Condividi tramite

Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso SSO a Oracle EBS

  • Articolo

Informazioni su come proteggere Oracle E-Business Suite (EBS) usando Microsoft Entra ID con la configurazione guidata F5 BIG-IP Easy Button. L'integrazione di un BIG-IP con Microsoft Entra ID offre molti vantaggi:

Altre informazioni:

Descrizione dello scenario

Questo scenario si riferisce alla classica applicazione Oracle EBS che utilizza le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto.

Le applicazioni legacy non dispongono di protocolli moderni per supportare l'integrazione di Microsoft Entra. La modernizzazione è costosa, richiede molto tempo e comporta un rischio di tempo di inattività. Usare invece un controller ADC F5 BIG-IP per colmare il divario tra l'applicazione legacy e il piano di controllo dell'ID moderno, tramite la transizione del protocollo.

Con un BIG-IP davanti all'applicazione, è possibile sovrapporre il servizio con la preautenticazione e l'accesso SSO basato su intestazione di Microsoft Entra. Questa configurazione migliora il comportamento di sicurezza delle applicazioni.

Architettura dello scenario

La soluzione di accesso ibrido sicuro (SHA) include i componenti seguenti:

  • Applicazione Oracle EBS: servizio pubblicato di BIG-IP da proteggere con SHA di Microsoft Entra
  • Microsoft Entra ID: Provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAML al BIG-IP
    • Con SSO, Microsoft Entra ID fornisce attributi di sessione BIG-IP
  • Oracle Internet Directory (OID): ospita il database utente
    • BIG-IP verifica gli attributi di autorizzazione con LDAP
  • Oracle E-Business Suite AccessGate: convalida gli attributi di autorizzazione con il servizio OID, quindi rilascia i cookie di accesso EBS
  • BIG-IP: provider di servizi SAML (SP) e proxy inverso per l'applicazione
    • L'autenticazione viene delegata all'IDP SAML, quindi si verifica l'accesso SSO basato su intestazione all'applicazione Oracle

L'accesso ibrido sicuro supporta i flussi avviati dal provider di servizi e dal provider di identità. Il diagramma seguente illustra il flusso avviato dal provider di servizi.

Diagramma dell'accesso ibrido sicuro, basato sul flusso avviato da SP.

  1. L'utente si connette all'endpoint applicazione (BIG-IP).
  2. Il criterio di accesso BIG-IP APM reindirizza l'utente a Microsoft Entra ID (provider di identità SAML).
  3. Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale.
  4. L'utente viene reindirizzato a BIG-IP (provider di servizi SAML) e l'accesso SSO viene eseguito usando il token SAML rilasciato.
  5. BIG-IP esegue una query LDAP per l'attributo ID univoco utente (UID).
  6. BIG-IP inserisce l'attributo UID restituito come intestazione user_orclguid nella richiesta di cookie di sessione di Oracle EBS a Oracle AccessGate.
  7. Oracle AccessGate convalida l'UID rispetto al servizio OID e genera un cookie di accesso a Oracle EBS.
  8. Intestazioni utente e cookie di Oracle EBS sono inviati all'applicazione e viene restituito il payload all'utente.

Prerequisiti

Sono necessari i componenti seguenti:

  • Una sottoscrizione di Azure.
  • Ruolo di amministratore applicazione cloud o amministratore dell'applicazione.
  • Un BIG-IP o distribuire un BIG-IP Virtual Edition (VE) in Azure
  • Uno degli SKU di licenza F5 BIG-IP seguenti:
    • Bundle F5 BIG-IP® Best
    • Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
    • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) su un'istanza di BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Versione di valutazione completa delle funzionalità BIG-IP di 90 giorni. Vedere Versioni di valutazione gratuite.
  • Identità utente sincronizzate da una directory locale a Microsoft Entra ID
  • Un certificato SSL per pubblicare i servizi tramite HTTPS o usare i certificati predefiniti durante i test
  • Oracle EBS, Oracle AccessGate e un OID (Oracle Internet Database) abilitato per LDAP

Metodo di configurazione BIG-IP

Questa esercitazione usa il modello di configurazione guidata v16.1 Easy Button. Con Easy Button, gli amministratori non devono più fare avanti e indietro per abilitare i servizi per l'agente integrità sistema. La configurazione guidata di APM e Microsoft Graph gestiscono la distribuzione e la gestione dei criteri. Questa integrazione garantisce che le applicazioni supportino la federazione delle identità, l'accesso SSO e l'accesso condizionale, riducendo così il sovraccarico amministrativo.

Nota

Sostituire le stringhe o i valori di esempio con quelli dell'ambiente in uso.

Registrare il Easy Button

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Prima che un client o un servizio possa accedere a Microsoft Graph, deve essere considerato attendibile da Microsoft Identity Platform.

Altre informazioni: Guida introduttiva: Registrare un'applicazione con Microsoft Identity Platform

Creare una registrazione dell'app tenant per autorizzare l'accesso Easy Button a Graph. BIG-IP esegue il push delle configurazioni per stabilire un’attendibilità tra un'istanza del provider di servizi SAML per l'applicazione pubblicata e Microsoft Entra ID come provider di identità SAML.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Andare a Identità>Applicazioni>Registrazioni app>Nuova registrazione.

  3. Immettere un Nome per l'applicazione. Ad esempio, F5 BIG-IP Easy Button.

  4. Specificare chi può usare l'applicazione>Solo gli account in questa directory dell’organizzazione.

  5. Selezionare Registra.

  6. Andare a Autorizzazioni API.

  7. Autorizzare le seguenti autorizzazioni dell'applicazione Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Concedere il consenso amministratore per l'organizzazione.

  9. Andare a Certificati e segreti.

  10. Generare un nuovo segreto client. Prendere nota del segreto client.

  11. Passare a Panoramica. Prendere nota dell'ID client e dell'ID tenant.

Configurare il Easy Button

  1. Avviare la configurazione guidata di APM.

  2. Avviare il modello Easy Button.

  3. Andare a Accesso > Configurazione guidata > Integrazione Microsoft.

  4. Selezionare Applicazione Microsoft Entra.

  5. Rivedere le opzioni di configurazione.

  6. Selezionare Avanti.

  7. Usare l'immagine per pubblicare l'applicazione.

    Screenshot dell'immagine che indica le aree di configurazione.

Configuration Properties

La scheda Proprietà di configurazione crea una configurazione dell'applicazione BIG-IP e un oggetto SSO. La sezioneDettagli account del servizio di Azure rappresenta il client registrato nel tenant di Microsoft Entra come applicazione. Con queste impostazioni, un client OAuth BIG-IP registra un provider di servizi SAML nel tenant con le proprietà SSO. Easy Button esegue questa azione per i servizi BIG-IP pubblicati e abilitati per SHA.

Per ridurre il tempo e il lavoro, riutilizzare le impostazioni globali per pubblicare altre applicazioni.

  1. Immettere un Nome configurazione.

  2. Per Single Sign-On (SSO) e intestazioni HTTP, selezionare .

  3. Per ID tenant, ID client e Segreto client, immettere gli elementi annotati durante la registrazione client di Easy Button.

  4. Verificare che BIG-IP si connetta al tenant.

  5. Selezionare Avanti.

    Screenshot dell'input nella finestra di dialogo Proprietà di configurazione.

Provider di Servizi

Usare le impostazioni del provider di servizi per le proprietà per l'istanza del provider di servizi SAML dell'applicazione protetta.

  1. In Host, immettere il nome FQDN pubblico dell'applicazione.

  2. Per ID entità, immettere l'identificatore usato da Microsoft Entra ID per il provider di servizi SAML che richiede un token.

    Screenshot che mostra l'input e le opzioni del provider di servizi.

  3. (Facoltativo) In Impostazioni di protezione, selezionare o deselezionare l'opzione Abilita asserzione crittografata. La crittografia delle asserzioni tra Microsoft Entra ID e BIG-IP APM significa che i token di contenuto non possono essere intercettati e che i dati personali o aziendali non possono essere compromessi.

  4. Nell'elenco Chiave privata di decrittografia asserzione, selezionare Crea nuova

    Screenshot delle opzioni Crea nuova nell'elenco a discesa dell'opzione Chiave privata di decrittografia asserzione.

  5. Seleziona OK.

  6. Viene visualizzata la finestra di dialogo Importa certificato SSL e chiavi in una nuova scheda.

  7. Selezionare PKCS 12 (IIS).

  8. Il certificato e la chiave privata vengono importati.

  9. Chiudere la scheda del browser per tornare alla scheda principale.

    Screenshot dell'input per Tipo di importazione, Certificato e nome chiave, e Password.

  10. Selezionare Abilita asserzione crittografata.

  11. Per la crittografia abilitata, nell'elenco Chiave privata di decrittografia asserzione, selezionare la chiave privata del certificato usata da BIG-IP APM per decrittografare le asserzioni Microsoft Entra.

  12. Per la crittografia abilitata, dall'elenco Certificato di decrittografia asserzione, selezionare il certificato che BIG-IP carica in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

    Screenshot dei certificati selezionati per la Chiave privata di decrittografia asserzione e il Certificato di decrittografia dell'asserzione.

Microsoft Entra ID

Easy Button include modelli di applicazione per Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e un modello SHA generico. Lo screenshot seguente mostra l'opzione Oracle E-Business Suite in Configurazione di Azure.

  1. Selezionare Oracle E-Business Suite.
  2. Selezionare Aggiungi.

Configurazione di Azure

  1. Immettere un Nome visualizzato per l'app che BIG-IP crea nel tenant di Microsoft Entra, e l'icona in App personali.

  2. In URL di accesso (facoltativo), immettere l'FQDN pubblico dell'applicazione EBS.

  3. Immettere il percorso predefinito per la home page di Oracle EBS.

  4. Accanto a Chiave di firma e Certificato di firma, selezionare l'icona aggiorna.

  5. Individuare il certificato importato.

  6. Immettere la password del certificato in Passphrase della chiave di firma.

  7. (Facoltativo) Abilitare Opzione di firma. Questa opzione garantisce che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.

    Screenshot delle opzioni e delle voci per Chiave di firma, Certificato di firma e Passphrase della chiave di firma.

  8. Per Utenti e gruppi di utenti, aggiungere un utente o un gruppo per il test; in caso contrario, viene negato tutto l'accesso. Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra e autorizzano l'accesso all'applicazione.

    Screenshot dell'opzione Aggiungi in Utenti e gruppi di utenti.

Attributi utente e attestazioni

Quando un utente esegue l'autenticazione, Microsoft Entra ID rilascia un token SAML con attestazioni e attributi predefiniti che identificano l'utente. La scheda Attributi utente e attestazioni contiene le attestazioni predefinite da rilasciare per la nuova applicazione. Usare quest'area per configurare più attestazioni. Se necessario, aggiungere attributi di Microsoft Entra; tuttavia, lo scenario Oracle EBS richiede gli attributi predefiniti.

Screenshot delle opzioni e delle voci per Attributi utente e attestazioni.

Attributi utente aggiuntivi

La scheda Attributi utente aggiuntivi supporta sistemi distribuiti che richiedono attributi archiviati nelle directory per l'aumento della sessione. Gli attributi recuperati da un'origine LDAP vengono inseriti come più intestazioni SSO per controllare l'accesso in base a ruoli, ID partner e così via.

  1. Abilitare l'opzione Impostazioni avanzate.

  2. Selezionare la casella di controllo Attributi LDAP.

  3. In Scegli server di autenticazione, selezionare Crea nuovo.

  4. A seconda della configurazione, selezionare la modalità di connessione del server Usa pool o Diretta per l'indirizzo del server del servizio LDAP di destinazione. Per un singolo server LDAP, selezionare Diretta.

  5. Per Porta del servizio, immettere 3060 (predefinita), 3161 (sicura), o un'altra porta per il servizio LDAP di Oracle.

  6. Immettere un DN di ricerca di base. Usare il nome distinto (DN) per cercare i gruppi in una directory.

  7. Per DN amministratore, immettere il nome distinto dell'account usato da APM per autenticare le query LDAP.

  8. Per Password amministratore, immettere la password.

    Screenshot delle opzioni e delle voci per Attributi utente aggiuntivi.

  9. Lasciare gli attributi dello schema LDAP predefiniti.

    Screenshot per gli attributi dello schema LDAP

  10. In Proprietà query LDAP, per Cerca DN immettere il nodo base del server LDAP per la ricerca di un oggetto utente.

  11. Per Attributi obbligatori, immettere il nome dell'attributo dell'oggetto utente che deve restituire la directory LDAP. Per EBS, il valore predefinito è orclguid.

    Screenshot delle voci e delle opzioni per le Proprietà query LDAP

Criteri di accesso condizionale

I criteri di accesso condizionale controllano l'accesso in base ai dispositivi, applicazioni, posizioni e segnali di rischio. I criteri vengono applicati dopo la preautenticazione di Microsoft Entra. La visualizzazione Criteri disponibili include criteri di accesso condizionale senza azioni dell'utente. La visualizzazione Criteri selezionati include criteri per le app cloud. Non è possibile deselezionare questi criteri o spostarli in Criteri disponibili perché vengono applicati a livello di tenant.

Per selezionare un criterio per la pubblicazione dell'applicazione:

  1. In Criteri disponibili, selezionare un criterio.

  2. Selezionare la freccia DESTRA.

  3. Spostare il criterio in Criteri selezionati.

    Nota

    L'opzione Includi o Escludi è selezionata per alcuni criteri. Se vengono selezionate entrambe le opzioni, il criterio non viene applicato.

    Screenshot dell'opzione Escludi selezionata per quattro criteri.

    Nota

    Selezionando la scheda Criteri di accesso condizionale, viene visualizzato l'elenco dei criteri. Selezionando Aggiorna, la procedura guidata esegue query sul tenant. Viene visualizzata l'opzione di aggiornamento per le applicazioni distribuite.

Proprietà del server virtuale

Un server virtuale è un oggetto del piano dati BIG-IP rappresentato da un indirizzo IP virtuale in attesa delle richieste client dell'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale. Quindi, il traffico viene indirizzato in base ai criteri.

  1. Immettere un Indirizzo di destinazione, un indirizzo IPv4 o IPv6 usato da BIG-IP per ricevere il traffico client. Assicurarsi di configurare un record corrispondente in DNS che consenta ai client di risolvere l'URL esterno dall'applicazione pubblicata di BIG-IP all'indirizzo IP. Usare un DNS localhost del computer di test per il test.

  2. Per Porta servizio, immettere 443 e selezionare HTTPS.

  3. Selezionare Abilita porta di reindirizzamento.

  4. Per Porta di reindirizzamento, immettere 80 e selezionare HTTP. Questa azione reindirizza il traffico client HTTP in ingresso a HTTPS.

  5. Selezionare il Profilo SSL client creato o lasciare l'impostazione predefinita per i test. Il profilo SSL client abilita il server virtuale per HTTPS. Le connessioni client vengono crittografate tramite TLS.

    Screenshot delle opzioni e delle selezioni per le Proprietà del server virtuale.

Proprietà del pool

La scheda Pool applicazioni include servizi dietro un BIG-IP, un pool con uno o più server applicazioni.

  1. Da Seleziona un pool, selezionare Crea nuovo o selezionare un'altra opzione.

  2. Per Metodo di bilanciamento del carico, selezionare Round robin.

  3. In Server del pool, selezionare e immettere un indirizzo IP/nome nodo e una Porta per i server che ospitano Oracle EBS.

  4. selezionare HTTPS.

    Screenshot delle opzioni e delle selezioni per Proprietà pool

  5. Under Pool gate di accesso, confermare il Sottopercorso del gate di accesso.

  6. Per Server pool, selezionare e immettere un Indirizzo IP/nome nodo e la Porta per i server di hosting di Oracle EBS.

  7. selezionare HTTPS.

    Screenshot delle opzioni e delle voci per Pool gate di accesso.

Intestazioni HTTP e Single Sign-On

La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO alle applicazioni pubblicate. L'applicazione Oracle EBS prevede intestazioni, pertanto abilitare le intestazioni HTTP.

  1. In Intestazioni HTTP e Single Sign-On, selezionare Intestazioni HTTP.

  2. Per Operazione intestazione, selezionare Sostituisci.

  3. In Nome intestazione, immettere USER_NAME.

  4. In Valore intestazione, immettere %{session.sso.token.last.username}.

  5. Per Operazione intestazione, selezionare Sostituisci.

  6. In Nome intestazione, immettere USER_ORCLGUID.

  7. Per Valore intestazione, immettere %{session.ldap.last.attr.orclguid}.

    Screenshot delle voci e delle selezioni per Operazione intestazione, Nome intestazione e Valore intestazione.

    Nota

    Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole.

Gestione delle sessioni

Usare Gestione sessione BIG-IP per definire le condizioni per la terminazione o la continuazione della sessione utente.

Per altre informazioni, vedere support.f5.com per K18390492: Sicurezza | Guida operativa di APM BIG-IP

La funzionalità SLO (Single Log-Out) garantisce che le sessioni tra IdP, BIG-IP e l'agente utente terminino quando gli utenti si disconnettono. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola l'URL di disconnessione con l'endpoint SLO di APM. Di conseguenza, la disconnessione avviata da IdP, dal portale App personali, termina la sessione tra BIG-IP e un client.

Vedere App personali di Microsoft

I metadati della federazione SAML per l'applicazione pubblicata vengono importati dal tenant. Questa azione fornisce ad APM l'endpoint di disconnesso SAML per Microsoft Entra ID. Quindi, la disconnessione avviata da SP termina il client e la sessione di Microsoft Entra. Assicurarsi che APM sappia quando un utente si disconnette.

Se si usa il portale webtop BIG-IP per accedere alle applicazioni pubblicate, APM elabora una disconnessione per chiamare l'endpoint di disconnessione di Microsoft Entra. Se non si usa il portale webtop BIG-IP, l'utente non può indicare ad APM di disconnettersi. Se l'utente si disconnette dall'applicazione, BIG-IP non considera l'azione. Assicurarsi che la disconnessione avviata da SP attivi la terminazione sicura delle sessioni. Aggiungere una funzione SLO al pulsante Disconnetti delle applicazioni per reindirizzare il client all'endpoint di disconnessione SAML o BIG-IP di Microsoft Entra. Trovare l'URL dell'endpoint di disconnessione SAML per il tenant in Registrazioni app > Endpoint.

Se non è possibile modificare l'app, fare in modo che BIG-IP resti in ascolto della chiamata di disconnessione dell'app e attivi la funzione SLO.

Altre informazioni:

Distribuzione

  1. Selezionare Distribuisci per eseguire il commit delle impostazioni.
  2. Verificare che l'applicazione venga visualizzata nell'elenco delle applicazioni aziendali tenant.

  Test

  1. Da un browser, connettersi all'URL esterno dell'applicazione Oracle EBS o selezionare l'icona dell'applicazione in App personali.
  2. Eseguire l'autenticazione in Microsoft Entra ID.
  3. Si viene reindirizzati al server virtuale BIG-IP per l'applicazione e viene effettuato l'accesso tramite SSO.

Per una maggiore sicurezza, bloccare l'accesso diretto all'applicazione, applicando un percorso tramite BIG-IP.

Distribuzione avanzata

In alcuni casi, i modelli di configurazione guidata non dispongono di flessibilità per i requisiti.

Altre informazioni: Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'accesso SSO basato su intestazione.

Modificare manualmente le configurazioni

In alternativa, in BIG-IP disabilitare la modalità di gestione strict della configurazione guidata per modificare manualmente le configurazioni. I modelli della procedura guidata automatizzano la maggior parte delle configurazioni.

  1. Andare ad Accesso > Configurazione guidata.

  2. Nella parte destra della riga per la configurazione dell'applicazione, selezionare l'icona a forma di lucchetto.

    Screenshot dell'icona a forma di lucchetto

Dopo aver disabilitato la modalità strict, non è possibile apportare modifiche con la procedura guidata. Tuttavia, gli oggetti BIG-IP associati all'istanza dell'app pubblicata vengono sbloccati per la gestione.

Nota

Se si abilita nuovamente la modalità strict, le nuove configurazioni sovrascrivono le impostazioni eseguite senza la configurazione guidata. È consigliabile usare il metodo di configurazione avanzato per i servizi di produzione.

Risoluzione dei problemi

Attenersi alle istruzioni seguenti per la risoluzione dei problemi.

Aumentare il livello di dettaglio del log

Usare la registrazione BIG-IP per isolare i problemi di connettività, SSO, violazioni dei criteri o mapping di variabili non configurati correttamente. Aumentare il livello di dettaglio del log.

  1. Andare a Criteri di accesso > Panoramica > Log eventi .
  2. Seleziona Impostazioni.
  3. Selezionare la riga dell'applicazione pubblicata.
  4. Selezionare Modifica > Log di sistema di accesso.
  5. Dall'elenco SSO, selezionare Debug.
  6. Seleziona OK.
  7. Riprodurre il problema.
  8. Esaminare i log.

Ripristinare le modifiche alle impostazioni, poiché la modalità dettagliata genera dati eccessivi.

Messaggio di errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, il problema potrebbe riguardare Microsoft Entra ID e l'accesso SSO BIG-IP.

  1. Andare ad **Accesso > Panoramica.
  2. Selezionare Report di accesso.
  3. Eseguire il report per l'ultima ora.
  4. Esaminare i log per individuare gli indizi.

Usare il collegamento Visualizza sessione per la sessione per confermare che APM riceva le attestazioni di Microsoft Entra previste.

Nessun messaggio di errore BIG-IP

Se non viene visualizzata nessuna pagina di errore BIG-IP, il problema potrebbe essere correlato alla richiesta back-end o all'accesso SSO all'applicazione e BIG-IP.

  1. Andare a Criteri di accesso > Panoramica.
  2. Selezionare Sessioni attive.
  3. Selezionare il collegamento per la sessione attiva.

Usare il collegamento Visualizza variabili per analizzare i problemi relativi all'accesso SSO, in particolare se APM di BIG-IP non ottiene gli attributi corretti da Microsoft Entra ID o da un'altra origine.

Altre informazioni:

Convalidare l'account del servizio APM

Usare il comando shell bash seguente per convalidare l'account del servizio APM per le query LDAP. Il comando esegue l'autenticazione ed esegue query sugli oggetti utente.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Altre informazioni: