Tutorial: Mengonfigurasi F5 BIG-IP Access Policy Manager untuk akses menyeluruh berbasis header

  • Artikel

Pelajari cara menerapkan akses hibrid aman (SHA) dengan akses menyeluruh (SSO) ke aplikasi berbasis header, menggunakan konfigurasi lanjutan F5 BIG-IP. Aplikasi yang diterbitkan BIG-IP dan manfaat konfigurasi Microsoft Entra:

Selengkapnya:

Deskripsi Skenario

Untuk skenario ini, ada aplikasi warisan menggunakan header otorisasi HTTP untuk mengontrol akses ke konten yang dilindungi. Idealnya, MICROSOFT Entra ID mengelola akses aplikasi. Namun, warisan tidak memiliki protokol autentikasi modern. Modernisasi membutuhkan usaha dan waktu, sambil memperkenalkan biaya dan risiko waktu henti. Sebagai gantinya, sebarkan BIG-IP antara internet publik dan aplikasi internal untuk gerbang akses masuk ke aplikasi.

BIG-IP di depan aplikasi memungkinkan overlay layanan dengan preauthentication Microsoft Entra dan SSO berbasis header. Konfigurasi meningkatkan postur keamanan aplikasi.

Arsitektur skenario

Solusi akses hibrid aman untuk skenario ini terdiri dari:

  • Aplikasi - Layanan yang diterbitkan BIG-IP yang akan dilindungi oleh Microsoft Entra SHA
  • Id Microsoft Entra - IdP (IdP) Security Assertion Markup Language (SAML) yang memverifikasi kredensial pengguna, Akses Bersyarat, dan SSO ke BIG-IP
    • Dengan SSO, MICROSOFT Entra ID menyediakan atribut sesi BIG-IP yang diperlukan, termasuk pengidentifikasi pengguna
  • BIG-IP - proksi terbalik dan penyedia layanan SAML (SP) ke aplikasi, mendelegasikan autentikasi ke IDP SAML, sebelum SSO berbasis header ke aplikasi back-end

Diagram berikut mengilustrasikan alur pengguna dengan ID Microsoft Entra, BIG-IP, APM, dan aplikasi.

Diagram alur pengguna dengan ID Microsoft Entra, BIG-IP, APM, dan aplikasi

  1. Pengguna terhubung ke titik akhir SAML SP aplikasi (BIG-IP).
  2. Kebijakan akses BIG-IP APM mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP).
  3. Microsoft Entra melakukan pra-autentikasi pengguna dan menerapkan kebijakan ConditionalAccess.
  4. Pengguna dialihkan ke BIG-IP (SAML SP) dan SSO terjadi menggunakan token SAML yang dikeluarkan.
  5. BIG-IP menyuntikkan atribut Microsoft Entra sebagai header dalam permintaan ke aplikasi.
  6. Aplikasi mengotorisasi permintaan dan mengembalikan payload.

Prasyarat

Untuk skenario yang Anda butuhkan:

  • Langganan Azure
  • Salah satu peran berikut: Administrator Global, Administrator Aplikasi Cloud, atau Administrator Aplikasi
  • BIG-IP atau menyebarkan BIG-IP Virtual Edition (VE) di Azure
  • Salah satu lisensi F5 BIG-IP berikut:
    • F5 BIG-IP® Bundel terbaik
    • Lisensi mandiri F5 BIG-IP Access Policy Manager™ (APM)
    • Lisensi add-on F5 BIG-IP Access Policy Manager™ (APM) pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Uji coba fitur lengkap BIG-IP 90 hari. Lihat, Uji Coba Gratis.
  • Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra
  • Sertifikat SSL untuk menerbitkan layanan melalui HTTPS, atau menggunakan sertifikat default saat pengujian
  • Aplikasi berbasis header atau aplikasi header IIS untuk pengujian

Metode konfigurasi BIG-IP

Instruksi berikut adalah metode konfigurasi tingkat lanjut, cara fleksibel untuk mengimplementasikan SHA. Buat objek konfigurasi BIG-IP secara manual. Gunakan metode ini untuk skenario yang tidak disertakan dalam templat Konfigurasi Terpandu.

Catatan

Ganti contoh string atau nilai dengan yang berasal dari lingkungan Anda.

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk menerapkan SHA, langkah pertama adalah menyiapkan kepercayaan federasi SAML antara BIG-IP APM dan ID Microsoft Entra. Kepercayaan ini menetapkan integrasi bagi BIG-IP untuk menyerahkan praauthentication dan Akses Bersyariah ke ID Microsoft Entra, sebelum memberikan akses ke layanan yang diterbitkan.

Pelajari selengkapnya: Apa itu Akses Bersyar?

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.

  3. Di pita atas, pilih + Aplikasi baru.

  4. Di galeri, cari F5.

  5. Pilih integrasi F5 BIG-IP APM Microsoft Entra ID.

  6. Masukkan Nama aplikasi.

  7. Pilih Tambahkan/Buat.

  8. Nama mencerminkan layanan.

Mengonfigurasi SSO Microsoft Entra

  1. Properti aplikasi F5 baru muncul

  2. Pilih Kelola>Akses menyeluruh

  3. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  4. Lewati perintah untuk menyimpan pengaturan akses menyeluruh.

  5. Pilih Tidak, saya akan menyimpan nanti.

  6. Pada Siapkan akses menyeluruh dengan SAML, untuk Konfigurasi SAML Dasar, pilih ikon pena .

  7. Ganti URL Pengidentifikasi dengan URL layanan yang diterbitkan BIG-IP. Misalnya: https://mytravel.contoso.com

  8. Ulangi untuk URL Balasan dan sertakan jalur titik akhir SAML APM. Misalnya: https://mytravel.contoso.com/saml/sp/profile/post/acs

    Catatan

    Dalam konfigurasi ini, alur SAML beroperasi dalam mode IdP: ID Microsoft Entra mengeluarkan pernyataan SAML kepada pengguna sebelum dialihkan ke titik akhir layanan BIG-IP untuk aplikasi. BIG-IP APM mendukung mode IdP dan SP.

  9. Untuk URI Keluar, masukkan titik akhir BIG-IP APM Single Logout (SLO), yang sebelumnya ditujukan oleh header host layanan. URI SLO memastikan sesi APM BIG-IP pengguna berakhir setelah microsoft Entra keluar. Misalnya, https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Cuplikan layar input Konfigurasi SAML Dasar untuk Pengidentifikasi, URL Balasan, URL Masuk, dll.

    Catatan

    Dari sistem operasi Manajemen Lalu Lintas (TMOS) v16 dan seterusnya, titik akhir SLO SAML berubah menjadi /saml/sp/profile/redirect/slo.

  10. Pilih Simpan.

  11. Keluar dari konfigurasi SAML.

  12. Lewati perintah pengujian SSO.

  13. Untuk mengedit Atribut Pengguna & Klaim > + Tambahkan klaim baru, pilih ikon pena .

  14. Untuk Nama pilih Employeeid.

  15. Untuk Atribut sumber pilih user.employeeid.

  16. Pilih Simpan

Cuplikan layar input untuk atribut Nama dan Sumber, dalam dialog Kelola klaim.

  1. Pilih + Tambahkan klaim grup
  2. Pilih Grup yang ditetapkan ke Atribut>Sumber aplikasi>sAMAccountName.

Cuplikan layar input untuk atribut Sumber, dalam dialog Klaim Grup.

  1. Pilih Simpan konfigurasi.
  2. Tutup tampilan.
  3. Amati properti bagian Atribut & Klaim Pengguna. ID Microsoft Entra mengeluarkan properti pengguna untuk autentikasi BIG-IP APM dan SSO ke aplikasi back-end.

Cuplikan layar Atribut Pengguna dan informasi Klaim seperti nama keluarga, alamat email, identitas, dll.

Catatan

Tambahkan klaim lain yang diharapkan aplikasi yang diterbitkan BIG-IP sebagai header. Klaim yang lebih ditentukan dikeluarkan jika berada di ID Microsoft Entra. Tentukan keanggotaan direktori dan objek pengguna di ID Microsoft Entra sebelum klaim dapat dikeluarkan. Lihat, Mengonfigurasi klaim grup untuk aplikasi dengan menggunakan ID Microsoft Entra.

  1. Di bagian Sertifikat Penandatanganan SAML, pilih Unduh.
  2. File XML Metadata Federasi disimpan di komputer Anda.

Cuplikan layar tautan Unduh untuk XML Metadata Federasi pada dialog Sertifikat Penandatanganan SAML.

Sertifikat penandatanganan SAML yang dibuat oleh Microsoft Entra ID memiliki masa pakai tiga tahun.

Otorisasi Microsoft Entra

Secara default, ID Microsoft Entra mengeluarkan token kepada pengguna yang diberikan akses ke aplikasi.

  1. Masih dalam tampilan konfigurasi aplikasi, pilih Pengguna dan grup.
  2. Pilih + Tambahkan pengguna dan di Tambahkan Penugasan, pilih Pengguna dan grup.
  3. Dalam dialog Pengguna dan grup, tambahkan grup pengguna yang berwenang untuk mengakses aplikasi berbasis header.
  4. Pilih Pilih.
  5. Pilih Tetapkan.

Kepercayaan federasi Microsoft Entra SAML selesai. Selanjutnya, siapkan BIG-IP APM untuk menerbitkan aplikasi web, dikonfigurasi dengan properti untuk menyelesaikan kepercayaan pra-autentikasi SAML.

Konfigurasi tingkat lanjut

Gunakan bagian berikut untuk mengonfigurasi SAML, header SSO, profil akses, dan lainnya.

Konfigurasi SAML

Untuk menggabungkan aplikasi yang diterbitkan dengan MICROSOFT Entra ID, buat penyedia layanan SAML BIG-IP dan objek IdP SAML yang sesuai.

  1. Pilih Akses>Federasi>Penyedia Layanan SAML>Layanan SP Lokal>Buat.

    Cuplikan layar opsi Buat di bawah tab Penyedia Layanan SAML.

  2. Masukkan nama .

  3. Masukkan ID Entitas yang ditentukan dalam ID Microsoft Entra.

    Cuplikan layar input Nama dan ID Entitas pada dialog Buat Layanan SAML SP Baru.

  4. Untuk nama SP Pengaturan, buat pilihan jika ID Entitas tidak cocok dengan nama host URL yang diterbitkan, atau buat pilihan jika tidak dalam format URL berbasis nama host biasa. Berikan skema eksternal dan nama host aplikasi jika ID entitas adalah urn:mytravel:contosoonline.

  5. Gulir ke bawah untuk memilih objek SAML SP baru.

  6. Pilih Ikat/UnBind IdP Koneksi ors.

    Cuplikan layar opsi Ikatan IdP Koneksi ors di bawah tab Penyedia Layanan SAML.

  7. Pilih Buat Koneksi IdP Baru.

  8. Dari menu drop-down, pilih Dari Metadata.

    Cuplikan layar opsi Dari Metadata di menu drop-down Buat IdP baru Koneksi ion.

  9. Telusuri ke file XML metadata federasi yang Anda unduh.

  10. Masukkan Nama Penyedia Identitas untuk objek APM untuk IdP SAML eksternal. Misalnya: MyTravel_EntraID

Cuplikan layar input Pilih Nama Penyedia File dan Identitas di bawah Buat Koneksi or IdP SAML Baru.

  1. Pilih Tambahkan Baris Baru.
  2. Pilih Koneksi or IdP SAML baru.
  3. Pilih Perbarui.

Cuplikan layar opsi Perbarui di bawah Koneksi or IDP SAML.

  1. Pilih OK.

Cuplikan layar pengaturan tersimpan

Konfigurasi SSO header

Buat objek SSO APM.

  1. Pilih Buat Kebijakan Profil/Kebijakan>Akses>Per Permintaan.>

  2. Masukkan nama .

  3. Tambahkan setidaknya satu Bahasa yang Diterima.

  4. Pilih Selesai.

    Cuplikan layar input Nama dan Bahasa yang Diterima.

  5. Untuk kebijakan per permintaan baru, pilih Edit.

    Cuplikan layar opsi Edit di kolom Kebijakan Per Permintaan.

  6. Editor kebijakan visual dimulai.

  7. Di bawah fallback, pilih + simbol .

    Cuplikan layar opsi plus di bawah fallback.

  8. Pada tab Tujuan Umum, pilih Header>HTTP Tambahkan Item.

    Cuplikan layar opsi Header HTTP.

  9. Pilih Tambahkan entri baru.

  10. Buat tiga entri modifikasi HTTP dan Header.

  11. Untuk Nama Header, masukkan upn.

  12. Untuk Nilai Header, masukkan %{session.saml.last.identity}.

  13. Untuk Nama Header, masukkan employeeid.

  14. Untuk Nilai Header, masukkan %{session.saml.last.attr.name.employeeid}.

  15. Untuk Nama Header, masukkan group_authz.

  16. Untuk Nilai Header, masukkan %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Catatan

Variabel sesi APM dalam tanda kurung kurawal peka huruf besar/kecil. Kami sarankan Anda menentukan atribut dalam huruf kecil.

Cuplikan layar input header, di bawah Modifikasi Header HTTP, pada tab Properti.

  1. Pilih Simpan.
  2. Tutup editor kebijakan visual.

Cuplikan layar editor kebijakan visual.

Mengakses konfigurasi profil

Profil akses mengikat banyak elemen APM yang mengelola akses ke server virtual BIG-IP, termasuk kebijakan akses, konfigurasi SSO, dan pengaturan UI.

  1. Pilih Profil Akses>/ Profil Akses Kebijakan>(Kebijakan Per Sesi)>Buat.

  2. Untuk Nama, masukkan MyTravel.

  3. Untuk Jenis Profil, pilih Semua.

  4. Untuk Bahasa yang Diterima, pilih setidaknya satu bahasa.

  5. pilih Selesai.

    Cuplikan layar entri untuk Nama, Jenis Profil, dan Bahasa yang Diterima.

  6. Untuk profil per sesi yang Anda buat, pilih Edit.

    Cuplikan layar opsi Edit di kolom Kebijakan Per Sesi.

  7. Editor kebijakan visual dimulai.

  8. Di bawah fallback, pilih + simbol .

    Cuplikan layar opsi plus.

  9. Pilih Autentikasi>SAML Auth>Tambahkan Item.

    Cuplikan layar opsi Autentikasi SAML pada tab Autentikasi.

  10. Untuk konfigurasi SP autentikasi SAML, dari menu dropdown AAA Server, pilih objek SAML SP yang Anda buat.

  11. Pilih Simpan.

Cuplikan layar pilihan Server AAA.

Pemetaan atribut

Instruksi berikut bersifat opsional. Dengan konfigurasi LogonID_Mapping, daftar sesi aktif BIG-IP memiliki nama prinsipal pengguna (UPN) yang masuk, bukan nomor sesi. Gunakan data ini saat menganalisis log atau pemecahan masalah.

  1. Untuk cabang SAML Auth Successful , pilih + simbol .

    Cuplikan layar simbol plus pada cabang SAML Auth Successful.

  2. Di pop-up, pilih Variabel Penugasan>Tetapkan>Tambahkan Item.

    Cuplikan layar opsi Tetapkan Variabel, pada tab Penugasan.

  3. Masukkan Nama

  4. Di bagian Tetapkan Variabel, pilih Tambahkan perubahan entri>baru. Misalnya, LogonID_Mapping.

    Cuplikan layar opsi Tambahkan entri baru dan ubah

  5. Untuk Variabel Kustom, atur session.saml.last.identity.

  6. Untuk Variabel Sesi, atur session.logon.last.username.

  7. Pilih Selesai.

  8. PilihSimpan.

  9. Pada cabang Kebijakan Akses Berhasil , pilih terminal Tolak .

  10. Pilih Izinkan.

  11. Pilih Simpan.

  12. Pilih Terapkan Kebijakan Akses.

  13. Tutup editor kebijakan visual.

Konfigurasi kumpulan ujung-belakang

Untuk mengaktifkan BIG-IP untuk meneruskan lalu lintas klien dengan benar, buat objek simpul APM yang mewakili server back-end yang menghosting aplikasi Anda. Tempatkan simpul di kumpulan APM.

  1. Pilih Buat Daftar > Kumpulan > Lalu Lintas > Lokal.

  2. Untuk objek kumpulan server, masukkan Nama. Misalnya, MyApps_VMs.

    Cuplikan layar Terapkan Kebijakan Akses.

  3. Tambahkan objek anggota kumpulan.

  4. Untuk Nama Simpul, masukkan nama untuk server yang menghosting aplikasi web back-end.

  5. Untuk Alamat, masukkan alamat IP server yang menghosting aplikasi.

  6. Untuk Port Layanan, masukkan port HTTP/S yang didengarkan aplikasi.

  7. Pilih Tambahkan.

    Cuplikan layar input untuk Nama Simpul, Alamat, Port Layanan, dan opsi Tambahkan.

    Catatan

    Untuk mempelajari selengkapnya, buka my.f5.com untuk K13397: Gambaran umum pemformatan permintaan monitor kesehatan HTTP untuk sistem DNS BIG-IP.

Konfigurasi server virtual

Server virtual adalah objek pesawat data BIG-IP yang diwakili oleh alamat IP virtual yang mendengarkan permintaan klien ke aplikasi. Lalu lintas yang diterima diproses dan dievaluasi dengan profil akses APM yang terkait dengan server virtual. Lalu lintas diarahkan sesuai dengan kebijakan.

  1. Pilih Lalu Lintas Lokal>Server Virtual>Daftar Server Virtual>Buat.

  2. Masukkan Nama server virtual.

  3. Untuk Alamat Tujuan/Masker, pilih Host

  4. Masukkan IP IPv4 atau IPv6 yang tidak digunakan untuk ditetapkan ke BIG-IP untuk menerima lalu lintas klien.

  5. Untuk Port Layanan, pilih Port, 443, dan HTTPS.

    Cuplikan layar entri untuk Nama, Masker Alamat Tujuan, dan Port Layanan.

  6. Untuk Profil HTTP (Klien), pilih http.

  7. Untuk Profil SSL (Klien), pilih profil SSL klien yang Anda buat, atau biarkan default untuk pengujian.

    Cuplikan layar entri untuk Klien Profil HTTP dan Klien Profil SSL.

  8. Untuk Terjemahan Alamat Sumber, pilih Peta Otomatis.

    Cuplikan layar opsi Terjemahan Alamat Sumber.

  9. Untuk Kebijakan Akses, pilih Profil Akses yang dibuat sebelumnya. Tindakan ini mengikat profil preauthentication Microsoft Entra SAML dan header kebijakan SSO ke server virtual.

  10. Untuk Kebijakan Per Permintaan, pilih SSO_Headers.

Cuplikan layar entri untuk Profil Akses dan Kebijakan Pra-Permintaan.

  1. Untuk Kumpulan Default, pilih objek kumpulan back-end yang Anda buat.
  2. Pilih Selesai.

Cuplikan layar opsi Kumpulan Default di bawah Sumber Daya.

Manajemen sesi

Gunakan pengaturan manajemen sesi BIG-IP untuk menentukan kondisi penghentian atau kelanjutan sesi pengguna. Buat kebijakan dengan Profil Akses Kebijakan>Akses. Pilih aplikasi dari daftar.

Mengenai fungsionalitas SLO, SLO URI di MICROSOFT Entra ID memastikan keluar yang dimulai IdP dari portal MyApps mengakhiri sesi antara klien dan BIG-IP APM. Federasi aplikasi yang diimpor metadata.xml menyediakan APM dengan titik akhir keluar Microsoft Entra SAML, untuk keluar yang dimulai SP. Oleh karena itu, aktifkan APM untuk mengetahui kapan pengguna keluar.

Jika tidak ada portal web BIG-IP, pengguna tidak dapat menginstruksikan APM untuk keluar. Jika pengguna keluar dari aplikasi, BIG-IP tidak menghiraukan tindakan tersebut. Sesi aplikasi dapat dipulangkan melalui SSO. Oleh karena itu, keluar yang dimulai SP membutuhkan pertimbangan yang cermat.

Untuk memastikan sesi dihentikan dengan aman, tambahkan fungsi SLO ke tombol Keluar aplikasi Anda. Aktifkan untuk mengalihkan klien ke titik akhir keluar Microsoft Entra SAML. Untuk titik akhir keluar SAML untuk penyewa Anda, buka Titik Akhir Pendaftaran>Aplikasi.

Jika Anda tidak dapat mengubah aplikasi, aktifkan BIG-IP untuk mendengarkan panggilan keluar aplikasi dan memicu SLO. Untuk mempelajari selengkapnya:

Sebarkan

  1. Pilih Sebarkan untuk menerapkan pengaturan.
  2. Verifikasi aplikasi muncul di penyewa Anda.
  3. Aplikasi ini diterbitkan dan dapat diakses melalui SHA, dengan URL atau portal Microsoft-nya.

Uji

Lakukan pengujian berikut sebagai pengguna.

  1. Pilih URL eksternal aplikasi, atau di portal MyApps pilih ikon aplikasi.

  2. Autentikasi ke ID Microsoft Entra.

  3. Pengalihan terjadi ke server virtual BIG-IP untuk aplikasi dan masuk dengan SSO.

  4. Output header yang disuntikkan muncul oleh aplikasi berbasis header.

    Cuplikan layar Variabel Server, seperti UPN, ID Karyawan, dan Otorisasi Grup.

Untuk peningkatan keamanan, blokir akses langsung ke aplikasi, menegakkan jalur melalui BIG-IP.

Pemecahan Masalah

Gunakan panduan berikut untuk pemecahan masalah.

Verbositas log

Log BIG-IP memiliki informasi untuk membantu mengisolasi masalah autentikasi dan SSO. Tingkatkan tingkat verbositas log:

  1. Buka Log Peristiwa Gambaran Umum>Kebijakan>Akses.
  2. Pilih pengaturan.
  3. Pilih baris aplikasi yang anda terbitkan.
  4. Pilih Edit>Log Sistem Akses.
  5. Dari daftar SSO, pilih Debug.
  6. Pilih OK.
  7. Rekonstruksi masalah tersebut.
  8. Tinjau log.
  9. Setelah selesai, kembalikan pengaturan.

Pesan kesalahan BIG-IP

Jika kesalahan BIG-IP muncul setelah pengalihan, masalah kemungkinan terkait dengan SSO dari ID Microsoft Entra ke BIG-IP.

  1. Navigasi ke Gambaran Umum Kebijakan>Akses.
  2. Pilih Akses laporan.
  3. Jalankan laporan selama satu jam terakhir.
  4. Tinjau log untuk petunjuk.
  5. Untuk sesi Anda, pilih tautan Tampilkan variabel sesi.
  6. Verifikasi bahwa APM menerima klaim yang diharapkan dari ID Microsoft Entra.

Tidak ada pesan kesalahan BIG-IP

Jika tidak ada pesan kesalahan BIG-IP yang muncul, masalahnya mungkin lebih terkait dengan SSO dari BIG-IP ke aplikasi backend.

  1. Navigasi ke Gambaran Umum Kebijakan>Akses.
  2. Pilih Sesi Aktif.
  3. Pilih tautan untuk sesi aktif Anda.
  4. Pilih tautan Lihat Variabel untuk menentukan masalah SSO apa pun.
  5. Konfirmasikan APM BIG-IP gagal atau berhasil mendapatkan pengidentifikasi pengguna dan domain yang benar.

Selengkapnya:

Sumber