Руководство. Настройка простого входа F5 BIG-IP для единого входа в Oracle EBS

Узнайте, как защитить Oracle E-Business Suite (EBS) с помощью идентификатора Microsoft Entra с помощью F5 BIG-IP Easy Button Guided Configuration. Интеграция BIG-IP с идентификатором Microsoft Entra ID имеет множество преимуществ:

• Улучшено управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и условного доступа
  • Смотрите, что такое условный доступ?
  • См. безопасность нулевого доверия
• Полный единый вход между идентификатором Microsoft Entra ID и опубликованными службами BIG-IP
• Управляемые удостоверения и доступ из одной плоскости управления
  • См. Центр администрирования Microsoft Entra

Подробнее:

• Интегрировать F5 BIG-IP с Microsoft Entra ID
• Включение единого входа для корпоративного приложения

Описание сценария

Этот сценарий охватывает классическое приложение Oracle EBS, использующее заголовки авторизации HTTP для управления доступом к защищенному содержимому.

Устаревшие приложения не имеют современных протоколов для поддержки интеграции Microsoft Entra. Модернизация является дорогостоящим, трудоемким и представляет риск простоя. Вместо этого используйте контроллер доставки приложений F5 BIG-IP (ADC), чтобы преодолеть разрыв между устаревшими приложениями и современной плоскости управления идентификаторами с переходом протокола.

Big-IP перед приложением включает наложение службы с предварительной проверку подлинности Microsoft Entra и единый вход на основе заголовков. Эта конфигурация улучшает состояние безопасности приложений.

Архитектура сценария

Решение для безопасного гибридного доступа (SHA) содержит следующие компоненты:

• Приложение Oracle EBS — BIG-IP опубликованная служба, которая будет защищена Microsoft Entra SHA
• Microsoft Entra ID — поставщик удостоверений (IdP) на основе языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, обеспечивает условный доступ и единый вход на основе SAML в BIG-IP.
  • С помощью единого входа идентификатор Microsoft Entra ID предоставляет атрибуты сеанса BIG-IP
• Oracle Internet Directory (OID) — размещает пользовательную базу данных
  • BIG-IP проверяет атрибуты авторизации с помощью LDAP
• Oracle E-Business Suite AccessGate — проверяет атрибуты авторизации с помощью службы OID, а затем выдает файлы cookie доступа EBS
• BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение
  • Проверка подлинности делегирована поставщику удостоверений SAML, а затем выполняется единый вход на основе заголовков в приложение Oracle.

SHA поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующей схеме показан поток, инициированный поставщиком службы.

1. Пользователь подключается к конечной точке приложения (BIG-IP).
2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
3. Microsoft Entra предварительно выполняет проверку подлинности пользователей и применяет политики условного доступа.
4. Пользователь перенаправляется на BIG-IP (SAML SP) и выполняется единый вход с помощью выданного токена SAML.
5. BIG-IP выполняет запрос LDAP для атрибута UNIQUE ID (UID).
6. BIG-IP внедряет возвращенный атрибут UID в виде заголовка user_orclguid в запросе файла cookie сеанса Oracle EBS к Oracle AccessGate.
7. Oracle AccessGate проверяет uiD на основе службы OID и выдает файл cookie доступа Oracle EBS.
8. Заголовки пользователей Oracle EBS и файлы cookie, отправленные в приложение, и возвращают полезные данные пользователю.

Необходимые компоненты

Для этого необходимы следующие компоненты.

• Подписка Azure
  • Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• Роль администратора облачных приложений или администратора приложений.
• BIG-IP или развертывание виртуального выпуска BIG-IP (VE) в Azure
  • См. развертывание виртуальной машины F5 BIG-IP Virtual Edition в Azure
• Любой из следующих номеров SKU лицензии F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • отдельная лицензия F5 BIG-IP Access Policy Manager™ (APM).
  • Надстройка F5 BIG-IP Access Policy Manager™ (APM) на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
  • 90-дневная пробная версия BIG-IP. См. бесплатные пробные версии.
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra
  • Ознакомьтесь с синхронизацией Microsoft Entra Connect: понимание и настройка синхронизации
• SSL-сертификат для публикации служб по протоколу HTTPS или использования сертификатов по умолчанию во время тестирования
  • См. профиль SSL
• Oracle EBS, Oracle AccessGate и база данных Oracle Internet Database с поддержкой LDAP (OID)

Метод конфигурации BIG-IP

В этом руководстве используется шаблон "Простая кнопка" версии 16.1. С помощью кнопки Easy администраторы больше не идут назад и вперед, чтобы включить службы для SHA. Мастер интерактивной настройки APM и Microsoft Graph обрабатывают развертывание и управление политиками. Эта интеграция гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ, что снижает административные издержки.

Примечание.

Замените примеры строк или значений этими строками в вашей среде.

Регистрация простой кнопки

Прежде чем клиент или служба обращается к Microsoft Graph, платформа удостоверений Майкрософт должен доверять ему.

Дополнительные сведения: Краткое руководство: Регистрация приложения с помощью платформы удостоверений Майкрософт

Создайте регистрацию приложения клиента, чтобы авторизовать доступ easy Button к Graph. BIG-IP отправляет конфигурации для установления доверия между экземпляром SAML SP для опубликованного приложения и идентификатором Microsoft Entra в качестве поставщика удостоверений SAML.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите в Entra ID>Регистрация приложений>Новая регистрация.

3. Введите имя приложения. Например, кнопка "Простой" F5 BIG-IP.

4. Укажите, кто может использовать учетные записи приложений >только в этом каталоге организации.

5. Выберите "Зарегистрировать".

6. Перейдите к разрешениям API.

7. Авторизуйте следующие разрешения приложения Microsoft Graph:

   • Application.Read.All (предоставление приложениям права на чтение всех данных)
   • Приложение.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Доступ к чтению всех данных в каталоге (Directory.Read.All)
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Политика.Чтение.Все
   • Policy.ReadWrite.ApplicationConfiguration
   • Политика.ЧтениеЗапись.УсловныйДоступ
   • Пользователь.Читать.Все

8. Предоставьте согласие администратора для вашей организации.

9. Перейдите к сертификатам и секретам.

10. Создайте новый секрет клиента. Запишите секрет клиента.

11. Перейдите к обзору. Запишите идентификатор клиента и идентификатор клиента.

Настройка простой кнопки

1. Инициируйте интерактивную конфигурацию APM.

2. Запустите шаблон Easy Button .

3. Перейдите к > Microsoft с помощью интерактивной конфигурации>.

4. Выберите приложение Microsoft Entra.

5. Просмотрите параметры конфигурации.

6. Нажмите кнопку "Далее".

7. Используйте графический элемент для публикации приложения.

   

Свойства конфигурации

Вкладка "Свойства конфигурации" создает объект конфигурации приложения BIG-IP и объект единого входа. Раздел сведения об учетной записи службы Azure представляет клиента, зарегистрированного в клиенте Microsoft Entra в качестве приложения. С помощью этих параметров клиент OAuth BIG-IP регистрирует samL SP в клиенте с помощью свойств единого входа. Easy Button делает это действие для служб BIG-IP, опубликованных и включенных для SHA.

Чтобы сократить время и усилия, повторно используйте глобальные параметры для публикации других приложений.

1. Введите имя конфигурации.
2. Для единого входа и заголовков HTTP выберите Вкл.
3. Для идентификатора арендатора, идентификатора клиента и секрета клиента введите данные, которые вы отметили во время регистрации клиента Easy Button.
4. Подтвердите подключение BIG-IP к клиенту.
5. Нажмите кнопку "Далее".

Поставщик услуг

Используйте параметры поставщика услуг для свойств экземпляра samL SP защищенного приложения.

1. Для узла введите общедоступное полное доменное имя приложения.

2. Для идентификатора объекта введите идентификатор Microsoft Entra ID, который используется для SAML SP, запрашивающего токен.

   

3. (Необязательно) В параметрах безопасности выберите или снимите флажок "Включить зашифрованное утверждение ". Шифрование утверждений между идентификатором Microsoft Entra и APM BIG-IP означает, что маркеры содержимого не могут быть перехвачены, а также скомпрометированы личные или корпоративные данные.

4. В списке закрытых ключей расшифровки утверждений нажмите кнопку "Создать".

   

5. Нажмите кнопку "ОК".

6. Диалоговое окно импорта SSL-сертификата и ключей отображается на новой вкладке.

7. Выберите PKCS 12 (IIS).

8. Сертификат и закрытый ключ импортируются.

9. Закройте вкладку браузера, чтобы вернуться на главную вкладку.

   

10. Выберите "Включить зашифрованное утверждение".

11. Для включения шифрования в списке закрытых ключей утверждения выберите закрытый ключ сертификата, BIG-IP APM используется для расшифровки утверждений Microsoft Entra.

12. Для включенного шифрования в списке сертификатов расшифровки утверждений выберите сертификат, который BIG-IP загружает в Microsoft Entra ID для шифрования выданных утверждений SAML.

    

Microsoft Entra ID

Easy Button содержит шаблоны приложений для Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP и универсального шаблона SHA. На следующем снимка экрана показан параметр Oracle E-Business Suite в разделе "Конфигурация Azure".

1. Выберите Oracle E-Business Suite.
2. Нажмите кнопку "Добавить".

Конфигурация Azure

1. Введите отображаемое имя для приложения, которое BIG-IP создает в арендуемой учетной записи Microsoft Entra, а также для значка в MyApps.

2. В URL-адресе входа (необязательно) введите полное доменное имя приложения EBS.

3. Введите путь по умолчанию для домашней страницы Oracle EBS.

4. Рядом с ключом подписывания и сертификатом подписывания выберите значок обновления .

5. Найдите импортированный сертификат.

6. В парольной фразе ключа подписывания введите пароль сертификата.

7. (Необязательно) Включите параметр подписывания. Этот параметр гарантирует, что BIG-IP принимает маркеры и утверждения, подписанные идентификатором Microsoft Entra.

   

8. Для групп пользователей и пользователей добавьте пользователя или группу для тестирования, в противном случае доступ запрещен. Пользователи и группы пользователей динамически запрашиваются из клиента Microsoft Entra и авторизуют доступ к приложению.

   

Утверждения и атрибуты пользователя

Когда пользователь проходит проверку подлинности, идентификатор Microsoft Entra выдает токен SAML с утверждениями и атрибутами по умолчанию, определяющими пользователя. Вкладка "Атрибуты пользователя" и "Утверждения" имеет утверждения по умолчанию, которые будут выдаваться для нового приложения. Используйте эту область для настройки дополнительных утверждений. При необходимости добавьте атрибуты Microsoft Entra, однако для сценария Oracle EBS требуются атрибуты по умолчанию.

Дополнительные атрибуты пользователя

Вкладка "Дополнительные атрибуты пользователя" поддерживает распределенные системы, требующие атрибутов, хранящихся в каталогах для расширения сеансов. Атрибуты, полученные из источника LDAP, внедряются как дополнительные заголовки единого входа для управления доступом на основе ролей, идентификатора партнера и т. д.

1. Включите параметр "Дополнительные параметры ".

2. Установите флажок "Атрибуты LDAP".

3. В разделе "Выбор сервера проверки подлинности" нажмите кнопку "Создать".

4. В зависимости от вашей настройки выберите Использовать пул или Режим прямого подключения для адреса целевого сервера службы LDAP. Для одного сервера LDAP выберите Direct.

5. Для порта службы введите 3060 (по умолчанию), 3161 (безопасный) или другой порт для службы Oracle LDAP.

6. Введите DN базового поиска. Используйте различающееся имя (DN) для поиска групп в каталоге.

7. Для DN администратора введите уникальное имя для идентификации учетной записи, которое APM использует для аутентификации запросов LDAP.

8. В поле "Пароль администратора" введите пароль.

   

9. Оставьте атрибуты схемы LDAP по умолчанию.

   

10. В разделе "Свойства запроса LDAP" для поиска Dn введите базовый узел сервера LDAP для поиска объектов пользователя.

11. Для обязательных атрибутов введите имя атрибута пользовательского объекта, возвращаемое из каталога LDAP. Для EBS по умолчанию используется orclguid.

    

Политика условного доступа

Политики условного доступа управляют доступом на основе устройств, приложений, расположений и сигналов риска. Политики применяются после предварительной проверки подлинности Microsoft Entra. Представление "Доступные политики" имеет политики условного доступа без действий пользователя. В представлении "Выбранные политики" есть политики для облачных приложений. Вы не можете отменить выбор этих политик или переместить их в доступные политики, так как они применяются на уровне клиента.

Чтобы выбрать политику для публикации приложения, выполните следующие действия.

1. В доступных политиках выберите политику.

2. Выберите стрелку вправо.

3. Переместите политику в выбранные политики.

   Примечание.

   Параметр "Включить " или "Исключить " выбран для некоторых политик. При проверке обоих параметров политика не выполняется.

   

   Примечание.

   Выберите вкладку "Политика условного доступа" и появится список политик. Выберите "Обновить, и этот мастер запрашивает вашего тенанта. Обновление отображается для развернутых приложений.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом, прослушивающим запросы клиента приложения. Полученный трафик обрабатывается и оценивается в профиле APM, связанном с виртуальным сервером. Затем трафик направляется в соответствии с политикой.

1. Введите целевой адрес, IPv4 или IPv6-адрес, BIG-IP используется для получения трафика клиента. Убедитесь, что соответствующая запись в DNS позволяет клиентам разрешать внешний URL-адрес опубликованного приложения BIG-IP к IP-адресу. Используйте локальный dns-сервер локального узла компьютера для тестирования.

2. Для порта службы введите 443 и выберите HTTPS.

3. Выберите "Включить порт перенаправления".

4. Для порта перенаправления введите 80 и выберите HTTP. Это действие перенаправляет входящий трафик клиента HTTP на HTTPS.

5. Выберите созданный профиль SSL клиента или оставьте значение по умолчанию для тестирования. Профиль SSL клиента включает виртуальный сервер для HTTPS. Клиентские подключения шифруются по протоколу TLS.

   

Свойства пула

На вкладке "Пул приложений" размещаются службы, которые работают за BIG-IP, представляющий собой пул с одним или несколькими серверами приложений.

1. В разделе "Выбор пула" выберите "Создать" или выберите другой вариант.

2. Для метода балансировки нагрузки выберите циклический робин.

3. В разделе "Серверы пула" выберите и введите ИМЯ IP-адреса или узла и порт для серверов, на котором размещен Oracle EBS.

4. Выберите HTTPS.

   

5. Под Пул доступа подтверждайте подпуть доступа.

6. Для серверов пула выберите и введите ИМЯ IP-адреса или узла и порт для серверов, на котором размещен Oracle EBS.

7. Выберите HTTPS.

   

Заголовки единого входа и HTTP

Мастер Easy Button поддерживает Kerberos, носитель OAuth и заголовки авторизации HTTP для единого входа в опубликованные приложения. Приложение Oracle EBS ожидает заголовки, поэтому включите заголовки HTTP.

1. На вкладке «Отдельные Sign-On и заголовки HTTP» выберите «Заголовки HTTP».

2. Для операции заголовка выберите заменить.

3. В поле "Имя заголовка" введите USER_NAME.

4. В поле "Значение заголовка" введите %{session.sso.token.last.username}.

5. Для операции заголовка выберите заменить.

6. В поле "Имя заголовка" введите USER_ORCLGUID.

7. В поле "Значение заголовка" введите %{session.ldap.last.attr.orclguid}.

   

   Примечание.

   Переменные сеанса APM в фигурных скобках чувствительны к регистру.

Управление сеансом

Используйте управление сеансами BIG-IP, чтобы определить условия завершения сеанса пользователя или продолжения.

Дополнительные сведения см. в разделе support.f5.com для K18390492: безопасность | руководство по операциям APM BIG-IP

Функция единого выхода (SLO) гарантирует, что сеансы между поставщиком удостоверений, BIG-IP и агентом пользователя завершаются при выходе пользователей. Когда кнопка Easy Button создает экземпляр приложения SAML в клиенте Microsoft Entra, он заполняет URL-адрес выхода конечной точкой APM SLO. Таким образом, выход, инициированный поставщиком удостоверений, на портале Мои приложения завершает сеанс между BIG-IP и клиентом.

См. Мои приложения Майкрософт

Метаданные федерации SAML для опубликованного приложения импортируются из клиента. Это действие предоставляет APM с конечной точкой выхода SAML для идентификатора Microsoft Entra ID. После этого выход, инициированный поставщиком службы, завершает сеанс клиента и Microsoft Entra. Убедитесь, что APM знает, когда пользователь выходит из сети.

Если вы используете портал webtop BIG-IP для доступа к опубликованным приложениям, APM обрабатывает выход для вызова конечной точки выхода Microsoft Entra. Если вы не используете портал webtop BIG-IP, пользователь не может указать APM выйти из него. Если пользователь выходит из приложения, BIG-IP не соответствует действию. Убедитесь, что выход, инициированный поставщиком службы, активирует безопасные сеансы завершения. Добавьте функцию SLO в кнопку выхода приложений, чтобы перенаправить клиента в конечную точку выхода Microsoft Entra SAML или BIG-IP sign-out. Найдите URL-адрес конечной точки выхода SAML для клиента в конечных точках регистрации приложений>.

Если вы не можете изменить приложение, у вас есть прослушиватель BIG-IP для вызова выхода приложения, а затем активируйте SLO.

Подробнее:

• Выход из PeopleSoft SLO
• Перейдите к support.f5.com:
  • K42052145. Настройка автоматического завершения сеанса (выход) на основе имени файла, на который ссылается URI
  • K12056: обзор опции включения URI выхода из системы

Развернуть

1. Выберите «Развернуть», чтобы применить настройки.
2. Убедитесь, что приложение отображается в списке приложений Enterprise клиента.

Тест

1. В браузере подключитесь к внешнему URL-адресу приложения Oracle EBS или выберите значок приложения в разделе "Мои приложения".
2. Проверка подлинности в идентификаторе Microsoft Entra.
3. Вы перенаправляетесь на виртуальный сервер BIG-IP для приложения и вошедшего в систему единого входа.

Для повышения безопасности блокируйте прямой доступ к приложению, тем самым применяя путь через BIG-IP.

Расширенное развертывание

Иногда шаблоны управляемой конфигурации не имеют гибкости для требований.

Дополнительные сведения: Руководство по настройке диспетчера политик доступа F5 BIG-IP для единого входа на основе заголовков.

Изменение конфигураций вручную

Кроме того, в BIG-IP отключите строгий режим управления управляемой конфигурацией для изменения конфигураций вручную. Шаблоны мастера автоматизируют большинство конфигураций.

1. Перейдите к >.

2. В правом конце строки конфигурации приложения выберите значок блокировки.

   

После отключения строгого режима невозможно внести изменения в мастер. Однако объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для управления.

Примечание.

При повторном включении строгого режима новые параметры перезаписи конфигураций выполняются без интерактивной настройки. Поэтому мы рекомендуем использовать метод расширенной конфигурации для служб в рабочей среде.

Устранение неполадок

Чтобы устранить неполадки, используйте следующие инструкции.

Увеличение детализации журнала

Используйте ведение журнала BIG-IP, чтобы изолировать проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных. Увеличьте уровень детализации журнала.

1. Перейдите к > событий обзора > политики доступа.
2. Выберите параметры.
3. Выберите строку опубликованного приложения.
4. Выберите "Изменить > журналы системы доступа".
5. В списке SSO выберите Отладка.
6. Нажмите кнопку "ОК".
7. Воспроизведите проблему.
8. Проверьте журналы.

Верните изменения параметров, так как подробный режим создает чрезмерные данные.

Сообщение об ошибке BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с идентификатором Microsoft Entra ID и единым входом BIG-IP.

1. Перейдите к разделу **Обзор доступа > .
2. Выберите отчеты Access.
3. Запустите отчет за последний час.
4. Просмотрите журналы для получения подсказок.

Используйте ссылку Просмотр сеанса для вашего сеанса, чтобы подтвердить, что APM получает ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если страница ошибки BIG-IP не отображается, проблема может быть связана с внутренним запросом или единым входом в приложение BIG-IP.

1. Перейдите к обзору >политики доступа.
2. Выберите активные сеансы.
3. Щелкните ссылку для активного сеанса.

Используйте ссылку "Просмотр переменных" для исследования проблем с SSO, особенно если BIG-IP APM не получает правильные атрибуты из Microsoft Entra ID или другого источника.

Подробнее:

• Перейдите на devcentral.f5.com для примеров назначения переменных APM.
• Перейдите на techdocs.f5.com для главы руководства: Переменные сеанса

Проверка учетной записи службы APM

Используйте следующую команду оболочки Bash, чтобы проверить учетную запись службы APM для запросов LDAP. Команда выполняет проверку подлинности и запрашивает объекты пользователей.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Подробнее:

• Перейдите к support.f5.com для K11072: настройка удаленной проверки подлинности LDAP для AD
• Перейдите на сайт techdocs.f5.com, чтобы открыть главу руководства: Запрос LDAP