Tutoriel : Configurer BIG-IP Easy Button de F5 pour l’authentification unique basée sur l’en-tête

Découvrez comment sécuriser des applications basées sur l’en-tête avec Microsoft Entra ID, avec BIG-IP Easy Button Guided Configuration v16.1 de F5.

L’intégration d’un BIG-IP avec Microsoft Entra ID présente de nombreux avantages, notamment :

• Gouvernance Confiance Zéro améliorée via une pré-authentification Microsoft Entra et un accès conditionnel
  • Consultez Qu’est-ce que l’accès conditionnel ?
  • Consultez Sécurité Confiance Zéro
• Authentification unique complète entre Microsoft Entra ID et les services publiés par BIG-IP
• Identités gérés et accès à partir d’un seul plan de contrôle
  • Consultez le Centre d’administration Microsoft Entra

En savoir plus :

• Intégrer F5 BIG-IP à Microsoft Entra ID
• Activer l’authentification unique pour une application d’entreprise

Description du scénario

Ce scénario couvre l’application héritée qui utilise les en-têtes d’autorisation HTTP pour gérer l’accès au contenu protégé. L’application héritée ne dispose pas de protocoles modernes permettant la prise en charge d’une intégration directe avec Microsoft Entra ID. Coûteuse et chronophage, la modernisation présente un risque de temps d’arrêt. Au lieu de cela, utilisez BIG-IP Application Delivery Controller (ADC) de F5 pour combler le manque entre l’application héritée et le plan de contrôle d’ID moderne, avec la transition de protocole.

Un BIG-IP devant l'application permet de superposer le service avec la pré-authentification Microsoft Entra et le SSO basé sur les en-têtes. Cette configuration améliore l’état de la sécurité global des applications.

Remarque

Les organisations peuvent bénéficier d’un accès à distance à ce type d’application avec Proxy d‘application Microsoft Entra. En savoir plus : Accès à distance aux applications sur site via le proxy d'application Microsoft Entra

Architecture du scénario

La solution SHA contient :

• Application : service publié BIG-IP assurant la protection par SHA Microsoft Entra
• Microsoft Entra ID – Fournisseur d'identité (IdP) Security Assertion Markup Language (SAML) qui vérifie les informations d’identification d’utilisateur, l'accès conditionnel et l'authentification unique basée sur SAML sur le BIG-IP. Avec l’authentification unique, Microsoft Entra ID fournit des attributs de session à BIG-IP.
• BIG-IP : proxy inverse et fournisseur de services (SP) SAML pour l’application, déléguant l’authentification au fournisseur d’identité SAML avant d’effectuer une authentification unique basée sur l’en-tête auprès de l’application principale.

Pour ce scénario, SHA prend en charge les flux lancés par le fournisseur de services et le fournisseur d’identité. Le diagramme suivant montre le flux lancé par le fournisseur de services.

1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP).
2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
3. Microsoft Entra pré-authentifie l’utilisateur et applique les stratégies d’accès conditionnel.
4. L’utilisateur est redirigé vers BIG-IP (SP SAML), et l’authentification unique s’effectue à l’aide du jeton SAML émis.
5. BIG-IP injecte les attributs de Microsoft Entra en tant qu’en-têtes dans la demande de l’application.
6. L’application autorise la demande et renvoie une charge utile.

Prérequis

Pour le scénario, vous avez besoin des éléments suivants :

• Un abonnement Azure
  • Si vous n’en avez pas déjà un, procurez-vous un compte Azure gratuit
• Un des rôles suivants : Administrateur d’application cloud ou Administrateur d’application
• Un BIG-IP, ou déployez BIG-IP Virtual Edition (VE) dans Azure
  • Consultez Déployer une machine virtuelle F5 BIG-IP Virtual Edition sur Azure
• L’une des licences F5 BIG-IP suivantes :
  • Meilleur regroupement F5 BIG-IP®
  • Licence autonome F5 BIG-IP Access Policy Manager™ (APM)
  • Licence de composant additionnel F5 BIG-IP Access Policy Manager™ (APM) sur une instance de BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Essai de 90 jours des fonctionnalités complètes de BIG-IP. Consultez Essais gratuits
• Identités utilisateur synchronisées à partir d’un annuaire local vers Microsoft Entra ID
  • Voir Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation
• Un certificat web SSL pour publier des services sur HTTPS, ou utilisez les certificats BIG-IP par défaut à des fins de test
  • Consultez Profil SSL
• Une application basée sur l’en-tête, ou configurez une application IIS basée sur l’en-tête à des fins de test
  • Consultez Configurer une application basée sur l’en-tête IIS

Configuration de BIG-IP

Ce tutoriel utilise Guided Configuration v16.1 avec un modèle Easy Button. Grâce à l’Easy Button, les administrateurs n’ont plus à faire des allers-retours pour activer les services SHA. L’Assistant Guided Configuration et Microsoft Graph gèrent le déploiement et la gestion des stratégies. L’intégration de BIG-IP APM et Microsoft Entra garantit que les applications prennent en charge la fédération des identités, l’authentification unique et l’accès conditionnel.

Remarque

Remplacez les exemples de chaînes ou de valeurs par ceux de votre environnement.

Inscrire Easy Button

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Avant qu’un client ou un service accède à Microsoft Graph, la plateforme d’identités Microsoft doit l’approuver.

En savoir plus : Démarrage rapide : inscrire une application avec la plateforme d’identités Microsoft.

Créez une inscription d’application client qui autorise l’accès d’Easy Button à Graph. Avec ces autorisations, le BIG-IP envoie les configurations pour établir une relation d’approbation entre une instance SAML SP pour une application publiée et Microsoft Entra ID en tant qu’IdP SAML.

1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Inscriptions d’applications>Nouvelle inscription.

3. Sous Gérer, sélectionnez Inscriptions d’applications> Nouvelle inscription.

4. Saisissez le nom d’une application.

5. Spécifiez qui utilise l’application.

6. Sélectionnez Comptes dans cet annuaire organisationnel uniquement.

7. Sélectionnez Inscrire.

8. Accédez à Autorisations de l’API.

9. Autorisez les autorisations d’application Microsoft Graph suivantes :

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

10. Accorder le consentement administrateur pour votre organisation.

11. Dans Certificats et secrets, générez une nouvelle clé secrète client. Notez la clé secrète client.

12. Dans Vue d’ensemble, notez l’ID client et l’ID de client.

Configurer Easy Button

1. Démarrez APM Guided Configuration.

2. Démarrez le modèle Easy Button.

3. Accédez à Accès > Configuration guidée.

4. Sélectionnez Microsoft Integration

5. Sélectionnez Application Microsoft Entra.

6. Passez en revue les étapes de configuration.

7. Sélectionnez Suivant.

8. Utilisez la séquence d’étapes illustrée pour publier votre application.

   

Configuration des propriétés

L’onglet Propriétés de la configuration crée une configuration d’application BIG-IP et un objet d’authentification unique. Les détails du compte de service Azure représentent le client que vous avez inscrit dans le client Microsoft Entra. Utilisez les paramètres du client OAuth BIG-IP pour inscrire un fournisseur de services SAML dans votre client, avec des propriétés d’authentification unique. Easy Button effectue cette action pour les services BIG-IP publiés et activés pour SHA.

Vous pouvez réutiliser les paramètres afin de publier d’autres applications.

1. Saisissez un Nom de configuration.
2. Pour Authentification unique (SSO) et en-têtes HTTP, sélectionnez Activé.
3. Pour ID Locataire, ID Client et Clé secrète client, saisissez ce que vous avez noté.
4. Vérifiez que BIG-IP se connecte à votre client.
5. Sélectionnez Suivant

Fournisseur de services

Dans les paramètres Service Provider, définissez les paramètres d’instance SP SAML pour l’application protégée par SHA.

1. Saisissez un Host, le nom de domaine complet public de l’application.

2. Saisissez une valeur pour Entity ID, l’identifiant utilisé par Microsoft Entra ID pour identifier le SP SAML qui demande un jeton.

3. (Facultatif) Dans Paramètres de sécurité, sélectionnez Activation de l'assertion de chiffrement pour permettre à Microsoft Entra ID de chiffrer les assertions SAML émises. Les assertions de chiffrement Azure AD et BIG-IP APM permettent de garantir que les jetons de contenu ne sont pas interceptés, ni les données personnelles ou d’entreprise compromises.

4. Dans Paramètres de sécurité, dans la liste Clé privée de déchiffrement d’assertion, sélectionnez Créer.

   

5. Sélectionnez OK.

6. La boîte de dialogue Importer un certificat et des clés SSL s’affiche.

7. Pour Type d’importation, sélectionnez PKCS 12 (IIS). Cette action importe le certificat et la clé privée.

8. Pour Certificat et Nom de clé, sélectionnez Nouveau et saisissez l’entrée.

9. Saisissez le mot de passe.

10. Cliquez sur Importer.

11. Fermez l’onglet du navigateur pour revenir à l’onglet principal.

12. Cochez la case Activer le chiffrement chiffré.
13. Si vous avez activé le chiffrement, sélectionnez le certificat dans la liste Clé privée de déchiffrement d’assertion. BIG-IP APM utilise cette clé privée de certificat pour déchiffrer les assertions Microsoft Entra.
14. Si vous avez activé le chiffrement, sélectionnez le certificat dans la liste Certificat de déchiffrement d’assertion. BIG-IP charge ce certificat dans Microsoft Entra ID pour chiffrer les assertions SAML émises.

Microsoft Entra ID

Utilisez les instructions suivantes pour configurer une nouvelle application SAML BIG-IP dans votre client Microsoft Entra. Easy Button fournit des modèles d’applications pour Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP, et un modèle SHA générique.

1. Dans Azure Configuration, sous Propriétés de configuration, sélectionnez Intégration Microsoft Entra ID F5 BIG-IP APM.
2. Sélectionnez Ajouter.

Configuration d’Azure

1. Saisissez un Nom complet d’application créé par BIG-IP dans le client Microsoft Entra. Les utilisateurs voient le nom, avec une icône, sur Mes applications Microsoft.

2. Ignorez Sign On URL (facultatif).

3. En regard de Signing Key et Certificat de signature, sélectionnez l’icône d’actualisation pour localiser le certificat que vous avez importé.

4. Dans La phrase secrète de la clé de signature, saisissez le mot de passe du certificat.

5. (Facultatif) Activez Option de signature pour vous assurer que BIG-IP accepte les jetons et les revendications signés par Microsoft Entra ID.

   

6. L’entrée pour Utilisateurs et groupes d’utilisateurs est interrogée dynamiquement.

   Important

   Ajoutez un utilisateur ou un groupe pour les tests ; sinon, tous les accès sont refusés. Dans Utilisateurs et groupes d’utilisateurs, sélectionnez + Ajouter.

   

Attributs utilisateur et revendications

Lorsqu’un utilisateur s’authentifie, Microsoft Entra ID émet un jeton SAML avec des revendications et des attributs qui identifient l’utilisateur. L’onglet Attributs utilisateur et revendications contient des revendications par défaut pour l’application. Utilisez cet onglet pour configurer d’autres revendications.

Incluez un attribut de plus :

1. Pour Nom d’en-tête, saisissez employeeid.

2. Pour Source Attribute, saisissez user.employeeid.

   

Attributs utilisateur supplémentaires

Sous l’onglet Attributs utilisateur supplémentaires, activez l’augmentation de session. Utilisez cette fonctionnalité pour les systèmes distribués tels qu’Oracle, SAP et d’autres implémentations JAVA qui nécessitent le stockage des attributs dans d’autres annuaires. Les attributs extraits à partir d’une source LDAP (Lightweight Directory Access Protocol) sont injectés en tant qu’en-têtes supplémentaires de l’authentification unique. Cette action permet de contrôler l’accès en fonction des rôles, des ID partenaire, etc.

Remarque

Cette fonctionnalité n’a aucune corrélation avec Microsoft Entra ID. Il s’agit d’une source d’attribut. 

Stratégie d’accès conditionnel

Les stratégies d’accès conditionnel contrôlent l’accès en fonction de l’appareil, de l’application, de la localisation et des signaux de risque.

• Dans Stratégies disponibles, recherchez les stratégies d’accès conditionnel sans action de l’utilisateur
• Dans Stratégies sélectionnées, recherchez la stratégie d’application cloud
  • Vous ne pouvez pas désélectionner ces stratégies ni les déplacer vers les stratégies disponibles, car elles sont appliquées au niveau d’un client

Pour sélectionner une stratégie à appliquer à l’application en cours de publication :

1. Sous l’onglet Stratégie d’accès conditionnel, dans la liste Stratégies disponibles, sélectionnez une stratégie.
2. Sélectionnez la flèche droite et déplacez-la vers la liste des Stratégies sélectionnées.

Remarque

Vous pouvez sélectionner l’option Inclure ou Exclure pour une stratégie. Si les deux options sont sélectionnées, la stratégie n’est pas appliquée.

Remarque

La liste des stratégies s’affiche lorsque vous sélectionnez l’onglet Stratégie d’accès conditionnel. Sélectionnez Actualiser et l’Assistant interroge le client. Actualiser apparaît après le déploiement d’une application.

Propriétés du serveur virtuel

Un serveur virtuel est un objet de plan de données BIG-IP représenté par une adresse IP virtuelle. Le serveur écoute les requêtes des clients adressées à l’application. Le trafic reçu est traité et évalué par rapport au profil APM associé au serveur virtuel. Le trafic est dirigé conformément à la stratégie.

1. Pour Adresses de destination, saisissez une adresse IPv4 ou IPv6 utilisée par BIG-IP pour recevoir le trafic client. Un enregistrement correspondant doit exister dans un serveur de noms de domaine (DNS) afin de permettre aux clients de résoudre l’URL externe de l’application BIG-IP publiée en cette adresse IP. Vous pouvez utiliser le DNS localhost de l’ordinateur à des fins de test.

2. Pour Port de service, saisissez 443, puis sélectionnez HTTPS.

3. Cochez la case Activer le port de redirection.

4. Saisissez une valeur pour Port de redirection. Cette option redirige le trafic entrant du client HTTP vers HTTPS.

5. Sélectionnez le profil SSL client que vous avez créé, ou laissez la valeur par défaut pendant les tests. Le profil SSL du client permet d’activer le serveur virtuel pour HTTPS afin que les connexions clientes soient chiffrées sur TLS.

   

Propriétés du pool

L’onglet Application Pool détaille les services derrière BIG-IP, représentés sous la forme d’un pool avec un ou plusieurs serveurs d’application.

1. Pour Sélectionnez un pool, sélectionnez Créer ou sélectionnez un autre pool.

2. Pour Méthode d’équilibrage de charge, sélectionnez Tournoi toutes rondes.

3. Pour Pool Servers, sélectionnez un nœud, ou sélectionnez une adresse IP et un port pour le serveur hébergeant l’application basée sur l’en-tête.

   

   Remarque

   L’application back-end Microsoft se trouve sur le port HTTP 80. Si vous sélectionnez HTTPS, utilisez 443.

Authentification unique et en-têtes HTTP

Avec l’authentification unique, les utilisateurs peuvent accéder aux services publiés BIG-IP sans avoir à saisir leurs identifiants. L’Assistant Easy Button prend en charge Kerberos, OAuth Bearer et les en-têtes d’autorisation HTTP pour l’authentification unique.

1. Dans Authentification unique et en-têtes HTTP, dans En-têtes SSO, pour En-tête d’opération, sélectionnez insérer

2. Pour Nom d’en-tête, utilisez upn.

3. Pour Valeur d’en-tête, utilisez %{session.saml.last.identity}.

4. Pour Opération d’en-tête, sélectionnez insert.

5. Pour Nom d’en-tête, utilisez employeeid.

6. Pour la Valeur d’en-tête, utilisez %{session.saml.last.attr.name.employeeid}.

   

   Remarque

   Les variables de session APM entre accolades respectent la casse. Les incohérences entraînent des échecs de mappage d’attributs.

Gestion des sessions

Utilisez les paramètres de gestion de session BIG-IP pour définir des conditions d’arrêt ou de continuation des sessions utilisateur.

Pour en savoir plus, accédez à support.f5.com et consultez K18390492 : Sécurité | Guide des opérations BIG-IP APM

La fonctionnalité Single Log Out (SLO) garantit que les sessions entre le fournisseur d’identité, BIG-IP et l’agent utilisateur se terminent lorsque les utilisateurs se déconnectent. Lorsque Easy Button instancie une application SAML dans votre client Microsoft Entra, il remplit l’URL de déconnexion avec le point de terminaison APM SLO. La déconnexion lancée par le fournisseur d’identité à partir de Mes applications met fin aux sessions BIG-IP et clientes.

En savoir plus : consultez Mes applications

Les métadonnées de fédération SAML pour l’application publiée sont importées à partir de votre client. L’import fournit à APM le point de terminaison de déconnexion SAML pour Microsoft Entra ID. Cette action garantit qu’une déconnexion lancée par le fournisseur de services met fin aux sessions entre un client et Microsoft Entra. Vérifiez qu’APM sait quand l’utilisateur se déconnecte.

Si le portail webtop BIG-IP accède aux applications publiées, APM traite la déconnexion pour appeler le point de terminaison de déconnexion Microsoft Entra. Si le portail webtop BIG-IP n’est pas utilisé, les utilisateurs ne peuvent pas demander à APM de se déconnecter. Si les utilisateurs se déconnectent de l’application, BIG-IP n’en a pas connaissance. Par conséquent, vérifiez que la déconnexion lancée par le fournisseur de services met fin de manière sécurisée aux sessions. Vous pouvez ajouter une fonction SLO au bouton Déconnexion d’une application. Ainsi, les clients sont redirigés vers le point de terminaison de déconnexion BIG-IP ou Microsoft Entra SAML. Pour localiser l’URL du point de terminaison de déconnexion SAML pour votre client, accédez à Inscriptions d‘applications > Points de terminaison.

Si vous ne pouvez pas modifier l’application, faites en sorte que BIG-IP écoute l’appel de déconnexion d’application et déclenche SLO.

En savoir plus :

• PeopleSoft Single Logout
• Accédez à support.f5.com pour consulter l’article :
  • K42052145 : Configuration de l’arrêt automatique de session (déconnexion) en fonction d’un nom de fichier référencé par un URI
  • K12056 : Vue d’ensemble de l’option Inclure l’URI de déconnexion.

Déployer

Le déploiement fournit une décomposition de vos configurations.

1. Pour valider les paramètres, sélectionnez Déployer.
2. Vérifiez l’application dans votre liste de clients d’applications d’entreprise.
3. L’application est publiée et accessible via SHA, avec son URL, ou dans les portails d’application Microsoft.

Test

1. Dans un navigateur, connectez-vous à l’URL externe de l’application ou sélectionnez l’icône de l’application dans Mes applications.
2. Authentifiez-vous auprès de Microsoft Entra ID.
3. Vous êtes redirigé vers le serveur virtuel BIG-IP pour l’application et connecté avec l’authentification unique.

La capture d’écran suivante montre la sortie des en-têtes injectés à partir de l’application basée sur l’en-tête.

Remarque

Vous pouvez bloquer l’accès direct à l’application en forçant l’adoption d’un chemin d’accès par le biais de BIG-IP.

Déploiement avancé

Dans certains scénarios, les modèles Guided Configuration manquent de flexibilité.

En savoir plus : Tutoriel : Configurer le manager de stratégie d’accès F5 BIG-IP pour l’authentification unique basée sur l’en-tête.

Vous pouvez désactiver le mode de gestion stricte configuration guidée dans BIG-IP. Ensuite, modifiez manuellement les configurations. Toutefois, la plupart des configurations sont automatisées avec des modèles d’Assistant.

1. Pour désactiver le mode strict, accédez à Accès > Configuration guidée.

2. Sur la ligne de la configuration de l’application, sélectionnez l’icône de cadenas.

3. Les objets BIG-IP associés à l’instance publiée de l’application sont ouverts à la gestion. Les modifications apportées avec l’Assistant ne sont plus possibles.

   

   Remarque

   Si vous réactivez le mode strict et déployez une configuration, l’action remplace les paramètres qui ne sont pas dans Guided Configuration. Nous vous recommandons la configuration avancée pour les services de production.

Dépannage

Utilisez les conseils suivants lors de la résolution des problèmes.

Verbosité du journal

Les journaux BIG-IP peuvent vous aider à isoler les problèmes liés à la connectivité, à l’authentification unique, aux stratégies ou aux mappages de variables mal configurés. Pour résoudre les problèmes, augmentez la verbosité du journal.

1. Accédez à Stratégie d’accès > Vue d'ensemble.
2. Sélectionnez Journaux des événements.
3. Sélectionnez Paramètres.
4. Sélectionnez la ligne de votre application publiée
5. Sélectionnez Modifier.
6. Sélectionnez Accéder aux journaux système.
7. Dans la liste de l’authentification unique, sélectionnez Déboguer.
8. Sélectionnez OK.
9. Reproduisez le problème.
10. Inspectez les journaux d'activité.

Remarque

Rétablissez cette fonctionnalité lorsque vous avez terminé. Le mode détaillé génère des données excessives.

Message d’erreur BIG-IP

Si un message d'erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, le problème peut être lié à l’authentification unique Microsoft Entra ID vers BIG-IP.

1. Accédez à Stratégie d’accès > Vue d'ensemble.
2. Sélectionnez Rapports d’accès.
3. Exécutez le rapport pour la dernière heure.
4. Passez en revue les journaux à la recherche d’indices.

Utilisez le lien Afficher les variables de session pour la session afin de déterminer si APM reçoit les revendications Microsoft Entra attendues.

Aucun message d’erreur BIG-IP

Si aucun message d’erreur BIG-IP n’apparaît, le problème peut être lié à la requête back-end ou à l’authentification unique entre BIG-IP et l’application.

1. Accédez à Stratégie d’accès > Vue d'ensemble.
2. Sélectionnez Sessions actives.
3. Sélectionnez le lien de session active.

Utilisez le lien Afficher les variables pour déterminer les problèmes d’authentification unique, en particulier si APM BIG-IP n’obtient pas les attributs corrects.

En savoir plus :

• Configurer authentification à distance LDAP pour Active Directory
• Accédez à techdocs.f5.com pour consulter Manual Chapter: LDAP Query