Configuración del administrador de directivas de acceso de F5 BIG-IP para SSO basado en formularios
Aprenda a configurar el administrador de directivas de acceso (APM) de BIG-IP de F5 y Microsoft Entra ID para obtener acceso híbrido seguro (SHA) a aplicaciones basadas en formularios. Los servicios publicados de BIG-IP para el inicio de sesión único (SSO) de Microsoft Entra tienen muchas ventajas:
- Mejora de la gobernanza de confianza cero a través de la autenticación previa y el acceso condicional de Microsoft Entra
- Consulte ¿Qué es el acceso condicional?
- Consulte Seguridad de Confianza cero
- Inicio de sesión único completo entre Microsoft Entra ID y los servicios publicados de BIG-IP
- Identidades administradas y acceso desde un plano de control
- Consulte el Centro de administración de Microsoft Entra.
Más información:
Descripción del escenario
Para este caso, existe una aplicación heredada interna que se ha configurado para la autenticación basada en formularios (FBA). Lo ideal es que Microsoft Entra ID administre el acceso a las aplicaciones, ya que la versión heredada carece de protocolos modernos de autenticación. La modernización lleva un tiempo y esfuerzo, y el riesgo de que haya tiempo de inactividad. En su lugar, implemente un dispositivo BIG-IP entre la aplicación pública de Internet y la interna. Esta configuración valida el acceso de entrada a la aplicación.
Con un BIG-IP delante de la aplicación puede superponer el servicio con la autenticación previa y el inicio de sesión único basado en encabezados de Microsoft Entra. La superposición mejora la posición de seguridad de la aplicación.
Arquitectura del escenario
La solución SHA tiene los componentes siguientes:
- Aplicación: servicio publicado de BIG-IP protegido por SHA.
- La aplicación valida las credenciales de usuario comparándolas con las de Active Directory
- Use cualquier directorio, incluidos Active Directory Lightweight Directory Services, código abierto, etc.
- Microsoft Entra ID: el proveedor de identidades (IdP) de Lenguaje de marcado de aserción de seguridad (SAML) que verifica las credenciales de usuario, el Acceso condicional y el SSO basado en BIG-IP.
- Con el inicio de sesión único, Microsoft Entra ID proporciona atributos a BIG-IP, incluidos los identificadores de usuario.
- BIG-IP : proxy inverso y proveedor de servicios SAML (SP) en la aplicación.
- Big-IP delega la autenticación en el IdP de SAML y, a continuación, realiza el inicio de sesión único basado en encabezados en la aplicación back-end.
- El SSO usa las credenciales de usuario almacenadas en caché comparándolas con las de las aplicaciones de autenticación basadas en formularios
SHA admite el SP, así como el flujo iniciado por IdP. En el diagrama siguiente se muestra el flujo iniciado por SP.
- El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
- La directiva de acceso de APM de BIG-IP redirige al usuario a Microsoft Entra ID (IdP de SAML).
- Microsoft Entra preautentica al usuario y aplica las directivas de acceso condicional exigidas.
- Se redirige al usuario a BIG-IP (SP de SAML) y el inicio de sesión único se realiza mediante el token SAML emitido.
- BIG-IP solicita al usuario una contraseña de aplicación y la almacena en la memoria caché.
- BIG-IP envía una solicitud a la aplicación y recibe un formulario de inicio de sesión.
- El scripting del APM rellena el nombre de usuario y la contraseña y, luego, envía el formulario.
- El servidor web sirve para cargar aplicaciones y enviarlas al cliente.
Requisitos previos
Necesita los siguientes componentes:
- Una suscripción a Azure
- Si no tiene una, obtenga una cuenta gratuita de Azure.
- Uno de los roles siguientes: Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones
- Una BIG-IP o la implementación de una instancia de BIG-IP Virtual Edition (VE) en Azure
- Cualquiera de las siguientes SKU de licencias de F5 BIG-IP:
- F5 BIG-IP® Best bundle
- Licencia independiente de F5 BIG-IP Access Policy Manager™ (APM).
- Licencia del complemento F5 BIG-IP Access Policy Manager™ (APM) en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM)
- Evaluación gratuita completa de 90 días de BIG-IP. Consulte Evaluaciones gratuitas
- Identidades de usuario sincronizadas desde un directorio local en Microsoft Entra ID
- Un certificado SSL para publicar servicios a través de HTTPS, o use certificados predeterminados durante las pruebas
- Consulte Perfil de SSL
- Una aplicación de autenticación basada en formularios, o bien, configure una aplicación FBA de IIS para las pruebas
- Consulte Autenticación basada en formularios
Configuración de BIG-IP
La configuración de este artículo es una implementación SHA flexible: creación manual de objetos de configuración BIG-IP. Use este enfoque para escenarios que las plantillas de configuración guiada no cubren.
Nota
Reemplace las cadenas o valores de ejemplo por los de su entorno.
Registro de F5 BIG-IP en Microsoft Entra ID
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
El registro de BIG-IP es el primer paso para el inicio de sesión único entre entidades. La aplicación que crea desde la plantilla de galería de BIG-IP de F5 es la parte de confianza que representa el SP de SAML para la aplicación publicada de BIG-IP.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
- En el panel Todas las aplicaciones, seleccione Nueva aplicación.
- Se abre el panel Examinar la galería de Microsoft Entra.
- Aparecerán iconos para plataformas en la nube, aplicaciones locales y aplicaciones destacadas. Los iconos de aplicaciones destacadas indican el soporte del SSO federado y del aprovisionamiento.
- En la galería de Azure, busque F5.
- Seleccione Integración de Azure AD y del APM BIG-IP de F5.
- Ingrese un nombre para que la nueva aplicación lo use para reconocer la instancia de la aplicación.
- Seleccione Agregar.
- Seleccione Crear.
Habilitación del SSO en F5 BIG-IP
Configure el registro de BIG-IP para satisfacer los tokens SAML que el APM BIG-IP solicita.
- En el menú de la izquierda, en la sección Administrar, seleccione Inicio de sesión único.
- Aparece el panel Inicio de sesión único.
- En la página Seleccione un método de inicio de sesión único, elija SAML.
- Seleccione No, lo guardaré más tarde.
- En el panel Configurar el inicio de sesión único con SAML, seleccione el icono del lápiz.
- En Identificador, reemplace el valor por la dirección URL de la aplicación publicada de BIG-IP.
- Para reemplazar la dirección URL, reemplace el valor, pero conserve la ruta del punto de conexión del SP de SAML de la aplicación. Con esta configuración, el flujo SAML funciona en modo iniciado por el IdP. Microsoft Entra ID emite una aserción SAML y, luego, redirige al usuario al punto de conexión de BIG-IP.
- En el modo iniciado por SP, en el campo de la URL de inicio de sesión, introduzca la dirección URL de la aplicación.
- En el campo de la URI de cierre de sesión, introduzca el punto de conexión de cierre de sesión único (SLO) del APM de BIG-IP precedido por el encabezado de host de servicios. Después, las sesiones de usuario de BIG-IP APM finalizan cuando cierran la sesión de Microsoft Entra ID.
Nota:
A partir del sistema operativo de administración de tráfico (TMOS) v16 en adelante, el punto de conexión de SLO de SAML es /saml/sp/profile/redirect/slo
.
- Seleccione Guardar.
- Cierre el panel de configuración de SAML.
- Omita el símbolo del sistema de prueba de SSO.
- Tenga en cuenta las propiedades de la sección Atributos y notificaciones del usuario. Microsoft Entra ID emite las propiedades para la autenticación de BIG-IP APM y el SSO para la aplicación back-end.
- En el panel Certificado de firma de SAML, seleccione Descargar.
- El archivo XML de metadatos de federación se guarda en el equipo.
Nota:
Los certificados de firma de SAML de Microsoft Entra tienen una duración de tres años.
Más información: Tutorial: Administración de certificados para el inicio de sesión único federado
Asignación de usuarios y grupos
Microsoft Entra ID emite tokens para los usuarios a los que se concede acceso a una aplicación. Para acceder a usuarios y grupos específicos a la aplicación:
- En el panel F5 BIG-IP application's overview (Información general de la aplicación F5 BIG-IP), seleccione Asignar usuarios y grupos.
- Seleccione + Agregar usuario o grupo.
- Seleccione los usuarios y grupos que quiera.
- Seleccione Asignar.
Configuración avanzada de BIG-IP
Siga las instrucciones siguientes para configurar BIG-IP.
Configuración de los parámetros del proveedor de servicios de SAML
La configuración del SP de SAML define las propiedades SP de SAML que el APM usará para superponer la aplicación heredada con la autenticación previa de SAML. Para realizarla:
Seleccione Acceso>Federación>Proveedor de servicio de SAML.
Seleccione Servicios de SP local.
Seleccione Crear.
En el panel Crear nuevo servicio DE SP de SAML, en Nombre e Id. de entidad, escriba el nombre definido y el identificador de entidad.
Nota:
Los valores de configuración de nombre de SP son necesarios si el identificador de entidad no coincide con la parte del nombre de host de la dirección URL publicada. O bien, los valores son necesarios si el identificador de entidad no está en formato de dirección URL normal basada en nombre de host.
Si el identificador de entidad es
urn:myvacation:contosoonline
, escriba el esquema externo de la aplicación y el nombre de host.
Configuración de un conector de IdP externo
Un conector IdP SAML define la configuración para que el BIG-IP APM confíe en Microsoft Entra ID como su IdP SAML. Esta configuración conecta el proveedor de servicios de SAML a un proveedor de identidades de SAML, el cual establece la confianza de federación entre el APM y Microsoft Entra ID.
Para configurar el conector:
Seleccione el nuevo objeto del proveedor de servicios SAML.
Seleccione Enlazar/Desenlazar conectores de IdP.
En la lista Crear conector de IdP, seleccione A partir de los metadatos.
En el panel Crear un conector nuevo de IdP de SAML, busque el archivo XML de metadatos de federación que descargó.
Proporcione un nombre de proveedor de identidades que represente el IdP de SAML externo. Por ejemplo, MyVacation_AzureAD.
Seleccione Agregar nueva fila.
Seleccione el nuevo conector de IdP de SAML.
Seleccione Actualizar.
Seleccione Aceptar.
Configuración del SSO basado en formularios
Cree un objeto SSO de APM para el SSO de FBA en las aplicaciones de back-end.
Realice el inicio de sesión único de FBA en modo iniciado por el cliente o en modo iniciado por BIG-IP. Ambos métodos emulan el inicio de sesión de usuario mediante la inserción de credenciales en las etiquetas de nombre de usuario y contraseña. A continuación, el formulario se envía automáticamente. Los usuarios proporcionan contraseña para acceder a una aplicación FBA. La contraseña se copia en caché y se vuelve a usar en otras aplicaciones de FBA.
Seleccione Acceso>Inicio de sesión único.
Seleccione Basado en formularios.
Seleccione Crear.
En Nombre, escriba un nombre descriptivo. Por ejemplo, Contoso\FBA\sso.
En Usar plantilla de SSO, seleccione Ninguna.
En Origen del nombre de usuario, escriba el origen del nombre de usuario para rellenar previamente el formulario de recopilación de contraseñas. El valor predeterminado
session.sso.token.last.username
funciona bien, ya que tiene el UPN de Microsoft Entra que ha iniciado sesión.En Origen de contraseña, mantenga el valor predeterminado
session.sso.token.last.password
, la variable de APM BIG-IP usa para almacenar en caché las contraseñas de usuario.En Iniciar URI, escriba el URI de inicio de sesión de la aplicación FBA. Si el URI de solicitud coincide con el valor de este identificador URI, la autenticación basada en formularios de APM ejecuta el inicio de sesión único.
En Acción de formulario, deje este parámetro en blanco. Utilice la dirección URL de la solicitud original en el inicio de sesión único.
En Parámetro de formulario para nombre de usuario, escriba el elemento de campo nombre de usuario del formulario de inicio de sesión. Use las herramientas de desarrollo del explorador para determinar el elemento.
En Parámetro de formulario para Contraseña, escriba el elemento de campo contraseña del formulario de inicio de sesión. Use las herramientas de desarrollo del explorador para determinar el elemento.
Para más información, vaya a techdocs.f5.com al Capítulo del manual: Métodos de inicio de sesión único.
Configuración de un perfil de acceso
Un perfil de acceso enlaza los elementos de APM que administran el acceso a los servidores virtuales de BIG-IP, incluidas las directivas de acceso, la configuración de inicio de sesión único y la configuración de la interfaz de usuario.
Seleccione Acceso>Perfiles/ Directivas.
Seleccione Perfiles de acceso (directivas por sesión).
Seleccione Crear.
Escriba un nombre.
En Tipo de perfil, seleccione Todos.
En Configuración del SSO, seleccione el objeto de configuración de SSO de FBA que ha creado.
En Idioma aceptado, seleccione al menos un idioma.
En la columna Directiva por sesión, en el perfil, seleccione Editar.
Se inicia el editor visual de directivas de APM.
En reserva, seleccione el símbolo +.
- En el menú emergente, seleccione Autenticación.
- Seleccione Autenticación de SAML.
- Seleccione Add Item.
- En SP de autenticación de SAML, cambie el nombre a autenticación Microsoft Entra.
- En la lista desplegable Servidor AAA, escriba el objeto del proveedor de servicios SAML que creó.
- En la rama Correcto, seleccione el signo +.
- En el menú emergente, seleccione Autenticación.
- Seleccione Página de inicio de sesión.
- Seleccione Add Item.
- En nombre de usuario, de la columna Solo lectura, seleccione Sí.
Para la reserva de la página de inicio de sesión, seleccione el signo +. Esta acción agrega un objeto de asignación de credenciales de SSO.
En el elemento emergente, seleccione la pestaña Asignación.
Seleccione Asignación de credenciales de SSO.
Seleccione Add Item.
En el panel Asignación de variables: Asignación de credenciales de SSO, mantenga los valores predeterminados.
Seleccione Guardar.
En el cuadro superior Denegar, seleccione el vínculo.
La rama Correcto cambia a Permitir.
Seleccione Guardar.
(Opcional) Configuración de las asignaciones de atributos
Puede agregar una configuración de LogonID_Mapping. A continuación, la lista de sesiones activas de BIG-IP tiene el UPN del usuario que ha iniciado sesión, no un número de sesión. Use esta información para analizar los registros o solucionar problemas.
En la rama Autenticación correcta de SAML, seleccione el símbolo +.
En el elemento emergente, seleccione Asignación.
Seleccione Asignar variable.
Seleccione Add Item.
En la pestaña Propiedades, escriba un nombre. Por ejemplo, LogonID_Mapping.
En Asignar variable, seleccione Agregar nueva entrada.
Seleccione cambiar.
En Variable personalizada, use
session.logon.last.username
.En Variable de sesión, usuario
session.saml.last.identity
.Seleccione Finished (Finalizado).
Seleccione Guardar.
Seleccione Aplicar directiva de acceso.
Cierre el editor de directivas visuales.
Configuración de un grupo back-end
Para permitir que BIG-IP sepa a dónde reenviar el tráfico de cliente, cree un objeto de nodo de BIG-IP que represente el servidor back-end que hospeda la aplicación. A continuación, coloque ese nodo en un grupo de servidores de BIG-IP.
Seleccione Tráfico local>Grupos.
Seleccione Lista de grupos.
Seleccione Crear.
Escriba un Nombre para un objeto de grupo de servidores. Por ejemplo, MyApps_VMs.
En Nombre del nodo, escriba un nombre para mostrar del servidor. Este servidor hospeda la aplicación web back-end.
En Dirección, escriba la dirección IP del host del servidor de aplicaciones.
En Puerto de servicio, escriba el puerto HTTP/S en el que escucha la aplicación.
Nota:
Las supervisiones de estado requieren una configuración adicional que este artículo no cubre. Vaya a support.f5.com para K13397: Introducción al formato de solicitud de supervisión de estado HTTP para el sistema DNS de BIG-IP.
Configuración de un servidor virtual
Un servidor virtual es un objeto del plano de datos de BIG-IP representado por una dirección IP virtual. El servidor escucha las solicitudes de cliente a la aplicación. Cualquier tráfico recibido se procesa y evalúa con el perfil de acceso del APM asociado al servidor virtual. El tráfico se dirige según la directiva.
Para configurar un servidor virtual:
Seleccione Tráfico local>Servidores virtuales.
Seleccione Lista de servidores virtuales.
Seleccione Crear.
Escriba un nombre.
En Dirección/máscara de destino, seleccione Host y escriba una dirección IPv4 o IPv6. La dirección recibe el tráfico de clientes para la aplicación back-end publicada.
En Puerto del servicio, seleccione Puerto, escriba 443 y seleccione HTTPS.
En Perfil HTTP (cliente), seleccione http.
En Perfil SSL (cliente),, seleccione el perfil que ha creado o deje el valor predeterminado para las pruebas. Esta opción permite que un servidor virtual para la seguridad de la capa de transporte (TLS) publique servicios a través de HTTPS.
En Traducción de direcciones de origen, seleccione Asignación automática.
En Directiva de acceso, en el cuadro Perfil de acceso, escriba el nombre que creó anteriormente. Esta acción enlaza el perfil de autenticación previa de SAML de Microsoft Entra ID y la directiva de inicio de sesión único FBA al servidor virtual.
- En Recursos, en Grupo predeterminado, seleccione los objetos de grupo de back-end que ha creado.
- Seleccione Finished (Finalizado).
Configuración de los parámetros de la administración de sesiones
La configuración de administración de sesiones big-IP define condiciones para la finalización y continuación de sesiones. Cree una directiva en esta área.
- Vaya a Directivas de acceso.
- Seleccione Perfiles de acceso.
- Seleccione Perfil de acceso.
- En la lista, seleccione su aplicación.
Si definió un valor de URI de cierre de sesión único en Microsoft Entra ID, un cierre de sesión iniciado por el IdP desde MyApps finaliza la sesión del cliente y del BIG-IP APM. El archivo XML de metadatos importado de la federación de la aplicación proporciona a APM el punto de conexión de cierre de sesión SAML de Microsoft Entra para el cierre de sesión iniciado por SP. Asegúrese de que APM responde correctamente cuando un usuario cierra la sesión.
Si no hay ningún portal web de BIG-IP, los usuarios no pueden indicar al APM que cierran la sesión. Si el usuario cierra la sesión de la aplicación, BIG-IP lo ignora. La sesión de aplicación se puede restablecer a través del inicio de sesión único. Tenga en cuenta el cierre de sesión iniciado por SP para garantizar que las sesiones finalicen de forma segura.
Puede agregar una función SLO al botón de cierre de sesión de la aplicación. Esta función redirige al cliente al punto de conexión de cierre de sesión SAML de Microsoft Entra. Para buscar el punto de conexión de cierre de sesión de SAML, vaya a Registros de la aplicación> Puntos de conexión.
Si no puede cambiar la aplicación, use BIG-IP para escuchar la llamada de cierre de sesión de la aplicación y desencadenar el SLO.
Más información:
- K42052145: Configuración de la terminación automática de sesión (cierre de sesión) basada en un nombre de archivo al que se hace referencia mediante un identificador URI
- K12056: Información general de la opción de inclusión de un identificador URI de cierre de sesión
Aplicación publicada
La aplicación se publica y es accesible con SHA, con la dirección URL o los portales de Microsoft de la aplicación.
La aplicación aparece como recurso de destino en el Acceso condicional. Más información: cómo crear una directiva de acceso condicional.
Para aumentar la seguridad, bloquee el acceso directo a la aplicación, forzando una ruta a través de BIG-IP.
Prueba
Con un explorador, conéctese a la dirección URL externa de la aplicación, o bien, en Aplicaciones, seleccione el icono de aplicación.
Autentíquese en Microsoft Entra ID.
Se le redirigirá al punto de conexión BIG-IP de la aplicación.
Aparece el símbolo del sistema de contraseña.
APM rellena el nombre de usuario con el UPN de Microsoft Entra ID. El nombre de usuario es de solo lectura para la coherencia de la sesión. Oculte este campo, si es necesario.
Se ha enviado la información.
Ha iniciado sesión en la aplicación.
Solución de problemas
Al solucionar problemas, tenga en cuenta la información siguiente
BIG-IP realiza el inicio de sesión único de FBA a medida que analiza el formulario de inicio de sesión en el URI
- BIG-IP busca las etiquetas de elemento de nombre de usuario y contraseña de la configuración
Asegúrese de que las etiquetas de elemento son coherentes o se produce un error en el inicio de sesión único
Los formularios complejos generados dinámicamente pueden requerir el análisis de la herramienta de desarrollo para comprender el formulario de inicio de sesión
Iniciado por el cliente es mejor para las páginas de inicio de sesión con varios formularios
- Puede especificar el nombre del formulario y personalizar la lógica del controlador de formularios de JavaScript
Ambos métodos de inicio de sesión único de FBA optimizan la experiencia del usuario y la seguridad ocultando todas las interacciones del formulario:
- Puede validar si se insertan las credenciales
- En el modo iniciado por el cliente, deshabilite la suscripción automática del formulario en el perfil de inicio de sesión único
- Usar herramientas de desarrollo para deshabilitar las dos propiedades de estilo que impiden que aparezca la página de inicio de sesión
Aumentar el nivel de detalle del registro
Los registros de BIG-IP contienen información que aíslan problemas de autenticación y SSO. Aumentar el nivel de detalle del registro:
- Vaya aDirectiva de acceso>Información general.
- Seleccione Registro de eventos.
- Haga clic en Configuración.
- Seleccione la fila de la aplicación publicada.
- Seleccione Editar.
- Seleccione Acceder a los registros del sistema.
- En la lista de inicio de sesión único, seleccione Depurar.
- Selecciona Aceptar.
- Reproduzca el problema.
- Revise los registros.
Revierta la configuración de lo contrario, hay datos excesivos.
Mensaje de error de BIG-IP
Si aparece un error de BIG-IP después de la preautenticación de Microsoft Entra, el problema podría estar relacionado con el inicio de sesión único de Microsoft Entra ID y BIG-IP.
- Vaya a Acceso>Información general.
- Seleccione Informes de acceso.
- Ejecute el informe durante la última hora.
- Revise los registros para encontrar pistas.
Use el vínculo Ver variables de la sesión para determinar que APM recibe las notificaciones de Microsoft Entra esperadas.
No hay ningún mensaje de error de BIG-IP
Si no aparece ningún mensaje de error de BIG-IP, el problema podría estar relacionado con la solicitud de back-end o BIG-IP para el inicio de sesión único de la aplicación.
- seleccione Directiva de acceso>Información general.
- Seleccionar Sesiones activas.
- Seleccione el vínculo de sesión activa.
Usar el vínculo Mostrar variables de esta ubicación también ayuda a determinar la causa principal, especialmente si APM no puede obtener el identificador de usuario y la contraseña correctos.
Para más información, vaya a techdocs.f5.com y consulte Capítulo del manual: Variables de sesión.