Partage via


Didacticiel : Configurer F5 BIG-IP Easy Button pour l’authentification unique à Oracle JDE

Dans ce tutoriel, apprenez à sécuriser Oracle JD Edwards (JDE) avec Microsoft Entra ID, en utilisant la Configuration guidée de BIG-IP Easy Button de F5.

Intégrez BIG-IP à Microsoft Entra ID pour de nombreux avantages :

En savoir plus :

Description du scénario

Ce didacticiel utilise une application Oracle JDE utilisant des en-têtes d’autorisation HTTP pour gérer l’accès au contenu protégé.

Les applications héritées ne disposent pas de protocoles modernes pour prendre en charge l’intégration de Microsoft Entra. Une modernisation est coûteuse, nécessite une planification et présente un risque potentiel de temps d’arrêt. Au lieu de cela, utilisez un contrôleur de remise d’application (ADC) F5 BIG-IP pour combler le manque entre les applications héritées et le contrôle d’ID moderne, avec la transition de protocole.

Avec un BIG-IP devant l’application, vous pouvez superposer le service avec la pré-authentification Microsoft Entra et l’authentification unique basée sur l’en-tête. Cette action améliore l’état de la sécurité de l’application.

Architecture du scénario

La solution SHA pour ce scénario est constituée de plusieurs éléments :

  • Application Oracle JDE : service publié par BIG-IP protégé par l’accès hybride sécurisé (SHA) Microsoft Entra
  • Microsoft Entra ID – Fournisseur d'identité (IdP) Security Assertion Markup Language (SAML) qui vérifie les informations d'identification d’utilisateur, l'accès conditionnel et l'authentification unique basée sur SAM sur le BIG-IP
    • Avec l’authentification unique, Microsoft Entra ID fournit des attributs de session à BIG-IP
  • BIG-IP : proxy inverse et fournisseur de services SAML pour l’application
    • BIG-IP délègue l’authentification au fournisseur d’identité SAML, puis effectue une authentification unique basée sur l’en-tête auprès du service Oracle

Dans ce didacticiel, SHA prend en charge les flux lancés par le fournisseur de services et le fournisseur d’identité. Le diagramme suivant montre le flux lancé par le fournisseur de services.

Diagramme d’un accès hybride sécurisé avec le flux initié par le fournisseur de services.

  1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP).
  2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
  3. Microsoft Entra pré-authentifie l’utilisateur et applique les stratégies d’accès conditionnel.
  4. L’utilisateur est redirigé vers BIG-IP (SAML SP). L’authentification unique (SSO) s’effectue à l’aide du jeton SAML émis.
  5. BIG-IP injecte les attributs de Microsoft Entra en tant qu’en-têtes dans la demande de l’application.
  6. L’application autorise la demande et renvoie une charge utile.

Prérequis

Configuration de BIG-IP

Ce tutoriel utilise la Configuration guidée version 16.1 avec un modèle Easy Button. Avec l’Easy Button, les administrateurs n’ont pas à faire des allers-retours entre Microsoft Entra ID et BIG-IP afin d’activer les services pour SHA. L’Assistant de configuration guidée d’APM et Microsoft Graph gèrent les déploiements et les stratégies. L’intégration garantit que les applications prennent en charge la fédération d’identités, l’authentification unique et l’accès conditionnel.

Remarque

Remplacez les exemples de chaînes ou de valeurs de ce didacticiel par ceux de votre environnement.

Inscrire l’Easy Button

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Avant qu’un client ou un service accède à Microsoft Graph, la plateforme d’identités Microsoft doit l’approuver.

En savoir plus : Démarrage rapide : Inscrire une application avec la plateforme d’identités Microsoft

Les instructions suivantes vous aident à créer une inscription d’application client pour autoriser l’accès Easy Button à Graph. Avec ces autorisations, le BIG-IP envoie les configurations pour établir une relation d’approbation entre une instance SAML SP pour une application publiée et Microsoft Entra ID en tant qu’IdP SAML.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Inscriptions d’applications>Nouvelle inscription.

  3. Saisissez le nom d’une application.

  4. Pour Comptes dans cet annuaire organisationnel uniquement, spécifiez qui utilise l’application.

  5. Sélectionnez Inscrire.

  6. Accédez à Autorisations de l’API.

  7. Autorisez les autorisations d’application Microsoft Graph suivantes :

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Accorder le consentement administrateur à votre organisation.

  9. Accédez à Certificats et secrets.

  10. Générez une Clé secrète client et notez-la.

  11. Accédez à Vue d’ensemble, notez l’ID client et l’ID de locataire

Configurer Easy Button

  1. Lancez la configuration guidée d’APM.

  2. Lancez le modèle Easy Button.

  3. Accédez à Accès > Configuration guidée.

  4. Sélectionnez Microsoft Integration.

  5. Sélectionnez Application Microsoft Entra.

  6. Passez en revue la séquence de configuration.

  7. Sélectionnez Suivant

  8. Suivez la séquence de configuration.

    Suivez la séquence de configuration sous Configuration de l’Application Microsoft Entra.

Configuration des propriétés

Utilisez l’onglet Propriétés de configuration pour créer des configurations d’application et des objets SSO. La section Détails du compte de service Azure représente le client que vous avez inscrit dans le client Microsoft Entra en tant qu’application. Utilisez les paramètres du client OAuth BIG-IP pour inscrire un fournisseur de services SAML dans le client, avec des propriétés d’authentification unique. Easy Button effectue cette action pour les services BIG-IP publiés et activés pour SHA.

Remarque

Certains des paramètres suivants sont globaux. Vous pouvez les réutiliser afin de publier d’autres applications.

  1. Pour Authentification unique (SSO) et en-têtes HTTP, sélectionnez Activé.
  2. Saisissez l’ID de client, l’ID Client, et la Clé secrète client que vous avez notés.
  3. Vérifiez que BIG-IP se connecte au client.
  4. Sélectionnez Suivant

Fournisseur de services

Les paramètres Fournisseur de services définissent les propriétés de l’instance SAML SP de l’application protégée via SHA.

  1. Pour Hôte, saisissez le nom de domaine complet public de l’application sécurisée.

  2. Pour ID d’entité, saisissez l’identifiant utilisé par Microsoft Entra ID pour identifier le SP SAML demandant un jeton.

    Capture d’écran des options et des sélections pour le fournisseur de services.

  3. (Facultatif) Pour les paramètres de sécurité, indiquez que Microsoft Entra ID chiffre les assertions SAML émises. Cette option renforce l’assurance que les jetons de contenu ne sont pas interceptés et que les données ne sont pas compromises.

  4. Dans la liste Clé privée de déchiffrement d’assertion, sélectionnez Créer.

    Capture d’écran de Créer nouveau dans la liste Clé privée de déchiffrement d’assertion.

  5. Sélectionnez OK.

  6. La boîte de dialogue Importer un certificat et des clés SSL s’ouvre dans un nouvel onglet.

  7. Pour Type d’importation, sélectionnez PKCS 12 (IIS). Cette option importe votre certificat et votre clé privée.

  8. Fermez l’onglet du navigateur pour revenir à l’onglet principal.

    Capture d’écran des options et des sélections pour le certificat SSL et la source clé.

  9. Pour Activer l’assertion chiffrée, activez la case.

  10. Si vous avez activé le chiffrement, sélectionnez votre certificat dans la liste Clé privée de déchiffrement d’assertion. Cette clé privée correspond au certificat qu’utilise BIG-IP APM pour déchiffrer les assertions Microsoft Entra.

  11. Si vous avez activé le chiffrement, sélectionnez votre certificat dans la liste Certificat de déchiffrement d’assertion. BIG-IP charge ce certificat dans Microsoft Entra ID pour chiffrer les assertions SAML émises.

Capture d’écran des options et des sélections de paramètres de sécurité.

Microsoft Entra ID

Easy Button fournit des modèles pour Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP et un modèle SHA générique.

  1. Sélectionnez JD Edwards protégé par F5 BIG-IP.
  2. Sélectionnez Ajouter.

Configuration d’Azure

  1. Saisissez le Nom d’affichage de l’application que BIG-IP crée dans le client. Le nom apparaît sur une icône dans Mes applications.

  2. (Facultatif) Pour URL de connexion, saisissez le nom de domaine complet public de l’application PeopleSoft.

  3. En regard des options Clé de signature et Certificat de signature, sélectionnez actualiser. Cette action localise le certificat que vous avez importé.

  4. Pour Phrase secrète de la clé de signature, saisissez le mot de passe du certificat.

  5. (Facultatif) Pour Option de signature, sélectionnez une option. Cette sélection garantit que BIG-IP accepte les jetons et les revendications signés par Microsoft Entra ID.

    Capture d’écran des options de clé de signature, de certificat de signature et de phrase secrète de clé de signature sous le certificat de signature SAML.

  6. Les utilisateurs et les groupes d'utilisateurs sont interrogés dynamiquement à partir du client Microsoft Entra.

  7. Ajoutez un utilisateur ou un groupe pour les tests ; sinon, les accès sont refusés.

    Capture d’écran de l’option Ajouter dans la section Utilisateurs et groupe d’utilisateurs.

Attributs utilisateur et revendications

Quand un utilisateur s’authentifie, Microsoft Entra ID émet un jeton SAML avec des revendications et des attributs par défaut qui identifient cet utilisateur. L’onglet Attributs utilisateur et revendications contient les revendications par défaut à émettre pour la nouvelle application. Utilisez-le pour configurer d’autres revendications.

Capture d’écran des options et des sélections pour Attributs utilisateur et revendications.

Si nécessaire, incluez d’autres attributs Microsoft Entra. Le scénario Oracle JDE nécessite des attributs par défaut.

Attributs utilisateur supplémentaires

L’onglet Attributs utilisateur supplémentaires prend en charge les systèmes distribués nécessitant des attributs stockés dans d’autres annuaires pour l’augmentation de la session. Les attributs d’une source LDAP sont injectés en tant qu’en-têtes SSO supplémentaires pour contrôler l’accès en fonction des rôles et des ID de partenaire, entre autres.

Remarque

Cette fonctionnalité n'a aucune corrélation avec Microsoft Entra ID, elle constitue une autre source d'attributs.

Stratégie d’accès conditionnel

Les stratégies d’accès conditionnel sont appliquées après la pré-authentification Microsoft Entra pour contrôler l’accès en fonction de l’appareil, de l’application, de l’emplacement et des signaux de risque. La vue Stratégies disponibles contient les stratégies d’accès conditionnel sans action de l’utilisateur. L’affichage Stratégies sélectionnées répertorie les stratégies qui ciblent des applications cloud. Vous ne pouvez pas désélectionner ni déplacer ces stratégies vers la liste des stratégies disponibles, car elles sont appliquées au niveau du client.

Sélectionnez une stratégie pour l’application.

  1. Dans la liste Stratégies disponibles, sélectionnez une stratégie.
  2. Sélectionnez la flèche droite et déplacez la stratégie vers les Stratégies sélectionnées.

Les stratégies sélectionnées doivent avoir l’option Inclure ou Exclure cochée. Si les deux options sont cochées, la stratégie n’est pas appliquée.

Capture d’écran des stratégies exclues, sous Stratégies sélectionnées, sous l’onglet Stratégie d’accès conditionnel.

Remarque

La liste des stratégies s’affiche une fois, lorsque vous sélectionnez l’onglet. Utilisez Actualiser pour l’Assistant afin d’interroger le client. Cette option apparaît une fois l’application déployée.

Propriétés du serveur virtuel

Un serveur virtuel est un objet de plan de données BIG-IP représenté par une adresse IP virtuelle. Le serveur écoute les requêtes du client adressées à l’application. Le trafic reçu est traité et évalué par rapport au profil APM de serveur virtuel. Le trafic est ensuite dirigé conformément à la stratégie.

  1. Pour Adresse de destination, saisissez l’adresse IPv4 ou IPv6 utilisée par BIG-IP pour recevoir le trafic client. Un enregistrement correspondant apparaît dans DNS, ce qui permet aux clients de résoudre l’URL externe de l’application publiée sur l’adresse IP. Utilisez un DNS localhost d’ordinateur de test pour les tests.

  2. Pour Port de service, saisissez 443, puis sélectionnez HTTPS.

  3. Pour Activer le port de redirection, activez la case.

  4. Pour Port de redirection, saisissez 80, puis sélectionnez HTTP. Cette option redirige le trafic entrant du client HTTP vers HTTPS.

  5. Pour Profil SSL du client, sélectionnez Utiliser l’existant.

  6. Sous Courant, sélectionnez l’option que vous avez créée. En cas de test, conservez la valeur par défaut. Le profil SSL du client permet d’activer le serveur virtuel pour HTTPS afin que les connexions clientes soient chiffrées sur TLS.

    Capture d’écran des options et des sélections pour les propriétés du serveur virtuel.

Propriétés du pool

L’onglet Pool d'applications a des services derrière BIG-IP, représentés comme un pool avec des serveurs d’application.

  1. Pour Sélectionner un pool, sélectionnez Créer ou sélectionnez-en un.

  2. Pour Méthode d’équilibrage de charge, sélectionnez Tournoi toutes rondes.

  3. Pour Serveurs de pool, dans Adresse IP/nom de nœud, ou saisissez une adresse IP et un port pour les serveurs hébergeant l’application Oracle JDE.

    Capture d’écran des options Adresse IP/Nom de nœud et Port sur les propriétés du pool.

Authentification unique et en-têtes HTTP

L’Assistant Easy Button prend en charge Kerberos, OAuth Bearer et les en-têtes d’autorisation HTTP pour l’authentification unique pour les applications publiées. L’application PeopleSoft attend des en-têtes.

  1. Pour En-têtes HTTP, cochez la case.

  2. Pour Opération d’en-tête, sélectionnez remplacer.

  3. Pour Nom de l’en-tête, saisissez JDE_SSO_UID.

  4. Pour Valeur de l’en-tête, saisissez %{session.sso.token.last.username}.

    Capture d’écran des entrées de valeur Opération d’en-tête, Nom d’en-tête et En-tête sous Authentification unique et en-têtes HTTP.

    Remarque

    Les variables de session APM entre accolades respectent la casse. Par exemple, si vous saisissez OrclGUID et que le nom de l’attribut est orclguid, le mappage de l’attribut échoue.

Gestion des sessions

Utilisez les paramètres de gestion de session BIG-IP pour définir des conditions d’arrêt ou de continuation des sessions utilisateur. Définissez des limites pour les utilisateurs et les adresses IP, ainsi que des informations utilisateur correspondantes.

Pour en savoir plus, accédez à support.f5.com et consultez K18390492 : Sécurité | Guide des opérations BIG-IP APM

La fonctionnalité Single Log Out (SLO) n’est pas couverte dans ce guide des opérations. Elle garantit que les sessions entre le fournisseur d’identité, BIG-IP et l’agent utilisateur se terminent lorsque les utilisateurs se déconnectent. Lorsqu’Easy Button instancie une application SAML dans votre client Microsoft Entra, il remplit l’URL de déconnexion avec le point de terminaison SLO APM. La déconnexion lancée par le fournisseur d’identité à partir de Mes applications met fin aux sessions BIG-IP et clientes.

Les données de fédération SAML de l’application publiée sont importées à partir du client. Cette action fournit à l'APM le point de terminaison de déconnexion SAML pour Microsoft Entra ID, qui assure la déconnexion initiée par le SP à mettre fin au client et aux sessions Microsoft Entra. L’APM doit savoir quand un utilisateur se déconnecte.

Si le portail webtop BIG-IP accède aux applications publiées, APM traite une déconnexion pour appeler le point de terminaison de déconnexion Microsoft Entra. Si le portail webtop BIG-IP n’est pas utilisé, l’utilisateur ne peut pas demander à APM de se déconnecter. Si l’utilisateur se déconnecte de l’application, BIG-IP n’en a pas connaissance. La déconnexion initiée par le fournisseur de services nécessite un arrêt de session sécurisé. Ajoutez une fonction SLO au bouton de déconnexion de votre application pour rediriger votre client vers le point de terminaison de déconnexion Microsoft Entra SAML ou BIG-IP. L’URL du point de terminaison de déconnexion SAML de votre client dans Inscriptions d’applications > Points de terminaison.

Si vous ne pouvez pas modifier l’application, faites en sorte que BIG-IP écoute l’appel de déconnexion d’application, puis déclenche SLO.

En savoir plus : Didacticiel : Configurer F5 BIG-IP Easy Button pour la SSO à Oracle PeopleSoft, PeopleSoft Single Logout

Pour en savoir plus, accédez au site support.f5.com pour consulter :

Déploiement

  1. Sélectionnez Déployer.
  2. Vérifier que l’application est dans la liste de clients d’applications d’entreprise.

Confirmer la configuration

  1. À l’aide d’un navigateur, connectez-vous à l’URL externe de l’application Oracle JDE ou sélectionnez l’icône d’application dans Mes applications.

  2. Authentifiez-vous auprès de Microsoft Entra ID.

  3. Vous êtes redirigé vers le serveur virtuel BIG-IP pour l’application, et connecté avec l’authentification unique (SSO).

    Remarque

    Vous pouvez bloquer l’accès direct à l’application en forçant l’adoption d’un chemin d’accès par le biais de BIG-IP.

Déploiement avancé

Parfois les modèles de configuration guidée manquent parfois de flexibilité.

En savoir plus : Tutoriel : Configurer le manager de stratégie d’accès F5 BIG-IP pour l’authentification unique basée sur l’en-tête

Vous pouvez également désactiver le mode de gestion stricte Configuration guidée dans BIG-IP. Vous pouvez modifier manuellement les configurations. Toutefois, la plupart des configurations sont automatisées avec des modèles d’Assistant.

  1. Accédez à Accès > Configuration guidée.

  2. À la fin de la ligne, sélectionnez le cadenas.

    Capture d’écran de l’icône de cadenas.

Les modifications effectuées avec l’interface utilisateur de l’Assistant ne pas possibles, mais tous les objets BIG-IP associés à l’instance publiée de l’application sont déverrouillés pour gestion.

Remarque

Si vous réactivez le mode strict et déployez une configuration, les réglages effectués en dehors de l’interface utilisateur Configuration guidée sont remplacés. Nous vous recommandons la configuration avancée pour les services de production.

Dépannage

Utilisez la journalisation BIG-IP pour isoler toutes sortes de problèmes liés à la connectivité, à l’authentification unique, aux violations de stratégies ou aux mappages de variables mal configurés.

Verbosité du journal

  1. Accédez à Stratégie d’accès > Vue d'ensemble.
  2. Sélectionnez Journaux des événements.
  3. Sélectionnez Paramètres.
  4. Sélectionnez la ligne de votre application publiée.
  5. Sélectionnez Modifier.
  6. Sélectionnez Accéder aux journaux système
  7. Dans la liste de l’authentification unique, sélectionnez Déboguer.
  8. Sélectionnez OK.
  9. Reproduisez votre problème.
  10. Inspectez les journaux d'activité.

Lorsque vous avez terminé, rétablissez la fonctionnalité, car le mode commentaires génère beaucoup de données.

Message d’erreur BIG-IP

Si une erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, il est possible que le problème soit lié à Microsoft Entra ID vers l'authentification unique BIG-IP.

  1. Accédez à Accès > Vue d’ensemble.
  2. Sélectionnez Rapports d’accès.
  3. Exécutez le rapport pour la dernière heure.
  4. Passez en revue les journaux à la recherche d’indices.

Utilisez le lien de session Afficher la session pour vérifier qu’APM reçoit les revendications Microsoft Entra attendues.

Aucun message d’erreur BIG-IP

Si aucun message d’erreur BIG-IP n’apparaît, le problème peut être lié à la requête back-end ou à l’authentification unique entre BIG-IP et l’application.

  1. Accédez à Stratégie d’accès > Vue d'ensemble.
  2. Sélectionnez Sessions actives.
  3. Sélectionnez le lien de session active.

Utilisez le lien Afficher les variables pour déterminer les problèmes d’authentification unique, en particulier si APM BIG-IP obtient des attributs incorrects à partir de variables de session.

En savoir plus :