Tutorial: Configuración de BIG-IP Easy Button de F5 para el inicio de sesión único en Oracle JDE

En este tutorial, obtenga información sobre cómo proteger Oracle JD Edwards (JDE) mediante Microsoft Entra ID, a través de la configuración guiada de Easy Button de BIG-IP de F5.

La integración de BIG-IP con Microsoft Entra ID tiene muchas ventajas:

• Mejora de la gobernanza de confianza cero a través de la autenticación previa y el acceso condicional de Microsoft Entra
  • Consulte Marco de confianza cero de Microsoft para habilitar el trabajo remoto
  • Consulte ¿Qué es el acceso condicional?
• Inicio de sesión único (SSO) entre Microsoft Entra ID y los servicios publicados de BIG-IP
• Gestione las identidades y el acceso desde el centro de administración de Microsoft Entra

Más información:

• Integración de F5 BIG-IP con Microsoft Entra ID
• Habilitación del inicio de sesión único para una aplicación empresarial

Descripción del escenario

Este tutorial usa la aplicación Oracle JDE que use encabezados de autorización HTTP para administrar el acceso al contenido protegido.

Las aplicaciones heredadas carecen de protocolos modernos para admitir la integración de Microsoft Entra. La modernización es costosa, requiere planeamiento e introduce un riesgo potencial de tiempo de inactividad. En su lugar, use un controlador de entrega de aplicaciones (ADC) BIG-IP de F5 para salvar la distancia entre las aplicaciones heredadas y el control de identidad moderno con la transición de protocolo.

Con una instancia de BIG-IP frente a la aplicación, se superpone el servicio con la autenticación previa de Microsoft Entra y el inicio de sesión único basado en encabezados. Esta acción mejora la posición de seguridad de la aplicación.

Arquitectura del escenario

La solución SHA para este escenario consta de varios componentes:

• Aplicación JDE de Oracle: servicio publicado de BIG-IP protegido mediante SHA de Microsoft Entra
• Microsoft Entra ID: el proveedor de identidades (IdP) de Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) que comprueba las credenciales de usuario, el acceso condicional y el inicio de sesión único basado en SAML en BIG-IP
  • Con el inicio de sesión único, Microsoft Entra ID proporciona atributos de sesión a BIG-IP
• BIG-IP: proxy inverso y proveedor de servicios SAML (SP) en la aplicación
  • BIG-IP delega la autenticación en el IdP de SAML y, a continuación, realiza el inicio de sesión único basado en encabezados en el servicio Oracle

En este tutorial, el acceso híbrido seguro (SHA) admite flujos iniciados por SP e IdP. En el diagrama siguiente se muestra el flujo iniciado por SP.

1. El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
2. La directiva de acceso de APM de BIG-IP redirige al usuario a Microsoft Entra ID (IdP de SAML).
3. Microsoft Entra autentica previamente al usuario y aplica directivas de acceso condicional.
4. El usuario se redirige a BIG-IP (SAML SP). El SSO se produce mediante un token SAML emitido.
5. BIG-IP inserta los atributos de Microsoft Entra como encabezados en la solicitud de la aplicación.
6. La aplicación autoriza la solicitud y devuelve la carga.

Requisitos previos

• Una cuenta gratuita de Microsoft Entra ID o superior
  • Si no tiene una, obtenga una cuenta gratuita de Azure.
• Una instancia de BIG-IP o de BIG-IP Virtual Edition (VE) en Azure
  • Consulte Implementación de una máquina virtual Virtual Edition de BIG-IP de F5 en Azure
• Cualquiera de las siguientes licencias de F5 BIG-IP:
  • F5 BIG-IP® Best bundle
  • Licencia independiente de F5 BIG-IP APM
  • Licencia del complemento F5 BIG-IP APM en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM) ya existente
  • Licencia de evaluación gratuita completa de 90 días de BIG-IP
• Identidades de usuario sincronizadas desde un directorio local a Microsoft Entra ID, o bien creadas en Microsoft Entra ID y devueltas al directorio local
  • Consulte Sincronización de Microsoft Entra Connect: Comprender y personalizar la sincronización
• Uno de los roles siguientes: Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones
• Un certificado web de SSL para publicar servicios a través de HTTPS o usar certificados predeterminados de BIG-IP durante las pruebas
  • Consulte Implementación de una máquina virtual Virtual Edition de BIG-IP de F5 en Azure
• Un entorno JDE de Oracle

Configuración de BIG-IP

En este tutorial se utiliza Guided Configuration 16.1 con una plantilla de Easy Button. Con Easy Button, los administradores no van entre Microsoft Entra ID y BIG-IP para permitir servicios de SHA. La implementación y la administración de directivas se controlan con el asistente de configuración guiada de APM y Microsoft Graph. La integración garantiza que las aplicaciones puedan admitir la federación de identidades, el SSO y el acceso condicional.

Nota

Reemplace las cadenas o valores de ejemplo de este tutorial por los de su entorno.

Registro de Easy Button

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Antes de que un cliente o servicio acceda a Microsoft Graph, la plataforma de identidad de Microsoft debe confiar en él.

Más información. Inicio rápido: Registro de una aplicación con la plataforma de identidad de Microsoft

Las instrucciones siguientes le ayudarán a crear un registro de aplicación de inquilino para autorizar el acceso de Easy Button a Graph. Con estos permisos, BIG-IP inserta las configuraciones para establecer una confianza entre una instancia de proveedor de servicio de SAML para la aplicación publicada y Microsoft Entra ID como el proveedor de identidades de SAML.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

2. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones>Nuevo registro.

3. Escriba un nombre para la aplicación.

4. Para las cuentas solo de este directorio de la organización, especifique quién usa la aplicación.

5. Seleccione Registrar.

6. Vaya a Permisos de la API.

7. Autorice los siguientes permisos de aplicación de Microsoft Graph:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Concesión de consentimiento del administrador a la organización.

9. Vaya a Certificados y Secretos.

10. Genere un nuevo secreto de cliente y anótelo.

11. Vaya a Información general y anote el id. de cliente y el id. de inquilino

Configuración de Easy Button

1. Inicie la configuración guiada de APM.

2. Inicie la plantilla Easy Button.

3. Vaya a Acceso > Configuración guiada.

4. Seleccione Integración de Microsoft.

5. Seleccione Aplicación Microsoft Entra.

6. Revise la secuencia de configuración.

7. Seleccione Siguiente.

8. Siga la secuencia de configuración.

   

Configuration Properties

Use la pestaña Propiedades de configuración para crear nuevas opciones de configuración de la aplicación y objetos de inicio de sesión único. La sección de detalles de la cuenta de servicio de Azure representa al cliente que registró en el inquilino de Microsoft Entra como una aplicación. Use esta configuración para un cliente OAuth de BIG-IP para registrar un SP de SAML en el inquilino, con propiedades de SSO. Easy Button hace esta acción para los servicios BIG-IP que se publican y habilitan para SHA.

Nota

Algunas de las siguientes opciones son globales. Puede reutilizarlas para publicar más aplicaciones.

1. Para Inicio de sesión único (SSO) y Encabezados HTTP, seleccione Activado.

2. Escriba el id. de inquilino, id. de cliente y secreto de cliente que ha anotado.

3. Confirme que BIG-IP se conecta al inquilino.

4. Seleccione Siguiente.

   

Proveedor de servicios

La configuración del proveedor de servicios define las propiedades de la instancia del SP de SAML de la aplicación protegida mediante SHA.

1. En Host, ingrese el FQDN público de la aplicación segura.

2. Para Id. de entidad, escriba el identificador que usa Microsoft Entra ID para identificar el proveedor de servicios de SAML que solicita un token.

   

3. (Opcional) Para Configuración de seguridad, indique si Microsoft Entra ID cifra las aserciones de SAML emitidas. Esta opción aumenta la seguridad de que los tokens de contenido no se intercepten ni que los datos se pongan en peligro.

4. En la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones), seleccione Create New (Crear nueva).

   

5. Seleccione Aceptar.

6. El cuadro de diálogo Importar certificado SSL y claves aparece en una nueva pestaña.

7. En Tipo de importación, seleccione PKCS 12 (IIS). Esta opción importa el certificado y la clave privada.

8. Cierre la pestaña del explorador para volver a la pestaña principal.

   

9. Para Habilitar la aserción cifrada, marque la casilla.

10. Si ha habilitado el cifrado, seleccione el certificado en la lista Clave privada de descifrado de aserciones. La clave privada es para el certificado que usa APM de BIG-IP para descifrar las aserciones de Microsoft Entra.

11. Si ha habilitado el cifrado, seleccione el certificado en la lista Certificado de descifrado de aserciones. BIG-IP carga este certificado en Microsoft Entra ID para cifrar las aserciones de SAML emitidas.

Microsoft Entra ID

Easy Button tiene plantillas para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP y una plantilla de SHA genérica.

1. Seleccione JD Edwards Protected by F5 BIG-IP.
2. Seleccione Agregar.

Configuración de Azure

1. Escriba el nombre para mostrar para la aplicación BIG-IP que se crea en el inquilino de Azure AD. El nombre aparece en un icono de Mis aplicaciones.

2. (Opcional) En dirección URL de inicio de sesión, escriba el FQDN público de la aplicación PeopleSoft.

3. Junto a Clave de firma y Certificado de firma, seleccione Actualizar. Esta acción busca el certificado que ha importado.

4. En Frase de contraseña de clave de firma, escriba la contraseña del certificado.

5. (Opcional) En Opción de firma, seleccione una opción. Esta selección asegura que BIG-IP acepte tokens y notificaciones firmados por Microsoft Entra ID.

   

6. Los usuarios y grupos de usuarios se consultan dinámicamente desde el inquilino de Microsoft Entra.

7. Agregue un usuario o grupo para las pruebas; de lo contrario, se deniega el acceso.

   

Atributos y notificaciones de usuario

Cuando un usuario se autentica, Microsoft Entra ID emite un token SAML con notificaciones y atributos predeterminados que identifican al usuario. La pestaña Atributos y notificaciones del usuario tiene las notificaciones predeterminadas que se emitirán para la nueva aplicación. Úselo para configurar más notificaciones.

Si es necesario, incluya otros atributos de Microsoft Entra. El escenario Oracle JDE requiere atributos predeterminados.

Atributos de usuario adicionales

La pestaña Atributos de usuario adicionales admite sistemas distribuidos que requieren que los atributos estén almacenados en otros directorios para el aumento de la sesión. Los atributos de un origen LDAP se inyectan como más encabezados de inicio de sesión único para controlar el acceso en función de los roles, los id. de partner, etc.

Nota:

Esta característica no tiene correlación con Microsoft Entra ID; es otro origen de atributo.

Directiva de acceso condicional

Las directivas de acceso condicional se aplican después de la autenticación previa de Microsoft Entra, para controlar el acceso en función de las señales de dispositivo, aplicación, ubicación y riesgo. La vista Directivas disponibles tiene directivas de acceso condicional sin acciones del usuario. La vista Directivas seleccionadas tiene las directivas dirigidas a las aplicaciones de nube. No puede anular la selección ni mover estas directivas a la lista Directivas disponibles porque se aplican en el nivel de inquilino.

Seleccione una directiva para la aplicación.

1. En la lista Directivas disponibles, seleccione una directiva.
2. Seleccione la flecha derecha y mueva la directiva a Directivas seleccionadas.

Las directivas seleccionadas deben tener marcada la opción Incluir o Excluir. Si ambas opciones están marcadas, no se aplica la directiva.

Nota:

La lista de directivas aparece una vez al seleccionar la pestaña. Use Actualizar para que el asistente consulte el inquilino. Esta opción aparece después de implementar la aplicación.

Propiedades del servidor virtual

Un servidor virtual es un objeto del plano de datos de BIG-IP, representado por una dirección IP virtual. El servidor escucha las solicitudes de cliente a la aplicación. El tráfico recibido se procesa y evalúa en relación con el perfil de APM del servidor virtual. A continuación, el tráfico se dirige según la directiva.

1. En la dirección de destino, escriba una dirección IPv4 o IPv6 que usa BIG-IP para recibir el tráfico de cliente. Aparece un registro correspondiente en DNS, que permite a los clientes resolver la dirección URL externa de la aplicación publicada en la dirección IP. Use un DNS localhost del equipo de prueba para las pruebas.

2. En Puerto de servicio, escriba 443 y seleccione HTTPS.

3. En Habilitar puerto de redirección, active la casilla.

4. En Puerto de redirección, escriba 80 y seleccione HTTP. Esta opción redirige el tráfico de cliente HTTP entrante a HTTPS.

5. En Perfil SSL de cliente, seleccione Usar existente.

6. En Común, seleccione la opción que ha creado. Si realiza pruebas, deje el valor predeterminado. El perfil SSL de cliente habilita el servidor virtual para HTTPS para que las conexiones de cliente se cifren con TLS.

   

Propiedades del grupo

La pestaña Grupo de aplicaciones tiene los servicios detrás de BIG-IP representados como un grupo con servidores de aplicaciones.

1. Para Seleccionar un grupo, seleccione Crear nuevo o seleccione uno.

2. Para Método de equilibrio de carga, seleccione Round Robin.

3. Para los servidores de grupo, en Dirección IP/Nombre de nodo, seleccione un nodo o escriba una dirección IP y puerto para los servidores que hospedan la aplicación Oracle JDE.

   

Encabezados de inicio de sesión único y HTTP

El asistente de Easy Button admite encabezados de autorización de Kerberos, portador de OAuth y HTTP para el inicio de sesión único en las aplicaciones publicadas. La aplicación PeopleSoft espera encabezados.

1. En Encabezados HTTP, active la casilla.

2. En Operación de encabezado, seleccione reemplazar.

3. En Nombre de encabezado, escriba JDE_SSO_UID.

4. Para Valor de encabezado, escriba %{session.sso.token.last.username}.

   

   Nota:

   Las variables de sesión de APM entre llaves distinguen entre mayúsculas y minúsculas. Por ejemplo, si escribe OrclGUID y el nombre de atributo es orclguid, se produce un error de asignación de atributos.

Administración de sesiones

Use la configuración de administración de sesión de BIG-IP para definir las condiciones para cerrar o continuar las sesiones de los usuarios. Establezca límites para usuarios y direcciones IP y la información de usuario correspondiente.

Para obtener más información, vaya a support.f5.com y consulte K18390492: Seguridad | Guía de operaciones de APM de BIG-IP

No se incluye en la guía de operaciones la funcionalidad de cierre de sesión único (SLO), que asegura que las sesiones del proveedor de identidad (IdP), BIG-IP y del agente del usuario finalicen cuando los usuarios cierran sesión. Cuando Easy Button crea una instancia de aplicación SAML en el inquilino de Microsoft Entra, este rellena la dirección URL de cierre de sesión con el punto de conexión de cierre de sesión único de APM. El cierre de sesión iniciado por IdP de Mis aplicaciones finaliza las sesiones de cliente y BIG-IP.

Los datos de federación SAML de aplicaciones publicadas son importados desde el inquilino. Esta acción proporciona al APM el punto de conexión de cierre de sesión de SAML para Microsoft Entra ID, lo que garantiza que el cierre de sesión iniciado por SP finalice las sesiones del cliente y de Microsoft Entra. El APM debe saber cuándo un usuario cierra la sesión.

Cuando el portal de webtop de BIG-IP accede a aplicaciones publicadas, el APM procesa un cierre de sesión para llamar al punto de conexión de cierre de sesión de Microsoft Entra. Si no se usa ningún portal de webtop de BIG-IP, el usuario no puede indicar al APM que cierre la sesión. Si el usuario cierra la sesión de la aplicación, BIG-IP omite a la acción. El cierre de sesión iniciado por SP necesita la finalización segura de la sesión. Agregue una función SLO al botón Cerrar sesión de la aplicación para redirigir el cliente al punto de conexión de cierre de sesión de SAML o BIG-IP de Microsoft Entra. La dirección URL del punto de conexión de cierre de sesión de SAML para el inquilino está en Registros de aplicaciones > Puntos de conexión.

Si no puede cambiar la aplicación, considere la opción de que BIG-IP escuche las llamadas de cierre de sesión de la aplicación y, a continuación, desencadene el SLO.

Más información: Tutorial: Configuración de BIG-IP Easy Button de F5 para el inicio de sesión único en Oracle PeopleSoft, cierre de sesión único de PeopleSoft

Para más información, vaya a support.f5.com para:

• K42052145: Configuración de la terminación automática de sesión (cierre de sesión) basada en un nombre de archivo al que se hace referencia mediante un identificador URI
• K12056: Información general de la opción de inclusión de un identificador URI de cierre de sesión.

Implementación

1. Seleccione Implementar.
2. Compruebe que la aplicación está en la lista de inquilinos de aplicaciones empresariales.

Confirmar configuración

1. Mediante un explorador conéctese a la dirección URL externa de la aplicación Oracle JDE o seleccione el icono de la aplicación en Aplicaciones.

2. Autentíquese en Microsoft Entra ID.

3. Se le redirigirá al servidor virtual BIG-IP para la aplicación y ha iniciado sesión con el inicio de sesión único.

   Nota

   Puede bloquear el acceso directo a la aplicación, forzando así una ruta a través de BIG-IP.

Implementación avanzada

A veces, las plantillas de configuración guiada carecen de flexibilidad.

Más información. Tutorial: Configuración de BIG-IP Access Policy Manager de F5 para inicio de sesión único basado en encabezados

Como alternativa, en BIG-IP, deshabilite el modo de administración estricta de la configuración guiada. Puede cambiar manualmente las configuraciones, pero la mayoría de las configuraciones están automatizadas con las plantillas de asistente.

1. Vaya a Acceso > Configuración guiada.

2. Al final de la fila, seleccione el candado.

   

No es posible realizar cambios con la interfaz de usuario del asistente, pero todos los objetos de BIG-IP asociados a la instancia publicada de la aplicación se desbloquean para la administración.

Nota

Cuando vuelve a habilitar el modo estricto e implementa una configuración, se sobrescribe la configuración aplicada fuera de la configuración guiada. Se recomienda la configuración avanzada para los servicios de producción.

Solución de problemas

Use el registro de BIG-IP para aislar problemas con la conectividad, el inicio de sesión único, infracciones de directivas o asignaciones de variables mal configuradas.

Nivel de detalle del registro

1. Vaya a Directiva de acceso > Información general.
2. Seleccione Registro de eventos.
3. Haga clic en Configuración.
4. Seleccione la fila de la aplicación publicada.
5. Seleccione Editar.
6. Seleccione Acceder a los registros del sistema
7. Seleccione Depurar en la lista de inicio de sesión único.
8. Selecciona Aceptar.
9. Reproduzca el problema.
10. Inspección de los registros.

Cuando haya finalizado, revierta esta característica porque el modo detallado genera muchos datos.

Mensaje de error de BIG-IP

Si aparece un error de BIG-IP después de una autenticación previa de Microsoft Entra, es posible que el problema esté relacionado con el inicio de sesión único de Microsoft Entra ID en BIG-IP.

1. Vaya a Acceso > Información general.
2. Seleccione Informes de acceso.
3. Ejecute el informe durante la última hora.
4. Revise los registros para encontrar pistas.

Use el vínculo Ver sesión de la sesión para confirmar que APM recibe las notificaciones de Microsoft Entra esperadas.

No hay ningún mensaje de error de BIG-IP

Si no aparece ningún mensaje de error de BIG-IP, el problema podría estar relacionado con la solicitud de back-end o BIG-IP para el inicio de sesión único de la aplicación.

1. Vaya a Directiva de acceso > Información general.
2. Seleccionar Sesiones activas.
3. Seleccione el vínculo de sesión activa.

Use el vínculo Ver variables para determinar problemas de SSO, especialmente si BIG-IP APM obtiene atributos incorrectos de las variables de sesión.

Más información:

• Vaya a devcentral.f5.com para ver ejemplos de asignación de variables de APM
• Vaya a techdocs.f5.com para ver las variables de sesión