Руководство: Настройка функции Easy Button в F5 BIG-IP для единого входа (SSO) в Oracle PeopleSoft

В этой статье вы узнаете, как защитить Oracle PeopleSoft (PeopleSoft), используя Microsoft Entra ID, и настроить с помощью F5 BIG-IP Easy Button Guided Configuration 16.1.

Интеграция BIG-IP с идентификатором Microsoft Entra ID для множества преимуществ:

• Улучшено управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и условного доступа
  • См. рамку "Нулевое доверие" для обеспечения удаленной работы.
  • Смотрите, что такое условный доступ?
• Единый вход (SSO) между Microsoft Entra ID и опубликованными сервисами BIG-IP
• Управление удостоверениями и доступом из Центра администрирования Microsoft Entra

Подробнее:

• Интегрировать F5 BIG-IP с Microsoft Entra ID
• Включение единого входа для корпоративного приложения

Описание сценария

В этом руководстве используется приложение PeopleSoft с заголовками авторизации HTTP для управления доступом к защищенному содержимому.

Устаревшие приложения не имеют современных протоколов для поддержки интеграции Microsoft Entra. Модернизация является дорогостоящим, требует планирования и приводит к потенциальному риску простоя. Вместо этого используйте контроллер доставки приложений F5 BIG-IP (ADC), чтобы преодолеть разрыв между устаревшими приложениями и современной системой управления идентификаторами с поддержкой смены протоколов.

При размещении BIG-IP перед приложением, вы добавляете слой предварительной проверки подлинности Microsoft Entra и единого входа, основанного на заголовках. Это действие улучшает состояние безопасности приложения.

Примечание.

Получите удаленный доступ к этому типу приложения с помощью прокси приложения Microsoft Entra.
См. удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra.

Архитектура сценария

Решение для безопасного гибридного доступа (SHA) для этого руководства содержит следующие компоненты:

• Приложение PeopleSoft — BIG-IP опубликованная служба, защищенная Microsoft Entra SHA
• Microsoft Entra ID — поставщик удостоверений (IdP) языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, предоставляет условный доступ и обеспечивает единый вход на основе SAML в BIG-IP.
  • С помощью единого входа (SSO) Microsoft Entra ID предоставляет атрибуты сеанса для BIG-IP
• BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение. Он делегирует проверку подлинности провайдеру удостоверений SAML, а затем выполняет единый вход (SSO) на основе заголовков в службу PeopleSoft.

В этом сценарии SHA поддерживает потоки, инициированные поставщиком услуг (СП) и поставщиком удостоверений (IdP). На следующей схеме показан поток, инициированный SP (поставщиком услуг).

1. Пользователь подключается к конечной точке приложения (BIG-IP).
2. Политика доступа APM BIG-IP перенаправляет пользователя на Microsoft Entra ID (SAML IdP).
3. Microsoft Entra предварительно выполняет проверку подлинности пользователей и применяет политики условного доступа.
4. Пользователь перенаправляется на BIG-IP (SAML SP), и выполняется единый вход с использованем сформированного токена SAML.
5. BIG-IP внедряет атрибуты Microsoft Entra в качестве заголовков в запросе к приложению.
6. Приложение авторизует запрос и возвращает контент.

Предварительные условия

• Бесплатная учетная запись Microsoft Entra ID Free или более поздняя
  • Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• BIG-IP или BIG-IP Virtual Edition (VE) в Azure
  • См. сведения о развертывании виртуальной машины F5 BIG-IP Virtual Edition в Azure
• Любая из следующих лицензий F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • Отдельная лицензия F5 BIG-IP APM
  • Дополнительная лицензия F5 BIG-IP APM на уже имеющийся BIG-IP® Local Traffic Manager™ (LTM) от F5.
  • 90-дневная BIG-IP полнофункциональная пробная лицензия
• Учетные записи пользователей, синхронизированные из локального каталога с Microsoft Entra ID, или созданные в Microsoft Entra ID и перенесенные обратно в локальный каталог.
  • См. Microsoft Entra Connect Sync: понимание и настройка синхронизации
• Одна из следующих ролей: администратор облачных приложений или администратор приложений.
• Ssl-веб-сертификат для публикации служб по протоколу HTTPS или использования сертификатов BIG-IP по умолчанию для тестирования
  • См. сведения о развертывании виртуальной машины F5 BIG-IP Virtual Edition в Azure
• Среда PeopleSoft

Конфигурация BIG-IP

В этом руководстве используется управляемая конфигурация 16.1 с шаблоном кнопки Easy.

С помощью Easy Button администраторы не переключаются между Microsoft Entra ID и BIG-IP, чтобы активировать службы для SHA. Мастер управляемой конфигурации APM и Microsoft Graph обрабатывают развертывание и управление политиками. Интеграция гарантирует, что приложения поддерживают федерацию удостоверений, SSO и условный доступ.

Примечание.

Замените примеры строк или значений в этом руководстве на те, которые используются в вашей рабочей среде.

Регистрация простой кнопки

Прежде чем клиент или служба получат доступ к Microsoft Graph, платформа удостоверений Майкрософт должна доверять им.

Подробнее: Краткое руководство: Регистрация приложения с помощью платформы удостоверений Майкрософт

Приведенные ниже инструкции помогут вам создать регистрацию приложения арендатора для авторизации доступа Easy Button к Graph. С этими разрешениями BIG-IP отправляет конфигурации для установления доверительных отношений между экземпляром SAML SP для опубликованного приложения и Microsoft Entra ID в роли поставщика удостоверений SAML.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите в Entra ID>Регистрация приложений>Новая регистрация.

3. Введите имя приложения.

4. Только для учетных записей в этом каталоге организации укажите, кто использует приложение.

5. Выберите "Зарегистрировать".

6. Перейдите к разрешениям API.

7. Авторизуйте следующие разрешения приложения Microsoft Graph:

   • Приложение.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Доступ к чтению всех данных в каталоге (Directory.Read.All)
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Политика.Чтение.Всё
   • Policy.ReadWrite.ApplicationConfiguration
   • Политика.ЧтениеЗапись.УсловныйДоступ
   • Пользователь.Читать.Все

8. Предоставьте административное согласие вашей организации.

9. Перейдите к сертификатам и секретам.

10. Создайте новый секрет клиента и запишите его.

11. Перейдите к Обзору и запишите идентификатор клиента и идентификатор арендатора.

Настройка простой кнопки

1. Инициируйте интерактивную конфигурацию APM.
2. Запустите шаблон Easy Button.
3. Перейдите к >.
4. Выберите "Интеграция Майкрософт".
5. Выберите приложение Microsoft Entra.
6. Просмотрите последовательность конфигурации.
7. Нажмите кнопку "Далее"
8. Следуйте последовательности конфигурации.

Свойства конфигурации

Используйте вкладку "Свойства конфигурации" для создания новых конфигураций приложений и объектов единого входа. Раздел сведения об учетной записи службы Azure относится к зарегистрированному вами клиенту в арендаторах Microsoft Entra в качестве приложения. Используйте параметры для клиента OAuth BIG-IP, чтобы зарегистрировать samL SP в клиенте с помощью свойств единого входа. Easy Button делает это действие для служб BIG-IP, опубликованных и включенных для SHA.

Примечание.

Некоторые из следующих параметров являются глобальными. Их можно повторно использовать для публикации дополнительных приложений.

1. Введите имя конфигурации. Уникальные имена помогают различать конфигурации.
2. Для одного Sign-On (единого входа) и заголовков HTTP выберите Включить.
3. Введите идентификатор арендатора, идентификатор клиента и секрет клиента, который вы указали.
4. Подтвердите подключение BIG-IP к клиенту.
5. Нажмите кнопку "Далее".

Поставщик услуг

Используйте параметры поставщика служб , чтобы определить свойства SAML SP для экземпляра APM, представляющего приложение, защищенное SHA.

1. Для узла введите общедоступное полное доменное имя защищенного приложения.
2. Для идентификатора сущности введите идентификатор Microsoft Entra ID, который используется для того, чтобы идентифицировать SAML SP, запрашивающую токен.

3. (Необязательно) Для параметров безопасности укажите, что идентификатор Microsoft Entra шифрует утверждения SAML. Этот параметр повышает уверенность в том, что маркеры содержимого не перехватываются и не скомпрометированы.

4. В списке закрытого ключа расшифровки утверждений выберите Создать новый.

5. Нажмите кнопку "ОК".
6. Диалоговое окно импорта SSL-сертификата и ключей отображается на новой вкладке.
7. Для типа импорта выберите PKCS 12 (IIS). Этот параметр импортирует сертификат и закрытый ключ.
8. Закройте вкладку браузера, чтобы вернуться на главную вкладку.

9. Для включения зашифрованного утверждения установите флажок.
10. Если вы включили шифрование, в списке закрытых ключей расшифровки утверждения выберите сертификат. Этот закрытый ключ предназначен для сертификата, который big-IP APM использует для расшифровки утверждений Microsoft Entra.
11. Если вы включили шифрование, в списке сертификатов расшифровки утверждений выберите сертификат. BIG-IP загружает этот сертификат в Microsoft Entra ID для шифрования выданных подтверждений SAML.

Microsoft Entra ID

Easy Button содержит шаблоны для Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP и универсального шаблона SHA.

1. Выберите Oracle PeopleSoft.
2. Нажмите кнопку "Добавить".

Конфигурация Azure

1. Введите отображаемое имя для приложения, которое BIG-IP создаёт в клиенте. Имя отображается на значке в моих приложениях.

2. (Необязательно) Для URL-адреса входа введите общедоступное полное доменное имя приложения PeopleSoft.

3. Рядом с ключом подписи и сертификатом подписывания выберите "Обновить". Это действие находит импортированный сертификат.

4. Для парольной фразы ключа подписи введите пароль сертификата.

5. (Необязательно) Для параметра подписывания выберите параметр. Эта опция гарантирует, что BIG-IP принимает токены и утверждения, подписанные Microsoft Entra ID.

6. Пользователи и группы пользователей динамически запрашиваются из клиента Microsoft Entra.
7. Добавьте пользователя или группу для тестирования, в противном случае доступ запрещен.

Атрибуты пользователя и утверждения

Когда пользователь проходит проверку подлинности, идентификатор Microsoft Entra выдает токен SAML с утверждениями и атрибутами по умолчанию, определяющими пользователя. Вкладка "Атрибуты пользователя" и "Утверждения" имеет утверждения по умолчанию, которые будут выдаваться для нового приложения. Используйте его для настройки дополнительных утверждений. Шаблон Easy Button содержит утверждение идентификатора сотрудника, требуемого PeopleSoft.

При необходимости включите другие атрибуты Microsoft Entra. Для примера приложения PeopleSoft требуются предопределенные атрибуты.

Дополнительные атрибуты пользователя

Вкладка "Дополнительные атрибуты пользователя" поддерживает распределенные системы, для которых необходимо, чтобы атрибуты хранились в других каталогах для расширения сеанса. Атрибуты из источника LDAP внедряются в виде дополнительных заголовков единого входа для управления доступом на основе ролей, идентификаторов партнеров и т. д.

Примечание.

Эта функция не имеет корреляции с идентификатором Microsoft Entra; это другой источник атрибута.

Политика условного доступа

Политики условного доступа применяются после предварительной проверки подлинности Microsoft Entra для управления доступом на основе устройств, приложений, расположений и сигналов риска. Представление "Доступные политики" имеет политики условного доступа без действий пользователя. В представлении "Выбранные политики" есть политики, предназначенные для облачных приложений. Вы не можете отменить выбор или переместить эти политики в список доступных политик, так как они применяются на уровне клиента.

Выберите политику для приложения.

1. В списке доступных политик выберите политику.
2. Щелкните стрелку вправо и переместите политику в выбранные политики.

Выбранные политики имеют флажок "Включить " или "Исключить ". Если оба параметра проверяются, политика не применяется.

Примечание.

При выборе вкладки список политик появляется один раз. Используйте Refresh, чтобы мастер запросил данные у арендатора. Этот параметр отображается после развертывания приложения.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом. Сервер прослушивает клиентские запросы к приложению. Полученный трафик обрабатывается и оценивается в профиле APM виртуального сервера. Затем трафик направляется в соответствии с политикой.

1. В поле "Целевой адрес" введите IPv4 или IPv6-адрес, BIG-IP используется для получения трафика клиента. Соответствующая запись отображается в DNS, что позволяет клиентам преобразовывать внешний URL опубликованного приложения в IP-адрес. Используйте локальный dns-сервер локального узла компьютера для тестирования.
2. Для порта службы введите 443 и выберите HTTPS.
3. Для включения порта перенаправления установите флажок.
4. Для порта перенаправления введите 80 и выберите HTTP. Этот параметр перенаправляет входящий трафик КЛИЕНТА HTTP на HTTPS.
5. Для профиля SSL клиента выберите "Использовать существующий".
6. В разделе "Общие" выберите созданный параметр. При тестировании оставьте значение по умолчанию. Профиль SSL клиента включает виртуальный сервер для HTTPS, поэтому клиентские подключения шифруются по протоколу TLS.

Свойства пула

На вкладке "Пул приложений " есть службы за устройством BIG-IP, представленные в виде пула с серверами приложений.

1. Для выбора пула выберите Создать новый или один из существующих.
2. Для Метода балансировки нагрузки выберите циклический алгоритм.
3. Для серверов пула в имени IP-адреса или узла выберите узел или введите IP-адрес и порт для серверов, на котором размещено приложение PeopleSoft.

Единый вход и заголовки HTTP

Мастер Easy Button поддерживает Kerberos, Bearer-токен OAuth и заголовки авторизации HTTP для единого входа (SSO) в опубликованные приложения. Приложение PeopleSoft ожидает заголовки.

1. Для заголовков HTTP установите флажок.
2. Для операции заголовка выберите заменить.
3. В поле "Имя заголовка" введите PS_SSO_UID.
4. В поле "Значение заголовка" введите %{session.sso.token.last.username}.

Примечание.

Переменные сеанса APM в фигурных скобках чувствительны к регистру. Например, если ввести OrclGUID, а имя атрибута — orclguid, сопоставление атрибутов не удаётся.

Управление сеансом

Используйте параметры управления сеансами BIG-IP, чтобы определить условия прекращения или продолжения сеансов пользователей. Задайте ограничения для пользователей и IP-адресов и соответствующих сведений о пользователе.

Дополнительные сведения см. на сайте support.f5.com по ссылке K18390492: Безопасность | Руководство по операциям APM BIG-IP

В руководстве по операциям не рассматриваются функции единого выхода (SLO), которая гарантирует завершение сеансов поставщика удостоверений, BIG-IP и сеансов агента пользователя при выходе пользователей. Когда кнопка Easy создает экземпляр приложения SAML в тенанте Microsoft Entra, она заполняет URL-адрес выхода конечной точкой APM SLO. Выход, инициированный поставщиком удостоверений, из My Apps завершает BIG-IP и клиентские сеансы.

Опубликованные данные федерации SAML, связанные с приложением, импортируются из клиента. Это действие предоставляет APM конечную точку выхода SAML для Microsoft Entra ID, что гарантирует завершение сеансов клиента и сеансов Microsoft Entra при выходе, инициированном поставщиком услуг. APM должен знать, когда пользователь выходит из сети.

Когда вебтоп-портал BIG-IP обращается к опубликованным приложениям, APM обрабатывает выход, посредством вызова конечной точки выхода Microsoft Entra. Если веб-портал BIG-IP не используется, пользователь не может запросить выход в APM. Если пользователь выходит из приложения, BIG-IP об этом ничего не знает. Для выхода, инициированного поставщиком услуг, требуется безопасное завершение сеанса. Добавьте функцию SLO в кнопку выхода приложения, чтобы перенаправить клиента в конечную точку выхода Microsoft Entra SAML или BIG-IP. URL-адрес конечной точки выхода SAML для клиента в конечных точках регистрации приложений>.

Если вы не можете изменить приложение, рассмотрите возможность того, чтобы BIG-IP прослушивала сигналы о выходе из приложения и инициировала SLO. Для получения дополнительной информации см. "Единый выход PeopleSoft" в следующем разделе.

Развертывание

1. Выберите Развернуть.
2. Проверьте приложение в списке клиентов корпоративных приложений.
3. Приложение опубликовано и доступно с помощью SHA.

Настройка PeopleSoft

Используйте Oracle Access Manager для управления удостоверениями и доступом приложений PeopleSoft.

Чтобы узнать больше, перейдите на docs.oracle.com для Oracle Access Manager Integration Guide, интеграция PeopleSoft

Настройка единого входа в Oracle Access Manager

Настройте Oracle Access Manager для принятия единого входа из BIG-IP.

1. Войдите в консоль Oracle с разрешениями администратора.

2. Перейдите в раздел "Безопасность PeopleTools>".
3. Выберите профили пользователей.
4. Выберите профили пользователей.
5. Создайте новый профиль пользователя.
6. Для идентификатора пользователя введите OAMPSFT
7. Для роли пользователя введите PeopleSoft User.
8. Нажмите кнопку "Сохранить".
9. Перейдите к PeopleTools>Web Profile.
10. Выберите веб-профиль.
11. На вкладке "Безопасность " на вкладке " Общедоступные пользователи" выберите "Разрешить общедоступный доступ".
12. Для идентификатора пользователя введите OAMPSFT.
13. Введите пароль.
14. Оставьте консоль Peoplesoft.
15. Запустите конструктор приложений PeopleTools.
16. Щелкните правой кнопкой мыши поле LDAPAUTH .
17. Выберите View PeopleCode.

18. Откроется окно кода LDAPAUTH .

19. Найдите функцию OAMSSO_AUTHENTICATION .

20. Замените значение &defaultUserId на OAMPSFT.

    

21. Сохраните запись.

22. Перейдите к папке **PeopleTools > Security.

23. Выберите объекты безопасности.

24. Выберите "Вход в PeopleCode".

25. Включите OAMSSO_AUTHENTICATION.

Единый выход из PeopleSoft

При выходе из Мои Приложения инициируется SLO PeopleSoft, который, в свою очередь, вызывает конечную точку SLO BIG-IP. BIG-IP требуются инструкции для выполнения SLO (единого выхода) от имени приложения. Настройте BIG-IP на отслеживание запросов пользователей на выход из PeopleSoft, а затем активируйте SLO.

Добавьте поддержку SLO для пользователей PeopleSoft.

1. Получите URL-адрес выхода на портале PeopleSoft.
2. Откройте портал с помощью веб-браузера.
3. Включите средства отладки.
4. Найдите элемент с идентификатором PT_LOGOUT_MENU .
5. Сохраните путь URL-адреса с параметрами запроса. В данном примере это /psp/ps/?cmd=logout.

Создайте iRule BIG-IP для перенаправления пользователей в конечную точку выхода SAML SP: /my.logout.php3

1. Перейдите к списку iRules для **локального трафика >.
2. Нажмите кнопку "Создать".
3. Введите имя правила.
4. Введите следующие командные строки.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

5. Нажмите кнопку "Готово".

Назначьте iRule виртуальному серверу BIG-IP.

1. Перейдите к >.
2. Выберите ссылку конфигурации приложения PeopleSoft.

3. В верхней панели навигации выберите "Виртуальный сервер".
4. Для дополнительных параметров нажмите кнопку *Вкл.

4. Прокрутите вниз.
5. В разделе Common добавьте созданный iRule.

5. Нажмите кнопку "Сохранить".
6. Нажмите кнопку "Далее".
7. Продолжайте настраивать параметры.

Дополнительные сведения см. в support.f5.com:

• K42052145. Настройка автоматического завершения сеанса (выход) на основе имени файла, на который ссылается URI
• K12056: обзор параметра включения URI выхода

Перенаправление по умолчанию на целевую страницу PeopleSoft

Перенаправление запросов пользователей из корневого портала ("/") на внешний портал PeopleSoft, обычно расположенный в: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL"

1. Перейдите к локальному трафику > iRule.
2. Выберите iRule_PeopleSoft.
3. Добавьте следующие командные строки.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

4. Назначьте iRule виртуальному серверу BIG-IP.

Подтверждение конфигурации

1. В браузере перейдите по внешнему URL-адресу приложения PeopleSoft или щелкните значок приложения в моих приложениях.

2. Выполните аутентификацию в Microsoft Entra ID.

3. Вы перенаправляетесь на виртуальный сервер BIG-IP и войдете в систему с помощью единого входа.

   Примечание.

   Вы можете заблокировать прямой доступ к приложению, тем самым применяя путь через BIG-IP.

Расширенное развертывание

Иногда интерактивные шаблоны конфигурации не имеют гибкости.

Дополнительные сведения: Руководство; настройка F5 BIG-IP Диспетчера Политик Доступа для единого входа на основе заголовков

Кроме того, отключите в BIG-IP жёсткий режим управления настраиваемой конфигурацией. Вы можете вручную изменять конфигурации, хотя большинство конфигураций автоматизированы с помощью шаблонов мастера.

1. Перейдите к >.
2. В конце строки выберите замок.

Изменения в пользовательском интерфейсе мастера недоступны, однако объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для управления.

Примечание.

При повторном использовании строгого режима и развертывании конфигурации параметры, выполняемые вне управляемой конфигурации, перезаписываются. Мы рекомендуем расширенную конфигурацию для рабочих служб.

Устранение неполадок

Используйте ведение журнала BIG-IP, чтобы изолировать проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных.

Уровень детализации журнала

1. Перейдите к обзору >политики доступа.
2. Выберите журналы событий.
3. Выберите параметры.
4. Выберите строку вашего опубликованного приложения.
5. Выберите"Изменить".
6. Выберите журналы системы доступа
7. В списке SSO выберите Отладка.
8. Нажмите кнопку "ОК".
9. Воспроизведите вашу проблему.
10. Проверьте журналы.

По завершении верните эту функцию, так как подробный режим создает большое количество данных.

Сообщение об ошибке BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, возможно, проблема связана с интеграцией Microsoft Entra ID и SSO BIG-IP.

1. Перейдите к Access Overview>.
2. Выберите отчеты Access.
3. Выполните отчет за последний час.
4. Просмотрите журналы для получения подсказок.

Используйте ссылку Просмотр сеанса, чтобы убедиться, что APM получает ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если сообщение об ошибке BIG-IP не отображается, проблема может быть связана с внутренним запросом или с обработкой единого входа (SSO) приложения BIG-IP.

1. Перейдите к обзору >политики доступа.
2. Выберите активные сеансы.
3. Выберите ссылку активного сеанса.

Используйте ссылку «Переменные просмотра», чтобы определить проблемы единого входа, особенно если BIG-IP APM получает неправильные атрибуты из переменных сеанса.

Подробнее:

• Перейдите на devcentral.f5.com за примерами назначения переменных в APM
• Перейти к techdocs.f5.com для переменных сеанса