Tutorial: configuración de BIG-IP Easy Button de F5 para el inicio de sesión único en SAP ERP

En este artículo, aprenderá a proteger SAP ERP con Azure Microsoft Entra ID mediante 16.1 configuración guiada de F5 BIG-IP Easy Button. La integración de BIG-IP con Microsoft Entra ID tiene muchas ventajas:

• Marco de confianza cero de Microsoft para habilitar el trabajo remoto
• ¿Qué es el acceso condicional?
• Inicio de sesión único (SSO) entre Microsoft Entra ID y los servicios publicados de BIG-IP
• Gestione las identidades y el acceso desde el centro de administración de Microsoft Entra

Más información:

• Integración de F5 BIG-IP con Microsoft Entra ID
• Habilitar el SSO para una aplicación empresarial.

Descripción del escenario

En este escenario se incluye la aplicación SAP ERP mediante la autenticación Kerberos para administrar el acceso a contenido protegido.

Las aplicaciones heredadas carecen de protocolos modernos para admitir la integración con Microsoft Entra ID. La modernización es costosa, requiere planeamiento e introduce un riesgo potencial de tiempo de inactividad. En su lugar, use un controlador de entrega de aplicaciones (ADC) BIG-IP de F5 para salvar la distancia entre la aplicación heredada y el plano de control de identidad moderno a través de la transición de protocolo.

Un BIG-IP delante de la aplicación permite superponer el servicio con la autenticación previa y el inicio de sesión único basado en encabezados de Microsoft Entra. Esta configuración mejora la posición de seguridad de la información general de la aplicación.

Arquitectura del escenario

La solución de acceso híbrido seguro (SHA) tiene los siguientes componentes:

• Aplicación SAP ERP: Un servicio publicado de BIG-IP que se protege mediante el SHA de Microsoft Entra
• Microsoft Entra ID: El proveedor de identidades (IdP) de Lenguaje de marcado de aserción de seguridad (SAML), que verifica las credenciales de usuario, el acceso condicional y el SSO basado en SAML en BIG-IP
• BIG-IP : proxy inverso y proveedor de servicios SAML (SP) en la aplicación. BIG-IP delega la autenticación en el IdP de SAML y, a continuación, realiza el inicio de sesión único basado en encabezados en el servicio SAP

SHA admite el flujo iniciado por IdP y SP. En la imagen siguiente se muestra el flujo iniciado por SP.

1. El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
2. La directiva de acceso de APM de BIG-IP redirige al usuario a Microsoft Entra ID (IdP de SAML)
3. Microsoft Entra ID autentica previamente al usuario y aplica las directivas de acceso condicional exigidas
4. Se redirige al usuario a BIG-IP (SP de SAML) y el inicio de sesión único se realiza con el token SAML emitido
5. BIG-IP solicita un vale kerberos desde KDC.
6. BIG-IP envía la solicitud a la aplicación de back-end con el vale de Kerberos para el SSO
7. La aplicación autoriza la solicitud y devuelve la carga.

Requisitos previos

• Una cuenta gratuita de Microsoft Entra ID o superior
  • Si no tiene una, obtenga una cuenta gratuita de Azure.
• Una instancia de BIG-IP o de BIG-IP Virtual Edition (VE) en Azure
  • Consulte Implementación de una máquina virtual Virtual Edition de BIG-IP de F5 en Azure
• Cualquiera de las siguientes licencias de F5 BIG-IP:
  • F5 BIG-IP® Best bundle
  • Licencia independiente de F5 BIG-IP APM
  • Licencia del complemento F5 BIG-IP APM en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM) ya existente
  • Licencia de evaluación gratuita completa de 90 días de BIG-IP
• Identidades de usuario sincronizadas desde un directorio local a Microsoft Entra ID, o bien creadas en Microsoft Entra ID y devueltas al directorio local
  • Consulte Sincronización de Microsoft Entra Connect: Comprender y personalizar la sincronización
• Uno de los roles siguientes: Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones.
• Un certificado web de SSL para publicar servicios a través de HTTPS o usar certificados predeterminados de BIG-IP durante las pruebas
  • Consulte Implementación de una máquina virtual Virtual Edition de BIG-IP de F5 en Azure
• Un entorno de SAP ERP configurado para la autenticación Kerberos

Métodos de configuración BIG-IP

En este tutorial se utiliza Guided Configuration 16.1 con una plantilla de Easy Button. Con Easy Button, los administradores no van entre Microsoft Entra ID y BIG-IP para permitir servicios de SHA. La implementación y la administración de directivas se controlan con el asistente de configuración guiada de APM y Microsoft Graph. Esta integración garantiza que las aplicaciones puedan admitir la federación de identidades, el SSO y el acceso condicional.

Nota:

Reemplace las cadenas o valores de ejemplo de esta guía por los de su entorno.

Registro de Easy Button

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Antes de que un cliente o servicio acceda a Microsoft Graph, la plataforma de identidad de Microsoft debe confiar en él.

Consulte Inicio rápido: registro de una aplicación con la plataforma de identidad de Microsoft

Registre el cliente de Easy Button en Microsoft Entra ID y, a continuación, se permitirá establecer una confianza entre las instancias de SP de SAML de una aplicación publicada de BIG-IP y Microsoft Entra ID como proveedor de identidades de SAML.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

2. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones>Nuevo registro.

3. Escriba un Nombre para la nueva aplicación.

4. En cuentas solo de este directorio de la organización, especifique quién puede usar la aplicación.

5. Seleccione Registrar.

6. Vaya a Permisos de la API.

7. Autorice los siguientes permisos de aplicación de Microsoft Graph:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Concesión de consentimiento del administrador para su organización.

9. En Certificados y secretos, genere un nuevo secreto de cliente.

10. Anote el secreto que se usará más adelante.

11. Desde Información general, anote el Id. de cliente y el Id. de inquilino.

Configuración de Easy Button

1. Inicie la configuración guiada de APM.
2. Inicie la plantilla Easy Button.
3. Desde un explorador, inicie sesión en la consola de administración de BIG-IP de F5.
4. Vaya a Acceso > Configuración guiada > Integración con Microsoft.
5. Seleccione Aplicación Microsoft Entra.
6. Revise la lista de configuración.
7. Seleccione Siguiente.
8. Siga la secuencia de configuración en Configuración de la aplicación Microsoft Entra.

Configuration Properties

La pestaña Propiedades de configuración tiene propiedades de cuenta de servicio y crea una configuración de la aplicación de BIG-IP y un objeto de inicio de sesión único. La sección de detalles de la cuenta de servicio de Azure representa el cliente que registró como aplicación en el inquilino de Microsoft Entra. Use esta configuración para un cliente OAuth BIG-IP para registrar individualmente un SP de SAML en el inquilino, con las propiedades de SSO. Easy Button hace esta acción para los servicios BIG-IP que se publican y habilitan para SHA.

Nota:

Algunas opciones de configuración son globales y se pueden volver a usar para publicar más aplicaciones.

1. Escriba el nombre de la configuración. Los nombres únicos diferencian las configuraciones de Easy Button.

2. Para Inicio de sesión único (SSO) y Encabezados HTTP, seleccione Activado.

3. En Id. de inquilino, Id. de cliente y Secreto de cliente, escriba el identificador de inquilino, el identificador de cliente y el secreto de cliente que anotó durante el registro del inquilino.

4. Seleccione Test Connection (Probar conexión). Esta acción confirma que BIG-IP se conecta al inquilino.

5. Seleccione Siguiente.

   

Proveedor de servicios

Use la configuración del proveedor de servicios para definir las propiedades de instancia de SAML SP de la aplicación protegida por SHA.

1. En Host, escriba el nombre de dominio completo (FQDN) público de la aplicación que se vaya a proteger.

2. Para Id. de entidad, escriba el identificador que utiliza Microsoft Entra ID para identificar el proveedor de servicios de SAML que solicita un token.

   

3. (Opcional) Use la configuración de seguridad para indicar si Microsoft Entra ID cifra las aserciones de SAML emitidas. Las aserciones cifradas entre Microsoft Entra ID y el APM de BIG-IP aumentan la garantía de que los tokens de contenido no se intercepten ni se pongan en peligro los datos.

4. En la lista Clave privada de descifrado de aserciones, seleccione Crear nueva.

   

5. Seleccione Aceptar.

6. El cuadro de diálogo Importar certificado SSL y claves aparece en una nueva pestaña.

7. Para importar el certificado y la clave privada, seleccione PKCS 12 (IIS).

8. Cierre la pestaña del explorador para volver a la pestaña principal.

   

9. Para Habilitar la aserción cifrada, marque la casilla.

10. Si habilitó el cifrado, en la lista Clave privada de descifrado de aserciones seleccione la clave privada del certificado que usa BIG-IP APM para descifrar las aserciones de Microsoft Entra.

11. Para el cifrado habilitado, en la lista Certificado de descifrado de aserciones, seleccione el certificado que BIG-IP carga en Microsoft Entra ID para cifrar las aserciones de SAML emitidas.

Microsoft Entra ID

Easy Button tiene plantillas de aplicación para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP y una plantilla de acceso híbrido seguro genérica.

1. Para iniciar la configuración de Azure, seleccione Componente central de SAP ERP > Añadir.

   

   Nota:

   Puede usar la información de las secciones siguientes al configurar manualmente una nueva aplicación SAML de BIG-IP en un inquilino de Microsoft Entra.

Configuración de Azure

1. En nombre para mostrar, introduzca el que crea la aplicación BIG-IP en el inquilino de Microsoft Entra. El nombre aparece en el icono del portal Mis aplicaciones.

2. (Opcional) deje la dirección URL de inicio de sesión (opcional) en blanco.

   

3. Junto a Clave de firma, seleccione Actualizar.

4. Seleccione Certificado de firma. Esta acción buscará el certificado que especificó.

5. En Frase de contraseña de clave de firma, escriba la contraseña del certificado.

6. (Opcional) Habilite Opción de firma. Esta opción asegura que BIG-IP acepte tokens y notificaciones firmados por Microsoft Entra ID

   

7. Los Usuarios y grupos de usuarios se consultan dinámicamente desde el inquilino de Microsoft Entra. Los grupos ayudan a autorizar el acceso a la aplicación.

8. Agregue un usuario o grupo para las pruebas; de lo contrario, se deniega el acceso.

   

Atributos y notificaciones de usuario

Cuando los usuarios se autentican en Microsoft Entra ID, se emite un token SAML con notificaciones y atributos predeterminados que identifican al usuario. La pestaña Atributos y notificaciones del usuario muestra las notificaciones predeterminadas que se emitirán para la nueva aplicación. Úselo para configurar más notificaciones.

Este tutorial se basa en un sufijo de dominio .com que se usa interna y externamente. No se requiere ningún otro atributo para lograr una implementación de SSO de delegación restringida de Kerberos (KCD) funcional.

Puede incluir más atributos de Microsoft Entra. Para este tutorial, SAP ERP requiere los atributos predeterminados.

Más información: tutorial: configuración del administrador de la directiva de acceso BIG-IP de F5 para la autenticación Kerberos. Consulte las instrucciones sobre varios dominios o el inicio de sesión de usuario con sufijos alternativos.

Atributos de usuario adicionales

La pestaña Atributos de usuario adicionales admite sistemas distribuidos que requieren atributos almacenados en otros directorios para el aumento de la sesión. Entonces, los atributos de un origen LDAP se inyectan como encabezados de más inicios de sesión único para controlar el acceso basado en roles, los id. de partner, etc.

Nota:

Esta característica no tiene correlación con Microsoft Entra ID, pero es otra fuente de atributos.

Directiva de acceso condicional

Las directivas de acceso condicional se aplican después de la autenticación previa de Microsoft Entra. Esta acción controla el acceso en función de las señales de dispositivo, aplicación, ubicación y riesgo.

En la vista Directivas disponibles se enumeran las directivas de acceso condicional sin acciones basadas en el usuario.

La vista Directivas seleccionadas muestra las directivas dirigidas a las aplicaciones de nube. No puede anular la selección de estas directivas ni moverlas a la lista Directivas disponibles porque se aplican en el nivel de inquilino.

Para seleccionar una directiva para que se publique la aplicación:

1. En la lista Directivas disponibles, seleccione la directiva.
2. Seleccione la flecha derecha.
3. Mueva la directiva a la lista Directivas seleccionadas.

Las directivas seleccionadas deben tener activada la opción Incluir o Excluir. Si ambas opciones están activadas, no se aplica la directiva seleccionada.

Nota:

La lista de directivas aparece al seleccionar inicialmente esta pestaña. Use el botón Actualizar para consultar el inquilino. Refrescar aparecerá cuando se implemente la aplicación.

Propiedades del servidor virtual

Un servidor virtual es un objeto del plano de datos de BIG-IP, representado por una dirección IP virtual. Este servidor escucha las solicitudes de cliente para la aplicación. El tráfico recibido se procesa y evalúa con relación al perfil APM asociado al servidor virtual. A continuación, el tráfico se dirige según la directiva.

1. Escriba una dirección de destino. Use la dirección IPv4/IPv6 que BIG-IP usa para recibir tráfico de cliente. Un registro correspondiente está en DNS, lo que permite a los clientes resolver la URL externa de la aplicación publicada de BIG-IP para esta IP. Puede usar un DNS localhost del equipo de prueba para probar.
2. En Puerto de servicio, escriba 443.
3. Seleccione HTTPS.
4. En Habilitar puerto de redirección, active la casilla.
5. En Puerto de redirección, escriba un número y seleccione HTTP. Esta opción redirige el tráfico de cliente HTTP entrante a HTTPS.
6. Seleccione el perfil SSL del cliente que haya creado. O bien, deje el valor predeterminado para probar. El perfil SSL de cliente habilita el servidor virtual para HTTPS, para que las conexiones de cliente se cifren con TLS.

Propiedades del grupo

La pestaña Grupo de aplicaciones tiene los servicios detrás de BIG-IP representados como un grupo con servidores de aplicaciones.

1. Para Seleccionar un grupo, seleccione Crear nuevo o seleccione un grupo.

2. Para Método de equilibrio de carga, seleccione Round Robin.

3. En Servidores del grupo, seleccione un nodo de servidor, o bien introduzca una dirección IP y un puerto para el nodo de back-end que hospede la aplicación basada en encabezados.

   

Encabezados de inicio de sesión único y HTTP

Use el inicio de sesión único para habilitar el acceso a los servicios publicados de BIG-IP sin especificar credenciales. El asistente de Easy Button admite encabezados de autorización de Kerberos, portador de OAuth y HTTP para el inicio de sesión único. Para las instrucciones siguientes, necesitará la cuenta de delegación de Kerberos que creó.

1. En Encabezados HTTP e inicio de sesión único, en Configuración avanzada, seleccione Activado.

2. En Tipo de inicio de sesión único seleccionado, seleccione Kerberos.

3. En Origen de nombre de usuario, escriba una variable de sesión como origen del identificador de usuario. session.saml.last.identity contiene la notificación de Microsoft Entra con el id. de usuario que inició sesión.

4. La opción Origen del dominio kerberos del usuario será necesaria si el dominio del usuario difiere del dominio kerberos de BIG-IP. Entonces, la variable de sesión APM contiene el dominio de usuario que ha iniciado sesión. Por ejemplo, session.saml.last.attr.name.domain.

   

5. En KDC, escriba una dirección IP de controlador de dominio o un FQDN si el DNS estuviera configurado.

6. Para soporte técnico de UPN, active la casilla. APM usa el UPN para los vales kerberos.

7. En Patrón de SPN, escriba HTTP/%h. Esta acción informa al APM de que use el encabezado del host de solicitud de cliente y compile el SPN para el que solicite un token kerberos.

8. En Enviar autorización, deshabilite la opción para las aplicaciones que negocian la autenticación. Por ejemplo, Tomcat.

   

Administración de sesiones

Use la configuración de administración de sesión de BIG-IP para definir las condiciones cuando las sesiones de los usuarios finalicen o continúen. Las condiciones incluyen límites para usuarios y direcciones IP y la información de usuario correspondiente.

Para obtener más información, vaya a my.f5.com y consulte K18390492: Seguridad | Guía de operaciones de APM de BIG-IP

La guía de operaciones no cubre el cierre de sesión único (SLO). Esta característica garantiza que las sesiones entre el IdP, el BIG-IP y el agente de usuario finalicen cuando los usuarios cierren la sesión. Easy Button implementará una aplicación SAML en el inquilino de Microsoft Entra. Rellena la dirección URL de cierre de sesión con el punto de conexión de SLO de APM. El cierre de sesión iniciado por IdP desde el portal Mis aplicaciones finalizará la sesión de BIG-IP y del cliente.

Durante la implementación, los metadatos de la federación SAML de la aplicación publicada se importarán del inquilino. Esta acción proporciona al APM el punto de conexión de cierre de sesión de SAML para Microsoft Entra ID y ayuda al cierre de sesión iniciado por SP a finalizar las sesiones del cliente y de Microsoft Entra.

Implementación

1. Seleccione Implementar.
2. Compruebe que la aplicación aparezca en la lista Aplicaciones empresariales del inquilino.
3. Con un explorador, conéctese a la dirección URL externa de la aplicación, o bien, seleccione el icono de aplicación en Mis aplicaciones.
4. Autentíquese en Microsoft Entra ID.
5. Se le redirigirá al servidor virtual BIG-IP e iniciará sesión mediante el inicio de sesión único.

Para aumentar la seguridad, puede bloquear el acceso directo a la aplicación, forzando así una ruta a través de BIG-IP.

Implementación avanzada

Las plantillas de configuración guiada a veces carecen de flexibilidad.

Más información: tutorial: configuración del administrador de la directiva de acceso BIG-IP de F5 para la autenticación Kerberos.

Deshabilite el modo de administración estricto

Como alternativa, en BIG-IP puede deshabilitar el modo de administración estricta de configuración guiada. Es posible cambiar las configuraciones manualmente, aunque la mayoría de las configuraciones se automaticen con plantillas de asistente.

1. Vaya a Acceso > Configuración guiada.

2. En el extremo de la fila de la configuración de la aplicación, seleccione el candado.

3. Los objetos BIG-IP asociados con la aplicación publicada se desbloquean para la administración. Los cambios con el asistente de interfaz de usuario ya no son posibles.

   

   Nota:

   Al volver a habilitar el modo de administración estricto e implementar una configuración que sobrescriba la configuración fuera de la interfaz de usuario de la configuración guiada, se recomienda el método de configuración avanzada para los servicios de producción.

Solución de problemas

Si no pudiera acceder a la aplicación protegida con SHA, consulte las siguientes instrucciones de solución de problemas.

• Kerberos es sensible a la hora. Asegúrese de que los servidores y los clientes se establezcan en la hora correcta y de que se sincronicen con un origen de hora confiable.
• Asegúrese de que el controlador de dominio y el nombre de host de la aplicación web se resuelvan en DNS.
• Confirme que no haya SPN duplicados en el entorno.
  • En un equipo de dominio, en la línea de comandos, use la consulta: setspn -q HTTP/my_target_SPN

Para validar una configuración de KCD de aplicación de IIS, consulte Solución de problemas de configuraciones de KCD para Application Proxy

Vaya a techdocs.f5.com para el método de inicio de sesión único de Kerberos

Análisis de registro

Nivel de detalle del registro

El registro de BIG-IP aísla problemas con la conectividad, el inicio de sesión único, las infracciones de directivas o asignaciones de variables mal configuradas. Para empezar a solucionar problemas, aumente el nivel de detalle del registro.

1. Vaya a Directiva de acceso > Información general.
2. Seleccione Registro de eventos.
3. Haga clic en Configuración.
4. Seleccione la fila de la aplicación publicada.
5. Seleccione Editar.
6. Seleccione Acceder a los registros del sistema
7. Seleccione Depurar en la lista de inicio de sesión único.
8. Selecciona Aceptar.
9. Reproduzca el problema.
10. Inspección de los registros.

Una vez completada la inspección, revierta el nivel de detalle del registro porque este modo genera datos excesivos.

Mensaje de error de BIG-IP

Si aparece un error de BIG-IP después de la autenticación previa de Microsoft Entra, el problema podría estar relacionado con el inicio de sesión único de Microsoft Entra ID y BIG-IP.

1. Vaya a Acceso > Información general.
2. Seleccione Informes de acceso.
3. Ejecute el informe durante la última hora.
4. Inspección de los registros.

Use el vínculo Ver variables de la sesión de la sesión actual para determinar si APM recibe las notificaciones de Microsoft Entra esperadas.

No hay ningún mensaje de error de BIG-IP

Si no apareciera ningún mensaje de error de BIG-IP, el problema podría estar relacionado con la solicitud de back-end o BIG-IP con el inicio de sesión único de la aplicación.

1. Vaya a Directiva de acceso > Información general.
2. Seleccionar Sesiones activas.
3. Seleccione el vínculo de la sesión actual.
4. Use el vínculo Ver variables para identificar problemas de KCD, especialmente si el APM de BIG-IP no obtuviera los identificadores de dominio y usuario correctos de las variables de sesión.

Más información:

• Vaya a devcentral.f5.com para ver ejemplos de asignación de variables de APM
• Vaya a techdocs.f5.com para ver las variables de sesión