Sdílet prostřednictvím


Kurz: Konfigurace Správce zásad přístupu F5 BIG-IP pro jednotné přihlašování založené na hlavičce

Naučte se implementovat zabezpečený hybridní přístup (SHA) s jednotným přihlašováním (SSO) k aplikacím založeným na hlavičce pomocí pokročilé konfigurace F5 BIG-IP. Publikované aplikace BIG-IP a výhody konfigurace Microsoft Entra:

Další informace:

Popis scénáře

V tomto scénáři existuje starší verze aplikace využívající autorizační hlavičky HTTP pro řízení přístupu k chráněnému obsahu. V ideálním případě spravuje Microsoft Entra ID přístup k aplikacím. Starší verze ale nemá moderní ověřovací protokol. Modernizace vyžaduje úsilí a čas a zároveň zavádí náklady na výpadky a rizika. Místo toho nasaďte big-IP adresu mezi veřejným internetem a interní aplikací, aby se zamkly příchozí přístup k aplikaci.

Big-IP před aplikací umožňuje překrytí služby pomocí předběžného ověření Microsoft Entra a jednotného přihlašování založeného na hlavičce. Konfigurace zlepšuje stav zabezpečení aplikace.

Architektura scénáře

Řešení zabezpečeného hybridního přístupu pro tento scénář se skládá z:

  • Aplikace – publikovaná služba BIG-IP, která má být chráněna microsoftem Entra SHA
  • Microsoft Entra ID – Zprostředkovatel identity SAML (Security Assertion Markup Language), který ověřuje přihlašovací údaje uživatele, podmíněný přístup a jednotné přihlašování k big-IP adrese
    • S jednotným přihlašováním poskytuje Microsoft Entra ID požadované relace BIG-IP, včetně identifikátorů uživatelů.
  • BIG-IP – reverzní proxy server a poskytovatel služeb SAML (SP) do aplikace, delegování ověřování na zprostředkovatele IDENTITY SAML před jednotným přihlašováním založeným na hlavičce k back-endové aplikaci

Následující diagram znázorňuje tok uživatele pomocí Microsoft Entra ID, BIG-IP, APM a aplikace.

Diagram toku uživatele s Microsoft Entra ID, BIG-IP, APM a aplikací

  1. Uživatel se připojí ke koncovému bodu SAML SP aplikace (BIG-IP).
  2. Zásady přístupu APM BIG-IP přesměrují uživatele na ID Microsoft Entra (SAML IdP).
  3. Microsoft Entra předem neověřuje uživatele a používá zásady podmíněného přístupu.
  4. Uživatel se přesměruje na BIG-IP (SAML SP) a k jednotnému přihlašování dochází pomocí vydaného tokenu SAML.
  5. BIG-IP vloží atributy Microsoft Entra jako hlavičky v požadavku na aplikaci.
  6. Aplikace autorizuje požadavek a vrací datovou část.

Požadavky

Pro scénář, který potřebujete:

  • Předplatné Azure
  • Jedna z následujících rolí: Správce cloudových aplikací nebo Správce aplikací
  • BIG-IP nebo nasaďte virtuální edici BIG-IP (VE) v Azure.
  • Některé z následujících licencí F5 BIG-IP:
    • F5 BIG-IP® Best bundle
    • Samostatná licence F5 BIG-IP Access Policy Manager™ (APM)
    • Doplněk F5 BIG-IP Access Policy Manager (APM) na místním Traffic Manageru™™ (LTM) s velkými IP adresami F5 BIG-IP®
    • 90denní plná zkušební verze funkcí BIG-IP. Podívejte se, bezplatné zkušební verze.
  • Identity uživatelů synchronizované z místního adresáře do Microsoft Entra ID
  • Certifikát SSL pro publikování služeb přes PROTOKOL HTTPS nebo použití výchozích certifikátů při testování
  • Aplikace založená na hlavičce nebo aplikace hlavičky IIS pro testování

Metoda konfigurace BIG-IP

Následující pokyny představují pokročilou metodu konfigurace, flexibilní způsob implementace SHA. Ručně vytvořte objekty konfigurace BIG-IP. Tuto metodu použijte pro scénáře, které nejsou součástí šablon konfigurace s asistencí.

Poznámka:

Nahraďte ukázkové řetězce nebo hodnoty hodnotami z vašeho prostředí.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Prvním krokem k implementaci SHA je nastavení vztahu důvěryhodnosti federace SAML mezi BIG-IP APM a Microsoft Entra ID. Vztah důvěryhodnosti vytvoří integraci pro BIG-IP adresu, která před udělením přístupu k publikované službě předá předběžné ověření a podmíněný přístup k ID Microsoft Entra.

Další informace: Co je podmíněný přístup?

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.

  3. Na horním pásu karet vyberte + Nová aplikace.

  4. V galerii vyhledejte F5.

  5. Vyberte F5 BIG-IP APM Integrace Microsoft Entra ID.

  6. Zadejte název aplikace.

  7. Vyberte Přidat nebo vytvořit.

  8. Název odpovídá službě.

Konfigurace jednotného přihlašování Microsoft Entra

  1. Zobrazí se nové vlastnosti aplikace F5 .

  2. Výběr možnosti Spravovat>jednotné přihlašování

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Přeskočte výzvu k uložení nastavení jednotného přihlašování.

  5. Vyberte Ne, uložím ho později.

  6. Při nastavení jednotného přihlašování pomocí SAML vyberte pro základní konfiguraci SAML ikonu pera.

  7. Nahraďte adresu URL identifikátoru adresou URL publikované služby BIG-IP. Například https://mytravel.contoso.com

  8. Opakujte pro adresu URL odpovědi a zahrňte cestu ke koncovému bodu SAML APM. Například https://mytravel.contoso.com/saml/sp/profile/post/acs

    Poznámka:

    V této konfiguraci tok SAML funguje v režimu zprostředkovatele identity: Microsoft Entra ID vydá uživateli kontrolní výraz SAML před přesměrováním na koncový bod služby BIG-IP pro aplikaci. Big-IP APM podporuje režimy zprostředkovatele identity a sp.

  9. Pro identifikátor URI odhlášení zadejte koncový bod SLO (Big-IP APM Single Logout) před hlavičkou hostitele služby. Identifikátor URI SLO zajišťuje ukončení relací APM pro uživatele BIG-IP po odhlášení Microsoft Entra. Například https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Snímek obrazovky se vstupem základní konfigurace SAML pro identifikátor, adresu URL odpovědi, přihlašovací adresu URL atd.

    Poznámka:

    Od operačního systému Řízení provozu (TMOS) v16 se koncový bod SLO SAML změnil na /saml/sp/profile/redirect/slo.

  10. Zvolte Uložit.

  11. Ukončete konfiguraci SAML.

  12. Přeskočte výzvu testu jednotného přihlašování.

  13. Pokud chcete upravit atributy uživatele a přidat > novou deklaraci identity, vyberte ikonu pera.

  14. Jako jméno vyberte Id zaměstnance.

  15. Pro atribut Source vyberte user.employeeid.

  16. Zvolte Uložit.

Snímek obrazovky se vstupem pro atribut Název a Zdroj v dialogovém okně Spravovat deklaraci identity

  1. Vyberte a přidejte deklaraci identity skupiny.
  2. Vyberte Skupiny přiřazené ke zdrojovému atributu>aplikace>sAMAccountName.

Snímek obrazovky se vstupem pro atribut Zdroj v dialogovém okně Deklarace identity skupiny

  1. Vyberte Uložit konfiguraci.
  2. Zavřete zobrazení.
  3. Prohlédněte si vlastnosti oddílu Atributy a deklarace identity uživatele. Id Microsoft Entra vydává vlastnosti uživatelů pro ověřování BIG-IP APM a jednotné přihlašování k back-endové aplikaci.

Snímek obrazovky s informacemi o atributech uživatele a deklarací identity, jako je příjmení, e-mailová adresa, identita atd.

Poznámka:

Přidejte další deklarace identity, které publikovaná aplikace BIG-IP očekává jako hlavičky. Více definované deklarace identity se vystavují, pokud jsou v MICROSOFT Entra ID. Před vydáním deklarací identity definujte členství v adresáři a objekty uživatele v MICROSOFT Entra ID. Viz konfigurace deklarací identity skupin pro aplikace pomocí Microsoft Entra ID.

  1. V části Podpisový certifikát SAML vyberte Stáhnout.
  2. Soubor XML federačních metadat se uloží do počítače.

Podpisové certifikáty SAML vytvořené microsoftem Entra ID mají životnost tří let.

Autorizace Microsoft Entra

Ve výchozím nastavení Microsoft Entra ID vydává tokeny uživatelům uděleným přístup k aplikaci.

  1. V zobrazení konfigurace aplikace vyberte Uživatelé a skupiny.
  2. Vyberte + Přidat uživatele a v možnosti Přidat přiřazení vyberte Uživatelé a skupiny.
  3. V dialogovém okně Uživatelé a skupiny přidejte skupiny uživatelů autorizované pro přístup k aplikaci založené na hlavičce.
  4. Zvolte Zvolit.
  5. Vyberte Přiřadit.

Vztah důvěryhodnosti federace MICROSOFT Entra SAML je dokončený. Dále nastavte big-IP APM pro publikování webové aplikace nakonfigurované s vlastnostmi pro dokončení vztahu důvěryhodnosti předběžného ověření SAML.

Rozšířená konfigurace

Pomocí následujících částí nakonfigurujte SAML, jednotné přihlašování hlaviček, přístupový profil a další.

Konfigurace SAML

Pokud chcete publikovanou aplikaci federovat s Microsoft Entra ID, vytvořte poskytovatele služby SAML s velkými IP adresami a odpovídající objekty SAML IdP.

  1. Vyberte Vytvořit >místní služby SP Services> federačního>zprostředkovatele>SAML.

    Snímek obrazovky s možností Vytvořit na kartě Poskytovatel služeb SAML

  2. Zadejte Název.

  3. Zadejte ID entity definované v Microsoft Entra ID.

    Snímek obrazovky se vstupem Název a ID entity v dialogovém okně Vytvořit novou službu SAML SP

  4. V případě nastavení názvu služby SP proveďte výběry, pokud ID entity neodpovídá názvu hostitele publikované adresy URL, nebo proveďte výběr, pokud není v běžném formátu adresy URL založeném na názvu hostitele. Zadejte externí schéma a název hostitele aplikace, pokud je urn:mytravel:contosoonlineID entity .

  5. Posuňte se dolů a vyberte nový objekt SAML SP.

  6. Vyberte vazby nebo zrušení vazby konektorů zprostředkovatele identity.

    Snímek obrazovky s možností Vytvořit vazbu nesouvisených konektorů zprostředkovatele služeb SAML na kartě Poskytovatel služeb SAML

  7. Vyberte Vytvořit nový konektor zprostředkovatele identity.

  8. V rozevíracím seznamu vyberte Z metadat.

    Snímek obrazovky s možností Z metadat v rozevírací nabídce Vytvořit nové připojení zprostředkovatele identity

  9. Přejděte do souboru XML federačních metadat, který jste stáhli.

  10. Zadejte název zprostředkovatele identity pro objekt APM pro externí zprostředkovatele identity SAML. Například MyTravel_EntraID

Snímek obrazovky se vstupem Pro výběr názvu souboru a zprostředkovatele identity v části Vytvořit nový konektor SAML IdP

  1. Vyberte Přidat nový řádek.
  2. Vyberte nový konektor SAML IdP.
  3. Vyberte Aktualizovat.

Snímek obrazovky s možností Aktualizace v části Konektory SAML IdP

  1. Vyberte OK.

Snímek obrazovky s uloženými nastaveními

Konfigurace jednotného přihlašování hlaviček

Vytvořte objekt jednotného přihlašování APM.

  1. Vyberte přístupové>profily nebo zásady, které>se vytvoří podle požadavků.>

  2. Zadejte Název.

  3. Přidejte alespoň jeden jazyk, který byl přijat.

  4. Vyberte Dokončeno.

    Snímek obrazovky se vstupem pro název a přijatý jazyk

  5. U nové zásady pro jednotlivé žádosti vyberte Upravit.

    Snímek obrazovky s možností Upravit ve sloupci Zásady pro jednotlivé požadavky

  6. Spustí se editor zásad vizuálu.

  7. V části Náhradní vyberte + symbol.

    Snímek obrazovky s možností plus v rámci náhradní lokality

  8. Na kartě Obecné účely vyberte hlavičky >HTTP Přidat položku.

    Snímek obrazovky s možností Hlavičky HTTP

  9. Vyberte Přidat novou položku.

  10. Vytvořte tři položky HTTP a Header modify.

  11. Jako název záhlaví zadejte hlavní název.

  12. Jako hodnotu hlavičky zadejte %{session.saml.last.identity}.

  13. Jako název záhlaví zadejte employeeid.

  14. Jako hodnotu záhlaví zadejte %{session.saml.last.attr.name.employeeid}.

  15. Jako název záhlaví zadejte group_authz.

  16. Jako hodnotu záhlaví zadejte %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Poznámka:

Proměnné relace APM ve složených závorkách rozlišují malá a velká písmena. Doporučujeme definovat atributy malými písmeny.

Snímek obrazovky se vstupem záhlaví v části HTTP Header Modify (Upravit hlavičku HTTP) na kartě Vlastnosti

  1. Zvolte Uložit.
  2. Zavřete editor zásad vizuálu.

Snímek obrazovky s editorem vizuálních zásad

Konfigurace profilu přístupu

Profil přístupu spojuje mnoho prvků APM, které spravují přístup k virtuálním serverům BIG-IP, včetně zásad přístupu, konfigurace jednotného přihlašování a nastavení uživatelského rozhraní.

  1. Vyberte profily přístupu>/ Profily přístupu zásad>(zásady pro jednotlivé relace)>Vytvořit.

  2. Jako název zadejte MyTravel.

  3. Jako typ profilu vyberte Vše.

  4. V případě akceptovaných jazyků vyberte aspoň jeden jazyk.

  5. vyberte Dokončeno.

    Snímek obrazovky s položkami pro název, typ profilu a akceptovaným jazykem

  6. Pro profil relace, který jste vytvořili, vyberte Upravit.

    Snímek obrazovky s možností Upravit ve sloupci Zásady relace

  7. Spustí se editor zásad vizuálu.

  8. V části Náhradní vyberte + symbol.

    Snímek obrazovky s možností plus

  9. Vyberte Možnost Přidat>položku ověřování SAML Auth.>

    Snímek obrazovky s možností ověřování SAML na kartě Ověřování

  10. V případě konfigurace sp ověřování SAML v rozevíracím seznamu AAA Server vyberte objekt SAML SP, který jste vytvořili.

  11. Zvolte Uložit.

Snímek obrazovky s výběrem serveru AAA

Mapování atributů

Následující pokyny jsou volitelné. Při konfiguraci LogonID_Mapping má seznam aktivních relací BIG-IP hlavní název uživatele (UPN), nikoli číslo relace. Tato data použijte při analýze protokolů nebo řešení potíží.

  1. Pro úspěšnou větev ověřování SAML vyberte + symbol.

    Snímek obrazovky se symbolem plus ve větvi úspěšného ověření SAML

  2. V automaticky otevírané nabídce vyberte Přiřadit proměnnou>přiřazení>přidat položku.

    Snímek obrazovky s možností Přiřadit proměnnou na kartě Přiřazení

  3. Zadejte Název

  4. V oddílu Přiřadit proměnnou vyberte Přidat novou změnu položky>. Například LogonID_Mapping.

    Snímek obrazovky s možnostmi přidat novou položku a změnit

  5. Pro vlastní proměnnou nastavte session.saml.last.identity.

  6. Pro proměnnou relace nastavte session.logon.last.username.

  7. Vyberte Dokončeno.

  8. Vyberte Uložit.

  9. Ve větvi Úspěšné zásady přístupu vyberte terminál Odepřít.

  10. Vyberte Povolit.

  11. Zvolte Uložit.

  12. Vyberte Použít zásadu přístupu.

  13. Zavřete editor zásad vizuálu.

Konfigurace back-endového fondu

Pokud chcete povolit správné předávání klientského provozu pomocí protokolu BIG-IP, vytvořte objekt uzlu APM představující back-endový server hostující vaši aplikaci. Umístěte uzel do fondu APM.

  1. Vyberte vytvořit seznam >fondů > místních přenosů>.

  2. Jako objekt fondu serveru zadejte název. Například MyApps_VMs.

    Snímek obrazovky s použitím zásad přístupu

  3. Přidejte objekt člena fondu.

  4. Jako název uzlu zadejte název serveru, který je hostitelem back-endové webové aplikace.

  5. Do pole Adresa zadejte IP adresu serveru, který je hostitelem aplikace.

  6. V případě portu služby zadejte port HTTP/S, na který aplikace naslouchá.

  7. Vyberte Přidat.

    Snímek obrazovky se vstupem pro název uzlu, adresu, port služby a možnost Přidat

    Poznámka:

    Další informace najdete v tématu my.f5.com pro K13397: Přehled formátování požadavků monitorování stavu HTTP pro systém DNS BIG-IP.

Konfigurace virtuálního serveru

Virtuální server je objekt roviny dat BIG-IP reprezentovaný virtuální IP adresou, která naslouchá žádostem klientů do aplikace. Přijatý provoz se zpracuje a vyhodnotí pomocí profilu přístupu APM přidruženého k virtuálnímu serveru. Provoz se směruje podle zásad.

  1. Vyberte vytvořit seznam> virtuálních serverů>s místním provozem.>

  2. Zadejte název virtuálního serveru.

  3. Jako cílová adresa/maska vyberte Hostitel.

  4. Zadejte nepoužitou IP adresu IPv4 nebo IPv6, která se má přiřadit k big-IP adrese pro příjem provozu klienta.

  5. Jako port služby vyberte Port, 443 a HTTPS.

    Snímek obrazovky s položkami pro název, masku cílové adresy a port služby

  6. V případě profilu HTTP (klient) vyberte http.

  7. Pro profil SSL (klient) vyberte profil SSL klienta, který jste vytvořili, nebo ponechte výchozí nastavení pro testování.

    Snímek obrazovky s položkami klienta profilu HTTP a klienta profilu SSL

  8. V případě překladu zdrojové adresy vyberte možnost Automatické mapování.

    Snímek obrazovky s možností Překlad zdrojové adresy

  9. V části Zásady přístupu vyberte profil přístupu vytvořený dříve. Tato akce vytvoří vazbu profilu předběžného ověření SamL microsoft Entra SAML a zásadu jednotného přihlašování k virtuálnímu serveru.

  10. V případě zásad pro jednotlivé požadavky vyberte SSO_Headers.

Snímek obrazovky s položkami pro přístupový profil a zásady předběžné žádosti

  1. Jako výchozí fond vyberte objekty back-endového fondu, které jste vytvořili.
  2. Vyberte Dokončeno.

Snímek obrazovky s možností Výchozí fond v části Zdroje

Správa relací

Nastavení správy relací BIG-IP adres slouží k definování podmínek pro ukončení relace uživatele nebo pokračování. Vytvořte zásadu pomocí profilů přístupu k zásadám>přístupu. Vyberte aplikaci ze seznamu.

Pokud jde o funkce SLO, identifikátor SLO URI v Microsoft Entra ID zajišťuje odhlášení iniciované z portálu MyApps ukončí relaci mezi klientem a big-IP APM. Importovaná federace aplikací metadata.xml poskytuje APM koncovému bodu odhlášení Microsoft Entra SAML pro odhlašování iniciované aktualizací SP. Proto povolte službě APM vědět, kdy se uživatel odhlásí.

Pokud neexistuje žádný webový portál BIG-IP, nemůže uživatel instruovat, aby se APM odhlasil. Pokud se uživatel z aplikace odhlásí, je big-IP adresa pro akci zastaralá. Relaci aplikace je možné obnovit prostřednictvím jednotného přihlašování. Proto odhlašování iniciované aktualizací SP vyžaduje pečlivé zvážení.

Pokud chcete zajistit bezpečné ukončení relací, přidejte do tlačítka Odhlásit se z aplikace funkci SLO. Povolte ho přesměrování klienta do koncového bodu microsoft Entra SAML pro odhlášení. U koncového bodu odhlášení SAML pro vašeho tenanta přejděte do koncových bodů registrace>aplikací.

Pokud nemůžete aplikaci změnit, povolte big-IP, aby naslouchala volání odhlašování aplikace a aktivovala SLO. Další informace najdete v tématech:

Nasadit

  1. Vyberte Nasadit k potvrzení nastavení.
  2. Ověřte, že se aplikace zobrazí ve vašem tenantovi.
  3. Aplikace je publikovaná a přístupná prostřednictvím SHA s jeho adresou URL nebo portály Microsoft.

Test

Jako uživatel proveďte následující test.

  1. Vyberte externí adresu URL aplikace nebo na portálu Moje aplikace vyberte ikonu aplikace.

  2. Ověřte se v Microsoft Entra ID.

  3. K přesměrování dojde k virtuálnímu serveru BIG-IP pro aplikaci a přihlášení pomocí jednotného přihlašování.

  4. Výstup vložené hlavičky se zobrazí aplikací založenou na hlavičce.

    Snímek obrazovky s proměnnými serveru, jako je hlavní název uživatele (UPN), ID zaměstnance a autorizace skupiny

Pokud chcete zvýšit zabezpečení, zablokujte přímý přístup k aplikaci a vynucujte cestu prostřednictvím big-IP adresy.

Řešení problému

Při řešení potíží využijte následující doprovodné materiály.

Úroveň podrobností protokolu

Protokoly BIG-IP obsahují informace, které pomáhají izolovat problémy s ověřováním a jednotným přihlašováním. Zvýšení úrovně podrobností protokolu:

  1. Přejděte do protokolů událostí přehledu> zásad>přístupu.
  2. Vyberte Nastavení.
  3. Vyberte řádek publikované aplikace.
  4. Vyberte Upravit>systémové protokoly aplikace Access.
  5. V seznamu jednotného přihlašování vyberte Ladit.
  6. Vyberte OK.
  7. Reprodukujte problém.
  8. Zkontrolujte protokoly.
  9. Po dokončení vraťte nastavení.

Chybová zpráva BIG-IP

Pokud se po přesměrování zobrazí chyba BIG-IP, problém pravděpodobně souvisí s jednotným přihlašováním z Microsoft Entra ID k BIG-IP.

  1. Přejděte na Přehled zásad>přístupu.
  2. Vyberte sestavy Accessu.
  3. Spusťte sestavu za poslední hodinu.
  4. Projděte si protokoly, kde najdete nápovědu.
  5. Pro svoji relaci vyberte odkaz Zobrazit proměnné relace.
  6. Ověřte, že APM obdrží očekávané deklarace identity z ID Microsoft Entra.

Žádná chybová zpráva BIG-IP

Pokud se nezobrazí žádná chybová zpráva BIG-IP, problém pravděpodobně souvisí s jednotným přihlašováním z BIG-IP adresy do back-endové aplikace.

  1. Přejděte na Přehled zásad>přístupu.
  2. Vyberte aktivní relace.
  3. Vyberte odkaz pro aktivní relaci.
  4. Vyberte odkaz Zobrazit proměnné a určete případné problémy s jednotným přihlašováním.
  5. Ověřte, že big-IP APM selže nebo úspěšně získá správné identifikátory uživatele a domény.

Další informace:

Zdroje informací