Partager via

Configurer le bouton simple BIG-IP de F5 pour l’authentification unique sur Oracle JD Edwards à l’aide de Microsoft Entra ID

Dans cet article, apprenez à sécuriser Oracle JD Edwards (JDE) avec Microsoft Entra ID, en utilisant la configuration guidée de BIG-IP Easy Button de F5.

L’intégration de BIG-IP à Microsoft Entra ID présente de nombreux avantages, notamment :

Pour en savoir plus sur tous les avantages, consultez l’article sur l’intégration de BIG-IP F5 et Microsoft Entra et qu’est-ce que l’accès aux applications et l’authentification unique avec Microsoft Entra ID.

Description du scénario

Ce scénario se penche sur l’application Oracle JDE utilisant des en-têtes d’autorisation HTTP pour gérer l’accès au contenu protégé.

L’application étant héritée, elle n’a pas les protocoles modernes permettant la prise en charge d’une intégration directe à Microsoft Entra ID. L’application peut être modernisée, mais coûteuse, nécessite une planification minutieuse et présente un risque de temps d’arrêt potentiel. Au lieu de cela, un contrôleur de remise d’application (ADC) BIG-IP F5 est utilisé pour combler le manque entre l’ancienne application et le plan de contrôle d’ID moderne, par le biais de la transition de protocole.

Avoir un BIG-IP devant l'application nous permet de superposer le service avec la préauthentification Microsoft Entra et l'authentification unique basée sur l'en-tête, améliorant considérablement la posture de sécurité globale de l'application.

Architecture du scénario

La solution SHA pour ce scénario est constituée de plusieurs éléments :

Application Oracle JDE : service publié par BIG-IP protégé par l’accès hybride sécurisé (SHA) Microsoft Entra.

Microsoft Entra ID : fournisseur d’identité (IdP) SAML (Security Assertion Markup Language) chargé de vérifier les informations d’identification utilisateur, l’accès conditionnel et SSO basée sur SAML sur BIG-IP. Avec SSO, Microsoft Entra ID fournit à BIG-IP tous les attributs de session nécessaires.

BIG-IP : proxy inverse et fournisseur de services (SP) SAML pour l’application, déléguant l’authentification au fournisseur d’identité SAML avant d’effectuer une authentification unique basée sur en-tête auprès du service Oracle.

Le SHA pour ce scénario prend en charge les flux lancés par le fournisseur de services et le fournisseur d’identité. L’image suivante montre le flux lancé par le fournisseur de services.

Accès hybride sécurisé - Flux lancé par le fournisseur de services

Étapes Descriptif
1 L’utilisateur se connecte au point de terminaison d’application (BIG-IP)
2 La stratégie d'accès BIG-IP APM redirige l'utilisateur vers Microsoft Entra ID (SAML IdP)
3 Microsoft Entra ID pré-authentifie l’utilisateur et applique les stratégies d’accès conditionnel en vigueur
4 L’utilisateur est redirigé vers BIG-IP (SP SAML), et l’authentification unique est exécutée à l’aide du jeton SAML émis
5 BIG-IP injecte les attributs Microsoft Entra sous forme d’en-têtes dans la demande envoyée à l’application
6 L’application autorise la demande et retourne une charge utile

Prérequis

Aucune expérience préalable de BIG-IP n’est nécessaire, mais vous aurez besoin des éléments suivants :

  • Un abonnement Microsoft Entra ID Gratuit ou supérieur

  • Un BIG-IP existant ou déployez un BIG-IP Virtual Edition (VE) dans Azure

  • L’une des références SKU de licence F5 BIG-IP suivantes

    • Offre groupée F5 BIG-IP® optimale

    • Licence autonome F5 BIG-IP Access Policy Manager™ (APM)

    • Licence de composant additionnel F5 BIG-IP Access Policy Manager™ (APM) sur une instance existante de BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)

    • Licence d’essai de 90 jours des fonctionnalités complètes BIG-IP.

  • Des identités utilisateur synchronisées d’un annuaire local vers Microsoft Entra ID, ou créées directement dans Microsoft Entra ID et renvoyées dans votre annuaire local

  • Un compte avec des autorisations d'administrateur d'application Microsoft Entra

  • Un certificat web SSL pour les services de publication sur HTTPS, ou utilisez les certificats BIG-IP par défaut lors des tests

  • Un environnement Oracle JDE existant

Méthodes de configuration BIG-IP

Il existe de nombreuses méthodes pour configurer BIG-IP pour ce scénario, y compris deux options basées sur un modèle et une configuration avancée. Cet article décrit la dernière configuration guidée 16.1 offrant un modèle de bouton Facile. Avec Easy Button, les administrateurs n’ont plus besoin d’aller et venir entre Microsoft Entra ID et BIG-IP afin d’activer les services pour SHA. La gestion des déploiements et des stratégies est directement assurée entre l’Assistant de configuration guidée d’APM et Microsoft Graph. Cette intégration enrichie entre BIG-IP APM et Microsoft Entra ID garantit que les applications peuvent rapidement et facilement prendre en charge la fédération des identités, l’authentification unique et l’accès conditionnel Microsoft Entra, ce qui réduit la surcharge administrative.

Remarque

Tous les exemples de chaînes et de valeurs référencés dans ce guide doivent être remplacés par ceux de votre environnement réel.

Inscrire Easy Button

Avant qu’un client ou un service puisse accéder à Microsoft Graph, il doit être approuvé par la plateforme d’identités Microsoft.

Cette première étape crée une inscription d’application de locataire utilisée pour autoriser l’accès au bouton facile à Graph. Grâce à ces autorisations, le BIG-IP est autorisé à transmettre les configurations requises pour établir une relation de confiance entre une instance SAML SP pour une application publique et Microsoft Entra ID en tant que fournisseur d’identité SAML.

  1. Connectez-vous au portail Azure à l’aide d’un compte disposant des droits d’administrateur d’application.

  2. Dans le volet de navigation gauche, sélectionnez le service Microsoft Entra ID.

  3. Sous Gérer, sélectionnez Inscriptions d’applications>Nouvelle inscription.

  4. Entrez un nom d’affichage pour votre application, tel que F5 BIG-IP Easy Button.

  5. Spécifiez qui peut utiliser l’application >Comptes dans cet annuaire organisationnel uniquement.

  6. Sélectionnez Inscrire pour procéder à l’inscription d’application initiale.

  7. Accédez à Autorisations des API et accordez les autorisations d’application Microsoft Graph suivantes :

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Répertoire.Lire.Tout
    • Groupe.Lire.Tout
    • IdentityRiskyUser.Read.All
    • Politique.Lire.Tout
    • Politique.LectureÉcriture.ConfigurationDeL'Application
    • Politique.LectureÉcriture.AccèsConditionnel
    • Utilisateur.Lire.Tout

  8. Accorder le consentement administrateur pour votre organisation

  9. Accédez à Certificats et secrets, générez un nouveau Secret client et notez-le

  10. Accédez à Vue d’ensemble, notez l’ID client et l’ID d’abonné

Configurer Easy Button

Démarrez la Configuration guidée de l’APM pour lancer le modèle Easy Button.

  1. Accédez à > et sélectionnez >.

  2. Sous La configuration de la solution à l’aide des étapes ci-dessous entraînera la création des objets nécessaires, passez en revue la liste des étapes de configuration, puis sélectionnez Suivant.

  3. Sous Configuration guidée, suivez la séquence d’étapes nécessaires à la publication de votre application.

Propriétés de configuration

L’onglet Propriétés de la configuration crée une configuration d’application BIG-IP et un objet d’authentification unique. Considérez que la section Détails du compte de service Azure correspond au client que vous avez inscrit dans votre locataire Microsoft Entra précédemment en tant qu’application. Ces paramètres permettent au client OAuth de BIG-IP d’inscrire individuellement SAML SP directement dans votre locataire, avec les propriétés d’authentification unique que vous auriez normalement configurées manuellement. Easy Button effectue cette opération pour chaque service BIG-IP publié et activé pour SHA.

Certains d’entre eux sont des paramètres globaux peuvent être réutilisés pour publier davantage d’applications, ce qui réduit davantage le temps et l’effort de déploiement.

  1. Fournissez un Nom de configuration unique qui permet à l’administrateur de distinguer facilement les configurations Easy Button

  2. Activez Authentification unique (SSO) et en-têtes HTTP

  3. Entrez les informations ID d’abonné, ID de client et Clé secrète client que vous avez notées pour votre application inscrite

  4. Avant de sélectionner Suivant, vérifiez que BIG-IP peut se connecter correctement à votre locataire.

    Capture d’écran des propriétés de configuration et de compte de service

Fournisseur de services

Les paramètres Fournisseur de services définissent les propriétés de l’instance SAML SP de l’application protégée via SHA.

  1. Entrez l’Hôte. Il s’agit du nom de domaine complet public de l’application en cours de sécurisation

  2. Entrez l’ID d’entité. Il s’agit de l’identificateur utilisé par Microsoft Entra ID pour identifier le fournisseur de services SAML qui demande un jeton

    Capture d’écran des paramètres du fournisseur de services

    Ensuite, sous les Paramètres de sécurité facultatifs, spécifiez si Microsoft Entra ID doit chiffrer les assertions SAML émises. Le chiffrement des assertions entre Microsoft Entra ID et BIG-IP APM offre la garantie que les jetons du contenu ne peuvent pas être interceptés, et que ni les données personnelles ni les données professionnelles ne peuvent être compromises.

  3. Dans la liste Clé privée de déchiffrement d’assertion, sélectionnez Créer un nouveau.

    Capture d’écran pour Configurer Easy Button - Créer une importation

  4. Sélectionnez OK. La boîte de dialogue Importer le certificat SSL et les clés s’ouvre dans un nouvel onglet.

  5. Sélectionnez PKCS 12 (IIS) pour importer votre certificat et votre clé privée. Une fois l’approvisionnement effectué, fermez l’onglet du navigateur pour revenir à l’onglet principal.

    Capture d’écran pour Configurer Easy Button - Importer un nouveau certificat

  6. Cochez Enable Encrypted Assertion

  7. Si vous avez activé le chiffrement, sélectionnez votre certificat dans la liste Clé privée de déchiffrement d’assertion. Il s’agit de la clé privée pour le certificat qu’utilise BIG-IP APM pour déchiffrer les assertions Microsoft Entra.

  8. Si vous avez activé le chiffrement, sélectionnez votre certificat dans la liste Certificat de déchiffrement d’assertion. Il s’agit du certificat que BIG-IP charge sur Microsoft Entra ID pour le chiffrement des assertions SAML émises.

    Capture d’écran des paramètres de sécurité du fournisseur de services

Microsoft Entra ID (système d'identification de Microsoft)

Cette section définit toutes les propriétés que vous utilisez normalement pour configurer manuellement une nouvelle application SAML BIG-IP dans votre locataire Microsoft Entra. Easy Button fournit un ensemble de modèles d’application prédéfinis pour Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP et modèle SHA générique pour toutes les autres applications.

Pour ce scénario, dans la page Configuration Azure, sélectionnez JD Edwards Protected by F5 BIG-IP>Ajouter.

Configuration d’Azure

  1. Entrez le Nom d’affichage de l’application que crée BIG-IP dans votre locataire Microsoft Entra et l’icône que les utilisateurs voient dans le portail Mes applications

  2. Dans URL de connexion (facultatif), entrez le nom de domaine complet public de l’application JDE en cours de sécurisation.

    Capture d’écran de la configuration d’Azure - Ajout des informations d’affichage

  3. Sélectionnez l’icône d’actualisation à côté de Clé de signature et Certificat de signature pour localiser le certificat que vous avez importé précédemment.

  4. Entrez le mot de passe du certificat dans Phrase secrète de la clé de signature.

  5. Activez l’Option de signature (facultatif). Cela garantit que BIG-IP accepte uniquement les jetons et revendications signés par Microsoft Entra ID

    Capture d’écran de la configuration d’Azure - Ajout des informations de certificats de signature

  6. Les utilisateurs et groupes d’utilisateurs sont interrogés de manière dynamique à partir de votre locataire Microsoft Entra et utilisés pour autoriser l’accès à l’application. Ajoutez un utilisateur ou un groupe que vous pouvez utiliser ultérieurement pour le test, sinon tout accès est refusé

    Capture d’écran de la configuration d’Azure - Ajout d’utilisateurs et de groupes

Attributs utilisateur et revendications

Quand un utilisateur s’authentifie, Microsoft Entra ID émet un jeton SAML avec un ensemble par défaut de revendications et d’attributs qui identifient de manière unique l’utilisateur. L’onglet Attributs utilisateur et revendications montre les revendications par défaut à émettre pour la nouvelle application. Il vous permet également de configurer d’autres revendications.

Capture d’écran des attributs utilisateur et des revendications

Vous pouvez ajouter des attributs Microsoft Entra supplémentaires, si nécessaire, mais le scénario Oracle JDE nécessite uniquement les attributs par défaut.

Attributs utilisateur supplémentaires

L’onglet Autres attributs utilisateur peut prendre en charge un large éventail de systèmes distribués nécessitant des attributs stockés dans d’autres répertoires, pour l’augmentation de la session. Les attributs récupérés à partir d’une source LDAP peuvent ensuite être injectés en tant qu’en-têtes SSO supplémentaires pour contrôler davantage l’accès en fonction des rôles, des ID de partenaire, etc.

Capture d’écran des attributs utilisateur supplémentaires

Remarque

Cette fonctionnalité n’a pas de corrélation avec Microsoft Entra ID, mais constitue une autre source d’attributs.

Stratégie d’accès conditionnel

Les stratégies d’accès conditionnel sont appliquées après la pré-authentification Microsoft Entra, pour contrôler l’accès en fonction de l’appareil, de l’application, de l’emplacement et des signaux de risque.

L’affichage Stratégies disponibles , par défaut, répertorie toutes les stratégies d’accès conditionnel qui n’incluent pas d’actions basées sur l’utilisateur.

La vue Stratégies sélectionnées, par défaut, affiche toutes les stratégies qui ciblent toutes les ressources. Ces stratégies ne peuvent pas être désélectionnées ou déplacées vers la liste Stratégies disponibles, car elles sont appliquées au niveau du locataire.

Pour sélectionner une stratégie à appliquer à l’application en cours de publication :

  1. Sélectionnez la stratégie souhaitée dans la liste des stratégies disponibles.

  2. Sélectionnez la flèche vers la droite et déplacez-la vers la liste des stratégies sélectionnées.

    Les stratégies sélectionnées doivent avoir l’option Inclure ou Exclure cochée. Si les deux options sont cochées, la stratégie n’est pas appliquée.

    Capture d’écran des stratégies d’accès conditionnel

Remarque

La liste de stratégies n’est énumérée qu’une seule fois, lors du premier accès à cet onglet. Un bouton d’actualisation est disponible pour forcer manuellement l’Assistant à interroger votre locataire, mais ce bouton s’affiche uniquement lorsque l’application a été déployée.

Propriétés du serveur virtuel

Un serveur virtuel est un objet du plan de données BIG-IP représenté par une adresse IP virtuelle à l’écoute des demandes des clients vers l’application. Tout trafic reçu est traité et évalué par rapport au profil APM associé au serveur virtuel avant d’être dirigé en fonction des résultats et des paramètres de la stratégie.

  1. Entrez l’adresse de destination. Cela peut être n’importe quelle adresse IPv4/IPv6 disponible que BIG-IP peut utiliser pour recevoir le trafic client. Un enregistrement correspondant doit également exister dans DNS, ce qui permet aux clients de résoudre l’URL externe de votre application BIG-IP publiée sur cette adresse IP au lieu de l’application proprement dite. L’utilisation du DNS localhost d’un PC de test convient pour des tests.

  2. Pour Service Port, entrez 443 pour HTTPS.

  3. Cochez Enable Redirect Port, puis entrez le Port de redirection. Il redirige le trafic entrant du client HTTP vers HTTPS.

  4. Le profil SSL du client permet d’activer le serveur virtuel pour HTTPS afin que les connexions clientes soient chiffrées sur TLS. Sélectionnez le profil SSL client que vous avez créé dans le cadre des prérequis ou laissez la valeur par défaut si vous effectuez des tests

    Capture d’écran du serveur virtuel

Propriétés du pool

L’onglet Application Pool détaille les services derrière BIG-IP qui sont représentés sous la forme d’un pool contenant un ou plusieurs serveurs d’application.

  1. Faites votre choix dans Select a Pool. Créez un pool ou sélectionnez-en un qui existe déjà.

  2. Pour Load Balancing Method, choisissez Round Robin.

  3. Pour des serveurs de pool, sélectionnez un nœud existant ou spécifiez une adresse IP et un port pour les serveurs hébergeant l’application Oracle JDE.

    Capture d’écran du pool d’applications

Authentification unique et en-têtes HTTP

L’Assistant Easy Buttonprend en charge Kerberos, OAuth Bearer et les en-têtes d’autorisation HTTP pour l’authentification unique pour les applications publiées. Lorsque l’application Oracle JDE attend des en-têtes, activez les En-têtes HTTP et entrez les propriétés suivantes.

  • Opération d’en-tête : Remplacer
  • Nom de l’en-tête : JDE_SSO_UID
  • Valeur d’en-tête : %{session.sso.token.last.username}

Capture d’écran de l’authentification unique et des en-têtes HTTP

Remarque

Les variables de session APM définies entre accolades respectent la CASSE. Par exemple, si vous entrez OrclGUID lorsque le nom de l'attribut Microsoft Entra est défini comme orclguid, cela entraîne un échec de mappage d'attributs.

Gestion des sessions

Les paramètres de gestion d’une session BIG-IP servent à définir les conditions dans lesquelles les sessions utilisateur sont arrêtées ou autorisées à poursuivre, les limites des utilisateurs et des adresses IP, ainsi que les informations utilisateur correspondantes. Pour plus d’informations sur ces paramètres, consultez la documentation de F5.

Ce qui n’est toutefois pas abordé ici, c’est la fonctionnalité Single Log-Out (SLO) qui garantit l’arrêt de toutes les sessions entre le fournisseur d’identité, BIG-IP et l’agent utilisateur quand les utilisateurs se déconnectent. Quand Easy Button instancie une application SAML sur votre locataire Microsoft Entra, il renseigne également l’URL de déconnexion avec le point de terminaison SLO d’APM. De cette façon, les déconnexions lancées par l’IdP à partir du portail Mes applications Microsoft Entra mettent également fin à la session entre BIG-IP et le client.

Parallèlement, les métadonnées de fédération SAML de l’application publiée sont également importées à partir de votre locataire, fournissant à APM le point de terminaison de déconnexion SAML pour Microsoft Entra ID. Cela garantit que les déconnexions lancées par le fournisseur de services mettent fin à la session entre le client et Microsoft Entra ID. Mais pour que cela soit vraiment efficace, APM doit savoir exactement quand un utilisateur se déconnecte de l’application.

Si le portail webtop de BIG-IP est utilisé pour accéder aux applications publiées, la déconnexion à partir de là est traitée par APM pour appeler également le point de terminaison de déconnexion Microsoft Entra. Si le portail webtop de BIG-IP n’est pas utilisé, l’utilisateur n’a aucun moyen de demander à APM de se déconnecter. Même si l’utilisateur se déconnecte de l’application proprement dite, BIG-IP n’en est techniquement pas conscient. Pour cette raison, la déconnexion lancée par le fournisseur de services doit donc être soigneusement étudiée afin de s’assurer que les sessions prennent fin de manière sécurisée lorsqu’elles ne sont plus nécessaires. Pour cela, vous pouvez ajouter une fonction SLO au bouton de déconnexion de votre application afin qu’elle puisse rediriger votre client vers le point de terminaison de déconnexion SAML Microsoft Entra ou BIG-IP. L’URL du point de terminaison de déconnexion SAML de votre locataire se trouve dans Inscriptions d’applications > Points de terminaison.

Si vous ne pouvez pas modifier l’application, vous pouvez demander à BIG-IP d’écouter l’appel de déconnexion de l’application et de déclencher SLO dès qu’il détecte la demande. Reportez-vous à notre Guide Oracle PeopleSoft SLO sur l’utilisation de BIG-IP irules pour y parvenir. Pour plus d’informations sur l’utilisation de BIG-IP iRules, consultez l’article du centre de connaissances de F5 Configuring automatic session termination (logout) based on a URI-referenced file name et Overview of the Logout URI Include option.

Résumé

Cette dernière étape fournit une décomposition de vos configurations. Sélectionnez Déployer pour valider tous les paramètres, puis vérifiez que l’application existe désormais dans la liste des applications d’entreprise de vos locataires.

Contenu connexe

À partir d’un navigateur, connectez-vous à l’URL externe de l’application Oracle JDE ou sélectionnez l’icône de l’application dans le portail Microsoft MyApps. Une fois authentifié dans Microsoft Entra ID, vous êtes redirigé vers le serveur virtuel BIG-IP de l’application et connecté automatiquement avec une authentification unique.

Pour une sécurité accrue, les entreprises qui utilisent ce modèle pourraient également envisager de bloquer tout accès direct à l’application, forçant ainsi un chemin strict via BIG-IP.

Déploiement avancé

Dans certains cas, les modèles de Configuration guidée ne disposent pas de la flexibilité nécessaire pour répondre à des conditions plus spécifiques. Pour es scénarios, consultez Configuration avancée de l’authentification unique basée sur les en-têtes. BIG-IP vous donne aussi la possibilité de désactiver le mode de gestion strict de la configuration guidée. Cela vous permet de modifier manuellement vos configurations, même si la plupart de vos configurations sont automatisées par le biais des modèles basés sur l’assistant.

Vous pouvez accéder à Accès> Configuration guidée et sélectionner l’icône représentant un petit cadenas à l’extrême droite de la ligne des configurations de votre application.

Capture d’écran pour Configurer Easy Button - Gestion stricte

À ce stade, les modifications via l’interface utilisateur de l’Assistant ne sont plus possibles, mais tous les objets BIG-IP associés à l’instance publiée de l’application sont déverrouillés pour la gestion directe.

Remarque

Réactiver le mode strict et déployer une configuration remplace tous les paramètres effectués en dehors de l’interface utilisateur de configuration guidée. Nous vous recommandons donc la méthode de configuration avancée pour les services de production.

Dépannage

L’échec de l’accès à une application protégée par SHA peut être dû à un nombre quelconque de facteurs. La journalisation BIG-IP peut vous aider à isoler rapidement toutes sortes de problèmes liés à la connectivité, à l’authentification unique, aux violations de stratégies ou aux mappages de variables mal configurés. Démarrez la résolution des problèmes en augmentant le niveau de verbosité du journal.

  1. Accédez à Access Policy > Overview > Event Logs > Settings

  2. Sélectionnez la ligne correspondant à votre application publiée, puis accédez à Edit > Access System Logs.

  3. Sélectionnez Debug dans la liste d’authentification unique, puis OK.

Reproduisez votre problème, puis examinez les journaux, mais n’oubliez pas de rétablir le niveau de journalisation quand vous avez terminé en mode détaillé pour éviter de générer un grand nombre de données.

Si vous voyez une erreur BIG-IP immédiatement après la pré-authentification Microsoft Entra, le problème est peut-être lié à l’authentification unique entre Microsoft Entra ID et BIG-IP.

  1. Accéder à la >vue d'ensemble des accès >Accéder aux rapports

  2. Exécutez le rapport qui porte sur la dernière heure afin de voir si les journaux fournissent des indices. Le lien Voir les variables de session pour votre session vous aide aussi à comprendre si APM reçoit les revendications attendues de Microsoft Entra ID.

Si vous ne voyez pas de page d’erreur BIG-IP, le problème est probablement davantage lié à la demande principale ou à l’authentification unique entre BIG-IP et l’application.

  1. Dans ce cas, accédez à Stratégie d’accès > Vue d’ensemble > Sessions actives et sélectionnez le lien correspondant à votre session active

  2. Le lien Afficher les variables dans cet emplacement peut également aider à provoquer des problèmes d’authentification unique, en particulier si le BIG-IP APM ne parvient pas à obtenir les attributs appropriés à partir de Microsoft Entra ID ou d’une autre source

Pour plus d’informations, consultez les exemples d’attribution de variables Big-IP APM et les informations de référence sur les variables de session F5 BIG-IP.