Mengaktifkan otorisasi dan autentikasi pengguna akhir saat memigrasikan aplikasi Java di WebLogic Server ke Azure

Panduan ini membantu Anda mengaktifkan autentikasi dan otorisasi pengguna akhir tingkat perusahaan untuk aplikasi Java di WebLogic Server menggunakan ID Microsoft Entra.

Pengembang Java EE mengharapkan mekanisme keamanan platform standar berfungsi seperti yang diharapkan, bahkan ketika memindahkan beban kerja mereka ke Azure. Aplikasi Oracle WebLogic Server (WLS) Azure memungkinkan Anda mengisi ranah keamanan bawaan dengan pengguna dari Microsoft Entra Domain Services. Saat Anda menggunakan elemen standar <security-role> di Java EE pada aplikasi Azure, informasi pengguna mengalir dari Microsoft Entra Domain Services melalui Lightweight Directory Access Protocol (LDAP).

Panduan ini dibagi menjadi dua bagian. Jika Anda sudah memiliki Microsoft Entra Domain Services dengan LDAP aman yang terekspos, Anda dapat melompat ke bagian Konfigurasikan WLS .

Dalam panduan ini Anda, pelajari cara:

• Membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
• Mengonfigurasi Secure Lightweight Directory Access Protocol (LDAP) untuk domain terkelola Microsoft Entra Domain Services.
• Aktifkan WebLogic Server untuk mengakses LDAP sebagai ranah keamanan defaultnya.

Panduan ini tidak membantu Anda mengonfigurasi ulang penyebaran Microsoft Entra ID Domain Services yang ada. Namun, harus dimungkinkan untuk mengikuti panduan ini dan melihat langkah-langkah mana yang dapat Anda lewati.

Prasyarat

• Langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis.
• Kemampuan untuk menyebarkan Microsoft Entra Domain Services. Untuk informasi selengkapnya, lihat Membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
• Kemampuan untuk menyebarkan salah satu aplikasi WLS Azure yang tercantum dalam Apa solusi untuk menjalankan Oracle WebLogic Server di Azure Virtual Machines?
• Komputer lokal dengan Windows dengan Subsistem Windows untuk Linux (WSL), GNU/Linux, atau macOS terinstal.
• Azure CLI versi 2.54.0 atau yang lebih tinggi.

Pertimbangkan konteks migrasi

Daftar berikut ini menjelaskan beberapa hal yang perlu dipertimbangkan tentang migrasi penginstalan WLS lokal dan ID Microsoft Entra:

• Jika Anda sudah memiliki penyewa MICROSOFT Entra ID tanpa Layanan Domain yang diekspos melalui LDAP, panduan ini menunjukkan cara mengekspos kemampuan LDAP dan mengintegrasikannya dengan WLS.
• Jika skenario Anda melibatkan forest Active Directory lokal, pertimbangkan untuk menerapkan solusi identitas hibrid dengan ID Microsoft Entra. Untuk informasi selengkapnya, lihat Dokumentasi identitas hibrid.
• Jika Anda sudah memiliki penyebaran Active Directory lokal Domain Services (AD DS), jelajahi jalur migrasi di Membandingkan Active Directory Domain Services yang dikelola sendiri, ID Entra Microsoft, dan Microsoft Entra Domain Services terkelola.
• Jika Anda mengoptimalkan cloud, panduan ini menunjukkan kepada Anda cara memulai dari awal dengan Microsoft Entra ID Domain Services LDAP dan WLS.
• Untuk survei komprehensif memigrasikan Server WebLogic ke Azure Virtual Machines, lihat Memigrasikan aplikasi Server WebLogic ke Azure Virtual Machines.
• Untuk informasi selengkapnya tentang Direktori Aktif dan ID Microsoft Entra, lihat Membandingkan Direktori Aktif dengan ID Microsoft Entra.

Mengonfigurasi domain terkelola Microsoft Entra Domain Services

Bagian ini memandu Anda melalui semua langkah untuk berdiri di domain terkelola Microsoft Entra Domain Services yang terintegrasi dengan WLS. MICROSOFT Entra ID tidak mendukung protokol Lightweight Directory Access Protocol (LDAP) atau Secure LDAP secara langsung. Sebagai gantinya, dukungan diaktifkan melalui instans domain terkelola Microsoft Entra Domain Services dalam penyewa ID Microsoft Entra Anda.

Catatan

Panduan ini menggunakan fitur akun pengguna "khusus cloud" dari Microsoft Entra Domain Services. Jenis akun pengguna lain didukung, tetapi tidak dijelaskan dalam panduan ini.

Membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services

Artikel ini menggunakan tutorial terpisah untuk membuat domain terkelola Microsoft Entra Domain Services.

Selesaikan tutorial Membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services, tetapi tidak menyertakan bagian Mengaktifkan akun pengguna untuk Layanan Domain. Bagian itu membutuhkan perlakuan khusus dalam konteks tutorial ini, seperti yang dijelaskan di bagian berikutnya. Pastikan untuk menyelesaikan tindakan DNS sepenuhnya dan benar.

Catat nilai yang Anda tentukan saat menyelesaikan langkah "Masukkan nama domain DNS untuk domain terkelola Anda." Anda menggunakannya nanti di artikel ini.

Membuat pengguna dan mengatur ulang kata sandi

Langkah-langkah berikut menunjukkan kepada Anda cara membuat pengguna dan mengubah kata sandi mereka, yang diperlukan untuk menyebabkan pengguna berhasil disebarluaskan melalui LDAP. Jika Anda memiliki domain terkelola Microsoft Entra Domain Services yang sudah ada, langkah-langkah ini mungkin tidak diperlukan.

1. Dalam portal Azure, pastikan langganan yang sesuai dengan penyewa ID Microsoft Entra adalah direktori aktif saat ini. Untuk mempelajari cara memilih direktori yang benar, lihat Mengaitkan atau menambahkan langganan Azure ke penyewa Microsoft Entra Anda. Jika direktori yang salah dipilih, Anda tidak dapat membuat pengguna, atau membuat pengguna di direktori yang salah.
2. Di kotak pencarian di bagian atas portal Azure, masukkan Pengguna.
3. Pilih Pengguna baru.
4. Pastikan buat pengguna dipilih.
5. Isi nilai untuk Nama pengguna, nama, Nama depan, dan Nama belakang. Untuk singkatnya, Anda membiarkan bidang yang tersisa pada nilai defaultnya.
6. Pilih Buat.
7. Pilih pengguna yang baru dibuat dalam tabel.
8. Pilih Reset kata sandi.
9. Di panel yang muncul, pilih Atur ulang kata sandi.
10. Catat kata sandi sementara.
11. Di jendela "penyamaran" atau browser privat, kunjungi portal Azure dan masuk dengan kredensial dan kata sandi pengguna.
12. Ubah kata sandi saat diminta. Catat kata sandi baru. Anda menggunakannya nanti.
13. Keluar dan tutup jendela "penyamaran".

Ulangi langkah-langkah dari "Pilih Pengguna baru" melalui "Keluar dan tutup" untuk setiap pengguna yang ingin Anda aktifkan.

Mengonfigurasi LDAP aman untuk domain terkelola Microsoft Entra Domain Services

Bagian ini memandu Anda melalui tutorial terpisah untuk mengekstrak nilai untuk digunakan dalam mengonfigurasi WLS.

Pertama, buka tutorial Mengonfigurasi LDAP aman untuk domain terkelola Microsoft Entra Domain Services di jendela browser terpisah sehingga Anda dapat melihat variasi di bawah ini saat Anda menjalankan tutorial.

Saat Anda mencapai bagian Ekspor sertifikat untuk komputer klien, perhatikan tempat Anda menyimpan file sertifikat yang berakhiran .cer. Anda menggunakan sertifikat sebagai input ke konfigurasi WLS.

Saat Anda mencapai bagian Mengunci akses LDAP aman melalui internet, tentukan Apa pun sebagai sumbernya. Anda mengencangkan aturan keamanan dengan alamat IP tertentu nanti dalam panduan ini.

Sebelum Anda menjalankan langkah-langkah dalam Menguji kueri ke domain terkelola, gunakan langkah-langkah berikut untuk mengaktifkan pengujian agar berhasil:

1. Di portal Azure, kunjungi halaman gambaran umum untuk instans Microsoft Entra Domain Services.

2. Di area Pengaturan, pilih Properti.

3. Di panel kanan halaman, gulir ke bawah hingga Anda melihat Grup admin. Di bawah judul ini harus ada tautan untuk Administrator AAD DC. Pilih tautan tersebut.

4. Di bagian Kelola, pilih Anggota.

5. Pilih Tambahkan anggota.

6. Di bidang teks Cari, masukkan beberapa karakter untuk menemukan salah satu pengguna yang Anda buat di langkah sebelumnya.

7. Pilih pengguna, lalu aktifkan tombol Pilih.

   Pengguna ini adalah yang harus Anda gunakan saat menjalankan langkah-langkah di bagian Uji kueri ke bagian domain terkelola.

Catatan

Daftar berikut ini menyediakan beberapa tips tentang mengkueri data LDAP, yang perlu Anda lakukan untuk mengumpulkan beberapa nilai yang diperlukan untuk konfigurasi WLS:

• Tutorial ini menyarankan Anda untuk menggunakan program Windows LDP.exe. Program ini hanya tersedia di Windows. Untuk pengguna non-Windows, Anda juga dapat menggunakan Apache Directory Studio untuk tujuan yang sama.
• Saat masuk ke LDAP dengan LDP.exe, nama pengguna hanyalah bagian sebelum @. Misalnya, jika pengguna adalah alice@contoso.onmicrosoft.com, nama pengguna untuk tindakan pengikatan LDP.exe adalah alice. Selain itu, biarkan LDP.exe berjalan dan masuk untuk digunakan dalam langkah-langkah selanjutnya.

Di bagian Konfigurasikan zona DNS untuk akses eksternal, catat nilai untuk alamat IP eksternal LDAP Aman. Anda menggunakannya nanti.

Jika nilai alamat IP eksternal LDAP Aman tidak jelas, gunakan langkah-langkah berikut untuk mendapatkan alamat IP:

1. Di portal Azure, temukan grup sumber daya yang berisi sumber daya Microsoft Entra Domain Services.

2. Dalam daftar sumber daya, pilih sumber daya alamat IP publik untuk sumber daya Microsoft Entra Domain Services, seperti yang ditunjukkan pada cuplikan layar berikut. Alamat IP publik kemungkinan dimulai dengan aadds.

   

Jangan jalankan langkah-langkah dalam Membersihkan sumber daya hingga diinstruksikan untuk melakukannya dalam panduan ini.

Dengan mengingat variasi ini, selesaikan Konfigurasikan LDAP aman untuk domain terkelola Microsoft Entra Domain Services. Anda sekarang dapat mengumpulkan nilai yang perlu Anda berikan ke Konfigurasi WLS.

Catatan

Tunggu hingga konfigurasi LDAP aman selesai diproses sebelum melanjutkan ke bagian berikutnya.

Menonaktifkan TLS v1 lemah

Secara default, Microsoft Entra Domain Services memungkinkan penggunaan TLS v1, yang dianggap lemah dan tidak didukung di WebLogic Server 14 dan yang lebih baru.

Bagian ini menunjukkan kepada Anda cara menonaktifkan cipher TLS v1.

Pertama, dapatkan ID sumber daya domain terkelola Microsoft Entra Domain Service yang mengaktifkan LDAP. Perintah berikut mendapatkan ID instans Azure Domain Service bernama aaddscontoso.com dalam grup sumber daya bernama aadds-rg:

AADDS_ID=$(az resource show \
    --resource-group aadds-rg \
    --resource-type "Microsoft.AAD/DomainServices" \
    --name aaddscontoso.com \
    --query "id" \
    --output tsv)

Untuk menonaktifkan TLS v1, gunakan perintah berikut:

az resource update \
    --ids $AADDS_ID \
    --set properties.domainSecuritySettings.tlsV1=Disabled

Output ditampilkan "tlsV1": "Disabled" untuk domainSecuritySettings, seperti yang ditunjukkan dalam contoh berikut:

"domainSecuritySettings": {
      "ntlmV1": "Enabled",
      "syncKerberosPasswords": "Enabled",
      "syncNtlmPasswords": "Enabled",
      "syncOnPremPasswords": "Enabled",
      "tlsV1": "Disabled"
}

Untuk informasi selengkapnya, lihat Memperkuat domain terkelola Microsoft Entra Domain Services.

Catatan

Jika Anda menambahkan kunci ke sumber daya atau grup sumber daya, Anda menemukan pesan kesalahan saat mencoba memperbarui domain terkelola, seperti: Message: The scope '/subscriptions/xxxxx/resourceGroups/aadds-rg/providers/Microsoft.AAD/domainServices/aaddscontoso.com' cannot perform write operation because the following scope(s) are locked: '/subscriptions/xxxxx/resourceGroups/aadds-rg'. Please remove the lock and try again.

Tuliskan informasi berikut untuk domain terkelola Microsoft Entra Domain Service. Anda menggunakan informasi ini di bagian selanjutnya.

Properti	Deskripsi
Host Server	Nilai ini adalah nama DNS publik yang Anda simpan saat menyelesaikan Membuat dan mengonfigurasi domain terkelola Microsoft Entra ID Domain Services.
Alamat IP eksternal LDAP aman	Nilai ini adalah nilai alamat IP eksternal LDAP aman yang Anda simpan di bagian Konfigurasi zona DNS untuk akses eksternal.
Utama	Untuk mendapatkan nilai ini, kembali ke LDP.exe dan gunakan langkah-langkah berikut untuk mendapatkan nilai untuk prinsipal untuk digunakan di cloud Anda saja: Di menu Tampilan, pilih Pohon. Dalam dialog Tampilan Pohon, biarkan BaseDN kosong dan pilih OK. Klik kanan di panel sisi kanan dan pilih Hapus output. Perluas tampilan pohon dan pilih entri yang dimulai dengan OU=AADDC Pengguna. Di menu Telusuri, pilih Cari. Dalam dialog yang muncul, terima default dan pilih Jalankan. Setelah output muncul di panel sebelah kanan, pilih Tutup, di samping Jalankan. Pindai output untuk entri yang Dn sesuai dengan pengguna yang Anda tambahkan ke AAD DC Administrators grup. Dimulai dengan Dn: CN=<user name>OU=AADDC Users.
Basis Pengguna DN dan Basis Grup DN	Untuk tujuan tutorial ini, nilai untuk kedua properti ini sama: prinsipal .OU=AADDC Users
Kata sandi untuk Prinsipal	Nilai ini adalah kata sandi untuk pengguna yang ditambahkan ke AAD DC Administrators grup.
Kunci umum untuk koneksi LDAPS Microsoft Entra Domain Service	Nilai ini adalah file .cer yang diminta untuk Anda simpan ketika Anda menyelesaikan bagian Mengekspor sertifikat untuk komputer klien.

Mengonfigurasi WLS

Bagian ini membantu Anda mengumpulkan nilai parameter dari domain terkelola Microsoft Entra Domain Service yang disebarkan sebelumnya.

Saat Anda menyebarkan salah satu Aplikasi Azure yang tercantum di Apa solusi untuk menjalankan Oracle WebLogic Server di Azure Virtual Machines?, Anda dapat mengikuti langkah-langkah untuk mengintegrasikan domain terkelola Microsoft Entra Domain Service dengan WLS.

Setelah penyebaran aplikasi Azure selesai, gunakan langkah-langkah berikut untuk menemukan URL untuk mengakses Konsol Administrasi WebLogic:

1. Buka portal Azure dan buka grup sumber daya yang Anda provisikan.
2. Di panel navigasi, di bagian Pengaturan, pilih Penyebaran. Anda melihat daftar penyebaran yang diurutkan ke grup sumber daya ini, dengan yang terbaru terlebih dahulu.
3. Gulir ke entri terlama dalam daftar ini. Entri ini sesuai dengan penyebaran yang Anda mulai di bagian sebelumnya. Pilih penyebaran terlama, yang namanya dimulai dengan sesuatu yang mirip oracle.dengan .
4. Pilih Output. Opsi ini memperlihatkan daftar output dari penyebaran.
5. Nilai adminConsole adalah tautan yang sepenuhnya memenuhi syarat, publik, dan terlihat internet ke konsol admin WLS. Pilih ikon salin di samping nilai bidang untuk menyalin tautan ke clipboard Anda dan menyimpannya dalam file.

Catatan

Tutorial ini menunjukkan cara menggunakan TLS v1.2 untuk menyambungkan ke server LDAP domain terkelola Microsoft Entra Domain Service. Untuk memastikan kompatibilitas, Anda perlu mengaktifkan TLS v1.2 untuk penyebaran pada JDK 8.

Untuk memverifikasi versi JDK Anda, gunakan langkah-langkah berikut:

1. Tempelkan nilai adminConsole ke bilah alamat browser Anda, lalu masuk ke konsol admin WLS.

2. Di bawah Struktur Domain, pilih , lalu temukan > Java.

   

Jika versi Java Anda adalah 8, aktifkan TLS v1.2 dengan menggunakan langkah-langkah berikut:

1. Di bawah Struktur Domain, pilih

2. Di bagian Argumen , tentukan nilai -Djdk.tls.client.protocols=TLSv1.2.

3. Pilih Simpan untuk menyimpan perubahan.

4. Di bawah Pusat Perubahan, pilih Aktifkan Perubahan untuk mengaktifkan opsi .

   

Mengintegrasikan domain terkelola Microsoft Entra Domain Service dengan WLS

Dengan server admin WebLogic berjalan, dan domain terkelola Microsoft Entra Domain Service disebarkan dan diamankan dengan LDIP, sekarang dimungkinkan untuk meluncurkan konfigurasi.

Mengunggah dan mengimpor CA publik

WLS berkomunikasi dengan domain terkelola menggunakan Secure LDAP (LDAPS), yaitu LDAP melalui Secure Sockets Layer (SSL) atau Transport Layer Security (TLS). Untuk membuat koneksi ini, Anda harus mengunggah dan mengimpor sertifikat Otoritas Sertifikat (CA) publik ( file .cer ) ke keystore kepercayaan WLS.

Unggah dan impor sertifikat ke komputer virtual yang menjalankan server admin dengan menggunakan langkah-langkah berikut:

1. Aktifkan akses ke adminVM dengan mengikuti instruksi di bagian Sambungkan ke komputer virtual mulai cepat: Menyebarkan WebLogic Server di Azure Virtual Machines.

2. Buka terminal Bash, lalu unggah sertifikat dengan menggunakan perintah berikut. ADMIN_PUBLIC_IP Ganti nilai dengan nilai nyata, yang dapat Anda temukan di portal Azure. Anda diharuskan untuk memasukkan kata sandi yang Anda gunakan untuk menyambungkan komputer.

   export CER_FILE_NAME=azure-ad-ds-client.cer
   export ADMIN_PUBLIC_IP="<admin-public-ip>"
   export ADMIN_VM_USER="weblogic"
   
   cd <path-to-cert>
   scp ${CER_FILE_NAME} "$ADMIN_VM_USER@$ADMIN_PUBLIC_IP":/home/${ADMIN_VM_USER}/${CER_FILE_NAME}
   

3. Setelah sertifikat diunggah, Anda perlu memindahkannya ke folder domain WLS /u01/domains dan mengubah kepemilikannya dengan oracle:oracle menggunakan perintah berikut:

   export RESOURCE_GROUP_NAME=contoso-rg
   export ADMIN_VM_NAME=adminVM
   export CA_PATH=/u01/domains/${CER_FILE_NAME}
   
   az vm run-command invoke \
       --resource-group $RESOURCE_GROUP_NAME \
       --name ${ADMIN_VM_NAME} \
       --command-id RunShellScript \
       --scripts "mv /home/${ADMIN_VM_USER}/${CER_FILE_NAME} /u01/domains; chown oracle:oracle ${CA_PATH}"
   

4. Impor sertifikat ke keystore Anda. Aplikasi Azure menyediakan WLS dengan penyimpanan kepercayaan default di <jvm-path-to-security>/cacerts. Jalur tertentu mungkin bervariasi tergantung pada versi JDK. Anda dapat mengimpor CA publik domain terkelola Microsoft Entra Domain Service dengan menggunakan langkah-langkah berikut:

   1. Kueri skrip yang Anda gunakan untuk mengatur variabel lingkungan domain.

      export DOMIAN_FILE_PATH=$(az vm run-command invoke \
          --resource-group $RESOURCE_GROUP_NAME \
          --name ${ADMIN_VM_NAME} \
          --command-id RunShellScript \
          --scripts "find /u01/domains -name setDomainEnv.sh" \
          --query value[*].message \
          --output tsv \
          | sed -n '/\[stdout\]/!b; n; p')
      
      echo $DOMIAN_FILE_PATH
      

   2. Impor CA dengan menggunakan perintah berikut. Perhatikan versi Java Anda, yang Anda periksa di bagian sebelumnya.

      Java 11 ke atas

      az vm run-command invoke \
          --resource-group $RESOURCE_GROUP_NAME \
          --name ${ADMIN_VM_NAME} \
          --command-id RunShellScript \
          --scripts ". ${DOMIAN_FILE_PATH};export JVM_CER_PATH=\${JAVA_HOME}/lib/security/cacerts;\${JAVA_HOME}/bin/keytool -noprompt -import -alias aadtrust -file ${CA_PATH} -keystore \${JVM_CER_PATH} -storepass changeit"
      

      Java 8

      az vm run-command invoke \
          --resource-group $RESOURCE_GROUP_NAME \
          --name ${ADMIN_VM_NAME} \
          --command-id RunShellScript \
          --scripts ". ${DOMIAN_FILE_PATH};export JVM_CER_PATH=\${JAVA_HOME}/jre/lib/security/cacerts;\${JAVA_HOME}/bin/keytool -noprompt -import -alias aadtrust -file ${CA_PATH} -keystore \${JVM_CER_PATH} -storepass changeit"
      

   Anda harus melihat output yang mirip dengan berikut ini:

   {
   "value": [
     {
       "code": "ProvisioningState/succeeded",
       "displayStatus": "Provisioning succeeded",
       "level": "Info",
       "message": "Enable succeeded: \n[stdout]\n\n[stderr]\nCertificate was added to keystore\n",
       "time": null
     }
    ]
   }
   

Catatan

Jika Anda menyesuaikan penyimpanan kepercayaan, Anda harus mengimpor CA publik domain terkelola Layanan Domain Entra ke keystore kepercayaan Anda. Tidak perlu mengimpor sertifikat ke server terkelola WLS. Untuk informasi selengkapnya, lihat Mengonfigurasi WebLogic untuk menggunakan LDAP.

Mengonfigurasi verifikasi nama host WLS

Karena Mengonfigurasi LDAP aman untuk domain terkelola Microsoft Entra Domain Services menggunakan kartubebas *.aaddscontoso.com untuk nama host dalam sertifikat, Anda harus mengonfigurasi server admin WLS dengan verifikasi nama host yang sesuai. Gunakan langkah-langkah berikut untuk menonaktifkan verifikasi. Untuk WLS 14 ke atas, Anda dapat memilih Verifikasi Nama Host Wildcard sebagai gantinya.

1. Tempelkan nilai adminConsole ke browser Anda dan masuk ke konsol admin WLS.
2. Di Pusat Perubahan, pilih Kunci & Edit.
3. Pilih >
4. Di samping Verifikasi Nama Host, pilih Tidak Ada.
5. Pilih Simpan dan Aktifkan Perubahan untuk menyimpan konfigurasi.

Mengatasi lalu lintas untuk akses LDAP yang aman

Dengan akses LDAP aman yang diaktifkan melalui internet, Anda dapat memperbarui zona DNS Anda sehingga komputer klien dapat menemukan domain terkelola ini. Nilai alamat IP eksternal LDAP Aman tercantum di tab Properti untuk domain terkelola Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi zona DNS untuk akses eksternal.

Jika Anda tidak memiliki zona DNS terdaftar, Anda dapat menambahkan entri dalam adminVM file host, untuk mengatasi lalu lintas ldaps.<managed-domain-dns-name> (berikut ldaps.aaddscontoso.com) ke alamat IP eksternal. Ubah nilai dengan nilai Anda sebelum menjalankan perintah berikut:

export LDAPS_DNS=ldaps.aaddscontoso.com
export LDAPS_EXTERNAL_IP=<entra-domain-services-manged-domain-external-ip>

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "echo \"${LDAPS_EXTERNAL_IP} ${LDAPS_DNS}\" >> /etc/hosts"

Jalankan perintah berikut untuk memulai ulang server admin untuk memuat konfigurasi:

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl stop wls_admin"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl start wls_admin"

Membuat dan mengonfigurasi penyedia autentikasi LDAP

Dengan sertifikat yang diimpor dan diamankan lalu lintas akses LDAP diselesaikan, Anda dapat mengonfigurasi penyedia LDAP dari konsol WLS dengan menggunakan langkah-langkah berikut:

1. Tempelkan nilai adminConsole ke bilah alamat browser Anda dan masuk di konsol admin WLS.

2. Di bawah Ubah Tengah, pilih Kunci & Edit.

3. Di bawah Struktur Domain, pilih >, dan gunakan nilai berikut untuk membuat penyedia autentikasi baru.

   • Untuk Nama, isi AzureEntraIDLDAPProvider.
   • Untuk Jenis, pilih ActiveDirectoryAuthenticator.

4. Pilih OK untuk menyimpan perubahan.

5. Dalam daftar penyedia, pilih AzureEntraIDLDAPProvider.

6. Untuk Bendera Kontrol Umum>, pilih >

7. Pilih Simpan untuk menyimpan perubahan.

8. Untuk Spesifik Penyedia Konfigurasi>, masukkan informasi koneksi domain terkelola Microsoft Entra Domain Services yang Anda peroleh sebelumnya. Langkah-langkah untuk mendapatkan nilai tercantum dalam tabel di Mengonfigurasi LDAP aman untuk domain terkelola Microsoft Entra Domain Services.

9. Isi bidang yang diperlukan berikut, pertahankan bidang lain dengan nilai defaultnya:

   Item	Nilai	Sampel nilai
   Host	DNS sever LDAP domain terkelola, ldaps.<managed-domain-dns-name>	ldaps.aaddscontoso.com
   Port	636	636
   Kepala sekolah	Prinsipal pengguna khusus cloud Anda	CN=WLSTest,OU=AADDC Users,DC=aaddscontoso,DC=com
   Informasi masuk	Kredensial pengguna khusus cloud Anda	-
   SSLEnabled	Dipilih	-
   DN Basis Pengguna	Nama khusus (DN) basis pengguna Anda	OU=AADDC Users,DC=aaddscontoso,DC=com
   Filter Pengguna Dari Nama	(&(sAMAccountName=%u)(objectclass=user))	(&(sAMAccountName=%u)(objectclass=user))
   Atribut Nama Pengguna	sAMAccountName	sAMAccountName
   Kelas Objek Pengguna	user	user
   DN Dasar Grup	DN dasar grup Anda.	OU=AADDC Users,DC=aaddscontoso,DC=com
   Pencarian Keanggotaan Grup	limit	limit
   Tingkat Pencarian Keanggotaan Grup Maks	1	1
   Menggunakan Grup Token Untuk Pencarian Keanggotaan Grup	Dipilih	-
   Ukuran Kumpulan Koneksi	5	5
   Batas Waktu Sambungkan	120	120
   Batas Coba Lagi Koneksi	5	5
   Batas Waktu Hasil	300	300
   Tetap Aktifkan Hidup	Dipilih	-
   Cache Diaktifkan	Dipilih	-
   Ukuran Cache	4000	4000
   Cache TTL	300	300

10. Pilih Simpan untuk menyimpan penyedia.

11. Pilih Performa di samping Konfigurasi.

12. Pilih Aktifkan Penembolokan Hierarki Pencarian Keanggotaan Grup.

13. Pilih Aktifkan Penembolokan Pencarian SID ke Grup.

14. Pilih Simpan untuk menyimpan konfigurasi.

15. Pilih Aktifkan Perubahan untuk memanggil perubahan.

Catatan

Perhatikan nama host server LDAP. Ini harus dalam format ldaps.<managed-domain-dns-name>. Dalam contoh ini, nilainya adalah ldaps.aaddscontoso.com.

Jika Anda mengalami kesalahan seperti [Security:090834]No LDAP connection could be established. ldap://dscontoso.com:636 Cannot contact LDAP server, coba mulai ulang adminVM untuk mengatasi masalah tersebut.

Anda harus memulai ulang server admin WLS agar perubahan diterapkan. Jalankan perintah berikut untuk memulai ulang server admin:

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl stop wls_admin"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl start wls_admin"

Catatan

Jika Anda mengautentikasi aplikasi dalam kluster dengan pengguna dari ID Microsoft Entra, Anda harus memulai ulang server terkelola untuk mengaktifkan penyedia. Anda dapat melakukan ini dengan memulai ulang komputer virtual yang menghosting server.

Validasi

Setelah memulai ulang server admin, gunakan langkah-langkah berikut untuk memverifikasi bahwa integrasi berhasil:

1. Kunjungi konsol Admin WLS.
2. Di panel navigasi, perluas pohon dan pilih Security Realms>>
3. Jika integrasi berhasil, Anda dapat menemukan penyedia ID Microsoft Entra - misalnya AzureEntraIDLDAPProvider.
4. Di panel navigasi, perluas pohon dan pilih >Pengguna dan Grup.
5. Jika integrasi berhasil, Anda dapat menemukan pengguna dari penyedia ID Microsoft Entra.

Catatan

Dibutuhkan beberapa menit untuk memuat pengguna saat pertama kali Anda mengakses Pengguna dan Grup. WLS menyimpan pengguna dan lebih cepat pada akses berikutnya.

Mengunci akses LDAP aman melalui internet

Saat berdiri di LDAP aman pada langkah-langkah sebelumnya, atur sumber sebagai Apa pun untuk AllowLDAPS aturan dalam kelompok keamanan jaringan. Sekarang setelah Server Admin WLS disebarkan dan terhubung ke LDAP, dapatkan alamat IP publiknya menggunakan portal Azure. Buka kembali Kunci akses LDAP aman melalui internet dan ubah Apa saja ke alamat IP spesifik server Admin WLS.

Membersihkan sumber daya

Sekarang saatnya untuk mengikuti langkah-langkah di bagian Membersihkan sumber daya di Mengonfigurasi LDAP aman untuk domain terkelola Microsoft Entra Domain Services.

Langkah berikutnya

Jelajahi aspek lain dari migrasi aplikasi WebLogic Server ke Azure.

Memigrasikan aplikasi Server WebLogic ke Azure Virtual Machines