Compartir a través de

Configurar BIG-IP Easy Button de F5 para el inicio de sesión único en SAP ERP mediante Microsoft Entra ID

En este artículo, aprenderá a proteger SAP ERP mediante Microsoft Entra ID a través de la configuración guiada de BIG-IP Easy Button de F5.

La integración de BIG-IP con Microsoft Entra ID tiene muchas ventajas, entre las que se incluyen:

Para obtener información sobre todas las ventajas, consulte el artículo sobre Integración de F5 BIG-IP y Microsoft Entra y qué es el acceso a aplicaciones y el inicio de sesión único con Microsoft Entra ID.

Descripción del escenario

En este escenario se analiza la aplicación clásica de SAP ERP mediante la autenticación Kerberos para administrar el acceso a contenido protegido.

Al ser heredada, la aplicación carece de protocolos actuales que admitan una integración directa con Microsoft Entra ID. La aplicación se puede modernizar, pero es costosa, requiere una planeación cuidadosa e introduce el riesgo de posible tiempo de inactividad. En su lugar, se usa un controlador de entrega de aplicaciones (ADC) BIG-IP de F5 para salvar la distancia entre la aplicación heredada y el plano de control de identidad moderno mediante la transición de protocolo.

Tener un BIG-IP delante de la aplicación nos permite superponer el servicio con la autenticación previa de Microsoft Entra y el inicio de sesión único basado en encabezados, lo que mejora significativamente la posición de seguridad general de la aplicación.

Arquitectura del escenario

La solución SHA para este escenario consta de lo siguiente:

Aplicación SAP ERP: servicio publicado de BIG-IP que se va a proteger mediante el acceso híbrido seguro de Microsoft Entra SHA.

Microsoft Entra ID: el proveedor de identidades (IdP) de Lenguaje de Marcado para Confirmaciones de seguridad (SAML), que es responsable de la verificación de las credenciales de usuario, el acceso condicional y el inicio de sesión único basado en SAML en BIG-IP.

BIG-IP: proxy inverso y proveedor de servicios SAML (SP) en la aplicación, que delega la autenticación al IdP de SAML antes de realizar el inicio de sesión único basado en encabezados en el servicio de SAP.

El acceso híbrido seguro (SHA) para este escenario admite flujos iniciados por SP e IdP. En la imagen siguiente se muestra el flujo iniciado por SP.

Acceso híbrido seguro: flujo iniciado por SP

Pasos Descripción
1 El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
2 La directiva de acceso de APM de BIG-IP redirige al usuario a Microsoft Entra ID (IdP de SAML)
3 Microsoft Entra ID autentica previamente al usuario y aplica las directivas de acceso condicional exigidas
4 Se redirige al usuario a BIG-IP (SP de SAML) y el inicio de sesión único se realiza mediante el token SAML emitido.
5 BIG-IP solicita un vale kerberos desde KDC.
6 BIG-IP envía la solicitud a la aplicación de back-end, junto con el vale de Kerberos para el inicio de sesión único.
7 La aplicación autoriza la solicitud y devuelve la carga.

Requisitos previos

La experiencia previa en BIG-IP no es necesaria, pero necesitas:

  • Una suscripción gratuita Microsoft Entra ID o superior

  • Una instancia de BIG-IP existente o implementar una instancia de BIG-IP Virtual Edition (VE) en Azure

  • Cualquiera de las siguientes ofertas de licencia de F5 BIG-IP

    • F5 BIG-IP® Best bundle

    • Licencia independiente de F5 BIG-IP APM

    • Licencia del complemento F5 BIG-IP APM en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM) ya existente

    • Licencia de evaluación gratuita completa de 90 días de BIG-IP.

  • Identidades de usuario sincronizadas desde un directorio local a Microsoft Entra ID, o creadas directamente en Microsoft Entra ID y devueltas a su directorio local

  • Una cuenta con permisos de administrador de aplicaciones de Microsoft Entra

  • Un certificado web de SSL para publicar servicios a través de HTTPS o usar certificados predeterminados de BIG-IP durante las pruebas

  • Un entorno de SAP ERP existente configurado para la autenticación Kerberos

Métodos de configuración BIG-IP

Hay muchos métodos para configurar BIG-IP para este escenario, incluidas dos opciones basadas en plantillas y una configuración avanzada. En este artículo se describe la configuración guiada más reciente 16.1 que ofrece una plantilla de botón fácil.

Con Easy Button, los administradores ya no tienen que ir y venir entre Microsoft Entra ID y BIG-IP para permitir servicios de SHA. La implementación y la administración de directivas se controlan directamente entre el asistente de configuración guiada de APM y Microsoft Graph. Esta completa integración entre APM de BIG-IP y Microsoft Entra ID garantiza que las aplicaciones puedan admitir de forma rápida y sencilla la federación de identidades, el inicio de sesión único y el acceso condicional de Microsoft Entra, reduciendo la sobrecarga administrativa.

Nota

Todas las cadenas o valores de ejemplo a los que se hace referencia en esta guía deben reemplazarse por aquellos de su entorno real.

Registro de Easy Button

Para que un cliente o servicio pueda acceder a Microsoft Graph, debe confiar en él la plataforma de identidad de Microsoft.

El cliente de Easy Button también se debe registrar en Microsoft Entra ID, antes de poder establecer una confianza entre cada instancia de SP de SAML de una aplicación publicada de BIG-IP y Microsoft Entra ID como proveedor de identidades de SAML.

  1. Inicie sesión en Azure Portal con una cuenta que tenga derechos de administrador de la aplicación.

  2. En el panel de navegación izquierdo, seleccione el servicio Microsoft Entra ID.

  3. En Administrar, seleccione Registros de aplicaciones>Nuevo registro.

  4. Escriba un nombre para mostrar para la aplicación, como F5 BIG-IP Easy Button.

  5. Especifique quién puede usar la aplicación >Solo cuentas de este directorio de la organización.

  6. Seleccione Registrar para completar el registro inicial de la aplicación.

  7. Vaya a Permisos de API y autorice los permisos de aplicación siguientes de Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Concesión de consentimiento del administrador para su organización

  9. En la hoja Certificados & Secretos, genere un nuevo secreto de cliente y anótelo.

  10. En la hoja Información general, anote el valor de Id. de cliente e Id. de inquilino.

Configuración de Easy Button

Inicie la configuración guiada de APM para abrir la plantilla Easy Button.

  1. Desde un explorador, inicie sesión en la consola de administración de BIG-IP de F5.

  2. Vaya a Acceso > Configuración guiada > Integración con el software de Microsoft y seleccione Aplicación de Microsoft Entra.

  3. En Configurar la solución mediante los pasos siguientes creará los objetos necesarios, revise la lista de pasos de configuración y seleccione Siguiente.

  4. En Guía de configuración, siga la secuencia de pasos necesarios para publicar la aplicación.

Propiedades de configuración

Son propiedades generales y de la cuenta de servicio. La pestaña Configuration Properties (Propiedades de configuración) crea una configuración de la aplicación de BIG-IP y un objeto de inicio de sesión único. Tenga en cuenta la sección de detalles de la cuenta de servicio de Azure para el cliente que registró anteriormente en el inquilino de Microsoft Entra como una aplicación. Esta configuración permite que un cliente de OAuth de BIG-IP registre individualmente un SPA de SAML directamente en el inquilino, junto con las propiedades de SSO que habitualmente configuraría de manera manual. Easy Button hace esto para cada servicio BIG-IP que se publica y habilita para SHA.

Algunas de ellas son valores globales que pueden reutilizarse para publicar más aplicaciones, lo que reduce aún más el tiempo y el esfuerzo de implementación.

  1. Escriba un nombre de configuración único para que los administradores puedan distinguir fácilmente entre las configuraciones de Easy Button

  2. Habilite Single Sign-On (SSO) & HTTP Headers (Encabezados de inicio de sesión único y HTTP)

  3. Escriba los valores de Tenant Id, Client ID, (Id. de inquilino, Id. de cliente) y de Client Secret (Secreto de cliente) que anotó al registrar el cliente de Easy Button en el inquilino.

  4. Confirme que BIG-IP puede conectarse correctamente al inquilino y seleccione Next (Siguiente).

    Captura de pantalla de configuración: propiedades generales y de cuenta de servicio

Proveedor de servicios

La configuración del proveedor de servicios define las propiedades de la instancia del SP de SAML de la aplicación protegida mediante SHA.

  1. Especifique el host. Este es el FQDN público de la aplicación que se va a proteger.

  2. Escriba Id. de entidad. Este es el identificador que usa Microsoft Entra ID para identificar el SP de SAML que solicita un token.

    Captura de pantalla de la configuración del proveedor de servicios

    En la configuración de seguridad opcional especifique si Microsoft Entra ID debe cifrar las aserciones de SAML emitidas. El cifrado de aserciones entre Microsoft Entra ID y APM de BIG-IP proporciona una garantía adicional de que no se podrán interceptar los tokens de contenido y de que no se pondrá en peligro la seguridad de los datos personales o corporativos.

  3. En la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones), seleccione Create New (Crear nueva).

    Captura de pantalla para configurar el botón Fácil: Crear nueva importación

  4. Selecciona Aceptar. Esto abre el cuadro de diálogo Import SSL Certificate and Keys (Importar certificado SSL y claves) en una nueva pestaña.

  5. Seleccione PKCS 12 (IIS) para importar el certificado y la clave privada. Una vez aprovisionado, cierre la pestaña del explorador para volver a la pestaña principal.

    Captura de pantalla para configurar el botón Fácil: Importar nuevo certificado

  6. Active Enable Encrypted Assertion (Habilitar aserciones cifradas).

  7. Si ha habilitado el cifrado, seleccione el certificado en la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones). Esta es la clave privada del certificado que usa BIG-IP APM para descifrar las aserciones de Microsoft Entra

  8. Si ha habilitado el cifrado, seleccione el certificado en la lista Assertion Decryption Certificate (Certificado de descifrado de aserciones). Este es el certificado que cargará BIG-IP en Microsoft Entra ID para cifrar las aserciones de SAML emitidas.

    Captura de pantalla de la configuración de seguridad del proveedor de servicios

Microsoft Entra ID

En esta sección se definen todas las propiedades que normalmente se usarían para configurar manualmente una nueva aplicación SAML BIG-IP dentro del inquilino de Microsoft Entra.

Easy Button proporciona un conjunto de plantillas de aplicación predefinidas para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP y plantilla SHA genérica para cualquier otra aplicación.

En este escenario, en la página Configuración de Azure, seleccione Componente central de SAP ERP>Agregar para iniciar las configuraciones de Azure.

Configuración de Azure

  1. Especifique el valor de Display Name (Nombre para mostrar) de la aplicación que crea BIG-IP en el inquilino de Microsoft Entra y el icono que verán los usuarios en el portal Aplicaciones.

  2. No especifique nada en Sign On URL (optional) [Dirección URL de inicio de sesión (opcional)] para habilitar el inicio de sesión iniciado por IdP.

    Captura de pantalla de configuración de Azure: agregar información para mostrar

  3. Seleccione el icono de actualización junto a Clave de firma y Certificado de firma para buscar el certificado que importó anteriormente.

  4. Escriba la contraseña del certificado en Frase de contraseña de firma.

  5. Habilite Opción de firma (opcional). Esto garantiza que BIG-IP solo aceptará tokens y notificaciones firmados por Microsoft Entra ID

    Captura de pantalla de configuración de Azure: agregar información de certificados de firma

  6. Los usuarios y grupos de usuarios se consultan dinámicamente desde el inquilino de Microsoft Entra y se usan para autorizar el acceso a la aplicación. Agregue un usuario o grupo que pueda usar más adelante para realizar pruebas; de lo contrario, se deniega todo el acceso.

    Captura de pantalla de configuración de Azure: agregar usuarios y grupos

Atributos y notificaciones de usuario

Cuando un usuario se autentica correctamente, Microsoft Entra ID emite un token SAML con un conjunto predeterminado de notificaciones y atributos que identifican de forma única al usuario. La pestaña Atributos y notificaciones de usuario muestra las notificaciones predeterminadas que se emitirán para la nueva aplicación. También permite configurar más notificaciones.

Como nuestra infraestructura de AD de ejemplo se basa en un sufijo de dominio .com que se usa tanto internamente como externamente, no se requieren atributos adicionales para lograr una implementación funcional de SSO de KCD. Consulte el artículo avanzado para los casos en los que tenga varios dominios o cuando el usuario inicie sesión utilizando un sufijo alternativo.

Captura de pantalla de atributos y notificaciones de usuarios

Puede incluir atributos adicionales de Microsoft Entra si es necesario, pero, para este escenario, SAP ERP solo requiere los atributos predeterminados.

Atributos de usuario adicionales

La pestaña Atributos de usuario adicionales puede admitir diversos sistemas distribuidos que requieren atributos almacenados en otros directorios para el aumento de la sesión. Los atributos obtenidos de un origen LDAP se pueden insertar como encabezados de inicio de sesión único adicionales para controlar aún más el acceso en función de los roles, los Id. de partner, etc.

Captura de pantalla de atributos de usuarios adicionales

Nota

Esta característica no tiene ninguna correlación con Microsoft Entra ID, sino que es otro origen de atributos.

Directiva de acceso condicional

Las directivas de acceso condicional se aplican después de la autenticación previa de Microsoft Entra para controlar el acceso en función de las señales de dispositivo, aplicación, ubicación y riesgo.

La vista Directivas disponibles , de forma predeterminada, enumerará todas las directivas de acceso condicional que no incluyan acciones basadas en el usuario.

La vista Directivas seleccionadas muestra de forma predeterminada todas las directivas dirigidas a todos los recursos. Estas directivas no se pueden deseleccionar ni mover a la lista de Directivas disponibles ya que se aplican a nivel de arrendatario.

Para seleccionar una directiva que se aplicará a la aplicación que se va a publicar:

  1. Seleccione la directiva deseada en la lista Available Policies (Directivas disponibles).
  2. Seleccione la flecha derecha y muévala a la lista Selected Policies (Directivas seleccionadas).

Las directivas seleccionadas deben tener activada la opción Incluir o Excluir. Si ambas opciones están activadas, no se aplica la directiva seleccionada.

Captura de pantalla de las directivas de acceso condicional

Nota

La lista de directivas se enumera solo una vez cuando se cambia por primera vez a esta pestaña. Hay un botón de actualización disponible para forzar manualmente al asistente a consultar el inquilino, pero este botón solo se muestra cuando se ha implementado la aplicación.

Propiedades del servidor virtual

Un servidor virtual es un objeto del plano de datos de BIG-IP representado por una dirección IP virtual que escucha las solicitudes de los clientes a la aplicación. Cualquier tráfico recibido se procesa y evalúa con el perfil de APM asociado al servidor virtual, antes de dirigirse según los resultados y la configuración de la directiva.

  1. Escriba la dirección de destino. Es cualquier dirección IPv4/IPv6 disponible que BIG-IP pueda usar para recibir tráfico del cliente. También debe existir un registro correspondiente en DNS que permita a los clientes resolver la dirección URL externa de la aplicación publicada de BIG-IP en esta dirección IP, en lugar de la propia aplicación. El uso del DNS de localhost de un equipo de prueba se puede usar para las pruebas.

  2. En Puerto de servicio, escriba 443 para HTTPS.

  3. Active Enable Redirect Port (Habilitar puerto de redirección) y, luego, escriba el valor de Redirect Port (Puerto de redirección). Redirige el tráfico de cliente HTTP entrante a HTTPS.

  4. El perfil SSL de cliente habilita el servidor virtual para HTTPS, de manera que las conexiones de cliente se cifren a través de TLS. Seleccione el perfil SSL de cliente que creó como parte de los requisitos previos o deje el valor predeterminado durante las pruebas.

Captura de pantalla del servidor virtual

Propiedades del grupo

En la pestaña Grupo de aplicaciones se detallan los servicios detrás de BIG-IP que se representan como un grupo que contiene uno o varios servidores de aplicaciones.

  1. Elija en Seleccionar un grupo. Cree un grupo nuevo o seleccione uno existente.

  2. En Método de equilibrio de carga, elija Round Robin.

  3. Para los servidores del grupo, seleccione un nodo existente o especifique una dirección IP y un puerto para el nodo de back-end que hospeda la aplicación basada en encabezados.

    Captura de pantalla del grupo de aplicaciones

Inicio de sesión único & Encabezados HTTP

La habilitación del inicio de sesión único permite a los usuarios acceder a los servicios publicados de BIG-IP sin tener que especificar credenciales. El asistente de Easy Button admite encabezados de autorización de Kerberos, portador de OAuth y HTTP para el inicio de sesión único. Necesita la cuenta de delegación de Kerberos creada anteriormente para completar este paso.

Habilite Kerberos y Show Advanced Setting (Mostrar opciones avanzadas) para indicar lo siguiente:

  • Username Source: (Origen del nombre de usuario): especifica el nombre de usuario preferido para el almacenamiento en caché para el inicio de sesión único. Puede proporcionar cualquier variable de sesión como origen del identificador de usuario, pero session.saml.last.identity tiende a funcionar mejor, ya que contiene la notificación de Microsoft Entra que contiene el identificador de usuario que ha iniciado sesión.

  • User Realm Source: (Origen del dominio del usuario): requerido si el dominio del usuario es diferente del dominio kerberos de BIG-IP. En ese caso, la variable de sesión APM contendrá el dominio de usuario que ha iniciado sesión. Por ejemplo, session.saml.last.attr.name.domain.

    Captura de pantalla de los encabezados de inicio de sesión único y HTTP

  • KDC: IP de un controlador de dominio (o FQDN si el DNS está configurado y es eficiente)

  • UPN Support: (Compatibilidad con UPN): habilítelo para que APM use el UPN para el vale de Kerberos.

  • SPN Pattern: (Patrón SPN): use HTTP/%h para informar a APM de que use el encabezado de host de la solicitud de cliente y compile el SPN para el que solicita un token de Kerberos.

  • Send Authorization: (Enviar autorización): deshabilítelo para las aplicaciones que prefieren negociar la autenticación, en lugar de recibir el token de Kerberos en la primera solicitud. Por ejemplo, Tomcat.

    Captura de pantalla de la configuración del método de SSO

Administración de sesiones

La configuración de administración de sesiones de BIG-IP se usa para definir las condiciones en las que se terminan o se permite que continúen las sesiones de usuario, los límites de usuarios y direcciones IP, y la correspondiente información del usuario. Consulte la documentación de F5 para más información sobre esta configuración.

Sin embargo, lo que no se trata ahí es la funcionalidad de cierre de sesión único (SLO), que garantiza que todas las sesiones entre el IdP, BIG-IP y el agente de usuario finalicen después de que los usuarios hayan cerrado la sesión. Cuando Easy Button implementa una aplicación SAML en el inquilino de Microsoft Entra, también rellena la dirección URL de cierre de sesión con el punto de conexión de cierre de sesión único de APM. De este modo, los cierres de sesión iniciados por IdP desde el portal Aplicaciones de Microsoft también finalizan la sesión entre BIG-IP y un cliente.

Durante la implementación, los metadatos de federación de SAML de la aplicación publicada se importan desde el inquilino, lo que proporciona a APM el punto de conexión de cierre de sesión de SAML para Microsoft Entra ID. Esto ayuda a que los cierres de sesión iniciados por SP finalicen la sesión entre un cliente y Microsoft Entra ID.

Resumen

Este último paso proporciona un desglose de las configuraciones. Seleccione Implementar para confirmar toda la configuración y comprobar que la aplicación existe en la lista de inquilinos de las aplicaciones empresariales.

Contenido relacionado

Desde un explorador, conéctese a la dirección URL externa de la aplicación o seleccione el icono de la aplicación en el portal MyApps de Microsoft. Después de autenticarse en Microsoft Entra ID, se le redirigirá al servidor virtual de BIG-IP para la aplicación y se iniciará sesión de forma automática mediante SSO.

Para aumentar la seguridad, las organizaciones que usan este patrón también podrían considerar la posibilidad de bloquear todo el acceso directo a la aplicación, forzando así una ruta de acceso estricta a través de BIG-IP.

Implementación avanzada

Puede haber casos en los que las plantillas de configuración guiada carecen de flexibilidad para lograr requisitos más específicos. Para esos escenarios, consulte Configuración avanzada del inicio de sesión único basado en kerberos.

Como alternativa, BIG-IP le ofrece la opción de deshabilitar el modo de administración estricta de la configuración guiada. Esto le permite ajustar manualmente las configuraciones, aunque la mayor parte de estas se automatizan mediante las plantillas basadas en asistentes.

Puede ir a Acceso > Guided Configuration (Configuración guiada) y seleccionar el icono de candado pequeño situado en el extremo derecho de la fila de configuración de las aplicaciones.

Captura de pantalla para configurar el botón Fácil: Administración estricta

En ese momento, los cambios a través de la interfaz de usuario del asistente ya no son posibles, pero todos los objetos BIG-IP asociados a la instancia publicada de la aplicación se desbloquean para la administración directa.

Nota

Volver a habilitar el modo estricto e implementar una configuración sobrescribe cualquier configuración realizada fuera de la interfaz de usuario de configuración guiada, por lo que se recomienda el método de configuración avanzado para los servicios de producción.

Solución de problemas

Puede que no tenga acceso a la aplicación protegida con acceso híbrido seguro debido a diversos factores, como una configuración incorrecta.

  • Kerberos tiene en cuenta la hora, por lo que requiere que los servidores y clientes se establezcan en la hora correcta y, siempre que sea posible, se sincronicen con un origen de hora confiable.

  • Asegúrese de que el nombre de host del controlador de dominio y la aplicación web se pueden resolver en DNS.

  • Asegúrese de que no haya SPN duplicados en su entorno de AD ejecutando la consulta siguiente en la línea de comandos en un equipo de dominio: setspn -q HTTP/my_target_SPN.

Para validar que una aplicación de IIS está configurada correctamente para KCD, consulte nuestra guía de Application Proxy. El artículo de F5 sobre cómo controlar APM el SSO de Kerberos es también un recurso valioso.

Análisis de registro

El registro de BIG-IP puede ayudar a aislar rápidamente todo tipo de problemas con la conectividad, el inicio de sesión único, infracciones de directivas o asignaciones de variables mal configuradas. Para empezar a solucionar problemas, aumente el nivel de detalle del registro.

  1. Vaya a Directiva de acceso > Información general > Registros de eventos > Configuración

  2. Seleccione la fila de la aplicación publicada y, luego, Edit> Access System Logs (Editar > Registros del sistema de acceso).

  3. Seleccione Debug (Depurar) en la lista SSO y, a continuación, seleccione OK (Aceptar).

Reproduzca el problema y, a continuación, inspeccione los registros, pero recuerde volver a cambiarlo cuando haya terminado, ya que el modo detallado genera una gran cantidad de datos.

Si ve un error con la marca BIG-IP inmediatamente después de una autenticación previa correcta de Microsoft Entra, es posible que el problema esté relacionado con el inicio de sesión único de Microsoft Entra ID en BIG-IP.

  1. Vaya a Access > Overview > Access reports (Acceso > Información general > Informes de acceso).

  2. Ejecute el informe de la última hora para ver si los registros proporcionan alguna pista. El vínculo Ver variables de sesión también ayuda a comprender si el APM está recibiendo las reclamaciones esperadas de Microsoft Entra ID.

Si no ve una página de error de BIG-IP, el problema probablemente esté más relacionado con la solicitud de back-end o con el inicio de sesión único desde BIG-IP a la aplicación.

  1. Vaya a Access Policy > Overview > Active Sessions (Directiva de acceso > Información general > Sesiones activas).

  2. Seleccione el vínculo de la sesión activa. El vínculo Ver variables de esta ubicación también puede ayudar a determinar la causa principal de los problemas de KCD, especialmente si el BIG-IP APM no puede obtener los identificadores de dominio y usuario adecuados de las variables de sesión.

Vea los ejemplos de asignación de variables de BIG-IP APM y referencia de variables de sesión de F5 BIG-IP para obtener más información.