

  2. Geben Sie unter Anmelde-URL (optional) den öffentlichen FQDN der EBS-Anwendung ein.

  3. Geben Sie den Standardpfad für die Oracle EBS-Startseite ein.

  4. Wählen Sie neben dem Signaturschlüssel und dem Signaturzertifikat das Aktualisierungssymbol aus.

  5. Wechseln Sie zum Zertifikat, das Sie importiert haben.

  6. Geben Sie bei der Signaturschlüsselpassphrase das Zertifikatkennwort ein.

  7. (Optional) Signaturoption aktivieren. Durch diese Option wird sichergestellt, dass BIG-IP von Microsoft Entra ID signierte Token und Ansprüche akzeptiert.

    Screenshot der Optionen und Einträge für Signaturschlüssel, Signaturzertifikat und Signaturschlüsselpassphrase.

  8. Fügen Sie für Benutzer- und Benutzergruppen einen Benutzer oder eine Gruppe zu Testzwecken hinzu, andernfalls wird der gesamte Zugriff verweigert. Benutzer*innen und Benutzergruppen werden von Ihrem Microsoft Entra-Mandanten dynamisch abgefragt und zum Autorisieren des Zugriffs auf die Anwendung verwendet.

    Screenshot der Option

Benutzerattribute & Ansprüche

Wenn sich ein Benutzer authentifiziert, stellt Microsoft Entra ID ein SAML-Token mit Standardansprüchen und -attributen zum Identifizieren des Benutzers aus. Die Registerkarte Benutzerattribute & Ansprüche enthält Standardansprüche, die für die neue Anwendung ausgegeben werden. In diesem Bereich können weitere Ansprüche konfiguriert werden. Fügen Sie bei Bedarf Microsoft Entra-Attribute hinzu. Für das Oracle EBS-Szenario sind jedoch die Standardattribute erforderlich.

Screenshot der Optionen und Einträge für Benutzerattribute und Ansprüche.

Zusätzliche Benutzerattribute

Die Registerkarte "Zusätzliche Benutzerattribute " unterstützt verteilte Systeme, die attribute erfordern, die in Verzeichnissen für die Sitzungserweiterung gespeichert sind. Attribute, die aus einer LDAP-Quelle abgerufen werden, werden dann als zusätzliche SSO-Header eingefügt, um den Zugriff anhand von Rollen, Partner-ID usw. zu steuern.

  1. Aktivieren Sie die Option "Erweiterte Einstellungen" .

  2. Aktivieren Sie das Kontrollkästchen LDAP-Attribute .

  3. Wählen Sie unter "Authentifizierungsserver auswählen" die Option "Neu erstellen" aus.

  4. Wählen Sie je nach Setup den Modus 'Pool verwenden' oder 'Direkte Verbindung' für die Ziel-LDAP-Dienstserveradresse aus. Wählen Sie für einen einzelnen LDAP-Server "Direkt" aus.

  5. Geben Sie für service port3060 (Standard), 3161 (Sicher) oder einen anderen Port für den Oracle LDAP-Dienst ein.

  6. Geben Sie einen Base Search DN (DN für Basissuche) ein. Anhand des Distinguished Name (DN) können Sie in einem Verzeichnis nach Gruppen suchen.

  7. Geben Sie für Admin DN den Distinguished Name des Kontos ein, den APM zur Authentifizierung von LDAP-Abfragen verwendet.

  8. Geben Sie für das Administratorkennwort das Kennwort ein.

    Screenshot der Optionen und Einträge für zusätzliche Benutzerattribute.

  9. Behalten Sie die standardmäßigen LDAP-Schemaattribute bei.

    Screenshot für LDAP-Schemaattribute

  10. Geben Sie unter "LDAP-Abfrageeigenschaften" für "Search Dn " den LDAP-Serverbasisknoten für die Benutzerobjektsuche ein.

  11. Geben Sie für erforderliche Attribute den Namen des Benutzerobjekt-Attributs ein, das aus dem LDAP-Verzeichnis zurückgegeben werden soll. Für EBS ist die Standardeinstellung orclguid.

    Screenshot der Einträge und Optionen für LDAP-Abfrageeigenschaften

Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff steuern den Zugriff auf der Grundlage von Gerät, Anwendung, Standort und Risikosignalen. Richtlinien werden nach der Microsoft Entra-Vorauthentifizierung erzwungen. Die Ansicht „ Available Policies“ (Verfügbare Richtlinien) zeigt Richtlinien für bedingten Zugriff ohne Benutzeraktionen. In der Ansicht „Selected Policies“ (Ausgewählte Richtlinien) werden Richtlinien für Cloud-Apps gezeigt. Sie können diese Richtlinien nicht deaktivieren oder in die Liste „Available Policies“ (Verfügbare Richtlinien) verschieben, da sie auf Mandantenebene erzwungen werden.

So wählen Sie eine Richtlinie für die zu veröffentlichende Anwendung aus

  1. Wählen Sie unter "Verfügbare Richtlinien" eine Richtlinie aus.

  2. Wählen Sie den Pfeil nach rechts aus.

  3. Verschieben Sie die Richtlinie auf ausgewählte Richtlinien.

    Hinweis

    Die Option "Einschließen " oder "Ausschließen " ist für einige Richtlinien ausgewählt. Wenn beide Optionen aktiviert sind, wird die Richtlinie nicht erzwungen.

    Screenshot der Option

    Hinweis

    Wählen Sie die Registerkarte " Richtlinie für bedingten Zugriff " aus, und die Richtlinienliste wird angezeigt. Wählen Sie Refresh (Aktualisieren) aus, woraufhin der Assistent Ihren Mandanten abfragt. „Refresh“ (Aktualisieren) wird für bereitgestellte Anwendungen angezeigt.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird, die auf Anwendungsclientanforderungen lauscht. Der empfangene Datenverkehr wird verarbeitet und anhand des APM-Profils ausgewertet, das dem virtuellen Server zugeordnet ist. Datenverkehr wird anschließend entsprechend der Richtlinie weitergeleitet.

  1. Geben Sie eine Zieladresse ein, eine IPv4- oder IPv6-Adresse, die BIG-IP verwendet, um den Client-Verkehr zu empfangen. Achten Sie darauf, dass ein entsprechender Eintrag in DNS vorhanden ist, damit Clients die externe URL der von BIG-IP veröffentlichten Anwendung zu der IP-Adresse auflösen können. Verwenden Sie zum Testen auf einem Testcomputer das DNS von localhost.

  2. Geben Sie für den Dienstport443 ein, und wählen Sie HTTPS aus.

  3. Wählen Sie "Umleitungsport aktivieren" aus.

  4. Geben Sie für "Umleitungsport" 80 ein, und wählen Sie "HTTP" aus. Diese Option leitet eingehenden HTTP-Clientdatenverkehr zu HTTPS um.

  5. Wählen Sie das von Ihnen erstellte Client-SSL-Profil aus, oder lassen Sie die Standardeinstellung für Tests. Das Client-SSL-Profil aktiviert den virtuellen Server für HTTPS. Clientverbindungen werden mit TLS verschlüsselt.

    Screenshot der Optionen und Auswahlen für Virtual Server-Eigenschaften.

Pooleigenschaften

Die Registerkarte "Anwendungspool " verfügt über Dienste hinter einer BIG-IP, einem Pool mit einem oder mehreren Anwendungsservern.

  1. Wählen Sie unter "Pool auswählen" die Option "Neu erstellen" aus, oder wählen Sie eine andere Option aus.

  2. Wählen Sie für die LastenausgleichsmethodeRoundRobin aus.

  3. Wählen Sie unter Poolserver einen IP-Adresse/Knotennamen und einen Port für die Server ein, die Oracle EBS hosten.

  4. Wählen Sie HTTPS aus.

    Screenshot der Optionen und Auswahlen für Pooleigenschaften

  5. Bestätigen Sie unter Access Gate Pool den Unterpfad für Access Gate.

  6. Wählen Sie für Poolserver einen IP-Adress-/Knotennamen und -Port für die Server ein, die Oracle EBS hosten.

  7. Wählen Sie HTTPS aus.

    Screenshot der Optionen und Einträge für Access Gate Pool.

Einmaliges Anmelden & HTTP-Header

Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO bei veröffentlichten Anwendungen. Die Oracle EBS-Anwendung erwartet Header und aktiviert daher HTTP-Header.

  1. Wählen Sie unter Single Sign-On & HTTP Headers (Einmaliges Anmelden > HTTP-Header) HTTP Headers (HTTP-Header) aus.

  2. Wählen Sie unter Headervorgang Ersetzen aus.

  3. Geben Sie für den KopfzeilennamenUSER_NAME ein.

  4. Geben Sie für den Headerwert%{session.sso.token.last.username} ein.

  5. Wählen Sie unter Headervorgang Ersetzen aus.

  6. Geben Sie USER_ORCLGUID für Header-Name ein.

  7. Geben Sie für den Headerwert%{session.ldap.last.attr.orclguid} ein.

    Screenshot von Einträgen und Auswahlen für Kopfzeilenvorgang, Kopfzeilenname und Kopfzeilenwert.

    Hinweis

    Bei APM-Sitzungsvariablen in geschweiften Klammern wird die Groß- und Kleinschreibung unterschieden.

Sitzungsverwaltung

Mithilfe der BIG-IP-Sitzungsverwaltung können Sie die Bedingungen für Beendigung und Fortsetzung von Sitzungen festlegen.

Weitere Informationen finden Sie in support.f5.com für K18390492: Sicherheit | BIG-IP APM-Betriebshandbuch

Die Funktionalität für einmaliges Abmelden (Single Log Out, SLO) stellt sicher, dass Sitzungen zwischen Identitätsanbieter, BIG-IP-Instanz und Benutzer-Agent beendet werden, wenn sich Benutzer abmelden. Wenn Easy Button eine SAML-Anwendung in Ihrem Microsoft Entra-Mandanten instanziiert, wird die Abmelde-URL mit dem SLO-Endpunkt von APM aufgefüllt. Eine vom IdP initiierte Abmeldung im MyApps-Portal beendet die Sitzung zwischen BIG-IP und einem Client.

Siehe Microsoft My Apps

Die SAML-Verbundmetadaten für die veröffentlichte Anwendung werden aus dem Mandanten importiert. Diese Aktion stellt dem APM den SAML-Abmeldeendpunkt für Microsoft Entra ID zur Verfügung. Anschließend beendet die vom SP initiierte Abmeldung den Client und die Microsoft Entra-Sitzung. Stellen Sie sicher, dass APM erfährt, wenn sich ein Benutzer abmeldet.

Wenn das BIG-IP-Webtop-Portal auf veröffentlichte Anwendungen zugreift, wird eine Abmeldung von APM so verarbeitet, dass der Microsoft Entra-Abmeldeendpunkt aufgerufen wird. Wenn das BIG-IP-Webtop-Portal nicht verwenden, können Benutzer APM nicht anweisen, sich abzumelden. Wenn sich der Benutzer von der Anwendung abmeldet, wird dieser Vorgang von der BIG-IP-Instanz nicht bemerkt. Stellen Sie sicher, dass die vom SP initiierte Abmeldung eine sichere Beendigung der Sitzungen auslöst. Fügen Sie der Schaltfläche " Abmelden " eine SLO-Funktion hinzu, um den Client an den Microsoft Entra SAML- oder BIG-IP Abmeldeendpunkt umzuleiten. Suchen Sie die SAML-Abmeldeendpunkt-URL für Ihren Mandanten unter App-Registrierungen> Endpunkte.

Wenn Sie die App nicht ändern können, aktivieren Sie in BIG-IP das Lauschen auf den Abmeldeaufruf der App, und lösen Sie dann SLO aus.

Weitere Informationen:

Bereitstellen

  1. Wählen Sie Deploy (Bereitstellen) aus, um Ihre Einstellungen zu übernehmen.
  2. Vergewissern Sie sich, dass die Anwendung in der Liste der Unternehmensanwendungen des Mandanten aufgeführt ist.

Testen

  1. Stellen Sie in einem Browser eine Verbindung mit der externen URL der Oracle EBS-Anwendung her, oder wählen Sie das Anwendungssymbol in den "Meine Apps" aus.
  2. Authentifizieren Sie sich bei Microsoft Entra ID.
  3. Sie werden zum virtuellen BIG-IP-Server für die Anwendung umgeleitet und per einmaligem Anmelden (Single Sign-On, SSO) angemeldet.

Blockieren Sie zum Erhöhen der Sicherheit den direkten Zugriff auf die Anwendung, und erzwingen Sie so einen Pfad durch die BIG-IP-Instanz.

Erweiterte Bereitstellung

Mitunter fehlt es den Guided Configuration-Vorlagen an Flexibilität für die jeweiligen Anforderungen.

Mehr erfahren: Lernprogramm: Konfiguration des Access Policy Managers von F5 BIG-IP für auf Headern basierendes SSO.

Manuelles Ändern von Konfigurationen

Alternativ können Sie in BIG-IP den strengen Verwaltungsmodus „Guided Configuration“ (Geführte Konfiguration) deaktivieren, um Konfigurationen manuell zu ändern. Assistentenvorlagen dienen zum Automatisieren der meisten Konfigurationen.

  1. Navigieren Sie zu Zugriff > Geführte Konfiguration.

  2. Wählen Sie am rechten Ende der Zeile für Die Anwendungskonfiguration das Vorhängeschlosssymbol aus.

    Screenshot des Vorhängeschlosssymbols

Nachdem Sie den strengen Modus deaktiviert haben, können Sie keine Änderungen mit dem Assistenten vornehmen. BIG-IP-Objekte, die der veröffentlichten App-Instanz zugeordnet sind, werden jedoch zur Verwaltung entsperrt.

Hinweis

Wenn Sie den strengen Modus reaktivieren, überschreiben neue Konfigurationen Einstellungen, die ohne geführte Konfiguration erfolgt sind. Für Produktionsdienste wird die erweiterte Konfigurationsmethode empfohlen.

Problembehandlung

Beheben Sie Probleme anhand der folgenden Anweisungen.

Erhöhen der Protokoll-Ausführlichkeit

Mithilfe der BIG-IP-Protokollierung können Sie Probleme mit der Konnektivität, SSO, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen isolieren. Heraufsetzen der Ausführlichkeitsstufe des Protokolls.

  1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht > Ereignisprotokolle.
  2. Wählen Sie "Einstellungen" aus.
  3. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung aus.
  4. Wählen Sie "Zugriffssystemprotokolle bearbeiten" >aus.
  5. Wählen Sie in der SSO-Liste "Debuggen" aus.
  6. Wählen Sie "OK" aus.
  7. Reproduzieren Sie das Problem.
  8. Untersuchen Sie die Protokolle.

Setzen Sie die Einstellungsänderungen zurück, da der ausführliche Modus übermäßig Daten generiert.

BIG-IP-Fehlermeldung

Wenn nach Microsoft Entra Vorauthentifizierung ein BIG-IP-Fehler angezeigt wird, kann sich das Problem auf Microsoft Entra ID einmaliges Anmelden und BIG-IP-SSO beziehen.

  1. Navigieren Sie zu „Access > Overview“ (Zugriff > Übersicht).
  2. Wählen Sie Access-Berichte aus.
  3. Führen Sie den Bericht für die letzte Stunde aus.
  4. Überprüfen Sie die Protokolle auf Hinweise.

Verwenden Sie den Link "Sitzung anzeigen " für Ihre Sitzung, um zu bestätigen, dass die APM erwartete Microsoft Entra-Ansprüche erhält.

Keine BIG-IP-Fehlermeldung

Wenn keine BIG-IP-Fehlerseite angezeigt wird, bezieht sich das Problem möglicherweise auf die Back-End-Anforderung oder einmaliges Anmelden von BIG-IP bei der Anwendung.

  1. Navigieren Sie zur Übersicht über Zugriffsrichtlinien>.
  2. Wählen Sie "Aktive Sitzungen" aus.
  3. Wählen Sie den Link für Ihre aktive Sitzung aus.

Verwenden Sie den Link "Variablen anzeigen ", um SSO-Probleme zu untersuchen, insbesondere, wenn die BIG-IP APM keine richtigen Attribute von Microsoft Entra ID oder einer anderen Quelle abruft.

Weitere Informationen:

Überprüfen des APM-Dienstkontos

Verwenden Sie den folgenden Bash-Shellbefehl, um das APM-Dienstkonto für LDAP-Abfragen zu überprüfen. Mit dem Befehl werden Benutzerobjekte authentifiziert und abgefragt.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Weitere Informationen: