Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso Single Sign-On a Oracle JDE

Questa esercitazione descrive come proteggere Oracle JD Edwards (JDE) usando Microsoft Entra ID, con la configurazione guidata F5 BIG-IP Easy Button.

Integrare BIG-IP con Microsoft Entra ID per molti vantaggi:

• Miglioramento della governance zero trust tramite la preautenticazione e l'accesso condizionale di Microsoft Entra
  • Vedere Framework Zero Trust per abilitare il lavoro remoto
  • Vedere Che cos'è l'accesso condizionale?
• Single Sign-On (SSO) tra i servizi pubblicati da Microsoft Entra ID e BIG-IP
• Gestire le identità e l'accesso dall'interfaccia di amministrazione di Microsoft Entra

Altre informazioni:

• Integrare F5 BIG-IP con Microsoft Entra ID
• Abilitare l'accesso Single Sign-On per un'applicazione aziendale

Descrizione dello scenario

Questa esercitazione usa l'applicazione Oracle JDE usando le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto.

Le applicazioni legacy non dispongono di protocolli moderni per supportare l'integrazione di Microsoft Entra. La modernizzazione è costosa, richiede la pianificazione e introduce potenziali rischi di inattività. Usare invece F5 BIG-IP Application Delivery Controller (ADC) per colmare il divario tra le applicazioni legacy e il controllo ID moderno, con la transizione del protocollo.

Con un BIG-IP davanti all'app, si sovrappone il servizio con Microsoft Entra preautenticazione e SSO basato su intestazione. Questa azione migliora il comportamento di sicurezza dell'applicazione.

Architettura dello scenario

La soluzione SHA per questo scenario è costituita da diversi componenti:

• Applicazione Oracle JDE - Servizio pubblicato big-IP protetto da Microsoft Entra SHA
• Microsoft Entra ID - Provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAM per BIG-IP
  • Con SSO, Microsoft Entra ID fornisce attributi di sessione per BIG-IP
• BIG-IP : proxy inverso e provider di servizi SAML (SP) all'applicazione
  • BIG-IP delega l'autenticazione al provider di identità SAML, quindi esegue l'accesso SSO basato su intestazione al servizio Oracle

In questa esercitazione SHA supporta i flussi avviati da SP e IdP. Il diagramma seguente illustra il flusso avviato da SP.

1. L'utente si connette all'endpoint applicazione (BIG-IP).
2. I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (SAML IdP).
3. Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale.
4. L'utente viene reindirizzato a BIG-IP (SAML SP). L'accesso Single Sign-On si verifica usando il token SAML rilasciato.
5. BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta dell'applicazione.
6. L'applicazione autorizza la richiesta e restituisce il payload.

Prerequisiti

• Un account Microsoft Entra ID Gratuito o superiore
  • Se non si ha un account gratuito di Azure, ottenere un account gratuito di Azure
• BIG-IP o BIG-IP Virtual Edition (VE) in Azure
  • Vedere Distribuire la macchina virtuale F5 BIG-IP Virtual Edition in Azure
• Una delle licenze F5 BIG-IP seguenti:
  • Bundle migliore F5 BIG-IP®
  • Licenza autonoma F5 BIG-IP APM
  • Licenza del componente aggiuntivo F5 BIG-IP APM in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM) esistente
  • Licenza di valutazione completa di 90 giorni per BIG-IP
• Identità utente sincronizzate da una directory locale a Microsoft Entra ID o create in Microsoft Entra ID e restituite alla directory locale
  • Vedere Microsoft Entra Connessione Sync: Informazioni e personalizzazione della sincronizzazione
• Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator
• Un certificato Web SSL per pubblicare i servizi tramite HTTPS o usare certificati BIG-IP predefiniti per il test
  • Vedere Distribuire la macchina virtuale F5 BIG-IP Virtual Edition in Azure
• Un ambiente Oracle JDE

Configurazione BIG-IP

Questa esercitazione usa la configurazione guidata 16.1 con un modello easy button. Con Easy Button, gli amministratori non passano tra Microsoft Entra ID e BIG-IP per abilitare i servizi per SHA. La configurazione guidata di APM e Microsoft Graph gestiscono la distribuzione e la gestione dei criteri. L'integrazione garantisce che le applicazioni supportino la federazione delle identità, l'accesso SSO e l'accesso condizionale.

Nota

Sostituire stringhe o valori di esempio in questa esercitazione con quelli nell'ambiente in uso.

Registrare il pulsante Facile

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Prima che un client o un servizio accesa a Microsoft Graph, Microsoft Identity Platform deve considerarlo attendibile.

Altre informazioni: Guida introduttiva: Registrare un'applicazione con Microsoft Identity Platform

Le istruzioni seguenti consentono di creare una registrazione dell'app tenant per autorizzare l'accesso Easy Button a Graph. Con queste autorizzazioni, BIG-IP esegue il push delle configurazioni per stabilire un trust tra un'istanza di SAML SP per l'applicazione pubblicata e l'ID Microsoft Entra come ID SAML.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

2. Passare a Applicazioni> di identità>Registrazioni app> Nuova registrazione.

3. Immettere un nome dell'applicazione.

4. Solo per Account in questa directory organizzativa, specificare chi usa l'applicazione.

5. Selezionare Registra.

6. Passare a Autorizzazioni API.

7. Autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Concedere il consenso dell'amministratore all'organizzazione.

9. Passare a Certificati e segreti.

10. Generare un nuovo segreto client e annotarlo.

11. Passare a Panoramica e prendere nota dell'ID client e dell'ID tenant

Configurare il pulsante Easy

1. Avviare la configurazione guidata di APM.

2. Avviare il modello Easy Button.

3. Passare a Configurazione guidata di accesso>.

4. Selezionare Integrazione Microsoft.

5. Selezionare Applicazione Microsoft Entra.

6. Esaminare la sequenza di configurazione.

7. Selezionare Avanti.

8. Seguire la sequenza di configurazione.

   

Configuration Properties

Usare la scheda Proprietà di configurazione per creare nuove configurazioni dell'applicazione e oggetti SSO. La sezione Dettagli account servizio di Azure rappresenta il client registrato nel tenant di Microsoft Entra, come applicazione. Usare le impostazioni per il client OAuth BIG-IP per registrare un provider di servizi SAML nel tenant con le proprietà SSO. Easy Button esegue questa azione per i servizi BIG-IP pubblicati e abilitati per SHA.

Nota

Alcune delle impostazioni seguenti sono globali. È possibile riutilizzarli per pubblicare più applicazioni.

1. Per Single Sign-On (SSO) e intestazioni HTTP selezionare Sì.

2. Immettere l'ID tenant, l'ID client e il segreto client annotati.

3. Verificare che big-IP si connetta al tenant.

4. Selezionare Avanti.

   

Provider di Servizi

Le impostazioni del provider di servizi definiscono le proprietà per l'istanza SAML SP dell'applicazione protetta tramite SHA.

1. Per Host immettere l'FQDN pubblico dell'applicazione protetta.

2. Per ENTITY ID (ID entità) immettere l'identificatore usato dall'ID Microsoft Entra per identificare il provider di servizi SAML che richiede un token.

   

3. (Facoltativo) Per Sicurezza Impostazioni, indicare che Microsoft Entra ID crittografa le asserzioni SAML rilasciate. Questa opzione aumenta la certezza che i token di contenuto non vengano intercettati, né i dati compromessi.

4. Nell'elenco Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare Create New (Crea nuovo).

   

5. Seleziona OK.

6. La finestra di dialogo Importa certificato SSL e chiavi viene visualizzata in una nuova scheda.

7. Per Tipo di importazione selezionare PKCS 12 (IIS). Questa opzione importa il certificato e la chiave privata.

8. Chiudere la scheda del browser per tornare alla scheda principale.

   

9. Per Enable Encrypted Assertion (Abilita asserzione crittografata) selezionare la casella .

10. Se è stata abilitata la crittografia, nell'elenco Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare il certificato. Questa chiave privata è per il certificato usato da BIG-IP APM per decrittografare le asserzioni Microsoft Entra.

11. Se è stata abilitata la crittografia, nell'elenco Certificato di decrittografia asserzione selezionare il certificato. BIG-IP carica questo certificato in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

Microsoft Entra ID

Easy Button include modelli per Oracle Persone Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e un modello SHA generico.

1. Selezionare JD Edwards Protected by F5 BIG-IP ( JD Edwards Protected by F5 BIG-IP).
2. Selezionare Aggiungi.

Configurazione di Azure

1. Immettere Nome visualizzato per l'app BIG-IP creato nel tenant. Il nome viene visualizzato su un'icona in App personali.

2. (Facoltativo) Per URL di accesso immettere il nome di dominio completo pubblico dell'applicazione Persone Soft.

3. Accanto alla chiave di firma e al certificato di firma selezionare Aggiorna. Questa azione individua il certificato importato.

4. Per Passphrase chiave di firma immettere la password del certificato.

5. (Facoltativo) Per Opzione di firma selezionare un'opzione. Questa selezione garantisce che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.

   

6. Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra.

7. Aggiungere un utente o un gruppo per il test; in caso contrario, l'accesso viene negato.

   

Attributi utente e attestazioni

Quando un utente esegue l'autenticazione, Microsoft Entra ID rilascia un token SAML con attestazioni e attributi predefiniti che identificano l'utente. La scheda Attributi utente e attestazioni ha attestazioni predefinite da rilasciare per la nuova applicazione. Usarlo per configurare più attestazioni.

Se necessario, includere altri attributi di Microsoft Entra. Lo scenario Oracle JDE richiede attributi predefiniti.

Attributi utente aggiuntivi

La scheda Attributi utente aggiuntivi supporta sistemi distribuiti che richiedono attributi vengono archiviati in altre directory per l'aumento della sessione. Gli attributi di un'origine LDAP vengono inseriti come più intestazioni SSO per controllare l'accesso in base a ruoli, ID partner e così via.

Nota

Questa funzionalità non ha alcuna correlazione con Microsoft Entra ID; è un'altra origine attributo.

Criteri di accesso condizionale

I criteri di accesso condizionale vengono applicati dopo la preautenticazione di Microsoft Entra per controllare l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio. La visualizzazione Criteri disponibili include criteri di accesso condizionale senza azioni dell'utente. La visualizzazione Criteri selezionati include criteri destinati alle app cloud. Non è possibile deselezionare o spostare questi criteri nell'elenco Criteri disponibili perché vengono applicati a livello di tenant.

Selezionare un criterio per l'applicazione.

1. Nell'elenco Criteri disponibili selezionare un criterio.
2. Selezionare la freccia destra e spostare il criterio in Criteri selezionati.

Per i criteri selezionati è selezionata l'opzione Includi o Escludi . Se vengono selezionate entrambe le opzioni, il criterio non viene applicato.

Nota

L'elenco dei criteri viene visualizzato una sola volta, quando si seleziona la scheda . Usare Aggiorna per la procedura guidata per eseguire query sul tenant. Questa opzione viene visualizzata dopo la distribuzione dell'applicazione.

Proprietà del server virtuale

Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale. Il server è in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM del server virtuale. Il traffico viene quindi indirizzato in base ai criteri.

1. Per Indirizzo di destinazione immettere l'indirizzo IPv4 o IPv6 usato da BIG-IP per ricevere il traffico client. Viene visualizzato un record corrispondente in DNS, che consente ai client di risolvere l'URL esterno dell'applicazione pubblicata nell'INDIRIZZO IP. Usare un DNS localhost del computer di test per il test.

2. Per Porta del servizio immettere 443 e selezionare HTTPS.

3. Per Abilita porta di reindirizzamento selezionare la casella.

4. Per Porta di reindirizzamento immettere 80 e selezionare HTTP. Questa opzione reindirizza il traffico client HTTP in ingresso a HTTPS.

5. In Client SSL Profile (Profilo SSL client) selezionare Use Existing (Usa esistente).

6. In Comune selezionare l'opzione creata. Se si esegue il test, lasciare l'impostazione predefinita. Il profilo SSL client abilita il server virtuale per HTTPS, quindi le connessioni client vengono crittografate tramite TLS.

   

Proprietà pool

La scheda Pool di applicazioni include servizi dietro un BIG-IP, rappresentato come pool con server applicazioni.

1. Per Selezionare un pool selezionare Crea nuovo o selezionare uno.

2. Per Metodo di bilanciamento del carico selezionare Round Robin.

3. Per Server del pool, in Indirizzo IP/Nome nodo selezionare un nodo oppure immettere un indirizzo IP e una porta per i server che ospitano l'applicazione Oracle JDE.

   

Intestazioni Single Sign-On e HTTP

La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO alle applicazioni pubblicate. L'applicazione Persone Soft prevede intestazioni.

1. Per Intestazioni HTTP selezionare la casella .

2. Per Operazione intestazione selezionare Sostituisci.

3. In Nome intestazione immettere JDE_SSO_UID.

4. In Valore intestazione immettere %{session.sso.token.last.username}.

   

   Nota

   Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. Ad esempio, se si immette OrclGUID e il nome dell'attributo è oclguid, il mapping degli attributi ha esito negativo.

Gestione delle sessioni

Usare le impostazioni di gestione delle sessioni BIG-IP per definire le condizioni per la terminazione o la continuazione delle sessioni utente. Impostare i limiti per utenti e indirizzi IP e le informazioni utente corrispondenti.

Per altre informazioni, vedere support.f5.com per K18390492: Sicurezza | Guida operativa di BIG-IP APM

Non trattato nella guida operativa è una funzionalità SLO (Single Log Out), che garantisce che le sessioni idP, BIG-IP e agente utente terminino quando gli utenti si disconnetteno. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola l'URL di disconnessione con l'endpoint SLO di APM. La disconnessa avviata da IdP da App personali termina le sessioni BIG-IP e client.

I dati di federazione SAML dell'applicazione pubblicata sono importati dal tenant. Questa azione fornisce a APM l'endpoint di disconnesso SAML per Microsoft Entra ID, che garantisce che la disconnessazione avviata da SP termini le sessioni client e Microsoft Entra. APM deve sapere quando un utente si disconnette.

Quando il portale Webtop BIG-IP accede alle applicazioni pubblicate, APM elabora una disconnessa per chiamare l'endpoint di disconnesso Microsoft Entra. Se il portale webtop BIG-IP non viene usato, l'utente non può indicare a APM di disconnettersi. Se l'utente si disconnette dall'applicazione, BIG-IP è oblivioso. La disconnessione avviata da SP richiede la terminazione sicura della sessione. Aggiungere una funzione SLO al pulsante Disconnetti dell'applicazione per reindirizzare il client all'endpoint di disconnessione SAML o BIG-IP di Microsoft Entra. URL dell'endpoint di disconnessione SAML per il tenant in Endpoint registrazioni >app.

Se non è possibile modificare l'app, prendere in considerazione l'ascolto delle chiamate di disconnessione dell'applicazione big-IP e quindi attivare SLO.

Altre informazioni: Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso Single Sign-On a Oracle Persone Soft, Persone Soft Single Logout

Per altre informazioni, vedere support.f5.com per:

• K42052145: configurazione della terminazione automatica della sessione (disconnessione) in base a un nome di file a cui si fa riferimento URI
• K12056: Panoramica dell'opzione Includi URI disconnessione.

Distribuzione

1. Seleziona Distribuisci.
2. Verificare che l'applicazione sia nell'elenco tenant delle applicazioni aziendali.

Confermare la configurazione

1. Usando un browser, connettersi all'URL esterno dell'applicazione Oracle JDE o selezionare l'icona dell'applicazione in App personali.

2. Eseguire l'autenticazione in Microsoft Entra ID.

3. Si viene reindirizzati al server virtuale BIG-IP per l'applicazione ed è stato eseguito l'accesso con SSO.

   Nota

   È possibile bloccare l'accesso diretto all'applicazione, applicando così un percorso tramite BIG-IP.

Distribuzione avanzata

In alcuni casi, i modelli di configurazione guidata non hanno flessibilità.

Altre informazioni: Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'accesso SSO basato su intestazione

In alternativa, in BIG-IP disabilitare la modalità di gestione strict della configurazione guidata. È possibile modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni è automatizzata con i modelli di procedura guidata.

1. Passare a Configurazione guidata di accesso>.

2. Alla fine della riga selezionare il lucchetto.

   

Le modifiche apportate all'interfaccia utente della procedura guidata non sono possibili, ma gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione vengono sbloccati per la gestione.

Nota

Quando si riabilita la modalità strict e si distribuisce una configurazione, le impostazioni eseguite all'esterno della configurazione guidata vengono sovrascritte. È consigliabile eseguire una configurazione avanzata per i servizi di produzione.

Risoluzione dei problemi

Usare la registrazione BIG-IP per isolare i problemi di connettività, SSO, violazioni dei criteri o mapping di variabili non configurati correttamente.

Dettaglio log

1. Passare a Panoramica dei criteri> di accesso.
2. Selezionare Registri eventi.
3. Seleziona Impostazioni.
4. Selezionare la riga dell'applicazione pubblicata.
5. SelezionareModifica.
6. Selezionare Access System Logs (Accedi ai log di sistema)
7. Nell'elenco SSO selezionare Debug.
8. Seleziona OK.
9. Riprodurre il problema.
10. Esaminare i log.

Al termine, ripristinare questa funzionalità perché la modalità dettagliata genera molti dati.

Messaggio di errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, è possibile che il problema si riferisca a Microsoft Entra ID a BIG-IP SSO.

1. Passare a Panoramica di Accesso>.
2. Selezionare Accedi ai report.
3. Eseguire il report per l'ultima ora.
4. Esaminare i log per individuare gli indizi.

Usare il collegamento Visualizza sessione della sessione per verificare che APM riceva le attestazioni Microsoft Entra previste.

Nessun messaggio di errore BIG-IP

Se non viene visualizzato alcun messaggio di errore BIG-IP, il problema potrebbe essere correlato alla richiesta back-end o big-IP all'accesso SSO dell'applicazione.

1. Passare a Panoramica dei criteri> di accesso.
2. Selezionare Sessioni attive.
3. Selezionare il collegamento sessione attiva.

Usare il collegamento Visualizza variabili per determinare i problemi di SSO, in particolare se BIG-IP APM ottiene attributi non corretti dalle variabili di sessione.

Altre informazioni:

• Passare a devcentral.f5.com per assegnare esempi di variabile APM
• Passare a techdocs.f5.com per le variabili di sessione