Tutorial: Configuración de BIG-IP Easy Button de F5 para el inicio de sesión único en Oracle PeopleSoft

En este artículo, aprenderá a proteger Oracle PeopleSoft (PeopleSoft) mediante Azure Active Directory (Azure AD), a través de la configuración guiada de BIG-IP Easy Button de F5.

La integración de BIG-IP con Azure AD proporciona muchas ventajas, entre las que se incluyen:

Para obtener información sobre todas las ventajas, consulte el artículo sobre Integración de F5 BIG-IP y Azure AD y qué es el acceso a aplicaciones y el inicio de sesión único con Azure AD.

Descripción del escenario

En este escenario, tenemos una aplicación PeopleSoft que usa encabezados de autorización HTTP para administrar el acceso al contenido protegido.

Al ser heredada, la aplicación carece de protocolos actuales que admitan una integración directa con Azure AD. La aplicación se puede modernizar, pero eso es costoso, requiere una planeación cuidadosa y conlleva el riesgo de un posible tiempo de inactividad. En su lugar, se usa un controlador de entrega de aplicaciones (ADC) BIG-IP de F5 para salvar la distancia entre la aplicación heredada y el plano de control de identidad moderno mediante la transición de protocolo.

Tener un dispositivo BIG-IP delante de la aplicación nos permite superponer el servicio con la autenticación previa de Azure AD y el inicio de sesión único basado en encabezados, lo que mejora significativamente la posición de seguridad general de la aplicación.

Nota

Las organizaciones también pueden obtener acceso remoto a este tipo de aplicación con Application Proxy de Azure AD.

Arquitectura del escenario

La solución de acceso híbrido seguro para este escenario está integrada por varios componentes:

Aplicación PeopleSoft: servicio publicado de BIG-IP que se va a proteger mediante el acceso híbrido seguro de Azure AD.

Azure AD: el proveedor de identidades (IdP) de Lenguaje de marcado de aserción de seguridad (SAML), que es responsable de la comprobación de las credenciales de usuario, el acceso condicional (CA) y el SSO basado en SAML en BIG-IP. Mediante el inicio de sesión único, Azure AD proporciona a BIG-IP los atributos de sesión necesarios.

BIG-IP: proxy inverso y proveedor de servicios SAML (SP) en la aplicación, que delega la autenticación al IdP de SAML antes de realizar el SSO basado en encabezados en el servicio de PeopleSoft.

El acceso híbrido seguro (SHA) para este escenario admite flujos iniciados por SP e IdP. En la imagen siguiente se muestra el flujo iniciado por SP.

Secure hybrid access - SP initiated flow

Pasos Descripción
1 El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
2 La directiva de acceso de BIG-IP APM redirige al usuario a Azure AD (IdP de SAML).
3 Azure AD autentica previamente al usuario y aplica las directivas de acceso condicional exigidas.
4 Se redirige al usuario a BIG-IP (SP de SAML) y el inicio de sesión único se realiza mediante el token SAML emitido.
5 BIG-IP inserta los atributos de Azure AD como encabezados en la solicitud a la aplicación
6 La aplicación autoriza la solicitud y devuelve la carga.

Prerrequisitos

No es necesario tener experiencia previa en BIG-IP, pero necesitará lo siguiente:

  • Una suscripción gratuita de Azure AD u otra de nivel superior

  • Una instancia de BIG-IP existente o implementar una instancia de BIG-IP Virtual Edition (VE) en Azure

  • Cualquiera de las siguientes SKU de licencias de F5 BIG-IP

    • F5 BIG-IP® Best bundle

    • Licencia independiente de F5 BIG-IP Access Policy Manager™ (APM).

    • Licencia del complemento F5 BIG-IP Access Policy Manager™ (APM) en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM) ya existente.

    • Licencia de evaluación gratuita completa de 90 días de BIG-IP.

  • Identidades de usuario sincronizadas desde un directorio local con Azure AD o creadas directamente dentro de Azure AD y devueltas a su directorio local

  • Una cuenta con permisos de administrador de la aplicación de Azure AD

  • Un certificado web de SSL para publicar servicios a través de HTTPS o usar certificados predeterminados de BIG-IP durante las pruebas

  • Un entorno de PeopleSoft existente

Métodos de configuración BIG-IP

Hay muchos métodos para configurar BIG-IP para este escenario, incluidas dos opciones basadas en plantillas y una configuración avanzada. En este tutorial se trata la configuración guiada 16.1, la más reciente, que ofrece una plantilla Easy Button.

Con Easy Button, los administradores ya no tienen que ir y venir entre Azure AD y BIG-IP para permitir servicios de SHA. La implementación y la administración de directivas se controlan directamente entre el asistente de configuración guiada de APM y Microsoft Graph. Esta completa integración entre BIG-IP APM y Azure AD garantiza que las aplicaciones puedan admitir de forma rápida y sencilla la federación de identidades, el inicio de sesión único y el acceso condicional de Azure AD, lo que reduce la sobrecarga administrativa.

Nota

Todas las cadenas o valores de ejemplo a los que se hace referencia en esta guía deben reemplazarse por aquellos de su entorno real.

Registro de Easy Button

Para que un cliente o servicio pueda acceder a Microsoft Graph, debe confiar en él la plataforma de identidad de Microsoft.

En este primer paso, se crea un registro de aplicación de inquilino que se usará para autorizar el acceso de Easy Button a Graph. Con estos permisos, BIG-IP podrá insertar las configuraciones necesarias para establecer una confianza entre una instancia de proveedor de servicio de SAML para la aplicación publicada y Azure AD como el proveedor de identidades de SAML.

  1. Inicie sesión en el portal de Azure AD con derechos de administrador de la aplicación.

  2. En el panel de navegación de la izquierda, seleccione el servicio Azure Active Directory.

  3. En Administrar, seleccione Registros de aplicaciones Nuevo registro.

  4. Escriba un nombre para mostrar para la aplicación. Por ejemplo, *F5 BIG-IP Easy Button.

  5. Especifique quién puede usar la aplicación >>

  6. Seleccione Registrar para completar el registro inicial de la aplicación.

  7. Vaya a Permisos de API y autorice los permisos de aplicación siguientes de Microsoft Graph:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Concesión de consentimiento del administrador para su organización

  9. Vaya a Certificados & Secretos, genere un nuevo secreto de cliente y anótelo.

  10. Vaya a Información general y anote el Id. de cliente y el Id. de inquilino.

Configuración de Easy Button

Inicie la configuración guiada de APM para abrir la plantilla Easy Button.

  1. Vaya a Access > Guided Configuration > Microsoft Integration (Acceso > Configuración guiada > Integración con el software de Microsoft) y seleccione Azure AD Application (Aplicación de Azure AD)

    Screenshot for Configure Easy Button- Install the template

  2. Revise la lista de pasos de configuración y seleccione Siguiente.

    Screenshot for Configure Easy Button - List configuration steps

  3. Siga la secuencia de pasos necesarios para publicar la aplicación.

    Configuration steps flow

Configuration Properties

La pestaña Configuration Properties (Propiedades de configuración) crea una nueva configuración de la aplicación y un objeto de inicio de sesión único.

Considere la sección de detalles de la cuenta de servicio de Azure para el cliente que registró anteriormente en el inquilino de Azure AD como una aplicación. Esta configuración permite que un cliente de OAuth de BIG-IP registre individualmente un SPA de SAML directamente en el inquilino, junto con las propiedades de SSO que habitualmente configuraría de manera manual. Easy Button hace esto para cada servicio BIG-IP que se publica y habilita para SHA.

Algunos de estos son valores globales que pueden reutilizarse para publicar más aplicaciones, lo que reduce aún más el tiempo y el esfuerzo de implementación.

  1. Proporcione un nombre único a la configuración que permita a un administrador distinguir fácilmente entre configuraciones de Easy Button.

  2. Habilite Single Sign-On (SSO) HTTP Headers (Encabezados de inicio de sesión único y HTTP)

  3. Escriba los valores de Id. de inquilino, Id. de cliente y Secreto de cliente que anotó desde la aplicación registrada.

  4. Antes de seleccionar Siguiente, confirme que BIG-IP puede conectarse correctamente al inquilino.

    Screenshot for Configuration General and Service Account properties

Proveedor de servicios

La configuración del proveedor de servicios define las propiedades del proveedor de servicios de SAML de la instancia de APM que representa la aplicación protegida mediante SHA.

  1. Especifique el host. Este es el FQDN público de la aplicación que se va a proteger.

  2. Escriba el identificador de la entidad. Este es el identificador que usará Azure AD para identificar el proveedor de servicios de SAML que solicita un token.

    Screenshot for Service Provider settings

    A continuación, en Configuración de seguridad especifique si Azure AD debe cifrar las aserciones de SAML emitidas. El cifrado de aserciones entre Azure AD y BIG-IP APM proporciona una garantía de que no se podrán interceptar los tokens de contenido y de que no se pondrá en peligro la seguridad de los datos personales o corporativos.

  3. En la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones), seleccione Create New (Crear nueva).

    Screenshot for Configure Easy Button- Create New import

  4. Seleccione Aceptar. Esto abre el cuadro de diálogo Import SSL Certificate and Keys (Importar certificado SSL y claves) en una nueva pestaña.

  5. Seleccione PKCS 12 (IIS) para importar el certificado y la clave privada. Una vez aprovisionado, cierre la pestaña del explorador para volver a la pestaña principal.

    Screenshot for Configure Easy Button- Import new cert

  6. Active Enable Encrypted Assertion (Habilitar aserciones cifradas).

  7. Si ha habilitado el cifrado, seleccione el certificado en la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones). Esta es la clave privada del certificado que usa BIG-IP APM para descifrar las aserciones de Azure AD.

  8. Si ha habilitado el cifrado, seleccione el certificado en la lista Assertion Decryption Certificate (Certificado de descifrado de aserciones). Este es el certificado que carga BIG-IP en Azure AD para cifrar las aserciones de SAML emitidas.

    Screenshot for Service Provider security settings

Azure Active Directory

En esta sección se definen todas las propiedades que normalmente se usarían para configurar manualmente una nueva aplicación SAML BIG-IP dentro del inquilino de Azure AD. Easy Button proporciona un conjunto de plantillas de aplicación predefinidas para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP y plantillas genéricas de acceso híbrido seguro para todas las demás aplicaciones.

Para este escenario, seleccione Oracle PeopleSoft > Add (Oracle PeopleSoft > Agregar).

Screenshot for Azure configuration add BIG-IP application

Configuración de Azure

  1. Especifique el nombre para mostrar de la aplicación que crea BIG-IP en el inquilino de Azure AD y el icono que verán los usuarios en el portal Aplicaciones.

  2. En URL de inicio de sesión (opcional) escriba el FQDN público de la aplicación PeopleSoft que se va a proteger.

    Screenshot for Azure configuration add display info

  3. Seleccione el icono de actualización junto a Clave de firma y Certificado de firma para buscar el certificado que importó anteriormente.

  4. Escriba la contraseña del certificado en Frase de contraseña de firma.

  5. Habilite Opción de firma (opcional). Esto garantiza que BIG-IP solo aceptará tokens y notificaciones firmados por Azure AD

    Screenshot for Azure configuration - Add signing certificates info

  6. Los usuarios y grupos de usuarios se consultan dinámicamente desde el inquilino de Azure AD y se usan para autorizar el acceso a la aplicación. Agregue un usuario o grupo que pueda usar más adelante para las pruebas; de lo contrario, se denegará todo acceso.

    Screenshot for Azure configuration - Add users and groups

Atributos y notificaciones de usuario

Cuando un usuario se autentica correctamente, Azure AD emite un token SAML con un conjunto predeterminado de notificaciones y atributos que identifican de forma única al usuario. La pestaña Atributos y notificaciones de usuario muestra las notificaciones predeterminadas que se emitirán para la nueva aplicación. También le permite configurar más notificaciones. La plantilla de Easy Button mostrará la notificación de identificador de empleado predefinida requerida por PeopleSoft.

Screenshot for user attributes and claims

Puede incluir atributos de Azure AD adicionales si es necesario, pero esta aplicación PeopleSoft de ejemplo solo requiere los atributos predefinidos.

Atributos de usuario adicionales

La pestaña Atributos de usuario adicionales puede admitir diversos sistemas distribuidos que requieren atributos almacenados en otros directorios para el aumento de la sesión. Los atributos obtenidos de un origen LDAP se pueden insertar como encabezados de inicio de sesión único adicionales para controlar aún más el acceso en función de los roles, los identificadores de asociado, etc.

Screenshot for additional user attributes

Nota

Esta característica no tiene ninguna correlación con Azure AD, pero es otro origen de atributos.

Directiva de acceso condicional

Las directivas de acceso condicional se aplican después de la autenticación previa de Azure AD, para controlar el acceso en función de las señales de dispositivo, aplicación, ubicación y riesgo.

De forma predeterminada, la vista Directivas disponibles mostrará todas las directivas de acceso condicional que no incluyan acciones basadas en el usuario.

La vista Directivas seleccionadas muestra de forma predeterminada todas las directivas dirigidas a todas las aplicaciones de nube. No se puede anular la selección de estas directivas ni moverse a la lista Directivas disponibles, ya que se aplican en un nivel de inquilino.

Para seleccionar una directiva que se aplicará a la aplicación que se va a publicar:

  1. Seleccione la directiva deseada en la lista Available Policies (Directivas disponibles).

  2. Seleccione la flecha derecha y muévala a la lista Selected Policies (Directivas seleccionadas).

    Las directivas seleccionadas deben tener activada la opción Incluir o Excluir. Si ambas opciones están activadas, no se aplica la directiva.

    Screenshot for CA policies

Nota

La lista de directivas se enumera solo una vez cuando se cambia por primera vez a esta pestaña. Hay un botón de actualización disponible para forzar manualmente al asistente a consultar el inquilino, pero este botón solo se muestra cuando se ha implementado la aplicación.

Propiedades del servidor virtual

Un servidor virtual es un objeto del plano de datos de BIG-IP representado por una dirección IP virtual que escucha las solicitudes de los clientes a la aplicación. Cualquier tráfico recibido se procesa y evalúa con el perfil de APM asociado al servidor virtual, antes de dirigirse según los resultados y la configuración de la directiva.

  1. Escriba la dirección de destino. Es cualquier dirección IPv4/IPv6 disponible que BIG-IP pueda usar para recibir tráfico del cliente. También debe existir un registro correspondiente en DNS que permita a los clientes resolver la dirección URL externa de la aplicación publicada de BIG-IP en esta dirección IP, en lugar de la aplicación misma. El uso del DNS de localhost de un equipo de prueba se puede usar para las pruebas.

  2. En Puerto de servicio, escriba 443 para HTTPS.

  3. Active Enable Redirect Port (Habilitar puerto de redirección) y, luego, escriba el valor de Redirect Port (Puerto de redirección). Redirige el tráfico de cliente HTTP entrante a HTTPS.

  4. El perfil SSL de cliente habilita el servidor virtual para HTTPS, de manera que las conexiones de cliente se cifren a través de TLS. Seleccione el perfil SSL de cliente que creó como parte de los requisitos previos o deje el valor predeterminado si va a realizar pruebas.

    Screenshot for Virtual server

Propiedades del grupo

En la pestaña Grupo de aplicaciones se detallan los servicios detrás de BIG-IP que se representan como un grupo que contiene uno o varios servidores de aplicaciones.

  1. En Seleccione un grupo, realice su selección. Creación de un grupo o selección de uno existente

  2. En Método de equilibrio de carga, elija Round Robin.

  3. Para los servidores de grupo, seleccione un nodo existente o especifique una dirección IP y un puerto para los servidores que hospedan la aplicación PeopleSoft.

    Screenshot for Application pool

Encabezados de inicio de sesión único y HTTP

El asistente de Easy Button admite encabezados de autorización de Kerberos, portador de OAuth y HTTP para el inicio de sesión único en las aplicaciones publicadas. Como la aplicación PeopleSoft espera encabezados, habilite los encabezados HTTP y especifique las propiedades siguientes.

  • Operación de encabezado: replace (reemplazar)
  • Nombre del encabezado: PS_SSO_UID
  • Valor del encabezado: %{session.sso.token.last.username}

Screenshot for SSO and HTTP headers

Nota:

Las variables de sesión de APM definidas entre llaves distinguen entre mayúsculas y minúsculas. Por ejemplo, si escribe OrclGUID cuando se define el nombre de atributo de Azure AD como orclguid, se producirá un error de asignación de atributos.

Administración de sesiones

La configuración de administración de sesiones de BIG-IP se usa para definir las condiciones en las que se terminan o se permite que continúen las sesiones de usuario, los límites de usuarios y direcciones IP, y la correspondiente información del usuario. Consulte la documentación de F5 para más detalles sobre esta configuración.

Sin embargo, lo que no se trata aquí es la funcionalidad de cierre de sesión único (SLO), que garantiza que todas las sesiones entre el IdP, BIG-IP y el agente de usuario finalicen después de que los usuarios hayan cerrado la sesión. Cuando Easy Button crea una instancia de una aplicación SAML en el inquilino de Azure AD, también rellena la dirección URL de cierre de sesión con el punto de conexión de cierre de sesión único de APM. De este modo, los cierres de sesión iniciados por IdP desde el portal MyApps de Azure AD también finalizan la sesión entre BIG-IP y un cliente.

Junto con esto, los metadatos de federación de SAML de la aplicación publicada se importan desde el inquilino, lo que proporciona a APM el punto de conexión de cierre de sesión de SAML para Azure AD. Esto garantiza que los cierres de sesión iniciados por SP finalicen la sesión entre un cliente y Azure AD. No obstante, para que esta opción sea realmente eficaz, el APM debe saber exactamente cuándo un usuario cierra sesión en la aplicación.

Si el portal de webtops de BIG-IP se usa para acceder a aplicaciones publicadas, el APM procesaría un cierre de sesión desde ahí para llamar también al punto de conexión de cierre de sesión de Azure AD. Pero considere un escenario en el que no se usa el portal de webtops de BIG-IP y el usuario no tiene ninguna manera de indicar a APM que cierre la sesión. Incluso si el usuario cierra sesión en la aplicación misma, BIG-IP es técnicamente ajeno a esto. Por esta razón, el cierre de sesión por parte de SP es algo que debe tenerse muy en cuenta para garantizar que las sesiones finalicen de manera segura cuando ya no sean necesarias. Una manera de lograrlo sería agregar una función SLO al botón de cierre de sesión de las aplicaciones, para que pueda redirigir al cliente al punto de conexión de cierre de sesión de SAML de Azure AD o de BIG-IP. La dirección URL del punto de conexión de cierre de sesión de SAML para el inquilino puede encontrarse en Registros de aplicaciones > Puntos de conexión.

Si no es posible realizar un cambio en la aplicación, considere la posibilidad de que BIG-IP escuche la llamada de cierre de sesión de las aplicaciones y, al detectar la solicitud, desencadene el cierre de sesión único. Para ello, consulte el cierre de sesión único de PeopleSoft en la sección siguiente.

Resumen

Este último paso proporciona un desglose de las configuraciones. Seleccione Implementar para confirmar toda la configuración y comprobar que la aplicación existe en la lista de inquilinos de las aplicaciones empresariales. La aplicación debería haberse publicado y ser accesible a través de SHA, ya sea directamente mediante su URL o los portales de aplicaciones de Microsoft.

Configuración de PeopleSoft

Oracle Access Manager proporciona administración de identidades y acceso en todas las aplicaciones de PeopleSoft. Consulte el artículo sobre la integración de PeopleSoft con Oracle Access Manager para más información.

Configuración del inicio de sesión único de Oracle Access Manager

En este escenario, configurará Oracle Access Manager para que acepte el inicio de sesión único desde BIG-IP.

  1. Inicie sesión en la consola de PeopleSoft con credenciales de administrador.

Screenshot for PeopleSoft console

  1. Vaya a PeopleTools > Security > User Profiles > User Profiles (PeopleTools > Seguridad > Perfiles de usuario > Perfiles de usuario) y cree un perfil de usuario.

  2. Especifique el identificador del usuario como OAMPSFT.

  3. Asigne un rol de usuario como Usuario de Peoplesoft and y seleccione Save (Guardar).

Screenshot for User Profiles

  1. Vaya a People Tools>Web Profile (PeopleTools > Perfil web) para seleccionar el perfil web que se utiliza.

  2. Seleccione la pestaña Security (Seguridad) y, en la sección Public Users (Usuarios públicos), active Allow Public Access (Permitir acceso público).

  3. Especifique el identificador del usuario como OAMPSFT junto con la contraseña de la cuenta.

Screenshot for Web Profile configuration

  1. Salga de la consola de PeopleSoft e inicie el Diseñador de aplicaciones de PeopleTools.

  2. Haga clic con el botón derecho en el campo LDAPAUTH y seleccione View People Code (Ver PeopleCode).

Screenshot for Application Designer

  1. Cuando se abra la ventana de código LDAPAUTH, busque la función OAMSSO_AUTHENTICATION.

  2. Reemplace el valor predeterminado asignado a &defaultUserId por OAMPSFT, que se definió en el perfil web.

    Screenshot for OAMSSO_AUTHENTICATION function

  3. Guarde el registro y vaya a PeopleTools > Security > Security Objects > Signon PeopleCode (PeopleTools > Seguridad > Objetos de seguridad > PeopleCode de inicio de sesión).

  4. Habilite la función OAMSSO_AUTHENTICATION.

    ![Captura de pantalla para la habilitación de PeopleCode de inicio de sesión](./media/f5-big-ip-easy-button-oracle-peoplesoft/enabling-sign-on people-code.png)

Cierre de sesión único de PeopleSoft

El cierre de sesión único de PeopleSoft se inicia cuando cierra sesión en el portal Aplicaciones de Microsoft lo que, a su vez, llama al punto de conexión de SLO de BIG-IP.

BIG-IP necesita instrucciones para realizar el cierre de sesión único en nombre de la aplicación. Una manera es modificar la función de cerrar sesión en las aplicaciones para llamar al punto de conexión de SLO de BIG-IP, pero esto no es posible con PeopleSoft. Haga que BIG-IP escuche cuando los usuarios realicen una solicitud de cerrar sesión a PeopleSoft para desencadenar SLO.

Para agregar compatibilidad con SLO para todos los usuarios de PeopleSoft

  1. Obtenga la dirección URL de cierre de sesión correcta para el portal de PeopleSoft.

  2. Abra el portal en un explorador web con las herramientas de depuración habilitadas. Busque el elemento con el identificador PT_LOGOUT_MENU y guarde la ruta de acceso de la dirección URL con los parámetros de consulta. En este ejemplo, tenemos: /psp/ps/?cmd=logout

    Screenshot for PeopleSoft logout URL

Luego, cree una regla iRule de BIG-IP para redirigir usuarios al punto de conexión de cierre de sesión de SP de SAML: /my.logout.php3

  1. Vaya a Local Traffic > iRules List > Create (Tráfico local > Lista de reglas iRule > Crear) y asígnele un nombre a la regla.

  2. Escriba las líneas de comandos siguientes y seleccione Finished (Finalizado).

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

Para asignar esta regla iRule al servidor virtual de BIG-IP

  1. Vaya a Access > Guided Configuration (Acceso > Configuración guiada).

  2. Seleccione el vínculo de configuración de la aplicación PeopleSoft.

    Screenshot for link for your PeopleSoft application

  3. En la barra de navegación superior, seleccione Servidor virtual y habilite Configuración avanzada.

    Screenshot for Enable Advanced settings

  4. Desplácese hasta la parte inferior y agregue la regla iRule que acaba de crear.

    Screenshot for PeopleSoft irule

  5. Seleccione Save and Next (Guardar y siguiente) y continúe la implementación de la configuración nueva.

Para más detalles, consulte el artículo de conocimientos de F5 sobre la configuración de la terminación automática de sesión (cierre de sesión) basada en un nombre de archivo al que se hace referencia mediante URI y la información general de la opción Incluir del URI de cierre de sesión.

Valor predeterminado de la página de aterrizaje de PeopleSoft

Si bien es mejor que una aplicación redirija un usuario a su página de aterrizaje, también es posible crear una regla iRule similar para lograr esto en BIG-IP. En este escenario, redirija todas las solicitudes de usuario desde la raíz ("/") al portal PeopleSoft externo, que suele estar aquí: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL".

  1. Vaya a Local Traffic > iRule (Tráfico local > Regla iRule), seleccione iRule_PeopleSoft y agregue estas líneas de comandos:

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. Asigne la regla iRule al servidor virtual de BIG-IP tal como lo hizo en los pasos anteriores.

Pasos siguientes

Desde un explorador, conéctese a la dirección URL externa de la aplicación PeopleSoft o seleccione el icono de la aplicación en el portal Aplicaciones de Microsoft. Después de autenticarse en Azure AD, se le redirigirá al servidor virtual de BIG-IP para la aplicación y se iniciará sesión de forma automática mediante SSO.

Para aumentar la seguridad, las organizaciones que usan este patrón también podrían considerar la posibilidad de bloquear todo el acceso directo a la aplicación, forzando así una ruta de acceso estricta a través de BIG-IP.

Implementación avanzada

Puede haber casos en los que las plantillas de configuración guiada carezcan de flexibilidad para lograr un requisitos más específicos. Para esos escenarios, consulte Configuración avanzada del inicio de sesión único basado en encabezados. Como alternativa, BIG-IP ofrece la opción de deshabilitar el modo de administración estricta de la configuración guiada. Esto le permite ajustar manualmente las configuraciones, aunque la mayor parte de estas se automatizan mediante las plantillas basadas en asistentes.

Puede ir a Acceso Guided Configuration (Configuración guiada) y seleccionar el icono de candado pequeño situado en el extremo derecho de la fila de configuración de las aplicaciones.

Screenshot for Configure Easy Button - Strict Management

En ese momento, los cambios a través de la interfaz de usuario del asistente ya no son posibles, pero todos los objetos de BIG-IP asociados a la instancia publicada de la aplicación se desbloquearán para la administración directa.

Nota

Al volver a habilitar el modo estricto e implementar una configuración, se sobrescribirá cualquier configuración realizada fuera de la interfaz de usuario de la configuración guiada, por lo que se recomienda el método de configuración avanzada para los servicios de producción.

Solución de problemas

Si no puede acceder a una aplicación protegida por SHA puede ser por varios factores. El registro de BIG-IP puede ayudar a aislar rápidamente todo tipo de problemas con la conectividad, el inicio de sesión único, infracciones de directivas o asignaciones de variables mal configuradas. Para empezar a solucionar problemas, aumente el nivel de detalle del registro.

  1. Vaya a Directiva de acceso Información general > Registros de eventos > Configuración

  2. Seleccione la fila de la aplicación publicada y, luego, Editar> Access System Logs (Registros del sistema de acceso).

  3. Seleccione Depurar en la lista de inicio de sesión único y, después, elija Aceptar.

Reproduzca el problema y, a continuación, inspeccione los registros, pero recuerde volver a cambiarlo cuando haya terminado, ya que el modo detallado genera una gran cantidad de datos. Si ve un error con la marca BIG-IP inmediatamente después de una autenticación previa correcta de Azure AD, es posible que el problema esté relacionado con el inicio de sesión único de Azure AD en BIG-IP.

  1. Vaya a Access Overview > Access reports (Acceso > Información general > Informes de acceso).

  2. Ejecute el informe de la última hora para ver si los registros proporcionan alguna pista. El vínculo View session variables (Ver variables de sesión) de la sesión también le ayudará a comprender si APM recibe las notificaciones esperadas de Azure AD.

Si no ve una página de error de BIG-IP, el problema probablemente esté más relacionado con la solicitud de back-end o con el inicio de sesión único desde BIG-IP a la aplicación.

  1. En este caso, vaya a Directiva de acceso > Información general > Sesiones activas y seleccione el vínculo de la sesión activa.

  2. El vínculo View Variables (Ver variables) de esta ubicación también puede ayudar a determinar la causa principal de los problemas de inicio de sesión único, especialmente si BIG-IP APM no puede obtener los atributos correctos de las variables de sesión.

Vea los ejemplos de asignación de variables de BIG-IP APM y referencia de variables de sesión de F5 BIG-IP para obtener más información.