Megosztás a következőn keresztül:

Oktatóanyag: Az F5 BIG-IP Easy gomb konfigurálása egyszeri bejelentkezéshez az Oracle EBS-be

  • Cikk

Ismerje meg az Oracle E-Business Suite (EBS) biztonságossá tételét a Microsoft Entra ID használatával, az F5 BIG-IP egyszerű gombos irányított konfigurációjával. A BIG-IP és a Microsoft Entra ID integrálása számos előnnyel jár:

Tudj meg többet:

Forgatókönyv leírása

Ez a forgatókönyv a klasszikus Oracle EBS-alkalmazást ismerteti, amely HTTP-engedélyezési fejlécekkel kezeli a védett tartalmakhoz való hozzáférést.

Az örökölt alkalmazások nem rendelkeznek a Microsoft Entra integrációját támogató modern protokollokkal. A modernizáció költséges, időigényes, és állásidő-kockázatot jelent. Ehelyett használjon egy F5 BIG-IP-alkalmazáskézbesítési vezérlőt (ADC) a régi alkalmazások és a modern id vezérlősík közötti szakadék áthidalásához protokollváltással.

Az alkalmazás előtti BIG-IP lehetővé teszi a szolgáltatás átfedését a Microsoft Entra előhitelesítésével és fejlécalapú egyszeri bejelentkezéssel. Ez a konfiguráció javítja az alkalmazás biztonsági helyzetét.

Forgatókönyvarchitektúra

A biztonságos hibrid hozzáférési (SHA) megoldás a következő összetevőkkel rendelkezik:

  • Oracle EBS-alkalmazás – BIG-IP által közzétett szolgáltatás, amelyet a Microsoft Entra SHA véd
  • Microsoft Entra ID – Security Assertion Markup Language (SAML) identitásszolgáltató (IDP), amely ellenőrzi a felhasználói hitelesítő adatokat, a feltételes hozzáférést és az SAML-alapú egyszeri bejelentkezést a BIG-IP-címre
    • Az egyszeri bejelentkezéssel a Microsoft Entra ID BIG-IP-munkamenet attribútumokat biztosít
  • Oracle Internet Directory (OID) – a felhasználói adatbázist üzemelteti
    • A BIG-IP ellenőrzi az engedélyezési attribútumokat AZ LDAP használatával
  • Oracle E-Business Suite AccessGate – ellenőrzi az engedélyezési attribútumokat az OID szolgáltatással, majd kibocsátja az EBS hozzáférési cookie-kat
  • BIG-IP – fordított proxy és SAML-szolgáltató (SP) az alkalmazáshoz
    • A hitelesítés delegálva van az SAML-azonosítóba, majd fejlécalapú egyszeri bejelentkezés történik az Oracle-alkalmazáshoz

Az SHA támogatja az SP és idP által kezdeményezett folyamatokat. Az alábbi ábra az SP által kezdeményezett folyamatot szemlélteti.

A biztonságos hibrid hozzáférés diagramja az SP által kezdeményezett folyamat alapján.

  1. A felhasználó az alkalmazásvégponthoz (BIG-IP) csatlakozik.
  2. A BIG-IP APM hozzáférési szabályzat átirányítja a felhasználót a Microsoft Entra ID(SAML IdP) azonosítóra.
  3. A Microsoft Entra előhitelesít felhasználót, és feltételes hozzáférési szabályzatokat alkalmaz.
  4. A rendszer átirányítja a felhasználót a BIG-IP-címre (SAML SP), és az egyszeri bejelentkezés a kiadott SAML-jogkivonat használatával történik.
  5. A BIG-IP egy LDAP-lekérdezést hajt végre a felhasználói egyedi azonosító (UID) attribútumhoz.
  6. A BIG-IP a visszaadott UID attribútumot user_orclguid fejlécként adja vissza az Oracle EBS munkamenet cookie-kérésében az Oracle AccessGate-nek.
  7. Az Oracle AccessGate ellenőrzi a UID-t az OID szolgáltatással szemben, és problémákat tapasztal az Oracle EBS hozzáférési cookie-kkal.
  8. Az Oracle EBS felhasználói fejlécei és az alkalmazásnak küldött cookie-k visszaadják a hasznos adatokat a felhasználónak.

Előfeltételek

A következő összetevőkre van szüksége:

  • Azure-előfizetés
    • Ha nem rendelkezik ilyen fiókkal, ingyenes Azure-fiókot szerezhet be
  • Felhőalkalmazás-rendszergazdai vagy alkalmazásadminisztrátori szerepkör.
  • BIG-IP- vagy BIG-IP-alapú virtuális kiadás (VE) üzembe helyezése az Azure-ban
  • A következő F5 BIG-IP-licenc termékváltozatok bármelyike:
    • F5 BIG-IP® legjobb csomag
    • F5 BIG-IP Access Policy Manager™ (APM) önálló licenc
    • F5 BIG-IP Access Policy Manager™ (APM) bővítménylicence BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 napos BIG-IP teljes funkció próbaverziója. Lásd: Ingyenes próbaverziók.
  • A helyszíni címtárból a Microsoft Entra ID azonosítóba szinkronizált felhasználói identitások
  • SSL-tanúsítvány a szolgáltatások HTTPS-en keresztüli közzétételéhez, vagy alapértelmezett tanúsítványok használata tesztelés közben
  • Oracle EBS, Oracle AccessGate és LDAP-kompatibilis Oracle Internet Database (OID)

BIG-IP konfigurációs módszer

Ez az oktatóanyag az Irányított konfiguráció v16.1 Egyszerű gomb sablont használja. Az Egyszerű gombra kattintva a rendszergazdák többé nem mennek oda-vissza az SHA-szolgáltatások engedélyezéséhez. Az APM irányított konfiguráció varázslója és a Microsoft Graph kezeli az üzembe helyezést és a szabályzatkezelést. Ez az integráció biztosítja, hogy az alkalmazások támogatják az identitás-összevonást, az egyszeri bejelentkezést és a feltételes hozzáférést, ezáltal csökkentve a rendszergazdai többletterhelést.

Jegyzet

Cserélje le a példasztringeket vagy értékeket a környezetében lévőkre.

Az Egyszerű gomb regisztrálása

Borravaló

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Mielőtt egy ügyfél vagy szolgáltatás hozzáfér a Microsoft Graphhoz, a Microsoft Identitásplatform megbízhatónak kell lennie.

További információ: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform

Hozzon létre egy bérlői alkalmazásregisztrációt, amely engedélyezi az Egyszerű gomb hozzáférését a Graphhoz. A BIG-IP leküldi a konfigurációkat, hogy megbízhatósági kapcsolatot létesítsen a közzétett alkalmazás SAML SP-példánya és a Microsoft Entra ID mint SAML-azonosító között.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk> Új regisztráció.

  3. Adjon meg egy alkalmazásnevet. Például az F5 BIG-IP Easy gomb.

  4. Adja meg, hogy kik használhatják az alkalmazásfiókokat >ebben a szervezeti címtárban.

  5. Válassza a Regisztráció lehetőséget.

  6. Navigáljon az API-engedélyekhez.

  7. Engedélyezze a következő Microsoft Graph-alkalmazásengedélyeket:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Adjon rendszergazdai hozzájárulást a szervezetnek.

  9. Lépjen a Tanúsítványok és titkos kódok elemre.

  10. Hozzon létre egy új ügyfélkulcsot. Jegyezze fel az ügyfél titkos kódját.

  11. Nyissa meg az Áttekintést. Jegyezze fel az ügyfél- és bérlőazonosítót.

Az Egyszerű gomb konfigurálása

  1. Indítsa el az APM irányított konfigurációját.

  2. Indítsa el az Egyszerű gomb sablont.

  3. Nyissa meg az irányított konfigurációs > Microsoft-integrációt>.

  4. Válassza a Microsoft Entra-alkalmazás lehetőséget.

  5. Tekintse át a konfigurációs beállításokat.

  6. Válassza a Tovább gombot.

  7. Az alkalmazás közzétételéhez használja a grafikus ábrát.

    Képernyőkép a konfigurációs területeket jelző ábráról.

Konfigurációs tulajdonságok

A Konfiguráció tulajdonságai lap létrehoz egy BIG-IP-alkalmazáskonfigurációt és SSO-objektumot. Az Azure Service Account Details szakasz a Microsoft Entra-bérlőben regisztrált ügyfelet jelöli alkalmazásként. Ezekkel a beállításokkal egy BIG-IP OAuth-ügyfél regisztrál egy SAML SP-t a bérlőben SSO-tulajdonságokkal. Az Easy Button elvégzi ezt a műveletet az SHA-hoz közzétett és engedélyezett BIG-IP-szolgáltatások esetében.

Az idő és a munka csökkentése érdekében használja fel a globális beállításokat más alkalmazások közzétételéhez.

  1. Adjon meg egy konfigurációnevet.
  2. Egyszeri bejelentkezés (SSO) és HTTP-fejlécek esetén válassza a Be lehetőséget.
  3. A bérlőazonosító, az ügyfélazonosító és az ügyfélkód megadásakor adja meg, amit az Egyszerű gomb ügyfélregisztrációja során észlelt.
  4. Ellenőrizze, hogy a BIG-IP csatlakozik-e a bérlőhöz.
  5. Válassza a Tovább gombot.

Szolgáltató

Használja a Szolgáltató beállításait a védett alkalmazás SAML SP-példányának tulajdonságaihoz.

  1. Gazdagép esetén adja meg az alkalmazás nyilvános teljes tartománynevét.

  2. Entitásazonosító esetén adja meg a jogkivonatot kérő SAML SP-hez használt Microsoft Entra-azonosítót.

    Képernyőkép a Szolgáltató bemenetének és beállításainak megadásáról.

  3. (Nem kötelező) A Biztonsági beállítások területen válassza vagy törölje a jelet a Titkosított helyesség engedélyezése lehetőségből. A Microsoft Entra ID és a BIG-IP APM közötti állítások titkosítása azt jelenti, hogy a tartalom jogkivonatait nem lehet elfogni, sem személyes vagy vállalati adatokat nem lehet feltörni.

  4. Az Assertion Decryption Private Key listából válassza az Új létrehozása lehetőséget

    Képernyőkép az Assertion Decryption Private Key legördülő listából az Új beállítások létrehozása lehetőségről.

  5. Válassza az OK gombot.

  6. Az SSL-tanúsítvány és -kulcsok importálása párbeszédpanel egy új lapon jelenik meg.

  7. Válassza a PKCS 12 (IIS) lehetőséget.

  8. A rendszer importálja a tanúsítványt és a titkos kulcsot.

  9. Zárja be a böngészőlapot a fő lapra való visszatéréshez.

    Képernyőkép az importálás típusáról, a tanúsítványról és a kulcsnévről, valamint a jelszóról.

  10. Válassza a Titkosított helyesség engedélyezése lehetőséget.

  11. Az engedélyezett titkosításhoz az Assertion Decryption Private Key listából válassza ki azt a tanúsítványt, amelyet a BIG-IP APM a Microsoft Entra-állítások visszafejtéséhez használ.

  12. Engedélyezett titkosítás esetén az Assertion Visszafejtési tanúsítvány listájában válassza ki a Microsoft Entra-azonosítóba feltöltött BIG-IP-tanúsítványt a kiadott SAML-állítások titkosításához.

    Képernyőkép az Assertion Decryption Private Key és Az Assertion Visszafejtési tanúsítványhoz kiválasztott tanúsítványokról.

Microsoft Entra-azonosító

Az Easy Button alkalmazássablonokat biztosít az Oracle PeopleSofthoz, az Oracle E-Business Suite-hoz, az Oracle JD Edwardshoz, az SAP ERP-hez és egy általános SHA-sablonhoz. Az alábbi képernyőképen az Oracle E-Business Suite lehetőség látható az Azure Configuration alatt.

  1. Válassza az Oracle E-Business Suite lehetőséget.
  2. Válassza a Hozzáadás lehetőséget.

Azure-konfiguráció

  1. Adja meg a Microsoft Entra-bérlőben létrehozott BIG-IP-alkalmazás megjelenítendő nevét, valamint a MyApps ikonját.

  2. A Bejelentkezési URL-cím (nem kötelező) mezőbe írja be az EBS-alkalmazás nyilvános teljes tartománynevét.

  3. Adja meg az Oracle EBS kezdőlapjának alapértelmezett elérési útját.

  4. Az aláírókulcs és az aláíró tanúsítvány mellett válassza a frissítés ikont.

  5. Keresse meg az importált tanúsítványt.

  6. Az Aláírókulcs-jelszó mezőbe írja be a tanúsítvány jelszavát.

  7. (Nem kötelező) Aláírási beállítás engedélyezése. Ez a beállítás biztosítja, hogy a BIG-IP elfogadja a Microsoft Entra ID által aláírt jogkivonatokat és jogcímeket.

    Képernyőkép az aláírókulcs, az aláíró tanúsítvány és az aláírókulcs-jelszó beállításairól és bejegyzéseiről.

  8. Felhasználói és felhasználói csoportok esetén adjon hozzá egy felhasználót vagy csoportot teszteléshez, ellenkező esetben minden hozzáférés megtagadva. A felhasználókat és a felhasználói csoportokat dinamikusan kérdezi le a Microsoft Entra-bérlő, és engedélyezi az alkalmazáshoz való hozzáférést.

    Képernyőkép a Hozzáadás lehetőségről a Felhasználói és felhasználói csoportok csoportban.

Felhasználói attribútumok és jogcímek

Amikor egy felhasználó hitelesít, a Microsoft Entra ID kiad egy SAML-jogkivonatot, amely alapértelmezett jogcímekkel és attribútumokkal azonosítja a felhasználót. A Felhasználói attribútumok > Jogcímek lap alapértelmezett jogcímekkel rendelkezik az új alkalmazáshoz. Ezen a területen további jogcímeket konfigurálhat. Szükség esetén adjon hozzá Microsoft Entra-attribútumokat, de az Oracle EBS-forgatókönyvhez az alapértelmezett attribútumok szükségesek.

A felhasználói attribútumok és jogcímek beállításainak és bejegyzéseinek képernyőképe.

További felhasználói attribútumok

A További felhasználói attribútumok lap támogatja azokat az elosztott rendszereket, amelyek a címtárakban tárolt attribútumokat igénylik a munkamenet-bővítéshez. Az LDAP-forrásból lekért attribútumokat a rendszer több SSO-fejlécként injektálja, hogy a szerepkörök, a partnerazonosító stb. alapján szabályozhassa a hozzáférést.

  1. Engedélyezze a Speciális beállítások lehetőséget.

  2. Jelölje be az LDAP-attribútumok jelölőnégyzetet.

  3. A Hitelesítési kiszolgáló kiválasztása területen válassza az Új létrehozása lehetőséget.

  4. A beállítástól függően válassza a Készlet vagy a Közvetlen kiszolgáló kapcsolati mód használata lehetőséget a cél LDAP-szolgáltatáskiszolgáló-címhez. Egyetlen LDAP-kiszolgáló esetén válassza a Közvetlen lehetőséget.

  5. Szolgáltatásport esetén adja meg a 3060 -at (alapértelmezett), a 3161-et (Biztonságos) vagy egy másik portot az Oracle LDAP szolgáltatáshoz.

  6. Adjon meg egy alapszintű keresési DN-t. A megkülönböztető névvel (DN) kereshet csoportokat egy címtárban.

  7. Rendszergazdai DN esetén adja meg a fiók megkülönböztető nevét, amelyet az APM használ az LDAP-lekérdezések hitelesítéséhez.

  8. Rendszergazdai jelszó esetén adja meg a jelszót.

    Képernyőkép a további felhasználói attribútumok beállításairól és bejegyzéseiről.

  9. Hagyja meg az alapértelmezett LDAP-sémaattribútumokat.

    LDAP-sémaattribútumok képernyőképe

  10. Az LDAP-lekérdezés tulajdonságai csoportban a Keresési Dn mezőben adja meg az LDAP-kiszolgáló alapcsomópontját a felhasználói objektumok kereséséhez.

  11. Kötelező attribútumok esetén adja meg az LDAP-címtárból visszaadandó felhasználói objektum attribútum nevét. AZ EBS esetében az alapértelmezett érték az orclguid.

    Képernyőkép az LDAP-lekérdezés tulajdonságainak bejegyzéseiről és beállításairól

Feltételes hozzáférési szabályzat

A feltételes hozzáférési szabályzatok eszköz-, alkalmazás-, hely- és kockázati jelek alapján szabályozzák a hozzáférést. A szabályzatok a Microsoft Entra előzetes hitelesítése után lesznek érvényesítve. Az Elérhető szabályzatok nézet felhasználói műveletek nélküli feltételes hozzáférési szabályzatokkal rendelkezik. A Kiválasztott szabályzatok nézet szabályzatokat biztosít a felhőalkalmazásokhoz. Ezeket a szabályzatokat nem törölheti, és nem helyezheti át a rendelkezésre álló szabályzatokba, mert azok bérlői szinten vannak kényszerítve.

A közzéteendő alkalmazás szabályzatának kiválasztása:

  1. Az Elérhető szabályzatok területen válasszon ki egy szabályzatot.

  2. Kattintson a jobbra mutató nyílra.

  3. A házirend áthelyezése a kijelölt házirendekbe.

    Jegyzet

    Egyes szabályzatok esetében a Belefoglalás vagy kizárás lehetőség van kiválasztva. Ha mindkét beállítás be van jelölve, a szabályzat nincs érvényesítve.

    Képernyőkép a négy rendőrhöz kiválasztott Kizárás lehetőségről.

    Jegyzet

    Válassza a Feltételes hozzáférési szabályzat lapot, és megjelenik a szabályzatlista. Válassza a Frissítés lehetőséget, és a varázsló lekérdezi a bérlőt. A frissítés az üzembe helyezett alkalmazások esetében jelenik meg.

Virtuális kiszolgáló tulajdonságai

A virtuális kiszolgáló egy BIG-IP-adatsík objektum, amelyet az alkalmazásügyfél-kérelmeket figyelő virtuális IP-cím jelöl. A fogadott forgalom feldolgozása és kiértékelése a virtuális kiszolgálóhoz társított APM-profil alapján történik. Ezután a forgalom a szabályzatnak megfelelően lesz irányítva.

  1. Adjon meg egy célcímet, egy IPv4- vagy IPv6-címet, amelyet BIG-IP-cím használ az ügyfélforgalom fogadásához. Győződjön meg arról, hogy a DNS megfelelő rekordja lehetővé teszi az ügyfelek számára, hogy feloldják a BIG-IP által közzétett alkalmazás külső URL-címét az IP-címre. Teszteléshez használjon egy localhost DNS-tesztszámítógépet.

  2. Szolgáltatásport esetén adja meg a 443-at, és válassza a HTTPS lehetőséget.

  3. Válassza az Átirányítási port engedélyezése lehetőséget.

  4. Átirányítási port esetén adja meg a 80-at, és válassza a HTTP lehetőséget. Ez a művelet átirányítja a bejövő HTTP-ügyfélforgalmat a HTTPS-hez.

  5. Válassza ki a létrehozott ügyfél SSL-profilt , vagy hagyja meg az alapértelmezett beállítást a teszteléshez. Az ügyfél SSL-profilja engedélyezi a virtuális kiszolgálót a HTTPS-hez. Az ügyfélkapcsolatok TLS-en keresztül vannak titkosítva.

    Képernyőkép a virtuális kiszolgáló tulajdonságainak beállításairól és beállításairól.

Készlet tulajdonságai

Az Alkalmazáskészlet lap egy BIG-IP mögötti szolgáltatásokkal rendelkezik, amely egy vagy több alkalmazáskiszolgálóval rendelkező készlet.

  1. A Készlet kiválasztása területen válassza az Új létrehozása lehetőséget, vagy válasszon másik lehetőséget.

  2. Terheléselosztási módszer esetén válassza a Kerekítés elemet.

  3. A Készletkiszolgálók csoportban válassza ki és adja meg az Oracle EBS-t futtató kiszolgálók IP-címét/csomópontnevét és portjait.

  4. Válassza a HTTPS lehetőséget.

    Képernyőkép a készlet tulajdonságainak beállításairól és beállításairól

  5. Az Access Gate-készlet alatt erősítse meg a Hozzáférési kapu alútvonalát.

  6. Készletkiszolgálók esetén válassza ki és adja meg az Oracle EBS-t futtató kiszolgálók IP-címét/csomópontnevét és portjait.

  7. Válassza a HTTPS lehetőséget.

    Képernyőkép az Access Gate-készlet beállításairól és bejegyzéseiről.

Egyszeri bejelentkezés és HTTP-fejlécek

Az Egyszerű gomb varázsló támogatja a Kerberos, OAuth Bearer és HTTP engedélyezési fejléceket az egyszeri bejelentkezéshez a közzétett alkalmazásokhoz. Az Oracle EBS-alkalmazás fejléceket vár, ezért engedélyezi a HTTP-fejléceket.

  1. Egyszeri bejelentkezés és HTTP-fejlécek esetén válassza a HTTP-fejlécek lehetőséget.

  2. Fejlécművelet esetén válassza a Csere lehetőséget.

  3. A Fejléc neve mezőbe írja be a USER_NAME.

  4. Fejlécértékként írja be a következőt: %{session.sso.token.last.username}.

  5. Fejlécművelet esetén válassza a Csere lehetőséget.

  6. A Fejléc neve mezőbe írja be a USER_ORCLGUID.

  7. Fejlécértékként írja be a következőt: %{session.ldap.last.attr.orclguid}.

    Képernyőkép a fejlécművelet, a fejlécnév és a fejlécérték bejegyzéséről és kijelöléséről.

    Jegyzet

    A kapcsos zárójelben lévő APM-munkamenet változói megkülönböztetik a kis- és nagybetűket.

Munkamenet-kezelés

A BIG-IP-munkamenet-kezeléssel feltételeket határozhat meg a felhasználói munkamenetek befejezéséhez vagy folytatásához.

További információ: support.f5.com a következő K18390492: Biztonság | BIG-IP APM üzemeltetési útmutató

Az egyszeri kijelentkezés (SLO) funkció biztosítja az idP, a BIG-IP és a felhasználói ügynök közötti munkamenetek leállítását, amikor a felhasználók kijelentkeznek. Amikor az Egyszerű gomb létrehoz egy SAML-alkalmazást a Microsoft Entra-bérlőben, feltölti a kijelentkezés URL-címét az APM SLO-végponttal. Így az IdP által kezdeményezett kijelentkezés a Saját alkalmazások portálról leállítja a BIG-IP és az ügyfél közötti munkamenetet.

Lásd: Microsoft Saját alkalmazások

A közzétett alkalmazás SAML-összevonási metaadatait a bérlő importálja. Ez a művelet biztosítja az APM számára a Microsoft Entra ID SAML-kijelentkeztetési végpontját. Ezután az SP által kezdeményezett kijelentkezés leállítja az ügyfelet és a Microsoft Entra-munkamenetet. Győződjön meg arról, hogy az APM tudja, mikor jelentkezik ki egy felhasználó.

Ha a BIG-IP webtop portált használja a közzétett alkalmazások eléréséhez, az APM feldolgoz egy kijelentkezést a Microsoft Entra kijelentkezési végpontjának meghívásához. Ha nem használja a BIG-IP webtop portált, a felhasználó nem utasíthatja az APM-t a kijelentkezésre. Ha a felhasználó kijelentkezik az alkalmazásból, a BIG-IP-cím feledésbe kerül a műveletre. Győződjön meg arról, hogy az SP által kezdeményezett kijelentkezés aktiválja a munkamenetek biztonságos leállítását. Adjon hozzá egy SLO-függvényt az alkalmazások Kijelentkezés gombjához, hogy átirányítsa az ügyfelet a Microsoft Entra SAML vagy BIG-IP kijelentkezés végpontjára. Keresse meg a BÉRLŐ SAML-kijelentkeztetés végpontJÁNAK URL-címét az alkalmazásregisztráció végpontjaiban>.

Ha nem tudja módosítani az alkalmazást, a BIG-IP figyeli az alkalmazás kijelentkező hívását, majd aktiválja az SLO-t.

Tudj meg többet:

Felfejlődik

  1. Válassza az Üzembe helyezés lehetőséget a véglegesítési beállításokhoz.
  2. Ellenőrizze, hogy az alkalmazás megjelenik-e a bérlői vállalati alkalmazások listájában.

Teszt

  1. Egy böngészőben csatlakozzon az Oracle EBS-alkalmazás külső URL-címéhez, vagy válassza az alkalmazás ikont a Saját alkalmazások.
  2. Hitelesítés a Microsoft Entra-azonosítón.
  3. A rendszer átirányítja az alkalmazás BIG-IP virtuális kiszolgálójára, és bejelentkezik az egyszeri bejelentkezéssel.

A nagyobb biztonság érdekében tiltsa le a közvetlen alkalmazáshozzáférést, és ezáltal kényszerítsen ki egy útvonalat a BIG-IP-címen keresztül.

Speciális üzembe helyezés

Az irányított konfigurációs sablonok néha nem rugalmasak a követelményekhez.

További információ: Oktatóanyag: Az F5 BIG-IP Access Policy Managerének konfigurálása fejlécalapú egyszeri bejelentkezéshez.

Konfigurációk manuális módosítása

Másik lehetőségként a BIG-IP-ben tiltsa le az irányított konfiguráció szigorú felügyeleti módját a konfigurációk manuális módosításához. A varázslósablonok a legtöbb konfigurációt automatizálják.

  1. Navigáljon az irányított konfiguráció eléréséhez>.

  2. Az alkalmazáskonfiguráció sorának jobb végén válassza a lakat ikont .

    Képernyőkép a lakat ikonról

A szigorú mód letiltása után nem végezhet módosításokat a varázslóval. A közzétett alkalmazáspéldányhoz társított BIG-IP-objektumok azonban feloldva vannak a felügyelethez.

Jegyzet

Ha újra engedélyezi a szigorú módot, az új konfigurációk felülírják az irányított konfiguráció nélkül végrehajtott beállításokat. Az éles szolgáltatások speciális konfigurációs módszerét javasoljuk.

Hibaelhárítás

A problémák elhárításához kövesse az alábbi utasításokat.

A napló részletességének növelése

A BIG-IP-naplózással elkülönítheti a kapcsolódással, az egyszeri bejelentkezéssel, a szabályzatok megsértésével vagy a helytelenül konfigurált változóleképezésekkel kapcsolatos problémákat. Növelje a napló részletességi szintjét.

  1. Navigáljon az Access Szabályzat > áttekintése > eseménynaplóihoz.
  2. Válassza a Beállítások lehetőséget.
  3. Válassza ki a közzétett alkalmazás sorát.
  4. Válassza az Access-rendszernaplók szerkesztése > lehetőséget.
  5. Az egyszeri bejelentkezés listájában válassza a Hibakeresés lehetőséget.
  6. Válassza az OK gombot.
  7. Reprodukálja a problémát.
  8. Vizsgálja meg a naplókat.

Állítsa vissza a beállítások módosításait, mert a részletes mód túl sok adatot eredményez.

BIG-IP hibaüzenet

Ha a Microsoft Entra előzetes hitelesítése után BIG-IP-hiba jelenik meg, a probléma a Microsoft Entra-azonosítóhoz és a BIG-IP SSO-hoz kapcsolódhat.

  1. Lépjen a **Hozzáférés > áttekintése elemre.
  2. Válassza az Access-jelentések lehetőséget.
  3. Futtassa a jelentést az elmúlt órában.
  4. Tekintse át a naplókat a nyomokért.

A munkamenet megtekintése hivatkozással ellenőrizheti, hogy az APM megkapja-e a Várt Microsoft Entra-jogcímeket.

Nincs BIG-IP-hibaüzenet

Ha nem jelenik meg BIG-IP hibalap, a probléma a háttérkérelemhez vagy a BIG-IP-címhez és az alkalmazás egyszeri bejelentkezéséhez kapcsolódhat.

  1. Nyissa meg az Access Policy > áttekintését.
  2. Válassza az Aktív munkamenetek lehetőséget.
  3. Válassza ki az aktív munkamenet hivatkozását.

A Változók megtekintése hivatkozással megvizsgálhatja az egyszeri bejelentkezéssel kapcsolatos problémákat, különösen akkor, ha a BIG-IP APM nem szerez be megfelelő attribútumokat a Microsoft Entra ID-ból vagy más forrásból.

Tudj meg többet:

Az APM szolgáltatásfiók ellenőrzése

Az alábbi Bash Shell-paranccsal ellenőrizze az APM szolgáltatásfiókot LDAP-lekérdezésekhez. A parancs hitelesíti és lekérdezi a felhasználói objektumokat.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Tudj meg többet: