Öğretici: SSO'nun Oracle JDE'ye F5 BIG-IP Kolay Düğmesini Yapılandırma

Bu öğreticide, Microsoft Entra ID kullanarak F5 BIG-IP Kolay Düğme Destekli Yapılandırma ile Oracle JD Edwards'ın (JDE) güvenliğini sağlamayı öğrenin.

Birçok avantaj için BIG-IP'yi Microsoft Entra ID ile tümleştirin:

• Microsoft Entra ön kimlik doğrulaması ve Koşullu Erişim aracılığıyla geliştirilmiş Sıfır Güven idaresi
  • Bkz. uzaktan çalışmayı etkinleştirmek için çerçeveyi Sıfır Güven
  • Bkz. Koşullu Erişim nedir?
• Microsoft Entra ID ile BIG-IP tarafından yayımlanan hizmetler arasında çoklu oturum açma (SSO)
• Microsoft Entra yönetim merkezinden kimlikleri ve erişimi yönetme

Daha fazla bilgi edinin:

• F5 BIG-IP'yi Microsoft Entra Id ile tümleştirme
• Kurumsal uygulamalarda çoklu oturum açmayı etkinleştirme

Senaryo açıklaması

Bu öğreticide, korumalı içeriğe erişimi yönetmek için HTTP yetkilendirme üst bilgilerini kullanan Oracle JDE uygulaması kullanılır.

Eski uygulamalarda Microsoft Entra tümleştirmesini destekleyecek modern protokoller yok. Modernleştirme maliyetlidir, planlama gerektirir ve olası kapalı kalma süresi riskine neden olur. Bunun yerine, protokol geçişi ile eski uygulamalar ve modern kimlik denetimi arasındaki boşluğu kapatmak için bir F5 BIG-IP Uygulama Teslim Denetleyicisi (ADC) kullanın.

Uygulamanın önünde BIG-IP ile Microsoft Entra ön kimlik doğrulaması ve üst bilgi tabanlı SSO ile hizmeti katmanlarsınız. Bu eylem uygulamanın güvenlik duruşunu geliştirir.

Senaryo mimarisi

Bu senaryo için SHA çözümü çeşitli bileşenlerden oluşur:

• Oracle JDE Uygulaması - Microsoft Entra SHA tarafından güvenliği sağlanan BIG-IP ile yayımlanan hizmet
• Microsoft Entra Id - Kullanıcı kimlik bilgilerini, Koşullu Erişimi ve SAM tabanlı SSO'yu BIG-IP'ye doğrulayan Güvenlik Onaylama İşaretleme Dili (SAML) kimlik sağlayıcısı (IdP)
  • SSO ile Microsoft Entra ID, BIG-IP'ye oturum öznitelikleri sağlar
• BIG-IP - uygulamaya ters ara sunucu ve SAML hizmet sağlayıcısı (SP)
  • BIG-IP, KIMLIK doğrulamasını SAML IdP'ye devreder, ardından Oracle hizmetine üst bilgi tabanlı SSO gerçekleştirir

Bu öğreticide SHA, SP ve IdP tarafından başlatılan akışları destekler. Aşağıdaki diyagramda SP tarafından başlatılan akış gösterilmektedir.

1. Kullanıcı uygulama uç noktasına (BIG-IP) bağlanır.
2. BIG-IP APM erişim ilkesi, kullanıcıyı Microsoft Entra ID'ye (SAML IdP) yönlendirir.
3. Microsoft Entra, kullanıcıyı önceden doğrular ve Koşullu Erişim ilkeleri uygular.
4. Kullanıcı BIG-IP'ye (SAML SP) yönlendirilir. SSO, verilen SAML belirteci kullanılarak gerçekleşir.
5. BIG-IP, Microsoft Entra özniteliklerini uygulama isteğine üst bilgi olarak ekler.
6. Uygulama isteği yetkiler ve yük döndürür.

Önkoşullar

• Microsoft Entra ID Ücretsiz hesabı veya üzeri
  • Hesabınız yoksa ücretsiz bir Azure hesabı edinin
• Azure'da BIG-IP veya BIG-IP Sanal Sürümü (VE)
  • Bkz. Azure'da F5 BIG-IP Virtual Edition VM'sini dağıtma
• Aşağıdaki F5 BIG-IP lisanslarından herhangi biri:
  • F5 BIG-IP® En iyi paket
  • F5 BIG-IP APM tek başına lisansı
  • Mevcut bir BIG-IP F5 BIG-IP Local Traffic Manager™ (LTM) üzerinde F5 BIG-IP® APM eklenti lisansı
  • 90 günlük BIG-IP tam özellik deneme lisansı
• Bir şirket içi dizinden Microsoft Entra Kimliği'ne eşitlenen veya Microsoft Entra Kimliği'nde oluşturulan ve şirket içi dizine geri akıtılan kullanıcı kimlikleri
  • Bkz. Microsoft Entra Bağlan Sync: Eşitlemeyi anlama ve özelleştirme
• Aşağıdaki rollerden biri: Cloud Application Yönetici istrator veya Application Yönetici istrator
• HTTPS üzerinden hizmet yayımlamak veya test için varsayılan BIG-IP sertifikalarını kullanmak için SSL Web sertifikası
  • Bkz. Azure'da F5 BIG-IP Virtual Edition VM'sini dağıtma
• Oracle JDE ortamı

BIG-IP yapılandırması

Bu öğreticide Kolay Düğme şablonuyla Destekli Yapılandırma 16.1 kullanılmaktadır. Kolay Düğme ile yöneticiler, SHA hizmetlerini etkinleştirmek için Microsoft Entra ID ile BIG-IP arasında geçiş yapamaz. APM Destekli Yapılandırma sihirbazı ve Microsoft Graph dağıtım ve ilke yönetimini işler. Tümleştirme, uygulamaların kimlik federasyonu, SSO ve Koşullu Erişim'i desteklemesini sağlar.

Not

Bu öğreticideki örnek dizeleri veya değerleri ortamınızdakilerle değiştirin.

Kolay Düğmesini Kaydetme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

bir istemci veya hizmet Microsoft Graph'a erişmeden önce, Microsoft kimlik platformu buna güvenmesi gerekir.

Daha fazla bilgi edinin: Hızlı Başlangıç: Uygulamayı Microsoft kimlik platformu kaydetme

Aşağıdaki yönergeler, Graph'e Kolay Düğme erişimini yetkilendirmek için bir kiracı uygulaması kaydı oluşturmanıza yardımcı olur. Bu izinlerle BIG-IP, yayımlanan uygulama için SAML SP örneği ile SAML IdP olarak Microsoft Entra ID arasında güven oluşturmak üzere yapılandırmaları yönlendirir.

1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

2. Kimlik>Uygulamaları> Uygulama kayıtları> Yeni kayıt'a göz atın.

3. Bir uygulama Adı girin.

4. Yalnızca bu kuruluş dizinindeki Hesaplar için uygulamayı kimin kullandığını belirtin.

5. Kaydet'i seçin.

6. API izinleri'ne gidin.

7. Aşağıdaki Microsoft Graph Uygulaması izinlerini yetkileyin:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • policy.read.all
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Kuruluşunuza yönetici onayı verin.

9. Sertifikalar ve Gizli Diziler'e gidin.

10. Yeni bir gizli dizi oluşturun ve not edin.

11. Genel Bakış'a gidin ve İstemci Kimliği ile Kiracı Kimliği'ni not edin

Kolay Düğmesini Yapılandırma

1. APM Destekli Yapılandırmayı başlatın.

2. Kolay Düğme şablonunu başlatın.

3. Access > Destekli Yapılandırma'ya gidin.

4. Microsoft Tümleştirme'yi seçin.

5. Microsoft Entra Application'ı seçin.

6. Yapılandırma dizisini gözden geçirin.

7. İleri'yi seçin

8. Yapılandırma dizisini izleyin.

   

Yapılandırma Özellikleri

Yeni uygulama yapılandırmalarını ve SSO nesnelerini almak için Yapılandırma Özellikleri sekmesini kullanın. Azure Hizmet Hesabı Ayrıntıları bölümü, Microsoft Entra kiracısında uygulama olarak kaydettiğiniz istemciyi temsil eder. KIRACıya SSO özellikleriyle bir SAML SP kaydetmek için BIG-IP OAuth istemcisinin ayarlarını kullanın. Kolay Düğme, SHA için yayımlanan ve etkinleştirilen BIG-IP hizmetleri için bu eylemi yapar.

Not

Aşağıdaki ayarlardan bazıları geneldir. Daha fazla uygulama yayımlamak için bunları yeniden kullanabilirsiniz.

1. Çoklu Oturum Açma (SSO) ve HTTP Üst Bilgileri için Açık'ı seçin.

2. Not ettiğiniz Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı'nı girin.

3. BIG-IP'nin kiracıya bağlanıp bağlanmayacağını onaylayın.

4. İleri'yi seçin

   

Hizmet Sağlayıcısı

Hizmet Sağlayıcısı ayarları, SHA aracılığıyla korunan uygulamanın SAML SP örneğinin özelliklerini tanımlar.

1. Konak alanına güvenli uygulamanın genel FQDN'sini girin.

2. Varlık Kimliği için Microsoft Entra Id'nin belirteç isteyen SAML SP'yi tanımlamak için kullandığı tanımlayıcıyı girin.

   

3. (İsteğe bağlı) Güvenlik Ayarlar için Microsoft Entra Id'nin verilen SAML onaylarını şifrelediğini belirtin. Bu seçenek, içerik belirteçlerinin ele geçirilmez ve verilerin gizliliğinin tehlikeye atılmasına karşı güvenceyi artırır.

4. Onay Şifre Çözme Özel Anahtarı listesinden Yeni Oluştur'u seçin.

   

5. Tamam'ı seçin.

6. SSL Sertifikasını ve Anahtarlarını İçeri Aktar iletişim kutusu yeni bir sekmede görüntülenir.

7. İçeri Aktarma Türü için PKCS 12 (IIS) öğesini seçin. Bu seçenek sertifikanızı ve özel anahtarınızı içeri aktarır.

8. Ana sekmeye dönmek için tarayıcı sekmesini kapatın.

   

9. Şifrelenmiş Onaylamayı Etkinleştir için kutuyu işaretleyin.

10. Şifrelemeyi etkinleştirdiyseniz Onay Şifre Çözme Özel Anahtarı listesinden sertifikanızı seçin. Bu özel anahtar, BIG-IP APM'nin Microsoft Entra onaylarının şifresini çözmek için kullandığı sertifikaya yöneliktir.

11. Şifrelemeyi etkinleştirdiyseniz Onay Şifre Çözme Sertifikası listesinden sertifikanızı seçin. BIG-IP, verilen SAML onaylarını şifrelemek için bu sertifikayı Microsoft Entra Id'ye yükler.

Microsoft Entra Kimlik

Kolay Düğme'de Oracle Kişiler Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP ve genel bir SHA şablonu için şablonlar bulunur.

1. F5 BIG-IP tarafından korunan JD Edwards'ı seçin.
2. Ekle'yi seçin.

Azure Yapılandırması

1. Kiracıda BIG-IP'nin oluşturduğu uygulama için Görünen Ad girin. Ad, Uygulamalarım bir simgede görünür.

2. (İsteğe bağlı) Oturum Açma URL'si için Kişiler Soft uygulaması genel FQDN'sini girin.

3. İmzalama Anahtarı ve İmzalama Sertifikası'nın yanında yenile'yi seçin. Bu eylem, içeri aktardığınız sertifikayı bulur.

4. İmzalama Anahtarı Parolası için sertifika parolasını girin.

5. (İsteğe bağlı) İmzalama Seçeneği için bir seçenek belirleyin. Bu seçim, BIG-IP'nin Microsoft Entra Id tarafından imzalanan belirteçleri ve talepleri kabul etmesini sağlar.

   

6. Kullanıcı ve Kullanıcı Grupları , Microsoft Entra kiracısından dinamik olarak sorgulanır.

7. Test için bir kullanıcı veya grup ekleyin; aksi takdirde erişim reddedilir.

   

Kullanıcı Öznitelikleri ve Talepleri

Bir kullanıcı kimlik doğrulaması yaparken, Microsoft Entra Id kullanıcıyı tanımlayan varsayılan talepler ve öznitelikler içeren bir SAML belirteci verir. Kullanıcı Öznitelikleri ve Talepler sekmesinde yeni uygulama için verilmesi gereken varsayılan talepler vardır. Daha fazla talep yapılandırmak için bunu kullanın.

Gerekirse, diğer Microsoft Entra özniteliklerini ekleyin. Oracle JDE senaryosu için varsayılan öznitelikler gerekir.

Ek Kullanıcı Öznitelikleri

Ek Kullanıcı Öznitelikleri sekmesi, özniteliklerin oturum büyütme için diğer dizinlerde depolanmasını gerektiren dağıtılmış sistemleri destekler. Ldap kaynağındaki öznitelikler, rollere, İş Ortağı Kimliklerine vb. göre erişimi denetlemek için daha fazla SSO üst bilgisi olarak eklenir.

Not

Bu özelliğin Microsoft Entra Kimliği ile bir bağıntısı yoktur; başka bir öznitelik kaynağıdır.

Koşullu Erişim İlkesi

Koşullu Erişim ilkeleri, cihaz, uygulama, konum ve risk sinyallerine göre erişimi denetlemek için Microsoft Entra ön kimlik doğrulaması sonrasında uygulanır. Kullanılabilir İlkeler görünümünde kullanıcı eylemi olmayan Koşullu Erişim ilkeleri vardır. Seçili İlkeler görünümünde bulut uygulamalarını hedefleyen ilkeler vardır. Kiracı düzeyinde uygulandığından bu ilkelerin seçimini kaldıramaz veya Kullanılabilir İlkeler listesine taşıyamazsınız.

Uygulama için bir ilke seçin.

1. Kullanılabilir İlkeler listesinde bir ilke seçin.
2. Sağ oku seçin ve ilkeyi Seçili İlkeler'e taşıyın.

Seçili ilkelerde Ekle veya Dışla seçeneği işaretlidir. Her iki seçenek de işaretliyse, ilke uygulanmaz.

Not

İlke listesi, sekmeyi seçtiğinizde bir kez görüntülenir. Kiracıyı sorgulamak için sihirbaz için Yenile'yi kullanın. Bu seçenek, uygulama dağıtıldıktan sonra görünür.

Sanal Sunucu Özellikleri

Sanal sunucu, sanal IP adresiyle temsil edilen bir BIG-IP veri düzlemi nesnesidir. Sunucu, uygulamaya yönelik istemci isteklerini dinler. Alınan trafik sanal sunucu APM profiline göre işlenir ve değerlendirilir. Ardından trafik ilkeye göre yönlendirilir.

1. Hedef Adres alanına, istemci trafiğini almak için BIG-IP'nin kullandığı IPv4 veya IPv6 adresini girin. DNS'de, istemcilerin yayımlanan uygulamanın DıŞ URL'sini IP'ye çözümlemesini sağlayan ilgili kayıt görüntülenir. Test için bir test bilgisayarı localhost DNS kullanın.

2. Hizmet Bağlantı Noktası için 443 yazın ve HTTPS'yi seçin.

3. Yeniden Yönlendirme Bağlantı Noktasını Etkinleştir için kutuyu işaretleyin.

4. Yeniden Yönlendirme Bağlantı Noktası için 80 girin ve HTTP'yi seçin. Bu seçenek, gelen HTTP istemci trafiğini HTTPS'ye yönlendirir.

5. İstemci SSL Profili için Var Olanı Kullan'ı seçin.

6. Ortak'ın altında oluşturduğunuz seçeneği belirleyin. Test ediyorsanız varsayılan değeri değiştirmeyin. İstemci SSL Profili, HTTPS için sanal sunucuyu etkinleştirir, bu nedenle istemci bağlantıları TLS üzerinden şifrelenir.

   

Havuz Özellikleri

Uygulama Havuzu sekmesinde, uygulama sunucuları içeren bir havuz olarak temsil edilen BIG-IP'nin arkasında hizmetler bulunur.

1. Havuz Seçin için Yeni Oluştur'u seçin veya birini seçin.

2. Yük Dengeleme Yöntemi için Hepsini Bir Kez Deneme'yi seçin.

3. Havuz Sunucuları için, IP Adresi/Düğüm Adı alanına bir düğüm seçin veya Oracle JDE uygulamasını barındıran sunucular için bir IP ve bağlantı noktası girin.

   

Çoklu Oturum Açma ve HTTP Üst Bilgileri

Kolay Düğme sihirbazı, yayımlanan uygulamalar için SSO için Kerberos, OAuth Taşıyıcı ve HTTP yetkilendirme üst bilgilerini destekler. Kişiler Soft uygulaması üst bilgiler bekler.

1. HTTP Üst Bilgileri için kutuyu işaretleyin.

2. Üst Bilgi İşlemi için değiştir'i seçin.

3. Üst Bilgi Adı için JDE_SSO_UID girin.

4. Üst Bilgi Değeri için %{session.sso.token.last.username} girin.

   

   Not

   Küme ayraçlarındaki APM oturum değişkenleri büyük/küçük harfe duyarlıdır. Örneğin, OrclGUID girerseniz ve öznitelik adı orclguid ise öznitelik eşlemesi başarısız olur.

Oturum Yönetimi

Kullanıcı oturumlarının sonlandırılmasına veya devam edilmesine yönelik koşulları tanımlamak için BIG-IP Oturum Yönetimi ayarlarını kullanın. Kullanıcılar ve IP adresleri ve ilgili kullanıcı bilgileri için sınırlar ayarlayın.

Daha fazla bilgi edinmek için K18390492 için support.f5.com: Güvenlik | BIG-IP APM işlemleri kılavuzu

İşlemler kılavuzunda, kullanıcılar oturumu kapattığında IdP, BIG-IP ve kullanıcı aracısı oturumlarının sona ermesini sağlayan tek oturum kapatma (SLO) işlevi ele alınmaz. Kolay Düğme, Microsoft Entra kiracısında bir SAML uygulamasının örneğini oluşturduğunda, Oturumu Kapatma URL'sini APM SLO uç noktasıyla doldurur. IdP tarafından başlatılan Uygulamalarım oturumu kapatma, BIG-IP ve istemci oturumlarını sonlandırır.

Yayımlanan uygulama SAML federasyon verileri kiracıdan içeri aktarılır. Bu eylem, APM'ye Microsoft Entra Id için SAML oturumu kapatma uç noktasını sağlar. Bu, SP tarafından başlatılan oturumu kapatmanın istemciyi ve Microsoft Entra oturumlarını sonlandırmasını sağlar. APM'nin bir kullanıcı oturumu kapattığında bunu bilmesi gerekir.

BIG-IP webtop portalı yayımlanan uygulamalara eriştiğinde APM, Microsoft Entra oturumu kapatma uç noktasını çağırmak için bir oturumu kapatma işlemini işler. BIG-IP webtop portalı kullanılmıyorsa, kullanıcı APM'ye oturumu kapatmasını emredemez. Kullanıcı uygulamanın oturumunu kapatırsa, BIG-IP'nin kullanım dışı olması gerekir. SP tarafından başlatılan oturumu kapatmanın güvenli oturum sonlandırması gerekir. İstemcinizi Microsoft Entra SAML veya BIG-IP oturumu kapatma uç noktasına yönlendirmek için uygulama oturumu kapatma düğmesine bir SLO işlevi ekleyin. Uygulama Kayıtları > Uç Noktaları'nda kiracınız için SAML oturumu kapatma uç noktası URL'si.

Uygulamayı değiştiremiyorsanız, BIG-IP'nin uygulama oturumu kapatma çağrılarını dinlemesini ve ardından SLO'nun tetikle olmasını sağlayabilirsiniz.

Daha fazla bilgi edinin: Öğretici: SSO için F5 BIG-IP Kolay Düğmesini Oracle Kişiler Soft, Kişiler Soft TekLi Oturumu Kapatma'ya yapılandırma

Daha fazla bilgi edinmek için şu support.f5.com gidin:

• K42052145: URI'ye başvurulan dosya adına göre otomatik oturum sonlandırmayı (oturumu kapatma) yapılandırma
• K12056: Oturumu Kapatma URI'sini ekleme seçeneğine genel bakış.

Dağıtım

1. Dağıt'ı seçin.
2. Uygulamanın Kurumsal uygulamalar kiracı listesinde olduğunu doğrulayın.

Yapılandırmayı onaylama

1. Tarayıcı kullanarak Oracle JDE uygulamasının dış URL'sine bağlanın veya Uygulamalarım uygulama simgesini seçin.

2. Microsoft Entra Id kimlik doğrulaması yapın.

3. Uygulama için BIG-IP sanal sunucusuna yeniden yönlendirilirsiniz ve SSO ile oturum açtınız.

   Not

   Uygulamaya doğrudan erişimi engelleyebilir ve böylece BIG-IP üzerinden bir yol zorunlu hale gelebilirsiniz.

Gelişmiş dağıtım

Bazen Kılavuzlu Yapılandırma şablonları esneklikten yoksun olur.

Daha fazla bilgi edinin: Öğretici: Üst bilgi tabanlı SSO için F5 BIG-IP Erişim İlkesi Yöneticisi'ni yapılandırma

Alternatif olarak, BIG-IP'de Destekli Yapılandırma katı yönetim modunu devre dışı bırakın. Yapılandırmaların çoğu sihirbaz şablonlarıyla otomatikleştirilmiş olsa da yapılandırmaları el ile değiştirebilirsiniz.

1. Access > Destekli Yapılandırma'ya gidin.

2. Satırın sonunda asma kilidi seçin.

   

Sihirbaz kullanıcı arabiriminde değişiklik yapılamaz, ancak uygulama tarafından yayımlanan örnekle ilişkilendirilmiş BIG-IP nesnelerinin kilidi yönetim için açılır.

Not

Katı modu yeniden oluşturduğunuzda ve bir yapılandırma dağıttığınızda, Destekli Yapılandırma dışında gerçekleştirilen ayarların üzerine yazılır. Üretim hizmetleri için gelişmiş yapılandırma önerilir.

Sorun giderme

Bağlantı, SSO, ilke ihlalleri veya yanlış yapılandırılmış değişken eşlemeleriyle ilgili sorunları yalıtmak için BIG-IP günlüğünü kullanın.

Günlük ayrıntı düzeyi

1. Erişim İlkesine > Genel Bakış'a gidin.
2. Olay Günlükleri'ne tıklayın.
3. Ayarlar'ı seçin.
4. Yayımlanan uygulamanızın satırını seçin.
5. Düzenle'yi seçin.
6. Erişim Sistem Günlükleri'ni seçin
7. SSO listesinden Hata Ayıkla'yı seçin.
8. Tamam'ı seçin.
9. Sorunu yeniden oluşturun.
10. Günlükleri inceleyin.

Tamamlandığında, ayrıntılı mod çok fazla veri oluşturduğundan bu özelliği geri döndürebilirsiniz.

BIG-IP hata iletisi

Microsoft Entra ön kimlik doğrulamasından sonra BIR BIG-IP hatası görünürse, sorun Microsoft Entra Id ile BIG-IP SSO arasında olabilir.

1. Access'e > Genel Bakış'a gidin.
2. Raporlara eriş'i seçin.
3. Raporu son bir saat boyunca çalıştırın.
4. İpuçları için günlükleri gözden geçirin.

APM'nin beklenen Microsoft Entra taleplerini aldığını onaylamak için oturumun Oturumu görüntüle bağlantısını kullanın.

BIG-IP hata iletisi yok

BIG-IP hata iletisi görüntülenmezse sorun arka uç isteğiyle veya UYGULAMA SSO'sunun BIG-IP ile ilgili olabilir.

1. Erişim İlkesine > Genel Bakış'a gidin.
2. Etkin Oturumlar'ı seçin.
3. Etkin oturum bağlantısını seçin.

Özellikle BIG-IP APM oturum değişkenlerinden yanlış öznitelikler alırsa, SSO sorunlarını belirlemek için Değişkenleri Görüntüle bağlantısını kullanın.

Daha fazla bilgi edinin:

• APM değişken atama örnekleri için devcentral.f5.com gidin
• Oturum Değişkenleri için techdocs.f5.com gidin