Бөлісу құралы:


Руководство. Настройка простой кнопки F5 BIG-IP для единого входа в Oracle JDE

В этом руководстве описано, как защитить Oracle JD Edwards (JDE) с помощью идентификатора Microsoft Entra с помощью F5 BIG-IP Easy Button Guided Configuration.

Интеграция BIG-IP с идентификатором Microsoft Entra ID для многих преимуществ:

Подробнее:

Описание сценария

В этом руководстве используется приложение Oracle JDE с помощью заголовков авторизации HTTP для управления доступом к защищенному содержимому.

Устаревшие приложения не имеют современных протоколов для поддержки интеграции Microsoft Entra. Модернизация является дорогостоящим, требует планирования и приводит к потенциальному риску простоя. Вместо этого используйте контроллер доставки приложений F5 BIG-IP (ADC), чтобы преодолеть разрыв между устаревшими приложениями и современным элементом управления идентификаторами с переходом протокола.

При использовании BIG-IP перед приложением вы наложите службу предварительной проверки подлинности Microsoft Entra и единый вход на основе заголовков. Это действие улучшает состояние безопасности приложения.

Архитектура сценария

Решение SHA для этого сценария состоит из нескольких компонентов:

  • Приложение Oracle JDE — опубликованная служба BIG-IP, защищенная Microsoft Entra SHA
  • Идентификатор Microsoft Entra — поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход на основе SAM в BIG-IP
    • С помощью единого входа идентификатор Microsoft Entra предоставляет атрибуты сеанса для BIG-IP
  • BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение
    • Делегаты BIG-IP для поставщика удостоверений SAML, а затем выполняют единый вход на основе заголовков в службу Oracle.

В этом руководстве SHA поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующей схеме показан поток, инициированный поставщиком службы.

Схема безопасного гибридного доступа с потоком, инициированным поставщиком служб.

  1. Пользователь подключается к конечной точке приложения (BIG-IP).
  2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra предварительно выполняет проверку подлинности пользователей и применяет политики условного доступа.
  4. Пользователь перенаправляется на BIG-IP (SAML SP). Единый вход использует выданный токен SAML.
  5. BIG-IP внедряет атрибуты Microsoft Entra в качестве заголовков в запросе приложения.
  6. Приложение авторизует запрос и возвращает полезные данные.

Необходимые условия

  • Бесплатная учетная запись Microsoft Entra ID Free или более поздняя
  • Большой IP-адрес или виртуальный выпуск BIG-IP (VE) в Azure
  • Любая из следующих лицензий F5 BIG-IP:
    • Лучший пакет F5 BIG-IP®
    • Автономная лицензия F5 BIG-IP APM
    • Лицензия надстройки F5 BIG-IP APM на существующей локальной Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
    • 90-дневная лицензия на пробную версию BIG-IP
  • Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra ID, или созданные в идентификаторе Microsoft Entra и перетекаются обратно в локальный каталог.
  • Одна из следующих ролей: администратор облачных приложений или администратор приложений
  • Ssl-веб-сертификат для публикации служб по протоколу HTTPS или использования сертификатов BIG-IP по умолчанию для тестирования
  • Среда JDE Oracle

Конфигурация BIG-IP

В этом руководстве используется интерактивная конфигурация 16.1 с шаблоном easy Button. С помощью кнопки Easy администраторы не переходят между идентификатором Microsoft Entra и BIG-IP, чтобы включить службы для SHA. Мастер интерактивной настройки APM и Microsoft Graph обрабатывают развертывание и управление политиками. Интеграция гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ.

Заметка

Замените примеры строк или значений в этом руководстве теми, которые в вашей среде.

Регистрация простой кнопки

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Прежде чем клиент или служба обращается к Microsoft Graph, платформа удостоверений Майкрософт должен доверять ему.

Дополнительные сведения: краткое руководство. Регистрация приложения с помощью платформа удостоверений Майкрософт

Приведенные ниже инструкции помогут вам создать регистрацию приложения клиента для авторизации доступа easy Button к Graph. С этими разрешениями BIG-IP отправляет конфигурации для установления доверия между экземпляром SAML SP для опубликованного приложения и идентификатором Microsoft Entra в качестве поставщика удостоверений SAML.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к регистрации приложений> удостоверений>Регистрация приложений> New.

  3. Введите имя приложения.

  4. Только для учетных записей в этом каталоге организации укажите, кто использует приложение.

  5. Выберите " Зарегистрировать".

  6. Перейдите к разрешениям API.

  7. Авторизуйте следующие разрешения приложения Microsoft Graph:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Предоставьте администратору согласие для вашей организации.

  9. Перейдите к сертификатам и секретам.

  10. Создайте новый секрет клиента и запишите его.

  11. Перейдите к обзору и запишите идентификатор клиента и идентификатор клиента

Настройка простой кнопки

  1. Инициируйте интерактивную конфигурацию APM.

  2. Запустите шаблон Easy Button.

  3. Перейдите к интерактивной конфигурации.>

  4. Выберите "Интеграция Майкрософт".

  5. Выберите приложение Microsoft Entra.

  6. Просмотрите последовательность конфигурации.

  7. Нажмите кнопку "Далее"

  8. Следуйте последовательности конфигурации.

    Снимок экрана: последовательность конфигурации в конфигурации приложения Microsoft Entra.

Свойства конфигурации

Перейдите на вкладку "Свойства конфигурации" для создания новых конфигураций приложений и объектов единого входа. Раздел сведений о учетной записи службы Azure представляет клиент, зарегистрированный в клиенте Microsoft Entra в качестве приложения. Используйте параметры для клиента OAuth BIG-IP, чтобы зарегистрировать samL SP в клиенте с помощью свойств единого входа. Easy Button делает это действие для служб BIG-IP, опубликованных и включенных для SHA.

Заметка

Некоторые из следующих параметров являются глобальными. Их можно повторно использовать для публикации дополнительных приложений.

  1. Для заголовков единого входа и HTTP нажмите кнопку "Вкл.".
  2. Введите идентификатор клиента, идентификатор клиента и секрет клиента, который вы указали.
  3. Подтвердите подключение BIG-IP к клиенту.
  4. Нажмите кнопку "Далее"

Поставщик услуг

Параметры поставщика служб определяют свойства для экземпляра SAML SP приложения, защищенного с помощью SHA.

  1. Для узла введите общедоступное полное доменное имя защищенного приложения.

  2. Для идентификатора сущности введите идентификатор Microsoft Entra ID, который используется для идентификации samL SP, запрашивающей токен.

    Снимок экрана: параметры и выборы для поставщика услуг.

  3. (Необязательно) Для параметров безопасности укажите, что идентификатор Microsoft Entra шифрует утверждения SAML. Этот параметр повышает уверенность в том, что маркеры содержимого не перехватываются и не скомпрометированы.

  4. В списке закрытого ключа расшифровки утверждений выберите "Создать".

    Снимок экрана: создание нового в списке закрытого ключа расшифровки утверждения.

  5. Нажмите кнопку "ОК".

  6. Диалоговое окно импорта SSL-сертификата и ключей отображается на новой вкладке.

  7. Для типа импорта выберите PKCS 12 (IIS). Этот параметр импортирует сертификат и закрытый ключ.

  8. Закройте вкладку браузера, чтобы вернуться на главную вкладку.

    Снимок экрана: параметры и выборы для SSL-сертификата и источника ключа.

  9. Для включения зашифрованного утверждения установите флажок.

  10. Если вы включили шифрование, в списке закрытых ключей расшифровки утверждения выберите сертификат. Этот закрытый ключ предназначен для сертификата, который big-IP APM использует для расшифровки утверждений Microsoft Entra.

  11. Если вы включили шифрование, в списке сертификатов расшифровки утверждений выберите сертификат. BIG-IP отправляет этот сертификат в идентификатор Microsoft Entra для шифрования выданных утверждений SAML.

Снимок экрана: параметры и выбор для параметров безопасности.

Идентификатор Microsoft Entra

Easy Button содержит шаблоны для Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP и универсального шаблона SHA.

  1. Выберите JD Эдвардс, защищенный F5 BIG-IP.
  2. Нажмите кнопку "Добавить".

Конфигурация Azure

  1. Введите отображаемое имя приложения BIG-IP, создаваемое в клиенте. Имя отображается на значке в Мои приложения.

  2. (Необязательно) Для URL-адреса входа введите общедоступное полное доменное имя приложения PeopleSoft.

  3. Рядом с ключом подписи и сертификатом подписывания выберите "Обновить". Это действие находит импортированный сертификат.

  4. Для парольной фразы ключа подписи введите пароль сертификата.

  5. (Необязательно) Для параметра подписывания выберите параметр. Этот выбор гарантирует, что BIG-IP принимает маркеры и утверждения, подписанные идентификатором Microsoft Entra.

    Снимок экрана: параметры подписывания ключа, сертификата подписи и секретного ключа подписи в сертификате подписи SAML.

  6. Группы пользователей и пользователей динамически запрашиваются из клиента Microsoft Entra.

  7. Добавьте пользователя или группу для тестирования, в противном случае доступ запрещен.

    Снимок экрана: параметр

Атрибуты пользователя и утверждения

Когда пользователь проходит проверку подлинности, идентификатор Microsoft Entra выдает токен SAML с утверждениями и атрибутами по умолчанию, определяющими пользователя. Вкладка "Атрибуты пользователя" и "Утверждения" имеет утверждения по умолчанию, которые будут выдаваться для нового приложения. Используйте его для настройки дополнительных утверждений.

Снимок экрана: параметры и выборы для атрибутов пользователя и утверждений.

При необходимости включите другие атрибуты Microsoft Entra. Для сценария Oracle JDE требуются атрибуты по умолчанию.

Дополнительные атрибуты пользователя

Вкладка "Дополнительные атрибуты пользователя" поддерживает распределенные системы, для которых требуются атрибуты, хранятся в других каталогах для расширения сеанса. Атрибуты из источника LDAP внедряются в виде дополнительных заголовков единого входа для управления доступом на основе ролей, идентификаторов партнеров и т. д.

Заметка

Эта функция не имеет корреляции с идентификатором Microsoft Entra; это другой источник атрибута.

Политика условного доступа

Политики условного доступа применяются после предварительной проверки подлинности Microsoft Entra для управления доступом на основе устройств, приложений, расположений и сигналов риска. Представление "Доступные политики" имеет политики условного доступа без действий пользователя. В представлении "Выбранные политики" есть политики, предназначенные для облачных приложений. Вы не можете отменить выбор или переместить эти политики в список доступных политик, так как они применяются на уровне клиента.

Выберите политику для приложения.

  1. В списке доступных политик выберите политику.
  2. Щелкните стрелку вправо и переместите политику в выбранные политики.

Выбранные политики имеют флажок "Включить " или "Исключить ". Если оба параметра проверяются, политика не применяется.

Снимок экрана: исключенные политики в разделе

Заметка

При выборе вкладки появится список политик один раз. Используйте обновление для мастера для запроса клиента. Этот параметр отображается после развертывания приложения.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом. Сервер прослушивает клиентские запросы к приложению. Полученный трафик обрабатывается и оценивается в профиле APM виртуального сервера. Затем трафик направляется в соответствии с политикой.

  1. В поле "Адрес назначения" введите IPv4 или IPv6-адрес BIG-IP, который используется для получения трафика клиента. Соответствующая запись отображается в DNS, которая позволяет клиентам разрешать внешний URL-адрес опубликованного приложения в IP-адрес. Используйте локальный dns-сервер локального узла компьютера для тестирования.

  2. Для порта службы введите 443 и выберите HTTPS.

  3. Для включения порта перенаправления установите флажок.

  4. Для порта перенаправления введите 80 и выберите HTTP. Этот параметр перенаправляет входящий трафик КЛИЕНТА HTTP на HTTPS.

  5. Для профиля SSL клиента выберите "Использовать существующий".

  6. В разделе "Общие" выберите созданный параметр. При тестировании оставьте значение по умолчанию. Профиль SSL клиента включает виртуальный сервер для HTTPS, поэтому клиентские подключения шифруются по протоколу TLS.

    Снимок экрана: параметры и выбор свойств виртуального сервера.

Свойства пула

На вкладке "Пул приложений" есть службы за BIG-IP, представленные в виде пула с серверами приложений.

  1. Для выбора пула нажмите кнопку "Создать" или выберите ее.

  2. Для метода балансировки нагрузки выберите циклический робин.

  3. Для серверов пула в имени IP-адреса или узла выберите узел или введите IP-адрес и порт для серверов, на котором размещено приложение Oracle JDE.

    Снимок экрана: параметры IP-адреса или узла и порта в свойствах пула.

Заголовки единого входа и HTTP

Мастер простой кнопки поддерживает заголовки авторизации Kerberos, OAuth Bearer и HTTP для единого входа в опубликованные приложения. Приложение PeopleSoft ожидает заголовки.

  1. Для заголовков HTTP установите флажок.

  2. Для операции заголовка выберите заменить.

  3. В поле "Имя заголовка" введите JDE_SSO_UID.

  4. В поле "Значение заголовка" введите %{session.sso.token.last.username}.

    Снимок экрана: операции заголовка, имя заголовка и значения заголовка в разделе

    Заметка

    Переменные сеанса APM в фигурных скобках чувствительны к регистру. Например, если ввести OrclGUID, а имя атрибута — orclguid, сопоставление атрибутов завершается ошибкой.

Управление сеансами

Используйте параметры управления сеансами BIG-IP, чтобы определить условия прекращения или продолжения сеансов пользователей. Задайте ограничения для пользователей и IP-адресов и соответствующих сведений о пользователе.

Дополнительные сведения см. в support.f5.com для K18390492: безопасность | Руководство по операциям APM BIG-IP

Не рассматриваются в руководстве по операциям функции единого выхода (SLO), что гарантирует завершение сеансов поставщика удостоверений, BIG-IP и сеансов агента пользователя при выходе пользователей. Когда кнопка Easy Button создает экземпляр приложения SAML в клиенте Microsoft Entra, он заполняет URL-адрес выхода конечной точкой APM SLO. Выход, инициированный поставщиком удостоверений, из Мои приложения завершает сеансы BIG-IP и клиента.

Опубликованные данные федерации SAML из клиента импортируются. Это действие предоставляет APM с конечной точкой выхода SAML для идентификатора Microsoft Entra ID, что гарантирует, что выход, инициированный поставщиком служб, завершает сеансы клиента и Microsoft Entra. APM должен знать, когда пользователь выходит из сети.

Когда портал BIG-IP обращается к опубликованным приложениям, APM обрабатывает выход для вызова конечной точки выхода Microsoft Entra. Если веб-портал BIG-IP не используется, пользователь не может указать APM выйти. Если пользователь выходит из приложения, big-IP не забвевает. Для выхода, инициированного поставщиком службы, требуется безопасное завершение сеанса. Добавьте функцию SLO в кнопку выхода приложения, чтобы перенаправить клиент в конечную точку выхода Microsoft Entra SAML или BIG-IP. URL-адрес конечной точки выхода SAML для клиента в конечных точках регистрации приложений>.

Если вы не можете изменить приложение, рассмотрите возможность прослушивания BIG-IP для вызовов выхода приложения и активации SLO.

Дополнительные сведения. Руководство. Настройка простой кнопки F5 BIG-IP для единого входа в Oracle PeopleSoft, PeopleSoft single logout

Дополнительные сведения см. в support.f5.com:

Развёртывание

  1. Выберите "Развернуть".
  2. Убедитесь, что приложение находится в списке клиентов корпоративных приложений.

Подтверждение конфигурации

  1. С помощью браузера подключитесь к внешнему URL-адресу приложения Oracle JDE или выберите значок приложения в Мои приложения.

  2. Проверка подлинности в идентификаторе Microsoft Entra.

  3. Вы перенаправляетесь на виртуальный сервер BIG-IP для приложения и войдете в систему с помощью единого входа.

    Заметка

    Вы можете заблокировать прямой доступ к приложению, тем самым применяя путь через BIG-IP.

Расширенное развертывание

Иногда интерактивные шаблоны конфигурации не имеют гибкости.

Дополнительные сведения. Руководство. Настройка диспетчера политик доступа F5 BIG-IP для единого входа на основе заголовков

Кроме того, в BIG-IP отключите строгий режим управления управляемой конфигурацией. Вы можете вручную изменять конфигурации, хотя большинство конфигураций автоматизированы с помощью шаблонов мастера.

  1. Перейдите к интерактивной конфигурации.>

  2. В конце строки выберите блокировку.

    Снимок экрана: значок блокировки.

Изменения в пользовательском интерфейсе мастера недоступны, но объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для управления.

Заметка

При повторном использовании строгого режима и развертывании конфигурации параметры, выполняемые вне управляемой конфигурации, перезаписываются. Мы рекомендуем расширенную конфигурацию для рабочих служб.

Устранение неполадок

Используйте ведение журнала BIG-IP, чтобы изолировать проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных.

Детализация журнала

  1. Перейдите к обзору политики > доступа.
  2. Выберите журналы событий.
  3. Выберите параметры.
  4. Выберите строку опубликованного приложения.
  5. Выберите"Изменить".
  6. Выбор журналов системы доступа
  7. В списке единого входа выберите "Отладка".
  8. Нажмите кнопку "ОК".
  9. Воспроизвести проблему.
  10. Проверьте журналы.

По завершении верните эту функцию, так как подробный режим создает большое количество данных.

Сообщение об ошибке BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, возможно, проблема связана с идентификатором Microsoft Entra и единым входом BIG-IP.

  1. Перейдите к обзору access>.
  2. Выберите отчеты Access.
  3. Запустите отчет за последний час.
  4. Просмотрите журналы для получения подсказок.

Используйте ссылку на сеанс представления сеанса сеанса, чтобы подтвердить, что APM получает ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если сообщение об ошибке BIG-IP не отображается, проблема может быть связана с внутренним запросом или BIG-IP для единого входа приложения.

  1. Перейдите к обзору политики > доступа.
  2. Выберите активные сеансы.
  3. Выберите ссылку активного сеанса.

Используйте ссылку "Переменные представления" , чтобы определить проблемы единого входа, особенно если APM BIG-IP получает неправильные атрибуты из переменных сеанса.

Подробнее: