教學課程:設定 F5 BIG-IP Easy Button for SSO to Oracle 人員Soft

  • 發行項

在本文中,瞭解如何使用 Microsoft Entra ID 保護 Oracle 人員Soft (人員Soft),並搭配 F5 BIG-IP Easy Button 引導式設定 16.1。

整合 BIG-IP 與 Microsoft Entra ID 以取得許多優點:

深入了解:

案例描述

在本教學課程中,使用 HTTP 授權標頭來管理受保護內容的存取權人員Soft 應用程式。

繼承應用程式缺少支援 Microsoft Entra 整合的新式通訊協定。 現代化成本高昂,需要規劃,並帶來潛在的停機時間風險。 相反地,使用 F5 BIG-IP 應用程式傳遞控制器(ADC)來橋接繼承應用程式與新式識別碼控制之間的差距,並轉換通訊協定。

在應用程式前面使用 BIG-IP,您可以使用 Microsoft Entra 預先驗證和標頭型 SSO 來重迭服務。 此動作可改善應用程式的安全性狀態。

注意

使用 Microsoft Entra 應用程式 Proxy 遠端存取這種類型的應用程式。
請參閱透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式。

案例架構

本教學課程的安全混合式存取 (SHA) 解決方案具有下列元件:

  • 人員Soft 應用程式 - 由 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
  • Microsoft Entra ID - 安全性判斷提示標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取和 SAML 型 SSO 到 BIG-IP
    • 透過 SSO,Microsoft Entra ID 會提供 BIG-IP 的會話屬性
  • BIG-IP - 反向 Proxy 和 SAML 服務提供者 (SP) 至應用程式。 它會將驗證委派給 SAML IdP,然後將標頭型 SSO 委派給 人員Soft 服務。

在此案例中,SHA 支援由 SP 和 IdP 起始的流程。 下圖說明 SP 起始的流程。

Diagram of secure hybrid access with SP initiated flow.

  1. 使用者連線到應用程式端點 (BIG-IP)。
  2. BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)。
  3. Microsoft Entra 會預先驗證使用者,並套用條件式存取原則。
  4. 使用者會重新導向至 BIG-IP (SAML SP),而 SSO 會隨著發行的 SAML 權杖而發生。
  5. BIG-IP 會將 Microsoft Entra 屬性插入至應用程式的要求中做為標頭。
  6. 應用程式會授權要求並傳回承載。

必要條件

  • Microsoft Entra ID 免費帳戶或更新版本
  • Azure 中的 BIG-IP 或 BIG-IP 虛擬版本 (VE)
  • 下列任何 F5 BIG-IP 授權:
    • F5 BIG-IP® 最佳套件組合
    • F5 BIG-IP APM 獨立授權
    • 現有 BIG-IP F5 BIG-IP® 本機流量管理員™的 F5 BIG-IP APM 附加元件授權(LTM)
    • 90 天 BIG-IP 完整功能 試用版授權
  • 從內部部署目錄同步處理到 Microsoft Entra 識別碼的使用者身分識別,或在 Microsoft Entra 識別碼中建立,並流回內部部署目錄
  • 下列其中一個角色:Global 管理員istrator、Cloud Application 管理員istrator 或 Application 管理員istrator。
  • 透過 HTTPS 發佈服務的 SSL Web 憑證,或使用預設 BIG-IP 憑證進行測試
  • 人員Soft 環境

BIG-IP 組態

本教學課程使用引導式設定 16.1 搭配簡易按鈕範本。

使用 [簡單按鈕] 時,系統管理員不會在 Microsoft Entra ID 與 BIG-IP 之間切換,以啟用 SHA 的服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 整合可確保應用程式支援身分識別同盟、SSO 和條件式存取。

注意

將本教學課程中的範例字串或值取代為您環境中的字串或值。

註冊簡易按鈕

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

在用戶端或服務存取 Microsoft Graph 之前,Microsoft 身分識別平臺必須信任它。

深入瞭解:快速入門: 向Microsoft 身分識別平臺註冊應用程式

下列指示可協助您建立租使用者應用程式註冊,以授權簡單按鈕存取 Graph。 透過這些許可權,BIG-IP 會推送設定,以在已發佈應用程式的 SAML SP 實例與 Microsoft Entra ID 之間建立信任,作為 SAML IdP。

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 身分 > 識別應用程式 > ]應用程式註冊 > [新增註冊]。

  3. 輸入應用程式 名稱

  4. 僅針對 此組織目錄中 的 [帳戶],指定誰使用應用程式。

  5. 選取註冊

  6. 流覽至 API 許可權

  7. 授權下列 Microsoft Graph 應用程式許可權

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. 授與系統管理員同意您的組織。

  9. 移至 [ 憑證 & 密碼 ]。

  10. 產生新的 用戶端密碼 並加以記下。

  11. 移至 [ 概觀 ],並記下 用戶端識別碼 租使用者識別碼

設定簡易按鈕

  1. 起始 APM 引導式設定。

  2. 啟動簡易按鈕範本。

  3. 流覽至 [ 存取 > 引導式設定 ]。

  4. 選取 [Microsoft 整合 ]。

  5. 選取 [Microsoft Entra 應用程式 ]。

    Screenshot of the Microsoft Entra Application option under Guided Configuration.

  6. 檢閱組態順序。

  7. 選取下一個

    Screenshot of a configuration sequence.

  8. 遵循設定順序。

Screenshot of configuration sequence under Microsoft Entra Application Configuration.

組態屬性

使用 [ 組態屬性] 索引標籤來建立新的應用程式組態和 SSO 物件。 [ Azure 服務帳戶詳細資料 ] 區段代表您在 Microsoft Entra 租使用者中註冊為應用程式的用戶端。 使用 BIG-IP OAuth 用戶端的設定,以使用 SSO 屬性在租使用者中註冊 SAML SP。 [簡單按鈕] 會針對針對針對 SHA 發佈的 BIG-IP 服務執行此動作並加以啟用。

注意

下列部分設定是全域設定。 您可以重複使用它們來發佈更多應用程式。

  1. 輸入組 態名稱 。 唯一名稱有助於區分組態。
  2. 針對 [單一登入] [SSO] & HTTP 標頭 ,選取 [ 開啟 ]。
  3. 輸入您注意到的 租使用者識別碼、用戶端識別碼 用戶端密碼
  4. 確認 BIG-IP 連線到租使用者。
  5. 選取 [下一步] 。

Screenshot of options and selections for Configuration Properties.

服務提供者

使用服務提供者 設定,為代表 SHA 安全應用程式的 APM 實例定義 SAML SP 屬性。

  1. 針對 [ 主機 ],輸入安全應用程式的公用 FQDN。
  2. 針對 [實體識別碼 ],輸入 Microsoft Entra ID 用來識別要求權杖的 SAML SP 識別碼。

Screenshot of options and selections for Service Provider.

  1. (選擇性)針對 安全性設定 ,指出 Microsoft Entra ID 會加密已發出的 SAML 判斷提示。 此選項會增加保證不會攔截內容權杖,也不會遭到資料入侵。

  2. 從 [ 判斷提示解密私密金鑰 ] 清單中,選取 [ 新建 ]。

Screenshot Create New in the Assertion Decryption Private Key list.

  1. 選取 [確定]。
  2. [匯 入 SSL 憑證和金鑰] 對話方塊會出現在新索引卷 標中。
  3. 針對 [ 匯入類型 ],選取 [ PKCS 12 (IIS) ]。 此選項會匯入您的憑證和私密金鑰。
  4. 關閉瀏覽器索引標籤以返回主要索引標籤。

Screenshot of options and selections for SSL Certificate and Key Source

  1. 針對 [ 啟用加密判斷提示 ],核取方塊。
  2. 如果您已啟用加密,請從 [ 判斷提示解密私密金鑰 ] 清單中選取您的憑證。 此私密金鑰適用于 BIG-IP APM 用來解密 Microsoft Entra 判斷提示的憑證。
  3. 如果您已啟用加密,請從 [ 判斷提示解密憑證 ] 清單中選取您的憑證。 BIG-IP 會將此憑證上傳至 Microsoft Entra ID,以加密發行的 SAML 判斷提示。

Screenshot of options and selections for Security Settings.

Microsoft Entra ID

Easy Button 具有 Oracle 人員Soft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 和一般 SHA 範本的範本。

  1. 選取 [Oracle 人員Soft ]。
  2. 選取新增

Screenshot of the Oracle PeopleSoft option under Azure Configuration.

Azure 組態

  1. 輸入 租使用者中應用程式 BIG-IP 建立的顯示名稱 。 名稱會出現在我的應用程式 中的 圖示上。
  2. (選擇性)針對 [登入 URL ] 輸入 人員Soft 應用程式公用 FQDN。

Screenshot of Display Name and Sign On URL options under Azure Configuration.

  1. 在 [ 簽署金鑰 ] 和 [簽署憑證 ] 旁,選取 [ 重新整理 ]。 此動作會找出您匯入的憑證。

  2. 針對 [簽署金鑰複雜密碼 ],輸入憑證密碼。

  3. (選擇性)針對 [ 簽署選項 ],選取選項。 此選取專案可確保 BIG-IP 接受由 Microsoft Entra ID 簽署的權杖和宣告。

Screenshot of Signing Key, Signing Certificate, and Signing Key Passprhase options under SAML Signing Certificate.

  1. 使用者和使用者群組 會從 Microsoft Entra 租使用者動態查詢。
  2. 新增用於測試的使用者或群組,否則會拒絕存取。

Screenshot of the Add option under Users And User Groups.

使用者屬性 & 宣告

當使用者驗證時,Microsoft Entra ID 會發出 SAML 權杖,其中包含識別使用者的預設宣告和屬性。 [ 使用者屬性 & 宣告 ] 索引標籤具有新應用程式要發出的預設宣告。 使用它來設定更多宣告。 Easy Button 範本具有 人員Soft 所需的員工識別碼宣告。

Screenshot of options and selections for User Attributes & Claims.

如有需要,請包含其他 Microsoft Entra 屬性。 範例 人員Soft 應用程式需要預先定義的屬性。

其他使用者屬性

[ 其他使用者屬性] 索引 標籤支援需要屬性的分散式系統會儲存在其他目錄中以進行會話增強。 LDAP 來源的屬性會插入為更多 SSO 標頭,以根據角色、合作夥伴識別碼等來控制存取。

Screenshot of options and selections for Additional User Attributes.

注意

這項功能與 Microsoft Entra 識別碼沒有關聯;它是另一個屬性來源。

條件式存取原則

條件式存取原則會在 Microsoft Entra 預先驗證之後強制執行,以根據裝置、應用程式、位置和風險訊號來控制存取。 [ 可用的原則 ] 檢視具有沒有使用者動作的條件式存取原則。 [ 選取的原則 ] 檢視具有以雲端應用程式為目標的原則。 您無法取消選取或將這些原則移至 [可用的原則] 清單,因為它們會在租使用者層級強制執行。

選取應用程式的原則。

  1. 在 [ 可用的原則] 清單中,選取原則。
  2. 選取向右箭號 ,並將原則 移至 [選取的原則 ]。

選取的原則已 核取 [包含 ] 或 [排除] 選項。 如果檢查這兩個選項,則不會強制執行原則。

Screenshot of excluded policies under Selected Policies on the Conditional Access Policy tab.

注意

當您選取索引標籤時,原則清單會出現一次。使用 [重新 整理] 精靈來查詢租使用者。 這個選項會出現在部署應用程式之後。

虛擬伺服器屬性

虛擬伺服器是由虛擬 IP 位址表示的 BIG-IP 資料平面物件。 伺服器會接聽對應用程式的用戶端要求。 接收的流量會根據虛擬伺服器 APM 設定檔進行處理和評估。 然後,流量會根據原則進行導向。

  1. 針對 [ 目的地位址 ],輸入 IPv4 或 IPv6 位址 BIG-IP 用來接收用戶端流量。 DNS 中會出現對應的記錄,可讓用戶端將已發佈應用程式的外部 URL 解析為 IP。 使用測試電腦 localhost DNS 進行測試。
  2. 針對 [服務埠 ],輸入 443 ,然後選取 [ HTTPS ]。
  3. 針對 [ 啟用重新導向埠 ],核取方塊。
  4. 針對 [ 重新導向埠 ],輸入 80 並選取 [ HTTP ]。 此選項會將連入 HTTP 用戶端流量重新導向至 HTTPS。
  5. 針對 [ 用戶端 SSL 設定檔 ],選取 [ 使用現有 ]。
  6. 在 [一般] ,選取您建立的選項。 如果測試,請保留預設值。 用戶端 SSL 設定檔會啟用 HTTPS 的虛擬伺服器,因此會透過 TLS 加密用戶端連線。

Screenshot of options and selections for Virtual Server Properties.

集區屬性

[應用程式集區 ] 索引 標籤具有 BIG-IP 後方的服務,以具有應用程式伺服器的集區表示。

  1. 針對 [ 選取集區 ],選取 [新建 ],或選取一個集區。
  2. 針對 [負載平衡方法 ],選取 [ 迴圈配置資源 ]。
  3. 針對 [ 集區伺服器 ],在 [IP 位址/節點名稱 ] 中 選取節點,或輸入裝載 人員Soft 應用程式之伺服器的 IP 和埠。

Screenshot of IP Address/Node Name and Port options on Pool Properties.

單一登入 & HTTP 標頭

簡易按鈕精靈支援 Kerberos、OAuth Bearer 和 HTTP 授權標頭,以便 SSO 到已發佈的應用程式。 人員Soft 應用程式需要標頭。

  1. 針對 [HTTP 標頭 ],核取方塊。
  2. 針對 [ 標頭作業 ],選取 [取代 ]。
  3. 針對 [ 標頭名稱 ],輸入 PS_SSO_UID
  4. 針對 [標頭值 ],輸入 %{session.sso.token.last.username}

Screenshot of Header Operation, Header Name, and Header value entries under Single sign-On & HTTP Headers.

注意

大括弧中的 APM 會話變數會區分大小寫。 例如,如果您輸入 OrclGUID,而且屬性名稱為 orclguid,則屬性對應會失敗。

工作階段管理

使用 BIG-IP 會話管理設定來定義使用者會話終止或接續的條件。 設定使用者和 IP 位址的限制,以及對應的使用者資訊。

若要深入瞭解,請移至K18390492 support.f5.com :安全性 |BIG-IP APM 作業指南

作業指南中未涵蓋單一登出 (SLO) 功能,可確保當使用者登出時,IdP、BIG-IP 和使用者代理程式會話會終止。當 Easy Button 在 Microsoft Entra 租使用者中具現化 SAML 應用程式時,它會使用 APM SLO 端點填入登出 URL。 從 idP 起始的登出我的應用程式 會終止 BIG-IP 和用戶端會話。

已發佈的應用程式 SAML 同盟資料會從租使用者匯入。 此動作會為 APM 提供 Microsoft Entra 識別碼的 SAML 登出端點,以確保 SP 起始的登出會終止用戶端和 Microsoft Entra 會話。 APM 必須知道使用者何時登出。

當 BIG-IP Webtop 入口網站存取已發佈的應用程式時,APM 會處理登出以呼叫 Microsoft Entra 登出端點。 如果未使用 BIG-IP Webtop 入口網站,使用者就無法指示 APM 登出。如果使用者登出應用程式,BIG-IP 就會被遺忘。 SP 起始的登出需要安全的會話終止。 將 SLO 函式新增至您的應用程式 [登出 ] 按鈕,以將用戶端重新導向至 Microsoft Entra SAML 或 BIG-IP 登出端點。 應用程式註冊 > 端點中 租使用者的 SAML 登出端點 URL。

如果您無法變更應用程式,請考慮讓 BIG-IP 接聽應用程式登出呼叫,並觸發 SLO。 如需詳細資訊,請參閱 下一節中的 人員Soft 單一登出

部署

  1. 選取部署
  2. 確認企業應用程式租使用者清單中的應用程式。
  3. 應用程式是透過 SHA 發行和存取。

設定 人員Soft

使用 Oracle Access Manager 進行 人員Soft 應用程式身分識別和存取管理。

若要深入瞭解,請取得 oracle Access Manger 整合指南的 o docs.oracle.com,整合 人員Soft

設定 Oracle Access Manager SSO

設定 Oracle 存取管理員以接受 BIG-IP 的 SSO。

  1. 使用系統管理員許可權登入 Oracle 主控台。

Screenshot of the Oracle console.

  1. 流覽至 人員Tools > 安全性
  2. 選取 [使用者設定檔 ]。
  3. 選取 [使用者設定檔 ]。
  4. 建立新的使用者設定檔。
  5. 針對 [ 使用者識別碼 ],輸入 OAMPSFT
  6. 針對 [ 使用者角色 ],輸入 人員Soft User
  7. 選取 [儲存]。

Screenshot of User ID on the Roles tab, User Profiles.

  1. 流覽至 [人員工具 > Web 設定檔]。
  2. 選取 Web 設定檔。
  3. 在 [安全性] 索引標籤的 [公用使用者 ] 中 ,選取 [ 允許公用存取 ]。
  4. 針對 [ 使用者識別碼 ],輸入 OAMPSFT
  5. 輸入密碼

Screenshot of options and selections for Public Users.

  1. 保留 人員soft 主控台。
  2. 啟動 人員Tools 應用程式設計工具
  3. 以滑鼠右鍵按一下 [ LDAPAUTH] 欄位。
  4. 選取 [ 檢視人員Code ]。

Screenshot of LDAPAUTH options under Application Designer.

  1. LDAPAUTH 程式 代碼視窗隨即開啟。

  2. 找出OAMSSO_AUTHENTICATION函式

  3. & defaultUserId 值取代為 OAMPSFT

    Screenshot of default User ID value equals OAMPSFT under Function.

  4. 儲存記錄。

  5. 流覽至 **人員Tools > 安全性。

  6. 選取 [安全性物件 ]。

  7. 選取 [登入] 人員Code

  8. 啟用 OAMSSO_AUTHENTICATION

人員Soft 單一登出

當您登出 我的應用程式 時,會起始 人員Soft SLO,進而呼叫 BIG-IP SLO 端點。 BIG-IP 需要指示,才能代表應用程式執行 SLO。 讓 BIG-IP 接聽使用者登出人員Soft 的要求,然後觸發 SLO。

新增 人員Soft 使用者的 SLO 支援。

  1. 取得 人員Soft 入口網站登出 URL。
  2. 使用網頁瀏覽器開啟入口網站。
  3. 啟用偵錯工具。
  4. 找出具有PT_LOGOUT_MENU 識別碼的專案
  5. 使用查詢參數儲存 URL 路徑。 在此範例中為:/psp/ps/?cmd=logout

Screenshot of PeopleSoft logout URL.

建立 BIG-IP iRule,將使用者重新導向至 SAML SP 登出端點: /my.logout.php3

  1. 流覽至 **本機流量 > iRules 清單。
  2. 選取建立
  3. 輸入規則 名稱
  4. 輸入下列命令列。

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

  1. 選取 [已完成 ]。

將 iRule 指派給 BIG-IP 虛擬伺服器。

  1. 流覽至 [ 存取 > 引導式設定 ]。
  2. 選取 人員Soft 應用程式組態連結。

Screenshot of the PeopleSoft application configuration link.

  1. 從頂端導覽列中,選取 [虛擬伺服器 ]。
  2. 針對 [ 進階設定 ],選取 [ 開啟 ]。

Screenshot of the Advanced Aettings option on Virtual Server Properties.

  1. 捲動至底部。
  2. 在 [一般] 下,新增您所建立的 iRule。

Screenshot of the irule under Common on Virtual Server Configuration.

  1. 選取 [儲存]。
  2. 選取 [下一步] 。
  3. 繼續設定設定。

若要深入瞭解,請移至下列 support.f5.com:

預設為 人員Soft 登陸頁面

將使用者要求從根目錄 (「/」) 重新導向至外部 人員Soft 入口網站,通常位於:「/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE。GBL」

  1. 流覽至 [ 本機流量 > iRule ]。
  2. 選取 [iRule_人員Soft ]。
  3. 新增下列命令列。

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. 將 iRule 指派給 BIG-IP 虛擬伺服器。

確認設定

  1. 使用瀏覽器,移至 人員Soft 應用程式外部 URL,或選取我的應用程式 中的 應用程式圖示。

  2. 向 Microsoft Entra 識別碼進行驗證。

  3. 系統會將您重新導向至 BIG-IP 虛擬伺服器,並使用 SSO 登入。

    注意

    您可以封鎖直接存取應用程式,藉此強制執行透過 BIG-IP 的路徑。

進階部署

有時候,引導式設定範本缺乏彈性。

深入瞭解:教學課程: 為標頭型 SSO 設定 F5 BIG-IP 存取原則管理員

或者,在 BIG-IP 中,停用引導式設定嚴格管理模式。 您可以手動變更組態,不過大部分的組態都是使用精靈範本自動化的。

  1. 流覽至 [ 存取 > 引導式設定 ]。
  2. 在資料列結尾,選取 掛鎖

Screenshot of the padlock icon.

您無法使用精靈 UI 進行變更,但與應用程式發行實例相關聯的 BIG-IP 物件會解除鎖定以進行管理。

注意

當您重新啟用嚴格模式並部署組態時,會覆寫在引導式設定外部執行的設定。 我們建議使用生產服務的進階設定。

疑難排解

使用 BIG-IP 記錄來隔離連線、SSO、原則違規或設定錯誤的變數對應問題。

記錄詳細資訊

  1. 流覽至存取 原則 > 概觀
  2. 選取 [事件記錄 檔]。
  3. 選取設定
  4. 選取已發佈應用程式的資料列。
  5. 選取 [ 編輯 ]。
  6. 選取 [存取系統記錄檔]
  7. 從 SSO 清單中,選取 [ 偵錯 ]。
  8. 選取 [確定]。
  9. 重現您的問題。
  10. 檢查記錄。

完成時,請還原此功能,因為詳細資訊模式會產生大量資料。

BIG-IP 錯誤訊息

如果 BIG-IP 錯誤出現在 Microsoft Entra 預先驗證之後,則可能與 Microsoft Entra ID 與 BIG-IP SSO 有關。

  1. 流覽至 [ 存取 > 概觀 ]。
  2. 選取 [ 存取報表 ]。
  3. 執行過去一小時的報表。
  4. 檢閱記錄以取得線索。

使用會話的 [ 檢視會話 ] 連結來確認 APM 收到預期的 Microsoft Entra 宣告。

沒有 BIG-IP 錯誤訊息

如果沒有出現 BIG-IP 錯誤訊息,問題可能與後端要求或 BIG-IP 至應用程式 SSO 有關。

  1. 流覽至存取 原則 > 概觀
  2. 選取 [ 使用中會話 ]。
  3. 選取使用中的會話連結。

使用 [ 檢視變數 ] 連結來判斷 SSO 問題,特別是當 BIG-IP APM 從會話變數取得不正確的屬性時。

深入了解:

  • 移至 APM 變數指派範例的 devcentral.f5.com
  • 移至會話變數的 techdocs.f5.com