Partilhar via

Tutorial: Configurar o botão F5 BIG-IP Easy para SSO para Oracle EBS

  • Artigo

Aprenda a proteger o Oracle E-Business Suite (EBS) usando o Microsoft Entra ID, com F5 BIG-IP Easy Button Guided Configuration. A integração de um BIG-IP com o Microsoft Entra ID tem muitos benefícios:

  • Governança Zero Trust aprimorada por meio da pré-autenticação e acesso condicional do Microsoft Entra
  • SSO completo entre o Microsoft Entra ID e os serviços publicados pelo BIG-IP
  • Identidades gerenciadas e acesso a partir de um plano de controle

Saiba mais:

Descrição do cenário

Este cenário abrange o aplicativo Oracle EBS clássico que usa cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido.

Os aplicativos herdados carecem de protocolos modernos para suportar a integração do Microsoft Entra. A modernização é cara, demorada e introduz risco de tempo de inatividade. Em vez disso, use um F5 BIG-IP Application Delivery Controller (ADC) para preencher a lacuna entre aplicativos herdados e o plano de controle de ID moderno, com transição de protocolo.

Um big-IP na frente do aplicativo permite a sobreposição do serviço com pré-autenticação do Microsoft Entra e SSO baseado em cabeçalho. Essa configuração melhora a postura de segurança do aplicativo.

Arquitetura de cenário

A solução de acesso híbrido seguro (SHA) tem os seguintes componentes:

  • Aplicativo Oracle EBS - serviço publicado BIG-IP a ser protegido pelo Microsoft Entra SHA
  • Microsoft Entra ID - Provedor de identidade (IdP) SAML (Security Assertion Markup Language) que verifica as credenciais do usuário, Acesso Condicional e SSO baseado em SAML para o BIG-IP
    • Com o SSO, o Microsoft Entra ID fornece atributos de sessão BIG-IP
  • Oracle Internet Directory (OID) - hospeda o banco de dados do usuário
    • BIG-IP verifica atributos de autorização com LDAP
  • Oracle E-Business Suite AccessGate - valida atributos de autorização com o serviço OID e, em seguida, emite cookies de acesso ao EBS
  • BIG-IP - proxy reverso e provedor de serviços SAML (SP) para o aplicativo
    • A autenticação é delegada ao IdP SAML e, em seguida, ocorre o SSO baseado em cabeçalho para o aplicativo Oracle

O SHA suporta fluxos iniciados por SP e IdP. O diagrama a seguir ilustra o fluxo iniciado pelo SP.

Diagrama de acesso híbrido seguro, baseado no fluxo iniciado pelo SP.

  1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
  2. A política de acesso BIG-IP APM redireciona o usuário para o Microsoft Entra ID (SAML IdP).
  3. O Microsoft Entra pré-autentica o usuário e aplica políticas de Acesso Condicional.
  4. O usuário é redirecionado para BIG-IP (SAML SP) e o SSO ocorre usando o token SAML emitido.
  5. O BIG-IP executa uma consulta LDAP para o atributo Unique ID (UID) do usuário.
  6. O BIG-IP injeta o atributo UID retornado como cabeçalho user_orclguid na solicitação de cookie de sessão do Oracle EBS para o Oracle AccessGate.
  7. O Oracle AccessGate valida o UID em relação ao serviço OID e emite o cookie de acesso do Oracle EBS.
  8. Os cabeçalhos de usuário e o cookie do Oracle EBS são enviados ao aplicativo e retornam a carga útil ao usuário.

Pré-requisitos

Você precisa dos seguintes componentes:

  • Uma assinatura do Azure
  • Uma função de Administrador de Aplicativos na Nuvem ou Administrador de Aplicativos.
  • Um BIG-IP ou implantar um BIG-IP Virtual Edition (VE) no Azure
  • Qualquer um dos seguintes SKUs de licença F5 BIG-IP:
    • F5 BIG-IP® Melhor pacote
    • Licença autónoma F5 BIG-IP Access Policy Manager™ (APM)
    • F5 BIG-IP Access Policy Manager™ (APM) licença complementar em um BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Versão experimental completa de 90 dias do BIG-IP. Veja, Avaliações gratuitas.
  • Identidades de usuário sincronizadas de um diretório local para o ID do Microsoft Entra
  • Um certificado SSL para publicar serviços por HTTPS ou usar certificados padrão durante o teste
  • Um Oracle EBS, Oracle AccessGate e um Oracle Internet Database (OID) habilitado para LDAP

Método de configuração BIG-IP

Este tutorial usa o modelo de Botão Fácil de Configuração Guiada v16.1. Com o Botão Fácil, os administradores não vão mais para frente e para trás para habilitar serviços para SHA. O assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de políticas. Essa integração garante que os aplicativos ofereçam suporte à federação de identidades, SSO e Acesso Condicional, reduzindo assim a sobrecarga administrativa.

Observação

Substitua cadeias de caracteres ou valores de exemplo por aqueles em seu ambiente.

Registar o Botão Fácil

Dica

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Antes de um cliente ou serviço acessar o Microsoft Graph, a plataforma de identidade da Microsoft deve confiar nele.

Saiba mais: Guia de início rápido: registrar um aplicativo com a plataforma de identidade da Microsoft

Crie um registro de aplicativo de locatário para autorizar o acesso do Botão Fácil ao Graph. O BIG-IP envia por push configurações para estabelecer uma relação de confiança entre uma instância do SP SAML para o aplicativo publicado e o ID do Microsoft Entra como o IdP SAML.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Aplicativos de identidade>>Registros de>aplicativos Novo registro.

  3. Insira um nome de aplicativo. Por exemplo, F5 BIG-IP Easy Button.

  4. Especifique quem pode usar as Contas do aplicativo >somente neste diretório organizacional.

  5. Selecione Registrar.

  6. Navegue até Permissões de API.

  7. Autorize as seguintes permissões do Aplicativo Microsoft Graph:

    • Aplicação.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grupo.Read.All
    • IdentityRiskyUser.Read.All
    • Política.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • Usuário.Read.All

  8. Conceda consentimento de administrador para sua organização.

  9. Vá para Certificados & Segredos.

  10. Gere um novo Segredo do Cliente. Anote o Segredo do Cliente.

  11. Vá para Visão geral. Anote a ID do Cliente e a ID do Locatário.

Configurar o botão Fácil

  1. Inicie a configuração guiada pelo APM.

  2. Inicie o modelo Botão Fácil .

  3. Navegue até Access Guided Configuration > Microsoft Integration>.

  4. Selecione Aplicativo Microsoft Entra.

  5. Analise as opções de configuração.

  6. Selecione Avançar.

  7. Use o gráfico para ajudar a publicar seu aplicativo.

    Captura de tela do gráfico indicando áreas de configuração.

Propriedades de configuração

A guia Propriedades de configuração cria uma configuração de aplicativo BIG-IP e um objeto SSO. A seção Detalhes da Conta de Serviço do Azure representa o cliente que você registrou em seu locatário do Microsoft Entra, como um aplicativo. Com essas configurações, um cliente OAuth BIG-IP registra uma controladora de armazenamento SAML em seu locatário, com propriedades SSO. O Easy Button faz esta ação para serviços BIG-IP publicados e ativados para SHA.

Para reduzir o tempo e o esforço, reutilize as configurações globais para publicar outros aplicativos.

  1. Insira um Nome de Configuração.
  2. Para Logon único (SSO) & Cabeçalhos HTTP, selecione Ativado.
  3. Para ID do Inquilino, ID do Cliente e Segredo do Cliente , insira o que você anotou durante o registro do cliente do Botão Fácil.
  4. Confirme se o BIG-IP se conecta ao seu locatário.
  5. Selecione Avançar.

Prestador de Serviços

Use as configurações do provedor de serviços para as propriedades da instância da controladora de armazenamento SAML do aplicativo protegido.

  1. Para Host, insira o FQDN público do aplicativo.

  2. Em ID de entidade, insira o identificador que o Microsoft Entra ID usa para a controladora de armazenamento SAML que solicita um token.

    Captura de tela para entrada e opções do provedor de serviços.

  3. (Opcional) Em Configurações de Segurança, selecione ou desmarque a opção Habilitar Declaração Criptografada . Criptografar asserções entre o Microsoft Entra ID e o BIG-IP APM significa que os tokens de conteúdo não podem ser intercetados, nem os dados pessoais ou corporativos comprometidos.

  4. Na lista Assertion Decryption Private Key, selecione Create New

    Captura de ecrã de Criar novas opções no menu pendente Assertion Decryption Private Key.

  5. Selecione OK.

  6. A caixa de diálogo Importar Certificado SSL e Chaves aparece em uma nova guia.

  7. Selecione PKCS 12 (IIS).

  8. O certificado e a chave privada são importados.

  9. Feche a guia do navegador para retornar à guia principal.

    Captura de ecrã da entrada para Tipo de Importação, Nome do Certificado e da Chave e Palavra-passe.

  10. Selecione Ativar declaração criptografada.

  11. Para criptografia habilitada, na lista Assertion Decryption Private Key , selecione a chave privada de certificado que o BIG-IP APM usa para descriptografar as asserções do Microsoft Entra.

  12. Para criptografia habilitada, na lista Certificado de descriptografia de asserção, selecione o certificado que o BIG-IP carrega para o Microsoft Entra ID para criptografar as asserções SAML emitidas.

    Captura de ecrã dos certificados selecionados para Assertion Decryption Private Key e Assertion Decryption Certificate.

Microsoft Entra ID

O Easy Button possui modelos de aplicativos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico. A captura de tela a seguir é a opção Oracle E-Business Suite em Configuração do Azure.

  1. Selecione Oracle E-Business Suite.
  2. Selecione Adicionar.

Configuração do Azure

  1. Insira um Nome para Exibição para o aplicativo que o BIG-IP cria em seu locatário do Microsoft Entra e o ícone em MyApps.

  2. Em URL de logon (opcional), insira o FQDN público do aplicativo EBS.

  3. Insira o caminho padrão para a página inicial do Oracle EBS.

  4. Ao lado de Chave de Assinatura e Certificado de Assinatura, selecione o ícone de atualização .

  5. Localize o certificado importado.

  6. Em Senha da chave de assinatura, insira a senha do certificado.

  7. (Opcional) Habilite a opção de assinatura. Essa opção garante que o BIG-IP aceite tokens e declarações assinadas pelo Microsoft Entra ID.

    Captura de ecrã das opções e entradas para Chave de Assinatura, Certificado de Assinatura e Frase Secreta da Chave de Assinatura.

  8. Para Usuários e Grupos de Usuários, adicione um usuário ou grupo para teste, caso contrário, todo o acesso será negado. Os usuários e grupos de usuários são consultados dinamicamente a partir do locatário do Microsoft Entra e autorizam o acesso ao aplicativo.

    Captura de ecrã da opção Adicionar em Utilizadores e Grupos de Utilizadores.

Atributos do usuário & Declarações

Quando um usuário se autentica, o Microsoft Entra ID emite um token SAML com declarações e atributos padrão que identificam o usuário. A guia Atributos do Usuário & Declarações tem declarações padrão a serem emitidas para o novo aplicativo. Use esta área para configurar mais declarações. Se necessário, adicione atributos do Microsoft Entra, no entanto, o cenário do Oracle EBS requer os atributos padrão.

Captura de ecrã de opções e entradas para Atributos e Declarações de Utilizador.

Atributos de usuário adicionais

A guia Atributos de Usuário Adicionais oferece suporte a sistemas distribuídos que exigem atributos armazenados em diretórios para aumento de sessão. Os atributos obtidos de uma fonte LDAP são injetados como mais cabeçalhos SSO para controlar o acesso com base em funções, ID de parceiro e assim por diante.

  1. Habilite a opção Configurações avançadas .

  2. Marque a caixa de seleção Atributos LDAP.

  3. Em Escolher Servidor de Autenticação, selecione Criar Novo.

  4. Dependendo da configuração, selecione Usar pool ou modo de conexão direta do servidor para o endereço do servidor de serviço LDAP de destino. Para um único servidor LDAP, selecione Direto.

  5. Em Porta de serviço, insira 3060 (padrão), 3161 (segura) ou outra porta para o serviço LDAP Oracle.

  6. Insira um DN de Pesquisa Base. Use o nome distinto (DN) para procurar grupos em um diretório.

  7. Para DN de administrador, insira o nome distinto da conta que o APM usa para autenticar consultas LDAP.

  8. Em Senha de administrador, digite a senha.

    Captura de ecrã de opções e entradas para Atributos de Utilizador Adicionais.

  9. Deixe os atributos de esquema LDAP padrão.

    Captura de tela para atributos do esquema LDAP

  10. Em Propriedades de Consulta LDAP, para Search Dn insira o nó base do servidor LDAP para pesquisa de objetos do usuário.

  11. Em Atributos Necessários, insira o nome do atributo do objeto do usuário a ser retornado do diretório LDAP. Para o EBS, o padrão é orclguid.

    Captura de ecrã de entradas e opções para Propriedades de Consulta LDAP

Política de Acesso Condicional

As políticas de Acesso Condicional controlam o acesso com base no dispositivo, aplicativo, localização e sinais de risco. As políticas são aplicadas após a pré-autenticação do Microsoft Entra. O modo de exibição Políticas Disponíveis tem políticas de Acesso Condicional sem ações do usuário. A vista Políticas Selecionadas tem políticas para aplicações na nuvem. Não é possível desmarcar essas políticas ou movê-las para Políticas Disponíveis porque elas são impostas no nível do locatário.

Para selecionar uma política para o aplicativo a ser publicado:

  1. Em Políticas disponíveis, selecione uma política.

  2. Selecione a seta para a direita.

  3. Mova a política para Políticas Selecionadas.

    Observação

    A opção Incluir ou Excluir está selecionada para algumas políticas. Se ambas as opções estiverem marcadas, a política não será aplicada.

    Captura de tela da opção Excluir selecionada para quatro políticas.

    Observação

    Selecione a guia Política de Acesso Condicional e a lista de políticas será exibida. Selecione Atualizar e o assistente consulta seu locatário. A atualização é exibida para aplicativos implantados.

Propriedades do Virtual Server

Um servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual escutando solicitações de cliente de aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil APM associado ao servidor virtual. Em seguida, o tráfego é direcionado de acordo com a política.

  1. Insira um endereço de destino, um endereço IPv4 ou IPv6 que o BIG-IP usa para receber tráfego de cliente. Certifique-se de um registro correspondente no DNS que permita aos clientes resolver a URL externa, do aplicativo publicado BIG-IP, para o IP. Use um DNS localhost do computador de teste para teste.

  2. Em Porta de serviço, digite 443 e selecione HTTPS.

  3. Selecione Ativar porta de redirecionamento.

  4. Em Porta de redirecionamento, digite 80 e selecione HTTP. Esta ação redireciona o tráfego de entrada do cliente HTTP para HTTPS.

  5. Selecione o Perfil SSL do Cliente que você criou ou deixe o padrão para teste. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS. As conexões de cliente são criptografadas por TLS.

    Captura de tela de opções e seleções para Propriedades do Virtual Server.

Propriedades da piscina

A guia Pool de Aplicativos tem serviços por trás de um BIG-IP, um pool com um ou mais servidores de aplicativos.

  1. Em Selecionar um pool, selecione Criar novo ou selecione outra opção.

  2. Para Método de Balanceamento de Carga, selecione Round Robin.

  3. Em Servidores de Pool, selecione e insira um Endereço IP/Nome do Nó e Porta para os servidores que hospedam o Oracle EBS.

  4. Selecione HTTPS.

    Captura de tela de opções e seleções para Propriedades do Pool

  5. Em Pool de Portões de Acesso, confirme o Subcaminho do Portão de Acesso.

  6. Para Servidores de Pool , selecione e insira um Endereço IP/Nome do Nó e uma Porta para os servidores que hospedam o Oracle EBS.

  7. Selecione HTTPS.

    Captura de ecrã das opções e entradas para o Access Gate Pool.

Logon único & cabeçalhos HTTP

O assistente Easy Button suporta Kerberos, OAuth Bearer e cabeçalhos de autorização HTTP para SSO para aplicativos publicados. O aplicativo Oracle EBS espera cabeçalhos e, portanto, habilita cabeçalhos HTTP.

  1. Em Single Sign-On & HTTP Headers, selecione HTTP Headers.

  2. Em Operação de cabeçalho, selecione substituir.

  3. Em Nome do cabeçalho, digite USER_NAME.

  4. Em Valor do cabeçalho, digite %{session.sso.token.last.username}.

  5. Em Operação de cabeçalho, selecione substituir.

  6. Em Nome do cabeçalho, digite USER_ORCLGUID.

  7. Em Valor do cabeçalho, digite %{session.ldap.last.attr.orclguid}.

    Captura de ecrã de entradas e seleções para Operação de Cabeçalho, Nome do Cabeçalho e Valor do Cabeçalho.

    Observação

    As variáveis de sessão APM entre colchetes diferenciam maiúsculas de minúsculas.

Gestão de Sessões

Use o Gerenciamento de Sessão BIG-IP para definir condições para o término ou continuação da sessão do usuário.

Para saber mais, acesse support.f5.com para K18390492: Segurança | Guia de operações do BIG-IP APM

A funcionalidade de Log-Out Único (SLO) garante que as sessões entre o IdP, BIG-IP e o agente do usuário sejam encerradas quando os usuários saírem. Quando o Botão Fácil instancia um aplicativo SAML em seu locatário do Microsoft Entra, ele preenche a URL de Logout com o ponto de extremidade APM SLO. Assim, o logout iniciado pelo IdP, do portal Meus Aplicativos, encerra a sessão entre o BIG-IP e um cliente.

Consulte Microsoft My Apps

Os metadados de federação SAML para o aplicativo publicado são importados do locatário. Esta ação fornece ao APM o ponto de extremidade de saída SAML para o Microsoft Entra ID. Em seguida, a saída iniciada pelo SP encerra o cliente e a sessão do Microsoft Entra. Verifique se o APM sabe quando um usuário sai.

Se você usar o portal do webtop BIG-IP para acessar aplicativos publicados, o APM processará um logout para chamar o ponto de extremidade de saída do Microsoft Entra. Se você não usar o portal do webtop BIG-IP, o usuário não poderá instruir o APM a sair. Se o usuário sair do aplicativo, o BIG-IP estará alheio à ação. Certifique-se de que a saída iniciada pelo SP acione o encerramento seguro das sessões. Adicione uma função SLO ao botão Sair dos aplicativos para redirecionar o cliente para o ponto de extremidade de saída do Microsoft Entra SAML ou BIG-IP. Encontre a URL do ponto de extremidade de saída do SAML para seu locatário em Pontos de extremidade de registros de > aplicativos.

Se não for possível alterar o aplicativo, peça ao BIG-IP para ouvir a chamada de saída do aplicativo e, em seguida, acione o SLO.

Saiba mais:

Implantar

  1. Selecione Implantar para confirmar as configurações.
  2. Verifique se o aplicativo aparece na lista de aplicativos corporativos do locatário.

Teste

  1. Em um navegador, conecte-se à URL externa do aplicativo Oracle EBS ou selecione o ícone do aplicativo em Meus aplicativos.
  2. Autentique-se no Microsoft Entra ID.
  3. Você é redirecionado para o servidor virtual BIG-IP do aplicativo e conectado pelo SSO.

Para maior segurança, bloqueie o acesso direto ao aplicativo, impondo assim um caminho através do BIG-IP.

Implementação avançada

Às vezes, os modelos de Configuração Guiada carecem de flexibilidade para os requisitos.

Saiba mais: Tutorial: Configurar o Access Policy Manager do F5 BIG-IP para SSO baseado em cabeçalho.

Alterar configurações manualmente

Como alternativa, no BIG-IP, desative o modo de gerenciamento estrito Configuração guiada para alterar manualmente as configurações. Os modelos de assistente automatizam a maioria das configurações.

  1. Navegue até Configuração guiada de acesso>.

  2. Na extremidade direita da linha para a configuração do seu aplicativo, selecione o ícone de cadeado .

    Captura de ecrã do ícone de cadeado

Depois de desativar o modo estrito, não é possível fazer alterações com o assistente. No entanto, os objetos BIG-IP associados à instância do aplicativo publicado são desbloqueados para gerenciamento.

Observação

Se você reativar o modo estrito, as novas configurações substituirão as configurações executadas sem a Configuração Guiada. Recomendamos o método de configuração avançada para serviços de produção.

Solução de problemas

Use as instruções a seguir para ajudar a solucionar problemas.

Aumentar a verborragia do log

Use o log BIG-IP para isolar problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis mal configurados. Aumente o nível de verbosidade do log.

  1. Navegue até Logs de eventos de visão geral > da política > de acesso.
  2. Selecione Configurações.
  3. Selecione a linha para o seu aplicativo publicado.
  4. Selecione Editar > logs do sistema de acesso.
  5. Na lista SSO, selecione Depurar.
  6. Selecione OK.
  7. Reproduza o problema.
  8. Inspecione os registros.

Reverta as alterações de configurações porque o modo detalhado gera dados excessivos.

Mensagem de erro BIG-IP

Se aparecer um erro BIG-IP após a pré-autenticação do Microsoft Entra, o problema poderá estar relacionado com o Microsoft Entra ID e o BIG-IP SSO.

  1. Navegue até **Visão geral do acesso > .
  2. Selecione Acessar relatórios.
  3. Execute o relatório na última hora.
  4. Revise os logs para obter pistas.

Use o link Exibir sessão para sua sessão para confirmar que o APM recebe as declarações esperadas do Microsoft Entra.

Nenhuma mensagem de erro BIG-IP

Se nenhuma página de erro BIG-IP for exibida, o problema pode estar relacionado à solicitação de back-end ou ao BIG-IP e ao SSO do aplicativo.

  1. Navegue até Visão geral da política > de acesso.
  2. Selecione Sessões ativas.
  3. Selecione o link para sua sessão ativa.

Use o link Exibir variáveis para investigar problemas de SSO, especialmente se o BIG-IP APM não obtiver atributos corretos da ID do Microsoft Entra ou de outra fonte.

Saiba mais:

Validar a conta de serviço APM

Use o seguinte comando bash shell para validar a conta de serviço APM para consultas LDAP. O comando autentica e consulta objetos de usuário.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Saiba mais: