Руководство по настройке простого входа F5 BIG-IP для единого входа в Oracle Люди Soft

Из этой статьи вы узнаете, как защитить Oracle Люди Soft (Люди Soft) с помощью идентификатора Microsoft Entra ID с помощью клавиши F5 BIG-IP Easy Button 16.1.

Интеграция BIG-IP с идентификатором Microsoft Entra ID для многих преимуществ:

• Улучшено управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и условного доступа
  • См. платформу "Нулевое доверие", чтобы включить удаленную работу
  • Смотрите, что такое условный доступ?
• Единый вход между опубликованными службами Microsoft Entra ID и BIG-IP
• Управление удостоверениями и доступом из Центра администрирования Microsoft Entra

Подробнее:

• Интеграция F5 BIG-IP с идентификатором Microsoft Entra
• Включение единого входа для корпоративного приложения

Описание сценария

В этом руководстве используется приложение Люди Soft с помощью заголовков авторизации HTTP для управления доступом к защищенному содержимому.

Устаревшие приложения не имеют современных протоколов для поддержки интеграции Microsoft Entra. Модернизация является дорогостоящим, требует планирования и приводит к потенциальному риску простоя. Вместо этого используйте контроллер доставки приложений F5 BIG-IP (ADC), чтобы преодолеть разрыв между устаревшими приложениями и современным элементом управления идентификаторами с переходом протокола.

При использовании BIG-IP перед приложением вы наложите службу предварительной проверки подлинности Microsoft Entra и единый вход на основе заголовков. Это действие улучшает состояние безопасности приложения.

Примечание.

Получите удаленный доступ к этому типу приложения с помощью прокси приложения Microsoft Entra.
См. удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra.

Архитектура сценария

Решение для безопасного гибридного доступа (SHA) для этого руководства содержит следующие компоненты:

• приложение Люди Soft — опубликованная служба BIG-IP, защищенная Microsoft Entra SHA
• Идентификатор Microsoft Entra — поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход на основе SAML в BIG-IP
  • С помощью единого входа идентификатор Microsoft Entra предоставляет атрибуты сеанса для BIG-IP
• BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение. Он делегирует проверку подлинности поставщику удостоверений SAML, а затем выполняет единый вход на основе заголовков в службу Люди Soft.

В этом сценарии SHA поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующей схеме показан поток, инициированный поставщиком службы.

1. Пользователь подключается к конечной точке приложения (BIG-IP).
2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
3. Microsoft Entra предварительно выполняет проверку подлинности пользователей и применяет политики условного доступа.
4. Пользователь перенаправляется на BIG-IP (SAML SP), а единый вход возникает с выданным токеном SAML.
5. BIG-IP внедряет атрибуты Microsoft Entra в качестве заголовков в запросе к приложению.
6. Приложение авторизует запрос и возвращает полезные данные.

Необходимые компоненты

• Бесплатная учетная запись Microsoft Entra ID Free или более поздняя
  • Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• Большой IP-адрес или виртуальный выпуск BIG-IP (VE) в Azure
  • См. сведения о развертывании виртуальной машины F5 BIG-IP Virtual Edition в Azure
• Любая из следующих лицензий F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • Отдельная лицензия F5 BIG-IP APM
  • Дополнительная лицензия F5 BIG-IP APM на имеющийся BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • 90-дневная лицензия на полную пробную версию BIG-IP.
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra ID, или созданные в идентификаторе Microsoft Entra и перетекаются обратно в локальный каталог.
  • См. раздел microsoft Entra Подключение Sync: общие сведения о синхронизации и настройках
• Одна из следующих ролей: глобальный администратор, администратор облачных приложений или администратор приложений.
• Ssl-веб-сертификат для публикации служб по протоколу HTTPS или использования сертификатов BIG-IP по умолчанию для тестирования
  • См. сведения о развертывании виртуальной машины F5 BIG-IP Virtual Edition в Azure
• Среда Люди Soft

Конфигурация BIG-IP

В этом руководстве используется интерактивная конфигурация 16.1 с шаблоном кнопки Easy.

С помощью кнопки Easy администраторы не переходят между идентификатором Microsoft Entra и BIG-IP, чтобы включить службы для SHA. Мастер управляемой конфигурации APM и Microsoft Graph обрабатывают развертывание и управление политиками. Интеграция гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ.

Примечание.

Замените примеры строк или значений в этом руководстве теми, которые в вашей среде.

Регистрация простой кнопки

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Прежде чем клиент или служба обращается к Microsoft Graph, платформа удостоверений Майкрософт должен доверять ему.

Дополнительные сведения: краткое руководство. Регистрация приложения с помощью платформа удостоверений Майкрософт

Приведенные ниже инструкции помогут вам создать регистрацию приложения клиента для авторизации доступа easy Button к Graph. С этими разрешениями BIG-IP отправляет конфигурации для установления доверия между экземпляром SAML SP для опубликованного приложения и идентификатором Microsoft Entra в качестве поставщика удостоверений SAML.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям> удостоверений>Регистрация приложений > Новая регистрация.

3. Введите имя приложения.

4. Только для учетных записей в этом каталоге организации укажите, кто использует приложение.

5. Выберите Зарегистрировать.

6. Перейдите к разрешениям API.

7. Авторизуйте следующие разрешения приложения Microsoft Graph:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Предоставьте администратору согласие для вашей организации.

9. Перейдите к сертификатам и секретам.

10. Создайте новый секрет клиента и запишите его.

11. Перейдите к обзору и запишите идентификатор клиента и идентификатор клиента.

Настройка простой кнопки

1. Инициируйте интерактивную конфигурацию APM.
2. Запустите шаблон Easy Button.
3. Перейдите к интерактивной конфигурации.>
4. Выберите "Интеграция Майкрософт".
5. Выберите приложение Microsoft Entra.
6. Просмотрите последовательность конфигурации.
7. Выберите Далее
8. Следуйте последовательности конфигурации.

Свойства конфигурации

Перейдите на вкладку "Свойства конфигурации" для создания новых конфигураций приложений и объектов единого входа. Раздел сведений о учетной записи службы Azure представляет клиент, зарегистрированный в клиенте Microsoft Entra в качестве приложения. Используйте параметры для клиента OAuth BIG-IP, чтобы зарегистрировать samL SP в клиенте с помощью свойств единого входа. Easy Button делает это действие для служб BIG-IP, опубликованных и включенных для SHA.

Примечание.

Некоторые из следующих параметров являются глобальными. Их можно повторно использовать для публикации дополнительных приложений.

1. Введите имя конфигурации. Уникальные имена помогают различать конфигурации.
2. Для заголовков единого входа и HTTP нажмите кнопку "Вкл.".
3. Введите идентификатор клиента, идентификатор клиента и секрет клиента, который вы указали.
4. Подтвердите подключение BIG-IP к клиенту.
5. Выберите Далее.

Поставщик услуг

Используйте параметры поставщика служб, чтобы определить свойства SAML SP для экземпляра APM, представляющего приложение, защищенное SHA.

1. Для узла введите общедоступное полное доменное имя защищенного приложения.
2. Для идентификатора сущности введите идентификатор Microsoft Entra ID, который используется для идентификации samL SP, запрашивающей токен.

3. (Необязательно) Для Параметры безопасности укажите, что идентификатор Microsoft Entra id шифрует выданные утверждения SAML. Этот параметр повышает уверенность в том, что маркеры содержимого не перехватываются и не скомпрометированы.

4. В списке закрытого ключа расшифровки утверждений выберите "Создать".

5. Нажмите ОК.
6. Диалоговое окно импорта SSL-сертификата и ключей отображается на новой вкладке.
7. Для типа импорта выберите PKCS 12 (IIS). Этот параметр импортирует сертификат и закрытый ключ.
8. Закройте вкладку браузера, чтобы вернуться на главную вкладку.

9. Для включения зашифрованного утверждения проверка поле.
10. Если вы включили шифрование, в списке закрытых ключей расшифровки утверждения выберите сертификат. Этот закрытый ключ предназначен для сертификата, который big-IP APM использует для расшифровки утверждений Microsoft Entra.
11. Если вы включили шифрование, в списке сертификатов расшифровки утверждений выберите сертификат. BIG-IP отправляет этот сертификат в идентификатор Microsoft Entra для шифрования выданных утверждений SAML.

Microsoft Entra ID

Easy Button содержит шаблоны для Oracle Люди Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP и универсального шаблона SHA.

1. Выберите Oracle Люди Soft.
2. Выберите Добавить.

Конфигурация Azure

1. Введите отображаемое имя приложения BIG-IP, создаваемое в клиенте. Имя отображается на значке в Мои приложения.

2. (Необязательно) Для URL-адреса входа введите общедоступное полное доменное имя приложения Люди Soft.

3. Рядом с ключом подписи и сертификатом подписывания выберите "Обновить". Это действие находит импортированный сертификат.

4. Для парольной фразы ключа подписи введите пароль сертификата.

5. (Необязательно) Для параметра подписывания выберите параметр. Этот выбор гарантирует, что BIG-IP принимает маркеры и утверждения, подписанные идентификатором Microsoft Entra.

6. Группы пользователей и пользователей динамически запрашиваются из клиента Microsoft Entra.
7. Добавьте пользователя или группу для тестирования, в противном случае доступ запрещен.

Утверждения и атрибуты пользователя

Когда пользователь проходит проверку подлинности, идентификатор Microsoft Entra выдает токен SAML с утверждениями и атрибутами по умолчанию, определяющими пользователя. Вкладка "Атрибуты пользователя" и "Утверждения" имеет утверждения по умолчанию, которые будут выдаваться для нового приложения. Используйте его для настройки дополнительных утверждений. Шаблон Easy Button содержит утверждение идентификатора сотрудника, необходимого для Люди Soft.

При необходимости включите другие атрибуты Microsoft Entra. Для примера приложения Люди Soft требуются предопределенные атрибуты.

Дополнительные атрибуты пользователя

Вкладка "Дополнительные атрибуты пользователя" поддерживает распределенные системы, для которых требуются атрибуты, хранятся в других каталогах для расширения сеанса. Атрибуты из источника LDAP внедряются в виде дополнительных заголовков единого входа для управления доступом на основе ролей, идентификаторов партнеров и т. д.

Примечание.

Эта функция не имеет корреляции с идентификатором Microsoft Entra; это другой источник атрибута.

Политика условного доступа

Политики условного доступа применяются после предварительной проверки подлинности Microsoft Entra для управления доступом на основе устройств, приложений, расположений и сигналов риска. Представление "Доступные политики" имеет политики условного доступа без действий пользователя. В представлении "Выбранные политики" есть политики, предназначенные для облачных приложений. Вы не можете отменить выбор или переместить эти политики в список доступных политик, так как они применяются на уровне клиента.

Выберите политику для приложения.

1. В списке доступных политик выберите политику.
2. Щелкните стрелку вправо и переместите политику в выбранные политики.

Выбранные политики имеют параметр "Включить" или "Исключить" проверка. Если оба варианта проверка, политика не применяется.

Примечание.

При выборе вкладки появится список политик один раз. Используйте обновление для мастера для запроса клиента. Этот параметр отображается после развертывания приложения.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом. Сервер прослушивает клиентские запросы к приложению. Полученный трафик обрабатывается и оценивается в профиле APM виртуального сервера. Затем трафик направляется в соответствии с политикой.

1. В поле "Адрес назначения" введите IPv4 или IPv6-адрес BIG-IP, который используется для получения трафика клиента. Соответствующая запись отображается в DNS, которая позволяет клиентам разрешать внешний URL-адрес опубликованного приложения в IP-адрес. Используйте локальный dns-сервер локального узла компьютера для тестирования.
2. Для порта службы введите 443 и выберите HTTPS.
3. Для включения порта перенаправления проверка поле.
4. Для порта перенаправления введите 80 и выберите HTTP. Этот параметр перенаправляет входящий трафик КЛИЕНТА HTTP на HTTPS.
5. Для профиля SSL клиента выберите "Использовать существующий".
6. В разделе "Общие" выберите созданный параметр. При тестировании оставьте значение по умолчанию. Профиль SSL клиента включает виртуальный сервер для HTTPS, поэтому клиентские подключения шифруются по протоколу TLS.

Свойства пула

На вкладке "Пул приложений" есть службы за BIG-IP, представленные в виде пула с серверами приложений.

1. Для выбора пула нажмите кнопку "Создать" или выберите ее.
2. Для метода балансировки нагрузки выберите циклический робин.
3. Для серверов пула в имени IP-адреса или узла выберите узел или введите IP-адрес и порт для серверов, на котором размещено приложение Люди Soft.

Единый вход и заголовки HTTP

Мастер Easy Button поддерживает Kerberos, носитель OAuth и заголовки авторизации HTTP для единого входа в опубликованные приложения. Приложение Люди Soft ожидает заголовки.

1. Для заголовков HTTP проверка поле.
2. Для операции заголовка выберите заменить.
3. В поле "Имя заголовка" введите PS_SSO_UID.
4. В поле "Значение заголовка" введите %{session.sso.token.last.username}.

Примечание.

Переменные сеанса APM в фигурных скобках чувствительны к регистру. Например, если ввести OrclGUID, а имя атрибута — orclguid, сопоставление атрибутов завершается ошибкой.

Управление сеансом

Используйте параметры управления сеансами BIG-IP, чтобы определить условия прекращения или продолжения сеансов пользователей. Задайте ограничения для пользователей и IP-адресов и соответствующих сведений о пользователе.

Дополнительные сведения см. в support.f5.com для K18390492: безопасность | Руководство по операциям APM BIG-IP

Не рассматриваются в руководстве по операциям функции единого выхода (SLO), что гарантирует завершение сеансов поставщика удостоверений, BIG-IP и сеансов агента пользователя при выходе пользователей. Когда кнопка Easy Button создает экземпляр приложения SAML в клиенте Microsoft Entra, он заполняет URL-адрес выхода конечной точкой APM SLO. Выход, инициированный поставщиком удостоверений, из Мои приложения завершает сеансы BIG-IP и клиента.

Опубликованные данные федерации SAML из клиента импортируются. Это действие предоставляет APM с конечной точкой выхода SAML для идентификатора Microsoft Entra ID, что гарантирует, что выход, инициированный поставщиком служб, завершает сеансы клиента и Microsoft Entra. APM должен знать, когда пользователь выходит из сети.

Когда портал BIG-IP обращается к опубликованным приложениям, APM обрабатывает выход для вызова конечной точки выхода Microsoft Entra. Если веб-портал BIG-IP не используется, пользователь не может указать APM выйти. Если пользователь выходит из приложения, big-IP не забвевает. Для выхода, инициированного поставщиком службы, требуется безопасное завершение сеанса. Добавьте функцию SLO в кнопку выхода приложения, чтобы перенаправить клиент в конечную точку выхода Microsoft Entra SAML или BIG-IP. URL-адрес конечной точки выхода SAML для клиента в конечных точках регистрации приложений>.

Если вы не можете изменить приложение, рассмотрите возможность прослушивания BIG-IP для вызовов выхода приложения и активации SLO. Дополнительные сведения см. в разделе Люди Soft Single Logout в следующем разделе.

Развертывание

1. Выберите Развернуть.
2. Проверьте приложение в списке клиентов корпоративных приложений.
3. Приложение опубликовано и доступно с помощью SHA.

Настройка PeopleSoft

Используйте Oracle Access Manager для управления удостоверениями приложений и доступом Люди Soft.

Чтобы узнать больше, получили docs.oracle.com для Oracle Access Manger Integration Guide, интеграция Люди Soft

Настройка единого входа в Oracle Access Manager

Настройте Oracle Access Manager, чтобы принять единый вход из BIG-IP.

1. Войдите в консоль Oracle с разрешениями администратора.

2. Перейдите к Люди Tools > Security.
3. Выберите профили пользователей.
4. Выберите профили пользователей.
5. Создайте новый профиль пользователя.
6. Для идентификатора пользователя введите OAMPSFT
7. Для роли пользователя введите Люди Soft User.
8. Выберите Сохранить.

9. Перейдите к веб-профилю Люди Tools>.
10. Выберите веб-профиль.
11. На вкладке "Безопасность " на вкладке "Общедоступные пользователи" выберите "Разрешить общедоступный доступ".
12. Для идентификатора пользователя введите OAMPSFT.
13. Введите пароль.

14. Оставьте консоль Люди soft.
15. Запустите конструктор приложений Люди Tools.
16. Щелкните правой кнопкой мыши поле LDAPAUTH .
17. Выберите view Люди Code.

18. Откроется окно кода LDAPAUTH .

19. Найдите функцию OAMSSO_AUTHENTICATION .

20. Замените значение &defaultUserId на OAMPSFT.

    

21. Выберите Сохранить для записи.

22. Перейдите к папке **Люди Tools > Security.

23. Выберите объекты безопасности.

24. Выберите "Вход" Люди Code.

25. Включите OAMSSO_AUTHENTICATION.

Единый выход из PeopleSoft

При выходе из Мои приложения инициируется Люди Soft SLO, который, в свою очередь, вызывает конечную точку SLO BIG-IP. BIG-IP требуются инструкции для выполнения единого выхода от имени приложения. Прослушивание BIG-IP для запросов на выход пользователей в Люди Soft, а затем активируйте SLO.

Добавьте поддержку SLO для пользователей Люди Soft.

1. Получите URL-адрес выхода на портале Люди Soft.
2. Откройте портал с помощью веб-браузера.
3. Включите средства отладки.
4. Найдите элемент с идентификатором PT_LOGOUT_MENU .
5. Сохраните путь URL-адреса с параметрами запроса. В данном примере это /psp/ps/?cmd=logout.

Создайте iRule BIG-IP для перенаправления пользователей в конечную точку выхода SAML SP: /my.logout.php3

1. Перейдите к списку **Локальный трафик > iRules.
2. Нажмите кнопку создания.
3. Введите имя правила.
4. Введите следующие командные строки.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

5. Щелкните Готово.

Назначьте iRule виртуальному серверу BIG-IP.

1. Перейдите к интерактивной конфигурации.>
2. Выберите ссылку конфигурации приложения Люди Soft.

3. В верхней панели навигации выберите "Виртуальный сервер".
4. Для расширенных Параметры нажмите кнопку *Вкл.

4. Прокрутите вниз.
5. В разделе Common добавьте созданный iRule.

5. Выберите Сохранить.
6. Выберите Далее.
7. Продолжайте настраивать параметры.

Дополнительные сведения см. в support.f5.com:

• K42052145: Configuring automatic session termination (logout) based on a URI-referenced file name (Настройка автоматического завершения сеанса (выхода) на основе имени файла, указанного в URI)
• K12056: Overview of the Logout URI Include option (Общие сведения о параметре включения URI выхода)

Перенаправление по умолчанию на целевую страницу PeopleSoft

Перенаправление запросов пользователей из корневого каталога ("/") на внешний портал Люди Soft, обычно расположенный в папке "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL"

1. Перейдите к локальному трафику > iRule.
2. Выберите iRule_Люди Soft.
3. Добавьте следующие командные строки.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

4. Назначьте iRule виртуальному серверу BIG-IP.

Подтверждение конфигурации

1. В браузере перейдите по внешнему URL-адресу приложения Люди Soft или щелкните значок приложения в Мои приложения.

2. Проверка подлинности в идентификаторе Microsoft Entra.

3. Вы перенаправляетесь на виртуальный сервер BIG-IP и войдете в систему с помощью единого входа.

   Примечание.

   Вы можете заблокировать прямой доступ к приложению, тем самым применяя путь через BIG-IP.

Расширенное развертывание

Иногда интерактивные шаблоны конфигурации не имеют гибкости.

Дополнительные сведения. Руководство. Настройка диспетчера политик доступа F5 BIG-IP для единого входа на основе заголовков

Кроме того, в BIG-IP отключите строгий режим управления управляемой конфигурацией. Вы можете вручную изменять конфигурации, хотя большинство конфигураций автоматизированы с помощью шаблонов мастера.

1. Перейдите к интерактивной конфигурации.>
2. В конце строки выберите блокировку.

Изменения в пользовательском интерфейсе мастера недоступны, однако объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для управления.

Примечание.

При повторном использовании строгого режима и развертывании конфигурации параметры, выполняемые вне управляемой конфигурации, перезаписываются. Мы рекомендуем расширенную конфигурацию для рабочих служб.

Устранение неполадок

Используйте ведение журнала BIG-IP, чтобы изолировать проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных.

Детализация журнала

1. Перейдите к обзору политики > доступа.
2. Выберите журналы событий.
3. Выберите Параметры.
4. Выберите строку опубликованного приложения.
5. Выберите"Изменить".
6. Выбор журналов системы доступа
7. В списке единого входа выберите "Отладка".
8. Нажмите ОК.
9. Воспроизведите условия, при которых возникает проблема.
10. Проверьте журналы.

По завершении отменить изменения эту функцию, так как подробный режим создает много данных.

Сообщение об ошибке BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, возможно, проблема связана с идентификатором Microsoft Entra и единым входом BIG-IP.

1. Перейдите к обзору access>.
2. Выберите отчеты Access.
3. Запустите отчет за последний час.
4. Просмотрите журналы для получения подсказок.

Используйте ссылку на сеанс представления сеанса сеанса, чтобы подтвердить, что APM получает ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если сообщение об ошибке BIG-IP не отображается, проблема может быть связана с внутренним запросом или BIG-IP для единого входа приложения.

1. Перейдите к обзору политики > доступа.
2. Выберите активные сеансы.
3. Выберите ссылку активного сеанса.

Используйте ссылку "Переменные представления" , чтобы определить проблемы единого входа, особенно если APM BIG-IP получает неправильные атрибуты из переменных сеанса.

Подробнее:

• Перейдите к devcentral.f5.com для переменной APM, чтобы назначить примеры
• Перейти к techdocs.f5.com для переменных сеанса