Tutorial: Mengonfigurasi F5 BIG-IP Access Policy Manager untuk akses menyeluruh berbasis header
Pelajari cara menerapkan akses hibrid aman (SHA) dengan akses menyeluruh (SSO) ke aplikasi berbasis header, menggunakan konfigurasi lanjutan F5 BIG-IP. Aplikasi yang diterbitkan BIG-IP dan manfaat konfigurasi Microsoft Entra:
- Meningkatkan tata kelola Zero Trust melalui pra-autentikasi Microsoft Entra dan Akses Bersyariah
- Lihat, Apa itu Akses Bersyar?
- Lihat, Keamanan Zero Trust
- SSO penuh antara ID Microsoft Entra dan layanan yang diterbitkan BIG-IP
- Identitas terkelola dan akses dari satu sarana kontrol
- Lihat, pusat admin Microsoft Entra
Selengkapnya:
Deskripsi Skenario
Untuk skenario ini, ada aplikasi warisan menggunakan header otorisasi HTTP untuk mengontrol akses ke konten yang dilindungi. Idealnya, MICROSOFT Entra ID mengelola akses aplikasi. Namun, warisan tidak memiliki protokol autentikasi modern. Modernisasi membutuhkan usaha dan waktu, sambil memperkenalkan biaya dan risiko waktu henti. Sebagai gantinya, sebarkan BIG-IP antara internet publik dan aplikasi internal untuk gerbang akses masuk ke aplikasi.
BIG-IP di depan aplikasi memungkinkan overlay layanan dengan preauthentication Microsoft Entra dan SSO berbasis header. Konfigurasi meningkatkan postur keamanan aplikasi.
Arsitektur skenario
Solusi akses hibrid aman untuk skenario ini terdiri dari:
- Aplikasi - Layanan yang diterbitkan BIG-IP yang akan dilindungi oleh Microsoft Entra SHA
- Id Microsoft Entra - IdP (IdP) Security Assertion Markup Language (SAML) yang memverifikasi kredensial pengguna, Akses Bersyarat, dan SSO ke BIG-IP
- Dengan SSO, MICROSOFT Entra ID menyediakan atribut sesi BIG-IP yang diperlukan, termasuk pengidentifikasi pengguna
- BIG-IP - proksi terbalik dan penyedia layanan SAML (SP) ke aplikasi, mendelegasikan autentikasi ke IDP SAML, sebelum SSO berbasis header ke aplikasi back-end
Diagram berikut mengilustrasikan alur pengguna dengan ID Microsoft Entra, BIG-IP, APM, dan aplikasi.
- Pengguna terhubung ke titik akhir SAML SP aplikasi (BIG-IP).
- Kebijakan akses BIG-IP APM mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP).
- Microsoft Entra melakukan pra-autentikasi pengguna dan menerapkan kebijakan ConditionalAccess.
- Pengguna dialihkan ke BIG-IP (SAML SP) dan SSO terjadi menggunakan token SAML yang dikeluarkan.
- BIG-IP menyuntikkan atribut Microsoft Entra sebagai header dalam permintaan ke aplikasi.
- Aplikasi mengotorisasi permintaan dan mengembalikan payload.
Prasyarat
Untuk skenario yang Anda butuhkan:
- Langganan Azure
- Jika Anda tidak memilikinya, dapatkan akun gratis Azure
- Salah satu peran berikut: Administrator Global, Administrator Aplikasi Cloud, atau Administrator Aplikasi
- BIG-IP atau menyebarkan BIG-IP Virtual Edition (VE) di Azure
- Salah satu lisensi F5 BIG-IP berikut:
- F5 BIG-IP® Bundel terbaik
- Lisensi mandiri F5 BIG-IP Access Policy Manager™ (APM)
- Lisensi add-on F5 BIG-IP Access Policy Manager™ (APM) pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
- Uji coba fitur lengkap BIG-IP 90 hari. Lihat, Uji Coba Gratis.
- Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra
- Sertifikat SSL untuk menerbitkan layanan melalui HTTPS, atau menggunakan sertifikat default saat pengujian
- Lihat, profil SSL
- Aplikasi berbasis header atau aplikasi header IIS untuk pengujian
Metode konfigurasi BIG-IP
Instruksi berikut adalah metode konfigurasi tingkat lanjut, cara fleksibel untuk mengimplementasikan SHA. Buat objek konfigurasi BIG-IP secara manual. Gunakan metode ini untuk skenario yang tidak disertakan dalam templat Konfigurasi Terpandu.
Catatan
Ganti contoh string atau nilai dengan yang berasal dari lingkungan Anda.
Menambahkan F5 BIG-IP dari galeri Microsoft Entra
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Untuk menerapkan SHA, langkah pertama adalah menyiapkan kepercayaan federasi SAML antara BIG-IP APM dan ID Microsoft Entra. Kepercayaan ini menetapkan integrasi bagi BIG-IP untuk menyerahkan praauthentication dan Akses Bersyariah ke ID Microsoft Entra, sebelum memberikan akses ke layanan yang diterbitkan.
Pelajari selengkapnya: Apa itu Akses Bersyar?
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.
Di pita atas, pilih + Aplikasi baru.
Di galeri, cari F5.
Pilih integrasi F5 BIG-IP APM Microsoft Entra ID.
Masukkan Nama aplikasi.
Pilih Tambahkan/Buat.
Nama mencerminkan layanan.
Mengonfigurasi SSO Microsoft Entra
Properti aplikasi F5 baru muncul
Pilih Kelola>Akses menyeluruh
Di halaman Pilih metode akses menyeluruh, pilih SAML.
Lewati perintah untuk menyimpan pengaturan akses menyeluruh.
Pilih Tidak, saya akan menyimpan nanti.
Pada Siapkan akses menyeluruh dengan SAML, untuk Konfigurasi SAML Dasar, pilih ikon pena .
Ganti URL Pengidentifikasi dengan URL layanan yang diterbitkan BIG-IP. Misalnya:
https://mytravel.contoso.com
Ulangi untuk URL Balasan dan sertakan jalur titik akhir SAML APM. Misalnya:
https://mytravel.contoso.com/saml/sp/profile/post/acs
Catatan
Dalam konfigurasi ini, alur SAML beroperasi dalam mode IdP: ID Microsoft Entra mengeluarkan pernyataan SAML kepada pengguna sebelum dialihkan ke titik akhir layanan BIG-IP untuk aplikasi. BIG-IP APM mendukung mode IdP dan SP.
Untuk URI Keluar, masukkan titik akhir BIG-IP APM Single Logout (SLO), yang sebelumnya ditujukan oleh header host layanan. URI SLO memastikan sesi APM BIG-IP pengguna berakhir setelah microsoft Entra keluar. Misalnya,
https://mytravel.contoso.com/saml/sp/profile/redirect/slr
Catatan
Dari sistem operasi Manajemen Lalu Lintas (TMOS) v16 dan seterusnya, titik akhir SLO SAML berubah menjadi
/saml/sp/profile/redirect/slo
.Pilih Simpan.
Keluar dari konfigurasi SAML.
Lewati perintah pengujian SSO.
Untuk mengedit Atribut Pengguna & Klaim > + Tambahkan klaim baru, pilih ikon pena .
Untuk Nama pilih Employeeid.
Untuk Atribut sumber pilih user.employeeid.
Pilih Simpan
- Pilih + Tambahkan klaim grup
- Pilih Grup yang ditetapkan ke Atribut>Sumber aplikasi>sAMAccountName.
- Pilih Simpan konfigurasi.
- Tutup tampilan.
- Amati properti bagian Atribut & Klaim Pengguna. ID Microsoft Entra mengeluarkan properti pengguna untuk autentikasi BIG-IP APM dan SSO ke aplikasi back-end.
Catatan
Tambahkan klaim lain yang diharapkan aplikasi yang diterbitkan BIG-IP sebagai header. Klaim yang lebih ditentukan dikeluarkan jika berada di ID Microsoft Entra. Tentukan keanggotaan direktori dan objek pengguna di ID Microsoft Entra sebelum klaim dapat dikeluarkan. Lihat, Mengonfigurasi klaim grup untuk aplikasi dengan menggunakan ID Microsoft Entra.
- Di bagian Sertifikat Penandatanganan SAML, pilih Unduh.
- File XML Metadata Federasi disimpan di komputer Anda.
Sertifikat penandatanganan SAML yang dibuat oleh Microsoft Entra ID memiliki masa pakai tiga tahun.
Otorisasi Microsoft Entra
Secara default, ID Microsoft Entra mengeluarkan token kepada pengguna yang diberikan akses ke aplikasi.
- Masih dalam tampilan konfigurasi aplikasi, pilih Pengguna dan grup.
- Pilih + Tambahkan pengguna dan di Tambahkan Penugasan, pilih Pengguna dan grup.
- Dalam dialog Pengguna dan grup, tambahkan grup pengguna yang berwenang untuk mengakses aplikasi berbasis header.
- Pilih Pilih.
- Pilih Tetapkan.
Kepercayaan federasi Microsoft Entra SAML selesai. Selanjutnya, siapkan BIG-IP APM untuk menerbitkan aplikasi web, dikonfigurasi dengan properti untuk menyelesaikan kepercayaan pra-autentikasi SAML.
Konfigurasi tingkat lanjut
Gunakan bagian berikut untuk mengonfigurasi SAML, header SSO, profil akses, dan lainnya.
Konfigurasi SAML
Untuk menggabungkan aplikasi yang diterbitkan dengan MICROSOFT Entra ID, buat penyedia layanan SAML BIG-IP dan objek IdP SAML yang sesuai.
Pilih Akses>Federasi>Penyedia Layanan SAML>Layanan SP Lokal>Buat.
Masukkan nama .
Masukkan ID Entitas yang ditentukan dalam ID Microsoft Entra.
Untuk nama SP Pengaturan, buat pilihan jika ID Entitas tidak cocok dengan nama host URL yang diterbitkan, atau buat pilihan jika tidak dalam format URL berbasis nama host biasa. Berikan skema eksternal dan nama host aplikasi jika ID entitas adalah
urn:mytravel:contosoonline
.Gulir ke bawah untuk memilih objek SAML SP baru.
Pilih Ikat/UnBind IdP Koneksi ors.
Pilih Buat Koneksi IdP Baru.
Dari menu drop-down, pilih Dari Metadata.
Telusuri ke file XML metadata federasi yang Anda unduh.
Masukkan Nama Penyedia Identitas untuk objek APM untuk IdP SAML eksternal. Misalnya:
MyTravel_EntraID
- Pilih Tambahkan Baris Baru.
- Pilih Koneksi or IdP SAML baru.
- Pilih Perbarui.
- Pilih OK.
Konfigurasi SSO header
Buat objek SSO APM.
Pilih Buat Kebijakan Profil/Kebijakan>Akses>Per Permintaan.>
Masukkan nama .
Tambahkan setidaknya satu Bahasa yang Diterima.
Pilih Selesai.
Untuk kebijakan per permintaan baru, pilih Edit.
Editor kebijakan visual dimulai.
Di bawah fallback, pilih + simbol .
Pada tab Tujuan Umum, pilih Header>HTTP Tambahkan Item.
Pilih Tambahkan entri baru.
Buat tiga entri modifikasi HTTP dan Header.
Untuk Nama Header, masukkan upn.
Untuk Nilai Header, masukkan %{session.saml.last.identity}.
Untuk Nama Header, masukkan employeeid.
Untuk Nilai Header, masukkan %{session.saml.last.attr.name.employeeid}.
Untuk Nama Header, masukkan group_authz.
Untuk Nilai Header, masukkan %{session.saml.last.attr.name.
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
}.
Catatan
Variabel sesi APM dalam tanda kurung kurawal peka huruf besar/kecil. Kami sarankan Anda menentukan atribut dalam huruf kecil.
- Pilih Simpan.
- Tutup editor kebijakan visual.
Mengakses konfigurasi profil
Profil akses mengikat banyak elemen APM yang mengelola akses ke server virtual BIG-IP, termasuk kebijakan akses, konfigurasi SSO, dan pengaturan UI.
Pilih Profil Akses>/ Profil Akses Kebijakan>(Kebijakan Per Sesi)>Buat.
Untuk Nama, masukkan MyTravel.
Untuk Jenis Profil, pilih Semua.
Untuk Bahasa yang Diterima, pilih setidaknya satu bahasa.
pilih Selesai.
Untuk profil per sesi yang Anda buat, pilih Edit.
Editor kebijakan visual dimulai.
Di bawah fallback, pilih + simbol .
Pilih Autentikasi>SAML Auth>Tambahkan Item.
Untuk konfigurasi SP autentikasi SAML, dari menu dropdown AAA Server, pilih objek SAML SP yang Anda buat.
Pilih Simpan.
Pemetaan atribut
Instruksi berikut bersifat opsional. Dengan konfigurasi LogonID_Mapping, daftar sesi aktif BIG-IP memiliki nama prinsipal pengguna (UPN) yang masuk, bukan nomor sesi. Gunakan data ini saat menganalisis log atau pemecahan masalah.
Untuk cabang SAML Auth Successful , pilih + simbol .
Di pop-up, pilih Variabel Penugasan>Tetapkan>Tambahkan Item.
Masukkan Nama
Di bagian Tetapkan Variabel, pilih Tambahkan perubahan entri>baru. Misalnya, LogonID_Mapping.
Untuk Variabel Kustom, atur session.saml.last.identity.
Untuk Variabel Sesi, atur session.logon.last.username.
Pilih Selesai.
PilihSimpan.
Pada cabang Kebijakan Akses Berhasil , pilih terminal Tolak .
Pilih Izinkan.
Pilih Simpan.
Pilih Terapkan Kebijakan Akses.
Tutup editor kebijakan visual.
Konfigurasi kumpulan ujung-belakang
Untuk mengaktifkan BIG-IP untuk meneruskan lalu lintas klien dengan benar, buat objek simpul APM yang mewakili server back-end yang menghosting aplikasi Anda. Tempatkan simpul di kumpulan APM.
Pilih Buat Daftar > Kumpulan > Lalu Lintas > Lokal.
Untuk objek kumpulan server, masukkan Nama. Misalnya, MyApps_VMs.
Tambahkan objek anggota kumpulan.
Untuk Nama Simpul, masukkan nama untuk server yang menghosting aplikasi web back-end.
Untuk Alamat, masukkan alamat IP server yang menghosting aplikasi.
Untuk Port Layanan, masukkan port HTTP/S yang didengarkan aplikasi.
Pilih Tambahkan.
Catatan
Untuk mempelajari selengkapnya, buka my.f5.com untuk K13397: Gambaran umum pemformatan permintaan monitor kesehatan HTTP untuk sistem DNS BIG-IP.
Konfigurasi server virtual
Server virtual adalah objek pesawat data BIG-IP yang diwakili oleh alamat IP virtual yang mendengarkan permintaan klien ke aplikasi. Lalu lintas yang diterima diproses dan dievaluasi dengan profil akses APM yang terkait dengan server virtual. Lalu lintas diarahkan sesuai dengan kebijakan.
Pilih Lalu Lintas Lokal>Server Virtual>Daftar Server Virtual>Buat.
Masukkan Nama server virtual.
Untuk Alamat Tujuan/Masker, pilih Host
Masukkan IP IPv4 atau IPv6 yang tidak digunakan untuk ditetapkan ke BIG-IP untuk menerima lalu lintas klien.
Untuk Port Layanan, pilih Port, 443, dan HTTPS.
Untuk Profil HTTP (Klien), pilih http.
Untuk Profil SSL (Klien), pilih profil SSL klien yang Anda buat, atau biarkan default untuk pengujian.
Untuk Terjemahan Alamat Sumber, pilih Peta Otomatis.
Untuk Kebijakan Akses, pilih Profil Akses yang dibuat sebelumnya. Tindakan ini mengikat profil preauthentication Microsoft Entra SAML dan header kebijakan SSO ke server virtual.
Untuk Kebijakan Per Permintaan, pilih SSO_Headers.
- Untuk Kumpulan Default, pilih objek kumpulan back-end yang Anda buat.
- Pilih Selesai.
Manajemen sesi
Gunakan pengaturan manajemen sesi BIG-IP untuk menentukan kondisi penghentian atau kelanjutan sesi pengguna. Buat kebijakan dengan Profil Akses Kebijakan>Akses. Pilih aplikasi dari daftar.
Mengenai fungsionalitas SLO, SLO URI di MICROSOFT Entra ID memastikan keluar yang dimulai IdP dari portal MyApps mengakhiri sesi antara klien dan BIG-IP APM. Federasi aplikasi yang diimpor metadata.xml menyediakan APM dengan titik akhir keluar Microsoft Entra SAML, untuk keluar yang dimulai SP. Oleh karena itu, aktifkan APM untuk mengetahui kapan pengguna keluar.
Jika tidak ada portal web BIG-IP, pengguna tidak dapat menginstruksikan APM untuk keluar. Jika pengguna keluar dari aplikasi, BIG-IP tidak menghiraukan tindakan tersebut. Sesi aplikasi dapat dipulangkan melalui SSO. Oleh karena itu, keluar yang dimulai SP membutuhkan pertimbangan yang cermat.
Untuk memastikan sesi dihentikan dengan aman, tambahkan fungsi SLO ke tombol Keluar aplikasi Anda. Aktifkan untuk mengalihkan klien ke titik akhir keluar Microsoft Entra SAML. Untuk titik akhir keluar SAML untuk penyewa Anda, buka Titik Akhir Pendaftaran>Aplikasi.
Jika Anda tidak dapat mengubah aplikasi, aktifkan BIG-IP untuk mendengarkan panggilan keluar aplikasi dan memicu SLO. Untuk mempelajari selengkapnya:
- Buka support.f5.com untuk K42052145: Mengonfigurasi penghentian sesi otomatis (keluar) berdasarkan nama file yang dirujuk URI
- Buka my.f5.com untuk K12056: Gambaran Umum opsi Sertakan URI Keluar
Sebarkan
- Pilih Sebarkan untuk menerapkan pengaturan.
- Verifikasi aplikasi muncul di penyewa Anda.
- Aplikasi ini diterbitkan dan dapat diakses melalui SHA, dengan URL atau portal Microsoft-nya.
Uji
Lakukan pengujian berikut sebagai pengguna.
Pilih URL eksternal aplikasi, atau di portal MyApps pilih ikon aplikasi.
Autentikasi ke ID Microsoft Entra.
Pengalihan terjadi ke server virtual BIG-IP untuk aplikasi dan masuk dengan SSO.
Output header yang disuntikkan muncul oleh aplikasi berbasis header.
Untuk peningkatan keamanan, blokir akses langsung ke aplikasi, menegakkan jalur melalui BIG-IP.
Pemecahan Masalah
Gunakan panduan berikut untuk pemecahan masalah.
Verbositas log
Log BIG-IP memiliki informasi untuk membantu mengisolasi masalah autentikasi dan SSO. Tingkatkan tingkat verbositas log:
- Buka Log Peristiwa Gambaran Umum>Kebijakan>Akses.
- Pilih pengaturan.
- Pilih baris aplikasi yang anda terbitkan.
- Pilih Edit>Log Sistem Akses.
- Dari daftar SSO, pilih Debug.
- Pilih OK.
- Rekonstruksi masalah tersebut.
- Tinjau log.
- Setelah selesai, kembalikan pengaturan.
Pesan kesalahan BIG-IP
Jika kesalahan BIG-IP muncul setelah pengalihan, masalah kemungkinan terkait dengan SSO dari ID Microsoft Entra ke BIG-IP.
- Navigasi ke Gambaran Umum Kebijakan>Akses.
- Pilih Akses laporan.
- Jalankan laporan selama satu jam terakhir.
- Tinjau log untuk petunjuk.
- Untuk sesi Anda, pilih tautan Tampilkan variabel sesi.
- Verifikasi bahwa APM menerima klaim yang diharapkan dari ID Microsoft Entra.
Tidak ada pesan kesalahan BIG-IP
Jika tidak ada pesan kesalahan BIG-IP yang muncul, masalahnya mungkin lebih terkait dengan SSO dari BIG-IP ke aplikasi backend.
- Navigasi ke Gambaran Umum Kebijakan>Akses.
- Pilih Sesi Aktif.
- Pilih tautan untuk sesi aktif Anda.
- Pilih tautan Lihat Variabel untuk menentukan masalah SSO apa pun.
- Konfirmasikan APM BIG-IP gagal atau berhasil mendapatkan pengidentifikasi pengguna dan domain yang benar.
Selengkapnya:
- Buka devcentral.f5.com untuk contoh penetapan variabel APM
- Buka techdocs.f5.com untuk BIG-IP Access Policy Manager: Visual Policy Editor