Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso SSO a Oracle JDE
Questa esercitazione illustra come proteggere Oracle JD Edwards (JDE) con Microsoft Entra ID tramite la configurazione guidata Easy Button di F5 BIG-IP.
Integrare BIG-IP con Microsoft Entra ID per accedere a numerosi vantaggi:
- Miglioramento della governance Zero Trust grazie alla preautenticazione e all'accesso condizionale di Microsoft Entra
- Accesso Single Sign-On (SSO) tra Microsoft Entra ID e i servizi pubblicati BIG-IP
- Gestire le identità e l'accesso dalla Interfaccia di amministrazione di Microsoft Entra
Altre informazioni:
- Integrare F5 BIG-IP con Microsoft Entra ID
- Abilitare l'accesso Single Sign-On per un'applicazione aziendale
Descrizione dello scenario
Questa esercitazione usa l'applicazione Oracle JDE usando le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto.
Le applicazioni legacy non dispongono di protocolli moderni per supportare l'integrazione di Microsoft Entra. La modernizzazione è costosa, richiede la pianificazione e introduce potenziali rischi di inattività. Usare invece un controller ADC F5 BIG-IP per colmare il divario tra l'applicazione legacy e il controllo dell'ID moderno, tramite la transizione del protocollo.
Con un BIG-IP davanti all'applicazione, è possibile sovrapporre il servizio con la preautenticazione e l'accesso SSO basato su intestazione di Microsoft Entra. Questa azione migliora la postura di sicurezza dell'applicazione.
Architettura dello scenario
La soluzione SHA per questo scenario è costituita da diversi componenti:
- Applicazione Oracle JDE: servizio pubblicato BIG-IP protetto da SHA di Microsoft Entra
- Microsoft Entra ID: provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAM al BIG-IP
- Con SSO, Microsoft Entra ID fornisce attributi di sessione a BIG-IP
- BIG-IP: provider di servizi SAML (SP) e proxy inverso per l'applicazione
- BIG-IP delega l'autenticazione al provider di identità SAML e quindi esegue l'accesso SSO basato su intestazioni al servizio Oracle
In questa esercitazione, SHA supporta i flussi avviati da SP e IdP. Il diagramma seguente illustra il flusso avviato dal provider di servizi.
- L'utente si connette all'endpoint applicazione (BIG-IP).
- Il criterio di accesso BIG-IP APM reindirizza l'utente a Microsoft Entra ID (provider di identità SAML).
- Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale.
- L'utente viene reindirizzato a BIG-IP (SP SAML). L'accesso Single Sign-On si verifica usando il token SAML rilasciato.
- BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta dell'applicazione.
- L'applicazione autorizza la richiesta e restituisce il payload.
Prerequisiti
- Un account Microsoft Entra ID gratuito o superiore
- Se non si ha una sottoscrizione, è possibile creare un account Azure gratuito
- Un BIG-IP o un BIG-IP Virtual Edition (VE) in Azure
- Una delle licenze F5 BIG-IP seguenti:
- Bundle F5 BIG-IP® Best
- Licenza autonoma F5 BIG-IP APM
- Licenza del componente aggiuntivo F5 BIG-IP APM su un'istanza esistente di BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
- Licenza per una versione di valutazione completa di BIG-IP valida 90 giorni
- Identità utente sincronizzate da una directory locale a Microsoft Entra ID o create in Microsoft Entra ID e restituite alla directory locale
- Uno dei ruoli seguenti: amministratore applicazione cloud o amministratore applicazione
- Un certificato Web SSL per la pubblicazione di servizi tramite HTTPS o l'uso di certificati BIG-IP predefiniti per il test
- Un ambiente Oracle JDE
Configurazione di BIG-IP
Questa esercitazione usa la configurazione guidata 16.1 con un modello Easy Button. Con Easy Button, gli amministratori non devono alternare tra Microsoft Entra ID e un BIG-IP per abilitare i servizi per SHA. La configurazione guidata di APM e Microsoft Graph gestiscono la distribuzione e la gestione dei criteri. L'integrazione garantisce che le applicazioni supportino la federazione delle identità, l'accesso SSO e l'accesso condizionale.
Nota
Sostituire le stringhe o i valori di esempio in questa esercitazione con quelli nell'ambiente in uso.
Registrare il Easy Button
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Prima che un client o un servizio possa accedere a Microsoft Graph, deve essere considerato attendibile da Microsoft Identity Platform.
Altre informazioni: Guida introduttiva: Registrare un'applicazione con Microsoft Identity Platform
Le seguenti istruzioni semplificano la creazione di una registrazione dell'app tenant per autorizzare l'accesso Easy Button a Graph. Con queste autorizzazioni, BIG-IP esegue il push delle configurazioni per stabilire un’attendibilità tra un'istanza del provider di servizi SAML per l'applicazione pubblicata e Microsoft Entra ID come provider di identità SAML.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Andare a Identità>Applicazioni>Registrazioni app>Nuova registrazione.
Immettere un Nome per l'applicazione.
Per Solo account in questa directory dell'organizzazione, specificare chi può usare l'applicazione.
Selezionare Registra.
Andare a Autorizzazioni API.
Autorizzare le seguenti autorizzazioni dell'applicazione Microsoft Graph:
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Concedere il consenso amministratore per l'organizzazione.
Andare a Certificati e segreti.
Generare un nuovo Segreto client e prenderne nota.
Andare a Panoramica, prendere nota dell'ID client e dell'ID tenant
Configurare il Easy Button
Avviare la configurazione guidata di APM.
Avviare il modello Easy Button.
Andare ad Accesso > Configurazione guidata.
Selezionare Integrazione Microsoft.
Selezionare Applicazione Microsoft Entra.
Rivedere la sequenza di configurazione.
Seleziona Avanti.
Seguire la sequenza di configurazione.
Configuration Properties
Usare la scheda Proprietà di configurazione per creare nuove configurazioni dell'applicazione e nuovi oggetti SSO. La sezioneDettagli account del servizio di Azure rappresenta il client registrato nel tenant di Microsoft Entra come applicazione. Usare le impostazioni per il client OAuth BIG-IP per registrare un provider di servizi SAML nel tenant con le proprietà SSO. Easy Button esegue questa azione per i servizi BIG-IP pubblicati e abilitati per SHA.
Nota
Alcune delle impostazioni seguenti sono globali. È possibile riutilizzarli per pubblicare più applicazioni.
- Per Single Sign-On (SSO) e intestazioni HTTP, selezionare Sì.
- Immettere i valori di ID tenant, ID client e Segreto client annotati.
- Verificare che BIG-IP si connetta al tenant.
- Seleziona Avanti.
Provider di Servizi
Le impostazioni del provider di servizi definiscono le proprietà per l'istanza del provider di servizi SAML dell'applicazione protetta tramite SHA.
In Host, immettere il nome FQDN pubblico dell'applicazione protetta.
Per ID entità, immettere l'identificatore che Microsoft Entra ID usa per identificare il provider di servizi SAML che richiede un token.
(Facoltativo) Per Impostazioni di protezione, indicare che Microsoft Entra ID esegua la crittografia delle asserzioni SAML rilasciate. Questa opzione aumenta la certezza che i token di contenuto non vengano intercettati e che i dati non vengano compromessi.
Nell'elenco Chiave privata di decrittografia asserzione, selezionare Crea nuova.
Selezionare OK.
Viene visualizzata la finestra di dialogo Importa certificato SSL e chiavi in una nuova scheda.
Per Tipo di importazione, selezionare Public Key Cryptography Standards 12 (IIS). Questa opzione importa il certificato e la chiave privata.
Chiudere la scheda del browser per tornare alla scheda principale.
Selezionare la casella di controllo per Abilita asserzione crittografata.
Se è stata abilitata la crittografia, dall'elenco Chiave privata di decrittografia asserzione selezionare il certificato. Questa chiave privata si riferisce a quella per il certificato usato da BIG-IP di APM per decrittografare le asserzioni di Microsoft Entra.
Se è stata abilitata la crittografia, nell'elenco Certificato di decrittografia asserzione, selezionare il certificato. BIG-IP carica questo certificato in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.
Microsoft Entra ID
Easy Button include modelli per Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e un modello SHA generico.
- Selezionare JD Edwards protetto da F5 BIG-IP.
- Selezionare Aggiungi.
Configurazione di Azure
Immettere il Nome visualizzato per l'app che BIG-IP crea nel tenant. Il nome viene visualizzato su un'icona in App personali.
(Facoltativo) Per URL di accesso, immettere l'FQDN pubblico dell'applicazione PeopleSoft.
Accanto a Chiave di firma e Certificato di firma, selezionare aggiorna. Questa azione individua il certificato importato.
Per Passphrase della chiave di firma, immettere la password del certificato.
(Facoltativo) Per Opzione di firma, selezionare un'opzione. Questa selezione garantisce che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.
Utente e gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra.
Aggiungere un utente o un gruppo per il test; in caso contrario, l'accesso viene negato.
Attributi utente e attestazioni
Quando un utente esegue l'autenticazione, Microsoft Entra ID rilascia un token SAML con attestazioni e attributi predefiniti che identificano l'utente. La scheda Attributi utente e attestazioni contiene le attestazioni predefinite da rilasciare per la nuova applicazione. Usarla per configurare altre attestazioni.
Se necessario, includere altri attributi di Microsoft Entra. Lo scenario Oracle JDE richiede attributi predefiniti.
Attributi utente aggiuntivi
La scheda Attributi utente aggiuntivi supporta sistemi distribuiti che richiedono attributi archiviati in altre directory per l'aumento della sessione. Gli attributi provenienti da un'origine LDAP vengono inseriti come più intestazioni SSO per controllare l'accesso in base a ruoli, ID partner e così via.
Nota
Questa funzionalità non ha alcuna correlazione con Microsoft Entra ID; si tratta di un'altra origine di attributi.
Criteri di accesso condizionale
I criteri di accesso condizionale vengono applicati dopo la preautenticazione di Microsoft Entra per controllare l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio. La visualizzazione Criteri disponibili include criteri di accesso condizionale senza azioni dell'utente. La visualizzazione Criteri selezionati mostra i criteri destinati alle app cloud. Non è possibile deselezionare o spostare questi criteri nell'elenco Criteri disponibili perché vengono applicati a livello di tenant.
Selezionare un criterio per l'applicazione.
- Nell'elenco Criteri disponibili, selezionare un criterio.
- Selezionare la freccia DESTRA e spostare il criterio nell'elenco Criteri selezionati.
Per i criteri selezionati, è selezionata un'opzione Includi o Escludi. Se vengono selezionate entrambe le opzioni, il criterio non viene applicato.
Nota
L'elenco dei criteri viene visualizzato una sola volta, quando si seleziona la scheda. Usare Aggiorna per fare in modo che la procedura guidata esegua query sul tenant. Questa opzione viene visualizzata dopo la distribuzione dell'applicazione.
Proprietà del server virtuale
Un server virtuale è un oggetto del piano dati BIG-IP rappresentato da un indirizzo IP virtuale. Il server è in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM del server virtuale. Quindi, il traffico viene indirizzato in base ai criteri.
Per Indirizzo di destinazione, immettere l'indirizzo IPv4 o IPv6 usato da BIG-IP per ricevere il traffico client. Un record corrispondente viene visualizzato in DNS e consente ai client di risolvere l'URL esterno dell'applicazione pubblicata sull'IP. Usare un DNS localhost del computer di test per il test.
Per Porta servizio, immettere 443 e selezionare HTTPS.
Per Abilita porta di reindirizzamento, selezionare la casella.
Per Porta di reindirizzamento, immettere 80 e selezionare HTTP. Questa opzione reindirizza il traffico client HTTP in ingresso a HTTPS.
Per Profilo SSL client, selezionare Usa esistente.
In Comune, selezionare l'opzione creata. Se si esegue un test, lasciare l'impostazione predefinita. Il profilo SSL client abilita il server virtuale per HTTPS, in modo che le connessioni client vengano crittografate tramite TLS.
Proprietà del pool
La scheda Pool applicazioni include servizi dietro un BIG-IP, rappresentati come un pool con i server applicazioni.
Per Seleziona un pool, selezionare Crea nuovo o selezionarne uno.
Per Metodo di bilanciamento del carico, selezionare Round robin.
Per Server pool, in Indirizzo IP/Nome nodo selezionare un nodo oppure immettere un indirizzo IP e una porta per i server che ospitano l'applicazione Oracle JDE.
Intestazioni HTTP e Single Sign-On
La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO alle applicazioni pubblicate. L'applicazione PeopleSoft prevede intestazioni.
Per Intestazioni HTTP, selezionare la casella.
Per Operazione intestazione, selezionare Sostituisci.
In Nome intestazione, immettere JDE_SSO_UID.
In Valore intestazione, immettere %{session.sso.token.last.username}.
Nota
Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. Ad esempio, se si immette OrclGUID e il nome dell'attributo è orclguid, il mapping degli attributi ha esito negativo.
Gestione delle sessioni
Usare le impostazioni di Gestione delle sessioni BIG-IP per definire le condizioni per la terminazione o la continuazione delle sessioni utente. Impostare i limiti per gli utenti e gli indirizzi IP e le informazioni utente corrispondenti.
Per altre informazioni, vedere support.f5.com per K18390492: Sicurezza | Guida operativa di APM BIG-IP
Non trattata nella guida operativa, la funzionalità di Single Log-Out (SLO) garantisce che le sessioni di IdP, BIG-IP e agente utente terminino quando l'utente esegue la disconnessione. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola l'URL di disconnessione con l'endpoint SLO di APM. La disconnessione avviata da IdP da App personali termina le sessioni BIG-IP e client.
I dati della federazione SAML per l'applicazione pubblicata vengono importati dal tenant. Questa azione fornisce ad APM l'endpoint di disconnessione SAML per Microsoft Entra ID, per fare in modo che la disconnessione avviata da SP termini le sessioni di client e Microsoft Entra. APM deve sapere quando un utente si disconnette.
Quando il portale webtop BIG-IP accede alle applicazioni pubblicate, APM elabora una disconnessione per chiamare l'endpoint di disconnessione di Microsoft Entra. Se il portale webtop BIG-IP non viene usato, gli utenti non possono indicare ad APM di disconnettersi. Se l'utente si disconnette dall'applicazione, BIG-IP lo ignora. La disconnessione avviata da SP richiede la terminazione sicura della sessione. Aggiungere una funzione SLO al pulsante Disconnetti dell'applicazione per reindirizzare il client all'endpoint di disconnessione SAML o BIG-IP di Microsoft Entra. L'URL dell'endpoint di disconnessione SAML per il tenant si trova in Registrazioni app > Endpoint.
Se non è possibile modificare l'app, valutare di fare in modo che BIG-IP resti in ascolto della chiamata di disconnessione dell'app e attivi la funzione SLO.
Altre informazioni: Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso SSO a Oracle PeopleSoft, Single Log-Out PeopleSoft
Per altre informazioni, vedere support.f5.com per:
- K42052145: configurazione della terminazione automatica della sessione (disconnessione) in base a un nome file con riferimento a un URI
- K12056: informazioni generali sull'opzione di inclusione dell'URI di disconnessione.
Distribuzione
- Seleziona Distribuisci.
- Verificare che l'applicazione venga visualizzata nell'elenco di tenant delle applicazioni aziendali.
Confermare la configurazione
Da un browser, connettersi all'URL esterno dell'applicazione Oracle JDE o selezionare l'icona dell'applicazione in App personali.
Eseguire l'autenticazione in Microsoft Entra ID.
Si viene reindirizzati al server virtuale BIG-IP per l'applicazione e viene effettuato l'accesso con SSO.
Nota
È possibile bloccare l'accesso diretto all'applicazione, applicando così un percorso tramite BIG-IP.
Distribuzione avanzata
A volte, i modelli di configurazione guidata non hanno flessibilità.
Altre informazioni: Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'accesso SSO basato su intestazione
In alternativa, in BIG-IP disabilitare la modalità di gestione strict della configurazione guidata. È possibile modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni viene automatizzata con i modelli della procedura guidata.
Andare ad Accesso > Configurazione guidata.
Alla fine della riga, selezionare l'icona a forma di lucchetto.
Le modifiche apportate all'interfaccia utente della procedura guidata non sono possibili, ma gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione vengono sbloccati per la gestione.
Nota
Quando si riabilita la modalità strict e si distribuisce una configurazione, le impostazioni eseguite all'esterno della Configurazione guidata vengono sovrascritte. È consigliabile adottare la configurazione avanzata per i servizi di produzione.
Risoluzione dei problemi
Usare la registrazione BIG-IP per isolare i problemi di connettività, SSO, violazioni dei criteri o mapping di variabili non configurati correttamente.
Livello di dettaglio del log
- Andare a Criteri di accesso > Panoramica.
- Selezionare Log eventi.
- Selezionare Impostazioni.
- Selezionare la riga dell'applicazione pubblicata.
- Selezionare Modifica.
- Selezionare Log di sistema di accesso.
- Dall'elenco SSO, selezionare Debug.
- Selezionare OK.
- Riprodurre il problema.
- Esaminare i log.
Al termine, ripristinare questa funzionalità perché la modalità dettagliata genera molti dati.
Messaggio di errore BIG-IP
Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, è possibile che il problema si riferisca all'accesso SSO di Microsoft Entra ID in BIG-IP.
- Andare ad Accesso > Panoramica.
- Selezionare Report di accesso.
- Eseguire il report per l'ultima ora.
- Esaminare i log per individuare gli indizi.
Usare il collegamento della sessione Visualizza sessione per la sessione per confermare che APM riceva le attestazioni di Microsoft Entra previste.
Nessun messaggio di errore BIG-IP
Se non viene visualizzato alcun messaggio di errore BIG-IP, il problema potrebbe essere correlato alla richiesta back-end o all'accesso SSO da BIG-IP all'applicazione.
- Andare a Criteri di accesso > Panoramica.
- Selezionare Sessioni attive.
- Selezionare il collegamento della sessione attiva.
Usare il collegamento Visualizza variabili per determinare i problemi di SSO, in particolare se BIG-IP APM ottiene attributi non corretti dalle variabili di sessione.
Altre informazioni:
- Andare a devcentral.f5.com per esempi di assegnazione delle variabili APM
- Andare a techdocs.f5.com per informazioni sulle Variabili di sessione