Tutorial: Konfigurieren von F5 BIG-IP Easy Button für Single Sign-On (SSO) bei Oracle EBS

  • Artikel

Erfahren Sie, wie Sie Oracle Enterprise Business Suite (EBS) mithilfe von Microsoft Entra ID und F5 BIG-IP Easy Button Guided Configuration schützen. Die Integration einer BIG-IP in Microsoft Entra ID hat viele Vorteile:

  • Verbesserte Zero Trust-Governance durch Vorabauthentifizierung und bedingten Zugriff von Microsoft Entra
  • Vollständiges einmaliges Anmelden (Single Sign-On, SSO) zwischen Microsoft Entra ID und in BIG-IP veröffentlichten Diensten
  • Verwaltete Identitäten und Zugriff über eine einzelne Steuerungsebene

Weitere Informationen:

Beschreibung des Szenarios

In diesem Szenario wird die klassische Oracle EBS-Anwendung behandelt, die mithilfe von HTTP-Autorisierungsheadern den Zugriff auf geschützte Inhalte steuert.

Legacyanwendungen fehlt es an modernen Protokollen zur Unterstützung der Integration in Microsoft Entra. Eine Modernisierung ist kostspielig, zeitaufwändig und birgt das Risiko von Ausfallzeiten. Verwenden Sie stattdessen einen F5 BIG-IP Application Delivery Controller (ADC), um die Lücke zwischen Legacyanwendungen und moderner ID-Steuerungsebene (mit Protokollübergang) zu schließen.

Ein der App vorgeschaltetes BIG-IP ermöglicht es, den Dienst mit Microsoft Entra-Vorab-Authentifizierung und headerbasiertem SSO zu überlagern. Diese Konfiguration verbessert den Sicherheitsstatus der Anwendung.

Szenarioarchitektur

Die Lösung für sicheren Hybridzugriff (Secure Hybrid Access, SHA) besteht aus den folgenden Komponenten:

  • Oracle EBS-Anwendung: Von BIG-IP veröffentlichter Dienst, der durch SHA von Microsoft Entra geschützt werden soll
  • Microsoft Entra ID: SAML-Identitätsanbieter (Security Assertion Markup Language), der Benutzeranmeldeinformationen, bedingten Zugriff und SAML-basiertes Single Sign-On für den BIG-IP-Dienst überprüft
    • Durch die SSO-Funktionalität stellt Microsoft Entra ID BIG-IP die erforderlichen Sitzungsattribute bereit
  • Oracle Internet Directory (OID): dient zum Hosten der Benutzerdatenbank
    • BIG-IP überprüft Autorisierungsattribute mit LDAP.
  • Oracle E-Business Suite AccessGate: überprüft Autorisierungsattribute mit dem OID-Dienst und stellt dann EBS-Zugriffscookies aus
  • BIG-IP: Reverseproxy und SAML-Dienstanbieter (SP) für die Anwendung
    • Die Authentifizierung wird an den SAML-IdP delegiert. Anschließend erfolgt headerbasiertes Single Sign-On bei der Oracle-Anwendung.

SHA unterstützt vom SP und IdP eingeleitete Flows. Das folgende Diagramm veranschaulicht den durch den SP eingeleiteten Flow.

Diagramm des sicheren Hybridzugriffs mit vom SP eingeleitetem Flow.

  1. Der Benutzer stellt eine Verbindung mit dem Anwendungsendpunkt (BIG-IP) her.
  2. Die BIG-IP-APM-Zugriffsrichtlinie leitet Benutzer an Microsoft Entra ID (SAML IdP) um.
  3. Microsoft Entra führt eine Vorauthentifizierung von Benutzern durch und wendet Richtlinien für bedingten Zugriff an.
  4. Der Benutzer wird zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und Single Sign-On erfolgt unter Verwendung des ausgestellten SAML-Tokens.
  5. BIG-IP führt eine LDAP-Abfrage für das UID-Attribut (Unique ID) des Benutzers aus.
  6. BIG-IP fügt das zurückgegebene UID-Attribut als Header des Typs user_orclguid in die EBS-Sitzungscookieanforderung an Oracle AccessGate ein.
  7. Oracle AccessGate überprüft die UID im Abgleich mit dem OID-Dienst und stellt ein EBS-Zugriffscookie aus.
  8. Oracle EBS verwendet den an die Anwendung gesendeten Header und das Cookie und gibt die Nutzdaten an den Benutzer zurück.

Voraussetzungen

Sie benötigen folgende Komponenten:

  • Azure-Abonnement
  • Die Rolle „Cloudanwendungsadministrator“ oder „Anwendungsadministrator“.
  • Eine BIG-IP-Instanz oder Bereitstellung einer BIG-IP Virtual Edition (VE) in Azure
  • Eine der folgenden F5 BIG-IP-Lizenz-SKUs:
    • F5 BIG-IP® Best Bundle
    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM)
    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 Tage gültige Testversion für sämtliche Features von BIG-IP. Mehr dazu finden Sie unter Kostenlose Testversionen.
  • Benutzeridentitäten, die aus einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden
  • Ein SSL-Zertifikat zum Veröffentlichen von Diensten über HTTPS oder zum Testen Standardzertifikate verwenden
  • Oracle EBS, Oracle AccessGate und eine LDAP-fähige Oracle Internet Database (OID)

BIG-IP-Konfigurationsmethode

In diesem Tutorial wird Guided Configuration v16.1 mit einer Easy Button-Vorlage verwendet. Die Easy Button-Vorlage erspart Administratoren Umwege beim Aktivieren von Diensten für SHA. Bereitstellung und Richtlinienverwaltung erfolgen durch den APM-Assistenten für Guided Configuration und Microsoft Graph. Durch diese Integration wird sichergestellt, dass Anwendungen Identitätsverbund, Single Sign-On (SSO) und bedingten Zugriff unterstützen, wodurch sich der Verwaltungsaufwand reduziert.

Hinweis

Ersetzen Sie Beispielzeichenfolgen oder -werte durch Angaben für Ihre Umgebung.

Registrieren von Easy Button

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Bevor ein Client oder Dienst auf Microsoft Graph zugreift, muss die Microsoft Identity Platform diesem vertrauen.

Weitere Informationen: Schnellstart: Registrieren einer Anwendung bei der Microsoft Identity Platform

Erstellen Sie die Registrierung einer Mandanten-App, um den Easy Button-Zugriff auf Graph zu autorisieren. Die BIG-IP-Instanz kann Konfigurationen zum Einrichten einer Vertrauensstellung zwischen einer SAML-SP-Instanz für eine veröffentlichte Anwendung und Microsoft Entra ID als SAML-Identitätsanbieter (Identity Provider, IdP) per Push übertragen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen>Neue Registrierung.

  3. Geben Sie unter Name einen Anwendungsnamen ein. Zum Beispiel „F5 BIG-IP Easy Button“.

  4. Geben Sie an, wer die Anwendung verwenden darf >Nur Konten in diesem Organisationsverzeichnis.

  5. Wählen Sie Registrieren aus.

  6. Navigieren Sie zu API-Berechtigungen.

  7. Autorisieren Sie die folgenden Microsoft Graph-Anwendungsberechtigungen:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Erteilen Sie die Administratoreinwilligung für Ihre Organisation.

  9. Wechseln Sie zu Zertifikate & Geheimnisse.

  10. Generieren Sie einen neuen geheimen Clientschlüssel. Notieren Sie den geheimen Clientschlüssel.

  11. Navigieren Sie zu Übersicht. Notieren Sie sich die Client-ID und Mandanten-ID.

Konfigurieren von Easy Button

  1. Leiten Sie in APM die geführte Konfiguration ein.

  2. Starten Sie die Vorlage Easy Button.

  3. Navigieren Sie zu Zugriff > Geführte Konfiguration > Microsoft-Integration.

  4. Wählen Sie Microsoft Entra-Anwendungsproxy aus.

  5. Überprüfen Sie die Konfigurationsoptionen.

  6. Wählen Sie Weiter aus.

  7. Veröffentlichen Sie Ihre Anwendung mithilfe der Grafik.

    Screenshot der Grafik mit Konfigurationsbereichen.

Konfigurationseigenschaften

Auf der Registerkarte Konfigurationseigenschaften werden eine BIG-IP-Anwendungskonfiguration und ein neues SSO-Objekt erstellt. Im Abschnitt Details zum Azure-Dienstkonto wird der Client, den Sie im Microsoft Entra-Mandanten registriert haben, als Anwendung dargestellt. Mithilfe dieser Einstellungen registriert ein BIG-IP-OAuth-Client einen SAML-Dienstanbieter mit SSO-Eigenschaften in Ihrem Mandanten. Easy Button führt diese Aktion für von BIG-IP veröffentlichte und für SHA aktivierte Dienste aus.

Um Zeit und Aufwand zu reduzieren, verwenden Sie globale Einstellungen zur Veröffentlichung anderer Anwendungen wieder.

  1. Geben Sie einen Konfigurationsnamen ein.
  2. Wählen Sie für Single Sign-On (SSO) und HTTP-Header die Option Ein aus.
  3. Geben Sie unter Mandanten-ID, Client-ID und Geheimer Clientschlüssel ein, was Sie sich bei der Easy Button-Clientregistrierung notiert haben.
  4. Vergewissern Sie sich, dass BIG-IP eine Verbindung mit Ihrem Mandanten herstellen kann.
  5. Wählen Sie Weiter aus.

Dienstanbieter

Verwenden Sie Dienstanbietereinstellungen für die Eigenschaften der SAML-SP-Instanz der geschützten Anwendung.

  1. Geben Sie für Host den öffentlichen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) der Anwendung ein.

  2. Geben Sie für Entitäts-ID den Bezeichner ein, den Microsoft Entra ID zum Identifizieren des SAML-Dienstanbieters verwendet und der ein Token anfordert.

    Screenshot der Eingabe und Optionen für Dienstanbieter.

  3. (Optional) Aktivieren oder deaktivieren Sie unter Sicherheitseinstellungen Verschlüsselte Assertion aktivieren. Das Verschlüsseln von Assertionen zwischen Microsoft Entra ID und BIG-IP APM bedeutet, dass Inhaltstoken nicht abgefangen und personenbezogene oder Unternehmensdaten nicht kompromittiert werden können.

  4. Wählen Sie in der Liste Privater Schlüssel zum Entschlüsseln von Assertionen die Option Neu erstellen aus.

    Screenshot der Option „Neu erstellen“ in der Dropdownliste „Privater Schlüssel zum Entschlüsseln von Assertionen“.

  5. Wählen Sie OK aus.

  6. Das Dialogfeld SSL-Zertifikat und Schlüssel importieren wird auf einer neuen Registerkarte geöffnet.

  7. Wählen Sie PKCS 12 (IIS) aus.

  8. Zertifikat und privater Schlüssel werden importiert.

  9. Schließen Sie die Browserregisterkarte, um zur Hauptregisterkarte zurückzukehren.

    Screenshot der Eingaben für Importtyp, Zertifikat, Schlüsselname und Kennwort.

  10. Wählen Sie Verschlüsselte Assertion aktivieren aus.

  11. Bei aktivierter Verschlüsselung wählen Sie in der Liste Privater Schlüssel zum Entschlüsseln von Assertionen den privaten Schlüssel für das Zertifikat aus, mit dem BIG-IP APM Microsoft Entra-Assertionen entschlüsselt.

  12. Bei aktivierter Verschlüsselung wählen Sie in der Liste Zertifikat zum Entschlüsseln von Assertionen das Zertifikat aus, das BIG-IP in Microsoft Entra ID hochlädt, um die ausgestellten SAML-Assertionen zu verschlüsseln.

    Screenshot ausgewählter Zertifikate für „Privater Schlüssel zum Entschlüsseln von Assertionen“ und „Zertifikat zum Entschlüsseln von Assertionen“.

Microsoft Entra ID

Easy Button umfasst Anwendungsvorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP sowie eine allgemeine SHA-Vorlage. Der folgende Screenshot zeigt die Option „Oracle E-Business Suite“ unter „Azure Configuration“ (Azure-Konfiguration).

  1. Wählen Sie Oracle E-Business Suite aus.
  2. Wählen Sie Hinzufügen aus.

Azure-Konfiguration

  1. Geben Sie einen Anzeigenamen für die App, die BIG-IP in Ihrem Microsoft Entra-Mandanten erstellt, und das Symbol in „Meine Apps“ ein.

  2. Geben Sie unter Anmelde-URL (optional) den öffentlichen FQDN der EBS-Anwendung ein.

  3. Geben Sie den Standardpfad für die Oracle EBS-Startseite ein.

  4. Wählen Sie neben Signaturschlüssel und Signaturzertifikat das Symbol Aktualisieren aus.

  5. Wechseln Sie zum Zertifikat, das Sie importiert haben.

  6. Geben Sie unter Passphrase für Signaturschlüssel das Zertifikatkennwort ein.

  7. (Optional) Aktivieren Sie Signaturoption. Durch diese Option wird sichergestellt, dass BIG-IP von Microsoft Entra ID signierte Token und Ansprüche akzeptiert.

    Screenshot der Optionen und Einträge für Signaturschlüssel, Signaturzertifikat und Signaturschlüsselpassphrase.

  8. Fügen Sie unter Benutzer und Benutzergruppen zum Testen einen Benutzer oder eine Gruppe hinzu. Andernfalls werden sämtliche Zugriffe verweigert. Benutzer*innen und Benutzergruppen werden von Ihrem Microsoft Entra-Mandanten dynamisch abgefragt und zum Autorisieren des Zugriffs auf die Anwendung verwendet.

    Screenshot der Option „Hinzufügen“ für Benutzer und Benutzergruppen.

Benutzerattribute und Ansprüche

Wenn sich ein Benutzer authentifiziert, stellt Microsoft Entra ID ein SAML-Token mit Standardansprüchen und -attributen zum Identifizieren des Benutzers aus. Auf der Registerkarte Benutzerattribute & Ansprüche werden die Standardansprüche gezeigt, die für die neue Anwendung ausgestellt werden sollen. In diesem Bereich können weitere Ansprüche konfiguriert werden. Fügen Sie bei Bedarf Microsoft Entra-Attribute hinzu. Für das Oracle EBS-Szenario sind jedoch die Standardattribute erforderlich.

Screenshot der Optionen und Einträge für Benutzerattribute und Ansprüche.

Zusätzliche Benutzerattribute

Die Registerkarte Zusätzliche Benutzerattribute unterstützt verteilte Systeme, die in anderen Verzeichnissen gespeicherte Attribute für die Sitzungserweiterung erfordern. Attribute, die aus einer LDAP-Quelle abgerufen werden, werden dann als zusätzliche SSO-Header eingefügt, um den Zugriff anhand von Rollen, Partner-ID usw. zu steuern.

  1. Aktivieren Sie die Option Erweiterte Einstellungen.

  2. Aktivieren Sie das Kontrollkästchen LDAP-Attribute.

  3. Wählen Sie unter Authentifizierungsserver auswählen Neu erstellen aus.

  4. Wählen Sie je nach Einrichtung unter „Serververbindung“ entweder den Modus Pool verwenden oder Direkt für die Serveradresse des Ziel-LDAP-Diensts aus. Wählen Sie bei einem einzelnen LDAP-Server Direkt aus.

  5. Geben Sie unter Dienstport für den Oracle LDAP-Dienst 3060 (Standard), 3161 (Sicher) oder einen anderen Port ein.

  6. Geben Sie einen DN für Basissuche ein. Anhand des definierten Names (DN) können Sie in einem Verzeichnis nach Gruppen suchen.

  7. Geben Sie für Admin DN den Kontonamen ein, den APM zum Authentifizieren von LDAP-Abfragen verwendet.

  8. Geben Sie in Administratorkennwort das Kennwort ein.

    Screenshot der Optionen und Einträge für zusätzliche Benutzerattribute.

  9. Übernehmen Sie die standardmäßigen LDAP-Schemaattribute.

    Screenshot für LDAP-Schemaattribute

  10. Geben Sie unter LDAP-Abfrageeigenschaften für DN für Suche den LDAP-Serverbasisknoten für die Benutzerobjektsuche ein.

  11. Geben Sie unter Erforderliche Attribute den Namen des Benutzerobjektattributs ein, das aus dem LDAP-Verzeichnis zurückgegeben werden soll. Für EBS ist der Standardwert orclguid.

    Screenshot der Einträge und Optionen für LDAP-Abfrageeigenschaften

Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff steuern den Zugriff auf der Grundlage von Gerät, Anwendung, Standort und Risikosignalen. Richtlinien werden nach der Microsoft Entra-Vorauthentifizierung erzwungen. Die Ansicht Verfügbare Richtlinien enthält Richtlinien für bedingten Zugriff ohne Benutzeraktionen. In der Ansicht „Ausgewählte Richtlinien“ werden Richtlinien für Cloud-Apps gezeigt. Sie können diese Richtlinien nicht deaktivieren oder in die Liste „Verfügbare Richtlinien“ verschieben, da sie auf Mandantenebene erzwungen werden.

So wählen Sie eine Richtlinie für die zu veröffentlichende Anwendung aus:

  1. Wählen Sie in Verfügbare Richtlinien eine Richtlinie aus.

  2. Wählen Sie den nach rechts zeigenden Pfeil aus.

  3. Verschieben Sie die Richtlinie in Ausgewählte Richtlinien.

    Hinweis

    Die Option Einschließen oder Ausschließen ist für einige Richtlinien ausgewählt. Wenn beide Optionen aktiviert sind, wird die Richtlinie nicht erzwungen.

    Screenshot der Option „Ausschließen“ für vier Richtlinien.

    Hinweis

    Wählen Sie die Registerkarte Richtlinie für bedingten Zugriff aus, woraufhin die Richtlinienliste angezeigt wird. Wählen Sie Aktualisieren aus, woraufhin der Assistent Ihren Mandanten abfragt. „Aktualisieren“ wird für bereitgestellte Anwendungen angezeigt.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird, die auf Anwendungsclientanforderungen lauscht. Der empfangene Datenverkehr wird verarbeitet und anhand des APM-Profils ausgewertet, das dem virtuellen Server zugeordnet ist. Datenverkehr wird anschließend entsprechend der Richtlinie weitergeleitet.

  1. Geben Sie unter Zieladresse eine IPv4- oder IPv6-Adresse ein, die BIG-IP zum Empfangen von Clientdatenverkehr verwendet. Achten Sie darauf, dass ein entsprechender Eintrag in DNS vorhanden ist, damit Clients die externe URL der von BIG-IP veröffentlichten Anwendung zu der IP-Adresse auflösen können. Verwenden Sie zum Testen auf einem Testcomputer das DNS von localhost.

  2. Geben Sie unter Dienstport 443 ein, und wählen Sie HTTPS aus.

  3. Wählen Sie Umleitungsport aktivieren aus.

  4. Geben Sie unter Umleitungsport 80 ein, und wählen Sie HTTP aus. Diese Option leitet eingehenden HTTP-Clientdatenverkehr zu HTTPS um.

  5. Wählen Sie das Client-SSL-Profil aus, das Sie erstellt haben, oder übernehmen Sie zum Testen die Standardeinstellung. Das Client-SSL-Profil aktiviert den virtuellen Server für HTTPS. Clientverbindungen werden mit TLS verschlüsselt.

    Screenshot mit Optionen und Auswahlmöglichkeiten für die Eigenschaften des virtuellen Servers.

Pooleigenschaften

Auf der Registerkarte Anwendungspool sind die Dienste hinter einer BIG-IP-Instanz aufgeführt und als Pool mit einem oder mehreren Anwendungsservern dargestellt.

  1. Wählen Sie unter Pool auswählen Neu erstellen oder eine andere Option aus.

  2. Wählen Sie als Lastenausgleichsmethode Roundrobin aus.

  3. Unter Poolserver können Sie ein(en) IP-Adresse/Knotennamen und Port für die Server auswählen und eingeben, die Oracle EBS hosten.

  4. Wählen Sie HTTPS aus.

    Screenshot mit Optionen und Auswahlmöglichkeiten für Pooleigenschaften

  5. Bestätigen Sie unter Access Gate Pool den Unterpfad für Access Gate.

  6. Unter Poolserver können Sie ein(en) IP-Adresse/Knotennamen und Port für die Server auswählen und eingeben, die Oracle EBS hosten.

  7. Wählen Sie HTTPS aus.

    Screenshot der Optionen und Einträge für Access Gate Pool.

Single Sign-On und HTTP-Header

Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO bei veröffentlichten Anwendungen. Die Oracle EBS-Anwendung erwartet Header und aktiviert daher HTTP-Header.

  1. Wählen Sie unter Single Sign-On & HTTP-Header HTTP-Header aus.

  2. Wählen Sie unter Headervorgang Ersetzen aus.

  3. Geben Sie für Headername USER_NAME ein.

  4. Geben Sie für Headerwert %{session.sso.token.last.username} ein.

  5. Wählen Sie unter Headervorgang Ersetzen aus.

  6. Geben Sie für Headername USER_ORCLGUID ein.

  7. Geben Sie für Headerwert %{session.ldap.last.attr.orclguid} ein.

    Screenshot der Einträge und Auswahlmöglichkeiten für Headervorgang, Headername und Headerwert.

    Hinweis

    Bei APM-Sitzungsvariablen in geschweiften Klammern wird die Groß- und Kleinschreibung unterschieden.

Sitzungsverwaltung

Mithilfe der BIG-IP-Sitzungsverwaltung können Sie die Bedingungen für Beendigung und Fortsetzung von Sitzungen festlegen.

Weitere Informationen finden Sie auf support.f5.com unter K18390492: Security | BIG-IP APM operations guide (K18390492: Sicherheit | BIG-IP APM-Betriebsleitfaden)

Die Funktionalität für einmaliges Abmelden (Single Log Out, SLO) stellt sicher, dass Sitzungen zwischen Identitätsanbieter, BIG-IP-Instanz und Benutzer-Agent beendet werden, wenn sich Benutzer abmelden. Wenn Easy Button eine SAML-Anwendung in Ihrem Microsoft Entra-Mandanten instanziiert, wird die Abmelde-URL mit dem SLO-Endpunkt von APM aufgefüllt. Eine vom IdP initiierte Abmeldung im MyApps-Portal beendet die Sitzung zwischen BIG-IP und einem Client.

Weitere Informationen finden Sie unter Meine Apps von Microsoft.

Die SAML-Verbundmetadaten für die veröffentlichte Anwendung werden aus dem Mandanten importiert. Diese Aktion stellt dem APM den SAML-Abmeldeendpunkt für Microsoft Entra ID zur Verfügung. Anschließend beendet die vom SP initiierte Abmeldung den Client und die Microsoft Entra-Sitzung. Stellen Sie sicher, dass APM erfährt, wenn sich ein Benutzer abmeldet.

Wenn das BIG-IP-Webtop-Portal auf veröffentlichte Anwendungen zugreift, wird eine Abmeldung von APM so verarbeitet, dass der Microsoft Entra-Abmeldeendpunkt aufgerufen wird. Wenn das BIG-IP-Webtop-Portal nicht verwenden, können Benutzer APM nicht anweisen, sich abzumelden. Wenn sich der Benutzer von der Anwendung abmeldet, wird dieser Vorgang von der BIG-IP-Instanz nicht bemerkt. Stellen Sie sicher, dass die vom SP initiierte Abmeldung eine sichere Beendigung der Sitzungen auslöst. Fügen Sie der Schaltfläche Abmelden der Anwendungen eine SLO-Funktion hinzu, um den Client zum Microsoft Entra-SAML- oder BIG-IP-Abmeldeendpunkt umzuleiten. Die URL für den SAML-Abmeldeendpunkt Ihres Mandanten finden Sie unter App-Registrierungen > Endpunkte.

Wenn Sie die App nicht ändern können, aktivieren Sie in BIG-IP das Lauschen auf den Abmeldeaufruf der App, und lösen Sie dann SLO aus.

Weitere Informationen:

Bereitstellen

  1. Wählen Sie Bereitstellen aus, um Ihre Einstellungen zu übernehmen.
  2. Vergewissern Sie sich, dass die Anwendung in der Liste der Unternehmensanwendungen des Mandanten aufgeführt ist.

Testen

  1. Stellen Sie in einem Browser eine Verbindung mit der externen URL der Oracle EBS-Anwendung her, oder wählen Sie in Meine Apps das Symbol der Anwendung aus.
  2. Authentifizieren Sie sich bei Microsoft Entra ID.
  3. Sie werden zum virtuellen BIG-IP-Server für die Anwendung umgeleitet und per Single Sign-On (SSO) angemeldet.

Blockieren Sie zum Erhöhen der Sicherheit den direkten Zugriff auf die Anwendung, und erzwingen Sie so einen Pfad durch die BIG-IP-Instanz.

Erweiterte Bereitstellung

Mitunter fehlt es den Guided Configuration-Vorlagen an Flexibilität für die jeweiligen Anforderungen.

Weitere Informationen: Tutorial: Konfigurieren von Access Policy Manager von F5 BIG-IP für headerbasiertes Single Sign-On.

Manuelles Ändern von Konfigurationen

Alternativ können Sie in BIG-IP den strengen Verwaltungsmodus „Guided Configuration“ (Geführte Konfiguration) deaktivieren, um Konfigurationen manuell zu ändern. Assistentenvorlagen dienen zum Automatisieren der meisten Konfigurationen.

  1. Navigieren Sie zu Zugriff > Geführte Konfiguration.

  2. Wählen Sie am rechten Ende der Zeile Ihrer Anwendungskonfiguration das Schlosssymbol aus.

    Screenshot des Schlosssymbols

Nachdem Sie den Strict-Modus deaktiviert haben, können Sie keine Änderungen mit dem Assistenten vornehmen. BIG-IP-Objekte, die der veröffentlichten App-Instanz zugeordnet sind, werden jedoch zur Verwaltung entsperrt.

Hinweis

Wenn Sie den Strict-Modus reaktivieren, überschreiben neue Konfigurationen Einstellungen, die ohne geführte Konfiguration erfolgt sind. Für Produktionsdienste wird die erweiterte Konfigurationsmethode empfohlen.

Problembehandlung

Beheben Sie Probleme anhand der folgenden Anweisungen.

Erhöhen der Ausführlichkeit des Protokolls

Mithilfe der BIG-IP-Protokollierung können Sie Probleme mit der Konnektivität, SSO, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen isolieren. Erhöhen Sie den Ausführlichkeitsgrad des Protokolls.

  1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht > Ereignisprotokolle.
  2. Wählen Sie Einstellungen aus.
  3. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung aus.
  4. Wählen Sie Bearbeiten > Auf Systemprotokolle zugreifen aus.
  5. Wählen Sie in der Liste „SSO“ die Option Debuggen aus.
  6. Wählen Sie OK aus.
  7. Reproduzieren Sie das Problem.
  8. Untersuchen Sie die Protokolle.

Setzen Sie die Einstellungsänderungen zurück, da der ausführliche Modus übermäßig Daten generiert.

BIG-IP-Fehlermeldung

Wenn nach Microsoft Entra Vorauthentifizierung ein BIG-IP-Fehler angezeigt wird, kann sich das Problem auf das einmalige Anmelden mit Microsoft Entra ID und BIG-IP beziehen.

  1. Navigieren Sie zu **Zugriff > Übersicht.
  2. Wählen Sie Auf Berichte zugreifen aus.
  3. Führen Sie den Bericht für die letzte Stunde aus.
  4. Überprüfen Sie die Protokolle auf Hinweise.

Verwenden Sie den Link Sitzung anzeigen für Ihre Sitzung, um zu bestätigen, dass APM erwartete Microsoft Entra-Ansprüche empfängt.

Keine BIG-IP-Fehlermeldung

Wenn keine BIG-IP-Fehlerseite angezeigt wird, bezieht sich das Problem möglicherweise auf die Back-End-Anforderung oder Single Sign-On von BIG-IP bei der Anwendung.

  1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht.
  2. Wählen Sie Aktive Sitzungen aus.
  3. Wählen Sie den Link für Ihre aktive Sitzung aus.

Verwenden Sie den Link Variablen anzeigen, um SSO-Probleme zu untersuchen, insbesondere wenn BIG-IP APM nicht die richtigen Attribute von Microsoft Entra ID oder einer anderen Quelle empfängt.

Weitere Informationen:

Überprüfen des APM-Dienstkontos

Verwenden Sie den folgenden Bash-Shellbefehl, um das APM-Dienstkonto für LDAP-Abfragen zu überprüfen. Mit dem Befehl werden Benutzerobjekte authentifiziert und abgefragt.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Weitere Informationen: