Tutorial: Mengonfigurasi Tombol Mudah F5 BIG-IP untuk SSO ke Oracle JDE

Dalam tutorial ini, pelajari cara mengamankan Oracle JD Edwards (JDE) menggunakan Microsoft Entra ID, dengan F5 BIG-IP Easy Button Guided Configuration.

Integrasikan BIG-IP dengan MICROSOFT Entra ID untuk banyak manfaat:

• Meningkatkan tata kelola Zero Trust melalui pra-autentikasi Microsoft Entra dan Akses Bersyariah
  • Lihat, Kerangka kerja Zero Trust untuk mengaktifkan pekerjaan jarak jauh
  • Lihat, Apa itu Akses Bersyar?
• Akses menyeluruh (SSO) antara ID Microsoft Entra dan layanan yang diterbitkan BIG-IP
• Mengelola identitas dan akses dari pusat admin Microsoft Entra

Selengkapnya:

• Mengintegrasikan F5 BIG-IP dengan MICROSOFT Entra ID
• Mengaktifkan akses menyeluruh untuk aplikasi perusahaan

Deskripsi Skenario

Tutorial ini menggunakan aplikasi Oracle JDE menggunakan header otorisasi HTTP untuk mengelola akses ke konten yang dilindungi.

Aplikasi warisan tidak memiliki protokol modern untuk mendukung integrasi Microsoft Entra. Modernisasi mahal, memerlukan perencanaan, dan memperkenalkan potensi risiko waktu henti. Sebagai gantinya, gunakan Pengontrol Pengiriman Aplikasi (ADC) F5 BIG-IP untuk menjenjangkan kesenjangan antara aplikasi warisan dan kontrol ID modern, dengan transisi protokol.

Dengan BIG-IP di depan aplikasi, Anda melapisi layanan dengan praauthentikasi Microsoft Entra dan SSO berbasis header. Tindakan ini meningkatkan postur keamanan aplikasi.

Arsitektur skenario

Solusi SHA untuk skenario ini terdiri dari beberapa komponen:

• Aplikasi Oracle JDE - Layanan terbitan BIG-IP yang diamankan oleh Microsoft Entra SHA
• Id Microsoft Entra - IdP (IdP) Security Assertion Markup Language (SAML) yang memverifikasi kredensial pengguna, Akses Bersyarat, dan SSO berbasis SAM ke BIG-IP
  • Dengan SSO, MICROSOFT Entra ID menyediakan atribut sesi ke BIG-IP
• BIG-IP - proksi terbalik dan penyedia layanan SAML (SP) ke aplikasi
  • BIG-IP mendelegasikan autentikasi ke IDP SAML, lalu melakukan SSO berbasis header ke layanan Oracle

Dalam tutorial ini SHA mendukung alur yang dimulai SP dan IdP. Diagram berikut mengilustrasikan alur yang dimulai SP.

1. Pengguna terhubung ke titik akhir aplikasi (BIG-IP).
2. Kebijakan akses BIG-IP APM mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP).
3. Microsoft Entra melakukan pra-autentikasi pengguna dan menerapkan kebijakan Akses Bersyariah.
4. Pengguna dialihkan ke BIG-IP (SAML SP). SSO terjadi menggunakan token SAML yang dikeluarkan.
5. BIG-IP menyuntikkan atribut Microsoft Entra sebagai header dalam permintaan aplikasi.
6. Aplikasi mengotorisasi permintaan dan mengembalikan payload.

Prasyarat

• Akun Microsoft Entra ID Gratis, atau yang lebih tinggi
  • Jika Anda tidak memilikinya, dapatkan akun gratis Azure
• BIG-IP atau BIG-IP Virtual Edition (VE) di Azure
  • Lihat, Menyebarkan VM Edisi Virtual F5 BIG-IP di Azure
• Salah satu lisensi F5 BIG-IP berikut:
  • F5 BIG-IP® Bundel terbaik
  • Lisensi mandiri APM BIG-IP F5
  • Lisensi add-on APM BIG-IP F5 pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) yang ada
  • Lisensi uji coba fitur lengkap BIG-IP 90 hari
• Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra, atau dibuat di ID Microsoft Entra dan mengalir kembali ke direktori lokal
  • Lihat, Microsoft Entra Koneksi Sync: Memahami dan menyesuaikan sinkronisasi
• Salah satu peran berikut: Administrator Aplikasi Cloud, atau Administrator Aplikasi
• Sertifikat Web SSL untuk menerbitkan layanan melalui HTTPS, atau menggunakan sertifikasi BIG-IP default untuk pengujian
  • Lihat, Menyebarkan VM Edisi Virtual F5 BIG-IP di Azure
• Lingkungan Oracle JDE

Konfigurasi BIG-IP

Tutorial ini menggunakan Konfigurasi Terpandu 16.1 dengan templat Tombol Mudah. Dengan Tombol Mudah, admin tidak antara MICROSOFT Entra ID dan BIG-IP untuk mengaktifkan layanan untuk SHA. Wizard Konfigurasi Terpandu APM dan Microsoft Graph menangani penyebaran dan manajemen kebijakan. Integrasi memastikan aplikasi mendukung federasi identitas, SSO, dan Akses Bersyarat.

Catatan

Ganti contoh string atau nilai dalam tutorial ini dengan yang ada di lingkungan Anda.

Daftarkan Tombol Mudah

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Sebelum klien atau layanan mengakses Microsoft Graph, platform identitas Microsoft harus mempercayainya.

Pelajari selengkapnya: Mulai cepat: Mendaftarkan aplikasi dengan platform identitas Microsoft

Instruksi berikut membantu Anda membuat pendaftaran aplikasi penyewa untuk mengotorisasi akses Easy Button ke Graph. Dengan izin ini, BIG-IP mendorong konfigurasi untuk membangun kepercayaan antara instans SAML SP untuk aplikasi yang diterbitkan, dan ID Microsoft Entra sebagai IDP SAML.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri Aplikasi> Identitas>Pendaftaran aplikasi> Pendaftaran baru.

3. Masukkan Nama aplikasi.

4. Hanya untuk Akun dalam direktori organisasi ini, tentukan siapa yang menggunakan aplikasi.

5. Pilih Daftarkan.

6. Navigasikan ke izin API.

7. Otorisasi izin Aplikasi Microsoft Graph berikut:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Grup.Baca.Semua
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • Pengguna.Baca.Semua

8. Berikan persetujuan admin kepada organisasi Anda.

9. Buka Sertifikat & Rahasia.

10. Buat Rahasia Klien baru dan catat.

11. Buka Gambaran Umum dan perhatikan ID Klien dan ID Penyewa

Mengonfigurasi Tombol Mudah

1. Mulai Konfigurasi Terpandu APM.

2. Luncurkan templat Tombol Mudah.

3. Navigasi ke Konfigurasi Terpandu Akses>.

4. Pilih Integrasi Microsoft.

5. Pilih Aplikasi Microsoft Entra.

6. Tinjau urutan konfigurasi.

7. Pilih Selanjutnya

8. Ikuti urutan konfigurasi.

   

Properti Konfigurasi

Gunakan tab Properti Konfigurasi untuk membuat konfigurasi aplikasi dan objek SSO baru. Bagian Detail Akun Layanan Azure mewakili klien yang Anda daftarkan di penyewa Microsoft Entra, sebagai aplikasi. Gunakan pengaturan untuk klien BIG-IP OAuth untuk mendaftarkan SAML SP di penyewa, dengan properti SSO. Tombol Mudah melakukan tindakan ini untuk layanan BIG-IP yang diterbitkan dan diaktifkan untuk SHA.

Catatan

Beberapa pengaturan berikut bersifat global. Anda dapat menggunakannya kembali untuk menerbitkan lebih banyak aplikasi.

1. Untuk Akses Menyeluruh (SSO) & Header HTTP, pilih Aktif.

2. Masukkan ID Penyewa, ID Klien, dan Rahasia Klien yang Anda catat.

3. Konfirmasikan BIG-IP tersambung ke penyewa.

4. Pilih Selanjutnya

   

Penyedia Layanan

Pengaturan Penyedia Layanan menentukan properti untuk instans SAML SP dari aplikasi yang dilindungi melalui SHA.

1. Untuk Host, masukkan FQDN publik dari aplikasi aman.

2. Untuk ID Entitas, masukkan pengidentifikasi yang digunakan Microsoft Entra ID untuk mengidentifikasi SAML SP yang meminta token.

   

3. (Opsional) Untuk Pengaturan Keamanan, tunjukkan id Microsoft Entra mengenkripsi pernyataan SAML yang dikeluarkan. Opsi ini meningkatkan jaminan bahwa token konten tidak disadap, atau data disusupi.

4. Dari daftar Kunci Privat Dekripsi Pernyataan, pilih Buat Baru.

   

5. Pilih OK.

6. Dialog Impor Sertifikat dan Kunci SSL muncul di tab baru.

7. Untuk Jenis Impor, pilih PKCS 12 (IIS). Opsi ini mengimpor sertifikat dan kunci privat Anda.

8. Tutup tab browser untuk kembali ke tab utama.

   

9. Untuk Aktifkan Pernyataan Terenkripsi, centang kotak .

10. Jika Anda mengaktifkan enkripsi, dari daftar Kunci Privat Dekripsi Pernyataan, pilih sertifikat Anda. Kunci privat ini adalah untuk sertifikat yang digunakan BIG-IP APM untuk mendekripsi pernyataan Microsoft Entra.

11. Jika Anda mengaktifkan enkripsi, dari daftar Sertifikat Dekripsi Pernyataan, pilih sertifikat Anda. BIG-IP mengunggah sertifikat ini ke ID Microsoft Entra untuk mengenkripsi pernyataan SAML yang dikeluarkan.

Microsoft Entra ID

Tombol Mudah memiliki templat untuk Oracle Orang Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP, dan templat SHA generik.

1. Pilih JD Edwards Dilindungi oleh F5 BIG-IP.
2. Pilih Tambahkan.

Konfigurasi Azure

1. Masukkan Nama Tampilan untuk aplikasi yang dibuat BIG-IP di penyewa. Nama muncul pada ikon di Aplikasi Saya.

2. (Opsional) Untuk URL Masuk, masukkan FQDN publik aplikasi Orang Soft.

3. Di samping Kunci Penandatanganan dan Sertifikat Penandatanganan, pilih refresh. Tindakan ini menemukan sertifikat yang Anda impor.

4. Untuk Menandatangani Frasa Sandi Kunci, masukkan kata sandi sertifikat.

5. (Opsional) Untuk Opsi Penandatanganan, pilih opsi. Pilihan ini memastikan BIG-IP menerima token dan klaim yang ditandatangani oleh ID Microsoft Entra.

   

6. Grup Pengguna dan Pengguna secara dinamis dikueri dari penyewa Microsoft Entra.

7. Tambahkan pengguna atau grup untuk pengujian, jika tidak, akses ditolak.

   

Atribut & Klaim Pengguna

Saat pengguna mengautentikasi, ID Microsoft Entra mengeluarkan token SAML dengan klaim dan atribut default yang mengidentifikasi pengguna. Tab Atribut Pengguna & Klaim memiliki klaim default untuk dikeluarkan untuk aplikasi baru. Gunakan untuk mengonfigurasi lebih banyak klaim.

Jika diperlukan, sertakan atribut Microsoft Entra lainnya. Skenario Oracle JDE memerlukan atribut default.

Atribut Pengguna Tambahan

Tab Atribut Pengguna Tambahan mendukung sistem terdistribusi yang memerlukan atribut disimpan di direktori lain untuk augmentasi sesi. Atribut dari sumber LDAP disuntikkan sebagai lebih banyak header SSO untuk mengontrol akses berdasarkan peran, ID Mitra, dll.

Catatan

Fitur ini tidak memiliki korelasi dengan ID Microsoft Entra; ini adalah sumber atribut lain.

Kebijakan Akses Bersyarat

Kebijakan Akses Bersyarat diberlakukan setelah pra-autentikasi Microsoft Entra untuk mengontrol akses berdasarkan sinyal perangkat, aplikasi, lokasi, dan risiko. Tampilan Kebijakan yang Tersedia memiliki kebijakan Akses Bersyarah tanpa tindakan pengguna. Tampilan Kebijakan yang Dipilih memiliki kebijakan yang menargetkan aplikasi cloud. Anda tidak dapat membatalkan pilihan atau memindahkan kebijakan ini ke daftar Kebijakan yang Tersedia karena diberlakukan di tingkat penyewa.

Pilih kebijakan untuk aplikasi.

1. Di daftar Kebijakan yang Tersedia, pilih kebijakan.
2. Pilih panah kanan dan pindahkan kebijakan ke Kebijakan yang Dipilih.

Kebijakan yang dipilih memiliki opsi Sertakan atau Kecualikan dicentang. Jika kedua opsi dicentang, kebijakan tidak diberlakukan.

Catatan

Daftar kebijakan muncul sekali, saat Anda memilih tab. Gunakan Refresh untuk wizard untuk mengkueri penyewa. Opsi ini muncul setelah aplikasi disebarkan.

Properti Server Virtual

Server virtual adalah objek sarana data BIG-IP yang diwakili oleh alamat IP virtual. Server mendengarkan permintaan klien ke aplikasi. Lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM server virtual. Kemudian, lalu lintas diarahkan sesuai dengan kebijakan.

1. Untuk Alamat Tujuan, masukkan alamat IPv4 atau IPv6 yang digunakan BIG-IP untuk menerima lalu lintas klien. Catatan terkait muncul di DNS, yang memungkinkan klien untuk menyelesaikan URL eksternal aplikasi yang diterbitkan ke IP. Gunakan DNS localhost komputer uji untuk pengujian.

2. Untuk Port Layanan, masukkan 443 dan pilih HTTPS.

3. Untuk Aktifkan Port Pengalihan, centang kotak .

4. Untuk Port Pengalihan, masukkan 80 dan pilih HTTP. Opsi ini mengalihkan lalu lintas klien HTTP masuk ke HTTPS.

5. Untuk Profil SSL Klien, pilih Gunakan yang Sudah Ada.

6. Di bawah Umum pilih opsi yang Anda buat. Jika pengujian, biarkan default. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui TLS.

   

Properti Kumpulan

Tab Kumpulan Aplikasi memiliki layanan di belakang BIG-IP, yang diwakili sebagai kumpulan dengan server aplikasi.

1. Untuk Pilih Kumpulan, pilih Buat Baru, atau pilih satu.

2. Untuk Metode Penyeimbangan Beban, pilih Round Robin.

3. Untuk Server Kumpulan, di Alamat IP/Nama Simpul pilih simpul, atau masukkan IP dan port untuk server yang menghosting aplikasi Oracle JDE.

   

Akses Menyeluruh & Header HTTP

Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO ke aplikasi yang diterbitkan. Aplikasi Orang Soft mengharapkan header.

1. Untuk Header HTTP, centang kotak.

2. Untuk Operasi Header, pilih ganti.

3. Untuk Nama Header, masukkan JDE_SSO_UID.

4. Untuk Nilai Header, masukkan %{session.sso.token.last.username}.

   

   Catatan

   Variabel sesi APM dalam tanda kurung kurawal peka huruf besar/kecil. Misalnya, jika Anda memasukkan OrclGUID, dan nama atributnya orclguid, pemetaan atribut gagal.

Manajemen Sesi

Gunakan pengaturan Manajemen Sesi BIG-IP untuk menentukan kondisi untuk penghentian atau kelanjutan sesi pengguna. Tetapkan batasan untuk pengguna dan alamat IP, dan info pengguna terkait.

Untuk mempelajari selengkapnya, buka support.f5.com untuk K18390492: Keamanan | Panduan operasi BIG-IP APM

Tidak tercakup dalam panduan operasi adalah fungsionalitas akses menyeluruh (SLO), yang memastikan idP, BIG-IP, dan sesi agen pengguna berakhir saat pengguna keluar. Ketika Tombol Mudah membuat instans aplikasi SAML di penyewa Microsoft Entra, tombol ini mengisi URL Keluar dengan titik akhir APM SLO. Keluar yang dimulai idP dari Aplikasi Saya mengakhiri sesi BIG-IP dan klien.

Data federasi SAML aplikasi yang diterbitkan diimpor dari penyewa. Tindakan ini menyediakan APM dengan titik akhir keluar SAML untuk ID Microsoft Entra, yang memastikan keluar yang dimulai SP mengakhiri sesi klien dan Microsoft Entra. APM perlu mengetahui kapan pengguna keluar.

Saat portal webtop BIG-IP mengakses aplikasi yang diterbitkan, APM memproses keluar untuk memanggil titik akhir keluar Microsoft Entra. Jika portal webtop BIG-IP tidak digunakan, pengguna tidak dapat menginstruksikan APM untuk keluar. Jika pengguna keluar dari aplikasi, BIG-IP tidak sadar. Keluar yang dimulai SP memerlukan penghentian sesi yang aman. Tambahkan fungsi SLO ke tombol Keluar aplikasi Anda, untuk mengalihkan klien Anda ke titik akhir keluar Microsoft Entra SAML atau BIG-IP. URL titik akhir keluar SAML untuk penyewa Anda di Titik Akhir Pendaftaran > Aplikasi.

Jika Anda tidak dapat mengubah aplikasi, pertimbangkan untuk meminta BIG-IP mendengarkan panggilan keluar aplikasi, lalu picu SLO.

Pelajari lebih lanjut: Tutorial: Mengonfigurasi F5 BIG-IP Easy Button untuk SSO ke Oracle Orang Soft, Orang Soft Single Logout

Untuk mempelajari selengkapnya, buka support.f5.com untuk:

• K42052145: Mengonfigurasi penghentian sesi otomatis (keluar) berdasarkan nama file yang direferensikan URI
• K12056: Gambaran umum opsi Sertakan URI Keluar.

Penyebaran

1. Pilih Sebarkan.
2. Verifikasi bahwa aplikasi berada dalam daftar penyewa aplikasi Enterprise.

Mengonfirmasi konfigurasi

1. Menggunakan browser, sambungkan ke URL eksternal aplikasi Oracle JDE atau pilih ikon aplikasi di Aplikasi Saya.

2. Autentikasi ke ID Microsoft Entra.

3. Anda dialihkan ke server virtual BIG-IP untuk aplikasi dan masuk dengan SSO.

   Catatan

   Anda dapat memblokir akses langsung ke aplikasi, sehingga memberlakukan jalur melalui BIG-IP.

Penyebaran tingkat lanjut

Terkadang, templat Konfigurasi Terpandu tidak memiliki fleksibilitas.

Pelajari lebih lanjut: Tutorial: Mengonfigurasi F5 BIG-IP Access Policy Manager untuk SSO berbasis header

Atau, di BIG-IP nonaktifkan mode manajemen ketat Konfigurasi Terpandu. Anda dapat mengubah konfigurasi secara manual, meskipun sebagian besar konfigurasi diotomatisasi dengan templat wizard.

1. Navigasi ke Konfigurasi Terpandu Akses>.

2. Di akhir baris, pilih gembok.

   

Perubahan dengan UI wizard tidak dimungkinkan, tetapi objek BIG-IP yang terkait dengan instans yang diterbitkan aplikasi tidak terkunci untuk manajemen.

Catatan

Saat Anda mengaktifkan kembali mode ketat dan menyebarkan konfigurasi, pengaturan yang dilakukan di luar Konfigurasi Terpandu ditimpa. Kami merekomendasikan konfigurasi lanjutan untuk layanan produksi.

Pemecahan Masalah

Gunakan pengelogan BIG-IP untuk mengisolasi masalah dengan konektivitas, SSO, pelanggaran kebijakan, atau pemetaan variabel yang salah dikonfigurasi.

Verbositas log

1. Navigasi ke Gambaran Umum Kebijakan > Akses.
2. Pilih Log Peristiwa.
3. Pilih pengaturan.
4. Pilih baris aplikasi yang anda terbitkan.
5. PilihEdit.
6. Pilih Log Sistem Akses
7. Dari daftar SSO, pilih Debug.
8. Pilih OK.
9. Produksi ulang masalah Anda.
10. Periksa log.

Setelah selesai, kembalikan fitur ini karena mode verbose menghasilkan banyak data.

Pesan kesalahan BIG-IP

Jika kesalahan BIG-IP muncul setelah praautentikasi Microsoft Entra, ada kemungkinan masalah terkait dengan ID Microsoft Entra ke SSO BIG-IP.

1. Navigasi ke Gambaran Umum Akses>.
2. Pilih Akses laporan.
3. Jalankan laporan selama satu jam terakhir.
4. Tinjau log untuk petunjuk.

Gunakan tautan Tampilkan sesi sesi untuk mengonfirmasi bahwa APM menerima klaim Microsoft Entra yang diharapkan.

Tidak ada pesan kesalahan BIG-IP

Jika tidak ada pesan kesalahan BIG-IP yang muncul, masalahnya mungkin terkait dengan permintaan back-end, atau BIG-IP ke SSO aplikasi.

1. Navigasi ke Gambaran Umum Kebijakan > Akses.
2. Pilih Sesi Aktif.
3. Pilih tautan sesi aktif.

Gunakan tautan Lihat Variabel untuk menentukan masalah SSO, terutama jika BIG-IP APM mendapatkan atribut yang salah dari variabel sesi.

Selengkapnya:

• Buka devcentral.f5.com untuk contoh penetapan variabel APM
• Buka techdocs.f5.com untuk Variabel Sesi