Share via

Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso Single Sign-On a Oracle EBS

  • Articolo

Informazioni su come proteggere Oracle E-Business Suite (EBS) usando Microsoft Entra ID, con la configurazione guidata F5 BIG-IP Easy Button. L'integrazione di big-IP con Microsoft Entra ID offre molti vantaggi:

  • Miglioramento della governance zero trust tramite la preautenticazione e l'accesso condizionale di Microsoft Entra
  • Accesso SSO completo tra i servizi pubblicati da Microsoft Entra ID e BIG-IP
  • Identità gestite e accesso da un piano di controllo

Altre informazioni:

Descrizione dello scenario

Questo scenario illustra l'applicazione Oracle EBS classica che usa le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto.

Le applicazioni legacy non dispongono di protocolli moderni per supportare l'integrazione di Microsoft Entra. La modernizzazione è costosa, richiede molto tempo e comporta un rischio di inattività. Usare invece F5 BIG-IP Application Delivery Controller (ADC) per colmare il divario tra le applicazioni legacy e il piano di controllo ID moderno, con la transizione del protocollo.

Un BIG-IP davanti all'app abilita la sovrimpressione del servizio con la preautenticazione di Microsoft Entra e l'accesso SSO basato sull'intestazione. Questa configurazione migliora il comportamento di sicurezza delle applicazioni.

Architettura dello scenario

La soluzione sha (Secure Hybrid Access) include i componenti seguenti:

  • Applicazione Oracle EBS - Servizio pubblicato big-IP da proteggere da Microsoft Entra SHA
  • Microsoft Entra ID - Provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAML all'IP BIG
    • Con SSO, Microsoft Entra ID fornisce attributi di sessione BIG-IP
  • Oracle Internet Directory (OID): ospita il database utente
    • BIG-IP verifica gli attributi di autorizzazione con LDAP
  • Oracle E-Business Suite AccessGate : convalida gli attributi di autorizzazione con il servizio OID, quindi rilascia i cookie di accesso EBS
  • BIG-IP : proxy inverso e provider di servizi SAML (SP) all'applicazione
    • L'autenticazione viene delegata all'IdP SAML, quindi si verifica l'accesso SSO basato su intestazione all'applicazione Oracle

SHA supporta i flussi avviati da SP e IdP. Il diagramma seguente illustra il flusso avviato da SP.

Diagramma dell'accesso ibrido sicuro, basato sul flusso avviato da SP.

  1. L'utente si connette all'endpoint applicazione (BIG-IP).
  2. I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale.
  4. L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito usando il token SAML rilasciato.
  5. BIG-IP esegue una query LDAP per l'attributo UID (Unique ID) dell'utente.
  6. BIG-IP inserisce l'attributo UID restituito come intestazione user_orclguid nella richiesta di cookie di sessione Oracle EBS a Oracle AccessGate.
  7. Oracle AccessGate convalida l'UID rispetto al servizio OID e genera un cookie di accesso a Oracle EBS.
  8. Intestazioni utente e cookie oracle EBS inviati all'applicazione e restituisce il payload all'utente.

Prerequisiti

Sono necessari i componenti seguenti:

  • Una sottoscrizione di Azure
  • Ruolo Amministrazione istrator dell'applicazione cloud o Amministrazione istrator dell'applicazione.
  • BIG-IP o distribuire big-IP Virtual Edition (VE) in Azure
  • Uno degli SKU di licenza F5 BIG-IP seguenti:
    • Bundle migliore F5 BIG-IP®
    • Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
    • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM)
    • Versione di valutazione completa delle funzionalità big-IP di 90 giorni. Vedi Versioni di valutazione gratuite.
  • Identità utente sincronizzate da una directory locale a Microsoft Entra ID
  • Un certificato SSL per pubblicare i servizi tramite HTTPS o usare i certificati predefiniti durante il test
    • Vedere Profilo SSL
  • Oracle EBS, Oracle AccessGate e un OID (Oracle Internet Database) abilitato per LDAP

Metodo di configurazione BIG-IP

Questa esercitazione usa il modello Di configurazione guidata v16.1 Easy Button. Con Easy Button, gli amministratori non tornano più indietro e indietro per abilitare i servizi per SHA. La configurazione guidata di APM e Microsoft Graph gestiscono la distribuzione e la gestione dei criteri. Questa integrazione garantisce che le applicazioni supportino la federazione delle identità, l'accesso SSO e l'accesso condizionale, riducendo così il sovraccarico amministrativo.

Nota

Sostituire stringhe o valori di esempio con quelli nell'ambiente in uso.

Registrare il pulsante Facile

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Prima che un client o un servizio accesa a Microsoft Graph, Microsoft Identity Platform deve considerarlo attendibile.

Altre informazioni: Guida introduttiva: Registrare un'applicazione con Microsoft Identity Platform

Creare una registrazione dell'app tenant per autorizzare l'accesso easy Button a Graph. Big-IP esegue il push delle configurazioni per stabilire un trust tra un'istanza di SAML SP per l'applicazione pubblicata e l'ID Microsoft Entra come ID SAML.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Applicazioni> di identità>Registrazioni app> Nuova registrazione.

  3. Immettere un nome dell'applicazione. Ad esempio, F5 BIG-IP Easy Button.

  4. Specificare chi può usare solo gli account dell'applicazione >in questa directory organizzativa.

  5. Selezionare Registra.

  6. Passare a Autorizzazioni API.

  7. Autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Concedere il consenso amministratore per l'organizzazione.

  9. Passare a Certificati e segreti.

  10. Generare un nuovo segreto client. Prendere nota del segreto client.

  11. Passare a Panoramica. Prendere nota dell'ID client e dell'ID tenant.

Configurare il pulsante Easy

  1. Avviare la configurazione guidata di APM.

  2. Avviare il modello Easy Button .

  3. Passare a Access Guided Configuration > Microsoft Integration ( Configurazione guidata di Microsoft > Integration).

  4. Selezionare Applicazione Microsoft Entra.

  5. Esaminare le opzioni di configurazione.

  6. Selezionare Avanti.

  7. Usare l'immagine per pubblicare l'applicazione.

    Screenshot dell'immagine che indica le aree di configurazione.

Configuration Properties

La scheda Proprietà di configurazione crea una configurazione dell'applicazione BIG-IP e un oggetto SSO. La sezione Dettagli account servizio di Azure rappresenta il client registrato nel tenant di Microsoft Entra, come applicazione. Con queste impostazioni, un client OAuth BIG-IP registra un provider di servizi SAML nel tenant con le proprietà SSO. Easy Button esegue questa azione per i servizi BIG-IP pubblicati e abilitati per SHA.

Per ridurre il tempo e il lavoro, riutilizzare le impostazioni globali per pubblicare altre applicazioni.

  1. Immettere un nome di configurazione.

  2. Per Single Sign-On (SSO) & HTTP Headers (Intestazioni HTTP) selezionare .

  3. Per ID tenant, ID client e Segreto client immettere gli elementi annotati durante la registrazione client di Easy Button.

  4. Verificare che BIG-IP si connetta al tenant.

  5. Selezionare Avanti.

    Screenshot dell'input nella finestra di dialogo Proprietà di configurazione.

Provider di Servizi

Usare le impostazioni del provider di servizi per le proprietà dell'istanza di SAML SP dell'applicazione protetta.

  1. In Host immettere il nome di dominio completo pubblico dell'applicazione.

  2. Per Entity ID (ID entità) immettere l'identificatore usato da Microsoft Entra ID per SAML SP che richiede un token.

    Screenshot per l'input e le opzioni del provider di servizi.

  3. (Facoltativo) In Sicurezza Impostazioni selezionare o deselezionare l'opzione Abilita asserzione crittografata. La crittografia delle asserzioni tra Microsoft Entra ID e BIG-IP APM significa che i token di contenuto non possono essere intercettati, né dati personali o aziendali compromessi.

  4. Nell'elenco Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare Create New (Crea nuova)

    Screenshot delle opzioni Create New nell'elenco a discesa Assertion Decryption Private Key (Chiave privata di decrittografia asserzione).

  5. Seleziona OK.

  6. La finestra di dialogo Importa certificato SSL e chiavi viene visualizzata in una nuova scheda.

  7. Selezionare PKCS 12 (IIS).Select PKCS 12 (IIS).

  8. Il certificato e la chiave privata vengono importati.

  9. Chiudere la scheda del browser per tornare alla scheda principale.

    Screenshot dell'input per Tipo di importazione, Certificato e Nome chiave e Password.

  10. Selezionare Abilita asserzione crittografata.

  11. Per la crittografia abilitata, nell'elenco Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare la chiave privata del certificato usata da BIG-IP APM per decrittografare le asserzioni Microsoft Entra.

  12. Per la crittografia abilitata, dall'elenco Certificato di decrittografia asserzione selezionare i caricamenti BIG-IP del certificato in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

    Screenshot dei certificati selezionati per la chiave privata di decrittografia asserzione e il certificato di decrittografia dell'asserzione.

Microsoft Entra ID

Easy Button include modelli di applicazione per Oracle Persone Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e un modello SHA generico. Lo screenshot seguente è l'opzione Oracle E-Business Suite in Configurazione di Azure.

  1. Selezionare Oracle E-Business Suite.
  2. Selezionare Aggiungi.

Configurazione di Azure

  1. Immettere un nome visualizzato per l'app BIG-IP creato nel tenant di Microsoft Entra e l'icona in MyApps.

  2. In URL di accesso (facoltativo) immettere il nome di dominio completo pubblico dell'applicazione EBS.

  3. Immettere il percorso predefinito per la home page di Oracle EBS.

  4. Accanto alla chiave di firma e al certificato di firma selezionare l'icona di aggiornamento.

  5. Individuare il certificato importato.

  6. In Passphrase chiave di firma immettere la password del certificato.

  7. (Facoltativo) Abilitare l'opzione di firma. Questa opzione garantisce che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.

    Screenshot delle opzioni e delle voci per chiave di firma, certificato di firma e passphrase della chiave di firma.

  8. Per Utenti e gruppi di utenti aggiungere un utente o un gruppo per il test; in caso contrario, viene negato tutto l'accesso. Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra e autorizzano l'accesso all'applicazione.

    Screenshot dell'opzione Aggiungi in Utenti e gruppi di utenti.

Attributi utente e attestazioni

Quando un utente esegue l'autenticazione, Microsoft Entra ID rilascia un token SAML con attestazioni e attributi predefiniti che identificano l'utente. La scheda Attributi utente e attestazioni ha attestazioni predefinite da rilasciare per la nuova applicazione. Usare questa area per configurare più attestazioni. Se necessario, aggiungere attributi di Microsoft Entra, ma lo scenario Oracle EBS richiede gli attributi predefiniti.

Screenshot delle opzioni e delle voci per attributi utente e attestazioni.

Attributi utente aggiuntivi

La scheda Attributi utente aggiuntivi supporta sistemi distribuiti che richiedono attributi archiviati nelle directory per l'aumento della sessione. Gli attributi recuperati da un'origine LDAP vengono inseriti come più intestazioni SSO per controllare l'accesso in base a ruoli, ID partner e così via.

  1. Abilitare l'opzione Avanzate Impostazioni.

  2. Selezionare la casella di controllo Attributi LDAP.

  3. In Scegli server di autenticazione selezionare Crea nuovo.

  4. A seconda dell'installazione, selezionare Usa la modalità di connessione del pool o del server diretto per l'indirizzo del server del servizio LDAP di destinazione. Per un singolo server LDAP selezionare Direct.

  5. Per Porta servizio immettere 3060 (impostazione predefinita), 3161 (sicuro) o un'altra porta per il servizio ORACLE LDAP.

  6. Immettere un DN di ricerca di base. Usare il nome distinto (DN) per cercare i gruppi in una directory.

  7. Per Amministrazione DN, immettere il nome distinto dell'account usato da APM per autenticare le query LDAP.

  8. Per Amministrazione Password immettere la password.

    Screenshot delle opzioni e delle voci per Attributi utente aggiuntivi.

  9. Lasciare gli attributi dello schema LDAP predefiniti.

    Screenshot per gli attributi dello schema LDAP

  10. In Proprietà query LDAP, per Cerca Dn immettere il nodo di base del server LDAP per la ricerca di oggetti utente.

  11. Per Attributi obbligatori immettere il nome dell'attributo dell'oggetto utente da restituire dalla directory LDAP. Per EBS, il valore predefinito è orclguid.

    Screenshot delle voci e delle opzioni per le proprietà di query LDAP

Criteri di accesso condizionale

I criteri di accesso condizionale controllano l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio. I criteri vengono applicati dopo la preautenticazione di Microsoft Entra. La visualizzazione Criteri disponibili include criteri di accesso condizionale senza azioni dell'utente. La visualizzazione Criteri selezionati include criteri per le app cloud. Non è possibile deselezionare questi criteri o spostarli in Criteri disponibili perché vengono applicati a livello di tenant.

Per selezionare un criterio per la pubblicazione dell'applicazione:

  1. In Criteri disponibili selezionare un criterio.

  2. Selezionare la freccia destra.

  3. Spostare il criterio in Criteri selezionati.

    Nota

    L'opzione Includi o Escludi è selezionata per alcuni criteri. Se vengono selezionate entrambe le opzioni, il criterio viene annullato.

    Screenshot dell'opzione Escludi selezionata per quattro criteri.

    Nota

    Selezionare la scheda Criteri di accesso condizionale e viene visualizzato l'elenco dei criteri. Selezionare Aggiorna e la procedura guidata esegue query sul tenant. Viene visualizzato l'aggiornamento per le applicazioni distribuite.

Proprietà del server virtuale

Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale in ascolto delle richieste client dell'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale. Il traffico viene quindi indirizzato in base ai criteri.

  1. Immettere un indirizzo di destinazione, un indirizzo IPv4 o IPv6 usato da BIG-IP per ricevere il traffico client. Assicurarsi che un record corrispondente in DNS che consenta ai client di risolvere l'URL esterno dell'applicazione pubblicata big-IP nell'indirizzo IP. Usare un DNS localhost del computer di test per il test.

  2. Per Porta del servizio immettere 443 e selezionare HTTPS.

  3. Selezionare Abilita porta di reindirizzamento.

  4. Per Porta di reindirizzamento immettere 80 e selezionare HTTP. Questa azione reindirizza il traffico client HTTP in ingresso a HTTPS.

  5. Selezionare il profilo SSL client creato oppure lasciare l'impostazione predefinita per i test. Il profilo SSL client abilita il server virtuale per HTTPS. Le connessioni client vengono crittografate tramite TLS.

    Screenshot delle opzioni e delle selezioni per Le proprietà del server virtuale.

Proprietà pool

La scheda Pool di applicazioni include servizi dietro un BIG-IP, un pool con uno o più server applicazioni.

  1. In Selezionare un pool selezionare Crea nuovo o selezionare un'altra opzione.

  2. Per Metodo di bilanciamento del carico selezionare Round Robin.

  3. In Server del pool selezionare e immettere un indirizzo IP/nome nodo e una porta per i server che ospitano Oracle EBS.

  4. selezionare HTTPS.

    Screenshot delle opzioni e delle selezioni per Proprietà pool

  5. In Access Gate Pool (Pool di gate di accesso) confermare il percorso secondario di Access Gate.

  6. Per Server del pool selezionare e immettere un indirizzo IP/nome nodo e una porta per i server che ospitano Oracle EBS.

  7. selezionare HTTPS.

    Screenshot delle opzioni e delle voci per il pool di gate di accesso.

Intestazioni Single Sign-On e HTTP

La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO alle applicazioni pubblicate. L'applicazione Oracle EBS prevede intestazioni, quindi abilitare le intestazioni HTTP.

  1. In Intestazioni SINGLE Sign-On e HTTP selezionare Intestazioni HTTP.

  2. Per Operazione intestazione selezionare Sostituisci.

  3. In Nome intestazione immettere U edizione Standard R_NAME.

  4. In Valore intestazione immettere %{session.sso.token.last.username}.

  5. Per Operazione intestazione selezionare Sostituisci.

  6. In Nome intestazione immettere U edizione Standard R_ORCLGUID.

  7. In Valore intestazione immettere %{session.ldap.last.attr.orclguid}.

    Screenshot delle voci e delle selezioni per l'operazione di intestazione, il nome dell'intestazione e il valore dell'intestazione.

    Nota

    Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole.

Gestione delle sessioni

Usare Gestione sessione BIG-IP per definire le condizioni per la terminazione o la continuazione della sessione utente.

Per altre informazioni, vedere support.f5.com per K18390492: Sicurezza | Guida operativa di BIG-IP APM

La funzionalità SLO (Single Log Out) garantisce sessioni tra IdP, BIG-IP e l'agente utente, terminano quando gli utenti si disconnetteno. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola l'URL di disconnessione con l'endpoint SLO di APM. Di conseguenza, la disconnessa avviata da IdP, dal portale di App personali, termina la sessione tra BIG-IP e un client.

Vedere Microsoft App personali

I metadati della federazione SAML per l'applicazione pubblicata vengono importati dal tenant. Questa azione fornisce a APM l'endpoint di disconnesso SAML per Microsoft Entra ID. Quindi, la disconnessa avviata da SP termina il client e la sessione di Microsoft Entra. Assicurarsi che APM sappia quando un utente si disconnette.

Se si usa il portale Webtop BIG-IP per accedere alle applicazioni pubblicate, APM elabora una disconnessa per chiamare l'endpoint di disconnesso Microsoft Entra. Se non si usa il portale Webtop BIG-IP, l'utente non può indicare a APM di disconnettersi. Se l'utente si disconnette dall'applicazione, BIG-IP è oblivioso all'azione. Assicurarsi che la disconnessione avviata da SP attivi la terminazione sicura delle sessioni. Aggiungere una funzione SLO alle applicazioni Pulsante Disconnetti per reindirizzare il client all'endpoint di disconnessione SAML o BIG-IP di Microsoft Entra. Trovare l'URL dell'endpoint di disconnessione SAML per il tenant in Endpoint registrazioni >app.

Se non è possibile modificare l'app, chiedere a BIG-IP di restare in ascolto della chiamata di disconnessione dell'applicazione e quindi attivare SLO.

Altre informazioni:

Distribuzione

  1. Selezionare Distribuisci per eseguire il commit delle impostazioni.
  2. Verificare che l'applicazione venga visualizzata nell'elenco delle applicazioni aziendali tenant.

  Test

  1. Da un browser connettersi all'URL esterno dell'applicazione Oracle EBS oppure selezionare l'icona dell'applicazione nella App personali.
  2. Eseguire l'autenticazione in Microsoft Entra ID.
  3. Si viene reindirizzati al server virtuale BIG-IP per l'applicazione e si è connessi tramite SSO.

Per una maggiore sicurezza, bloccare l'accesso diretto alle applicazioni, applicando così un percorso tramite BIG-IP.

Distribuzione avanzata

In alcuni casi, i modelli di configurazione guidata non dispongono di flessibilità per i requisiti.

Altre informazioni: Esercitazione: Configurare Access Policy Manager di F5 BIG-IP per l'accesso SSO basato su intestazione.

Modificare manualmente le configurazioni

In alternativa, in BIG-IP disabilitare la modalità di gestione strict della configurazione guidata per modificare manualmente le configurazioni. I modelli della procedura guidata automatizzano la maggior parte delle configurazioni.

  1. Passare a Configurazione guidata di accesso>.

  2. Nella parte destra della riga per la configurazione dell'applicazione selezionare l'icona a forma di lucchetto .

    Screenshot dell'icona del lucchetto

Dopo aver disabilitato la modalità strict, non è possibile apportare modifiche con la procedura guidata. Tuttavia, gli oggetti BIG-IP associati all'istanza dell'app pubblicata vengono sbloccati per la gestione.

Nota

Se si abilita nuovamente la modalità strict, le nuove configurazioni sovrascrivono le impostazioni eseguite senza la configurazione guidata. È consigliabile usare il metodo di configurazione avanzato per i servizi di produzione.

Risoluzione dei problemi

Usare le istruzioni seguenti per risolvere i problemi.

Aumentare il livello di dettaglio del log

Usare la registrazione BIG-IP per isolare i problemi di connettività, SSO, violazioni dei criteri o mapping di variabili non configurati correttamente. Aumentare il livello di dettaglio del log.

  1. Passare a Log eventi di Panoramica > dei > criteri di accesso.
  2. Seleziona Impostazioni.
  3. Selezionare la riga per l'applicazione pubblicata.
  4. Selezionare Modifica > log di sistema di accesso.
  5. Nell'elenco SSO selezionare Debug.
  6. Seleziona OK.
  7. Riprodurre il problema.
  8. Esaminare i log.

Ripristinare le modifiche alle impostazioni perché la modalità dettagliata genera dati eccessivi.

Messaggio di errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, il problema potrebbe riguardare Microsoft Entra ID e BIG-IP SSO.

  1. Passare a **Panoramica dell'accesso > .
  2. Selezionare Accedi ai report.
  3. Eseguire il report per l'ultima ora.
  4. Esaminare i log per individuare gli indizi.

Usare il collegamento Visualizza sessione per la sessione per confermare che APM riceve le attestazioni di Microsoft Entra previste.

Nessun messaggio di errore BIG-IP

Se non viene visualizzata alcuna pagina di errore BIG-IP, il problema potrebbe riguardare la richiesta back-end o BIG-IP e l'accesso SSO dell'applicazione.

  1. Passare a Panoramica dei criteri> di accesso.
  2. Selezionare Sessioni attive.
  3. Selezionare il collegamento per la sessione attiva.

Usare il collegamento Visualizza variabili per analizzare i problemi relativi all'accesso Single Sign-On, in particolare se big-IP APM non ottiene gli attributi corretti da Microsoft Entra ID o da un'altra origine.

Altre informazioni:

Convalidare l'account del servizio APM

Usare il comando bash shell seguente per convalidare l'account del servizio APM per le query LDAP. Il comando esegue l'autenticazione ed esegue query sugli oggetti utente.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Altre informazioni: