Бөлісу құралы:


Руководство. Настройка простого входа F5 BIG-IP для единого входа в Oracle EBS

Узнайте, как защитить Oracle E-Business Suite (EBS) с помощью идентификатора Microsoft Entra с помощью F5 BIG-IP Easy Button Guided Configuration. Интеграция BIG-IP с идентификатором Microsoft Entra ID имеет множество преимуществ:

Подробнее:

Описание сценария

Этот сценарий охватывает классическое приложение Oracle EBS, использующее заголовки авторизации HTTP для управления доступом к защищенному содержимому.

Устаревшие приложения не имеют современных протоколов для поддержки интеграции Microsoft Entra. Модернизация является дорогостоящим, трудоемким и представляет риск простоя. Вместо этого используйте контроллер доставки приложений F5 BIG-IP (ADC), чтобы преодолеть разрыв между устаревшими приложениями и современной плоскости управления идентификаторами с переходом протокола.

Big-IP перед приложением включает наложение службы с предварительной проверку подлинности Microsoft Entra и единый вход на основе заголовков. Эта конфигурация улучшает состояние безопасности приложений.

Архитектура сценария

Решение для безопасного гибридного доступа (SHA) содержит следующие компоненты:

  • Приложение Oracle EBS — опубликованная служба BIG-IP для защиты microsoft Entra SHA
  • Идентификатор Microsoft Entra — поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход на основе SAML в BIG-IP
    • С помощью единого входа идентификатор Microsoft Entra ID предоставляет атрибуты сеанса BIG-IP
  • Oracle Internet Directory (OID) — размещает пользовательную базу данных
    • BIG-IP проверяет атрибуты авторизации с помощью LDAP
  • Oracle E-Business Suite AccessGate — проверяет атрибуты авторизации с помощью службы OID, а затем выдает файлы cookie доступа EBS
  • BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение
    • Проверка подлинности делегирована поставщику удостоверений SAML, а затем выполняется единый вход на основе заголовков в приложение Oracle.

SHA поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующей схеме показан поток, инициированный поставщиком службы.

Схема безопасного гибридного доступа на основе потока, инициированного поставщиком служб.

  1. Пользователь подключается к конечной точке приложения (BIG-IP).
  2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra предварительно выполняет проверку подлинности пользователей и применяет политики условного доступа.
  4. Пользователь перенаправляется на BIG-IP (SAML SP) и выполняется единый вход с помощью выданного токена SAML.
  5. BIG-IP выполняет запрос LDAP для атрибута UNIQUE ID (UID).
  6. BIG-IP внедряет возвращенный атрибут UID в виде заголовка user_orclguid в запросе файла cookie сеанса Oracle EBS к Oracle AccessGate.
  7. Oracle AccessGate проверяет uiD на основе службы OID и выдает файл cookie доступа Oracle EBS.
  8. Заголовки пользователей Oracle EBS и файлы cookie, отправленные в приложение, и возвращают полезные данные пользователю.

Необходимые условия

Вам потребуются следующие компоненты:

  • Подписка Azure
  • Роль администратора облачных приложений или администратора приложений.
  • BIG-IP или развертывание виртуального выпуска BIG-IP (VE) в Azure
  • Любой из следующих номеров SKU лицензии F5 BIG-IP:
    • Лучший пакет F5 BIG-IP®
    • Автономная лицензия F5 BIG-IP Access Manager™ (APM)
    • Надстройка F5 BIG-IP Access Policy Manager™ (APM) на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
    • 90-дневная пробная версия BIG-IP. См. бесплатные пробные версии.
  • Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra
  • SSL-сертификат для публикации служб по протоколу HTTPS или использования сертификатов по умолчанию во время тестирования
  • Oracle EBS, Oracle AccessGate и база данных Oracle Internet Database с поддержкой LDAP (OID)

Метод конфигурации BIG-IP

В этом руководстве используется шаблон "Простая кнопка" версии 16.1. С помощью кнопки Easy администраторы больше не идут назад и вперед, чтобы включить службы для SHA. Мастер интерактивной настройки APM и Microsoft Graph обрабатывают развертывание и управление политиками. Эта интеграция гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ, что снижает административные издержки.

Заметка

Замените примеры строк или значений этими строками в вашей среде.

Регистрация простой кнопки

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Прежде чем клиент или служба обращается к Microsoft Graph, платформа удостоверений Майкрософт должен доверять ему.

Дополнительные сведения: краткое руководство. Регистрация приложения с помощью платформа удостоверений Майкрософт

Создайте регистрацию приложения клиента, чтобы авторизовать доступ easy Button к Graph. BIG-IP отправляет конфигурации для установления доверия между экземпляром SAML SP для опубликованного приложения и идентификатором Microsoft Entra в качестве поставщика удостоверений SAML.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к регистрации приложений> удостоверений>Регистрация приложений> New.

  3. Введите имя приложения. Например, кнопка "Простой" F5 BIG-IP.

  4. Укажите, кто может использовать учетные записи приложений >только в этом каталоге организации.

  5. Выберите " Зарегистрировать".

  6. Перейдите к разрешениям API.

  7. Авторизуйте следующие разрешения приложения Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Предоставьте согласие администратора для вашей организации.

  9. Перейдите к сертификатам и секретам.

  10. Создайте новый секрет клиента. Запишите секрет клиента.

  11. Перейдите к обзору. Запишите идентификатор клиента и идентификатор клиента.

Настройка простой кнопки

  1. Инициируйте интерактивную конфигурацию APM.

  2. Запустите шаблон Easy Button.

  3. Перейдите к интеграции Microsoft с помощью интерактивной конфигурации>.>

  4. Выберите приложение Microsoft Entra.

  5. Просмотрите параметры конфигурации.

  6. Нажмите кнопку "Далее".

  7. Используйте графический элемент для публикации приложения.

    Снимок экрана: рисунок с областями конфигурации.

Свойства конфигурации

Вкладка "Свойства конфигурации" создает конфигурацию приложения BIG-IP и объект единого входа. Раздел сведений о учетной записи службы Azure представляет клиент, зарегистрированный в клиенте Microsoft Entra в качестве приложения. С помощью этих параметров клиент OAuth BIG-IP регистрирует samL SP в клиенте с помощью свойств единого входа. Easy Button делает это действие для служб BIG-IP, опубликованных и включенных для SHA.

Чтобы сократить время и усилия, повторно используйте глобальные параметры для публикации других приложений.

  1. Введите имя конфигурации.
  2. Для единого входа и заголовков HTTP нажмите кнопку "Вкл.".
  3. Для идентификатора клиента, идентификатора клиента и секрета клиента введите то, что вы указали во время регистрации клиента Easy Button.
  4. Подтвердите подключение BIG-IP к клиенту.
  5. Нажмите кнопку "Далее".

Поставщик услуг

Используйте параметры поставщика услуг для свойств экземпляра samL SP защищенного приложения.

  1. Для узла введите общедоступное полное доменное имя приложения.

  2. Для идентификатора сущности введите идентификатор Microsoft Entra ID, который используется для SAML SP, запрашивающего токен.

    Снимок экрана: входные и параметры поставщика услуг.

  3. (Необязательно) В параметрах безопасности выберите или снимите флажок "Включить зашифрованное утверждение ". Шифрование утверждений между идентификатором Microsoft Entra и APM BIG-IP означает, что маркеры содержимого не могут быть перехвачены, а также скомпрометированы личные или корпоративные данные.

  4. В списке закрытых ключей расшифровки утверждений нажмите кнопку "Создать".

    Снимок экрана: создание параметров в раскрывающемся списке

  5. Нажмите кнопку "ОК".

  6. Диалоговое окно импорта SSL-сертификата и ключей отображается на новой вкладке.

  7. Выберите PKCS 12 (IIS).

  8. Сертификат и закрытый ключ импортируются.

  9. Закройте вкладку браузера, чтобы вернуться на главную вкладку.

    Снимок экрана: входные данные для типа импорта, имени сертификата и ключа и пароля.

  10. Выберите "Включить зашифрованное утверждение".

  11. Для шифрования с включенным шифрованием в списке закрытых ключей утверждения выберите частный ключ СЕРТИФИКАТА BIG-IP APM, который используется для расшифровки утверждений Microsoft Entra.

  12. Для включения шифрования в списке сертификатов расшифровки утверждений выберите сертификат BIG-IP, отправленный в идентификатор Microsoft Entra, чтобы зашифровать выданные утверждения SAML.

    Снимок экрана: выбранные сертификаты для закрытого ключа расшифровки утверждения и сертификата расшифровки утверждения.

Идентификатор Microsoft Entra

Easy Button содержит шаблоны приложений для Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP и универсального шаблона SHA. На следующем снимка экрана показан параметр Oracle E-Business Suite в разделе "Конфигурация Azure".

  1. Выберите Oracle E-Business Suite.
  2. Нажмите кнопку "Добавить".

Конфигурация Azure

  1. Введите отображаемое имя приложения BIG-IP, создаваемое в клиенте Microsoft Entra, и значок в MyApps.

  2. В поле URL-адрес входа (необязательно) введите полное полное доменное имя приложения EBS.

  3. Введите путь по умолчанию для домашней страницы Oracle EBS.

  4. Рядом с ключом подписывания и сертификатом подписывания выберите значок обновления.

  5. Найдите импортированный сертификат.

  6. В парольной фразе ключа подписывания введите пароль сертификата.

  7. (Необязательно) Включите параметр подписывания. Этот параметр гарантирует, что BIG-IP принимает маркеры и утверждения, подписанные идентификатором Microsoft Entra.

    Снимок экрана: параметры и записи для ключа подписывания, сертификата подписи и парольной фразы ключа подписи.

  8. Для групп пользователей и пользователей добавьте пользователя или группу для тестирования, в противном случае доступ запрещен. Пользователи и группы пользователей динамически запрашиваются из клиента Microsoft Entra и авторизуют доступ к приложению.

    Снимок экрана: параметр

Атрибуты пользователя и утверждения

Когда пользователь проходит проверку подлинности, идентификатор Microsoft Entra выдает токен SAML с утверждениями и атрибутами по умолчанию, определяющими пользователя. Вкладка "Атрибуты пользователя" и "Утверждения" имеет утверждения по умолчанию, которые будут выдаваться для нового приложения. Используйте эту область для настройки дополнительных утверждений. При необходимости добавьте атрибуты Microsoft Entra, однако для сценария Oracle EBS требуются атрибуты по умолчанию.

Снимок экрана: параметры и записи для атрибутов пользователей и утверждений.

Дополнительные атрибуты пользователя

Вкладка "Дополнительные атрибуты пользователя" поддерживает распределенные системы, требующие атрибутов, хранящихся в каталогах для расширения сеансов. Атрибуты, полученные из источника LDAP, внедряются как дополнительные заголовки единого входа для управления доступом на основе ролей, идентификатора партнера и т. д.

  1. Включите параметр "Дополнительные параметры".

  2. Установите флажок "Атрибуты LDAP".

  3. В разделе "Выбор сервера проверки подлинности" нажмите кнопку "Создать".

  4. В зависимости от настройки выберите "Использовать пул " или "Прямой сервер" для адреса целевого сервера службы LDAP. Для одного сервера LDAP выберите Direct.

  5. Для порта службы введите 3060 (по умолчанию), 3161 (безопасный) или другой порт для службы Oracle LDAP.

  6. Введите DN базового поиска. Используйте различающееся имя (DN) для поиска групп в каталоге.

  7. Для DN администратора введите различающееся имя APM учетной записи для проверки подлинности запросов LDAP.

  8. В поле "Пароль администратора" введите пароль.

    Снимок экрана: параметры и записи для дополнительных атрибутов пользователя.

  9. Оставьте атрибуты схемы LDAP по умолчанию.

    Снимок экрана: атрибуты схемы LDAP

  10. В разделе "Свойства запроса LDAP" для поиска Dn введите базовый узел сервера LDAP для поиска объектов пользователя.

  11. Для обязательных атрибутов введите имя атрибута пользовательского объекта, возвращаемое из каталога LDAP. Для EBS используется значение по умолчанию илиclguid.

    Снимок экрана: записи и параметры для свойств запроса LDAP

Политика условного доступа

Политики условного доступа управляют доступом на основе устройств, приложений, расположений и сигналов риска. Политики применяются после предварительной проверки подлинности Microsoft Entra. Представление "Доступные политики" имеет политики условного доступа без действий пользователя. В представлении "Выбранные политики" есть политики для облачных приложений. Вы не можете отменить выбор этих политик или переместить их в доступные политики, так как они применяются на уровне клиента.

Чтобы выбрать политику для публикации приложения, выполните следующие действия.

  1. В доступных политиках выберите политику.

  2. Выберите стрелку вправо.

  3. Переместите политику в выбранные политики.

    Заметка

    Параметр "Включить " или "Исключить " выбран для некоторых политик. При проверке обоих параметров политика не выполняется.

    Снимок экрана: параметр

    Заметка

    Выберите вкладку "Политика условного доступа" и появится список политик. Выберите "Обновить " и мастер запрашивает ваш клиент. Обновление отображается для развернутых приложений.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом, прослушивающим запросы клиента приложения. Полученный трафик обрабатывается и оценивается в профиле APM, связанном с виртуальным сервером. Затем трафик направляется в соответствии с политикой.

  1. Введите целевой адрес, IPv4 или IPv6-адрес BIG-IP, который используется для получения трафика клиента. Убедитесь, что соответствующая запись в DNS позволяет клиентам разрешать внешний URL-адрес опубликованного приложения BIG-IP к IP-адресу. Используйте локальный dns-сервер локального узла компьютера для тестирования.

  2. Для порта службы введите 443 и выберите HTTPS.

  3. Выберите "Включить порт перенаправления".

  4. Для порта перенаправления введите 80 и выберите HTTP. Это действие перенаправляет входящий трафик клиента HTTP на HTTPS.

  5. Выберите созданный профиль SSL клиента или оставьте значение по умолчанию для тестирования. Профиль SSL клиента включает виртуальный сервер для HTTPS. Клиентские подключения шифруются по протоколу TLS.

    Снимок экрана: параметры и выбор свойств виртуального сервера.

Свойства пула

На вкладке "Пул приложений" есть службы за большим IP-адресом, пулом с одним или несколькими серверами приложений.

  1. В разделе "Выбор пула" выберите "Создать" или выберите другой вариант.

  2. Для метода балансировки нагрузки выберите циклический робин.

  3. В разделе "Серверы пула" выберите и введите ИМЯ IP-адреса или узла и порт для серверов, на котором размещен Oracle EBS.

  4. Выберите HTTPS.

    Снимок экрана: параметры и выборы для свойств пула

  5. В разделе "Пул шлюзов Access" убедитесь, что подпатка шлюза Access.

  6. Для серверов пула выберите и введите ИМЯ IP-адреса или узла и порт для серверов, на котором размещен Oracle EBS.

  7. Выберите HTTPS.

    Снимок экрана: параметры и записи для пула шлюзов Access.

Заголовки единого входа и HTTP

Мастер простой кнопки поддерживает заголовки авторизации Kerberos, OAuth Bearer и HTTP для единого входа в опубликованные приложения. Приложение Oracle EBS ожидает заголовки, поэтому включите заголовки HTTP.

  1. В заголовках единого входа и HTTP выберите заголовки HTTP.

  2. Для операции заголовка выберите заменить.

  3. В поле "Имя заголовка" введите USER_NAME.

  4. В поле "Значение заголовка" введите %{session.sso.token.last.username}.

  5. Для операции заголовка выберите заменить.

  6. В поле "Имя заголовка" введите USER_ORCLGUID.

  7. В поле "Значение заголовка" введите %{session.ldap.last.attr.orclguid}.

    Снимок экрана: записи и выборы для операции заголовка, имени заголовка и значения заголовка.

    Заметка

    Переменные сеанса APM в фигурных скобках чувствительны к регистру.

Управление сеансами

Используйте управление сеансами BIG-IP, чтобы определить условия завершения сеанса пользователя или продолжения.

Дополнительные сведения см. в support.f5.com для K18390492: безопасность | Руководство по операциям APM BIG-IP

Функция единого выхода (SLO) гарантирует, что сеансы между поставщиком удостоверений, BIG-IP и агентом пользователя завершаются при выходе пользователей. Когда кнопка Easy Button создает экземпляр приложения SAML в клиенте Microsoft Entra, он заполняет URL-адрес выхода конечной точкой APM SLO. Таким образом, выход, инициированный поставщиком удостоверений, на портале Мои приложения завершает сеанс между BIG-IP и клиентом.

См. Мои приложения Майкрософт

Метаданные федерации SAML для опубликованного приложения импортируются из клиента. Это действие предоставляет APM с конечной точкой выхода SAML для идентификатора Microsoft Entra ID. После этого выход, инициированный поставщиком службы, завершает сеанс клиента и Microsoft Entra. Убедитесь, что APM знает, когда пользователь выходит из сети.

Если вы используете портал webtop BIG-IP для доступа к опубликованным приложениям, APM обрабатывает выход для вызова конечной точки выхода Microsoft Entra. Если вы не используете портал webtop BIG-IP, пользователь не может указать APM выйти из него. Если пользователь выходит из приложения, BIG-IP не соответствует действию. Убедитесь, что выход, инициированный поставщиком службы, активирует безопасные сеансы завершения. Добавьте функцию SLO в кнопку выхода приложений, чтобы перенаправить клиент в конечную точку выхода Microsoft Entra SAML или BIG-IP. Найдите URL-адрес конечной точки выхода SAML для клиента в конечных точках регистрации приложений>.

Если вы не можете изменить приложение, у вас есть прослушиватель BIG-IP для вызова выхода приложения, а затем активируйте SLO.

Подробнее:

Развертывать

  1. Выберите "Развернуть " для фиксации параметров.
  2. Убедитесь, что приложение отображается в списке приложений Enterprise клиента.

Тест

  1. В браузере подключитесь к внешнему URL-адресу приложения Oracle EBS или щелкните значок приложения в Мои приложения.
  2. Проверка подлинности в идентификаторе Microsoft Entra.
  3. Вы перенаправляетесь на виртуальный сервер BIG-IP для приложения и вошедшего в систему единого входа.

Для повышения безопасности блокируйте прямой доступ к приложению, тем самым применяя путь через BIG-IP.

Расширенное развертывание

Иногда шаблоны управляемой конфигурации не имеют гибкости для требований.

Дополнительные сведения. Руководство. Настройка диспетчера политик доступа F5 BIG-IP для единого входа на основе заголовков.

Изменение конфигураций вручную

Кроме того, в BIG-IP отключите строгий режим управления управляемой конфигурацией для изменения конфигураций вручную. Шаблоны мастера автоматизируют большинство конфигураций.

  1. Перейдите к интерактивной конфигурации.>

  2. В правом конце строки конфигурации приложения выберите значок блокировки.

    Снимок экрана: значок блокировки

После отключения строгого режима невозможно внести изменения в мастер. Однако объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для управления.

Заметка

При повторном включении строгого режима новые параметры перезаписи конфигураций выполняются без интерактивной настройки. Мы рекомендуем расширенный метод конфигурации для рабочих служб.

Устранение неполадок

Чтобы устранить неполадки, используйте следующие инструкции.

Увеличение детализации журнала

Используйте ведение журнала BIG-IP, чтобы изолировать проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных. Увеличьте уровень детализации журнала.

  1. Перейдите к журналам событий обзора > политики > доступа.
  2. Выберите параметры.
  3. Выберите строку для опубликованного приложения.
  4. Выберите "Изменить > журналы системы доступа".
  5. В списке единого входа выберите "Отладка".
  6. Нажмите кнопку "ОК".
  7. Воспроизвести проблему.
  8. Проверьте журналы.

Верните изменения параметров, так как подробный режим создает чрезмерные данные.

Сообщение об ошибке BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с идентификатором Microsoft Entra ID и единым входом BIG-IP.

  1. Перейдите к разделу **Обзор доступа > .
  2. Выберите отчеты Access.
  3. Запустите отчет за последний час.
  4. Просмотрите журналы для получения подсказок.

Используйте ссылку "Просмотр сеанса" для сеанса, чтобы подтвердить, что APM получает ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если страница ошибки BIG-IP не отображается, проблема может быть связана с внутренним запросом или единым входом в приложение BIG-IP.

  1. Перейдите к обзору политики > доступа.
  2. Выберите активные сеансы.
  3. Выберите ссылку для активного сеанса.

Используйте ссылку "Переменные представления" для изучения проблем единого входа, особенно если APM BIG-IP не получает правильные атрибуты из идентификатора Microsoft Entra или другого источника.

Подробнее:

Проверка учетной записи службы APM

Используйте следующую команду оболочки Bash, чтобы проверить учетную запись службы APM для запросов LDAP. Команда выполняет проверку подлинности и запрашивает объекты пользователей.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Подробнее: