教學課程:設定 F5 BIG-IP Easy Button for SSO to Oracle 人員 Soft

  • 發行項

在本文中,瞭解如何使用 Microsoft Entra ID 保護 Oracle 人員 Soft (人員 Soft),並搭配 F5 BIG-IP Easy Button 引導式設定 16.1。

整合 BIG-IP 與 Microsoft Entra ID 以取得許多優點:

深入了解:

案例描述

在本教學課程中,使用 HTTP 授權標頭來管理受保護內容的存取權的 人員 Soft 應用程式。

舊版應用程式缺少支援 Microsoft Entra 整合的新式通訊協定。 現代化成本高昂,需要規劃,並帶來潛在的停機時間風險。 相反地,使用 F5 BIG-IP 應用程式傳遞控制器(ADC)來橋接舊版應用程式與新式標識碼控制之間的差距,並轉換通訊協定。

在應用程式前面使用 BIG-IP,您可以使用 Microsoft Entra 預先驗證和標頭型 SSO 來重疊服務。 此動作可改善應用程式的安全性狀態。

注意

使用 Microsoft Entra 應用程式 Proxy 遠端存取這種類型的應用程式。
請參閱透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式。

案例架構

本教學課程的安全混合式存取 (SHA) 解決方案具有下列元件:

  • 人員 Soft 應用程式 - 受 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
  • Microsoft Entra ID - 安全性判斷提示標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取和 SAML 型 SSO 到 BIG-IP
    • 透過 SSO,Microsoft Entra ID 會提供 BIG-IP 的會話屬性
  • BIG-IP - 反向 Proxy 和 SAML 服務提供者 (SP) 至應用程式。 它會將驗證委派給 SAML IdP,然後將標頭型 SSO 委派給 人員 Soft 服務。

在此案例中,SHA 支援由SP和IdP起始的流程。 下圖說明SP起始的流程。

Diagram of secure hybrid access with SP initiated flow.

  1. 用戶連線到應用程式端點 (BIG-IP)。
  2. BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)。
  3. Microsoft Entra 會預先驗證使用者,並套用條件式存取原則。
  4. 使用者會重新導向至 BIG-IP (SAML SP),而 SSO 會隨著發行的 SAML 令牌而發生。
  5. BIG-IP 會將 Microsoft Entra 屬性插入至應用程式的要求中做為標頭。
  6. 應用程式會授權要求並傳回承載。

必要條件

  • Microsoft Entra ID 免費帳戶或更新版本
  • Azure 中的 BIG-IP 或 BIG-IP 虛擬版本 (VE)
  • 下列任何 F5 BIG-IP 授權:
    • F5 BIG-IP® 最佳套件組合
    • F5 BIG-IP APM 獨立授權
    • 現有 BIG-IP F5 BIG-IP® 本機 流量管理員 ™ 的 F5 BIG-IP APM 附加元件授權(LTM)
    • 90 天 BIG-IP 完整功能 試用版授權
  • 從內部部署目錄同步處理到 Microsoft Entra 識別碼的使用者身分識別,或在 Microsoft Entra 識別符中建立,並流回內部部署目錄
  • 下列其中一個角色:Global 管理員 istrator、Cloud Application 管理員 istrator 或 Application 管理員 istrator。
  • 透過 HTTPS 發佈服務的 SSL Web 憑證,或使用預設 BIG-IP 憑證進行測試
  • 人員 Soft 環境

BIG-IP 組態

本教學課程使用引導式設定 16.1 搭配簡易按鈕範本。

使用 [簡單按鈕] 時,系統管理員不會在 Microsoft Entra ID 與 BIG-IP 之間切換,以啟用 SHA 的服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 整合可確保應用程式支援身分識別同盟、SSO 和條件式存取。

注意

將本教學課程中的範例字串或值取代為您環境中的字串或值。

註冊簡易按鈕

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

在用戶端或服務存取 Microsoft Graph 之前,Microsoft 身分識別平台 必須信任它。

深入瞭解:快速入門:向 Microsoft 身分識別平台 註冊應用程式

下列指示可協助您建立租使用者應用程式註冊,以授權簡單按鈕存取 Graph。 透過這些許可權,BIG-IP 會推送設定,以在已發佈應用程式的 SAML SP 實例與 Microsoft Entra ID 之間建立信任,作為 SAML IdP。

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別應用程式> 應用程式註冊 > [新增註冊]。

  3. 輸入應用程式 名稱

  4. 僅針對 此組織目錄中的 [帳戶],指定誰使用應用程式。

  5. 選取註冊

  6. 流覽至 API 許可權

  7. 授權下列 Microsoft Graph 應用程式權限

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. 授與系統管理員同意您的組織。

  9. 移至 [ 憑證與秘密]。

  10. 產生新的 客戶端密碼 並加以記下。

  11. 移至 [ 概觀 ],並記下 用戶端標識符租用戶標識符

設定簡易按鈕

  1. 起始 APM 引導式設定。
  2. 啟動簡易按鈕範本。
  3. 流覽至 [ 存取 > 引導式設定]。
  4. 選取 [Microsoft 整合]。
  5. 選取 [Microsoft Entra 應用程式]。
  6. 檢閱組態順序。
  7. 選取下一個
  8. 遵循設定順序。

Screenshot of configuration sequence under Microsoft Entra Application Configuration.

組態屬性

使用 [ 組態屬性] 索引標籤來建立新的應用程式組態和 SSO 物件。 [ Azure 服務帳戶詳細數據 ] 區段代表您在 Microsoft Entra 租用戶中註冊為應用程式的用戶端。 使用 BIG-IP OAuth 客戶端的設定,以使用 SSO 屬性在租用戶中註冊 SAML SP。 [簡單按鈕] 會針對針對針對 SHA 發佈的 BIG-IP 服務執行此動作並加以啟用。

注意

下列部分設定是全域設定。 您可以重複使用它們來發佈更多應用程式。

  1. 輸入組 態名稱。 唯一名稱有助於區分組態。
  2. 針對 [單一登錄][SSO] 和 [HTTP 標頭],選取 [開啟]。
  3. 輸入您注意到的 租用戶標識碼、用戶端識別碼客戶端密碼
  4. 確認 BIG-IP 連線到租使用者。
  5. 選取 [下一步]。

Screenshot of options and selections for Configuration Properties.

服務提供者

使用服務提供者設定,為代表SHA安全應用程式的APM實例定義SAML SP屬性。

  1. 針對 [ 主機],輸入安全應用程式的公用 FQDN。
  2. 針對 [實體標識符],輸入 Microsoft Entra ID 用來識別要求令牌的 SAML SP 識別符。

Screenshot of options and selections for Service Provider.

  1. (選擇性)針對 [安全性 設定],指出 Microsoft Entra ID 會加密發出的 SAML 判斷提示。 此選項會增加保證不會攔截內容令牌,也不會遭到數據入侵。

  2. 從 [ 判斷提示解密私鑰 ] 清單中,選取 [ 新建]。

Screenshot Create New in the Assertion Decryption Private Key list.

  1. 選取 [確定]。
  2. [匯 入 SSL 憑證和金鑰] 對話框會出現在新索引標籤 中。
  3. 針對 [ 匯入類型],選取 [ PKCS 12 (IIS)]。 這個選項會匯入您的憑證和私鑰。
  4. 關閉瀏覽器索引標籤以返回主要索引標籤。

Screenshot of options and selections for SSL Certificate and Key Source

  1. 針對 [ 啟用加密判斷提示],核取方塊。
  2. 如果您已啟用加密,請從 [ 判斷提示解密私鑰 ] 清單中選取您的憑證。 此私鑰適用於 BIG-IP APM 用來解密 Microsoft Entra 判斷提示的憑證。
  3. 如果您已啟用加密,請從 [ 判斷提示解密憑證 ] 列表中選取您的憑證。 BIG-IP 會將此憑證上傳至 Microsoft Entra ID,以加密發行的 SAML 判斷提示。

Screenshot of options and selections for Security Settings.

Microsoft Entra ID

Easy Button 具有 Oracle 人員 Soft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 和泛型 SHA 範本的範本。

  1. 選取 [Oracle 人員 Soft]。
  2. 選取新增

Azure 組態

  1. 輸入 租用戶中應用程式 BIG-IP 建立的顯示名稱 。 名稱會出現在 我的應用程式圖示上。

  2. (選擇性)針對 [登入 URL] 輸入 人員 Soft 應用程式公用 FQDN。

  3. 在 [ 簽署金鑰 ] 和 [簽署憑證] 旁,選取 [ 重新整理]。 此動作會找出您匯入的憑證。

  4. 針對 [簽署密鑰複雜密碼],輸入憑證密碼。

  5. (選擇性)針對 [ 簽署選項],選取選項。 此選取專案可確保 BIG-IP 接受由 Microsoft Entra ID 簽署的令牌和宣告。

Screenshot of Signing Key, Signing Certificate, and Signing Key Passprhase options under SAML Signing Certificate.

  1. 用戶和使用者群組 會從 Microsoft Entra 租用戶動態查詢。
  2. 新增用於測試的使用者或群組,否則會拒絕存取。

Screenshot of the Add option under Users And User Groups.

使用者屬性與宣告

當使用者驗證時,Microsoft Entra ID 會發出 SAML 令牌,其中包含識別用戶的預設宣告和屬性。 [ 使用者屬性與宣告 ] 索引標籤有新應用程式要發出的預設宣告。 使用它來設定更多宣告。 Easy Button 範本具有 人員 Soft 所需的員工標識碼宣告。

Screenshot of options and selections for User Attributes & Claims.

如有需要,請包含其他 Microsoft Entra 屬性。 範例 人員 Soft 應用程式需要預先定義的屬性。

其他用戶屬性

[ 其他使用者屬性] 索引 標籤支援需要屬性的分散式系統會儲存在其他目錄中以進行會話增強。 LDAP 來源的屬性會插入為更多 SSO 標頭,以根據角色、合作夥伴識別碼等來控制存取。

注意

這項功能與 Microsoft Entra 識別符沒有關聯;它是另一個屬性來源。

條件式存取原則

條件式存取原則會在 Microsoft Entra 預先驗證之後強制執行,以根據裝置、應用程式、位置和風險訊號來控制存取。 [ 可用的原則 ] 檢視具有沒有使用者動作的條件式存取原則。 [ 選取的原則 ] 檢視具有以雲端應用程式為目標的原則。 您無法取消選取或將這些原則移至 [可用的原則] 列表,因為它們會在租用戶層級強制執行。

選取應用程式的原則。

  1. 在 [ 可用的原則] 列表中,選取原則。
  2. 選取向右箭號,並將原則移至 [選取的原則]。

選取的原則已 核取 [包含 ] 或 [排除] 選項。 如果檢查這兩個選項,則不會強制執行原則。

Screenshot of excluded policies under Selected Policies on the Conditional Access Policy tab.

注意

當您選取索引標籤時,原則清單會出現一次。使用 [重新 整理] 精靈來查詢租使用者。 這個選項會出現在部署應用程式之後。

虛擬伺服器屬性

虛擬伺服器是由虛擬IP位址表示的BIG-IP數據平面物件。 伺服器會接聽對應用程式的用戶端要求。 接收的流量會根據虛擬伺服器 APM 配置檔進行處理和評估。 然後,流量會根據原則進行導向。

  1. 針對 [ 目的地位址],輸入IPv4或IPv6 位址 BIG-IP 用來接收用戶端流量。 DNS 中會出現對應的記錄,可讓用戶端將已發佈應用程式的外部 URL 解析為 IP。 使用測試計算機localhost DNS進行測試。
  2. 針對 [服務埠],輸入 443 ,然後選取 [ HTTPS]。
  3. 針對 [ 啟用重新導向埠],核取方塊。
  4. 針對 [ 重新導向埠],輸入 80 並選取 [ HTTP]。 此選項會將連入 HTTP 用戶端流量重新導向至 HTTPS。
  5. 針對 [ 用戶端 SSL 配置檔],選取 [ 使用現有]。
  6. 在 [一般],選取您建立的選項。 如果測試,請保留預設值。 用戶端 SSL 設定檔會啟用 HTTPS 的虛擬伺服器,因此會透過 TLS 加密用戶端連線。

Screenshot of options and selections for Virtual Server Properties.

集區屬性

[應用程式集區] 索引標籤具有 BIG-IP 後方的服務,以具有應用程式伺服器的集區表示。

  1. 針對 [ 選取集區],選取 [新建],或選取一個集區。
  2. 針對 [負載平衡方法],選取 [迴圈配置資源]。
  3. 針對 [集區伺服器],在 [IP 位址/節點名稱] 中選取節點,或輸入裝載 人員 Soft 應用程式之伺服器的 IP 和埠。

Screenshot of IP Address/Node Name and Port options on Pool Properties.

單一登錄和 HTTP 標頭

簡易按鈕精靈支援 Kerberos、OAuth Bearer 和 HTTP 授權標頭,以便 SSO 到已發佈的應用程式。 人員 Soft 應用程式需要標頭。

  1. 針對 [HTTP 標頭],核取方塊。
  2. 針對 [ 標頭作業],選取 [取代]。
  3. 針對 [ 標頭名稱],輸入 PS_SSO_UID
  4. 針對 [標頭值],輸入 %{session.sso.token.last.username}

Screenshot of Header Operation, Header Name, and Header value entries under Single sign-On & HTTP Headers.

注意

大括弧中的 APM 會話變數會區分大小寫。 例如,如果您輸入 OrclGUID,而且屬性名稱為 orclguid,則屬性對應會失敗。

工作階段管理

使用 BIG-IP 工作階段管理設定來定義使用者工作階段終止或接續的條件。 設定使用者和IP位址的限制,以及對應的用戶資訊。

若要深入瞭解,請移至K18390492 support.f5.com :安全性 |BIG-IP APM 作業指南

作業指南中未涵蓋單一註銷 (SLO) 功能,可確保當使用者註銷時,IdP、BIG-IP 和使用者代理程式會話會終止。當 Easy Button 在 Microsoft Entra 租使用者中具現化 SAML 應用程式時,它會使用 APM SLO 端點填入註銷 URL。 從 idP 起始的註銷 我的應用程式 會終止 BIG-IP 和用戶端工作階段。

已發佈的應用程式 SAML 同盟數據會從租用戶匯入。 此動作會為 APM 提供 Microsoft Entra 識別碼的 SAML 註銷端點,以確保 SP 起始的註銷會終止用戶端和 Microsoft Entra 工作階段。 APM 必須知道使用者何時註銷。

當 BIG-IP Webtop 入口網站存取已發佈的應用程式時,APM 會處理註銷以呼叫 Microsoft Entra 註銷端點。 如果未使用 BIG-IP Webtop 入口網站,使用者就無法指示 APM 註銷。如果使用者註銷應用程式,BIG-IP 就會被遺忘。 SP 起始的註銷需要安全的會話終止。 將 SLO 函式新增至您的應用程式 [註銷 ] 按鈕,以將用戶端重新導向至 Microsoft Entra SAML 或 BIG-IP 註銷端點。 應用程式註冊>端點中租使用者的 SAML 註銷端點 URL。

如果您無法變更應用程式,請考慮讓 BIG-IP 接聽應用程式註銷呼叫,並觸發 SLO。 如需詳細資訊,請參閱下一節中的 人員 Soft 單一註銷

部署

  1. 選取部署
  2. 確認企業應用程式租使用者清單中的應用程式。
  3. 應用程式是透過 SHA 發行和存取。

設定 人員 Soft

使用 Oracle Access Manager 進行 人員 Soft 應用程式身分識別和存取管理。

若要深入瞭解,請取得 oracle Access Manger 整合指南的 o docs.oracle.com,整合 人員 Soft

設定 Oracle Access Manager SSO

設定 Oracle 存取管理員以接受 BIG-IP 的 SSO。

  1. 使用系統管理員許可權登入 Oracle 控制台。

Screenshot of the Oracle console.

  1. 流覽至 人員 Tools > 安全性
  2. 選取 [使用者配置檔]。
  3. 選取 [使用者配置檔]。
  4. 建立新的使用者配置檔。
  5. 針對 [ 用戶標識符],輸入 OAMPSFT
  6. 針對 [使用者角色],輸入 人員 Soft User
  7. 選取 [儲存]。

Screenshot of User ID on the Roles tab, User Profiles.

  1. 流覽至 [人員 工具>Web 配置檔]。
  2. 選取 Web 設定檔。
  3. 在 [安全性] 索引標籤的 [公用使用者] 中,選取 [允許公用存取]。
  4. 針對 [ 用戶標識符],輸入 OAMPSFT
  5. 輸入密碼

Screenshot of options and selections for Public Users.

  1. 保留 人員 soft 控制台。
  2. 啟動 人員 Tools 應用程式設計工具
  3. 以滑鼠右鍵按兩下 [ LDAPAUTH] 欄位。
  4. 選取 [檢視 人員 Code]。

Screenshot of LDAPAUTH options under Application Designer.

  1. LDAPAUTH 程式代碼窗口隨即開啟。

  2. 找出OAMSSO_AUTHENTICATION函式

  3. &defaultUserId 值取代為 OAMPSFT

    Screenshot of default User ID value equals OAMPSFT under Function.

  4. 儲存記錄。

  5. 流覽至 **人員 Tools > 安全性。

  6. 選取 [安全性物件]。

  7. 選取 [登入 人員 Code]。

  8. 啟用 OAMSSO_AUTHENTICATION

人員 Soft 單一註銷

當您註銷 我的應用程式 時,會起始 人員 Soft SLO,進而呼叫 BIG-IP SLO 端點。 BIG-IP 需要指示,才能代表應用程式執行 SLO。 讓 BIG-IP 接聽使用者註銷要求以 人員 Soft,然後觸發 SLO。

新增 人員 Soft 使用者的 SLO 支援。

  1. 取得 人員 Soft 入口網站註銷 URL。
  2. 使用網頁瀏覽器開啟入口網站。
  3. 啟用偵錯工具。
  4. 找出具有PT_LOGOUT_MENU標識碼的專案
  5. 使用查詢參數儲存 URL 路徑。 在此範例中為:/psp/ps/?cmd=logout

Screenshot of PeopleSoft logout URL.

建立 BIG-IP iRule,將使用者重新導向至 SAML SP 註銷端點: /my.logout.php3

  1. 流覽至 **本機流量 > iRules 清單。
  2. 選取 建立
  3. 輸入規則 名稱
  4. 輸入下列命令行。

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

  1. 選取 [已完成]。

將 iRule 指派給 BIG-IP 虛擬伺服器。

  1. 流覽至 [ 存取 > 引導式設定]。
  2. 選取 人員 Soft 應用程式組態連結。

Screenshot of the PeopleSoft application configuration link.

  1. 從頂端導覽列中,選取 [虛擬伺服器]。
  2. 針對 [進階 設定],選取 [開啟]。

Screenshot of the Advanced Aettings option on Virtual Server Properties.

  1. 捲動至底部。
  2. 在 [一般]下,新增您所建立的 iRule。

Screenshot of the irule under Common on Virtual Server Configuration.

  1. 選取 [儲存]。
  2. 選取 [下一步]。
  3. 繼續設定設定。

若要深入瞭解,請移至下列 support.f5.com:

默認為 人員 Soft 登陸頁面

將使用者要求從根目錄 (“/”) 重新導向至外部 人員 Soft 入口網站,通常位於:“/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE。GBL”

  1. 流覽至 [ 本機流量 > iRule]。
  2. 選取 [iRule_人員 Soft]。
  3. 新增下列命令行。

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. 將 iRule 指派給 BIG-IP 虛擬伺服器。

確認設定

  1. 使用瀏覽器,移至 人員 Soft 應用程式外部 URL,或選取 我的應用程式 中的應用程式圖示。

  2. 向 Microsoft Entra 識別碼進行驗證。

  3. 系統會將您重新導向至 BIG-IP 虛擬伺服器,並使用 SSO 登入。

    注意

    您可以封鎖直接存取應用程式,藉此強制執行透過 BIG-IP 的路徑。

進階部署

有時候,引導式設定範本缺乏彈性。

深入瞭解:教學課程: 為標頭型 SSO 設定 F5 BIG-IP 存取原則管理員

或者,在 BIG-IP 中,停用引導式設定嚴格管理模式。 您可以手動變更組態,不過大部分的組態都是使用精靈範本自動化的。

  1. 流覽至 [ 存取 > 引導式設定]。
  2. 在數據列結尾,選取 掛鎖

Screenshot of the padlock icon.

您無法使用精靈 UI 進行變更,但與應用程式發行實例相關聯的 BIG-IP 物件會解除鎖定以進行管理。

注意

當您重新啟用嚴格模式並部署組態時,會覆寫在引導式設定外部執行的設定。 我們建議使用生產服務的進階設定。

疑難排解

使用 BIG-IP 記錄來隔離連線、SSO、原則違規或設定錯誤的變數對應問題。

記錄詳細資訊

  1. 流覽至存取 原則 > 概觀
  2. 選取 [事件記錄檔]。
  3. 選取設定
  4. 選取已發佈應用程式的數據列。
  5. 選取 [編輯]。
  6. 選取 [存取系統記錄檔]
  7. 從 SSO 清單中,選取 [ 偵錯]。
  8. 選取 [確定]。
  9. 重現您的問題。
  10. 檢查記錄。

完成時,請還原此功能,因為詳細資訊模式會產生大量數據。

BIG-IP 錯誤訊息

如果 BIG-IP 錯誤出現在 Microsoft Entra 預先驗證之後,則可能與 Microsoft Entra ID 與 BIG-IP SSO 有關。

  1. 流覽至 [ 存取 > 概觀]。
  2. 選取 [ 存取報表]。
  3. 執行過去一小時的報表。
  4. 檢閱記錄以取得線索。

使用會話的 [ 檢視會話 ] 鏈接來確認 APM 收到預期的 Microsoft Entra 宣告。

沒有 BIG-IP 錯誤訊息

如果沒有出現 BIG-IP 錯誤訊息,問題可能與後端要求或 BIG-IP 至應用程式 SSO 有關。

  1. 流覽至存取 原則 > 概觀
  2. 選取 [ 使用中會話]。
  3. 選取使用中的會話連結。

使用 [ 檢視變數 ] 鏈接來判斷 SSO 問題,特別是當 BIG-IP APM 從會話變數取得不正確的屬性時。

深入了解:

  • 移至 APM 變數指派範例的 devcentral.f5.com
  • 移至工作階段變數的 techdocs.f5.com