Compartir a través de

Configuración del Botón Fácil BIG-IP de F5 para el inicio de sesión único en Oracle JD Edwards mediante Microsoft Entra ID

En este artículo, aprenderá a proteger Oracle JD Edwards (JDE) mediante Microsoft Entra ID a través de la configuración guiada de F5 BIG-IP Easy Button.

La integración de BIG-IP con Microsoft Entra ID tiene muchas ventajas, entre las que se incluyen:

Para obtener información sobre todas las ventajas, consulte el artículo sobre Integración de F5 BIG-IP y Microsoft Entra y qué es el acceso a aplicaciones y el inicio de sesión único con Microsoft Entra ID.

Descripción del escenario

En este escenario, se examina la aplicación Oracle JDE clásica mediante el uso de encabezados de autorización HTTP para administrar el acceso al contenido protegido.

Al ser heredada, la aplicación carece de protocolos actuales que admitan una integración directa con Microsoft Entra ID. La aplicación se puede modernizar, pero es costosa, requiere una planeación cuidadosa e introduce el riesgo de posible tiempo de inactividad. En su lugar, se usa un controlador de entrega de aplicaciones (ADC) BIG-IP de F5 para salvar la distancia entre la aplicación heredada y el plano de control de identidad moderno mediante la transición de protocolo.

Tener un dispositivo BIG-IP delante de la aplicación nos permite superponer el servicio con la autenticación previa de Microsoft Entra y el inicio de sesión único basado en encabezados, lo que mejora significativamente la posición de seguridad general de la aplicación.

Arquitectura del escenario

La solución SHA para este escenario consta de varios componentes:

Aplicación Oracle JDE: servicio publicado de BIG-IP que se va a proteger mediante el acceso híbrido seguro de Microsoft Entra SHA.

Microsoft Entra ID: el proveedor de identidades (IdP) de Lenguaje de Marcado para Confirmaciones de Seguridad (SAML), que es responsable de la verificación de las credenciales de usuario, el acceso condicional y el inicio de sesión único basado en SAML en BIG-IP. Mediante el inicio de sesión único, Microsoft Entra ID proporciona a BIG-IP los atributos de sesión necesarios.

BIG-IP: proxy inverso y proveedor de servicios SAML (SP) en la aplicación, que delega la autenticación al IdP de SAML antes de realizar el inicio de sesión único basado en encabezados en el servicio de Oracle.

El acceso híbrido seguro (SHA) para este escenario admite flujos iniciados por SP e IdP. En la imagen siguiente se muestra el flujo iniciado por SP.

Acceso híbrido seguro: flujo iniciado por SP

Pasos Descripción
1 El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
2 La directiva de acceso de APM de BIG-IP redirige al usuario a Microsoft Entra ID (IdP de SAML)
3 Microsoft Entra ID autentica previamente al usuario y aplica las directivas de acceso condicional exigidas
4 Se redirige al usuario a BIG-IP (SP de SAML) y el inicio de sesión único se realiza mediante el token SAML emitido.
5 BIG-IP inserta los atributos de Microsoft Entra como encabezados en la solicitud a la aplicación
6 La aplicación autoriza la solicitud y devuelve la carga.

Requisitos previos

No es necesario tener experiencia previa en BIG-IP, pero necesitará lo siguiente:

  • Una suscripción gratuita Microsoft Entra ID o superior

  • Una instancia de BIG-IP existente o implementar una instancia de BIG-IP Virtual Edition (VE) en Azure

  • Cualquiera de las siguientes SKU de licencias de F5 BIG-IP

    • F5 BIG-IP® Best bundle

    • Licencia independiente de F5 BIG-IP Access Policy Manager™ (APM).

    • Licencia del complemento F5 BIG-IP Access Policy Manager™ (APM) en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM) ya existente.

    • Licencia de evaluación gratuita completa de 90 días de BIG-IP.

  • Identidades de usuario sincronizadas desde un directorio local a Microsoft Entra ID, o creadas directamente en Microsoft Entra ID y devueltas a su directorio local

  • Una cuenta con permisos de administrador de aplicaciones de Microsoft Entra

  • Un certificado web de SSL para publicar servicios a través de HTTPS o usar certificados predeterminados de BIG-IP durante las pruebas

  • Un entorno JDE de Oracle existente

Métodos de configuración BIG-IP

Hay muchos métodos para configurar BIG-IP para este escenario, incluidas dos opciones basadas en plantillas y una configuración avanzada. En este artículo se describe la configuración guiada más reciente 16.1 que ofrece una plantilla de botón fácil. Con Easy Button, los administradores ya no tienen que ir y venir entre Microsoft Entra ID y BIG-IP para permitir servicios de SHA. La implementación y la administración de directivas se controlan directamente entre el asistente de configuración guiada de APM y Microsoft Graph. Esta completa integración entre APM de BIG-IP y Microsoft Entra ID garantiza que las aplicaciones puedan admitir de forma rápida y sencilla la federación de identidades, el inicio de sesión único y el acceso condicional de Microsoft Entra, reduciendo la sobrecarga administrativa.

Nota

Todas las cadenas o valores de ejemplo a los que se hace referencia en esta guía deben reemplazarse por aquellos de su entorno real.

Registro de Easy Button

Para que un cliente o servicio pueda acceder a Microsoft Graph, debe confiar en él la plataforma de identidad de Microsoft.

En este primer paso, se crea un registro de aplicación de inquilino que se usa para autorizar el acceso de Easy Button a Graph. Con estos permisos, BIG-IP puede insertar las configuraciones necesarias para establecer una confianza entre una instancia de proveedor de servicio de SAML para la aplicación publicada Microsoft Entra como el proveedor de identidades de SAML.

  1. Inicie sesión en Azure Portal con una cuenta que tenga derechos de administrador de la aplicación.

  2. En el panel de navegación izquierdo, seleccione el servicio Microsoft Entra ID.

  3. En Administrar, seleccione Registros de aplicaciones>Nuevo registro.

  4. Escriba un nombre para mostrar para la aplicación, como F5 BIG-IP Easy Button.

  5. Especifique quién puede usar la aplicación >Solo cuentas de este directorio de la organización.

  6. Seleccione Registrar para completar el registro inicial de la aplicación.

  7. Vaya a Permisos de API y autorice los permisos de aplicación siguientes de Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Concesión de consentimiento del administrador para su organización

  9. Vaya a Certificados & Secretos, genere un nuevo secreto de cliente y anótelo.

  10. Vaya a Información general y anote el Id. de cliente y el Id. de inquilino.

Configuración de Easy Button

Inicie la configuración guiada de APM para abrir la plantilla Easy Button.

  1. Vaya a Acceso > Configuración guiada > Integración con el software de Microsoft y seleccione Aplicación de Microsoft Entra.

  2. En Configurar la solución mediante los pasos siguientes creará los objetos necesarios, revise la lista de pasos de configuración y seleccione Siguiente.

  3. En Configuración guiada, siga la secuencia de pasos necesarios para publicar la aplicación.

Propiedades de configuración

La pestaña Configuration Properties (Propiedades de configuración) crea una configuración de la aplicación de BIG-IP y un objeto de inicio de sesión único. Tenga en cuenta la sección de detalles de la cuenta de servicio de Azure para el cliente que registró anteriormente en el inquilino de Microsoft Entra como una aplicación. Esta configuración permite que un cliente de OAuth de BIG-IP registre individualmente un SPA de SAML directamente en el inquilino, junto con las propiedades de SSO que habitualmente configuraría de manera manual. Easy Button hace esto para cada servicio BIG-IP que se publica y habilita para SHA.

Algunas de estas son configuraciones globales se pueden reutilizar para publicar más aplicaciones, lo que reduce aún más el tiempo de implementación y el esfuerzo.

  1. Proporcione un nombre único a la configuración que permita a un administrador distinguir fácilmente entre configuraciones de Easy Button.

  2. Habilite Single Sign-On (SSO) & HTTP Headers (Encabezados de inicio de sesión único y HTTP)

  3. Escriba los valores de Id. de inquilino, Id. de cliente y Secreto de cliente que anotó desde la aplicación registrada.

  4. Antes de seleccionar Siguiente, confirme que BIG-IP puede conectarse correctamente al inquilino.

    Captura de pantalla de configuración: propiedades generales y de cuenta de servicio

Proveedor de servicios

La configuración del proveedor de servicios define las propiedades de la instancia del SP de SAML de la aplicación protegida mediante SHA.

  1. Especifique el host. Este es el FQDN público de la aplicación que se va a proteger.

  2. Escriba el identificador de la entidad. Este es el identificador que usará Microsoft Entra ID para identificar el proveedor de servicios de SAML que solicita un token

    Captura de pantalla de la configuración del proveedor de servicios

    A continuación, en Configuración de seguridad especifique si Microsoft Entra debe cifrar las aserciones de SAML emitidas. El cifrado de aserciones entre Microsoft Entra ID y BIG-IP APM proporciona una garantía de que no se podrán interceptar los tokens de contenido y de que no se pondrá en peligro la seguridad de los datos personales o corporativos.

  3. En la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones), seleccione Create New (Crear nueva).

    Captura de pantalla para configurar el botón Fácil: Crear nueva importación

  4. Selecciona Aceptar. Esto abre el cuadro de diálogo Import SSL Certificate and Keys (Importar certificado SSL y claves) en una nueva pestaña.

  5. Seleccione PKCS 12 (IIS) para importar el certificado y la clave privada. Una vez aprovisionado, cierre la pestaña del explorador para volver a la pestaña principal.

    Captura de pantalla para configurar el botón Fácil: Importar nuevo certificado

  6. Active Enable Encrypted Assertion (Habilitar aserciones cifradas).

  7. Si ha habilitado el cifrado, seleccione el certificado en la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones). Esta es la clave privada del certificado que usa BIG-IP APM para descifrar las aserciones de Microsoft Entra

  8. Si ha habilitado el cifrado, seleccione el certificado en la lista Assertion Decryption Certificate (Certificado de descifrado de aserciones). Este es el certificado que carga BIG-IP en Microsoft Entra ID para cifrar las aserciones de SAML emitidas.

    Captura de pantalla de la configuración de seguridad del proveedor de servicios

Microsoft Entra ID

En esta sección se definen todas las propiedades que normalmente se usarían para configurar manualmente una nueva aplicación SAML BIG-IP dentro del inquilino de Microsoft Entra. Easy Button proporciona un conjunto de plantillas de aplicación predefinidas para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP y plantilla SHA genérica para cualquier otra aplicación.

En este escenario, en la página Configuración de Azure, seleccione JD Edwards protegido por F5 BIG-IP>Agregar.

Configuración de Azure

  1. Especifique el nombre para mostrar de la aplicación que crea BIG-IP en el inquilino de Microsoft Entra y el icono que verán los usuarios en el portal Aplicaciones

  2. En URL de inicio de sesión (opcional) escriba el FQDN público de la aplicación JDE que se va a proteger.

    Captura de pantalla de configuración de Azure: agregar información para mostrar

  3. Seleccione el icono de actualización junto a Clave de firma y Certificado de firma para buscar el certificado que importó anteriormente.

  4. Escriba la contraseña del certificado en Frase de contraseña de firma.

  5. Habilite Opción de firma (opcional). Esto garantiza que BIG-IP solo aceptará tokens y notificaciones firmados por Microsoft Entra ID

    Captura de pantalla de configuración de Azure: agregar información de certificados de firma

  6. Los usuarios y grupos de usuarios se consultan dinámicamente desde el inquilino de Microsoft Entra y se usan para autorizar el acceso a la aplicación. Agregue un usuario o grupo que pueda usar más adelante para realizar pruebas; de lo contrario, se deniega todo el acceso.

    Captura de pantalla de configuración de Azure: agregar usuarios y grupos

Atributos y notificaciones de usuario

Cuando un usuario se autentica correctamente, Microsoft Entra ID emite un token SAML con un conjunto predeterminado de notificaciones y atributos que identifican de forma única al usuario. La pestaña Atributos y notificaciones de usuario muestra las notificaciones predeterminadas que se emitirán para la nueva aplicación. También permite configurar más notificaciones.

Captura de pantalla de atributos y notificaciones de usuarios

Puede incluir atributos adicionales de Microsoft Entra si es necesario, pero el escenario de Oracle JDE solo requiere los atributos predeterminados.

Atributos de usuario adicionales

La pestaña Atributos de usuario adicionales puede admitir diversos sistemas distribuidos que requieren atributos almacenados en otros directorios para el aumento de la sesión. Los atributos obtenidos de un origen LDAP se pueden insertar como encabezados de inicio de sesión único adicionales para controlar aún más el acceso en función de los roles, los Id. de partner, etc.

Captura de pantalla de atributos de usuarios adicionales

Nota

Esta característica no tiene ninguna correlación con Microsoft Entra ID, sino que es otro origen de atributos.

Directiva de acceso condicional

Las directivas de acceso condicional se aplican después de la autenticación previa de Microsoft Entra para controlar el acceso en función de las señales de dispositivo, aplicación, ubicación y riesgo.

La vista Directivas disponibles , de forma predeterminada, enumerará todas las directivas de acceso condicional que no incluyan acciones basadas en el usuario.

La vista Directivas seleccionadas muestra de forma predeterminada todas las directivas dirigidas a todos los recursos. Estas políticas no se pueden deseleccionar ni mover a la lista de políticas disponibles ya que se aplican a nivel de arrendatario.

Para seleccionar una directiva que se aplicará a la aplicación que se va a publicar:

  1. Seleccione la directiva deseada en la lista Available Policies (Directivas disponibles).

  2. Seleccione la flecha derecha y muévala a la lista Selected Policies (Directivas seleccionadas).

    Las directivas seleccionadas deben tener activada la opción Incluir o Excluir. Si ambas opciones están marcadas, no se aplica la directiva.

    Captura de pantalla de las directivas de acceso condicional

Nota

La lista de directivas se enumera solo una vez cuando se cambia por primera vez a esta pestaña. Hay un botón de actualización disponible para forzar manualmente al asistente a consultar el inquilino, pero este botón solo se muestra cuando se ha implementado la aplicación.

Propiedades del servidor virtual

Un servidor virtual es un objeto del plano de datos de BIG-IP representado por una dirección IP virtual que escucha las solicitudes de los clientes a la aplicación. Cualquier tráfico recibido se procesa y evalúa con el perfil de APM asociado al servidor virtual, antes de dirigirse según los resultados y la configuración de la directiva.

  1. Escriba la dirección de destino. Es cualquier dirección IPv4/IPv6 disponible que BIG-IP pueda usar para recibir tráfico del cliente. También debe existir un registro correspondiente en DNS que permita a los clientes resolver la dirección URL externa de la aplicación publicada de BIG-IP en esta dirección IP, en lugar de la propia aplicación. El uso del DNS de localhost de un equipo de prueba se puede usar para las pruebas.

  2. En Puerto de servicio, escriba 443 para HTTPS.

  3. Active Enable Redirect Port (Habilitar puerto de redirección) y, luego, escriba el valor de Redirect Port (Puerto de redirección). Redirige el tráfico de cliente HTTP entrante a HTTPS.

  4. El perfil SSL de cliente habilita el servidor virtual para HTTPS, de manera que las conexiones de cliente se cifren a través de TLS. Seleccione el perfil SSL del cliente que creó como parte de los requisitos previos o deje el valor predeterminado mientras realiza pruebas.

    Captura de pantalla del servidor virtual

Propiedades del grupo

En la pestaña Grupo de aplicaciones se detallan los servicios detrás de BIG-IP que se representan como un grupo que contiene uno o varios servidores de aplicaciones.

  1. En Seleccione un grupo, realice su selección. Creación de un grupo o selección de uno existente

  2. En Método de equilibrio de carga, elija Round Robin.

  3. En los servidores de grupo, seleccione un nodo existente o especifique una dirección IP y un puerto para los servidores que hospedan la aplicación de Oracle JDE.

    Captura de pantalla del grupo de aplicaciones

Inicio de sesión único & Encabezados HTTP

El asistente de Easy Button admite encabezados de autorización de Kerberos, portador de OAuth y HTTP para el inicio de sesión único en las aplicaciones publicadas. Como la aplicación de Oracle JDE espera encabezados, habilite los encabezados HTTP y especifique las siguientes propiedades.

  • Operación de encabezado: reemplazar
  • Nombre de encabezado JDE_SSO_UID
  • Valor del encabezado: %{session.sso.token.last.username}

Captura de pantalla de los encabezados de inicio de sesión único y HTTP

Nota

Las variables de sesión de APM definidas entre llaves distinguen entre mayúsculas y minúsculas. Por ejemplo, si escribe OrclGUID cuando el nombre del atributo Microsoft Entra se define como orclguid, provoca un error de asignación de atributos.

Administración de sesiones

La configuración de administración de sesiones de BIG-IP se usa para definir las condiciones en las que se terminan o se permite que continúen las sesiones de usuario, los límites de usuarios y direcciones IP, y la correspondiente información del usuario. Consulte la documentación de F5 para más detalles sobre esta configuración.

Sin embargo, lo que no se trata aquí es la funcionalidad de cierre de sesión único (SLO), que garantiza que todas las sesiones entre el IdP, BIG-IP y el agente de usuario finalicen después de que los usuarios hayan cerrado la sesión. Cuando Easy Button crea una instancia de una aplicación SAML en el inquilino de Microsoft Entra, también rellena la dirección URL de cierre de sesión con el punto de conexión de cierre de sesión único de APM. De este modo, los cierres de sesión iniciados por IdP desde el portal Aplicaciones de Microsoft Entra también finalizan la sesión entre BIG-IP y un cliente.

Junto con esto, los metadatos de federación de SAML de la aplicación publicada se importan desde el inquilino, lo que proporciona a APM el punto de conexión de cierre de sesión de SAML para Microsoft Entra ID. Esto garantiza que los cierres de sesión iniciados por SP finalicen la sesión entre un cliente y Microsoft Entra ID. No obstante, para que esta opción sea realmente eficaz, el APM debe saber exactamente cuándo un usuario cierra sesión en la aplicación.

Si el portal de webtops de BIG-IP se usa para acceder a aplicaciones publicadas, el APM procesaría un cierre de sesión desde ahí para llamar también al punto de conexión de cierre de sesión de Microsoft Entra. Pero considere un escenario en el que no se usa el portal de webtops de BIG-IP y el usuario no tiene ninguna manera de indicar a APM que cierre la sesión. Incluso si el usuario cierra sesión en la aplicación misma, BIG-IP es técnicamente ajeno a esto. Por esta razón, el cierre de sesión por parte de SP es algo que debe tenerse muy en cuenta para garantizar que las sesiones finalicen de manera segura cuando ya no sean necesarias. Una manera de lograrlo sería agregar una función SLO al botón de cierre de sesión de las aplicaciones, para que pueda redirigir al cliente al punto de conexión de cierre de sesión de SAML de Microsoft Entra o de BIG-IP. La dirección URL del punto de conexión de cierre de sesión de SAML para el inquilino puede encontrarse en Registros de aplicaciones > Puntos de conexión.

Si no es posible realizar un cambio en la aplicación, considere la posibilidad de que BIG-IP escuche la llamada de cierre de sesión de las aplicaciones y, al detectar la solicitud, desencadene el cierre de sesión único. Si desea usar reglas iRule de BIG-IP para lograr esto, consulte la guía de SLO de Oracle PeopleSoft. Puede encontrar más información sobre el uso de iRules de BIG-IP para lograr este comportamiento en el artículo de conocimientos de F5 Configuración de la terminación automática de sesión (cierre de sesión) basada en un nombre de archivo al que se hace referencia mediante URI e Información general de la opción Incluir del URI de cierre de sesión.

Resumen

Este último paso proporciona un desglose de las configuraciones. Seleccione Implementar para confirmar toda la configuración y comprobar que la aplicación existe en la lista de inquilinos de las aplicaciones empresariales.

Contenido relacionado

Desde un explorador, conéctese a la dirección URL externa de la aplicación de Oracle JDE o seleccione el icono de la aplicación en el portal MyApps de Microsoft. Después de autenticarse en Microsoft Entra ID, se le redirigirá al servidor virtual de BIG-IP para la aplicación y se iniciará sesión de forma automática mediante SSO.

Para aumentar la seguridad, las organizaciones que usan este patrón también podrían considerar la posibilidad de bloquear todo el acceso directo a la aplicación, forzando así una ruta de acceso estricta a través de BIG-IP.

Implementación avanzada

Puede haber casos en los que las plantillas de configuración guiada carezcan de flexibilidad para lograr un requisitos más específicos. Para esos escenarios, consulte Configuración avanzada del inicio de sesión único basado en encabezados. Como alternativa, BIG-IP ofrece la opción de deshabilitar el modo de administración estricta de la configuración guiada. Esto le permite ajustar manualmente las configuraciones, aunque la mayor parte de estas se automatizan mediante las plantillas basadas en asistentes.

Puede ir a Acceso > Guided Configuration (Configuración guiada) y seleccionar el icono de candado pequeño situado en el extremo derecho de la fila de configuración de las aplicaciones.

Captura de pantalla para configurar el botón Fácil: Administración estricta

En ese momento, los cambios a través de la interfaz de usuario del asistente ya no son posibles, pero todos los objetos BIG-IP asociados a la instancia publicada de la aplicación se desbloquean para la administración directa.

Nota

Volver a habilitar el modo estricto e implementar una configuración sobrescribe cualquier configuración realizada fuera de la interfaz de usuario de configuración guiada, por lo que se recomienda el método de configuración avanzado para los servicios de producción.

Solución de problemas

Si no puede acceder a una aplicación protegida por SHA puede ser por varios factores. El registro de BIG-IP puede ayudar a aislar rápidamente todo tipo de problemas con la conectividad, el inicio de sesión único, infracciones de directivas o asignaciones de variables mal configuradas. Para empezar a solucionar problemas, aumente el nivel de detalle del registro.

  1. Vaya a Directiva de acceso > Información general > Registros de eventos > Configuración

  2. Seleccione la fila de la aplicación publicada y, luego, Editar> Access System Logs (Registros del sistema de acceso).

  3. Seleccione Depurar en la lista de inicio de sesión único y, después, elija Aceptar.

Reproduzca el problema y, a continuación, inspeccione los registros, pero recuerde volver a cambiarlo cuando haya terminado, ya que el modo detallado genera una gran cantidad de datos.

Si ve un error con la marca BIG-IP inmediatamente después de una autenticación previa correcta de Microsoft Entra, es posible que el problema esté relacionado con el inicio de sesión único de Microsoft Entra ID en BIG-IP.

  1. Vaya a Access > Overview > Access reports (Acceso > Información general > Informes de acceso).

  2. Ejecute el informe de la última hora para ver si los registros proporcionan alguna pista. El vínculo Ver variables de sesión de la sesión también le ayudará a saber si APM recibe las notificaciones esperadas de Microsoft Entra ID

Si no ve una página de error de BIG-IP, el problema probablemente esté más relacionado con la solicitud de back-end o con el inicio de sesión único desde BIG-IP a la aplicación.

  1. En este caso, vaya a Directiva de acceso > Información general > Sesiones activas y seleccione el vínculo de la sesión activa.

  2. El enlace Ver variables en esta ubicación también puede ayudar a identificar la causa raíz de problemas de SSO, especialmente si el BIG-IP APM no puede obtener los atributos correctos de Microsoft Entra ID u otra fuente.

Vea los ejemplos de asignación de variables de BIG-IP APM y referencia de variables de sesión de F5 BIG-IP para obtener más información.