Integrieren von F5 BIG-IP in Azure Active Directory

Die zunehmende Mobilität und die dadurch entstehende Bedrohungslandschaft machen eine zusätzliche Überprüfung des Zugriffs auf Ressourcen und der Governance erforderlich, bei der das Zero Trust-Modell an den Anfang und in den Mittelpunkt aller Modernisierungsprogramme gestellt wird. Wir bei Microsoft und F5 haben realisiert, dass diese digitale Transformation für jedes Unternehmen in der Regel ein mehrjähriges Unterfangen bedeutet, sodass möglicherweise kritische Ressourcen bis zur Modernisierung gefährdet sind. Das Grundkonzept, das dem sicheren Hybridzugriff (Secure Hybrid Access, SHA) mit F5 BIG-IP und Azure Active Directory zugrunde liegt, hat nicht nur eine Verbesserung des Remotezugriffs auf lokale Anwendungen zum Ziel, sondern auch eine Stärkung der allgemeinen Sicherheitslage gefährdeter Legacy-Dienste.

Untersuchungen zufolge sind in diesem Zusammenhang schätzungsweise 60-80 % der lokalen Anwendungen älteren Datums. Das heißt, dass sie nicht direkt in Azure Active Directory (AD) integriert werden können. Die gleiche Studie weist auch darauf hin, dass große Teile dieser Systeme auf nicht aktuellen Versionen von SAP, Oracle, SAGE und anderen bekannten Workloads, die wichtige Dienste bereitstellen, ausgeführt werden.

Der sichere Hybridzugriff (SHA) wurde für diesen wunden Punkt konzipiert und bietet Unternehmen die Möglichkeit, Ihre F5-Investitionen weiterhin für eine hochwertige Netzwerk- und Anwendungsbereitstellung zu nutzen. In Kombination mit Azure AD überbrückt der SHA die Kluft in der heterogenen Anwendungslandschaft durch eine moderne Identitätssteuerungsebene.

Die Vorabauthentifizierung des Zugriffs auf veröffentlichte BIG-IP-Dienste durch Azure AD bietet viele Vorteile:

Beschreibung des Szenarios

Als ADC (Application Delivery Controller) und SSL-VPN stellt ein BIG-IP-System lokalen und Remotezugriff auf alle Diensttypen bereit. Dazu zählen unter anderem:

  • Moderne und ältere Webanwendungen

  • Nicht-webbasierte Anwendungen

  • REST- und SOAP-Web-API-Dienste

Local Traffic Manager (LTM) ermöglicht die sichere Veröffentlichung von Diensten, während ein ausgereifter Access Policy Manager (APM) die BIG-IP-Funktionalität um eine umfangreiche Reihe von Funktionen erweitert, wodurch Identitätsverbund und einmaliges Anmelden (Single Sign-On, SSO) unterstützt wird.

Durch diese Integration wird der zum Schutz von älteren oder nicht in Azure AD integrierten Diensten erforderliche Protokollübergang mit modernen Features wie kennwortloser Authentifizierung und bedingtem Zugriff ermöglicht. In diesem Szenario erfüllt ein BIG-IP-System weiterhin seine zentrale Rolle als Reverseproxy, während Vorabauthentifizierung und Autorisierung auf Dienstbasis an Azure AD übergeben werden.

Die Integration basiert auf einer standardmäßigen Verbundvertrauensstellung zwischen dem APM und Azure AD. Dies gilt für die meisten SHA-Anwendungsfälle mit einem SSL-VPN-Szenario. Security Assertion Markup Language (SAML)-, OAuth- und Open ID Connect (OIDC)-Ressourcen stellen ebenfalls keine Ausnahme dar, da auch sie über den SHA gesichert werden können.

Wenn eine BIG-IP-Adresse sowohl für den lokalen als auch für den Remotezugriff verwendet wird, kann sie auch zu einem Drosselungspunkt für den „Zero Trust“-Zugriff auf alle Dienste, einschließlich SaaS-Apps, werden.

Die Schritte 1-4 im Diagramm veranschaulichen den Front-End-Austausch zur Vorabauthentifizierung zwischen einem Benutzer, dem BIG-IP-System und Azure AD in einem vom Dienstanbieter (SP) initiierten Flow. Die Schritte 5-6 zeigen die nachfolgende Anreicherung der APM-Sitzung und einmaliges Anmelden (SSO) für einzelne Back-End-Dienste.

Die Abbildung zeigt die allgemeine Architektur

Schritt Beschreibung
1. Der Benutzer wählt im Portal ein Anwendungssymbol aus, die URL wird aufgelöst, und der SAML-Dienstanbieter (BIG-IP) wird aufgerufen.
2. BIG-IP leitet den Benutzer zur Vorabauthentifizierung an den SAML-Identitätsanbieter (Azure AD) um.
3. Azure AD verarbeitet die Richtlinien für bedingten Zugriff und Sitzungssteuerelemente zur Autorisierung.
4. Der Benutzer wird zurück an BIG-IP geleitet und präsentiert die von Azure AD ausgestellten SAML-Ansprüche.
5. BIG-IP fordert alle zusätzlichen Sitzungsinformationen an, die in einmaliges Anmelden (SSO) und die rollenbasierte Zugriffssteuerung (RBAC) für den veröffentlichten Dienst einbezogen werden sollen.
6. BIG-IP leitet die Clientanforderung an den Back-End-Dienst weiter.

Benutzererfahrung

Die meisten Benutzer (direkter Mitarbeiter, Partner, Consumer o.ä.) sind bereits mit der Anmeldeumgebung von Office 365 vertraut, sodass der Zugriff auf die BIG-IP-Dienste über den sicheren Hybridzugriff (SHA) größtenteils bekannt ist.

Benutzer finden jetzt, unabhängig vom Gerätetyp oder Standort, ihre veröffentlichten BIG-IP-Dienste zusammen mit Self-Service-Funktionen für eine größere Anzahl von Diensten im Microsoft MyApps-Portal oder unter O365-Launchpads. Benutzer können bei Bedarf sogar weiterhin direkt über das proprietäre Webtop-Portal von BIG-IP auf veröffentlichte Dienste zugreifen. Der sichere Hybridzugriff (SHA) stellt bei der Abmeldung sicher, dass die Sitzung des Benutzers an beiden Endpunkten (BIG-IP und Azure AD) beendet wird, und sorgt so dafür, dass die Dienste vollständig vor unbefugtem Zugriff geschützt bleiben.

Benutzer greifen auf das Microsoft-Portal „Meine Apps“ zu, um mühelos ihre veröffentlichten BIG-IP-Dienste zu finden und ihre Kontoeigenschaften zu verwalten.

Screenshot mit dem Woodgrove-Katalog „My Apps“

Screenshot mit der Woodgrove-Self-Service-Seite „My Account“

Einblicke und Analyse

BIG-IP spielt für jedes Unternehmen eine wichtige Rolle. Daher können bereitgestellte BIG-IP-Instanzen überwacht werden, um sicherzustellen, dass veröffentlichte Dienste sowohl auf SHA- als auch auf Betriebsebene hochverfügbar sind.

Für die Protokollierung von Ereignissen stehen mehrere Optionen zur Verfügung, und zwar entweder lokal oder remote über eine SIEM-Lösung (Security Information and Event Management), die ein separates Speichern und Verarbeiten von Telemetriedaten ermöglichen. Eine äußerst effektive Lösung für die Überwachung von Azure AD- und SHA-spezifischen Aktivitäten ist die gemeinsame Verwendung von Azure Monitor und Microsoft Sentinel, die Folgendes bietet:

  • Ausführliche Übersicht über Ihre Organisation, möglicherweise über mehrere Clouds und lokale Standorte hinweg (einschließlich der BIG-IP-Infrastruktur)

  • Zentrale Steuerungsebene, die eine kombinierte Ansicht aller Signale bereitstellt, um die Abhängigkeit von komplexen und dezentralen Tools zu vermeiden

Die Abbildung zeigt den Überwachungsflow

Voraussetzungen

Für die Integration von F5 BIG-IP mit Azure AD für SHA ist Folgendes erforderlich:

  • Eine F5 BIG-IP-Instanz, die auf einer der folgenden Plattformen ausgeführt wird:

    • Physisches Gerät

    • Virtuelle Hypervisor-Edition wie Microsoft Hyper-V, VMware ESXi, Linux KVM und Citrix Hypervisor

    • Virtuelle Cloud-Edition wie Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, Openstack und Google Cloud

      Eine BIG-IP-Instanz kann entweder lokal oder auf einer beliebigen unterstützten Cloudplattform (einschließlich Azure) ausgeführt werden, sofern eine Internetverbindung, veröffentlichte Ressourcen und alle anderen erforderlichen Dienste (z. B. Active Directory) verfügbar sind.

  • Eine aktive F5 BIG-IP APM-Lizenz über eine der folgenden Optionen:

    • F5 BIG-IP® Best Bundle

    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™

    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine bereits vorhandene Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)

    • Lizenz für 90-Tage-Testversion von F5 BIG-IP Access Policy Manager™ (APM)

  • Azure AD-Lizenzierung über eine der folgenden Optionen:

Zum Implementieren des sicheren Hybridzugriffs (SHA) sind keine besonderen Kenntnisse oder Erfahrung mit F5 BIG-IP erforderlich. Es wird jedoch empfohlen, sich mit der F5 BIG-IP-Terminologie vertraut zu machen. Die umfangreiche Knowledge Base von F5 ist ebenfalls ein guter Ausgangspunkt, um sich BIG-IP-Kenntnisse anzueignen.

Konfigurationsszenarien

Eine BIG-IP-Instanz kann mithilfe einer der vielen verfügbaren Methoden für SHA konfiguriert werden. Hierzu zählen mehrere vorlagenbasierte Optionen sowie eine manuelle Konfiguration. In den folgenden Tutorials finden Sie eine ausführliche Anleitung zum Implementieren einiger allgemeiner Muster für den sicheren Hybridzugriff mit BIG-IP und Azure AD:

Erweiterte Konfiguration

Der erweiterte Ansatz stellt eine etwas aufwendigere, aber auch flexiblere Methode für die SHA-Implementierung dar, da alle BIG-IP-Konfigurationsobjekte manuell erstellt werden. Dieser Ansatz eignet sich für Szenarien, die nicht durch die Vorlagen für die geführte Konfiguration abgedeckt sind.

Informationen zu Ihren Integrationsanforderungen finden Sie in den folgenden erweiterten Konfigurationstutorials:

Vorlagen für geführte Konfiguration und Easy Button

Der Assistent für die geführte Konfiguration, der ab der BIG-IP-Version 13.1 zur Verfügung steht, beschleunigt und vereinfacht die Implementierung gängiger BIG-IP-Veröffentlichungsszenarien. Das workflowbasierte Framework bietet eine intuitive Bereitstellungsumgebung, die auf spezifische Zugriffstopologien zugeschnitten ist.

In der Version 16.x der geführten Konfiguration steht jetzt ein Easy Button-Feature zur Verfügung. Mit Easy Button müssen Administratoren nicht mehr zwischen Azure AD und BIG-IP hin und her wechseln, um Dienste für SHA zu aktivieren. Die End-to-End-Bereitstellung und Richtlinienverwaltung erfolgt direkt zwischen dem Assistenten für die geführte Konfiguration von APM und Microsoft Graph. Diese umfassende Integration zwischen BIG-IP APM und Azure AD sorgt dafür, dass Anwendungen schnell und einfach Identitätsverbund, SSO und bedingten Zugriff mit Azure AD unterstützen können – ohne den zusätzlichen Verwaltungsaufwand, der entsteht, wenn dies für jede App einzeln implementiert werden muss.

Sehen Sie sich die folgenden geführten Konfigurationstutorials mit Easy Button-Vorlagen für Ihre Integrationsanforderungen an:

Azure AD B2B-Gastzugang

Der Azure AD-B2B-Gastzugriff auf SHA-geschützte Anwendungen ist ebenfalls möglich, für einige Szenarios sind jedoch möglicherweise einige zusätzliche Schritte erforderlich, die in den Tutorials nicht behandelt werden. Ein Beispiel hierfür ist Kerberos SSO, bei dem eine BIG-IP-Adresse die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) ausführt, um ein Dienstticket von Domänenvererbern zu erhalten. Ohne lokale Darstellung eines lokal vorhandenen Gastbenutzers, lehnt ein Domänencontroller die Anforderung mit der Begründung ab, der Benutzer würde nicht existieren. Zur Unterstützung dieses Szenarios müssen Sie sicherstellen, dass externe Identitäten von Ihrem Azure AD-Mandanten in das verwendete Verzeichnis Ihrer Anwendung übertragen werden. Anleitungen dazu finden Sie unter Gewähren des Zugriffs auf Ihre lokalen Anwendungen für B2B-Benutzer in Azure AD.

Nächste Schritte

Ziehen Sie mithilfe Ihrer vorhandenen BIG-IP-Infrastruktur oder durch Bereitstellen eines virtuellen BIG-IP-Computers der Virtual Edition (VE) in Azure das Ausführen einer SHA-Machbarkeitsstudie (SHA) in Betracht. Das Bereitstellen eines virtuellen Computers der Virtual Edition (VE) in Azure dauert ungefähr 30 Minuten und bietet folgende Möglichkeiten:

  • Eine vollständig geschützte Plattform zum Modellieren eines SHA-Pilotprojekts

  • Eine Präproduktionsinstanz zum Testen neuer BIG-IP-Systemupdates und -Hotfixes

Ebenso sollten Sie eine oder zwei Anwendungen identifizieren, die über BIG-IP veröffentlicht und mit SHA geschützt werden können.

Wir empfehlen, mit einer Anwendung zu beginnen, die noch nicht über eine BIG-IP-Instanz veröffentlicht wurde, um potenzielle Unterbrechungen bei Produktionsdiensten zu vermeiden. Die in diesem Artikel erwähnten Richtlinien helfen Ihnen, sich mit der allgemeinen Vorgehensweise beim Erstellen der verschiedenen BIG-IP-Konfigurationsobjekte und beim Einrichten des sicheren Hybridzugriffs (SHA) vertraut zu machen. Danach sollten Sie in der Lage sein, denselben Vorgang mit jedem anderen, neuen Dienst zu wiederholen. Außerdem sollten Sie über ausreichende Kenntnisse verfügen, um mit wenig Aufwand vorhandene veröffentlichte BIG-IP-Dienste zu SHA zu konvertieren.

Der folgende interaktive Leitfaden führt Sie durch die allgemeinen Schritte zum Implementieren von SHA unter Verwendung einer Vorlage ohne Easy Button sowie zum Anzeigen der Endbenutzerumgebung.

Die Abbildung zeigt das Titelbild des interaktiven Leitfadens

Zusätzliche Ressourcen