Tutorial: Mengonfigurasi Tombol Mudah BIG-IP F5 untuk SSO ke Oracle PeopleSoft

Pada artikel ini, pelajari cara mengamankan Oracle PeopleSoft (PeopleSoft) menggunakan Azure AD, melalui konfigurasi terpandu Tombol Mudah BIG-IP F5.

Mengintegrasikan BIG-IP dengan Microsoft Azure AD memberikan banyak manfaat, termasuk:

Untuk mempelajari semua keuntungannya, baca artikel tentang integrasi BIG-IP F5 dan Azure AD serta apa yang dimaksud dengan akses aplikasi dan akses menyeluruh dengan Azure AD.

Deskripsi skenario

Untuk skenario ini, kami memiliki aplikasi PeopleSoft yang menggunakan header otorisasi HTTP untuk mengelola akses ke konten yang dilindungi.

Berstatus warisan, aplikasi ini tidak memiliki protokol modern untuk mendukung integrasi langsung dengan Azure AD. Aplikasi ini dapat dimodernisasi, tetapi memerlukan banyak sumber daya, perencanaan yang matang, dan memiliki risiko terjadinya waktu henti. Sebagai gantinya, Application Delivery Controller (ADC) BIG-IP F5 digunakan untuk menjembatani celah antara aplikasi warisan dan panel kontrol ID modern, melalui transisi protokol.

Dengan adanya BIG-IP di depan aplikasi, kita dapat memberikan overlay layanan dengan pra-autentikasi dan SSO berbasis header Azure AD, yang secara signifikan meningkatkan postur keamanan aplikasi secara keseluruhan.

Catatan

Organisasi juga dapat memperoleh akses jarak jauh ke jenis aplikasi ini dengan Proksi Aplikasi Azure AD.

Arsitektur skenario

Solusi akses hibrid aman untuk skenario ini terdiri dari komponen berikut:

Aplikasi PeopleSoft: layanan yang diterbitkan BIG-IP yang akan dilindungi oleh SHA Azure AD.

Azure AD: Penyedia Identitas (IdP) SAML bertanggung jawab untuk verifikasi info masuk pengguna, Akses Bersyarat (CA), dan SSO berbasis SAML ke BIG-IP. Melalui SSO, Azure AD menyediakan BIG-IP dengan atribut sesi apa pun yang diperlukan.

BIG-IP: Membalikkan proksi dan penyedia layanan (SP) SAML ke aplikasi, mendelegasikan autentikasi ke SAML IdP sebelum melakukan akses menyeluruh berbasis header ke layanan PeopleSoft.

SHA untuk skenario ini mendukung alur yang dimulai SP dan IdP. Gambar berikut mengilustrasikan alur yang dimulai SP.

Secure hybrid access - SP initiated flow

Langkah-langkah Deskripsi
1 Pengguna terhubung ke titik akhir aplikasi (BIG-IP)
2 Kebijakan akses APM BIG-IP mengalihkan pengguna ke Azure AD (SAML IdP)
3 Azure AD melakukan pra-autentikasi pada pengguna dan menerapkan kebijakan Akses Bersyarat yang berlaku
4 Pengguna diarahkan ke BIG-IP (SAML SP) dan SSO dijalankan dengan token SAML yang dikeluarkan
5 BIG-IP menyuntikkan atribut Azure AD sebagai header dalam permintaan ke aplikasi
6 Aplikasi mengotorisasi permintaan dan mengembalikan payload

Prasyarat

Pengalaman BIG-IP sebelumnya tidak diwajibkan, tetapi Anda memerlukan:

  • Langganan gratis Microsoft Azure Active Directory atau yang lebih tinggi

  • BIG-IP lama atau sebarkan BIG-IP Virtual Edition (VE) di Azure

  • Salah satu SKU lisensi F5 BIG-IP berikut

    • F5 BIG-IP® Bundel terbaik

    • Lisensi mandiri F5 BIG-IP Access Policy Manager ™ (APM)

    • Lisensi tambahan F5 BIG-IP Access Policy Manager ™ (APM) pada BIG-IP F5 BIG-IP® Local Traffic Manager ™ (LTM)

    • Fitur lengkap 90 hari BIG-IP lisensi uji coba.

  • Identitas pengguna disinkronkan dari direktori lokal ke Microsoft Azure AD atau dibuat langsung dalam Microsoft Azure AD dan mengalir kembali ke direktori lokal Anda

  • Akun dengan izin admin aplikasi Microsoft Azure Active Directory

  • Sertifikat Web SSL untuk layanan penerbitan melalui HTTPS, atau gunakan sertifikat BIG-IP default saat pengujian

  • Lingkungan PeopleSoft yang sudah ada

Metode konfigurasi BIG-IP

Ada banyak metode untuk mengonfigurasi BIG-IP untuk skenario ini, termasuk dua opsi berbasis templat dan konfigurasi lanjutan. Tutorial ini mencakup Konfigurasi Terpandu 16.1 terbaru yang menawarkan template Easy Button.

Dengan Easy Button, admin tidak perlu lagi bolak-balik antara Azure AD dan BIG-IP guna mengaktifkan layanan untuk SHA. Penyebaran dan pengelolaan kebijakan ditangani langsung antara wizard Konfigurasi Terpandu APM dan Microsoft Graph. Integrasi antara APM BIG-IP dan Azure AD yang kaya ini memastikan bahwa aplikasi dapat dengan cepat dan mudah mendukung penggabungan identitas, SSO, dan Akses Bersyarat Azure AD, sehingga mengurangi overhead administratif.

Catatan

Semua contoh string atau nilai yang dirujuk di seluruh panduan ini harus diganti dengan string yang ada di lingkungan Anda yang sebenarnya.

Mendaftarkan Easy Button

Sebelum klien atau layanan dapat mengakses Microsoft Graph, keduanya harus dipercaya oleh platform identitas Microsoft.

Langkah pertama ini menciptakan pendaftaran aplikasi penyewa yang akan digunakan untuk mengotorisasi akses Tombol Mudah ke Graph. Melalui izin ini, BIG-IP akan diizinkan untuk mendorong konfigurasi yang diperlukan untuk membangun kepercayaan antara instans SAML SP untuk aplikasi yang diterbitkan, dan Azure AD sebagai IdP SAML.

  1. Proses masuk ke portal Azure AD menggunakan hak Administratif Aplikasi

  2. Dari panel navigasi kiri, pilih Layanan Microsoft Azure Active Directory

  3. Di bawah Kelola, pilih Pendaftaran aplikasi Pendaftaran baru

  4. Masukkan Nama tampilan aplikasi Anda. Misalnya, Tombol Mudah BIG-IP F5

  5. Tentukan siapa yang dapat menggunakan aplikasi >>

  6. Pilih Daftar untuk menyelesaikan pendaftaran aplikasi awal

  7. Navigasikan ke Izin API dan otorisasi Izin aplikasi Microsoft Graph berikut:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grup.Baca.Semua
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • Pengguna.Baca.Semua
  8. Berikan persetujuan admin untuk organisasi Anda

  9. Buka Sertifikat & Rahasia, buat Rahasia klien baru dan catat

  10. Buka Ringkasan, lalu catat ID Klien dan ID Penyewa

Mengonfigurasi Easy Button

Memulai Konfigurasi Terpandu APM untuk meluncurkan templat Tombol Mudah.

  1. Buka Access > Konfigurasi Terpandu > Microsoft Integration dan pilih Aplikasi Azure AD

    Screenshot for Configure Easy Button- Install the template

  2. Tinjau daftar langkah-langkah konfigurasi dan pilih Berikutnya

    Screenshot for Configure Easy Button - List configuration steps

  3. Ikuti urutan langkah yang diperlukan untuk menerbitkan aplikasi Anda

    Configuration steps flow

Properti Konfigurasi

Tab Properti Konfigurasi membuat konfigurasi aplikasi baru dan objek SSO.

Pertimbangkan bagian Detail Akun Layanan Azure untuk mewakili klien yang Anda daftarkan di penyewa Azure AD sebelumnya, sebagai aplikasi. Pengaturan ini memungkinkan klien OAuth BIG-IP untuk mendaftarkan SAML SP secara individual langsung di penyewa Anda, bersama dengan properti SSO yang biasanya Anda konfigurasikan secara manual. Tombol Mudah melakukan ini untuk setiap layanan BIG-IP yang diterbitkan dan diaktifkan untuk SHA.

Beberapa di antaranya adalah pengaturan global yang dapat digunakan kembali untuk menerbitkan lebih banyak aplikasi, lebih mengurangi waktu dan upaya penyebaran.

  1. Berikan Nama Konfigurasi unik yang memudahkan admin membedakan konfigurasi Easy Button

  2. Aktifkan Akses Menyeluruh (SSO) Header HTTP

  3. Masukkan ID Penyewa, ID Klien, dan Rahasia Klien yang Anda catat dari aplikasi terdaftar

  4. Sebelum Anda memilih Berikutnya, konfirmasi bahwa BIG-IP dapat berhasil terhubung ke penyewa Anda

    Screenshot for Configuration General and Service Account properties

Penyedia Layanan

Pengaturan Penyedia Layanan menentukan properti SP SAML untuk instans APM yang mewakili aplikasi yang dilindungi melalui SHA.

  1. Masukkan Host. Ini adalah FQDN publik dari aplikasi yang diamankan

  2. Masukkan ID Entitas. Ini adalah pengidentifikasi yang akan digunakan Azure AD untuk mengidentifikasi SP SAML yang meminta token

    Screenshot for Service Provider settings

    Selanjutnya di bagian Pengaturan Keamanan opsional, tentukan apakah Azure AD harus mengenkripsi pernyataan SAML yang dikeluarkan. Mengenkripsi pernyataan antara Azure AD dan APM BIG-IP memberikan jaminan bahwa token konten tidak dapat disadap, dan data pribadi atau perusahaan tidak dapat disusupi.

  3. Dari daftar Kunci Privat Dekripsi Pernyataan, pilih Buat Baru

    Screenshot for Configure Easy Button- Create New import

  4. PilihOK. Ini membuka dialog Impor Sertifikat dan Kunci SSL di tab baru

  5. Pilih PKCS 12 (IIS) untuk mengimpor sertifikat dan kunci privat Anda. Setelah disediakan, tutup tab browser untuk kembali ke tab utama

    Screenshot for Configure Easy Button- Import new cert

  6. Memeriksa Aktifkan Pernyataan Terenkripsi

  7. Jika Anda telah mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Kunci Privat Dekripsi Pernyataan. Kunci privat untuk sertifikat yang akan digunakan oleh APM BIG-IP guna mendekripsi pernyataan Azure AD

  8. Jika Anda telah mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Sertifikat Dekripsi Pernyataan. Ini adalah sertifikat yang diunggah BIG-IP ke Azure AD untuk mengenkripsi pernyataan SAML yang dikeluarkan

    Screenshot for Service Provider security settings

Azure Active Directory

Bagian ini menentukan semua properti yang biasanya Anda gunakan untuk mengonfigurasi aplikasi SAML BIG-IP baru secara manual dalam penyewa Azure AD Anda. Tombol Mudah menyediakan satu set templat aplikasi yang telah ditentukan sebelumnya untuk Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP serta templat SHA generik untuk aplikasi lain.

Untuk skenario ini, pilih Oracle PeopleSoft > Tambahkan

Screenshot for Azure configuration add BIG-IP application

Konfigurasi Azure

  1. Masukkan Nama Tampilan untuk aplikasi yang dibuat BIG-IP di penyewa Azure AD Anda, dan ikon yang akan dilihat pengguna di portal MyApps

  2. Pada URL Masuk (opsional) masukkan FQDN publik dari aplikasi PeopleSoft yang sedang diamankan

    Screenshot for Azure configuration add display info

  3. Pilih ikon refresh di samping Kunci Penandatanganan dan Sertifikat Penandatanganan untuk menemukan sertifikat yang Anda impor sebelumnya

  4. Masukkan kata sandi sertifikat di Frase Sandi Kunci Penandatanganan

  5. Aktifkan Opsi Penandatanganan (opsional). Ini memastikan bahwa BIG-IP hanya menerima token dan klaim yang ditandatangani oleh Azure AD

    Screenshot for Azure configuration - Add signing certificates info

  6. Grup Pengguna dan Pengguna secara dinamis dikueri dari penyewa Azure AD Anda dan digunakan untuk mengotorisasi akses ke aplikasi. Tambahkan pengguna atau grup yang dapat Anda gunakan nanti untuk pengujian, jika tidak, semua akses akan ditolak

    Screenshot for Azure configuration - Add users and groups

Atribut Pengguna & Klaim

Saat pengguna berhasil mengautentikasi, Azure AD mengeluarkan token SAML dengan kumpulan klaim dan atribut default yang mengidentifikasi pengguna secara unik. Tab Atribut Pengguna & Klaim menunjukkan klaim default yang akan dikeluarkan untuk aplikasi baru. Ini juga memungkinkan Anda mengonfigurasi lebih banyak klaim. Template Tombol Mudah akan menampilkan klaim ID karyawan yang telah ditentukan sebelumnya yang diperlukan oleh PeopleSoft.

Screenshot for user attributes and claims

Anda dapat menyertakan atribut Azure AD tambahan, jika perlu, tetapi aplikasi PeopleSoft sampel ini hanya memerlukan atribut yang telah ditentukan sebelumnya.

Atribut Pengguna Tambahan

Tab Atribut Pengguna Tambahan dapat mendukung berbagai sistem terdistribusi yang memerlukan atribut yang disimpan di direktori lain untuk augmentasi sesi. Atribut yang diambil dari sumber LDAP kemudian dapat dimasukkan sebagai header SSO tambahan untuk mengontrol akses lebih lanjut berdasarkan peran, ID Mitra, dll.

Screenshot for additional user attributes

Catatan

Fitur ini tidak memiliki korelasi dengan Azure AD, tetapi merupakan sumber atribut lain.

Kebijakan Akses Bersyarat

Kebijakan Akses Bersyarat diberlakukan pasca pra-autentikasi Azure AD, untuk mengontrol akses berdasarkan perangkat, aplikasi, lokasi, dan sinyal risiko.

Tampilan Kebijakan yang Tersedia, secara default, akan mencantumkan semua kebijakan Akses Bersyarat yang tidak menyertakan tindakan berbasis pengguna.

Secara default, daftar Kebijakan Terpilih menampilkan semua kebijakan yang menargetkan Semua aplikasi cloud. Kebijakan ini tidak dapat dibatalkan pilihannya atau dipindahkan ke daftar Kebijakan yang Tersedia karena diberlakukan pada tingkat penyewa.

Untuk memilih kebijakan yang akan diterapkan pada aplikasi yang diterbitkan:

  1. Pilih kebijakan yang diinginkan di daftar Kebijakan yang Tersedia

  2. Pilih panah kanan dan pindahkan ke daftar Kebijakan Terpilih

    Kebijakan yang dipilih harus menampilkan opsi Sertakan atau Kecualikan tanpa centang. Jika kedua opsi dicentang, kebijakan ini tidak diterapkan.

    Screenshot for CA policies

Catatan

Daftar kebijakan disebutkan hanya sekali saat pertama kali beralih ke tab ini. Tombol refresh tersedia untuk memaksa wizard secara manual mengkueri penyewa Anda, tetapi tombol ini hanya ditampilkan saat aplikasi telah disebarkan.

Properti Server Virtual

Server virtual adalah objek data plane BIG-IP yang diwakili oleh alamat IP virtual yang mendengarkan permintaan klien ke aplikasi. Setiap lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM yang terkait dengan server virtual, sebelum diarahkan sesuai dengan hasil dan pengaturan kebijakan.

  1. Masukkan Alamat Tujuan. Ini adalah alamat IPv4/IPv6 yang tersedia yang dapat digunakan BIG-IP untuk menerima lalu lintas klien. Catatan yang sesuai juga harus ada di DNS, memungkinkan klien untuk menyelesaikan URL eksternal aplikasi BIG-IP Anda yang diterbitkan ke IP ini, alih-alih aplikasi itu sendiri. Menggunakan DNS localhost PC uji aman untuk pengujian.

  2. Masukkan Port Layanan sebagai 443 untuk HTTPS

  3. Centang Aktifkan Port Pengalihan lalu masukkan Port Pengalihan. Ini mengalihkan lalu lintas klien HTTP yang masuk ke HTTPS

  4. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui TLS. Pilih Profil SSL Klien yang Anda buat sebagai bagian dari prasyarat atau tinggalkan default jika pengujian.

    Screenshot for Virtual server

Properti Kumpulan

Tab Kelompok Aplikasi menampilkan detail layanan di balik BIG-IP, yang diwakili sebagai kumpulan yang berisi satu atau beberapa server aplikasi.

  1. Pilih dari Pilih Kumpulan. Buat kumpulan baru atau pilih yang sudah ada

  2. Pilih Metode Penyeimbang Beban sebagai Round Robin

  3. Untuk Server Kumpulan, pilih node yang ada atau tentukan IP dan port untuk penyelenggara server aplikasi PeopleSoft.

    Screenshot for Application pool

Akses Menyeluruh & Header HTTP

Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO ke aplikasi yang diterbitkan. Karena aplikasi PeopleSoft mengharapkan header, aktifkan Header HTTP dan masukkan properti berikut.

  • Operasi Header: ganti
  • Nama Header: PS_SSO_UID
  • Nilai Header: %{session.sso.token.last.username}

Screenshot for SSO and HTTP headers

Catatan

Variabel sesi APM yang ditentukan dalam tanda kurung keriting bersifat peka huruf besar/kecil. Misalnya, Jika Anda memasukkan OrclGUID saat nama atribut Azure AD didefinisikan sebagai orclguid, itu akan menyebabkan kegagalan pemetaan atribut.

Manajemen Sesi

Pengaturan pengelolaan sesi BIG-IP digunakan untuk menentukan kondisi saat sesi pengguna dihentikan atau diizinkan untuk dilanjutkan, batas untuk pengguna dan alamat IP, dan info pengguna terkait. Lihat dokumentasi F5 untuk detail tentang pengaturan ini.

Apa yang tidak tercakup di sini adalah fungsionalitas Keluar Tunggal (SLO), yang memastikan semua sesi antara IdP, BIG-IP, dan agen pengguna dihentikan setelah pengguna keluar. Saat Tombol Mudah membuat aplikasi SAML di penyewa Azure AD Anda, itu juga mengisi Url Keluar dengan titik akhir SLO APM. Dengan begitu IdP yang memulai proses keluar dari portal MyApps Azure AD juga mengakhiri sesi antara BIG-IP dan klien.

Seiring dengan ini metadata federasi SAML untuk aplikasi yang diterbitkan juga diimpor dari penyewa Anda, menyediakan APM dengan titik akhir keluar SAML untuk Azure AD. Ini memastikan keluar yang dimulai SP mengakhiri sesi antara klien dan Azure AD. Tetapi agar benar-benar efektif, APM perlu tahu persis kapan pengguna keluar dari aplikasi.

Jika portal webtop BIG-IP digunakan untuk mengakses aplikasi yang diterbitkan maka keluar dari sana akan diproses oleh APM untuk juga memanggil titik akhir keluar Azure AD. Tetapi pertimbangkan skenario di mana portal webtop BIG-IP tidak digunakan, lalu pengguna tidak memiliki cara untuk menginstruksikan APM untuk keluar. Bahkan jika pengguna keluar dari aplikasi itu sendiri, BIG-IP secara teknis tidak menyadari hal ini. Jadi untuk alasan ini, keluar yang dimulai SP perlu pertimbangan yang cermat untuk memastikan sesi dihentikan dengan aman ketika tidak lagi diperlukan. Salah satu cara untuk mencapai hal ini adalah dengan menambahkan fungsi SLO ke tombol keluar aplikasi Anda, sehingga dapat mengarahkan klien Anda ke titik akhir keluar Azure AD SAML atau BIG-IP. Titik akhir keluar URL untuk SAML untuk penyewa Anda dapat ditemukan di > Titik Akhir Pendaftaran Aplikasi.

Jika membuat perubahan pada aplikasi tidak dapat dilakukan, maka pertimbangkan untuk meminta BIG-IP mendengarkan panggilan keluar aplikasi, dan setelah mendeteksi permintaan itu memicu SLO. Untuk mencapai hal ini, lihat Keluar Tunggal PeopleSoft di bagian berikutnya.

Ringkasan

Langkah terakhir ini memberikan perincian konfigurasi Anda. Pilih Sebarkan untuk menerapkan semua pengaturan dan memverifikasi bahwa aplikasi telah ada di daftar penyewa aplikasi Enterprise. Aplikasi Anda sekarang akan diterbitkan dan dapat diakses melalui SHA, baik secara langsung melalui URL-nya atau melalui portal aplikasi Microsoft.

Mengonfigurasi PeopleSoft

Oracle Access Manager menyediakan manajemen identitas dan akses di seluruh aplikasi PeopleSoft. Lihat Mengintegrasikan PeopleSoft dengan Oracle Access Manager untuk info selengkapnya.

Mengonfigurasi SSO Oracle Access Manager

Untuk skenario ini, Anda akan mengonfigurasi Oracle Access Manager untuk menerima SSO dari BIG-IP.

  1. Masuk ke konsol PeopleSoft dengan informasi masuk admin

Screenshot for PeopleSoft console

  1. Navigasikan ke PeopleTools > Keamanan > Profil Pengguna > Profil Pengguna dan buat profil pengguna baru

  2. Masukkan ID Pengguna sebagai OAMPSFT

  3. Tetapkan Peran Pengguna sebagai Pengguna Peoplesoft dan pilih Simpan

Screenshot for User Profiles

  1. Navigasikan ke Alat Orang>Profil Web untuk memilih profil web yang digunakan

  2. Pilih tab Keamanan dan di bagian Pengguna Publik centang Izinkan Akses Publik

  3. Masukkan ID Pengguna sebagai OAMPSFT beserta Kata sandi akun

Screenshot for Web Profile configuration

  1. Tinggalkan konsol Peoplesoft dan luncurkan Perancang Aplikasi PeopleTools

  2. Klik kanan bidang LDAPAUTH dan pilih Lihat Kode Orang

Screenshot for Application Designer

  1. Saat jendela kode LDAPAUTH terbuka, temukan fungsi OAMSSO_AUTHENTICATION

  2. Ganti nilai yang ditetapkan ke &defaultUserId default dengan OAMPSFT. yang didefinisikan dalam profil web

    Screenshot for OAMSSO_AUTHENTICATION function

  3. Simpan rekaman dan navigasikan ke PeopleTools > Keamanan > Objek Keamanan > Masuk PeopleCode

  4. Aktifkan fungsi OAMSSO_AUTHENTICATION

    ! [Cuplikan layar untuk mengaktifkan Masuk PeopleCode] (./media/f5-big-ip-easy-button-oracle-peoplesoft/enabling-sign-on people-code.png)

Keluar Tunggal PeopleSoft

SLO PeopleSoft dimulai saat Anda keluar dari portal Microsoft MyApps, yang pada gilirannya memanggil titik akhir SLO BIG-IP.

BIG-IP membutuhkan instruksi untuk melakukan SLO atas nama aplikasi. Salah satu caranya adalah dengan memodifikasi fungsi keluar aplikasi untuk memanggil titik akhir SLO BIG-IP, tetapi ini tidak mungkin dilakukan dengan Peoplesoft. Minta BIG-IP mendengarkan saat pengguna melakukan permintaan keluar ke PeopleSoft, untuk memicu SLO.

Untuk menambahkan dukungan SLO untuk semua pengguna PeopleSoft

  1. Dapatkan URL keluar yang benar untuk portal PeopleSoft

  2. Buka portal melalui browser web dengan alat debug diaktifkan. Cari elemen dengan id PT_LOGOUT_MENU dan simpan jalur URL dengan parameter kueri. Dalam contoh ini, kita memiliki: /psp/ps/?cmd=logout

    Screenshot for PeopleSoft logout URL

Selanjutnya, buat iRule BIG-IP untuk mengarahkan pengguna ke titik akhir keluar SAML SP: /my.logout.php3

  1. Navigasikan ke Lalu Lintas Lokal > Daftar iRules > Buat dan berikan nama untuk aturan Anda

  2. Masukkan baris perintah berikut lalu pilih Selesai

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

Untuk menetapkan iRule ini ke Server Virtual BIG-IP

  1. Navigasikan ke Akses > Konfigurasi Terpandu

  2. Pilih tautan konfigurasi untuk aplikasi PeopleSoft Anda

    Screenshot for link for your PeopleSoft application

  3. Dari bilah navigasi atas, pilih Server Virtual dan aktifkan Pengaturan Tingkat Lanjut

    Screenshot for Enable Advanced settings

  4. Gulir ke bawah dan tambahkan iRule yang baru saja Anda buat

    Screenshot for PeopleSoft irule

  5. Pilih Simpan dan Berikutnya dan lanjutkan sebarkan pengaturan baru Anda.

Untuk detail selengkapnya, lihat artikel F5 ini Mengonfigurasi penghentian sesi otomatis (keluar) berdasarkan nama file yang direferensikan URI dan Gambaran Umum opsi Sertakan Keluar URI.

Halaman arahan default ke PeopleSoft

Meskipun lebih baik memiliki pengguna pengalihan aplikasi ke halaman arahannya, Anda juga dapat membuat iRule serupa untuk mencapai hal ini di BIG-IP. Dalam skenario ini, alihkan semua permintaan pengguna dari akar ("/") ke portal PeopleSoft eksternal yang biasanya terletak di sini: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL"

  1. Navigasikan ke Lalu Lintas Lokal > iRule, pilih iRule_PeopleSoft dan tambahkan baris perintah berikut:

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. Tetapkan iRule ke Server Virtual BIG-IP seperti yang dilakukan pada langkah di atas

Langkah berikutnya

Dari browser, sambungkan ke URL eksternal aplikasi PeopleSoft atau pilih ikon aplikasi di portal Microsoft MyApps. Setelah mengautentikasi ke Azure AD, Anda akan diarahkan ke server virtual BIG-IP untuk aplikasi dan secara otomatis masuk melalui SSO.

Untuk keamanan yang lebih baik, organisasi yang menggunakan pola ini juga dapat mempertimbangkan untuk memblokir semua akses langsung ke aplikasi, sehingga memaksa jalur yang ketat melalui BIG-IP.

Penyebaran tingkat lanjut

Mungkin ada kasus ketika template Konfigurasi Terpandu tidak memiliki fleksibilitas yang cukup untuk mencapai serangkaian persyaratan tertentu. Untuk skenario tersebut, lihat Konfigurasi Tingkat Lanjut untuk SSO berbasis header. Atau, BIG-IP memberi Anda opsi untuk menonaktifkan mode pengelolaan ketat Konfigurasi Terpandu. Ini memungkinkan Anda menyesuaikan konfigurasi secara manual, meskipun sebagian besar konfigurasi Anda bersifat otomatis melalui template berbasis wizard.

Anda dapat membuka Akses Konfigurasi Terpandu dan pilih ikon gembok kecil di baris paling kanan untuk konfigurasi aplikasi.

Screenshot for Configure Easy Button - Strict Management

Pada saat itu, perubahan melalui UI wizard tidak mungkin lagi, tetapi semua objek BIG-IP yang terkait dengan instans aplikasi yang diterbitkan akan dibuka kuncinya untuk pengelolaan langsung.

Catatan

Mengaktifkan kembali mode ketat dan menyebarkan konfigurasi akan menimpa pengaturan apa pun yang dijalankan di luar UI Konfigurasi Terpandu. Oleh karena itu kami menyarankan metode konfigurasi tingkat lanjut untuk layanan produksi.

Pemecahan Masalah

Kegagalan untuk mengakses aplikasi yang dilindungi SHA dapat disebabkan oleh sejumlah faktor. Pengelogan BIG-IP dapat membantu dengan cepat mengisolasi segala macam masalah dengan konektivitas, SSO, pelanggaran kebijakan, atau pemetaan variabel yang salah dikonfigurasi. Mulai pemecahan masalah dengan meningkatkan tingkat verbositas log.

  1. Buka Kebijakan Akses Ringkasan > Log Peristiwa > Pengaturan

  2. Pilih baris untuk aplikasi Anda yang diterbitkan, lalu Edit > Log Sistem Akses

  3. Pilih Debug dari daftar SSO, lalu OK

Reproduksi masalah Anda, kemudian periksa log-nya, tetapi ingat untuk mengembalikannya ketika selesai karena mode verbose menghasilkan banyak data. Jika Anda melihat kesalahan bertanda BIG-IP segera setelah pra-autentikasi Azure AD berhasil, masalah ini kemungkinan berkaitan dengan SSO dari Azure Active Directory ke BIG-IP.masalah ini kemungkinan berkaitan dengan SSO dari Azure AD ke BIG-IP.

  1. Navigasikan ke laporan Akses Gambaran Umum > Mengakses

  2. Jalankan laporan selama satu jam terakhir untuk melihat apakah log memberikan petunjuk. Tautan variabel Lihat sesi untuk sesi Anda juga akan membantu memahami apakah APM menerima klaim yang diharapkan dari Azure AD

Jika Anda tidak melihat halaman kesalahan BIG-IP, masalahnya kemungkinan besar berkaitan dengan permintaan backend atau SSO dari BIG-IP ke aplikasi.

  1. Dalam hal ini, buka Akses Azure Policy> Gambaran Umum > Sesi Aktif dan pilih tautan untuk sesi aktif Anda

  2. Tautan Lihat Variabel di lokasi ini juga dapat membantu mengatasi masalah SSO, terutama jika APM BIG-IP gagal mendapatkan atribut yang tepat dari variabel sesi

Lihat contoh penetapan variabel BIG-IP APM dan referensi variabel sesi F5 BIG-IP untuk info selengkapnya.