Integrasikan F5 BIG-IP dengan Azure Active Directory

Perkembangan mobilitas dan lanskap ancaman yang berkembang menempatkan pengawasan ekstra pada akses dan tata kelola sumber daya, menempatkan Zero Trust di depan dan pusat semua program modernisasi. Di Microsoft dan F5, kami menyadari bahwa transformasi digital ini biasanya merupakan perjalanan bertahun-tahun untuk bisnis apa pun, yang berpotensi mengekspos sumber daya penting hingga berhasil dimodernisasi. Asal mula F5 BIG-IP dan Azure Active Directory Secure Hybrid Access (SHA) tidak hanya bertujuan untuk meningkatkan akses jarak jauh ke aplikasi lokal, tetapi juga untuk menguatkan postur keamanan layanan warisan yang rentan secara keseluruhan.

Untuk konteksnya, penelitian memperkirakan bahwa 60-80% aplikasi lokal merupakan warisan, atau dengan kata lain tidak mampu diintegrasikan langsung dengan Azure Active Directory (AD). Studi yang sama juga menunjukkan sebagian besar sistem ini berjalan pada versi tingkat bawah SAP, Oracle, SAGE, dan beban kerja terkenal lainnya yang menyediakan layanan penting.

SHA membahas titik buta ini dengan memungkinkan organisasi terus menggunakan investasi F5 mereka untuk jaringan unggul dan pengiriman aplikasi. Digabungkan dengan Azure AD, SHA menjembatani lanskap aplikasi heterogen dengan sarana kontrol Identitas modern.

Memiliki akses pra-autentikasi Azure AD ke layanan yang diterbitkan BIG-IP memberikan banyak keuntungan:

Deskripsi skenario

Sebagai Application Delivery Controller (ADC) dan SSL-VPN, sistem BIG-IP menyediakan akses lokal dan jarak jauh ke semua jenis layanan termasuk:

  • Aplikasi web modern dan warisan

  • Aplikasi berbasis non-web

  • Layanan REST dan SOAP Web API

Local Traffic Manager (LTM) memungkinkan penerbitan layanan yang aman, sementara Access Policy Manager (APM) yang canggih semakin memperluas fungsionalitas BIG-IP dengan serangkaian kemampuan yang kaya, memungkinkan federasi identitas dan Akses Menyeluruh (SSO).

Melalui integrasi ini, Anda mencapai transisi protokol yang diperlukan untuk mengamankan layanan warisan atau yang tidak terintegrasi dengan Azure AD dengan kontrol modern seperti Autentikasi tanpa kata sandi dan Akses Bersyarat. Dalam skenario ini, BIG-IP terus memenuhi peran utamanya sebagai proksi terbalik, sambil melepaskan pra-autentikasi dan otorisasi ke Azure AD, berdasarkan per layanan.

Integrasi ini didasarkan pada kepercayaan federasi standar antara APM dan Azure AD, umum untuk sebagian besar kasus penggunaan SHA termasuk skenario SSL-VPN. Sumber daya Security Assertion Markup Language (SAML), OAuth, dan Open ID Connect (OIDC) juga termasuk, karena sumber daya tersebut juga dapat diamankan melalui SHA.

Ketika digunakan untuk akses lokal dan jarak jauh, BIG-IP juga dapat menjadi titik hambatan untuk akses Zero Trust ke semua layanan, termasuk aplikasi SaaS.

Langkah 1-4 dalam diagram menggambarkan pertukaran pra-autentikasi ujung depan antara pengguna, BIG-IP, dan Azure AD, dalam alur yang dimulai penyedia layanan (SP). Langkah 5-6 menunjukkan pengayaan sesi APM berikutnya dan SSO ke layanan backend individual.

Gambar menunjukkan arsitektur tingkat tinggi

Langkah Deskripsi
1. Pengguna memilih ikon aplikasi di portal, menyelesaikan URL ke SAML SP (BIG-IP)
2. BIG-IP mengalihkan pengguna ke SAML IDP (Azure AD) untuk pra-autentikasi
3. Azure AD memproses kebijakan Akses Bersyarat dan kontrol sesi untuk otorisasi
4. Pengguna mengalihkan kembali ke BIG-IP yang memberikan klaim SAML yang dikeluarkan oleh Azure AD
5. BIG-IP meminta informasi sesi tambahan apa pun untuk disertakan dalam SSO dan Kontrol akses berbasis peran (RBAC) ke layanan yang diterbitkan
6. BIG-IP meneruskan permintaan klien ke layanan backend

Pengalaman pengguna

Baik karyawan langsung, afiliasi, atau konsumen, sebagian besar pengguna sudah mengetahui pengalaman masuk Office 365, sehingga mengakses layanan BIG-IP melalui SHA sudah banyak dipahami.

Sekarang pengguna dapat menemukan bahwa layanan yang diterbitkan BIG-IP mereka terkonsolidasi di Portal MyApps atau landasan peluncuran O365 Microsoft bersama dengan kemampuan layanan mandiri ke serangkaian layanan yang lebih luas, apa pun jenis perangkat atau lokasinya. Pengguna bahkan dapat terus mengakses layanan yang diterbitkan secara langsung melalui portal Webtop milik BIG-IP, jika mau. Saat keluar, SHA memastikan sesi pengguna dihentikan di kedua ujungnya, BIG-IP dan Azure AD, memastikan layanan tetap terlindungi sepenuhnya dari akses yang tidak sah.

Pengguna mengakses portal Microsoft MyApps untuk menemukan layanan dengan mudah yang dipublikasikan BIG-IP mereka dan untuk mengelola properti akun mereka.

Cuplikan layar menunjukkan galeri woodgrove myapps

Cuplikan layar menunjukkan halaman layanan mandiri woodgrove myaccounts

Wawasan dan analitik

Peran BIG-IP sangat penting bagi bisnis apa pun, jadi instans BIG-IP yang disebarkan harus dipantau untuk memastikan layanan yang diterbitkan sangat tersedia, baik di tingkat SHA maupun secara operasional juga.

Beberapa opsi ada untuk mencatat peristiwa baik secara lokal, atau jarak jauh melalui solusi Security Information and Event Management (SIEM), memungkinkan penyimpanan dan pemrosesan telemetri di luar kotak. Solusi yang sangat efektif untuk memantau aktivitas khusus Azure Active Directory dan SHA adalah menggunakan Azure Monitor dan Microsoft Sentinel, yang bersama-sama menawarkan:

  • Gambaran umum mendetail tentang organisasi Anda, kemungkinan di berbagai cloud, dan lokasi lokal, termasuk infrastruktur BIG-IP

  • Bidang kontrol tunggal memberikan tampilan gabungan dari semua sinyal, menghindari ketergantungan pada alat yang rumit dan berbeda

Gambar menunjukkan alur pemantauan

Prasyarat

Mengintegrasikan F5 BIG-IP dengan Azure AD untuk SHA memiliki prasyarat berikut:

  • Instans F5 BIG-IP yang berjalan di salah satu platform berikut:

    • Peralatan fisik

    • Hypervisor Virtual Edition seperti Microsoft Hyper-V, VMware ESXi, Linux KVM, dan Citrix Hypervisor

    • Cloud Virtual Edition seperti Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack, dan Google Cloud

      Lokasi aktual instans BIG-IP dapat berada di lokasi lokal atau platform cloud apa pun yang didukung termasuk Azure, asalkan memiliki konektivitas ke Internet, sumber daya yang diterbitkan, dan layanan lain yang diperlukan seperti Direktori Aktif.

  • Lisensi APM F5 BIG-IP yang aktif, melalui salah satu opsi berikut:

    • F5 BIG-IP® Bundel terbaik

    • Lisensi mandiri F5 BIG-IP Access Policy Manager™

    • Lisensi add-on F5 BIG-IP Access Policy Manager™ (APM) pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) yang ada

    • Lisensi uji coba BIG-IP Access Policy Manager™ (APM) 90 hari

  • Lisensi Azure AD melalui salah satu opsi berikut:

Tidak ada pengalaman sebelumnya atau pengetahuan F5 BIG-IP yang diperlukan untuk menerapkan SHA, tetapi sebaiknya pahami terminologi F5 BIG-IP. Basis pengetahuan F5 yang kaya juga merupakan tempat yang baik untuk mulai membuat pengetahuan BIG-IP.

Skenario konfigurasi

Mengonfigurasi BIG-IP for SHA dicapai dengan menggunakan salah satu dari banyak metode yang tersedia, termasuk beberapa opsi berbasis templat, atau konfigurasi manual. Tutorial berikut memberikan panduan mendetail tentang menerapkan beberapa pola yang lebih umum untuk akses hibrida yang aman pada BIG-IP dan Azure AD.

Konfigurasi lanjutan

Pendekatan lanjutan menyediakan cara yang lebih rumit, namun fleksibel dalam mengimplementasikan SHA dengan membuat semua objek konfigurasi BIG-IP secara manual. Anda akan menggunakan pendekatan ini untuk skenario yang tidak tercakup oleh templat konfigurasi terpandu.

Lihat tutorial konfigurasi tingkat lanjut berikut untuk persyaratan integrasi Anda:

Konfigurasi Terpandu dan templat Easy Button

Wizard Konfigurasi Terpandu, tersedia dari BIG-IP versi 13.1 bertujuan untuk meminimalkan waktu dan upaya menerapkan skenario penerbitan BIG-IP umum. Kerangka kerja berbasis alur kerjanya memberikan pengalaman penyebaran intuitif yang disesuaikan dengan topologi akses tertentu.

Versi 16.x dari Konfigurasi Terpandu kini menawarkan fitur Easy Button. Dengan Easy Button, admin tidak lagi bolak-balik antara Azure AD dan BIG-IP guna mengaktifkan layanan untuk SHA. Penyebaran end-to-end dan manajemen kebijakan ditangani langsung antara wizard Konfigurasi Terpandu APM dan Microsoft Graph. Integrasi yang kaya antara APM BIG-IP dan Azure AD ini memastikan aplikasi dapat dengan cepat dan mudah mendukung federasi identitas, SSO, dan Akses Bersyarat Azure AD, tanpa overhead manajemen yang harus dilakukan per aplikasi.

Lihat tutorial konfigurasi terpandu berikut menggunakan templat Easy Button untuk persyaratan integrasi Anda:

Akses tamu Microsoft Azure AD B2B

Akses tamu Azure AD B2B ke aplikasi yang dilindungi SHA juga dimungkinkan, tetapi beberapa skenario mungkin memerlukan beberapa langkah tambahan yang tidak tercakup dalam tutorial. Salah satu contohnya adalah Kerberos SSO, di mana BIG-IP akan melakukan delegasi terbatas kerberos (KCD) untuk mendapatkan tiket layanan dari pengendali domain. Tanpa representasi lokal dari pengguna tamu yang tersedia secara lokal, pengendali domain akan gagal memenuhi permintaan atas dasar bahwa pengguna tidak tersedia. Untuk mendukung skenario ini, Anda perlu memastikan identitas eksternal dialirkan dari penyewa Azure AD anda ke direktori yang digunakan oleh aplikasi. Lihat Memberikan pengguna B2B di Azure Active Directory akses ke aplikasi lokal Anda sebagai panduan.

Langkah berikutnya

Pertimbangkan untuk menjalankan Proof of concept (POC) SHA menggunakan infrastruktur BIG-IP yang ada, atau dengan Menyebarkan mesin virtual BIG-IP Virtual Edition (VE) ke dalam Azure. Menyebarkan mesin virtual BIG-IP Virtual Edition (VE) di Azure memerlukan waktu sekitar 30 menit, yang mana Anda akan memiliki:

  • Platform yang sepenuhnya aman untuk membuat model pilot SHA

  • Contoh praproduksi untuk menguji pembaruan dan hotfix sistem BIG-IP baru

Anda harus mengidentifikasi satu atau dua aplikasi yang dapat diterbitkan melalui BIG-IP dan dilindungi dengan SHA.

Rekomendasi kami adalah memulai dengan aplikasi yang belum diterbitkan melalui BIG-IP, sehingga dapat menghindari potensi gangguan pada layanan produksi. Pedoman yang disebutkan dalam artikel ini akan membantu Anda memahami prosedur umum untuk membuat berbagai objek konfigurasi BIG-IP dan menyiapkan SHA. Setelah selesai, Anda akan dapat melakukan hal yang sama dengan layanan baru lainnya, ditambah juga memiliki pengetahuan yang cukup untuk mengonversi layanan yang diterbitkan BIG-IP yang ada menjadi SHA dengan upaya minimal.

Panduan interaktif di bawah menjelaskan prosedur tingkat tinggi untuk menerapkan SHA menggunakan templat yang bukan Easy Button dan melihat pengalaman pengguna akhir.

Gambar menunjukkan sampul panduan interaktif

Sumber Daya Tambahan: