Руководство. Настройка простого входа F5 BIG-IP для единого входа в Oracle EBS

Узнайте, как защитить Oracle E-Business Suite (EBS) с помощью идентификатора Microsoft Entra с помощью F5 BIG-IP Easy Button Guided Configuration. Интеграция BIG-IP с идентификатором Microsoft Entra ID имеет множество преимуществ:

• Улучшено управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и условного доступа
  • Смотрите, что такое условный доступ?
  • См. безопасность нулевого доверия
• Полный единый вход между идентификатором Microsoft Entra ID и опубликованными службами BIG-IP
• Управляемые удостоверения и доступ из одной плоскости управления
  • См. Центр администрирования Microsoft Entra

Подробнее:

• Интеграция F5 BIG-IP с идентификатором Microsoft Entra
• Включение единого входа для корпоративного приложения

Описание сценария

Этот сценарий охватывает классическое приложение Oracle EBS, использующее заголовки авторизации HTTP для управления доступом к защищенному содержимому.

Устаревшие приложения не имеют современных протоколов для поддержки интеграции Microsoft Entra. Модернизация является дорогостоящим, трудоемким и представляет риск простоя. Вместо этого используйте контроллер доставки приложений F5 BIG-IP (ADC), чтобы преодолеть разрыв между устаревшими приложениями и современной плоскости управления идентификаторами с переходом протокола.

Big-IP перед приложением включает наложение службы с предварительной проверку подлинности Microsoft Entra и единый вход на основе заголовков. Эта конфигурация улучшает состояние безопасности приложений.

Архитектура сценария

Решение для безопасного гибридного доступа (SHA) содержит следующие компоненты:

• Приложение Oracle EBS — опубликованная служба BIG-IP для защиты microsoft Entra SHA
• Идентификатор Microsoft Entra — поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход на основе SAML в BIG-IP
  • С помощью единого входа идентификатор Microsoft Entra ID предоставляет атрибуты сеанса BIG-IP
• Oracle Internet Directory (OID) — размещает пользовательную базу данных
  • BIG-IP проверяет атрибуты авторизации с помощью LDAP
• Oracle E-Business Suite AccessGate — проверяет атрибуты авторизации с помощью службы OID, а затем выдает файлы cookie доступа EBS
• BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение
  • Проверка подлинности делегирована поставщику удостоверений SAML, а затем выполняется единый вход на основе заголовков в приложение Oracle.

SHA поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующей схеме показан поток, инициированный поставщиком службы.

1. Пользователь подключается к конечной точке приложения (BIG-IP).
2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
3. Microsoft Entra предварительно выполняет проверку подлинности пользователей и применяет политики условного доступа.
4. Пользователь перенаправляется на BIG-IP (SAML SP) и выполняется единый вход с помощью выданного токена SAML.
5. BIG-IP выполняет запрос LDAP для атрибута UNIQUE ID (UID).
6. BIG-IP внедряет возвращенный атрибут UID в виде заголовка user_orclguid в запросе файла cookie сеанса Oracle EBS к Oracle AccessGate.
7. Oracle AccessGate проверяет uiD на основе службы OID и выдает файл cookie доступа Oracle EBS.
8. Заголовки пользователей Oracle EBS и файлы cookie, отправленные в приложение, и возвращают полезные данные пользователю.

Необходимые компоненты

Для этого необходимы следующие компоненты.

• Подписка Azure
  • Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• Роль Администратор istrator cloud Application Администратор istrator.
• BIG-IP или развертывание виртуального выпуска BIG-IP (VE) в Azure
  • См. сведения о развертывании виртуальной машины F5 BIG-IP Virtual Edition в Azure
• Любой из следующих номеров SKU лицензии F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • отдельная лицензия F5 BIG-IP Access Policy Manager™ (APM).
  • Надстройка F5 BIG-IP Access Policy Manager™ (APM) на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
  • 90-дневная пробная версия BIG-IP. См. бесплатные пробные версии.
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra
  • См. раздел microsoft Entra Подключение Sync: общие сведения о синхронизации и настройках
• SSL-сертификат для публикации служб по протоколу HTTPS или использования сертификатов по умолчанию во время тестирования
  • См. профиль SSL
• Oracle EBS, Oracle AccessGate и база данных Oracle Internet Database с поддержкой LDAP (OID)

Метод конфигурации BIG-IP

В этом руководстве используется шаблон "Простая кнопка" версии 16.1. С помощью кнопки Easy администраторы больше не идут назад и вперед, чтобы включить службы для SHA. Мастер интерактивной настройки APM и Microsoft Graph обрабатывают развертывание и управление политиками. Эта интеграция гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ, что снижает административные издержки.

Примечание.

Замените примеры строк или значений этими строками в вашей среде.

Регистрация простой кнопки

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Прежде чем клиент или служба обращается к Microsoft Graph, платформа удостоверений Майкрософт должен доверять ему.

Дополнительные сведения: краткое руководство. Регистрация приложения с помощью платформа удостоверений Майкрософт

Создайте регистрацию приложения клиента, чтобы авторизовать доступ easy Button к Graph. BIG-IP отправляет конфигурации для установления доверия между экземпляром SAML SP для опубликованного приложения и идентификатором Microsoft Entra в качестве поставщика удостоверений SAML.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к регистрации приложений> удостоверений>Регистрация приложений> New.

3. Введите имя приложения. Например, кнопка "Простой" F5 BIG-IP.

4. Укажите, кто может использовать учетные записи приложений >только в этом каталоге организации.

5. Выберите Зарегистрировать.

6. Перейдите к разрешениям API.

7. Авторизуйте следующие разрешения приложения Microsoft Graph:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Предоставьте согласие администратора для вашей организации.

9. Перейдите к сертификатам и секретам.

10. Создайте новый секрет клиента. Запишите секрет клиента.

11. Перейдите на вкладку Обзор. Запишите идентификатор клиента и идентификатор клиента.

Настройка простой кнопки

1. Инициируйте интерактивную конфигурацию APM.

2. Запустите шаблон Easy Button.

3. Перейдите к интеграции Microsoft с помощью интерактивной конфигурации>.>

4. Выберите приложение Microsoft Entra.

5. Просмотрите параметры конфигурации.

6. Выберите Далее.

7. Используйте графический элемент для публикации приложения.

   

Свойства конфигурации

На вкладке Configuration Properties (Свойства конфигурации) создаются конфигурация приложения BIG-IP и объект единого входа. Раздел сведений о учетной записи службы Azure представляет клиент, зарегистрированный в клиенте Microsoft Entra в качестве приложения. С помощью этих параметров клиент OAuth BIG-IP регистрирует samL SP в клиенте с помощью свойств единого входа. Easy Button делает это действие для служб BIG-IP, опубликованных и включенных для SHA.

Чтобы сократить время и усилия, повторно используйте глобальные параметры для публикации других приложений.

1. Введите имя конфигурации.

2. Для единого входа и заголовков HTTP нажмите кнопку "Вкл.".

3. Для идентификатора клиента, идентификатора клиента и секрета клиента введите то, что вы указали во время регистрации клиента Easy Button.

4. Подтвердите подключение BIG-IP к клиенту.

5. Выберите Далее.

   

Поставщик услуг

Используйте параметры поставщика услуг для свойств экземпляра samL SP защищенного приложения.

1. Для узла введите общедоступное полное доменное имя приложения.

2. Для идентификатора сущности введите идентификатор Microsoft Entra ID, который используется для SAML SP, запрашивающего токен.

   

3. (Необязательно) В Параметры безопасности выберите или снимите флажок "Включить зашифрованное утверждение". Шифрование утверждений между идентификатором Microsoft Entra и APM BIG-IP означает, что маркеры содержимого не могут быть перехвачены, а также скомпрометированы личные или корпоративные данные.

4. В списке Assertion Decryption Private Key (Закрытый ключ расшифровки утверждения) выберите команду Create New (Создать).

   

5. Нажмите ОК.

6. Диалоговое окно импорта SSL-сертификата и ключей отображается на новой вкладке.

7. Выберите PKCS 12 (IIS).

8. Сертификат и закрытый ключ импортируются.

9. Закройте вкладку браузера, чтобы вернуться на главную вкладку.

   

10. Выберите "Включить зашифрованное утверждение".

11. Для шифрования с включенным шифрованием в списке закрытых ключей утверждения выберите частный ключ СЕРТИФИКАТА BIG-IP APM, который используется для расшифровки утверждений Microsoft Entra.

12. Для включения шифрования в списке сертификатов расшифровки утверждений выберите сертификат BIG-IP, отправленный в идентификатор Microsoft Entra, чтобы зашифровать выданные утверждения SAML.

    

Microsoft Entra ID

Easy Button содержит шаблоны приложений для Oracle Люди Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP и универсального шаблона SHA. На следующем снимка экрана показан параметр Oracle E-Business Suite в разделе "Конфигурация Azure".

1. Выберите Oracle E-Business Suite.
2. Выберите Добавить.

Конфигурация Azure

1. Введите отображаемое имя приложения BIG-IP, создаваемое в клиенте Microsoft Entra, и значок в MyApps.

2. В поле URL-адрес входа (необязательно) введите полное полное доменное имя приложения EBS.

3. Введите путь по умолчанию для домашней страницы Oracle EBS.

4. Рядом с ключом подписывания и сертификатом подписывания выберите значок обновления.

5. Найдите импортированный сертификат.

6. В парольной фразе ключа подписывания введите пароль сертификата.

7. (Необязательно) Включите параметр подписывания. Этот параметр гарантирует, что BIG-IP принимает маркеры и утверждения, подписанные идентификатором Microsoft Entra.

   

8. Для групп пользователей и пользователей добавьте пользователя или группу для тестирования, в противном случае доступ запрещен. Пользователи и группы пользователей динамически запрашиваются из клиента Microsoft Entra и авторизуют доступ к приложению.

   

Утверждения и атрибуты пользователя

Когда пользователь проходит проверку подлинности, идентификатор Microsoft Entra выдает токен SAML с утверждениями и атрибутами по умолчанию, определяющими пользователя. Вкладка "Атрибуты пользователя" и "Утверждения" имеет утверждения по умолчанию, которые будут выдаваться для нового приложения. Используйте эту область для настройки дополнительных утверждений. При необходимости добавьте атрибуты Microsoft Entra, однако для сценария Oracle EBS требуются атрибуты по умолчанию.

Дополнительные атрибуты пользователя

Вкладка "Дополнительные атрибуты пользователя" поддерживает распределенные системы, требующие атрибутов, хранящихся в каталогах для расширения сеансов. Атрибуты, полученные из источника LDAP, внедряются как дополнительные заголовки единого входа для управления доступом на основе ролей, идентификатора партнера и т. д.

1. Включите параметр Advanced Параметры.

2. Установите флажок проверка атрибутов LDAP.

3. В разделе "Выбор сервера проверки подлинности" нажмите кнопку "Создать".

4. В зависимости от настройки выберите "Использовать пул " или "Прямой сервер" для адреса целевого сервера службы LDAP. Для одного сервера LDAP выберите Direct.

5. Для порта службы введите 3060 (по умолчанию), 3161 (безопасный) или другой порт для службы Oracle LDAP.

6. Введите DN базового поиска. Используйте различающееся имя (DN) для поиска групп в каталоге.

7. В поле Администратор DN введите различающееся имя APM, использующего для проверки подлинности запросов LDAP.

8. В поле Администратор Пароль введите пароль.

   

9. Оставьте атрибуты схемы LDAP по умолчанию.

   

10. В разделе "Свойства запроса LDAP" для поиска Dn введите базовый узел сервера LDAP для поиска объектов пользователя.

11. Для обязательных атрибутов введите имя атрибута пользовательского объекта, возвращаемое из каталога LDAP. Для EBS используется значение по умолчанию илиclguid.

    

Политика условного доступа

Политики условного доступа управляют доступом на основе устройств, приложений, расположений и сигналов риска. Политики применяются после предварительной проверки подлинности Microsoft Entra. Представление "Доступные политики" имеет политики условного доступа без действий пользователя. В представлении "Выбранные политики" есть политики для облачных приложений. Вы не можете отменить выбор этих политик или переместить их в доступные политики, так как они применяются на уровне клиента.

Чтобы выбрать политику для публикации приложения, выполните следующие действия.

1. В доступных политиках выберите политику.

2. Выберите стрелку вправо.

3. Переместите политику в выбранные политики.

   Примечание.

   Параметр "Включить " или "Исключить " выбран для некоторых политик. Если оба варианта проверка, политика не выполняется.

   

   Примечание.

   Выберите вкладку "Политика условного доступа" и появится список политик. Выберите "Обновить " и мастер запрашивает ваш клиент. Обновление отображается для развернутых приложений.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом, прослушивающим запросы клиента приложения. Полученный трафик обрабатывается и оценивается в профиле APM, связанном с виртуальным сервером. Затем трафик направляется в соответствии с политикой.

1. Введите целевой адрес, IPv4 или IPv6-адрес BIG-IP, который используется для получения трафика клиента. Убедитесь, что соответствующая запись в DNS позволяет клиентам разрешать внешний URL-адрес опубликованного приложения BIG-IP к IP-адресу. Используйте локальный dns-сервер локального узла компьютера для тестирования.

2. Для порта службы введите 443 и выберите HTTPS.

3. Выберите "Включить порт перенаправления".

4. Для порта перенаправления введите 80 и выберите HTTP. Это действие перенаправляет входящий трафик клиента HTTP на HTTPS.

5. Выберите созданный профиль SSL клиента или оставьте значение по умолчанию для тестирования. Профиль SSL клиента включает виртуальный сервер для HTTPS. Клиентские подключения шифруются по протоколу TLS.

   

Свойства пула

На вкладке "Пул приложений" есть службы за большим IP-адресом, пулом с одним или несколькими серверами приложений.

1. В разделе "Выбор пула" выберите "Создать" или выберите другой вариант.

2. Для метода балансировки нагрузки выберите циклический робин.

3. В разделе "Серверы пула" выберите и введите ИМЯ IP-адреса или узла и порт для серверов, на котором размещен Oracle EBS.

4. Выберите HTTPS.

   

5. В разделе "Пул шлюзов Access" убедитесь, что подпатка шлюза Access.

6. Для серверов пула выберите и введите ИМЯ IP-адреса или узла и порт для серверов, на котором размещен Oracle EBS.

7. Выберите HTTPS.

   

Заголовки единого входа и HTTP

Мастер Easy Button поддерживает Kerberos, носитель OAuth и заголовки авторизации HTTP для единого входа в опубликованные приложения. Приложение Oracle EBS ожидает заголовки, поэтому включите заголовки HTTP.

1. В заголовках единого входа и HTTP выберите заголовки HTTP.

2. Для операции заголовка выберите заменить.

3. В поле "Имя заголовка" введите USER_NAME.

4. В поле "Значение заголовка" введите %{session.sso.token.last.username}.

5. Для операции заголовка выберите заменить.

6. В поле "Имя заголовка" введите USER_ORCLGUID.

7. В поле "Значение заголовка" введите %{session.ldap.last.attr.orclguid}.

   

   Примечание.

   Переменные сеанса APM в фигурных скобках чувствительны к регистру.

Управление сеансом

Используйте управление сеансами BIG-IP, чтобы определить условия завершения сеанса пользователя или продолжения.

Дополнительные сведения см. в support.f5.com для K18390492: безопасность | Руководство по операциям APM BIG-IP

Функция единого выхода (SLO) гарантирует, что сеансы между поставщиком удостоверений, BIG-IP и агентом пользователя завершаются при выходе пользователей. Когда кнопка Easy Button создает экземпляр приложения SAML в клиенте Microsoft Entra, он заполняет URL-адрес выхода конечной точкой APM SLO. Таким образом, выход, инициированный поставщиком удостоверений, на портале Мои приложения завершает сеанс между BIG-IP и клиентом.

См. Мои приложения Майкрософт

Метаданные федерации SAML для опубликованного приложения импортируются из клиента. Это действие предоставляет APM с конечной точкой выхода SAML для идентификатора Microsoft Entra ID. После этого выход, инициированный поставщиком службы, завершает сеанс клиента и Microsoft Entra. Убедитесь, что APM знает, когда пользователь выходит из сети.

Если вы используете портал webtop BIG-IP для доступа к опубликованным приложениям, APM обрабатывает выход для вызова конечной точки выхода Microsoft Entra. Если вы не используете портал webtop BIG-IP, пользователь не может указать APM выйти из него. Если пользователь выходит из приложения, BIG-IP не соответствует действию. Убедитесь, что выход, инициированный поставщиком службы, активирует безопасные сеансы завершения. Добавьте функцию SLO в кнопку выхода приложений, чтобы перенаправить клиент в конечную точку выхода Microsoft Entra SAML или BIG-IP. Найдите URL-адрес конечной точки выхода SAML для клиента в конечных точках регистрации приложений>.

Если вы не можете изменить приложение, у вас есть прослушиватель BIG-IP для вызова выхода приложения, а затем активируйте SLO.

Подробнее:

• Люди Soft SLO Logout
• Перейдите к support.f5.com:
  • K42052145: Configuring automatic session termination (logout) based on a URI-referenced file name (Настройка автоматического завершения сеанса (выхода) на основе имени файла, указанного в URI)
  • K12056: Overview of the Logout URI Include option (Общие сведения о параметре включения URI выхода)

Развернуть

1. Выберите "Развернуть " для фиксации параметров.
2. Убедитесь, что приложение отображается в списке приложений Enterprise клиента.

Тест

1. В браузере подключитесь к внешнему URL-адресу приложения Oracle EBS или щелкните значок приложения в Мои приложения.
2. Проверка подлинности в идентификаторе Microsoft Entra.
3. Вы перенаправляетесь на виртуальный сервер BIG-IP для приложения и вошедшего в систему единого входа.

Для повышения безопасности блокируйте прямой доступ к приложению, тем самым применяя путь через BIG-IP.

Расширенное развертывание

Иногда шаблоны управляемой конфигурации не имеют гибкости для требований.

Дополнительные сведения. Руководство. Настройка диспетчера политик доступа F5 BIG-IP для единого входа на основе заголовков.

Изменение конфигураций вручную

Кроме того, в BIG-IP отключите строгий режим управления управляемой конфигурацией для изменения конфигураций вручную. Шаблоны мастера автоматизируют большинство конфигураций.

1. Перейдите к интерактивной конфигурации.>

2. В правом конце строки конфигурации приложения выберите значок блокировки.

   

После отключения строгого режима невозможно внести изменения в мастер. Однако объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для управления.

Примечание.

При повторном включении строгого режима новые параметры перезаписи конфигураций выполняются без интерактивной настройки. Поэтому мы рекомендуем использовать метод расширенной конфигурации для служб в рабочей среде.

Устранение неполадок

Чтобы устранить неполадки, используйте следующие инструкции.

Увеличение детализации журнала

Используйте ведение журнала BIG-IP, чтобы изолировать проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных. Увеличьте уровень детализации журнала.

1. Перейдите к журналам событий обзора > политики > доступа.
2. Выберите Параметры.
3. Выберите строку опубликованного приложения.
4. Выберите "Изменить > журналы системы доступа".
5. В списке единого входа выберите "Отладка".
6. Нажмите ОК.
7. Воспроизведите проблему.
8. Проверьте журналы.

Верните изменения параметров, так как подробный режим создает чрезмерные данные.

Сообщение об ошибке BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с идентификатором Microsoft Entra ID и единым входом BIG-IP.

1. Перейдите к разделу **Обзор доступа > .
2. Выберите отчеты Access.
3. Запустите отчет за последний час.
4. Просмотрите журналы для получения подсказок.

Используйте ссылку "Просмотр сеанса" для сеанса, чтобы подтвердить, что APM получает ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если страница ошибки BIG-IP не отображается, проблема может быть связана с внутренним запросом или единым входом в приложение BIG-IP.

1. Перейдите к обзору политики > доступа.
2. Выберите активные сеансы.
3. Щелкните ссылку для активного сеанса.

Используйте ссылку "Переменные представления" для изучения проблем единого входа, особенно если APM BIG-IP не получает правильные атрибуты из идентификатора Microsoft Entra или другого источника.

Подробнее:

• Перейдите к devcentral.f5.com для переменной APM, чтобы назначить примеры
• Перейдите к techdocs.f5.com для раздела вручную: переменные сеанса

Проверка учетной записи службы APM

Используйте следующую команду оболочки Bash, чтобы проверить учетную запись службы APM для запросов LDAP. Команда выполняет проверку подлинности и запрашивает объекты пользователей.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Подробнее:

• Перейдите к support.f5.com для K11072: настройка удаленной проверки подлинности LDAP для AD
• Перейдите к techdocs.f5.com для раздела вручную: запрос LDAP