Tutorial: Konfigurieren von BIG-IP Easy Button von F5 für Single Sign-On bei Oracle PeopleSoft

In diesem Artikel erfahren Sie, wie Sie Oracle PeopleSoft (PeopleSoft) mithilfe von Microsoft Entra ID über F5 BIG-IP Easy Button Guided Configuration 16.1 schützen.

Die Integration von BIG-IP in Microsoft Entra ID bietet viele Vorteile:

• Verbesserte Zero Trust-Governance durch Vorabauthentifizierung und bedingten Zugriff von Microsoft Entra
  • Siehe Zero Trust-Framework zum Ermöglichen von Remotearbeit
  • Lesen Sie auch Was ist bedingter Zugriff?
• Vollständiges Single Sign-On (SSO) zwischen in Microsoft Entra ID und BIG-IP veröffentlichten Diensten
• Verwalten von Identitäten und Zugriff über das Microsoft Entra Admin Center

Weitere Informationen:

• Integrieren von F5 BIG-IP mit Microsoft Entra ID
• Aktivieren von Single Sign-On für eine Unternehmensanwendung

Beschreibung des Szenarios

In diesem Tutorial wird eine PeopleSoft-Anwendung mit HTTP-Autorisierungsheadern verwendet, um den Zugriff auf geschützte Inhalte zu verwalten.

Legacyanwendungen fehlt es an modernen Protokollen zur Unterstützung der Integration in Microsoft Entra. Die Modernisierung ist kostspielig, erfordert Planung und birgt das Risiko potenzieller Ausfallzeiten. Verwenden Sie stattdessen einen F5 BIG-IP Application Delivery Controller (ADC), um die Lücke zwischen Legacyanwendungen und moderner ID-Steuerung mit Protokollübergang zu schließen.

Mit einer der App vorgeschalteten BIG-IP-Instanz überlagern Sie den Dienst mit Microsoft Entra-Vorauthentifizierung und headerbasiertem SSO. Dadurch wird der Sicherheitsstatus der Anwendung verbessert.

Hinweis

Sie erhalten Remotezugriff auf diesen Anwendungstyp über den Microsoft Entra-Anwendungsproxy.
Weitere Informationen finden Sie unter Remotezugriff auf lokale Anwendungen über den Microsoft Entra-Anwendungsproxy.

Szenarioarchitektur

Die Lösung für sicheren Hybridzugriff (Secure Hybrid Access, SHA) für dieses Tutorial umfasst die folgenden Komponenten:

• PeopleSoft-Anwendung: Veröffentlichter BIG-IP-Dienst, der per SHA von Microsoft Entra geschützt wird
• Microsoft Entra ID: SAML-Identitätsanbieter (Security Assertion Markup Language), der Benutzeranmeldeinformationen, bedingten Zugriff und SAML-basiertes Single Sign-On für den BIG-IP-Dienst überprüft
  • Durch die SSO-Funktionalität stellt Microsoft Entra ID die erforderlichen Sitzungsattribute für BIG-IP bereit
• BIG-IP: Reverseproxy und SAML-Dienstanbieter (SP) für die Anwendung. Dieser delegiert die Authentifizierung an den SAML-Identitätsanbieter (Identity Provider, IdP) und führt dann headerbasiertes Single Sign-On beim PeopleSoft-Dienst aus.

Für dieses Szenario unterstützt SHA durch SP und IdP eingeleitete Flows. Das folgende Diagramm veranschaulicht den durch den SP eingeleiteten Flow.

1. Der Benutzer stellt eine Verbindung mit dem Anwendungsendpunkt (BIG-IP) her.
2. Die BIG-IP-APM-Zugriffsrichtlinie leitet Benutzer an Microsoft Entra ID (SAML IdP) um.
3. Microsoft Entra führt eine Vorauthentifizierung von Benutzern durch und wendet Richtlinien für bedingten Zugriff an.
4. Benutzer*innen werden zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das Single Sign-On erfolgt unter Verwendung des ausgestellten SAML-Tokens.
5. BIG-IP fügt Microsoft Entra-Attribute als Header in die Anforderung an die Anwendung ein.
6. Die Anwendung autorisiert die Anforderung und gibt Nutzdaten zurück.

Voraussetzungen

• Ein Microsoft Entra ID Free-Konto oder höher
  • Wenn Sie kein Konto haben, können Sie ein kostenloses Azure-Konto erhalten.
• Eine BIG-IP-Instanz oder BIG-IP Virtual Edition (VE) in Azure
  • Weitere Informationen finden Sie unter Bereitstellen einer F5 BIG-IP Virtual Edition-VM in Azure.
• Eine der folgenden F5 BIG-IP-Lizenzen:
  • F5 BIG-IP® Best Bundle
  • Eigenständige Lizenz für F5 BIG-IP APM
  • F5 BIG-IP APM-Zusatzlizenz für einem vorhandenen BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • 90 Tage gültige Testlizenz für sämtliche Features von BIG-IP
• Benutzeridentitäten, die von einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden oder in Microsoft Entra ID erstellt und an das lokale Verzeichnis weitergegeben werden
  • Siehe Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung
• Eine der folgenden Rollen: Cloudanwendungsadministrator oder Anwendungsadministrator
• Ein SSL-Webzertifikat zur Veröffentlichung von Diensten über HTTPS oder BIG-IP-Standardzertifikate für Testzwecke
  • Weitere Informationen finden Sie unter Bereitstellen einer F5 BIG-IP Virtual Edition-VM in Azure.
• Eine PeopleSoft-Umgebung

BIG-IP-Konfiguration

In diesem Tutorial wird die Verwendung der Guided Configuration 16.1 mit Easy Button-Vorlage behandelt.

Mit Easy Button müssen Administrator*innen nicht mehr zwischen Microsoft Entra ID und BIG-IP wechseln, um Dienste für SHA zu aktivieren. Bereitstellung und Richtlinienverwaltung erfolgen durch den APM Guided Configuration-Assistenten und Microsoft Graph. Durch die Integration wird sichergestellt, dass Anwendungen Identitätsverbund, SSO und bedingten Zugriff unterstützen.

Hinweis

Ersetzen Sie die Beispielzeichenfolgen oder -werte in diesem Tutorial durch die Zeichenfolgen oder Werte für Ihre Umgebung.

Registrieren von Easy Button

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Bevor ein Client oder Dienst auf Microsoft Graph zugreift, muss die Microsoft Identity Platform diesem vertrauen.

Weitere Informationen: Schnellstart: Registrieren einer Anwendung bei der Microsoft Identity Platform

Anhand der folgenden Anweisungen können Sie eine Mandanten-App-Registrierung erstellen, um den Easy Button-Zugriff auf Graph zu autorisieren. Durch diese Berechtigungen pusht BIG-IP die Konfigurationen zum Einrichten einer Vertrauensstellung zwischen einer SAML-Dienstanbieterinstanz für eine veröffentlichte Anwendung und Microsoft Entra ID als SAML-Identitätsanbieter (IdP).

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen > Neue Registrierung.

3. Geben Sie unter Name einen Anwendungsnamen ein.

4. Geben Sie unter Nur Konten in diesem Organisationsverzeichnis an, wer die Anwendung verwendet.

5. Wählen Sie Registrieren aus.

6. Navigieren Sie zu API-Berechtigungen.

7. Autorisieren Sie die folgenden Microsoft Graph-Anwendungsberechtigungen:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Erteilen Sie Ihrer Organisation die Administratoreinwilligung.

9. Wechseln Sie zu Zertifikate & Geheimnisse.

10. Generieren Sie einen neuen geheimen Clientschlüssel, und notieren Sie sich diesen.

11. Navigieren Sie zu Übersicht, und notieren Sie sich die Client-ID und die Mandanten-ID.

Konfigurieren von Easy Button

1. Leiten Sie in APM die geführte Konfiguration ein.
2. Starten Sie die Easy Button-Vorlage.
3. Navigieren Sie zu Zugriff > Geführte Konfiguration.
4. Wählen Sie Microsoft-Integration aus.
5. Wählen Sie Microsoft Entra-Anwendungsproxy aus.
6. Überprüfen Sie die Konfigurationsfolge.
7. Wählen Sie Weiter aus.
8. Folgen Sie der Konfigurationsfolge.

Konfigurationseigenschaften

Verwenden Sie die Registerkarte Konfigurationseigenschaften, um eine neue Anwendungskonfiguration und SSO-Objekte zu erstellen. Im Abschnitt Details zum Azure-Dienstkonto wird der Client, den Sie im Microsoft Entra-Mandanten registriert haben, als Anwendung dargestellt. Verwenden Sie die Einstellungen für den BIG-IP OAuth-Client, um einen SAML-Dienstanbieter mit SSO-Eigenschaften im Mandanten zu registrieren. Easy Button führt diese Aktion für von BIG-IP veröffentlichte und für SHA aktivierte Dienste aus.

Hinweis

Einige der folgenden Einstellungen sind global. Sie können sie wiederverwenden, um weitere Anwendungen zu veröffentlichen.

1. Geben Sie einen Konfigurationsnamen ein. Eindeutige Namen helfen bei der Unterscheidung von Konfigurationen.
2. Wählen Sie für Single Sign-On (SSO) und HTTP-Header die Option Ein aus.
3. Geben Sie unter Mandanten-ID, Client-ID und Geheimer Clientschlüssel die Werte ein, die Sie sich notiert hatten.
4. Vergewissern Sie sich, dass die BIG-IP-Instanz eine Verbindung mit dem Mandanten herstellen kann.
5. Wählen Sie Weiter aus.

Dienstanbieter

Verwenden Sie die Dienstanbietereinstellungen, um SAML SP-Eigenschaften für die APM-Instanz zu definieren, die die durch SHA geschützte Anwendung darstellt.

1. Geben Sie unter Host den öffentlichen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) der geschützten Anwendung ein.
2. Geben Sie für Entitäts-ID den Bezeichner ein, den Microsoft Entra ID zum Identifizieren des SAML-Dienstanbieters verwendet, der ein Token anfordert.

3. (Optional) Geben Sie unter Sicherheitseinstellungen an, ob ausgestellte SAML-Assertionen von Microsoft Entra ID verschlüsselt werden sollen. Diese Option sorgt für mehr Sicherheit, indem verhindert wird, dass Inhaltstoken abgefangen oder Daten kompromittiert werden können.

4. Wählen Sie in der Liste Privater Schlüssel zum Entschlüsseln von Assertionen die Option Neu erstellen aus.

5. Wählen Sie OK aus.
6. Das Dialogfeld SSL-Zertifikat und Schlüssel importieren wird auf einer neuen Registerkarte geöffnet.
7. Wählen Sie unter Importtyp die Option PKCS 12 (IIS) aus. Mit dieser Option werden Ihr Zertifikat und Ihr privater Schlüssel importiert.
8. Schließen Sie die Browserregisterkarte, um zur Hauptregisterkarte zurückzukehren.

9. Aktivieren Sie das Kontrollkästchen für Verschlüsselte Assertion aktivieren.
10. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie in der Liste Privater Schlüssel zum Entschlüsseln von Assertionen Ihr Zertifikat aus. Dieser private Schlüssel ist für das Zertifikat, das BIG-IP APM zum Entschlüsseln von Microsoft Entra-Assertionen verwendet.
11. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie in der Liste Zertifikat zum Entschlüsseln von Assertionen Ihr Zertifikat aus. BIG-IP lädt dieses Zertifikat in Microsoft Entra ID hoch, um ausgestellte SAML-Assertionen zu verschlüsseln.

Microsoft Entra ID

Easy Button umfasst Vorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP sowie eine allgemeine SHA-Vorlage.

1. Wählen Sie Oracle PeopleSoft aus.
2. Wählen Sie Hinzufügen aus.

Azure-Konfiguration

1. Geben Sie den Anzeigenamen für die App ein, die BIG-IP im Mandanten erstellt. Der Name wird in Meine Apps mit einem Symbol angezeigt.

2. (Optional) Geben Sie unter Anmelde-URL den öffentlichen FQDN der PeopleSoft-Anwendung ein.

3. Wählen Sie neben dem Signaturschlüssel und neben dem Signaturzertifikat jeweils Aktualisieren aus. Mit dieser Aktion wird das von Ihnen importierte Zertifikat gesucht.

4. Geben Sie unter Passphrase für Signaturschlüssel das Zertifikatkennwort ein.

5. (Optional) Wählen Sie unter Signaturoption eine Option aus. Durch diese Auswahl wird sichergestellt, dass BIG-IP von Microsoft Entra ID signierte Token und Ansprüche akzeptiert.

6. Benutzer und Benutzergruppen werden vom Microsoft Entra ID-Mandanten dynamisch abgefragt.
7. Fügen Sie zum Testen einzelne Benutzer*innen oder eine Gruppe hinzu. Andernfalls wird der Zugriff verweigert.

Benutzerattribute und Ansprüche

Wenn sich ein Benutzer authentifiziert, stellt Microsoft Entra ID ein SAML-Token mit Standardansprüchen und -attributen zum Identifizieren des Benutzers aus. Auf der Registerkarte Benutzerattribute & Ansprüche werden die Standardansprüche gezeigt, die für die neue Anwendung ausgestellt werden sollen. Verwenden Sie diese, um weitere Ansprüche zu konfigurieren. Die Vorlage „Easy Button“ weist den für PeopleSoft erforderlichen Anspruch der Mitarbeiter-ID auf.

Fügen Sie bei Bedarf andere Microsoft Entra Attribute ein. Für die PeopleSoft-Beispielanwendung sind vordefinierte Attribute erforderlich.

Zusätzliche Benutzerattribute

Die Registerkarte Zusätzliche Benutzerattribute unterstützt verteilte Systeme, die in anderen Verzeichnissen gespeicherte Attribute für die Sitzungserweiterung erfordern. Attribute aus einer LDAP-Quelle werden als zusätzliche SSO-Header eingefügt, um den Zugriff basierend auf Rollen, Partner-IDs usw. zu steuern.

Hinweis

Dieses Feature hängt nicht mit Microsoft Entra ID zusammen. Es handelt sich dabei um eine andere Attributquelle.

Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff werden nach der Microsoft Entra-Vorabauthentifizierung erzwungen, um den Zugriff basierend auf Gerät, Anwendung, Standort und Risikosignalen zu steuern. Die Ansicht Verfügbare Richtlinien enthält Richtlinien für bedingten Zugriff ohne Benutzeraktionen. Die Ansicht Ausgewählte Richtlinien enthält Richtlinien für Cloud-Apps. Sie können diese Richtlinien nicht deaktivieren oder in die Liste „Verfügbare Richtlinien“ verschieben, da sie auf Mandantenebene durchgesetzt werden.

Wählen Sie eine Richtlinie für die Anwendung aus.

1. Wählen Sie in der Liste Verfügbare Richtlinien eine Richtlinie aus.
2. Wählen Sie den Pfeil nach rechts aus, und verschieben Sie die Richtlinie in die Liste Ausgewählte Richtlinien.

Für ausgewählte Richtlinien ist entweder die Option Einschließen oder Ausschließen aktiviert. Wenn beide Optionen aktiviert sind, wird die Richtlinie nicht durchgesetzt.

Hinweis

Die Richtlinienliste wird einmal angezeigt, wenn Sie die Registerkarte auswählen. Verwenden Sie Aktualisieren, damit der Assistent den Mandanten abfragt. Diese Option wird angezeigt, nachdem die Anwendung bereitgestellt wurde.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird. Der Server lauscht auf Clientanforderungen an die Anwendung. Der empfangene Datenverkehr wird verarbeitet und anhand des APM-Profils des virtuellen Servers ausgewertet. Datenverkehr wird anschließend entsprechend der Richtlinie weitergeleitet.

1. Geben Sie unter Zieladresse die IPv4- oder IPv6-Adresse ein, die BIG-IP zum Empfangen des Clientdatenverkehrs verwendet. Im DNS wird ein entsprechender Eintrag angezeigt, anhand dessen die Clients die externe URL der veröffentlichten Anwendung in die IP-Adresse auflösen können. Verwenden Sie zum Testen auf einem Testcomputer das DNS von localhost.
2. Geben Sie unter Dienstport die Portnummer 443 ein, und wählen Sie HTTPS aus.
3. Aktivieren Sie das Kontrollkästchen Umleitungsport aktivieren.
4. Geben Sie unter Umleitungsport die Portnummer 80 ein, und wählen Sie HTTP aus. Diese Option leitet eingehenden HTTP-Clientdatenverkehr an HTTPS um.
5. Wählen Sie unter SSL-Clientprofil die Option Vorhandenes verwenden aus.
6. Wählen Sie unter Allgemein die von Ihnen erstellte Option aus. Übernehmen Sie beim Durchführen von Tests die Standardeinstellung. Mit dem SSL-Clientprofil wird der virtuelle Server für HTTPS aktiviert, sodass Clientverbindungen über TLS verschlüsselt werden.

Pooleigenschaften

Auf der Registerkarte Anwendungspool werden die Dienste hinter einer BIG-IP-Instanz aufgeführt, dargestellt als Pool mit Anwendungsservern.

1. Wählen Sie unter Pool auswählen die Option Neu erstellen aus, oder wählen Sie einen Pool aus.
2. Wählen Sie als Lastenausgleichsmethode Roundrobin aus.
3. Wählen Sie unter Poolserver in der Liste IP-Adresse/Knotenname einen Knoten aus, oder geben Sie eine IP-Adresse und einen Port für die Server ein, auf denen die PeopleSoft-Anwendung gehostet wird.

Single Sign-On und HTTP-Header

Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO bei veröffentlichten Anwendungen. Die PeopleSoft-Anwendung erwartet Header.

1. Aktivieren Sie das Kontrollkästchen HTTP-Header.
2. Wählen Sie unter Headervorgang Ersetzen aus.
3. Geben Sie unter Headername die Zeichenfolge PS_SSO_UID ein.
4. Geben Sie für Headerwert %{session.sso.token.last.username} ein.

Hinweis

Bei APM-Sitzungsvariablen in geschweiften Klammern wird die Groß- und Kleinschreibung unterschieden. Wenn Sie beispielsweise „OrclGUID“ eingeben, der Attributname jedoch „orclguid“ lautet, schlägt die Attributzuordnung fehl.

Sitzungsverwaltung

Verwenden Sie die Einstellungen der BIG-IP-Sitzungsverwaltung, um die Bedingungen für die Beendigung und Fortsetzung von Sitzungen zu definieren. Legen Sie Grenzwerte für Benutzer und IP-Adressen fest, und geben Sie entsprechende Benutzerinformationen an.

Weitere Informationen finden Sie auf support.f5.com unter K18390492: Security | BIG-IP APM operations guide (K18390492: Sicherheit | BIG-IP APM-Betriebsleitfaden)

Die Funktion für einmaliges Abmelden (Single Log-Out, SLO) wird im Betriebsleitfaden nicht behandelt. Diese Funktion stellt sicher, dass IdP-, BIG-IP- und Benutzer-Agent-Sitzungen beendet werden, wenn sich Benutzer abmelden. Wenn Easy Button eine SAML-Anwendung im Microsoft Entra-Mandanten instanziiert, wird die Abmelde-URL mit dem APM-SLO-Endpunkt aufgefüllt. Eine IdP-initiierte Abmeldung von Meine Apps beendet BIG-IP- und Clientsitzungen.

Die SAML-Verbunddaten für die veröffentlichte Anwendung werden aus dem Mandanten importiert. Durch diese Aktion erhält der APM den SAML-Abmeldeendpunkt für Microsoft Entra ID, wodurch sichergestellt wird, dass die SP-initiierte Abmeldung Client- und Microsoft Entra-Sitzungen beendet. Der APM muss wissen, wann sich ein Benutzer abmeldet.

Wenn das BIG-IP-Webtop-Portal auf veröffentlichte Anwendungen zugreift, wird eine Abmeldung vom APM so verarbeitet, dass der Microsoft Entra-Abmeldeendpunkt aufgerufen wird. Wenn das BIG-IP-Webtop-Portal nicht verwendet wird, kann der Benutzer den APM nicht anweisen, die Abmeldung auszuführen. Wenn sich der Benutzer von der Anwendung abmeldet, wird die BIG-IP nicht wahrgenommen. Eine SP-initiierte Abmeldung erfordert eine sichere Sitzungsbeendigung. Fügen Sie der Schaltfläche Abmelden Ihrer Anwendung eine SLO-Funktion hinzu, um Ihren Client zum Microsoft Entra-SAML- oder BIG-IP-Abmeldeendpunkt umzuleiten. Die URL des SAML-Abmeldeendpunkts für Ihren Mandanten finden Sie unter App-Registrierungen > Endpunkte.

Wenn Sie die App nicht ändern können, sollten Sie festlegen, dass die BIG-IP-Instanz auf Abmeldeaufrufe von Anwendungen lauscht, um SLO auszulösen. Weitere Informationen finden Sie unter Einmaliges Abmelden von PeopleSoft im folgenden Abschnitt.

Bereitstellung

1. Klicken Sie auf Bereitstellen.
2. Vergewissern Sie sich, dass die Anwendung in der Liste „Unternehmensanwendungen“ des Mandanten aufgeführt ist.
3. Die Anwendung wird veröffentlicht und ist über SHA zugänglich.

Konfigurieren von PeopleSoft

Verwenden Sie Oracle Access Manager für die Identitäts- und Zugriffsverwaltung für PeopleSoft-Anwendungen.

Weitere Informationen finden Sie auf docs.oracle.com im Oracle Access Manager-Integrationsleitfaden unter „Integration von PeopleSoft“.

Konfigurieren des SSO von Oracle Access Manager

Konfigurieren Sie Oracle Access Manager so, dass Single Sign-On über BIG-IP akzeptiert wird.

1. Melden Sie sich mit Administratorberechtigungen bei der Oracle-Konsole an.

2. Navigieren Sie zu PeopleTools > Sicherheit.
3. Wählen Sie Benutzerprofile aus.
4. Wählen Sie Benutzerprofile aus.
5. Erstellen Sie ein neues Benutzerprofil.
6. Geben Sie unter Benutzer-ID OAMPSFT ein.
7. Geben Sie unter Benutzerrolle PeopleSoft User ein.
8. Wählen Sie Speichern aus.
9. Navigieren Sie zu PeopleTools>Webprofil.
10. Wählen Sie das Webprofil aus.
11. Wählen Sie auf der Registerkarte Sicherheit unter Öffentliche Benutzer die Option Öffentlichen Zugriff zulassen aus.
12. Geben Sie unter Benutzer-ID OAMPSFT ein.
13. Geben Sie das Kennwort ein.
14. Beenden Sie die PeopleSoft-Konsole.
15. Starten Sie den PeopleTools Application Designer.
16. Klicken Sie mit der rechten Maustaste auf das Feld LDAPAUTH.
17. Wählen Sie PeopleCode anzeigen aus.

18. Das LDAPAUTH-Codefenster wird geöffnet.

19. Suchen Sie die OAMSSO_AUTHENTICATION-Funktion.

20. Ersetzen Sie den defaultUserId-Wert durch OAMPSFT.

    

21. Speichern Sie den Eintrag.

22. Navigieren Sie zu **PeopleTools > Sicherheit.

23. Wählen Sie Sicherheitsobjekte aus.

24. Wählen Sie PeopleCode anmelden aus.

25. Aktivieren Sie OAMSSO_AUTHENTICATION.

Einmaliges Abmelden von PeopleSoft

Wenn Sie sich aus Meine Apps abmelden, wird PeopleSoft-SLO initiiert, wodurch wiederum der BIG-IP-SLO-Endpunkt aufgerufen wird. BIG-IP benötigt Anweisungen, um für die Anwendung ein SLO auszuführen. Lassen Sie BIG-IP auf Benutzerabmeldeanforderungen an PeopleSoft lauschen, und lösen Sie dann SLO aus.

Fügen Sie SLO-Unterstützung für alle PeopleSoft-Benutzer*innen hinzu.

1. Rufen Sie die Abmelde-URL des PeopleSoft-Portals ab.
2. Öffnen Sie das Portal mit einem Webbrowser.
3. Aktivieren Sie die Debugtools.
4. Suchen Sie das Element mit der ID PT_LOGOUT_MENU.
5. Speichern Sie den URL-Pfad mit den Abfrageparametern. In diesem Beispiel: /psp/ps/?cmd=logout.

Erstellen Sie eine BIG-IP-iRule, um Benutzer*innen zum SAML SP-Abmeldeendpunkt umzuleiten: /my.logout.php3.

1. Navigieren Sie zu **Lokaler Datenverkehr > iRules-Liste.
2. Klicken Sie auf Erstellen.
3. Geben Sie einen Namen für die Regel ein.
4. Geben Sie die folgenden Befehlszeilen ein.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

5. Wählen Sie Fertig aus.

Weisen Sie die iRule dem virtuellen BIG-IP-Server zu.

1. Navigieren Sie zu Zugriff > Geführte Konfiguration.
2. Wählen Sie den Link zur PeopleSoft-Anwendungskonfiguration aus.

3. Wählen Sie in der oberen Navigationsleiste Virtueller Server aus.
4. Wählen Sie unter Erweiterte Einstellungen Ein aus.

4. Scrollen Sie nach unten.
5. Fügen Sie unter Allgemein die von Ihnen erstellte iRule hinzu.

5. Wählen Sie Speichern aus.
6. Wählen Sie Weiter aus.
7. Fahren Sie mit dem Konfigurieren von Einstellungen fort.

Weitere Informationen finden Sie auf „support.f5.com“ unter den folgenden Links:

• K42052145: Konfigurieren der automatischen Sitzungsbeendigung (Abmelden) basierend auf einem Dateinamen, auf den der URI verweist
• K12056: Übersicht über die Option „Logout URI Include“ (Abmelde-URI-Include)

Standardeinstellung: PeopleSoft-Landing Page

Leiten Sie Benutzeranforderungen vom Stamm ("/") zum externen PeopleSoft-Portal um, das sich normalerweise hier befindet: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL"

1. Navigieren Sie zu Lokaler Datenverkehr > iRule.
2. Wählen Sie iRule_PeopleSoft aus.
3. Fügen Sie die folgenden Befehlszeilen hinzu.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

4. Weisen Sie die iRule dem virtuellen BIG-IP-Server zu.

Bestätigen der Konfiguration

1. Wechseln Sie in einem Browser zur externen URL der PeopleSoft-Anwendung, oder wählen Sie das Anwendungssymbol in Meine Apps aus.

2. Authentifizieren Sie sich bei Microsoft Entra ID.

3. Sie werden zum virtuellen BIG-IP-Server umgeleitet und über Single Sign-On (SSO) angemeldet.

   Hinweis

   Sie können den direkten Zugriff auf die Anwendung blockieren und dadurch einen Pfad über BIG-IP erzwingen.

Erweiterte Bereitstellung

In einigen Fällen sind die Guided Configuration-Vorlagen nicht flexibel genug.

Weitere Informationen finden Sie unter dem folgenden Link: Tutorial: Konfigurieren von F5 BIG-IP Access Policy Manager für headerbasiertes Single Sign-On

Sie können alternativ in BIG-IP den strikten Verwaltungsmodus von Guided Configuration deaktivieren. Sie können Konfigurationen manuell ändern, die meisten Konfigurationen sind aber mit Assistentenvorlagen automatisiert.

1. Navigieren Sie zu Zugriff > Geführte Konfiguration.
2. Wählen Sie am Ende der Leiste das Vorhängeschloss aus.

Es sind keine Änderungen über die Benutzeroberfläche des Assistenten möglich, die der veröffentlichten Anwendungsinstanz zugeordneten BIG-IP-Objekte sind jedoch für die Verwaltung entsperrt.

Hinweis

Wenn Sie den strikten Modus erneut aktivieren und eine Konfiguration bereitstellen, werden die außerhalb von Guided Configuration festgelegten Einstellungen überschrieben. Für Produktionsdienste empfehlen wir die erweiterte Konfiguration.

Problembehandlung

Mithilfe der BIG-IP-Protokollierung können Sie Probleme mit der Konnektivität, SSO, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen isolieren.

Ausführlichkeit des Protokolls

1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht.
2. Wählen Sie Ereignisprotokolle aus.
3. Wählen Sie Einstellungen aus.
4. Wählen Sie die Zeile Ihrer veröffentlichten Anwendung aus.
5. Wählen Sie Bearbeiten aus.
6. Wählen Sie Auf Systemprotokolle zugreifen aus.
7. Wählen Sie in der Liste „SSO“ die Option Debuggen aus.
8. Wählen Sie OK aus.
9. Reproduzieren Sie Ihr Problem.
10. Untersuchen Sie die Protokolle.

Setzen Sie dieses Feature nach Abschluss des Vorgangs zurück, weil im ausführlichen Modus viele Daten generiert werden.

BIG-IP-Fehlermeldung

Wenn nach der Microsoft Entra-Vorauthentifizierung eine BIG-IP-Fehlermeldung angezeigt wird, bezieht sich das Problem möglicherweise auf das Single Sign-On von Microsoft Entra ID bei BIG-IP.

1. Navigieren Sie zu Zugriff > Übersicht.
2. Wählen Sie Auf Berichte zugreifen aus.
3. Führen Sie den Bericht für die letzte Stunde aus.
4. Überprüfen Sie die Protokolle auf Hinweise.

Verwenden Sie den Link Sitzung anzeigen für die Sitzung, um zu bestätigen, dass APM die erwarteten Microsoft Entra-Ansprüche empfängt.

Keine BIG-IP-Fehlermeldung

Wenn keine BIG-IP-Fehlermeldung angezeigt wird, hängt das Problem möglicherweise mit der Back-End-Anforderung oder dem Single Sign-On von BIG-IP bei der Anwendung zusammen.

1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht.
2. Wählen Sie Aktive Sitzungen aus.
3. Wählen Sie den Link der aktiven Sitzung aus.

Verwenden Sie den Link Variablen anzeigen, um SSO-Probleme zu ermitteln, insbesondere wenn BIG-IP APM falsche Attribute aus Sitzungsvariablen abruft.

Weitere Informationen:

• Auf devcentral.f5.com finden Sie Beispiele zum Zuweisen von APM-Variablen.
• Auf techdocs.f5.com finden Sie weitere Informationen zu Sitzungsvariablen.