Tutoriel : Configurer BIG-IP Easy Button de F5 pour l’authentification unique basée sur l’en-tête

Découvrez comment sécuriser des applications basées sur l’en-tête avec Microsoft Entra ID, avec BIG-IP Easy Button Guided Configuration v16.1 de F5.

L’intégration de BIG-IP à Microsoft Entra ID présente de nombreux avantages, notamment :

• Gouvernance Confiance Zéro améliorée via une pré-authentification Microsoft Entra et un accès conditionnel
  • Consultez Qu’est-ce que l’accès conditionnel ?
  • Consultez Sécurité Confiance Zéro
• Authentification unique complète entre Microsoft Entra ID et les services publiés par BIG-IP
• Identités managées et accès à partir d’un seul plan de contrôle
  • Consultez le centre d’administration Microsoft Entra

En savoir plus :

• Intégrer F5 BIG-IP avec Microsoft Entra ID
• Activer l’authentification unique pour une application d’entreprise

Description du scénario

Ce scénario couvre l’application héritée qui utilise les en-têtes d’autorisation HTTP pour gérer l’accès au contenu protégé. L’application héritée ne dispose pas de protocoles modernes permettant la prise en charge d’une intégration directe avec Microsoft Entra ID. Coûteuse et chronophage, la modernisation présente un risque de temps d’arrêt. Au lieu de cela, utilisez BIG-IP Application Delivery Controller (ADC) de F5 pour combler le manque entre l’application héritée et le plan de contrôle d’ID moderne, avec la transition de protocole.

Un BIG-IP devant l'application permet de superposer le service avec la pré-authentification Microsoft Entra et le SSO basé sur les en-têtes. Cette configuration améliore la posture globale de sécurité des applications.

Remarque

Les organisations peuvent bénéficier d’un accès à distance à ce type d’application avec Proxy d‘application Microsoft Entra. En savoir plus : Accès à distance aux applications sur site via le proxy d'application Microsoft Entra

Architecture du scénario

La solution SHA contient :

• Application : service publié BIG-IP assurant la protection par SHA Microsoft Entra
• Microsoft Entra ID : fournisseur d’identité (IdP) SAML (Security Assertion Markup Language) qui vérifie les informations d’identification utilisateur, l’accès conditionnel et l’authentification unique basée sur SAML dans BIG-IP. Avec l’authentification unique, Microsoft Entra ID fournit des attributs de session à BIG-IP.
• BIG-IP : proxy inverse et fournisseur de services (SP) SAML pour l’application, déléguant l’authentification au fournisseur d’identité SAML avant d’effectuer une authentification unique basée sur l’en-tête auprès de l’application back-end.

Pour ce scénario, SHA prend en charge les flux lancés par le fournisseur de services et le fournisseur d’identité. Le diagramme suivant montre le flux lancé par le fournisseur de services.

1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP).
2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
3. Microsoft Entra pré-authentifie l’utilisateur et applique les stratégies d’accès conditionnel.
4. L’utilisateur est redirigé vers BIG-IP (SP SAML), et l’authentification unique s’effectue à l’aide du jeton SAML émis.
5. BIG-IP injecte les attributs de Microsoft Entra en tant qu’en-têtes dans la demande de l’application.
6. L’application autorise la demande et renvoie une charge utile.

Prérequis

Pour le scénario, vous avez besoin des éléments suivants :

• Un abonnement Azure
  • Si vous n’en avez pas déjà un, procurez-vous un compte Azure gratuit.
• Un des rôles suivants : Administrateur d’application cloud ou Administrateur d’application
• Un BIG-IP, ou déployez BIG-IP Virtual Edition (VE) dans Azure
  • Consultez Déployer une machine virtuelle F5 BIG-IP Virtual Edition dans Azure
• L’une des licences F5 BIG-IP suivantes :
  • F5 BIG-IP® Best bundle
  • Licence autonome F5 BIG-IP Access Policy Manager™ (APM)
  • Licence de composant additionnel F5 BIG-IP Access Policy Manager™ (APM) sur une instance de BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Essai de 90 jours des fonctionnalités complètes de BIG-IP Consultez Free Trials
• Identités utilisateur synchronisées à partir d’un répertoire local vers Microsoft Entra ID
  • Voir Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation
• Un certificat web SSL pour publier des services sur HTTPS, ou utilisez les certificats BIG-IP par défaut lors des tests
  • Consultez Profil SSL
• Une application basée sur l’en-tête, ou configurez une application IIS basée sur l’en-tête à des fins de test
  • Consultez Configurer une application basée sur l’en-tête IIS

Configuration de BIG-IP

Ce tutoriel utilise Guided Configuration v16.1 avec un modèle Easy Button. Grâce à Easy Button, les administrateurs n’ont plus besoin d’aller et venir pour activer les services SHA. L’Assistant Guided Configuration et Microsoft Graph gèrent le déploiement et la gestion des stratégies. L’intégration de BIG-IP APM et Microsoft Entra garantit que les applications prennent en charge la fédération des identités, l’authentification unique et l’accès conditionnel.

Remarque

Remplacez les exemples de chaînes ou de valeurs par ceux de votre environnement.

Inscrire Easy Button

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Avant qu’un client ou un service accède à Microsoft Graph, la plateforme d’identités Microsoft doit l’approuver.

En savoir plus : Démarrage rapide : inscrire une application avec la plateforme d’identités Microsoft.

Créez une inscription d’application locataire qui autorise l’accès d’Easy Button à Graph. Avec ces autorisations, BIG-IP envoie les configurations pour établir une relation d’approbation entre une instance SAML SP pour une application publiée et Microsoft Entra ID en tant qu’IdP SAML.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Inscriptions d’applications>Nouvelle inscription.

3. Sous Gérer, sélectionnez Inscriptions d’applications> Nouvelle inscription.

4. Entrer le nom d’une application.

5. Spécifiez qui utilise l’application.

6. Sélectionnez Comptes dans ce répertoire organisationnel uniquement.

7. Sélectionnez Inscription.

8. Accédez à Autorisations de l’API.

9. Autorisez les autorisations d’application Microsoft Graph suivantes :

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

10. Accorder le consentement administrateur pour votre organisation.

11. Sur Certificats et secrets, générez une nouvelle clé secrète client. Notez la clé secrète client.

12. Dans Vue d’ensemble, notez l’ID client et l’ID d’abonné.

Configurer Easy Button

1. Démarrez APM Guided Configuration.

2. Démarrez le modèle Easy Button.

3. Accédez à Access > Guided Configuration.

4. Sélectionnez Microsoft Integration.

5. Sélectionnez Application Microsoft Entra.

6. Passez en revue les étapes de configuration.

7. Cliquez sur Suivant.

8. Utilisez la séquence d’étapes illustrée pour publier votre application.

   

Configuration Properties

L’onglet Configuration Properties crée une configuration d’application BIG-IP et un objet d’authentification unique. Les détails du compte de service Azure représentent le client que vous avez inscrit dans le locataire Microsoft Entra. Utilisez les paramètres du client OAuth BIG-IP pour inscrire un fournisseur de services SAML dans votre locataire, avec des propriétés d’authentification unique. Easy Button effectue cette action pour les services BIG-IP publiés et activés pour SHA.

Vous pouvez réutiliser les paramètres afin de publier d’autres applications.

1. Entrez un Configuration Name.

2. Pour Authentification unique (SSO) et en-têtes HTTP, sélectionnez Activé.

3. Pour Tenant ID, Client ID et Client Secret, entrez ce que vous avez noté.

4. Vérifiez que BIG-IP se connecte à votre locataire.

5. Sélectionnez Suivant.

   

Fournisseur de services

Dans les paramètres Service Provider, définissez les paramètres d’instance SP SAML pour l’application protégée par SHA.

1. Entrez un Host, le nom de domaine complet public de l’application.

2. Entrez une valeur pour Entity ID, l’identificateur utilisé par Microsoft Entra ID pour identifier le fournisseur de services SAML qui demande un jeton.

   

3. (Facultatif) Dans Paramètres de sécurité, sélectionnez Activation de l'assertion de chiffrement pour permettre à Microsoft Entra ID de chiffrer les assertions SAML émises. Les assertions de chiffrement Azure AD et BIG-IP APM permettent de garantir que les jetons de contenu ne sont pas interceptés, ni les données personnelles ou d’entreprise compromises.

4. Dans Security Settings, dans la liste Assertion Decryption Private Key, sélectionnez Create New.

   

5. Sélectionnez OK.

6. La boîte de dialogue Importer un certificat SSL et des clés s’affiche.

7. Pour Import Type, sélectionnez PKCS 12 (IIS). Cette action importe le certificat et la clé privée.

8. Pour Certificate and Key Name, sélectionnez New et tapez l’entrée.

9. Entrez le Password.

10. Sélectionnez Importer.

11. Fermez l’onglet du navigateur pour revenir à l’onglet principal.

12. Cochez la case Enable Encrypted Assertion.
13. Si vous avez activé le chiffrement, sélectionnez le certificat dans la liste Assertion Decryption Private Key. BIG-IP APM utilise cette clé privée de certificat pour déchiffrer les assertions Microsoft Entra.
14. Si vous avez activé le chiffrement, sélectionnez le certificat dans la liste Assertion Decryption Certificate. BIG-IP charge ce certificat dans Microsoft Entra ID pour chiffrer les assertions SAML émises.

Microsoft Entra ID

Utilisez les instructions suivantes pour configurer une nouvelle application SAML BIG-IP dans votre locataire Microsoft Entra. Easy Button fournit des modèles d’applications pour Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP, et un modèle SHA générique.

1. Dans Azure Configuration, sous Propriétés de configuration, sélectionnez Intégration Microsoft Entra ID F5 BIG-IP APM.
2. Sélectionnez Ajouter.

Configuration d’Azure

1. Entrez un Nom d'affichage d’application créé par BIG-IP dans le locataire Microsoft Entra. Les utilisateurs voient le nom, avec une icône, sur Mes applications Microsoft.

2. Ignorez Sign On URL (optional).

3. En regard de Signing Key et Signing Certificate, sélectionnez l’icône d’actualisation pour localiser le certificat que vous avez importé.

4. Dans La phrase secrète de la cléde signature, entrez le mot de passe du certificat.

5. (Facultatif) Activez Option de signature pour vous assurer que BIG-IP accepte les jetons et les revendications signés par Microsoft Entra ID.

   

6. L’entrée pour User And User Groups est interrogée dynamiquement.

   Important

   Ajoutez un utilisateur ou un groupe pour les tests ; sinon, tous les accès sont refusés. Dans User And User Groups, sélectionnez + Add.

   

Attributs utilisateur et revendications

Lorsqu’un utilisateur s’authentifie, Microsoft Entra ID émet un jeton SAML avec des revendications et des attributs qui identifient l’utilisateur. L’onglet Attributs utilisateur et revendications contient des revendications par défaut pour l’application. Utilisez cet onglet pour configurer d’autres revendications.

Incluez un attribut de plus :

1. Pour Header Name, entrez employeeid.

2. Pour Source Attribute, entrez user.employeeid.

   

Attributs utilisateur supplémentaires

Sous l’onglet Additional User Attributes, activez l’augmentation de session. Utilisez cette fonctionnalité pour les systèmes distribués tels qu’Oracle, SAP et d’autres implémentations JAVA qui nécessitent le stockage des attributs dans d’autres annuaires. Les attributs extraits à partir d’une source LDAP (Lightweight Directory Access Protocol) sont injectés en tant qu’en-têtes supplémentaires de l’authentification unique. Cette action permet de contrôler l’accès en fonction des rôles, des ID partenaire, etc.

Remarque

Cette fonctionnalité n’a aucune corrélation avec Microsoft Entra ID. Il s’agit d’une source d’attribut. 

Stratégie d’accès conditionnel

Les stratégies d’accès conditionnel contrôlent l’accès en fonction de l’appareil, de l’application, de la localisation et des signaux de risque.

• Dans Available Policies, recherchez les stratégies d’accès conditionnel sans action de l’utilisateur
• Dans Selected Policies, recherchez la stratégie d’application cloud
  • Vous ne pouvez pas désélectionner ces stratégies ou les déplacer vers Available Policies, car elles sont appliquées au niveau du locataire.

Pour sélectionner une stratégie à appliquer à l’application en cours de publication :

1. Sous l’onglet Conditional Access Policy, dans la liste Available Policies, sélectionnez une stratégie.
2. Sélectionnez la flèche vers la droite et déplacez-la vers la liste des stratégies sélectionnées.

Notes

Vous pouvez sélectionner l’option Include ou Exclude pour une stratégie. Si les deux options sont sélectionnées, la stratégie n’est pas appliquée.

Notes

La liste des stratégies s’affiche lorsque vous sélectionnez l’onglet Conditional Access Policy. Sélectionnez Actualiser et l’Assistant interroge le locataire. Actualiser apparaît après le déploiement d’une application.

Propriétés du serveur virtuel

Un serveur virtuel est un objet de plan de données BIG-IP, représenté par une adresse IP virtuelle. Le serveur écoute les requêtes des clients adressées à l’application. Le trafic reçu est traité et évalué par rapport au profil APM associé au serveur virtuel. Le trafic est dirigé conformément à la stratégie.

1. Pour Adresses de destination, entrez une adresse IPv4 ou IPv6 utilisée par BIG-IP pour recevoir le trafic client. Un enregistrement correspondant doit exister dans un serveur de noms de domaine (DNS) afin de permettre aux clients de résoudre l’URL externe de l’application BIG-IP publiée en cette adresse IP. Vous pouvez utiliser le DNS localhost de l’ordinateur à des fins de test.

2. Pour Service Port, entrez 443, puis sélectionnez HTTPS.

3. Cochez la case Enable Redirect Port.

4. Entrez une valeur pour Redirect Port. Cette option redirige le trafic entrant du client HTTP vers HTTPS.

5. Sélectionnez le profil SSL client (Client SSL Profile) que vous avez créé, ou laissez la valeur par défaut pendant les tests. Le profil SSL du client permet d’activer le serveur virtuel pour HTTPS afin que les connexions clientes soient chiffrées sur TLS.

   

Propriétés du pool

L’onglet Application Pool détaille les services derrière BIG-IP, représentés sous la forme d’un pool avec un ou plusieurs serveurs d’application.

1. Pour Select a Pool, sélectionnez Create New ou sélectionnez un autre pool.

2. Pour Load Balancing Method, sélectionnez Round Robin.

3. Pour Pool Servers, sélectionnez un nœud, ou sélectionnez une adresse IP et un port pour le serveur hébergeant l’application basée sur l’en-tête.

   

   Notes

   L’application back-end Microsoft se trouve sur le port HTTP 80. Si vous sélectionnez HTTPS, utilisez 443.

Authentification unique et en-têtes HTTP

Avec l’authentification unique, les utilisateurs peuvent accéder aux services publiés BIG-IP sans avoir à entrer leurs informations d’identification. L’Assistant Easy Buttonprend en charge Kerberos, OAuth Bearer et les en-têtes d’autorisation HTTP pour l’authentification unique.

1. Dans Authentification unique et en-têtes HTTP, dans En-têtes SSO, pour En-tête d’opération, sélectionnez insérer.

2. Pour Header Name, utilisez upn.

3. Pour Header Value, utilisez %{session.saml.last.identity}.

4. Pour Header Operation, sélectionnez insert.

5. Pour Header Name, entrez employeeid.

6. Pour la Valeur d’en-tête, utilisez %{session.saml.last.attr.name.employeeid}.

   

   Notes

   Les variables de session APM entre accolades respectent la casse. Les incohérences entraînent des échecs de mappage d’attributs.

Gestion des sessions

Utilisez les paramètres de gestion de session BIG-IP pour définir des conditions d’arrêt ou de continuation des sessions utilisateur.

Pour en savoir plus, accédez à support.f5.com et consultez K18390492 : Security | BIG-IP APM operations guide

La fonctionnalité Single Log Out (SLO) garantit que les sessions entre le fournisseur d’identité, BIG-IP et l’agent utilisateur se terminent lorsque les utilisateurs se déconnectent. Lorsque Easy Button instancie une application SAML dans votre locataire Microsoft Entra, il remplit l’URL de déconnexion avec le point de terminaison APM SLO. La déconnexion lancée par le fournisseur d’identité à partir de Mes applications met fin aux sessions BIG-IP et clientes.

En savoir plus : consultez Mes applications.

Les métadonnées de fédération SAML pour l’application publiée sont importées à partir de votre locataire. L’import fournit à APM le point de terminaison de déconnexion SAML pour Microsoft Entra ID. Cette action garantit qu’une déconnexion lancée par le fournisseur de services met fin aux sessions entre un client et Microsoft Entra. Vérifiez qu’APM sait quand l’utilisateur se déconnecte.

Si le portail webtop BIG-IP accède aux applications publiées, APM traite la déconnexion pour appeler le point de terminaison de déconnexion Microsoft Entra. Si le portail webtop BIG-IP n’est pas utilisé, les utilisateurs ne peuvent pas demander à APM de se déconnecter. Si les utilisateurs se déconnectent de l’application, BIG-IP n’en a pas connaissance. Par conséquent, vérifiez que la déconnexion lancée par le fournisseur de services met fin de manière sécurisée aux sessions. Vous pouvez ajouter une fonction SLO au bouton Déconnexion d’une application. Ainsi, les clients sont redirigés vers le point de terminaison de déconnexion BIG-IP ou Microsoft Entra SAML. Pour localiser l’URL du point de terminaison de déconnexion SAML pour votre locataire, accédez à Inscriptions d‘applications > Points de terminaison.

Si vous ne pouvez pas modifier l’application, faites en sorte que BIG-IP écoute l’appel de déconnexion d’application et déclenche SLO.

En savoir plus :

• PeopleSoft Single Logout
• Accédez à support.f5.com pour consulter l’article :
  • K42052145 : Configuration de l’arrêt automatique de session (déconnexion) en fonction d’un nom de fichier référencé par un URI
  • K12056 : vue d’ensemble de l’option Inclure l’URI de déconnexion.

Déployer

Le déploiement fournit une décomposition de vos configurations.

1. Pour valider les paramètres, sélectionnez Deploy.
2. Vérifiez l’application dans votre liste de locataires d’applications d’entreprise.
3. L’application est publiée et accessible via SHA, avec son URL, ou dans les portails d’application Microsoft.

Test

1. Dans un navigateur, connectez-vous à l’URL externe de l’application ou sélectionnez l’icône de l’application dans Mes applications.
2. Authentifiez-vous auprès de Microsoft Entra ID.
3. Vous êtes redirigé vers le serveur virtuel BIG-IP pour l’application et connecté avec l’authentification unique.

La capture d’écran suivante montre la sortie des en-têtes injectés à partir de l’application basée sur l’en-tête.

Notes

Vous pouvez bloquer l’accès direct à l’application en forçant l’adoption d’un chemin par le biais de BIG-IP.

Déploiement avancé

Dans certains scénarios, les modèles Guided Configuration manquent de flexibilité.

En savoir plus : Tutoriel : Configurer F5 BIG-IP Access Policy Manager pour l’authentification unique basée sur l’en-tête.

Vous pouvez désactiver le mode de gestion stricte configuration guidée dans BIG-IP. Ensuite, modifiez manuellement les configurations. Toutefois, la plupart des configurations sont automatisées avec des modèles d’Assistant.

1. Pour désactiver le mode strict, accédez à Access > Guided Configuration.

2. Sur la ligne de la configuration de l’application, sélectionnez l’icône de cadenas.

3. Les objets BIG-IP associés à l’instance publiée de l’application sont ouverts à la gestion. Les modifications apportées avec l’Assistant ne sont plus possibles.

   

   Notes

   Si vous réactivez le mode strict et déployez une configuration, l’action remplace les paramètres qui ne sont pas dans Guided Configuration. Nous vous recommandons la configuration avancée pour les services de production.

Dépannage

Utilisez les conseils suivants lors de la résolution des problèmes.

Verbosité du journal

Les journaux BIG-IP peuvent vous aider à isoler les problèmes liés à la connectivité, à l’authentification unique, aux stratégies ou aux mappages de variables mal configurés. Pour résoudre les problèmes, augmentez la verbosité du journal.

1. Accédez à Access Policy > Overview.
2. Sélectionnez Event Logs.
3. Sélectionnez Paramètres.
4. Sélectionnez la ligne de votre application publiée.
5. Sélectionnez Modifier.
6. Sélectionnez Access System Logs.
7. Dans la liste de l’authentification unique, sélectionnez Debug.
8. Sélectionnez OK.
9. Reproduisez le problème.
10. Inspectez les données.

Notes

Rétablissez cette fonctionnalité lorsque vous avez terminé. Le mode détaillé génère des données excessives.

Message d’erreur BIG-IP

Si une erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, le problème peut être lié à l’authentification unique Microsoft Entra ID vers BIG-IP.

1. Accédez à Access Policy > Overview.
2. Sélectionnez Access reports.
3. Exécutez le rapport pour la dernière heure.
4. Passez en revue les journaux à la recherche d’éventuels indices.

Utilisez le lien Afficher les variables de session pour la session afin de déterminer si APM reçoit les revendications Microsoft Entra attendues.

Aucun message d’erreur BIG-IP

Si aucun message d’erreur BIG-IP n’apparaît, le problème peut être lié à la requête back-end ou à l’authentification unique entre BIG-IP et l’application.

1. Accédez à Access Policy > Overview.
2. Sélectionnez Active Sessions.
3. Sélectionnez le lien de session active.

Utilisez le lien View Variables pour déterminer les problèmes d’authentification unique, en particulier si BIG-IP APM n’obtient pas les attributs corrects.

En savoir plus :

• Configuring LDAP remote authentication for Active Directory
• Accédez à techdocs.f5.com et consultez Manual Chapter: LDAP Query