Configuración del administrador de directivas de acceso de F5 BIG-IP para SSO basado en formularios

  • Artículo

Aprenda a configurar el administrador de directivas de acceso (APM) de BIG-IP de F5 y Microsoft Entra ID para obtener acceso híbrido seguro (SHA) a aplicaciones basadas en formularios. Los servicios publicados de BIG-IP para el inicio de sesión único (SSO) de Microsoft Entra tienen muchas ventajas:

Más información:

Descripción del escenario

Para este caso, existe una aplicación heredada interna que se ha configurado para la autenticación basada en formularios (FBA). Lo ideal es que Microsoft Entra ID administre el acceso a las aplicaciones, ya que la versión heredada carece de protocolos modernos de autenticación. La modernización lleva un tiempo y esfuerzo, y el riesgo de que haya tiempo de inactividad. En su lugar, implemente un dispositivo BIG-IP entre la aplicación pública de Internet y la interna. Esta configuración valida el acceso de entrada a la aplicación.

Con un BIG-IP delante de la aplicación puede superponer el servicio con la autenticación previa y el inicio de sesión único basado en encabezados de Microsoft Entra. La superposición mejora la posición de seguridad de la aplicación.

Arquitectura del escenario

La solución SHA tiene los componentes siguientes:

  • Aplicación: servicio publicado de BIG-IP protegido por SHA.
    • La aplicación valida las credenciales de usuario comparándolas con las de Active Directory
    • Use cualquier directorio, incluidos Active Directory Lightweight Directory Services, código abierto, etc.
  • Microsoft Entra ID: el proveedor de identidades (IdP) de Lenguaje de marcado de aserción de seguridad (SAML) que verifica las credenciales de usuario, el Acceso condicional y el SSO basado en BIG-IP.
    • Con el inicio de sesión único, Microsoft Entra ID proporciona atributos a BIG-IP, incluidos los identificadores de usuario.
  • BIG-IP : proxy inverso y proveedor de servicios SAML (SP) en la aplicación.
    • Big-IP delega la autenticación en el IdP de SAML y, a continuación, realiza el inicio de sesión único basado en encabezados en la aplicación back-end.
    • El SSO usa las credenciales de usuario almacenadas en caché comparándolas con las de las aplicaciones de autenticación basadas en formularios

SHA admite el SP, así como el flujo iniciado por IdP. En el diagrama siguiente se muestra el flujo iniciado por SP.

Diagram of the service-provider initiated flow.

  1. El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
  2. La directiva de acceso de APM de BIG-IP redirige al usuario a Microsoft Entra ID (IdP de SAML).
  3. Microsoft Entra preautentica al usuario y aplica las directivas de acceso condicional exigidas.
  4. Se redirige al usuario a BIG-IP (SP de SAML) y el inicio de sesión único se realiza mediante el token SAML emitido.
  5. BIG-IP solicita al usuario una contraseña de aplicación y la almacena en la memoria caché.
  6. BIG-IP envía una solicitud a la aplicación y recibe un formulario de inicio de sesión.
  7. El scripting del APM rellena el nombre de usuario y la contraseña y, luego, envía el formulario.
  8. El servidor web sirve para cargar aplicaciones y enviarlas al cliente.

Requisitos previos

Necesita los siguientes componentes:

Configuración de BIG-IP

La configuración de este artículo es una implementación SHA flexible: creación manual de objetos de configuración BIG-IP. Use este enfoque para escenarios que las plantillas de configuración guiada no cubren.

Nota

Reemplace las cadenas o valores de ejemplo por los de su entorno.

Registro de F5 BIG-IP en Microsoft Entra ID

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

El registro de BIG-IP es el primer paso para el inicio de sesión único entre entidades. La aplicación que crea desde la plantilla de galería de BIG-IP de F5 es la parte de confianza que representa el SP de SAML para la aplicación publicada de BIG-IP.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
  3. En el panel Todas las aplicaciones, seleccione Nueva aplicación.
  4. Se abre el panel Examinar la galería de Microsoft Entra.
  5. Aparecerán iconos para plataformas en la nube, aplicaciones locales y aplicaciones destacadas. Los iconos de aplicaciones destacadas indican el soporte del SSO federado y del aprovisionamiento.
  6. En la galería de Azure, busque F5.
  7. Seleccione Integración de Azure AD y del APM BIG-IP de F5.
  8. Ingrese un nombre para que la nueva aplicación lo use para reconocer la instancia de la aplicación.
  9. Seleccione Agregar.
  10. Seleccione Crear.

Habilitación del SSO en F5 BIG-IP

Configure el registro de BIG-IP para satisfacer los tokens SAML que el APM BIG-IP solicita.

  1. En el menú de la izquierda, en la sección Administrar, seleccione Inicio de sesión único.
  2. Aparece el panel Inicio de sesión único.
  3. En la página Seleccione un método de inicio de sesión único, elija SAML.
  4. Seleccione No, lo guardaré más tarde.
  5. En el panel Configurar el inicio de sesión único con SAML, seleccione el icono del lápiz.
  6. En Identificador, reemplace el valor por la dirección URL de la aplicación publicada de BIG-IP.
  7. Para reemplazar la dirección URL, reemplace el valor, pero conserve la ruta del punto de conexión del SP de SAML de la aplicación. Con esta configuración, el flujo SAML funciona en modo iniciado por el IdP. Microsoft Entra ID emite una aserción SAML y, luego, redirige al usuario al punto de conexión de BIG-IP.
  8. En el modo iniciado por SP, en el campo de la URL de inicio de sesión, introduzca la dirección URL de la aplicación.
  9. En el campo de la URI de cierre de sesión, introduzca el punto de conexión de cierre de sesión único (SLO) del APM de BIG-IP precedido por el encabezado de host de servicios. Después, las sesiones de usuario de BIG-IP APM finalizan cuando cierran la sesión de Microsoft Entra ID.

Screenshot of URLs in the SAML configuration.

Nota:

A partir del sistema operativo de administración de tráfico (TMOS) v16 en adelante, el punto de conexión de SLO de SAML es /saml/sp/profile/redirect/slo.

  1. Seleccione Guardar.
  2. Cierre el panel de configuración de SAML.
  3. Omita el símbolo del sistema de prueba de SSO.
  4. Tenga en cuenta las propiedades de la sección Atributos y notificaciones del usuario. Microsoft Entra ID emite las propiedades para la autenticación de BIG-IP APM y el SSO para la aplicación back-end.
  5. En el panel Certificado de firma de SAML, seleccione Descargar.
  6. El archivo XML de metadatos de federación se guarda en el equipo.

Screenshot a Download option under SAML Signing Certificate.

Nota:

Los certificados de firma de SAML de Microsoft Entra tienen una duración de tres años.

Más información: Tutorial: Administración de certificados para el inicio de sesión único federado

Asignación de usuarios y grupos

Microsoft Entra ID emite tokens para los usuarios a los que se concede acceso a una aplicación. Para acceder a usuarios y grupos específicos a la aplicación:

  1. En el panel F5 BIG-IP application's overview (Información general de la aplicación F5 BIG-IP), seleccione Asignar usuarios y grupos.
  2. Seleccione + Agregar usuario o grupo.
  3. Seleccione los usuarios y grupos que quiera.
  4. Seleccione Asignar.

Configuración avanzada de BIG-IP

Siga las instrucciones siguientes para configurar BIG-IP.

Configuración de los parámetros del proveedor de servicios de SAML

La configuración del SP de SAML define las propiedades SP de SAML que el APM usará para superponer la aplicación heredada con la autenticación previa de SAML. Para realizarla:

  1. Seleccione Acceso>Federación>Proveedor de servicio de SAML.

  2. Seleccione Servicios de SP local.

  3. Seleccione Crear.

    Screenshot of the Create option on the SAML Service Provider tab.

  4. En el panel Crear nuevo servicio DE SP de SAML, en Nombre e Id. de entidad, escriba el nombre definido y el identificador de entidad.

    Screenshot of the Name and Entity ID fields under Create New SAML SP Service.

    Nota:

    Los valores de configuración de nombre de SP son necesarios si el identificador de entidad no coincide con la parte del nombre de host de la dirección URL publicada. O bien, los valores son necesarios si el identificador de entidad no está en formato de dirección URL normal basada en nombre de host.

  5. Si el identificador de entidad es urn:myvacation:contosoonline, escriba el esquema externo de la aplicación y el nombre de host.

Configuración de un conector de IdP externo

Un conector IdP SAML define la configuración para que el BIG-IP APM confíe en Microsoft Entra ID como su IdP SAML. Esta configuración conecta el proveedor de servicios de SAML a un proveedor de identidades de SAML, el cual establece la confianza de federación entre el APM y Microsoft Entra ID.

Para configurar el conector:

  1. Seleccione el nuevo objeto del proveedor de servicios SAML.

  2. Seleccione Enlazar/Desenlazar conectores de IdP.

    Screenshot of the Bind Unbind IdP Connectors option on the SAML Service Provider tab.

  3. En la lista Crear conector de IdP, seleccione A partir de los metadatos.

    Screenshot of the From Metadata option in the Create New IdP Connector dropdown list.

  4. En el panel Crear un conector nuevo de IdP de SAML, busque el archivo XML de metadatos de federación que descargó.

  5. Proporcione un nombre de proveedor de identidades que represente el IdP de SAML externo. Por ejemplo, MyVacation_AzureAD.

    Screenshot of Select File and Identity Provider name fields on Create New SAML IdP Connector.

  6. Seleccione Agregar nueva fila.

  7. Seleccione el nuevo conector de IdP de SAML.

  8. Seleccione Actualizar.

    Screenshot of the Update option.

  9. Seleccione Aceptar.

    Screenshot of the Edit SAML IdPs that use this SP dialog.

Configuración del SSO basado en formularios

Cree un objeto SSO de APM para el SSO de FBA en las aplicaciones de back-end.

Realice el inicio de sesión único de FBA en modo iniciado por el cliente o en modo iniciado por BIG-IP. Ambos métodos emulan el inicio de sesión de usuario mediante la inserción de credenciales en las etiquetas de nombre de usuario y contraseña. A continuación, el formulario se envía automáticamente. Los usuarios proporcionan contraseña para acceder a una aplicación FBA. La contraseña se copia en caché y se vuelve a usar en otras aplicaciones de FBA.

  1. Seleccione Acceso>Inicio de sesión único.

  2. Seleccione Basado en formularios.

  3. Seleccione Crear.

  4. En Nombre, escriba un nombre descriptivo. Por ejemplo, Contoso\FBA\sso.

  5. En Usar plantilla de SSO, seleccione Ninguna.

  6. En Origen del nombre de usuario, escriba el origen del nombre de usuario para rellenar previamente el formulario de recopilación de contraseñas. El valor predeterminado session.sso.token.last.username funciona bien, ya que tiene el UPN de Microsoft Entra que ha iniciado sesión.

  7. En Origen de contraseña, mantenga el valor predeterminado session.sso.token.last.password, la variable de APM BIG-IP usa para almacenar en caché las contraseñas de usuario.

    Screenshot of Name and Use SSO Template options under New SSO Configuration.

  8. En Iniciar URI, escriba el URI de inicio de sesión de la aplicación FBA. Si el URI de solicitud coincide con el valor de este identificador URI, la autenticación basada en formularios de APM ejecuta el inicio de sesión único.

  9. En Acción de formulario, deje este parámetro en blanco. Utilice la dirección URL de la solicitud original en el inicio de sesión único.

  10. En Parámetro de formulario para nombre de usuario, escriba el elemento de campo nombre de usuario del formulario de inicio de sesión. Use las herramientas de desarrollo del explorador para determinar el elemento.

  11. En Parámetro de formulario para Contraseña, escriba el elemento de campo contraseña del formulario de inicio de sesión. Use las herramientas de desarrollo del explorador para determinar el elemento.

Screenshot of Start URI, Form Parameter For User Name, and Form Parameter For Password fields.

Screenshot of the sign in page with callouts for username field and password field.

Para más información, vaya a techdocs.f5.com al Capítulo del manual: Métodos de inicio de sesión único.

Configuración de un perfil de acceso

Un perfil de acceso enlaza los elementos de APM que administran el acceso a los servidores virtuales de BIG-IP, incluidas las directivas de acceso, la configuración de inicio de sesión único y la configuración de la interfaz de usuario.

  1. Seleccione Acceso>Perfiles/ Directivas.

  2. Seleccione Perfiles de acceso (directivas por sesión).

  3. Seleccione Crear.

  4. Escriba un nombre.

  5. En Tipo de perfil, seleccione Todos.

  6. En Configuración del SSO, seleccione el objeto de configuración de SSO de FBA que ha creado.

  7. En Idioma aceptado, seleccione al menos un idioma.

    Screenshot of options and selections on Access Profiles Per Session Policies, New Profile.

  8. En la columna Directiva por sesión, en el perfil, seleccione Editar.

  9. Se inicia el editor visual de directivas de APM.

    Screenshot of the Edit option in the Per-Session Policy column.

  10. En reserva, seleccione el símbolo +.

Screenshot of the APM Visual Policy Editor plus-sign option under fallback.

  1. En el menú emergente, seleccione Autenticación.
  2. Seleccione Autenticación de SAML.
  3. Seleccione Add Item.

Screenshot of the SAML Auth option.

  1. En SP de autenticación de SAML, cambie el nombre a autenticación Microsoft Entra.
  2. En la lista desplegable Servidor AAA, escriba el objeto del proveedor de servicios SAML que creó.

Screenshot showing the Microsoft Entra authentication server settings.

  1. En la rama Correcto, seleccione el signo +.
  2. En el menú emergente, seleccione Autenticación.
  3. Seleccione Página de inicio de sesión.
  4. Seleccione Add Item.

Screenshot of the Logon Page option on the Logon tab.

  1. En nombre de usuario, de la columna Solo lectura, seleccione .

Screenshot of the Yes option in the username row on the Properties tab.

  1. Para la reserva de la página de inicio de sesión, seleccione el signo +. Esta acción agrega un objeto de asignación de credenciales de SSO.

  2. En el elemento emergente, seleccione la pestaña Asignación.

  3. Seleccione Asignación de credenciales de SSO.

  4. Seleccione Add Item.

    Screenshot of the SSO Credential Mapping option on the Assignment tab.

  5. En el panel Asignación de variables: Asignación de credenciales de SSO, mantenga los valores predeterminados.

  6. Seleccione Guardar.

    Screenshot of the Save option on the Properties tab.

  7. En el cuadro superior Denegar, seleccione el vínculo.

  8. La rama Correcto cambia a Permitir.

  9. Seleccione Guardar.

(Opcional) Configuración de las asignaciones de atributos

Puede agregar una configuración de LogonID_Mapping. A continuación, la lista de sesiones activas de BIG-IP tiene el UPN del usuario que ha iniciado sesión, no un número de sesión. Use esta información para analizar los registros o solucionar problemas.

  1. En la rama Autenticación correcta de SAML, seleccione el símbolo +.

  2. En el elemento emergente, seleccione Asignación.

  3. Seleccione Asignar variable.

  4. Seleccione Add Item.

    Screenshot of the Variable Assign option on the Assignment tab.

  5. En la pestaña Propiedades, escriba un nombre. Por ejemplo, LogonID_Mapping.

  6. En Asignar variable, seleccione Agregar nueva entrada.

  7. Seleccione cambiar.

    Screenshot of the Add new entry option and the change option.

  8. En Variable personalizada, use session.logon.last.username.

  9. En Variable de sesión, usuario session.saml.last.identity.

  10. Seleccione Finished (Finalizado).

  11. Seleccione Guardar.

  12. Seleccione Aplicar directiva de acceso.

  13. Cierre el editor de directivas visuales.

Screenshot of of the access policy on Apply Access Policy.

Configuración de un grupo back-end

Para permitir que BIG-IP sepa a dónde reenviar el tráfico de cliente, cree un objeto de nodo de BIG-IP que represente el servidor back-end que hospeda la aplicación. A continuación, coloque ese nodo en un grupo de servidores de BIG-IP.

  1. Seleccione Tráfico local>Grupos.

  2. Seleccione Lista de grupos.

  3. Seleccione Crear.

  4. Escriba un Nombre para un objeto de grupo de servidores. Por ejemplo, MyApps_VMs.

    Screenshot of the Name field under New Pool.

  5. En Nombre del nodo, escriba un nombre para mostrar del servidor. Este servidor hospeda la aplicación web back-end.

  6. En Dirección, escriba la dirección IP del host del servidor de aplicaciones.

  7. En Puerto de servicio, escriba el puerto HTTP/S en el que escucha la aplicación.

    Screenshot of the Node Name, Address, Service Port fields and the Add option.

    Nota:

    Las supervisiones de estado requieren una configuración adicional que este artículo no cubre. Vaya a support.f5.com para K13397: Introducción al formato de solicitud de supervisión de estado HTTP para el sistema DNS de BIG-IP.

Configuración de un servidor virtual

Un servidor virtual es un objeto del plano de datos de BIG-IP representado por una dirección IP virtual. El servidor escucha las solicitudes de cliente a la aplicación. Cualquier tráfico recibido se procesa y evalúa con el perfil de acceso del APM asociado al servidor virtual. El tráfico se dirige según la directiva.

Para configurar un servidor virtual:

  1. Seleccione Tráfico local>Servidores virtuales.

  2. Seleccione Lista de servidores virtuales.

  3. Seleccione Crear.

  4. Escriba un nombre.

  5. En Dirección/máscara de destino, seleccione Host y escriba una dirección IPv4 o IPv6. La dirección recibe el tráfico de clientes para la aplicación back-end publicada.

  6. En Puerto del servicio, seleccione Puerto, escriba 443 y seleccione HTTPS.

    Screenshot of the Name, Destination Address, and Service Port fields and options.

  7. En Perfil HTTP (cliente), seleccione http.

  8. En Perfil SSL (cliente),, seleccione el perfil que ha creado o deje el valor predeterminado para las pruebas. Esta opción permite que un servidor virtual para la seguridad de la capa de transporte (TLS) publique servicios a través de HTTPS.

    Screenshot of HTTP Profile Client and SSL Profile Client options.

  9. En Traducción de direcciones de origen, seleccione Asignación automática.

    Screenshot of the Auto Map selection for Source Address Translation.

  10. En Directiva de acceso, en el cuadro Perfil de acceso, escriba el nombre que creó anteriormente. Esta acción enlaza el perfil de autenticación previa de SAML de Microsoft Entra ID y la directiva de inicio de sesión único FBA al servidor virtual.

Screenshot of the Access Profile entry under Access Policy.

  1. En Recursos, en Grupo predeterminado, seleccione los objetos de grupo de back-end que ha creado.
  2. Seleccione Finished (Finalizado).

Screenshot of the Default Pool option under Resources.

Configuración de los parámetros de la administración de sesiones

La configuración de administración de sesiones big-IP define condiciones para la finalización y continuación de sesiones. Cree una directiva en esta área.

  1. Vaya a Directivas de acceso.
  2. Seleccione Perfiles de acceso.
  3. Seleccione Perfil de acceso.
  4. En la lista, seleccione su aplicación.

Si definió un valor de URI de cierre de sesión único en Microsoft Entra ID, un cierre de sesión iniciado por el IdP desde MyApps finaliza la sesión del cliente y del BIG-IP APM. El archivo XML de metadatos importado de la federación de la aplicación proporciona a APM el punto de conexión de cierre de sesión SAML de Microsoft Entra para el cierre de sesión iniciado por SP. Asegúrese de que APM responde correctamente cuando un usuario cierra la sesión.

Si no hay ningún portal web de BIG-IP, los usuarios no pueden indicar al APM que cierran la sesión. Si el usuario cierra la sesión de la aplicación, BIG-IP lo ignora. La sesión de aplicación se puede restablecer a través del inicio de sesión único. Tenga en cuenta el cierre de sesión iniciado por SP para garantizar que las sesiones finalicen de forma segura.

Puede agregar una función SLO al botón de cierre de sesión de la aplicación. Esta función redirige al cliente al punto de conexión de cierre de sesión SAML de Microsoft Entra. Para buscar el punto de conexión de cierre de sesión de SAML, vaya a Registros de la aplicación> Puntos de conexión.

Si no puede cambiar la aplicación, use BIG-IP para escuchar la llamada de cierre de sesión de la aplicación y desencadenar el SLO.

Más información:

Aplicación publicada

La aplicación se publica y es accesible con SHA, con la dirección URL o los portales de Microsoft de la aplicación.

La aplicación aparece como recurso de destino en el Acceso condicional. Más información: cómo crear una directiva de acceso condicional.

Para aumentar la seguridad, bloquee el acceso directo a la aplicación, forzando una ruta a través de BIG-IP.

Prueba

  1. Con un explorador, conéctese a la dirección URL externa de la aplicación, o bien, en Aplicaciones, seleccione el icono de aplicación.

  2. Autentíquese en Microsoft Entra ID.

  3. Se le redirigirá al punto de conexión BIG-IP de la aplicación.

  4. Aparece el símbolo del sistema de contraseña.

  5. APM rellena el nombre de usuario con el UPN de Microsoft Entra ID. El nombre de usuario es de solo lectura para la coherencia de la sesión. Oculte este campo, si es necesario.

    Screenshot of the sign in page.

  6. Se ha enviado la información.

  7. Ha iniciado sesión en la aplicación.

    Screenshot of Welcome page.

Solución de problemas

Al solucionar problemas, tenga en cuenta la información siguiente

  • BIG-IP realiza el inicio de sesión único de FBA a medida que analiza el formulario de inicio de sesión en el URI

    • BIG-IP busca las etiquetas de elemento de nombre de usuario y contraseña de la configuración

  • Asegúrese de que las etiquetas de elemento son coherentes o se produce un error en el inicio de sesión único

  • Los formularios complejos generados dinámicamente pueden requerir el análisis de la herramienta de desarrollo para comprender el formulario de inicio de sesión

  • Iniciado por el cliente es mejor para las páginas de inicio de sesión con varios formularios

    • Puede especificar el nombre del formulario y personalizar la lógica del controlador de formularios de JavaScript

  • Ambos métodos de inicio de sesión único de FBA optimizan la experiencia del usuario y la seguridad ocultando todas las interacciones del formulario:

    • Puede validar si se insertan las credenciales
    • En el modo iniciado por el cliente, deshabilite la suscripción automática del formulario en el perfil de inicio de sesión único
    • Usar herramientas de desarrollo para deshabilitar las dos propiedades de estilo que impiden que aparezca la página de inicio de sesión

    Screenshot of the Properties page.

Aumentar el nivel de detalle del registro

Los registros de BIG-IP contienen información que aíslan problemas de autenticación y SSO. Aumentar el nivel de detalle del registro:

  1. Vaya aDirectiva de acceso>Información general.
  2. Seleccione Registro de eventos.
  3. Haga clic en Configuración.
  4. Seleccione la fila de la aplicación publicada.
  5. Seleccione Editar.
  6. Seleccione Acceder a los registros del sistema.
  7. En la lista de inicio de sesión único, seleccione Depurar.
  8. Selecciona Aceptar.
  9. Reproduzca el problema.
  10. Revise los registros.

Revierta la configuración de lo contrario, hay datos excesivos.

Mensaje de error de BIG-IP

Si aparece un error de BIG-IP después de la preautenticación de Microsoft Entra, el problema podría estar relacionado con el inicio de sesión único de Microsoft Entra ID y BIG-IP.

  1. Vaya a Acceso>Información general.
  2. Seleccione Informes de acceso.
  3. Ejecute el informe durante la última hora.
  4. Revise los registros para encontrar pistas.

Use el vínculo Ver variables de la sesión para determinar que APM recibe las notificaciones de Microsoft Entra esperadas.

No hay ningún mensaje de error de BIG-IP

Si no aparece ningún mensaje de error de BIG-IP, el problema podría estar relacionado con la solicitud de back-end o BIG-IP para el inicio de sesión único de la aplicación.

  1. seleccione Directiva de acceso>Información general.
  2. Seleccionar Sesiones activas.
  3. Seleccione el vínculo de sesión activa.

Usar el vínculo Mostrar variables de esta ubicación también ayuda a determinar la causa principal, especialmente si APM no puede obtener el identificador de usuario y la contraseña correctos.

Para más información, vaya a techdocs.f5.com y consulte Capítulo del manual: Variables de sesión.

Recursos