教學課程：設定 F5 BIG-IP Easy Button for SSO to Oracle EBS

瞭解如何使用 Microsoft Entra ID 保護 Oracle E-Business Suite （EBS），並搭配 F5 BIG-IP 簡易按鈕引導式設定。 將 BIG-IP 與 Microsoft Entra ID 整合有許多優點：

• 透過 Microsoft Entra 預先驗證和條件式存取改善 零信任 治理
  • 請參閱什麼是條件式存取？
  • 請參閱 零信任 安全性
• Microsoft Entra ID 與 BIG-IP 已發佈服務之間的完整 SSO
• 來自一個控制平面的受控識別和存取
  • 請參閱 Microsoft Entra 系統管理中心

深入了解：

• 整合 F5 BIG-IP 與 Microsoft Entra ID
• 啟用企業應用程式的 SSO

案例描述

此案例涵蓋使用 HTTP 授權標頭來管理受保護內容存取的傳統 Oracle EBS 應用程式。

舊版應用程式缺少支援 Microsoft Entra 整合的新式通訊協定。 現代化成本高昂、耗時，並帶來停機時間風險。 相反地，使用 F5 BIG-IP 應用程式傳遞控制器（ADC）來橋接舊版應用程式與新式標識碼控制平面之間的差距，並轉換通訊協定。

應用程式前面的 BIG-IP 可讓服務與 Microsoft Entra 預先驗證和標頭型 SSO 重疊。 此設定可改善應用程式安全性狀態。

案例架構

安全的混合式存取 （SHA） 解決方案具有下列元件：

• Oracle EBS 應用程式 - 要受 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
• Microsoft Entra ID - 安全性判斷提示標記語言 （SAML） 識別提供者 （IdP） 會驗證使用者認證、條件式存取和 SAML 型 SSO 到 BIG-IP
  • 透過 SSO，Microsoft Entra ID 提供 BIG-IP 會話屬性
• Oracle Internet Directory （OID） - 裝載用戶資料庫
  • BIG-IP 使用LDAP驗證授權屬性
• Oracle E-Business Suite AccessGate - 使用 OID 服務驗證授權屬性，然後發出 EBS 存取 Cookie
• BIG-IP - 應用程式的反向 Proxy 和 SAML 服務提供者 （SP）
  • 驗證會委派給 SAML IdP，然後對 Oracle 應用程式進行標頭型 SSO

SHA 支援由SP和IdP起始的流程。 下圖說明SP起始的流程。

1. 用戶連線到應用程式端點 （BIG-IP）。
2. BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID （SAML IdP）。
3. Microsoft Entra 會預先驗證使用者，並套用條件式存取原則。
4. 使用者會重新導向至 BIG-IP（SAML SP），並使用發行的 SAML 令牌進行 SSO。
5. BIG-IP 會針對使用者唯一標識碼 （UID） 屬性執行 LDAP 查詢。
6. BIG-IP 會將傳回的 UID 屬性插入 Oracle EBS 會話 Cookie 要求中的user_orclguid標頭至 Oracle AccessGate。
7. Oracle AccessGate 會針對 OID 服務驗證 UID，併發出 Oracle EBS 存取 Cookie。
8. Oracle EBS 用戶標頭和 Cookie 傳送至應用程式，並將承載傳回給使用者。

必要條件

您需要下列元件：

• Azure 訂用帳戶
  • 如果您沒有帳戶，請取得 Azure 免費帳戶
• Global 管理員 istrator、Cloud Application 管理員 istrator 或 Application 管理員 istrator。
• BIG-IP 或在 Azure 中部署 BIG-IP 虛擬版本 （VE）
  • 請參閱在 Azure 中部署 F5 BIG-IP Virtual Edition VM
• 下列任何 F5 BIG-IP 授權 SKU：
  • F5 BIG-IP® 最佳套件組合
  • F5 BIG-IP 存取原則管理員 ™ （APM） 獨立授權
  • F5 BIG-IP 存取原則管理員 ™ （APM） BIG-IP 本機 流量管理員 ™ 的 BIG-IP F5 BIG-IP® 附加元件授權
  • 90 天 BIG-IP 完整功能試用版。 請參閱免費試用。
• 從內部部署目錄同步至 Microsoft Entra 識別碼的使用者身分識別
  • 請參閱 Microsoft Entra 連線 Sync：瞭解和自定義同步處理
• 透過 HTTPS 發佈服務的 SSL 憑證，或在測試時使用預設憑證
  • 請參閱 SSL 設定檔
• Oracle EBS、Oracle AccessGate 和已啟用 LDAP 的 Oracle 因特網資料庫 （OID）

BIG-IP 組態方法

本教學課程使用引導式設定 v16.1 簡易按鈕範本。 使用 [簡單按鈕] 時，系統管理員不再來回啟用SHA的服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 此整合可確保應用程式支援身分識別同盟、SSO 和條件式存取，進而降低系統管理負擔。

注意

將範例字串或值取代為您環境中的字串或值。

註冊簡易按鈕

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

在用戶端或服務存取 Microsoft Graph 之前，Microsoft 身分識別平台 必須信任它。

深入瞭解：快速入門：向 Microsoft 身分識別平台 註冊應用程式

建立租用戶應用程式註冊，以授權輕鬆按鈕存取 Graph。 BIG-IP 會推送組態，以建立已發佈應用程式的 SAML SP 實例與 Microsoft Entra ID 作為 SAML IdP 之間的信任。

1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別應用程式> 應用程式註冊>][新增註冊]。

3. 輸入應用程式 名稱。 例如，F5 BIG-IP Easy Button。

4. 指定誰只能使用此組織目錄中的應用程式>帳戶。

5. 選取註冊。

6. 流覽至 API 許可權。

7. 授權下列 Microsoft Graph 應用程式權限：

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. 授與貴組織的系統管理員同意。

9. 移至 [ 憑證與秘密]。

10. 產生新的 客戶端密碼。 記下客戶端密碼。

11. 移至概觀。 記下用戶端識別碼和租用戶標識碼。

設定簡易按鈕

1. 起始 APM 引導式設定。

2. 啟動 [簡單按鈕] 範本。

3. 流覽至存取>引導式>設定 Microsoft 整合。

4. 選取 [Microsoft Entra 應用程式]。

5. 檢閱組態選項。

6. 選取 [下一步]。

7. 使用圖形來協助發佈您的應用程式。

   

組態屬性

[ 組態屬性] 索引標籤會建立 BIG-IP 應用程式組態和 SSO 物件。 [ Azure 服務帳戶詳細數據 ] 區段代表您在 Microsoft Entra 租用戶中註冊為應用程式的用戶端。 透過這些設定，BIG-IP OAuth 用戶端會在租用戶中註冊 SAML SP，並具有 SSO 屬性。 [簡單按鈕] 會針對針對針對 SHA 發佈的 BIG-IP 服務執行此動作並加以啟用。

若要減少時間和精力，請重複使用全域設定來發佈其他應用程式。

1. 輸入組 態名稱。

2. 針對 [單一登錄][SSO] 和 [HTTP 標頭]，選取 [ 開啟]。

3. 針對 [租使用者標識符]、[用戶端標識符] 和 [客戶端密碼 ]，輸入您在簡易按鈕用戶端註冊期間所指出的內容。

4. 確認 BIG-IP 連線到您的租使用者。

5. 選取 [下一步]。

   

服務提供者

針對受保護應用程式的 SAML SP 實例屬性使用服務提供者設定。

1. 針對 [ 主機]，輸入應用程式的公用 FQDN。

2. 針對 [ 實體標識符]，輸入 Microsoft Entra ID 用於要求令牌的 SAML SP 識別符。

   

3. （選擇性）在 [安全性 設定] 中，選取或清除 [啟用加密的判斷提示] 選項。 加密 Microsoft Entra ID 與 BIG-IP APM 之間的判斷提示表示無法攔截內容令牌，也無法攔截個人或公司數據遭到入侵。

4. 從 [ 判斷提示解密私鑰 ] 清單中，選取 [ 新建]

   

5. 選取 [確定]。

6. [匯 入 SSL 憑證和金鑰] 對話框會出現在新索引標籤 中。

7. 選取 [PKCS 12 ][IIS]。

8. 憑證和私鑰會匯入。

9. 關閉瀏覽器索引標籤以返回主要索引標籤。

   

10. 選取 [ 啟用加密判斷提示]。

11. 針對啟用的加密，從 [ 判斷提示解密私鑰 ] 清單中，選取憑證私鑰 BIG-IP APM 用來解密 Microsoft Entra 判斷提示。

12. 針對已啟用加密，請從 [ 判斷提示解密憑證 ] 清單中，選取憑證 BIG-IP 上傳至 Microsoft Entra ID，以加密所簽發的 SAML 判斷提示。

    

Microsoft Entra ID

Easy Button 具有 Oracle 人員 Soft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 和一般 SHA 範本的應用程式範本。 下列螢幕快照是 Azure 組態下的 Oracle E-Business Suite 選項。

1. 選取 [Oracle E-Business Suite]。
2. 選取新增。

Azure 組態

1. 在 Microsoft Entra 租使用者中輸入 APP BIG-IP 建立的顯示名稱 ，並在 MyApps 上輸入圖示。

2. 在 [登入 URL] 中，輸入 EBS 應用程式公用 FQDN。

3. 輸入 Oracle EBS 首頁的預設路徑。

4. 在 [簽署金鑰] 和 [簽署憑證] 旁，選取重新整理圖示。

5. 找出您匯入的憑證。

6. 在 [簽署金鑰複雜密碼] 中，輸入憑證密碼。

7. （選擇性）啟用 簽署選項。 此選項可確保 BIG-IP 接受由 Microsoft Entra ID 簽署的令牌和宣告。

   

8. 針對 [使用者和使用者群組]，新增使用者或群組進行測試，否則會拒絕所有存取。 使用者和使用者群組會從 Microsoft Entra 租使用者動態查詢，並授權應用程式存取權。

   

使用者屬性與宣告

當使用者驗證時，Microsoft Entra ID 會發出 SAML 令牌，其中包含識別用戶的預設宣告和屬性。 [ 使用者屬性與宣告 ] 索引標籤有新應用程式要發出的預設宣告。 使用此區域來設定更多宣告。 如有需要，請新增 Microsoft Entra 屬性，不過 Oracle EBS 案例需要預設屬性。

其他用戶屬性

[ 其他使用者屬性] 索引 標籤支援分散式系統，這些系統需要儲存在目錄中的屬性以進行會話增強。 從LDAP來源擷取的屬性會插入為更多SSO標頭，以根據角色、合作夥伴標識碼等來控制存取權。

1. 啟用 [進階 設定] 選項。

2. 核取 [ LDAP 屬性] 複選框。

3. 在 [選擇驗證伺服器] 中，選取 [ 新建]。

4. 根據您的設定，選取 [使用目標LDAP服務伺服器位址的集 區或 直接 伺服器連線模式]。 針對單一LDAP伺服器，選取 [ 直接]。

5. 針對 [服務埠]，輸入 3060 （預設值）、 3161 （安全），或 Oracle LDAP 服務的另一個埠。

6. 輸入基本搜尋 DN。 使用辨別名稱 （DN） 來搜尋目錄中的群組。

7. 針對 管理員 DN，輸入帳戶辨別名稱 APM 用來驗證 LDAP 查詢。

8. 針對 [管理員 密碼]，輸入密碼。

   

9. 保留預設 LDAP架構屬性。

   

10. 在 [LDAP 查詢屬性] 底下，針對 [搜尋 Dn] 輸入使用者物件搜尋的 LDAP 伺服器基底節點。

11. 針對 [必要屬性]，輸入要從LDAP目錄傳回的使用者物件屬性名稱。 針對 EBS，預設值為 orclguid。

    

條件式存取原則

條件式存取原則會根據裝置、應用程式、位置和風險訊號來控制存取。 原則會在 Microsoft Entra 預先驗證之後強制執行。 [可用的原則] 檢視具有沒有使用者動作的條件式存取原則。 [選取的原則] 檢視具有雲端應用程式的原則。 您無法取消選取這些原則，或將它們移至 [可用的原則]，因為它們會在租用戶層級強制執行。

若要選取要發行之應用程式的原則：

1. 在 [可用的原則] 中，選取原則。

2. 選取向右箭號。

3. 將原則移至 [選取的原則]。

   注意

   已 針對某些原則選取 [包含 ] 或 [排除] 選項。 如果檢查這兩個選項，原則會取消強制。

   

   注意

   選取 [ 條件式存取原則 ] 索引標籤，並顯示原則清單。 選取 [ 重新整理 ]，精靈會查詢您的租使用者。 已部署應用程式的重新整理隨即出現。

虛擬伺服器屬性

虛擬伺服器是由接聽應用程式用戶端要求的虛擬IP位址所代表的BIG-IP數據平面物件。 接收的流量會根據與虛擬伺服器相關聯的 APM 配置檔進行處理和評估。 然後，流量會根據原則進行導向。

1. 輸入目的地位址、IPv4 或 IPv6 位址 BIG-IP 用來接收用戶端流量。 請確定 DNS 中的對應記錄，讓客戶端能夠將 BIG-IP 已發佈應用程式的外部 URL 解析為 IP。 使用測試計算機localhost DNS進行測試。

2. 針對 [服務埠]，輸入 443，然後選取 [ HTTPS]。

3. 選取 [ 啟用重新導向埠]。

4. 針對 [ 重新導向埠]，輸入 80，然後選取 [ HTTP]。 此動作會將連入 HTTP 用戶端流量重新導向至 HTTPS。

5. 選取您建立的 用戶端 SSL 設定檔 ，或保留預設值進行測試。 用戶端 SSL 設定檔會啟用 HTTPS 的虛擬伺服器。 用戶端聯機會透過 TLS 加密。

   

集區屬性

[應用程式集區] 索引標籤具有 BIG-IP 後方的服務、具有一或多個應用程式伺服器的集區。

1. 從 [選取集區]，選取 [新建]，或選取另一個選項。

2. 針對 [負載平衡方法]，選取 [迴圈配置資源]。

3. 在 [集區伺服器] 下，選取並輸入裝載 Oracle EBS 之伺服器的 IP 位址/節點名稱和埠。

4. 選取 [HTTPS] 。

   

5. 在 [存取網關集區] 下，確認 [存取網關子路徑]。

6. 針對 [集區伺服器] 選取並輸入載入 Oracle EBS 之伺服器的 IP 位址/節點名稱和埠。

7. 選取 [HTTPS] 。

   

單一登錄和 HTTP 標頭

簡易按鈕精靈支援 Kerberos、OAuth Bearer 和 HTTP 授權標頭，以便 SSO 到已發佈的應用程式。 Oracle EBS 應用程式需要標頭，因此啟用 HTTP 標頭。

1. 在 [單一登錄與 HTTP 標頭] 上，選取 [HTTP 標頭]。

2. 針對 [ 標頭作業]，選取 [取代]。

3. 針對 [ 標頭名稱]，輸入 USER_NAME。

4. 針對 [標頭值]，輸入 %{session.sso.token.last.username}。

5. 針對 [ 標頭作業]，選取 [取代]。

6. 針對 [標頭名稱]，輸入 USER_ORCLGUID。

7. 針對 [標頭值]，輸入 %{session.ldap.last.attr.orclguid}。

   

   注意

   大括弧中的 APM 會話變數會區分大小寫。

工作階段管理

使用 BIG-IP 會話管理來定義使用者會話終止或接續的條件。

若要深入瞭解，請移至K18390492 support.f5.com ：安全性 |BIG-IP APM 作業指南

單一註銷 （SLO） 功能可確保 IdP、BIG-IP 和使用者代理程式之間的會話會在使用者註銷時終止。當 [簡單按鈕] 在您的 Microsoft Entra 租使用者中具現化 SAML 應用程式時，它會使用 APM SLO 端點填入註銷 URL。 因此，從 我的應用程式 入口網站起始的IdP起始註銷會終止 BIG-IP 與客戶端之間的會話。

請參閱 Microsoft 我的應用程式

已發佈應用程式的 SAML 同盟元數據會從租用戶匯入。 此動作會為 APM 提供 Microsoft Entra ID 的 SAML 註銷端點。 然後，SP 起始的註銷會終止用戶端和 Microsoft Entra 會話。 確定 APM 知道使用者何時註銷。

如果您使用 BIG-IP Webtop 入口網站來存取已發佈的應用程式，APM 會處理註銷以呼叫 Microsoft Entra 註銷端點。 如果您未使用 BIG-IP Webtop 入口網站，用戶就無法指示 APM 登出。如果使用者註銷應用程式，BIG-IP 就會忘記動作。 確定SP起始的註銷觸發程式會終止安全工作階段。 將 SLO 函式新增至應用程式 [註銷 ] 按鈕，以將用戶端重新導向至 Microsoft Entra SAML 或 BIG-IP 註銷端點。 在應用程式註冊>端點中尋找租使用者的 SAML 註銷端點 URL。

如果您無法變更應用程式，請讓 BIG-IP 接聽應用程式註銷呼叫，然後觸發 SLO。

深入了解：

• 人員 Soft SLO 註銷
• 移至 support.f5.com， 以取得：
  • K42052145：根據 URI 參考的檔案名設定自動工作階段終止 （註銷）
  • K12056：註銷 URI Include 選項的概觀

部署

1. 選取 [ 部署 ] 來認可設定。
2. 確認應用程式出現在租用戶企業應用程式清單中。

Test

1. 從瀏覽器連線到 Oracle EBS 應用程式外部 URL，或選取 我的應用程式 中的應用程式圖示。
2. 向 Microsoft Entra 識別碼進行驗證。
3. 系統會將您重新導向至應用程式的 BIG-IP 虛擬伺服器，並透過 SSO 登入。

為了提高安全性，請封鎖直接應用程式存取，藉此強制執行透過 BIG-IP 的路徑。

進階部署

有時候，引導式設定範本缺乏需求彈性。

深入瞭解：教學課程： 為標頭型 SSO 設定 F5 BIG-IP 的存取原則管理員。

手動變更組態

或者，在 BIG-IP 中，停用引導式設定嚴格管理模式以手動變更設定。 精靈範本會將大部分組態自動化。

1. 流覽至 [ 存取 > 引導式設定]。

2. 在應用程式組態的數據列右側，選取 掛鎖 圖示。

   

停用嚴格模式之後，您無法使用精靈進行變更。 不過，與已發佈應用程式實例相關聯的 BIG-IP 物件會解除鎖定以進行管理。

注意

如果您重新啟用 strict 模式，新的組態會覆寫在沒有引導式設定的情況下執行的設定。 我們建議生產服務的進階組態方法。

疑難排解

使用下列指示來協助針對問題進行疑難解答。

增加記錄詳細資訊

使用 BIG-IP 記錄來隔離連線、SSO、原則違規或設定錯誤的變數對應問題。 增加記錄詳細資訊層級。

1. 流覽至存取 原則 > 概觀 > 事件記錄檔。
2. 選取設定。
3. 選取已發佈應用程式的數據列。
4. 選取 [ 編輯 > 存取系統記錄]。
5. 從 SSO 清單中，選取 [ 偵錯]。
6. 選取 [確定]。
7. 重現問題。
8. 檢查記錄。

還原設定變更，因為詳細資訊模式會產生過多的數據。

BIG-IP 錯誤訊息

如果 BIG-IP 錯誤出現在 Microsoft Entra 預先驗證之後，問題可能與 Microsoft Entra ID 和 BIG-IP SSO 有關。

1. 流覽至 [存取 > 概觀]。
2. 選取 [ 存取報表]。
3. 執行過去一小時的報表。
4. 檢閱記錄以取得線索。

使用會話的 [ 檢視會話 ] 鏈接來確認 APM 收到預期的 Microsoft Entra 宣告。

沒有 BIG-IP 錯誤訊息

如果沒有出現 BIG-IP 錯誤頁面，問題可能會與後端要求或 BIG-IP 和應用程式 SSO 相關。

1. 流覽至存取 原則 > 概觀。
2. 選取 [ 使用中會話]。
3. 選取作用中會話的連結。

使用 [ 檢視變數 ] 鏈接來調查 SSO 問題，特別是當 BIG-IP APM 無法從 Microsoft Entra ID 或其他來源取得正確的屬性時。

深入了解：

• 移至 APM 變數指派範例的 devcentral.f5.com
• 移至手動章節：工作階段變數 techdocs.f5.com

驗證 APM 服務帳戶

使用下列 bash 殼層命令來驗證 LDAP 查詢的 APM 服務帳戶。 命令會驗證和查詢用戶物件。

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

深入了解：

• 移至 K11072 的 support.f5.com：設定 AD 的 LDAP 遠端驗證
• 移至手動章節 techdocs.f5.com ：LDAP 查詢