分享方式:


教學課程:設定 SSO 至 Oracle JDE 的 F5 BIG-IP 簡易按鈕

在本教學課程,瞭解如何使用 Microsoft Entra ID 保護 Oracle JD Edwards (JDE),並搭配 F5 BIG-IP 簡易按鈕引導式設定。

BIG-IP 與 Microsoft Entra ID 的整合,取得許多優點:

深入了解:

案例說明

本教學課程使用 Oracle JDE 應用程式,使用 HTTP 授權標頭來管理受保護內容的存取權。

舊版應用程式缺少新式通訊協定,可支援 Microsoft Entra ID 整合。 現代化成本高昂,需要規劃,並帶來潛在的停機時間風險。 相反地,使用 F5 BIG-IP 應用程式傳遞控制器 (ADC) 來橋接舊版應用程式與新式識別碼控制之間的差距,並轉換通訊協定。

在應用程式前面使用 BIG-IP,您可以使用 Microsoft Entra 預先驗證和標頭型 SSO 來重疊服務。 此操作可改善應用程式的安全性態勢。

案例架構

此案例的 SHA 解決方案是由數個元件所構成:

  • Oracle JDE 應用程式 - 由 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
  • Microsoft Entra ID - 安全性聲明標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取,以及對 BIG-IP 的 SAML 型 SSO
    • 透過 SSO,Microsoft Entra ID 提供 BIG-IP 的工作階段屬性
  • BIG-IP - 應用程式的反向 Proxy 和 SAML 服務提供者 (SP)
    • BIG-IP 會將驗證委派給 SAML IdP,然後對 Oracle 服務執行標頭型 SSO

本教學課程中,SHA 支援由 SP 和 IdP 起始的流程。 下圖說明 SP 起始的流程。

使用 SP 起始流程的安全混合式存取圖表。

  1. 使用者會連線到應用程式端點 (BIG-IP)。
  2. BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)。
  3. Microsoft Entra 會預先驗證使用者,並套用條件式存取原則。
  4. 使用者會重新導向至 BIG-IP (SAML SP)。 SSO 會使用發行的 SAML 權杖進行。
  5. BIG-IP 會在應用程式要求中插入 Microsoft Entra 屬性作為標頭。
  6. 應用程式會授權要求並回傳酬載。

必要條件

BIG-IP 設定

本教學課程使用引導式設定 16.1 搭配簡易按鈕範本。 使用「簡易按鈕」時,系統管理員不會在 Microsoft Entra ID 與 BIG-IP 之間切換,啟用 SHA 服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 此整合可確保應用程式支援識別身分同盟、SSO 及條件式存取。

注意

請以環境中的字串或值取代本教學課程中的範例字串或值。

註冊簡易按鈕

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

在用戶端或服務存取 Microsoft Graph 之前,Microsoft 身分識別平台必須予以信任。

深入瞭解:快速入門:向 Microsoft 身分識別平台註冊應用程式

下列指示可協助您建立租用戶應用程式註冊,以授權簡易按鈕存取圖表。 有了這些權限,BIG-IP 會推送組態,建立SAML SP 實例與已發行應用程式的之間的信任,並將 Microsoft Entra ID 作為 SAML IdP。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[應用程式]>[應用程式註冊]>[新增註冊]

  3. 輸入應用程式 [名稱]

  4. 針對此組織目錄中帳戶,請指定誰使用應用程式。

  5. 選取 [註冊]

  6. 瀏覽至 [API 權限]

  7. 授權下列 Microsoft Graph [應用程式權限]:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. 授與系統管理員同意您的組織。

  9. 移至 [憑證和密碼]

  10. 產生新的用戶端密碼,並記下。

  11. 請移至 [概觀],並記下 [用戶端識別碼] 和 [租用戶識別碼]

設定 [簡易按鈕]

  1. 起始 APM 引導式設定。

  2. 啟動簡易按鈕範本。

  3. 瀏覽至 [存取 > 引導式設定]

  4. 選取 [Microsoft 整合]

  5. 選取 [Microsoft Entra 應用程式]

  6. 檢閱設定排序。

  7. 選取 [下一步]

  8. 遵循設定排序。

    「Microsoft Entra Application Configuration」底下的設定排序螢幕擷取畫面。

組態屬性

使用 [設定屬性] 索引標籤來建立新的應用程式組態和 SSO 物件。 Azure 服務帳戶詳細資料一節代表,您在 Microsoft entra 租用戶中註冊的應用程式型用戶端。 使用 BIG-IP OAuth 客戶端的設定,使用 SSO 屬性在租用戶中註冊 SAML SP。 簡易按鈕會為針對 SHA 發佈並啟用的 BIG-IP 服務執行此操作。

注意

下列部分設定是全域設定。 您可以重複用來發佈更多應用程式。

  1. 針對單一登入 (SSO) 和 HTTP 標頭,選取 [開啟]
  2. 輸入租用戶識別碼、用戶端識別碼,以及您注意到的用戶端密碼
  3. 確認 BIG-IP 連線至租用戶。
  4. 選取 [下一步]

服務提供者

服務提供者設定定義透過受 SHA 保護的應用程式 SAML SP 執行個體屬性。

  1. 針對主機,輸入安全應用程式的公用 FQDN。

  2. 針對實體識別碼,輸入 Microsoft Entra ID 使用此識別碼來識別要求權杖的 SAML SP。

    服務提供者的螢幕擷取畫面選項和選取項目。

  3. (選用)針對安全性設定,指出發行的 SAML 判斷提示的 Microsoft Entra ID 加密。 此選項會增加保證不會攔截內容權杖,也不會發生資料遭入侵。

  4. 從 [判斷提示解密私密金鑰] 清單中,選取 [新建]

    「判斷提示解密私密金鑰」清單中的「新建」螢幕擷取畫面。

  5. 選取 [確定]

  6. 匯入 SSL 憑證和金鑰 對話方塊會顯示在新的索引標籤。

  7. 針對匯入類型,請選取 [PKCS 12 (IIS)]。 這個選項會匯入您的憑證和私密金鑰。

  8. 關閉瀏覽器索引標籤以返回主要索引標籤。

    「SSL 憑證和金鑰來源」選項和選取項目的螢幕擷取畫面

  9. 針對啟用加密判斷提示,核取此方塊。

  10. 如果您已啟用加密,從判斷提示解密私密金鑰清單中選取憑證。 這是 BIG-IP APM 用來解密 Microsoft Entra 判斷提示的憑證私密金鑰。

  11. 如果您已啟用加密,從判斷提示解密憑證清單中選取憑證。 BIG-IP 會將此憑證上傳至 Microsoft Entra ID,將發行的 SAML 判斷提示加密。

「安全性設定」選項和選取項目的螢幕擷取畫面。

Microsoft Entra ID

「簡易按鈕」具有 Oracle PeopleSoft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 及一般 SHA 範本的範本。

  1. 選取 [受 F5 BIG-IP 保護的 JD Edwards]
  2. 選取 [新增]

Azure 設定

  1. 針對租用戶中建立的應用程式 BIG-IP,輸入顯示名稱。 名稱會出現在我的應用程式中的圖示上。

  2. (選用)如需登入 URL,輸入 PeopleSoft 應用程式公用 FQDN。

  3. 在 [簽署金鑰] 和 [簽署憑證]旁邊,選取 [重新整理]。 此操作會找出您匯入的憑證。

  4. 針對簽署金鑰複雜密碼,請輸入憑證密碼。

  5. (選用)針對簽署選項,請選取選項。 此選取項目可確保 BIG-IP 接受由 Microsoft Entra ID 簽署的權杖和宣告。

    「SAML 簽署憑證」下「簽署金鑰、簽署憑證和簽署金鑰複雜密碼」項目的螢幕擷取畫面。

  6. 使用者和使用者群組會從 Microsoft Entra 租用戶動態查詢。

  7. 新增用於測試的使用者或群組,否則存取會被拒絕。

    「使用者和使用者群組」下「新增」選項的螢幕擷取畫面。

使用者屬性與宣告

當使用者進行驗證時,Microsoft Entra ID 發出 SAML 權杖,其中包含識別使用者的預設宣告和屬性。 使用者屬性與宣告 索引標籤會針對新應用程式發出的預設宣告。 用其來設定更多宣告。

使用者屬性和宣告選項的螢幕擷取畫面。

如有需要,請包含其他 Microsoft Entra 屬性。 Oracle JDE 案例需要預設屬性。

其他使用者屬性

其他使用者屬性索引標籤會支援分散式系統,而這些系統需要其他目錄中所儲存的屬性來進行工作階段增強。 插入自 LDAP 來源的屬性作為更多 SSO 標頭,以根據角色、合作夥伴識別碼等來控制存取。

注意

這項功能與 Microsoft Entra ID 沒有關聯;這是另一個屬性來源。

條件式存取原則

條件式存取原則會在 Microsoft Entra 預先驗證後強制執行,根據裝置、應用程式、位置和風險訊號來控制存取。 可用的原則 檢視具有無使用者動作的條件式存取原則。 選取的原則 檢視具有雲端應用程式為目標的原則。 您無法取消選取或將這些原則移至「可用的原則」清單,因為這些會在租用戶層級強制執行。

選取應用程式的原則。

  1. 可用的原則清單中選取原則。
  2. 選取 [向右鍵],並將原則移至選取的原則

選取的原則已核取 [包含] 或 [排除] 選項。 如果同時核取這兩個選項,則不會強制執行原則。

「條件式存取原則」索引標籤上「選取的原則」已排除原則的螢幕擷取畫面。

注意

當選取索引標籤時,原則清單會出現一次。使用重新整理精靈來查詢租用戶。 這個選項會出現在部署應用程式之後。

虛擬伺服器屬性

虛擬伺服器是一種以虛擬 IP 位址表示的 BIG-IP 資料平面物件。 伺服器會接聽用戶端對應用程式的要求。 接收的流量會根據虛擬伺服器 APM 設定檔進行處理和評估。 然後,流量會根據原則進行導向。

  1. 針對目的地位址,輸入 IPv4 或 IPv6 位址 BIG-IP 用來接收用戶端流量。 DNS 中會出現對應的記錄,可讓用戶端將已發佈應用程式的外部 URL 解析為 IP。 使用測試電腦 localhost DNS 進行測試。

  2. 針對服務連接埠,輸入 [443] 並選取 [HTTPS]

  3. 針對啟用重新導向轉接連接埠,請核取此方塊。

  4. 針對重新導向轉接連接埠,輸入 [80] 並選取 [HTTP]。 此選項會將傳入的 HTTP 用戶端流量重新導向至 HTTPS。

  5. 針對用戶端 SSL 設定檔,選取 [使用現存]

  6. 在 [一般] 下選取您所建立的選項。 如果測試,請保留預設值。 用戶端 SSL 設定檔會啟用適用 HTTPS 的虛擬伺服器,因此可以透過 TLS 加密用戶端連線。

    虛擬伺服器屬性的選項和選取項目的螢幕擷取畫面。

集區屬性

應用程式集區 索引標籤會將受 BIG-IP 保護的服務,而這些服務以應用程式伺服器的集區表示。

  1. 針對選取集區,請選取 [新建],或選取一個。

  2. 針對負載平衡方法,選取 [循環配置資源]

  3. 針對集區伺服器,請在 [IP 位址/節點名稱] 中選取節點,或輸入裝載 PeopleSoft 應用程式之伺服器的 IP 和連接埠。

    「集區屬性」上「IP 位址/節點名稱和連接埠」選項的螢幕擷取畫面。

單一登入和 HTTP 標頭

「簡易按鈕精靈」支援 Kerberos、OAuth 持有人和 HTTP 授權標頭,對已發佈應用程式進行 SSO。 PeopleSoft 應用程式需要標頭。

  1. 針對HTTP 標頭,核取此方塊。

  2. 針對標頭作業,選取 [取代]

  3. 針對標頭名稱,輸入 [PS_SSO_UID]

  4. 針對標頭值,輸入 [%{session.sso.token.last.username}]

    「單一登入與 HTTP 標頭」底下「標頭作業、標頭名稱及標頭值」項目的螢幕擷取畫面。

    注意

    大括弧內的 APM 工作階段變數會區分大小寫。 例如,如果您輸入 OrclGUID,而且屬性名稱為 orclguid,則屬性對應會失敗。

工作階段管理

使用 BIG-IP 工作階段管理設定來定義使用者工作階段終止或接續的條件。 設定使用者和 IP 位址的限制,以及對應的使用者資訊。

若要深入瞭解,請移至 support.f5.com,參閱K18390492:安全性 | BIG-IP APM 操作指南

作業指南中未涵蓋單一註銷 (SLO) 功能,可確保當使用者登出時,IdP、BIG-IP 及使用者代理程式工作階段會終止。當「簡易按鈕」在 Microsoft Entra 租用戶中具現化 SAML 應用程式時,它會將 APM SLO 端點填入登出 URL。 從我的應用程式起始的 IdP 起始登出會終止 BIG-IP 和用戶端工作階段。

已發佈的應用程式 SAML 同盟資料會從租用戶匯入。 此操作會為 APM 提供 SAML 登出端點,以取得 Microsoft Entra ID,以確保 SP 起始的登出會終止用戶端和 Microsoft Entra 工作階段。 APM 需要知道使用者何時登出。

當使用 BIG-IP Webtop 入口網站存取已發佈的應用程式時,APM 會處理登出程序,以呼叫 Microsoft Entra 登出端點。 如果未使用 BIG-IP Webtop 入口網站,使用者就無法指示 APM 登出。如果使用者登出應用程式,BIG-IP 也毫無警示。 SP 起始的登出需要安全的工作階段終止。 將 SLO 函式新增至您的應用程式 [登出]按鈕,將用戶端重新導向至 Microsoft Entra SAML 或 BIG-IP 登出端點。 應用程式註冊 > 端點中的租用戶的 SAML 登出端點 URL。

如果您無法變更應用程式,請考慮讓 BIG-IP 接聽應用程式登出呼叫,然後觸發 SLO。

深入瞭解:教學課程:設定 F5 BIG-IP Easy Button for SSO to Oracle PeopleSoft,PeopleSoft 單一登出

若要深入瞭解,請移至 support.f5.com,參閱

部署

  1. 選取 [部署]
  2. 確認企業應用程式是租用戶清單中的應用程式。

確認設定

  1. 使用瀏覽器,連線到 Oracle JDE 應用程式的外部 URL,或選取 [我的應用程式] 中的應用程式圖示。

  2. 對 Microsoft Entra ID 進行驗證。

  3. 系統會將您重新導向至應用程式的 BIG-IP 虛擬伺服器,並使用 SSO 登入。

    注意

    您可以封鎖對應用程式的直接存取,藉此強制執行透過 BIG-IP 的路徑。

進階部署

引導式設定範本有時缺乏彈性。

深入瞭解:教學課程:針對標頭型 SSO 設定 F5 BIG-IP 的存取原則管理員

或者,在 BIG-IP 中停用引導式設定 strict管理模式。 可以手動變更組態,不過大部分的組態都是使用精靈範本自動化的。

  1. 瀏覽至 [存取 > 引導式設定]

  2. 在資料列結尾,選取 [掛鎖]

    掛鎖圖示的螢幕擷取畫面。

您無法使用精靈 UI 進行變更,但與應用程式發行執行個體相關聯的 BIG-IP 物件會解除鎖定以進行管理。

注意

重新啟用 strict 模式並部署組態時,會覆寫在引導式設定外部執行的設定。 我們建議用於生產服務的進階設定。

疑難排解

使用 BIG-IP 記錄來隔離與連線能力、SSO、原則違規或變數對應設定錯誤的問題。

記錄詳細程度

  1. 瀏覽至 [存取原則 > 概觀]
  2. 選取 [事件記錄]
  3. 選取 [設定]
  4. 選取已發佈應用程式的資料列。
  5. 選取 [編輯]
  6. 選取 [存取系統記錄]
  7. 從 SSO 清單中,選取 [偵錯]
  8. 選取 [確定]
  9. 重現您的問題。
  10. 檢查記錄。

完成時,請還原此功能,因為詳細資訊模式會產生大量資料。

BIG-IP 錯誤訊息

如果在 Microsoft Entra 預先驗證之後出現 BIG-IP 錯誤,問題可能與 BIG-IP SSO Microsoft Entra ID 有關。

  1. 瀏覽至 [存取 > 概觀]
  2. 選取 [存取報告]
  3. 執行過去一小時的報告。
  4. 檢閱記錄以取得線索。

使用工作階段的檢視工作階段連結來確認 APM 收到預期的 Microsoft Entra 宣告。

沒有 BIG-IP 錯誤訊息

如果沒有出現 BIG-IP 錯誤訊息,則問題可能與後端要求或 BIG-IP 至應用程式的 SSO 有關。

  1. 瀏覽至 [存取原則 > 概觀]
  2. 選取 [作用中工作階段]
  3. 選取使用中工作階段連結。

使用檢視變數連結來判斷 SSO 問題,特別是當 BIG-IP APM 從工作階段變數取得不正確的屬性時。

深入了解: