教學課程：設定 SSO 至 Oracle PeopleSoft 的 F5 BIG-IP 簡易按鈕

在本文，瞭解如何使用 Microsoft Entra ID 保護 Oracle PeopleSoft (PeopleSoft)，並搭配 F5 BIG-IP 簡易按鈕引導式設定 16.1。

BIG-IP 與 Microsoft Entra ID 的整合，取得許多優點：

• 透過 Microsoft Entra 預先驗證和條件式存取，改善了零信任治理
  • 請參閱，啟用遠端工作的零信任架構
  • 請參閱條件式存取是什麼？
• Microsoft Entra ID 與 BIG-IP 已發佈服務之間的單一登入 (SSO)
• 從 Microsoft Entra 系統管理中心 管理身分識別與存取權

深入了解：

• 整合 F5 BIG-IP 與 Microsoft Entra ID
• 啟用企業應用程式的單一登入

案例說明

在本教學課程，使用 HTTP 授權標頭來管理受保護內容的存取權的 PeopleSoft 應用程式。

舊版應用程式缺少新式通訊協定，可支援 Microsoft Entra ID 整合。 現代化成本高昂，需要規劃，並帶來潛在的停機時間風險。 相反地，使用 F5 BIG-IP 應用程式傳遞控制器 (ADC) 來橋接舊版應用程式與新式識別碼控制之間的差距，並轉換通訊協定。

在應用程式前面使用 BIG-IP，您可以使用 Microsoft Entra 預先驗證和標頭型 SSO 來重疊服務。 此操作可改善應用程式的安全性態勢。

注意

使用 Microsoft Entra 應用程式 Proxy 來遠端存取這種類型的應用程式。
請參閱，透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署的應用程式。

案例架構

本教學課程的安全混合式存取 (SHA) 解決方案具有下列元件：

• PeopleSoft 應用程式 - 由 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
• Microsoft Entra ID - 安全性聲明標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取，以及對 BIG-IP 的 SAML 型 SSO
  • 透過 SSO，Microsoft Entra ID 提供 BIG-IP 的工作階段屬性
• BIG-IP - 應用程式的反向 Proxy 和 SAML 服務提供者 (SP)。 這會將驗證委派給 SAML IdP，再對 PeopleSoft 服務執行標頭式 SSO。

在此案例，SHA 支援由 SP 和 IdP 起始的流程。 下圖說明 SP 起始的流程。

1. 使用者會連線到應用程式端點 (BIG-IP)。
2. BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)。
3. Microsoft Entra 會預先驗證使用者，並套用條件式存取原則。
4. 使用者會重新導向至 BIG-IP (SAML SP)，且 SSO 發生於已發行的 SAML 權杖。
5. BIG-IP 會在應用程式的要求中插入 Microsoft Entra 屬性作為標頭。
6. 應用程式會授權要求並回傳酬載。

必要條件

• Microsoft Entra ID 免費帳戶或更新版本
  • 如果沒有訂用帳戶，請取得 Azure 免費帳戶
• Azure 中的 BIG-IP 或 BIG-IP 虛擬版本 (VE)
  • 請參閱，在 Azure 中部署 F5 BIG-IP Virtual Edition VM
• 下列任一個 F5 BIG-IP 授權：
  • F5 BIG-IP® Best 搭售方案
  • F5 BIG-IP APM 獨立授權
  • 現有 BIG-IP F5 BIG-IP® 本機流量管理員™ (LTM) 上的 F5 BIG-IP APM 附加元件授權
  • 90 天 BIG-IP 完整功能試用版授權
• 從內部部署目錄同步至 Microsoft Entra ID 的使用者身分識別，或在 Microsoft Entra ID 中建立並流回內部部署目錄的使用者身分識別
  • 請參閱 Microsoft Entra Connect 同步：瞭解和自訂同步處理
• 下列其中一個角色：雲端應用程式管理員或應用程式系統管理員。
• 透過 HTTPS 發佈服務的 SSL 網頁憑證，或使用預設 BIG-IP 憑證進行測試
  • 請參閱，在 Azure 中部署 F5 BIG-IP Virtual Edition VM
• PeopleSoft 環境

BIG-IP 設定

本教學課程使用引導式設定 16.1 搭配簡易按鈕範本。

使用「簡易按鈕」時，系統管理員不會在 Microsoft Entra ID 與 BIG-IP 之間切換，啟用 SHA 服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 此整合可確保應用程式支援識別身分同盟、SSO 及條件式存取。

注意

請以環境中的字串或值取代本教學課程中的範例字串或值。

註冊簡易按鈕

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

在用戶端或服務存取 Microsoft Graph 之前，Microsoft 身分識別平台必須予以信任。

深入瞭解：快速入門：向 Microsoft 身分識別平台註冊應用程式

下列指示可協助您建立租用戶應用程式註冊，以授權簡易按鈕存取圖表。 有了這些權限，BIG-IP 會推送組態，建立SAML SP 實例與已發行應用程式的之間的信任，並將 Microsoft Entra ID 作為 SAML IdP。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[應用程式]>[應用程式註冊] > [新增註冊]。

3. 輸入應用程式 [名稱]。

4. 針對此組織目錄中帳戶，請指定誰使用應用程式。

5. 選取 [註冊]。

6. 瀏覽至 [API 權限]。

7. 授權下列 Microsoft Graph [應用程式權限]：

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. 授與系統管理員同意您的組織。

9. 移至 [憑證和密碼]。

10. 產生新的用戶端密碼，並記下。

11. 移至 [概觀]，並記下 [用戶端識別碼] 和 [租用戶識別碼]。

設定 [簡易按鈕]

1. 起始 APM 引導式設定。
2. 啟動簡易按鈕範本。
3. 瀏覽至 [存取 > 引導式設定]。
4. 選取 [Microsoft 整合]。
5. 選取 [Microsoft Entra 應用程式]。
6. 檢閱設定排序。
7. 選取 [下一步]
8. 遵循設定排序。

組態屬性

使用 [設定屬性] 索引標籤來建立新的應用程式組態和 SSO 物件。 Azure 服務帳戶詳細資料一節代表，您在 Microsoft entra 租用戶中註冊的應用程式型用戶端。 使用 BIG-IP OAuth 客戶端的設定，使用 SSO 屬性在租用戶中註冊 SAML SP。 簡易按鈕會為針對 SHA 發佈並啟用的 BIG-IP 服務執行此操作。

注意

下列部分設定是全域設定。 您可以重複用來發佈更多應用程式。

1. 輸入 [設定名稱]。 唯一名稱有助於區分組態。
2. 針對單一登入 (SSO) 和 HTTP 標頭，選取 [開啟]。
3. 輸入租用戶識別碼、用戶端識別碼，以及您注意到的用戶端密碼。
4. 確認 BIG-IP 連線至租用戶。
5. 選取 [下一步]。

服務提供者

使用服務提供者設定，為代表 SHA 安全應用程式的 APM 執行個體定義 SAML SP 屬性。

1. 針對主機，輸入安全應用程式的公用 FQDN。
2. 針對實體識別碼，輸入 Microsoft Entra ID 使用此識別碼來識別要求權杖的 SAML SP。

3. （選用）針對安全性設定，指出發行的 SAML 判斷提示的 Microsoft Entra ID 加密。 此選項會增加保證不會攔截內容權杖，也不會發生資料遭入侵。

4. 從 [判斷提示解密私密金鑰] 清單中，選取 [新建]。

5. 選取 [確定]。
6. 匯入 SSL 憑證和金鑰 對話方塊會顯示在新的索引標籤。
7. 針對匯入類型，請選取 [PKCS 12 (IIS)]。 這個選項會匯入您的憑證和私密金鑰。
8. 關閉瀏覽器索引標籤以返回主要索引標籤。

9. 針對啟用加密判斷提示，核取此方塊。
10. 如果您已啟用加密，從判斷提示解密私密金鑰清單中選取憑證。 這是 BIG-IP APM 用來解密 Microsoft Entra 判斷提示的憑證私密金鑰。
11. 如果您已啟用加密，從判斷提示解密憑證清單中選取憑證。 BIG-IP 會將此憑證上傳至 Microsoft Entra ID，將發行的 SAML 判斷提示加密。

Microsoft Entra ID

「簡易按鈕」具有 Oracle PeopleSoft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 及一般 SHA 範本的範本。

1. 選取 [Oracle PeopleSoft]。
2. 選取 [新增]。

Azure 設定

1. 針對租用戶中建立的應用程式 BIG-IP，輸入顯示名稱。 名稱會出現在我的應用程式中的圖示上。

2. （選用）如需登入 URL，輸入 PeopleSoft 應用程式公用 FQDN。

3. 在 [簽署金鑰] 和 [簽署憑證]旁邊，選取 [重新整理]。 此操作會找出您匯入的憑證。

4. 針對簽署金鑰複雜密碼，請輸入憑證密碼。

5. （選用）針對簽署選項，請選取選項。 此選取項目可確保 BIG-IP 接受由 Microsoft Entra ID 簽署的權杖和宣告。

6. 使用者和使用者群組會從 Microsoft Entra 租用戶動態查詢。
7. 新增用於測試的使用者或群組，否則存取會被拒絕。

使用者屬性與宣告

當使用者進行驗證時，Microsoft Entra ID 發出 SAML 權杖，其中包含識別使用者的預設宣告和屬性。 使用者屬性與宣告 索引標籤會針對新應用程式發出的預設宣告。 用其來設定更多宣告。 「簡易按鈕」範本具有 PeopleSoft 所需的員工識別碼宣告。

如有需要，請包含其他 Microsoft Entra 屬性。 範例 PeopleSoft 應用程式需要預先定義的屬性。

其他使用者屬性

其他使用者屬性索引標籤會支援分散式系統，而這些系統需要其他目錄中所儲存的屬性來進行工作階段增強。 插入自 LDAP 來源的屬性作為更多 SSO 標頭，以根據角色、合作夥伴識別碼等來控制存取。

注意

這項功能與 Microsoft Entra ID 沒有關聯;這是另一個屬性來源。

條件式存取原則

條件式存取原則會在 Microsoft Entra 預先驗證後強制執行，根據裝置、應用程式、位置和風險訊號來控制存取。 可用的原則 檢視具有無使用者動作的條件式存取原則。 選取的原則 檢視具有雲端應用程式為目標的原則。 您無法取消選取或將這些原則移至「可用的原則」清單，因為這些會在租用戶層級強制執行。

選取應用程式的原則。

1. 在可用的原則清單中選取原則。
2. 選取 [向右鍵]，並將原則移至選取的原則。

選取的原則已核取 [包含] 或 [排除] 選項。 如果同時核取這兩個選項，則不會強制執行原則。

注意

當選取索引標籤時，原則清單會出現一次。使用重新整理精靈來查詢租用戶。 這個選項會出現在部署應用程式之後。

虛擬伺服器屬性

虛擬伺服器是一種以虛擬 IP 位址表示的 BIG-IP 資料平面物件。 伺服器會接聽用戶端對應用程式的要求。 接收的流量會根據虛擬伺服器 APM 設定檔進行處理和評估。 然後，流量會根據原則進行導向。

1. 針對目的地位址，輸入 IPv4 或 IPv6 位址 BIG-IP 用來接收用戶端流量。 DNS 中會出現對應的記錄，可讓用戶端將已發佈應用程式的外部 URL 解析為 IP。 使用測試電腦 localhost DNS 進行測試。
2. 針對服務連接埠，輸入 [443] 並選取 [HTTPS]。
3. 針對啟用重新導向轉接連接埠，請核取此方塊。
4. 針對重新導向轉接連接埠，輸入 [80] 並選取 [HTTP]。 此選項會將傳入的 HTTP 用戶端流量重新導向至 HTTPS。
5. 針對用戶端 SSL 設定檔，選取 [使用現存]。
6. 在 [一般] 下選取您所建立的選項。 如果測試，請保留預設值。 用戶端 SSL 設定檔會啟用適用 HTTPS 的虛擬伺服器，因此可以透過 TLS 加密用戶端連線。

集區屬性

應用程式集區 索引標籤會將受 BIG-IP 保護的服務，而這些服務以應用程式伺服器的集區表示。

1. 針對選取集區，請選取 [新建]，或選取一個。
2. 針對負載平衡方法，選取 [循環配置資源] 。
3. 針對集區伺服器，請在 [IP 位址/節點名稱] 中選取節點，或輸入裝載 PeopleSoft 應用程式之伺服器的 IP 和連接埠。

單一登入和 HTTP 標頭

「簡易按鈕精靈」支援 Kerberos、OAuth 持有人和 HTTP 授權標頭，對已發佈應用程式進行 SSO。 PeopleSoft 應用程式需要標頭。

1. 針對HTTP 標頭，核取此方塊。
2. 針對標頭作業，選取 [取代]。
3. 針對標頭名稱，輸入 [PS_SSO_UID]。
4. 針對標頭值，輸入 [%{session.sso.token.last.username}]。

注意

大括弧內的 APM 工作階段變數會區分大小寫。 例如，如果您輸入 OrclGUID，而且屬性名稱為 orclguid，則屬性對應會失敗。

工作階段管理

使用 BIG-IP 工作階段管理設定來定義使用者工作階段終止或接續的條件。 設定使用者和 IP 位址的限制，以及對應的使用者資訊。

若要深入瞭解，請移至 support.f5.com，參閱K18390492：安全性 | BIG-IP APM 操作指南

作業指南中未涵蓋單一註銷 (SLO) 功能，可確保當使用者登出時，IdP、BIG-IP 及使用者代理程式工作階段會終止。當「簡易按鈕」在 Microsoft Entra 租用戶中具現化 SAML 應用程式時，它會將 APM SLO 端點填入登出 URL。 從我的應用程式起始的 IdP 起始登出會終止 BIG-IP 和用戶端工作階段。

已發佈的應用程式 SAML 同盟資料會從租用戶匯入。 此操作會為 APM 提供 SAML 登出端點，以取得 Microsoft Entra ID，以確保 SP 起始的登出會終止用戶端和 Microsoft Entra 工作階段。 APM 需要知道使用者何時登出。

當使用 BIG-IP Webtop 入口網站存取已發佈的應用程式時，APM 會處理登出程序，以呼叫 Microsoft Entra 登出端點。 如果未使用 BIG-IP Webtop 入口網站，使用者就無法指示 APM 登出。如果使用者登出應用程式，BIG-IP 也毫無警示。 SP 起始的登出需要安全的工作階段終止。 將 SLO 函式新增至您的應用程式 [登出]按鈕，將用戶端重新導向至 Microsoft Entra SAML 或 BIG-IP 登出端點。 應用程式註冊 > 端點中的租用戶的 SAML 登出端點 URL。

如果您無法變更應用程式，請考慮讓 BIG-IP 接聽應用程式登出呼叫，並觸發 SLO。 如需詳細資訊，請參閱下一節中的 PeopleSoft 單一登出。

部署

1. 選取 [部署]。
2. 驗證企業應用程式租用戶清單中的應用程式。
3. 應用程式是透過 SHA 發行和存取。

設定 PeopleSoft

使用 Oracle Access Manager 進行 PeopleSoft 應用程式身分識別和存取權管理。

若要深入瞭解，請移至 o docs.oracle.com，參閱Oracle Access Manger 整合指南（整合 PeopleSoft）

設定 Oracle Access Manager SSO

設定 Oracle 存取管理員以接受 BIG-IP 的 SSO。

1. 使用系統管理員權限登入 Oracle 主控台。

2. 瀏覽至 [PeopleTools > Security]。
3. 選取 [使用者設定檔]。
4. 選取 [使用者設定檔]。
5. 建立新使用者設定檔。
6. 針對使用者識別碼，輸入 [OAMPSFT]
7. 針對使用者角色，輸入 [PeopleSoft User]。
8. 選取 [儲存]。
9. 瀏覽至 [People Tools]>[Web Profile]。
10. 選取網頁設定檔。
11. 在安全性索引標籤的 [公用使用者] 中，選取 [允許公用存取]。
12. 針對使用者識別碼，輸入 [OAMPSFT]。
13. 輸入 [密碼]。
14. 離開 Peoplesoft 主控台。
15. 啟動 PeopleTools 應用程式設計工具。
16. 以滑鼠右鍵按一下 [LDAPAUTH] 欄位。
17. 選取 [檢視 PeopleCode]。

18. LDAPAUTH 程式碼視窗隨即開啟。

19. 找出 OAMSSO_AUTHENTICATION 功能。

20. 將 [&defaultUserId] 值取代為 [OAMPSFT]。

    

21. 儲存記錄。

22. 瀏覽至 [**PeopleTools > Security]。

23. 選取 [安全性物件]。

24. 選取 [登入 PeopleCode]。

25. 啟用 OAMSSO_AUTHENTICATION。

PeopleSoft 單一登出

當您登出我的應用程式，會起始 PeopleSoft SLO，進而呼叫 BIG-IP SLO 端點。 BIG-IP 需要指示來代表應用程式執行 SLO。 讓 BIG-IP 接聽使用者向 PeopleSoft 登出要求，然後觸發 SLO。

新增 PeopleSoft 使用者的 SLO 支援。

1. 取得 PeopleSoft 入口網站登出 URL。
2. 使用網頁瀏覽器開啟入口網站。
3. 啟用偵錯工具。
4. 找出具有 PT_LOGOUT_MENU 識別碼的元素。
5. 使用查詢參數儲存 URL 路徑。 在此範例中為：/psp/ps/?cmd=logout。

建立 BIG-IP iRule，將使用者重新導向至 SAML SP 登出端點：/my.logout.php3。

1. 瀏覽至 [**本機流量 > iRules 清單]。
2. 選取 [建立]。
3. 輸入規則 [名稱]。
4. 輸入下列命令列。

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

5. 選取 [完成]。

將 iRule 指派給 BIG-IP 虛擬伺服器。

1. 瀏覽至 [存取 > 引導式設定]。
2. 選取 PeopleSoft 應用程式設定連結。

3. 從頂端導覽列中，選取 [虛擬伺服器]。
4. 針對進階設定，選取 [開啟]。

4. 捲動至底部。
5. 在 [一般] 下，新增您所建立的 iRule。

5. 選取 [儲存]。
6. 選取 [下一步]。
7. 繼續進行設定。

若要深入瞭解，請移至 support.f5.com，參閱

• K42052145：根據 URI 參考的檔案名稱，設定自動工作階段終止（登出）
• K12056：包含登出 URI 選項的概觀

預設為 PeopleSoft 登陸頁面

將使用者要求從根目錄 (「/」) 重新導向至外部 PeopleSoft 入口網站，通常位於：「/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL」

1. 瀏覽至 [本機流量 > iRule]。
2. 選取 [iRule_PeopleSoft]。
3. 新增下列命令列。

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

4. 將 iRule 指派給 BIG-IP 虛擬伺服器。

確認設定

1. 使用瀏覽器，請移至 PeopleSoft 應用程式外部 URL，或在 [我的應用程式] 中選取應用程式圖示。

2. 對 Microsoft Entra ID 進行驗證。

3. 系統會將您重新導向至 BIG-IP 虛擬伺服器，並使用 SSO 登入。

   注意

   您可以封鎖對應用程式的直接存取，藉此強制執行透過 BIG-IP 的路徑。

進階部署

引導式設定範本有時缺乏彈性。

深入瞭解：教學課程：針對標頭型 SSO 設定 F5 BIG-IP 的存取原則管理員

或者，在 BIG-IP 中停用引導式設定 strict管理模式。 可以手動變更組態，不過大部分的組態都是使用精靈範本自動化的。

1. 瀏覽至 [存取 > 引導式設定]。
2. 在資料列結尾，選取 [掛鎖]。

無法使用精靈 UI 進行變更，但與應用程式發行執行個體相關聯的 BIG-IP 物件會解除鎖定以進行管理。

注意

重新啟用 strict 模式並部署組態時，會覆寫在引導式設定外部執行的設定。 我們建議用於生產服務的進階設定。

疑難排解

使用 BIG-IP 記錄來隔離與連線能力、SSO、原則違規或變數對應設定錯誤的問題。

記錄詳細程度

1. 瀏覽至 [存取原則 > 概觀]。
2. 選取 [事件記錄]。
3. 選取 [設定]。
4. 選取已發佈應用程式的資料列。
5. 選取 [編輯]。
6. 選取 [存取系統記錄]
7. 從 SSO 清單中，選取 [偵錯]。
8. 選取 [確定]。
9. 重現您的問題。
10. 檢查記錄。

完成時，請還原此功能，因為詳細資訊模式會產生大量資料。

BIG-IP 錯誤訊息

如果在 Microsoft Entra 預先驗證之後出現 BIG-IP 錯誤，問題可能與 BIG-IP SSO Microsoft Entra ID 有關。

1. 瀏覽至 [存取 > 概觀]。
2. 選取 [存取報告]。
3. 執行過去一小時的報告。
4. 檢閱記錄以取得線索。

使用工作階段的檢視工作階段連結來確認 APM 收到預期的 Microsoft Entra 宣告。

沒有 BIG-IP 錯誤訊息

如果沒有出現 BIG-IP 錯誤訊息，則問題可能與後端要求或 BIG-IP 至應用程式的 SSO 有關。

1. 瀏覽至 [存取原則 > 概觀]。
2. 選取 [作用中工作階段]。
3. 選取使用中工作階段連結。

使用檢視變數連結來判斷 SSO 問題，特別是當 BIG-IP APM 從工作階段變數取得不正確的屬性時。

深入了解：

• 請移至 devcentral.f5.com，參閱 APM 變數指派範例
• 請移至 techdocs.f5.com，參閱工作階段變數