Compartir a través de

Tutorial: Configuración de BIG-IP Access Policy Manager de F5 para inicio de sesión único basado en encabezados

Aprenda a implementar el acceso híbrido seguro (SHA) con inicio de sesión único (SSO) en aplicaciones basadas en encabezados mediante la configuración avanzada de BIG-IP de F5. Aplicaciones publicadas de BIG-IP y ventajas de configuración de Microsoft Entra:

Más información:

Descripción del escenario

En este escenario, hay una aplicación heredada que usa encabezados de autorización HTTP para controlar el acceso a contenido protegido. Lo ideal es que Microsoft Entra ID administre el acceso a la aplicación. Sin embargo, la herencia carece de un protocolo de autenticación moderno. La modernización tarda tiempo y esfuerzo, e introduce costos y riesgos de tiempo de inactividad. En su lugar, implemente un dispositivo BIG-IP entre la aplicación pública de Internet y la interna para permitir el acceso entrante a la aplicación.

Un BIG-IP delante de la aplicación permite superponer el servicio con la autenticación previa y el inicio de sesión único basado en encabezados de Microsoft Entra. La configuración mejora la posición de seguridad de la aplicación.

Arquitectura del escenario

La solución de acceso híbrido seguro para este escenario está compuesta por:

  • Aplicación – BIG-IP servicio publicado para ser protegido por Microsoft Entra SHA
  • Id. de Microsoft Entra : proveedor de identidades del lenguaje de marcado de aserción de seguridad (SAML) que comprueba las credenciales de usuario, el acceso condicional y el inicio de sesión único en la BIG-IP
    • Con SSO, Microsoft Entra ID proporciona los atributos de sesión necesarios de BIG-IP, incluidos los identificadores de usuario
  • BIG-IP - proxy inverso y proveedor de servicios SAML (SP) para la aplicación, delegando la autenticación al IdP de SAML antes del inicio de sesión único basado en encabezados en la aplicación back-end.

En el diagrama siguiente, se muestra el flujo de usuario con Microsoft Entra ID, BIG-IP, APM y una aplicación.

Diagrama del flujo de usuario con microsoft Entra ID, BIG-IP, APM y una aplicación

  1. El usuario se conecta al punto de conexión del proveedor de servicios SAML de la aplicación (BIG-IP).
  2. La directiva de acceso de APM de BIG-IP redirige al usuario a Microsoft Entra ID (IdP de SAML).
  3. Microsoft Entra autentica previamente al usuario y aplica directivas de Acceso condicional.
  4. Se redirige al usuario a BIG-IP (SP de SAML) y el inicio de sesión único se realiza mediante el token SAML emitido.
  5. BIG-IP inserta los atributos de Microsoft Entra como encabezados en la solicitud a la aplicación.
  6. La aplicación autoriza la solicitud y devuelve la carga.

Requisitos previos

Para esto, necesita:

  • Una suscripción a Azure
  • Uno de los siguientes roles: Administrador de aplicaciones en la nube o Administrador de aplicaciones
  • Una BIG-IP o la implementación de una instancia de BIG-IP Virtual Edition (VE) en Azure
  • Cualquiera de las siguientes licencias de F5 BIG-IP:
    • El paquete F5 BIG-IP® Best
    • Licencia independiente de F5 BIG-IP Access Policy Manager™ (APM).
    • Licencia del complemento F5 BIG-IP Access Policy Manager™ (APM) en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Evaluación gratuita completa de 90 días de BIG-IP. Consulte las pruebas gratuitas.
  • Identidades de usuario sincronizadas desde un directorio local en Microsoft Entra ID
  • Un certificado SSL para publicar servicios a través de HTTPS, o use certificados predeterminados durante las pruebas
  • Una aplicación basada en encabezados o una aplicación de encabezados de IIS para pruebas

Método de configuración BIG-IP

Estas instrucciones son un método de configuración avanzado, una manera flexible de implementar SHA. Cree manualmente objetos de configuración BIG-IP. Use este método para escenarios que no se incluyen en las plantillas de configuración guiada.

Nota:

Reemplace las cadenas o valores de ejemplo por los de su entorno.

Para implementar SHA, el primer paso es configurar una confianza de federación de SAML entre BIG-IP APM y Microsoft Entra ID. La confianza establece la integración para que BIG-IP traspase la autenticación previa y el Acceso condicional a Microsoft Entra ID antes de conceder acceso al servicio publicado.

Más información: ¿Qué es el acceso condicional?

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.

  2. Vaya a Entra ID>Aplicaciones empresariales>Todas las aplicaciones.

  3. En la cinta de opciones superior, seleccione + Nueva aplicación.

  4. En la galería, busque F5.

  5. Seleccione F5 BIG-IP integración APM Microsoft Entra ID.

  6. Escriba un nombre de aplicación.

  7. Seleccione Agregar o crear.

  8. El nombre refleja el servicio.

Configuración del inicio de sesión único de Microsoft Entra

  1. Aparecen las nuevas propiedades de la aplicación F5 .

  2. Seleccione Administrar>autenticación única.

  3. En la página Seleccionar un método de inicio de sesión único , seleccione SAML.

  4. Omita el aviso para guardar la configuración del inicio de sesión único.

  5. Seleccione No, guardaré más adelante.

  6. En Configurar el inicio de sesión único con SAML, para Configuración básica de SAML, seleccione el icono de lápiz .

  7. Reemplace la dirección URL del identificador por la dirección URL del servicio publicada BIG-IP. Por ejemplo, https://mytravel.contoso.com.

  8. Repita la operación para la dirección URL de respuesta e incluya la ruta de acceso del punto de conexión SAML de APM. Por ejemplo, https://mytravel.contoso.com/saml/sp/profile/post/acs.

    Nota:

    En esta configuración, el flujo SAML opera en modo IdP: Microsoft Entra ID emite al usuario una aserción de SAML antes de redirigir al punto de conexión de servicio de BIG-IP para la aplicación. BIG-IP APM es compatible con los modos IdP y SP.

  9. En Logout URI, escriba el endpoint de cierre de sesión único (SLO) de APM BIG-IP, precedido por el encabezado del host del servicio. El URI de SLO garantiza que las sesiones de BIG-IP APM de usuario finalicen después de cerrar la sesión de Microsoft Entra. Por ejemplo, https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Captura de pantalla de la entrada de configuración básica de SAML para el identificador, la dirección URL de respuesta, la dirección URL de inicio de sesión, etc.

    Nota:

    A partir del sistema operativo de administración de tráfico (TMOS) v16 en adelante, el punto de conexión de SLO de SAML ha cambiado a /saml/sp/profile/redirect/slo.

  10. Seleccione Guardar.

  11. Salga de la configuración de SAML.

  12. Omita el símbolo del sistema de prueba de SSO.

  13. Para editar los Atributos y Reclamaciones de Usuario > + Agregar nueva reclamación, seleccione el icono del lápiz.

  14. En Nombre , seleccione Employeeid.

  15. En Atributo source , seleccione user.employeeid.

  16. Seleccione Guardar.

Captura de pantalla de la entrada para el atributo

  1. Seleccione + Añadir una reclamación de grupo.
  2. Seleccione Grupos asignados al> de origen de la aplicación >sAMAccountName.

Captura de pantalla de la entrada para el atributo Source, en el cuadro de diálogo Reclamaciones de grupo.

  1. Seleccione Guardar la configuración.
  2. Cierre la vista.
  3. Observe las propiedades de la sección Atributos de usuario y reclamaciones. Microsoft Entra ID emite propiedades de usuarios para la autenticación de BIG-IP APM y el SSO para la aplicación back-end.

Captura de pantalla de la información de atributos de usuario y notificaciones, como apellidos, dirección de correo electrónico, identidad, etc.

Nota:

Agregue otras notificaciones que la aplicación publicada BIG-IP espera como encabezados. Las notificaciones más definidas se emiten si están en Microsoft Entra ID. Defina pertenencias a directorios y objetos de usuario en Microsoft Entra ID antes de que se puedan emitir notificaciones. Consulte Configurar reclamaciones de grupo para aplicaciones mediante Microsoft Entra ID.

  1. En la sección Certificado de firma de SAML , seleccione Descargar.
  2. El archivo XML de metadatos de federación se guarda en el equipo.

Los certificados de firma de SAML creados por Microsoft Entra ID tienen una duración de tres años.

Autorización de Microsoft Entra

De manera predeterminada, Microsoft Entra ID emite tokens a los usuarios en los que se concede acceso a una aplicación.

  1. En la vista de configuración de la aplicación, seleccione Usuarios y grupos.
  2. Seleccione + Agregar usuario y, en Agregar asignación, seleccione Usuarios y grupos.
  3. En el cuadro de diálogo Usuarios y grupos , agregue los grupos de usuarios autorizados para acceder a la aplicación basada en encabezados.
  4. Seleccione Seleccionar.
  5. Seleccione Asignar.

La confianza de federación de SAML de Microsoft Entra está completa. A continuación, configure BIG-IP APM para publicar la aplicación web, configurada con propiedades para completar la confianza de autenticación previa de SAML.

Configuración avanzada

Use las secciones siguientes para configurar SAML, el inicio de sesión único de encabezado, el perfil de acceso, etc.

Configuración de SAML

Cree el proveedor de servicios de SAML de BIG-IP y los objetos de IdP de SAML correspondientes para federar la aplicación publicada con Microsoft Entra ID.

  1. Seleccione Access>Federation>SAML Service Provider>Local SP Services>Create.

    Captura de pantalla de la opción Crear en la pestaña Proveedor de servicios SAML.

  2. Escriba un nombre.

  3. Escriba el identificador de entidad definido en Id. de Entra de Microsoft.

    Captura de pantalla de la entrada Nombre e Id. de entidad en el cuadro de diálogo Crear nuevo servicio SP de SAML.

  4. En Configuración de nombre de SP, realice selecciones si el identificador de entidad no coincide con el nombre de host de la dirección URL publicada o realice selecciones si no está en formato de dirección URL normal basada en nombre de host. Proporcione el esquema externo y el nombre de host de la aplicación si el identificador de entidad es urn:mytravel:contosoonline.

  5. Desplácese hacia abajo para seleccionar el nuevo objeto SP de SAML.

  6. Seleccione Enlazar/Desenlazar conectores de IdP.

    Captura de pantalla de la opción Vincular/Desvincular conectores IdP en la pestaña Proveedor de servicios SAML.

  7. Seleccione Create New IdP Connector (Crear nuevo conector de IdP).

  8. En la lista desplegable, seleccione Desde metadatos.

    Captura de pantalla de la opción From Metadata (Desde metadatos) en el menú desplegable Create New IdP Connection (Crear nueva conexión de IdP).

  9. Vaya al archivo XML de metadatos de federación que descargó.

  10. Escriba un nombre de proveedor de identidades para el objeto APM para el IdP de SAML externo. Por ejemplo, MyTravel_EntraID.

Captura de pantalla de la entrada

  1. Seleccione Agregar nueva fila.
  2. Seleccione el nuevo conector de IDP de SAML.
  3. Seleccione Actualizar.

Captura de pantalla de la opción Actualizar en Conectores de IDP de SAML.

  1. Seleccione Aceptar.

Captura de pantalla de la configuración guardada

Configuración de SSO de encabezado

Cree un objeto SSO de APM.

  1. Seleccione Perfiles/Políticas de accesoPer-Request PolíticasCrear.

  2. Escriba un nombre.

  3. Agregue al menos un idioma aceptado.

  4. Seleccione Finished (Finalizado).

    Captura de pantalla de la entrada Nombre y Idioma aceptado.

  5. Para la nueva política por solicitud, seleccione Editar.

    Captura de pantalla de la opción Editar en la columna Política por solicitud.

  6. Se inicia el editor visual de directivas.

  7. En alternativa, seleccione el + símbolo.

    Captura de pantalla de la opción de más en alternativa.

  8. En la pestaña Uso general, seleccione Encabezados HTTP>Agregar Elemento.

    Captura de pantalla de la opción Encabezados HTTP.

  9. Seleccione Agregar nueva entrada.

  10. Cree tres entradas HTTP y de modificación de encabezados.

  11. En Nombre de encabezado, escriba upn.

  12. En Valor de encabezado, escriba %{session.saml.last.identity}.

  13. En Nombre de encabezado, escriba employeeid.

  14. En Valor de encabezado, escriba %{session.saml.last.attr.name.employeeid}.

  15. En Nombre de encabezado, escriba group_authz.

  16. En Valor de encabezado, escriba %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Nota:

Las variables de sesión de APM entre llaves distinguen entre mayúsculas y minúsculas. Se recomienda definir atributos en minúsculas.

Captura de pantalla de la entrada de encabezado, en Modificación de encabezado HTTP, en la pestaña Propiedades.

  1. Seleccione Guardar.
  2. Cierre el editor de directivas visuales.

Captura de pantalla del editor de directivas visuales.

Configuración del perfil de acceso

Un perfil de acceso enlaza numerosos elementos de APM que administran el acceso a los servidores virtuales de BIG-IP, incluidas las directivas de acceso, la configuración de inicio de sesión único y la configuración de la interfaz de usuario.

  1. Seleccione Acceso>Perfiles / Políticas>Perfiles de acceso (Per-Session Políticas)>Crear.

  2. En Nombre, escriba MyTravel.

  3. En Tipo de perfil, seleccione Todo.

  4. En Idioma aceptado, seleccione al menos un idioma.

  5. seleccione Finished (Finalizado).

    Captura de pantalla de las entradas de Nombre, Tipo de perfil y Idioma aceptado.

  6. En el perfil por sesión que ha creado, seleccione Editar.

    Captura de pantalla de la opción Editar en la columna Directiva de Per-Session.

  7. Se inicia el editor visual de directivas.

  8. En reserva, seleccione el símbolo +.

    Captura de pantalla de la opción más.

  9. Seleccione Autenticación>Autenticación SAML>Agregar elemento.

    Captura de pantalla de la opción Autenticación de SAML en la pestaña Autenticación.

  10. Para la configuración de la autenticación SAML SP, en la lista desplegable del Servidor AAA, seleccione el objeto SAML SP que creó.

  11. Seleccione Guardar.

Captura de pantalla de la selección del servidor AAA.

Asignación de atributos

Las instrucciones siguientes son opcionales. Con una configuración de LogonID_Mapping, la lista de sesiones activas de BIG-IP tiene el nombre principal de usuario (UPN) del usuario que ha iniciado sesión, no un número de sesión. Use estos datos al analizar registros o solucionar problemas.

  1. En la rama SAML Auth Successful, seleccione el símbolo +.

    Captura de pantalla del símbolo más en la rama SAML Auth Successful.

  2. En el menú emergente, seleccione Asignación>Asignar variable>Añadir elemento.

    Captura de pantalla de la opción Asignar variable, en la pestaña Asignación.

  3. Escriba un nombre.

  4. En la sección Asignación de variables, seleccione Agregar nueva entrada>cambio. Por ejemplo, LogonID_Mapping.

    Captura de pantalla de las opciones Agregar nueva entrada y cambiar

  5. En Variable personalizada, establezca session.saml.last.identity.

  6. En Variable de sesión, establezca session.logon.last.username.

  7. Seleccione Finished (Finalizado).

  8. SeleccioneGuardar.

  9. En la rama Directiva de acceso Exitosa, seleccione el terminal Denegar.

  10. Seleccione Permitir.

  11. Seleccione Guardar.

  12. Seleccione Aplicar directiva de acceso.

  13. Cierre el editor de directivas visuales.

Configuración del grupo de back-end

Para habilitar BIG-IP para reenviar el tráfico del cliente correctamente, cree un objeto de nodo de APM que representa el servidor back-end que hospeda la aplicación. Coloque el nodo en un grupo de APM.

  1. Seleccione >.

  2. Para un objeto de grupo de servidores, escriba un nombre. Por ejemplo, MyApps_VMs.

    Captura de pantalla de Aplicar política de acceso.

  3. Agregue un objeto miembro del grupo.

  4. En Nombre de nodo, escriba un nombre para el servidor que hospeda la aplicación web back-end.

  5. En Dirección, escriba la dirección IP del servidor que hospeda la aplicación.

  6. En Puerto de servicio , escriba el puerto HTTP/S en el que escucha la aplicación.

  7. Seleccione Agregar.

    Captura de pantalla de la entrada para nombre de nodo, dirección, puerto de servicio y la opción Agregar.

    Nota:

    Para obtener más información, vaya a my.f5.com para K13397: Información general sobre el formato de solicitud del monitor de estado HTTP para el sistema DNS de BIG-IP.

Configuración del servidor virtual

Un servidor virtual es un objeto del plano de datos de BIG-IP representado por una dirección IP virtual que escucha las solicitudes de los clientes a la aplicación. Cualquier tráfico recibido se procesa y evalúa con el perfil de acceso del APM asociado al servidor virtual. El tráfico se dirige según la directiva.

  1. Seleccione Local Traffic>Servidores Virtuales>Lista de Servidores Virtuales>Crear.

  2. Escriba un nombre de servidor virtual.

  3. En Dirección o máscara de destino, seleccione Host.

  4. Escriba una dirección IP IPv4 o IPv6 sin usar que se asignará a BIG-IP para recibir tráfico de cliente.

  5. En Puerto de servicio, seleccione Puerto, 443 y HTTPS.

    Captura de pantalla de entradas para Nombre, Máscara de dirección de destino y Puerto de servicio.

  6. En Perfil HTTP (cliente), seleccione http.

  7. En Perfil SSL (cliente), seleccione el perfil SSL de cliente que creó o deje el valor predeterminado para las pruebas.

    Captura de pantalla de las entradas para el cliente de perfil HTTP y el cliente de perfil SSL.

  8. En Traducción de direcciones de origen, seleccione Mapeo automático.

    Captura de pantalla de la opción Traducción de direcciones de origen.

  9. En Directiva de acceso, seleccione el perfil de acceso creado anteriormente. Esta acción enlaza el perfil de autenticación previa de SAML de Microsoft Entra ID y la directiva de inicio de sesión único con autenticación basada en encabezados al servidor virtual.

  10. Para Per-Request Política, seleccione SSO_Headers.

Captura de pantalla de las entradas del perfil de acceso y la directiva de solicitud previa.

  1. En Grupo predeterminado, seleccione los objetos de grupo de back-end que creó.
  2. Seleccione Finished (Finalizado).

Captura de pantalla de la opción Grupo predeterminado en Recursos.

Administración de sesiones

Use la configuración de administración de sesiones de BIG-IP para definir las condiciones para la finalización o continuación de la sesión del usuario. Cree una directiva con Directiva de Acceso>Perfiles de Acceso. Seleccione una aplicación de la lista.

Con respecto a la funcionalidad de SLO, un URI de SLO en Microsoft Entra ID garantiza que un cierre de sesión iniciado por IdP desde el portal MyApps finaliza la sesión entre el cliente y el APM de BIG-IP. El metadata.xml importado de federación de la aplicación proporciona a APM el punto de conexión de cierre de sesión SAML de Microsoft Entra para el cierre de sesión iniciado por SP. Por tanto, habilite APM para saber cuándo un usuario cierra la sesión.

Si no hay ningún portal web de BIG-IP, el usuario no puede indicar al APM que cierre la sesión. Si el usuario cierra la sesión de la aplicación, BIG-IP omite a la acción. La sesión de aplicación se puede restablecer a través del inicio de sesión único. Por tanto, el cierre de sesión iniciado por SP necesita atención especial.

Para asegurarse de que las sesiones finalizan de forma segura, agregue una función SLO al botón Cerrar sesión de la aplicación. Habilite esta opción para redirigir el cliente al punto de conexión de cierre de sesión de SAML de Microsoft Entra. Para el punto de conexión de cierre de sesión de SAML para su entidad, vaya a Registros de aplicaciones>Puntos de conexión.

Si no puede cambiar la aplicación, habilite BIG-IP para escuchar la llamada de cierre de sesión de la aplicación y desencadenar el SLO. Para obtener más información:

Implementar

  1. Seleccione Implementar para confirmar la configuración.
  2. Compruebe que la aplicación aparece en el inquilino.
  3. La aplicación se publica y es accesible a través de SHA, con su dirección URL o portales de Microsoft.

Prueba

Realice la siguiente prueba como usuario.

  1. Como usuario, seleccione la dirección URL externa de la aplicación o, en el portal MyApps, seleccione el icono de la aplicación.
  2. Autentíquese en Microsoft Entra ID.
  3. Se le redirigirá al servidor virtual BIG-IP para la aplicación y se inicia sesión con el SSO.
  4. La salida del encabezado insertado aparece cerca de la aplicación basada en encabezados.

Para aumentar la seguridad, bloquee el acceso directo a la aplicación, forzando una ruta a través de BIG-IP.

Solución de problemas

Use estas instrucciones para solucionar problemas.

Nivel de detalle del registro

Los registros de BIG-IP tienen información para ayudar a aislar los problemas de autenticación y SSO. Aumentar el nivel de detalle del registro:

  1. Vaya a Política de Acceso>Descripción general>Registros de eventos.
  2. Seleccione Configuración.
  3. Seleccione la fila de la aplicación publicada.
  4. Seleccione Editar>registros del sistema de acceso.
  5. En la lista SSO, seleccione Depurar.
  6. Seleccione Aceptar.
  7. Reproduce el problema.
  8. Revise los registros.
  9. Cuando termine, revierta la configuración.

Mensaje de error de BIG-IP

Si aparece un error de BIG-IP después del redireccionamiento, el problema podría estar relacionado con el inicio de sesión único de Microsoft Entra ID a BIG-IP.

  1. Vaya a Directiva de acceso>Introducción.
  2. Seleccione Access reports (Acceder a informes).
  3. Ejecuta el informe durante la última hora.
  4. Revise los registros para encontrar pistas.
  5. En la sesión, seleccione el vínculo Ver variables de sesión .
  6. Compruebe que APM reciba las notificaciones esperadas de Microsoft Entra ID.

No hay ningún mensaje de error de BIG-IP

Si no aparece un mensaje de error de BIG-IP, el problema probablemente esté más relacionado con el inicio de sesión único desde BIG-IP a la aplicación de back-end.

  1. Vaya a Directiva de acceso>Introducción.
  2. Seleccione Sesiones activas.
  3. Seleccione el vínculo de la sesión activa.
  4. Seleccione el vínculo Ver variables para determinar los problemas de SSO.
  5. Confirme que BIG-IP APM produce un error o se realiza correctamente para obtener los identificadores de usuario y dominio correctos.

Más información:

Recursos