Tutorial: Mengonfigurasi Tombol Mudah F5 BIG-IP untuk SSO ke Oracle JDE

Dalam tutorial ini, pelajari cara mengamankan Oracle JD Edwards (JDE) menggunakan Microsoft Entra ID, dengan F5 BIG-IP Easy Button Konfigurasi Terarah.

Integrasikan BIG-IP dengan MICROSOFT Entra ID untuk banyak manfaat:

• Meningkatkan tata kelola Zero Trust melalui pra-autentikasi Microsoft Entra dan Akses Kondisional.
  • Lihat, Kerangka kerja Zero Trust untuk mengaktifkan pekerjaan jarak jauh
  • Lihat, Apa itu Akses Bersyarat?
• Single sign-on (SSO) antara Microsoft Entra ID dan layanan yang diterbitkan oleh BIG-IP
• Mengelola identitas dan akses dari pusat admin Microsoft Entra

Selengkapnya:

• Mengintegrasikan F5 BIG-IP dengan MICROSOFT Entra ID
• Mengaktifkan akses menyeluruh untuk aplikasi perusahaan

Deskripsi Skenario

Tutorial ini menggunakan aplikasi Oracle JDE menggunakan header otorisasi HTTP untuk mengelola akses ke konten yang dilindungi.

Aplikasi warisan tidak memiliki protokol modern untuk mendukung integrasi Microsoft Entra. Modernisasi mahal, memerlukan perencanaan, dan memperkenalkan potensi risiko waktu henti. Sebagai gantinya, gunakan Pengontrol Pengiriman Aplikasi (ADC) F5 BIG-IP untuk menjenjangkan kesenjangan antara aplikasi warisan dan kontrol ID modern, dengan transisi protokol.

Dengan BIG-IP di depan aplikasi, Anda melapisi layanan dengan praauthentikasi Microsoft Entra dan SSO berbasis header. Tindakan ini meningkatkan postur keamanan aplikasi.

Arsitektur skenario

Solusi SHA untuk skenario ini terdiri dari beberapa komponen:

• Aplikasi Oracle JDE - Layanan yang diterbitkan oleh BIG-IP dan diamankan oleh Microsoft Entra SHA
• Microsoft Entra ID - penyedia identitas (IdP) Security Assertion Markup Language (SAML) yang memverifikasi kredensial pengguna, Akses Bersyarat, dan SSO berbasis SAML ke BIG-IP
  • Dengan SSO, MICROSOFT Entra ID menyediakan atribut sesi ke BIG-IP
• BIG-IP - proksi terbalik dan penyedia layanan SAML (SP) untuk aplikasi
  • BIG-IP mendelegasikan autentikasi ke IDP SAML, lalu melakukan SSO berbasis header ke layanan Oracle

Dalam tutorial ini, SHA mendukung skenario yang diinisiasi langsung oleh SP dan IdP. Diagram berikut mengilustrasikan alur yang dimulai oleh Penyedia Layanan.

1. Pengguna terhubung ke titik akhir aplikasi (BIG-IP).
2. Kebijakan akses BIG-IP APM mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP).
3. Microsoft Entra melakukan praotentikasi pengguna dan menerapkan kebijakan Akses Bersyarat.
4. Pengguna dialihkan ke BIG-IP (SAML SP). SSO dilakukan dengan menggunakan token SAML yang telah diterbitkan.
5. BIG-IP menyuntikkan atribut Microsoft Entra sebagai header dalam permintaan aplikasi.
6. Aplikasi mengotorisasi permintaan dan mengembalikan payload.

Prasyarat

• Akun Microsoft Entra ID Gratis, atau yang lebih tinggi
  • Jika Anda tidak memilikinya, dapatkan akun gratis Azure
• BIG-IP atau BIG-IP Virtual Edition (VE) di Azure
  • Lihat, Menyebarkan VM Edisi Virtual F5 BIG-IP di Azure
• Salah satu lisensi F5 BIG-IP berikut:
  • F5 BIG-IP® Paket Terbaik
  • Lisensi mandiri F5 BIG-IP APM
  • Lisensi tambahan APM untuk BIG-IP F5 pada BIG-IP® Local Traffic Manager™ (LTM) yang sudah ada
  • Lisensi uji coba fitur lengkap BIG-IP 90 hari
• Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra, atau dibuat di ID Microsoft Entra dan mengalir kembali ke direktori lokal
  • Perhatikan, Sinkronisasi Microsoft Entra Connect: Memahami dan menyesuaikan sinkronisasi
• Salah satu peran berikut: Administrator Aplikasi Cloud, atau Administrator Aplikasi
• Sertifikat Web SSL untuk menerbitkan layanan melalui HTTPS, atau menggunakan sertifikasi BIG-IP default untuk pengujian
  • Lihat, Menyebarkan VM Edisi Virtual F5 BIG-IP di Azure
• Lingkungan Oracle JDE

Konfigurasi BIG-IP

Tutorial ini menggunakan Konfigurasi Terpandu 16.1 dengan templat Tombol Mudah. Dengan Tombol Mudah, admin tidak perlu bolak-balik antara Microsoft Entra ID dan BIG-IP untuk mengaktifkan layanan bagi SHA. Wizard Konfigurasi Terpandu APM dan Microsoft Graph menangani penyebaran dan manajemen kebijakan. Integrasi memastikan aplikasi mendukung federasi identitas, SSO, dan Akses Bersyarat.

Catatan

Ganti contoh string atau nilai dalam tutorial ini dengan yang ada di lingkungan Anda.

Daftarkan Tombol Mudah

Sebelum klien atau layanan mengakses Microsoft Graph, platform identitas Microsoft harus mempercayainya.

Pelajari selengkapnya: Mulai cepat: Mendaftarkan aplikasi dengan platform identitas Microsoft

Instruksi berikut membantu Anda membuat pendaftaran aplikasi penyewa untuk mengotorisasi akses Easy Button ke Graph. Dengan izin ini, BIG-IP mendorong konfigurasi untuk membangun kepercayaan antara instans SAML SP untuk aplikasi yang diterbitkan, dan ID Microsoft Entra sebagai IDP SAML.

1. Masuk ke Pusat Admin Microsoft Entra sebagai Administrator Aplikasi Cloud minimal.

2. Telusuri ke Entra ID>Pendaftaran Aplikasi>Pendaftaran baru.

3. Masukkan Nama aplikasi.

4. Hanya untuk Akun dalam direktori organisasi ini, tentukan siapa yang menggunakan aplikasi.

5. Pilih Daftarkan.

6. Navigasikan ke izin API.

7. Otorisasi izin Aplikasi Microsoft Graph berikut:

   • Application.ReadWrite.All
   • Aplikasi.BacaTulis.DimilikiOleh
   • Directory.Read.All (akses baca semua direktori)
   • Grup.BacaSemua
   • IdentityRiskyUser.Read.All
   • Kebijakan.Baca.Semua
   • Kebijakan.BacaTulis.KonfigurasiAplikasi
   • Kebijakan.BacaTulis.AksesBersyarat
   • Pengguna.Baca.Semua

8. Berikan persetujuan admin kepada organisasi Anda.

9. Pergi ke Sertifikat & Rahasia.

10. Buat Rahasia Klien baru dan catat.

11. Buka Gambaran Umum dan perhatikan ID Klien dan ID Penyewa

Mengonfigurasi Tombol Mudah

1. Mulai Konfigurasi Terpandu APM.

2. Luncurkan templat Tombol Mudah.

3. Navigasi ke Akses Konfigurasi Terpandu.

4. Pilih Integrasi Microsoft.

5. Pilih Aplikasi Microsoft Entra.

6. Tinjau urutan konfigurasi.

7. Pilih Selanjutnya

8. Ikuti urutan konfigurasi.

   

Properti Konfigurasi

Gunakan tab Properti Konfigurasi untuk membuat konfigurasi aplikasi dan objek SSO baru. Bagian Detail-Detail Akun Layanan Azure mewakili klien yang Anda daftarkan di penyewa Microsoft Entra, dalam bentuk aplikasi. Gunakan pengaturan untuk klien BIG-IP OAuth untuk mendaftarkan SAML SP di penyewa, dengan properti SSO. Tombol Mudah melakukan tindakan ini untuk layanan BIG-IP yang dipublikasikan dan diaktifkan untuk SHA.

Catatan

Beberapa pengaturan berikut bersifat global. Anda dapat menggunakannya kembali untuk menerbitkan lebih banyak aplikasi.

1. Untuk Single Sign-On (SSO) & HTTP Header, pilih On.
2. Masukkan ID Penyewa, ID Klien, dan Rahasia Klien yang Anda catat.
3. Konfirmasikan BIG-IP tersambung ke penyewa.
4. Pilih Selanjutnya

Penyedia Layanan

Pengaturan Penyedia Layanan menentukan properti untuk instans SAML SP dari aplikasi yang dilindungi melalui SHA.

1. Untuk Host, masukkan FQDN publik dari aplikasi aman.

2. Untuk Entity ID, masukkan pengidentifikasi yang digunakan Microsoft Entra ID untuk mengidentifikasi SAML SP peminta token.

   

3. (Opsional) Untuk Pengaturan Keamanan, tunjukkan bahwa ID Microsoft Entra mengenkripsi pernyataan SAML yang dikeluarkan. Opsi ini meningkatkan jaminan bahwa token konten tidak disadap, atau data disusupi.

4. Dari daftar Kunci Privat Dekripsi Pernyataan, pilih Buat Baru.

   

5. Pilih OK.

6. Dialog Impor Sertifikat dan Kunci SSL muncul di tab baru.

7. Untuk Jenis Impor, pilih PKCS 12 (IIS). Opsi ini mengimpor sertifikat dan kunci privat Anda.

8. Tutup tab browser untuk kembali ke tab utama.

   

9. Untuk Aktifkan Pernyataan Terenkripsi, centang kotak .

10. Jika Anda mengaktifkan enkripsi, dari daftar Kunci Privat Dekripsi Pernyataan, pilih sertifikat Anda. Kunci privat ini adalah untuk sertifikat yang digunakan BIG-IP APM untuk mendekripsi pernyataan Microsoft Entra.

11. Jika Anda mengaktifkan enkripsi, dari daftar Sertifikat Dekripsi Assertion, pilih sertifikat Anda. BIG-IP mengunggah sertifikat ini ke ID Microsoft Entra untuk mengenkripsi pernyataan SAML yang dikeluarkan.

Microsoft Entra ID

Tombol Mudah memiliki templat untuk Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP, dan templat SHA generik.

1. Pilih JD Edwards Dilindungi oleh F5 BIG-IP.
2. Pilih Tambahkan.

Konfigurasi Azure

1. Masukkan Nama Tampilan untuk aplikasi yang dibuat oleh BIG-IP di dalam penyewa. Nama muncul pada ikon di Aplikasi Saya.

2. (Opsional) Untuk URL Sign On, masukkan FQDN publik aplikasi PeopleSoft.

3. Di samping Kunci Penandatanganan dan Sertifikat Penandatanganan, pilih refresh. Tindakan ini menemukan sertifikat yang Anda impor.

4. Untuk Frasa Sandi Kunci, masukkan kata sandi sertifikat.

5. (Opsional) Untuk Opsi Penandatanganan, pilih opsi. Pilihan ini memastikan BIG-IP menerima token dan klaim yang ditandatangani oleh ID Microsoft Entra.

   

6. Pengguna dan Grup Pengguna secara dinamis dikueri dari penyewa Microsoft Entra.

7. Tambahkan pengguna atau grup untuk pengujian, jika tidak, akses ditolak.

   

Atribut & Klaim Pengguna

Saat pengguna mengautentikasi, ID Microsoft Entra mengeluarkan token SAML dengan klaim dan atribut default yang mengidentifikasi pengguna. Tab Atribut Pengguna & Klaim memiliki klaim default untuk dikeluarkan untuk aplikasi baru. Gunakan untuk mengonfigurasi lebih banyak klaim.

Jika diperlukan, sertakan atribut Microsoft Entra lainnya. Skenario Oracle JDE memerlukan atribut default.

Atribut Pengguna Tambahan

Tab Atribut Pengguna Tambahan mendukung sistem terdistribusi yang memerlukan atribut disimpan di direktori lain untuk augmentasi sesi. Atribut dari sumber LDAP disuntikkan sebagai lebih banyak header SSO untuk mengontrol akses berdasarkan peran, ID Mitra, dan sebagainya.

Catatan

Fitur ini tidak memiliki korelasi dengan ID Microsoft Entra; ini adalah sumber atribut lain.

Kebijakan Akses Bersyarat

Kebijakan Akses Bersyarat diberlakukan setelah pra-autentikasi Microsoft Entra untuk mengontrol akses berdasarkan sinyal perangkat, aplikasi, lokasi, dan risiko. Tampilan Kebijakan yang Tersedia memiliki kebijakan Akses Bersyarat tanpa tindakan pengguna. Tampilan Kebijakan yang Dipilih memiliki kebijakan yang menargetkan aplikasi cloud. Anda tidak dapat membatalkan pilihan atau memindahkan kebijakan ini ke daftar Kebijakan yang Tersedia karena diberlakukan di tingkat penyewa.

Pilih kebijakan untuk aplikasi.

1. Di daftar Kebijakan yang Tersedia, pilih kebijakan.
2. Pilih panah kanan dan pindahkan kebijakan ke Kebijakan yang Dipilih.

Kebijakan yang dipilih memiliki opsi Sertakan atau Kecualikan dicentang. Jika kedua opsi dicentang, kebijakan tidak diberlakukan.

Catatan

Daftar kebijakan muncul sekali, ketika Anda memilih tab. Gunakan Refresh agar wizard dapat menjalankan kueri pada tenant. Opsi ini muncul setelah aplikasi disebarkan.

Pengaturan Server Virtual

Server virtual adalah objek sarana data BIG-IP yang diwakili oleh alamat IP virtual. Server mendengarkan permintaan klien ke aplikasi. Lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM server virtual. Kemudian, lalu lintas diarahkan sesuai dengan kebijakan.

1. Untuk Alamat Tujuan, masukkan alamat IPv4 atau IPv6 yang digunakan BIG-IP untuk menerima lalu lintas klien. Catatan terkait muncul di DNS, yang memungkinkan klien untuk memetakan URL eksternal dari aplikasi yang diterbitkan ke IP. Gunakan DNS localhost pada komputer untuk pengujian.

2. Untuk Port Layanan, masukkan 443 dan pilih HTTPS.

3. Untuk Aktifkan Pengalihan Port, centang kotak.

4. Untuk Pengalihan Port, masukkan 80 dan pilih HTTP. Opsi ini mengalihkan lalu lintas klien HTTP masuk ke HTTPS.

5. Untuk Profil SSL Klien, pilih Gunakan yang Sudah Ada.

6. Di bawah Umum pilih opsi yang Anda buat. Jika sedang melakukan pengujian, biarkan pengaturan default. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui TLS.

   

Properti Kumpulan

Tab Application Pool memiliki layanan yang berada di belakang BIG-IP, yang diwakili sebagai sebuah pool dengan server aplikasi.

1. Untuk Pilih Kumpulan, pilih Buat Baru, atau pilih satu.

2. Untuk Metode Penyeimbangan Beban, pilih Round Robin.

3. Untuk Server Pool, di Alamat IP/Nama Node pilih node, atau masukkan IP dan port untuk server yang menghosting aplikasi Oracle JDE.

   

Akses Menyeluruh & Header HTTP

Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO ke aplikasi yang diterbitkan. Aplikasi PeopleSoft mengharapkan tajuk.

1. Untuk HTTP Header, centang kotak.

2. Untuk Operasi Header, pilih ganti.

3. Untuk Nama Header, masukkan JDE_SSO_UID.

4. Untuk Header Nilai, masukkan %{session.sso.token.last.username}.

   

   Catatan

   Variabel sesi APM dalam tanda kurung kurawal peka terhadap huruf besar dan kecil. Misalnya, jika Anda memasukkan OrclGUID, dan nama atributnya orclguid, pemetaan atribut gagal.

Manajemen Sesi

Gunakan pengaturan Manajemen Sesi BIG-IP untuk menentukan kondisi untuk penghentian atau kelanjutan sesi pengguna. Tetapkan batasan untuk pengguna dan alamat IP, dan info pengguna terkait.

Untuk mempelajari selengkapnya, buka support.f5.com untuk K18390492: Keamanan | Panduan operasi BIG-IP APM

Tidak tercakup dalam panduan operasi adalah fungsionalitas logout tunggal (SLO), yang memastikan sesi IdP, BIG-IP, dan agen pengguna berakhir saat pengguna keluar. Ketika "Easy Button" membuat instans aplikasi SAML di tenant Microsoft Entra, tombol ini mengisi URL Logout dengan endpoint APM SLO. Keluar yang diinisiasi oleh IdP dari Aplikasi Saya mengakhiri sesi BIG-IP dan pengguna.

Data federasi SAML dari aplikasi yang telah diterbitkan diimpor dari penyewa. Tindakan ini memberikan APM titik akhir keluar SAML untuk Microsoft Entra ID, yang memastikan bahwa keluar yang dimulai oleh Penyedia Layanan (SP) mengakhiri sesi klien dan sesi Microsoft Entra. APM perlu mengetahui kapan pengguna keluar.

Saat portal webtop BIG-IP mengakses aplikasi yang diterbitkan, APM memproses tanda keluar dengan memanggil titik akhir keluar Microsoft Entra. Jika portal webtop BIG-IP tidak digunakan, pengguna tidak dapat menginstruksikan APM untuk keluar. Jika pengguna keluar dari aplikasi, BIG-IP tidak sadar. Keluar yang dimulai oleh Penyedia Layanan memerlukan penghentian sesi dengan aman. Tambahkan fungsi SLO ke tombol Keluar aplikasi Anda, untuk mengalihkan klien Anda ke titik akhir keluar Microsoft Entra SAML atau BIG-IP. URL titik akhir keluar SAML untuk penyewa Anda di >.

Jika Anda tidak dapat mengubah aplikasi, pertimbangkan untuk meminta BIG-IP mendengarkan panggilan keluar aplikasi, lalu picu SLO.

Pelajari lebih lanjut: Tutorial: Mengonfigurasi Tombol Mudah F5 BIG-IP untuk SSO ke Oracle PeopleSoft, PeopleSoft Single Logout

Untuk mempelajari selengkapnya, buka support.f5.com untuk:

• K42052145: Mengonfigurasi penghentian sesi otomatis (keluar) berdasarkan nama file yang direferensikan URI
• K12056: Gambaran Umum dari Opsi Sertakan URI Logout.

Penyebaran

1. Pilih Sebarkan.
2. Verifikasi bahwa aplikasi berada dalam daftar penyewa aplikasi Enterprise.

Konfirmasi konfigurasi

1. Menggunakan browser, sambungkan ke URL eksternal aplikasi Oracle JDE atau pilih ikon aplikasi di Aplikasi Saya.

2. Masuk ke Microsoft Entra ID.

3. Anda dialihkan ke server virtual BIG-IP untuk aplikasi dan masuk dengan SSO.

   Catatan

   Anda dapat memblokir akses langsung ke aplikasi, sehingga memberlakukan jalur melalui BIG-IP.

Penyebaran tingkat lanjut

Terkadang, templat Konfigurasi Terpandu tidak memiliki fleksibilitas.

Pelajari lebih lanjut: Tutorial: Mengonfigurasi F5 BIG-IP Access Policy Manager untuk SSO berbasis header

Sebagai alternatif, di BIG-IP nonaktifkan mode manajemen ketat dari Konfigurasi Terpandu. Anda dapat mengubah konfigurasi secara manual, meskipun sebagian besar konfigurasi diotomatisasi dengan templat wizard.

1. Navigasi ke Akses Konfigurasi Terpandu.

2. Di akhir baris, pilih gembok.

   

Perubahan dengan UI wizard tidak dimungkinkan, tetapi objek BIG-IP yang terkait dengan instance aplikasi yang diterbitkan tidak terkunci untuk manajemen.

Catatan

Saat Anda mengaktifkan kembali mode ketat dan menyebarkan konfigurasi, pengaturan yang dilakukan di luar Konfigurasi Terpandu ditimpa. Kami merekomendasikan konfigurasi lanjutan untuk layanan produksi.

Pemecahan Masalah

Gunakan pengelogan BIG-IP untuk mengisolasi masalah dengan konektivitas, SSO, pelanggaran kebijakan, atau pemetaan variabel yang salah dikonfigurasi.

Tingkat detail log

1. Arahkan ke Gambaran Umum Kebijakan Akses.
2. Pilih Log Kejadian.
3. Pilih pengaturan.
4. Pilih baris aplikasi yang anda terbitkan.
5. PilihEdit.
6. Pilih Log Sistem Akses
7. Dari daftar SSO, pilih Debug.
8. Pilih OK.
9. Reproduksi masalah Anda.
10. Periksa log.

Setelah selesai, kembalikan fitur ini karena mode verbose menghasilkan banyak data.

Pesan kesalahan BIG-IP

Jika kesalahan BIG-IP muncul setelah praautentikasi Microsoft Entra, ada kemungkinan masalah terkait dengan ID Microsoft Entra ke SSO BIG-IP.

1. Arahkan ke Ikhtisar Akses>.
2. Pilih Akses laporan.
3. Jalankan laporan selama satu jam terakhir.
4. Tinjau log untuk petunjuk.

Gunakan tautan Tampilkan sesi untuk mengonfirmasi bahwa APM menerima klaim Microsoft Entra yang diharapkan.

Tidak ada pesan kesalahan BIG-IP

Jika tidak ada pesan kesalahan BIG-IP yang muncul, masalahnya mungkin terkait dengan permintaan back-end, atau BIG-IP dengan SSO pada aplikasi.

1. Arahkan ke Gambaran Umum Kebijakan Akses.
2. Pilih Sesi Aktif.
3. Pilih tautan sesi aktif.

Gunakan tautan Lihat Variabel untuk menentukan masalah SSO, terutama jika BIG-IP APM mendapatkan atribut yang salah dari variabel sesi.

Selengkapnya:

• Buka devcentral.f5.com untuk contoh penetapan variabel APM
• Kunjungi techdocs.f5.com untuk Variabel Sesi