Tutorial: Mengonfigurasi F5 BIG-IP Easy Button untuk SSO berbasis header

  • Artikel

Pelajari cara mengamankan aplikasi berbasis header dengan MICROSOFT Entra ID, dengan F5 BIG-IP Easy Button Guided Configuration v16.1.

Mengintegrasikan BIG-IP dengan MICROSOFT Entra ID memberikan banyak manfaat, termasuk:

Selengkapnya:

Deskripsi Skenario

Skenario ini mencakup aplikasi warisan menggunakan header otorisasi HTTP untuk mengelola akses ke konten yang dilindungi. Warisan tidak memiliki protokol modern untuk mendukung integrasi langsung dengan MICROSOFT Entra ID. Modernisasi mahal, memakan waktu, dan menimbulkan risiko waktu henti. Sebagai gantinya, gunakan Pengontrol Pengiriman Aplikasi (ADC) F5 BIG-IP untuk menjenjangkan kesenjangan antara aplikasi warisan dan sarana kontrol ID modern, dengan transisi protokol.

BIG-IP di depan aplikasi memungkinkan overlay layanan dengan preauthentication Microsoft Entra dan SSO berbasis header. Konfigurasi ini meningkatkan postur keamanan aplikasi secara keseluruhan.

Catatan

Organisasi dapat memiliki akses jarak jauh ke jenis aplikasi ini dengan proksi aplikasi Microsoft Entra. Pelajari lebih lanjut: Akses jarak jauh ke aplikasi lokal melalui proksi aplikasi Microsoft Entra

Arsitektur skenario

Solusi SHA berisi:

  • Aplikasi - Layanan terbitan BIG-IP yang dilindungi oleh Microsoft Entra SHA
  • Id Microsoft Entra - IdP (IdP) Security Assertion Markup Language (SAML) yang memverifikasi kredensial pengguna, Akses Bersyarat, dan SSO berbasis SAML ke BIG-IP. Dengan SSO, MICROSOFT Entra ID menyediakan BIG-IP dengan atribut sesi.
  • BIG-IP - penyedia layanan reverse-proxy dan SAML (SP) ke aplikasi, mendelegasikan autentikasi ke IDP SAML sebelum melakukan SSO berbasis header ke aplikasi backend.

Untuk skenario ini, SHA mendukung alur yang dimulai SP dan IdP. Diagram berikut mengilustrasikan alur yang dimulai SP.

Diagram konfigurasi dengan alur yang dimulai SP.

  1. Pengguna terhubung ke titik akhir aplikasi (BIG-IP).
  2. Kebijakan akses BIG-IP APM mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP).
  3. Microsoft Entra melakukan pra-autentikasi pengguna dan menerapkan kebijakan Akses Bersyariah.
  4. Pengguna dialihkan ke BIG-IP (SAML SP) dan SSO terjadi menggunakan token SAML yang dikeluarkan.
  5. BIG-IP menyuntikkan atribut Microsoft Entra sebagai header dalam permintaan aplikasi.
  6. Aplikasi mengotorisasi permintaan dan mengembalikan payload.

Prasyarat

Untuk skenario yang Anda butuhkan:

  • Langganan Azure
  • Salah satu peran berikut: Administrator Global, Administrator Aplikasi Cloud, atau Administrator Aplikasi
  • BIG-IP atau menyebarkan BIG-IP Virtual Edition (VE) di Azure
  • Salah satu lisensi F5 BIG-IP berikut:
    • F5 BIG-IP® Bundel terbaik
    • Lisensi mandiri F5 BIG-IP Access Policy Manager™ (APM)
    • Lisensi add-on F5 BIG-IP Access Policy Manager™ (APM) pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Uji coba fitur lengkap BIG-IP 90 hari. Lihat, Uji Coba Gratis
  • Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra
  • Sertifikat web SSL untuk menerbitkan layanan melalui HTTPS, atau menggunakan sertifikasi BIG-IP default untuk pengujian
  • Aplikasi berbasis header atau menyiapkan aplikasi header IIS untuk pengujian

Konfigurasi BIG-IP

Tutorial ini menggunakan Konfigurasi Terpandu v16.1 dengan templat tombol Mudah. Dengan Tombol Mudah, admin tidak lagi bolak-balik untuk mengaktifkan layanan SHA. Wizard Konfigurasi Terpandu dan Microsoft Graph menangani penyebaran dan manajemen kebijakan. Integrasi BIG-IP APM dan Microsoft Entra memastikan aplikasi mendukung federasi identitas, SSO, dan Akses Bersyarat.

Catatan

Ganti contoh string atau nilai dengan yang ada di lingkungan Anda.

Mendaftarkan Easy Button

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Sebelum klien atau layanan mengakses Microsoft Graph, platform identitas Microsoft harus mempercayainya.

Pelajari selengkapnya: Mulai cepat: Mendaftarkan aplikasi dengan platform identitas Microsoft.

Buat pendaftaran aplikasi penyewa untuk mengotorisasi akses Tombol Mudah ke Grafik. Dengan izin ini, BIG-IP mendorong konfigurasi untuk membangun kepercayaan antara instans SAML SP untuk aplikasi yang diterbitkan, dan ID Microsoft Entra sebagai IDP SAML.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri Aplikasi> Identitas>Pendaftaran aplikasi> Pendaftaran baru.

  3. Di bawah Kelola, pilih Pendaftaran aplikasi > Pendaftaran baru.

  4. Masukkan Nama aplikasi.

  5. Tentukan siapa yang menggunakan aplikasi.

  6. Pilih Akun yang hanya dalam direktori organisasi ini.

  7. Pilih Daftarkan.

  8. Navigasikan ke izin API.

  9. Otorisasi izin Aplikasi Microsoft Graph berikut:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grup.Baca.Semua
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • Pengguna.Baca.Semua

  10. Berikan persetujuan admin untuk organisasi Anda.

  11. Pada Sertifikat & Rahasia, buat Rahasia Klien baru. Catat Rahasia Klien.

  12. Pada Gambaran Umum, perhatikan ID Klien dan ID Penyewa.

Mengonfigurasi Easy Button

  1. Mulai Konfigurasi Terpandu APM.

  2. Mulai templat Tombol Mudah.

  3. Navigasi ke Konfigurasi Terpandu Akses>.

  4. Pilih Integrasi Microsoft

  5. Pilih Aplikasi Microsoft Entra.

  6. Tinjau langkah-langkah konfigurasi.

  7. Pilih Selanjutnya.

  8. Gunakan urutan langkah-langkah yang diilustrasikan untuk menerbitkan aplikasi Anda.

    Diagram urutan publikasi.

Properti Konfigurasi

Gunakan tab Properti Konfigurasi untuk membuat konfigurasi aplikasi BIG-IP dan objek SSO. Detail Akun Layanan Azure mewakili klien yang Anda daftarkan di penyewa Microsoft Entra. Gunakan pengaturan untuk klien BIG-IP OAuth untuk mendaftarkan SAML SP di penyewa Anda, dengan properti SSO. Tombol Mudah melakukan tindakan ini untuk layanan BIG-IP yang diterbitkan dan diaktifkan untuk SHA.

Anda dapat menggunakan kembali pengaturan untuk menerbitkan lebih banyak aplikasi.

  1. Masukkan Nama Konfigurasi.

  2. Untuk Akses Menyeluruh (SSO) & Header HTTP, pilih Aktif.

  3. Untuk ID Penyewa, ID Klien, dan Rahasia Klien, masukkan apa yang Anda catat.

  4. Konfirmasikan BIG-IP tersambung ke penyewa Anda.

  5. Pilih Selanjutnya

    Cuplikan layar entri dan opsi untuk Properti Konfigurasi.

Penyedia Layanan

Di pengaturan Penyedia Layanan, tentukan pengaturan instans SAML SP untuk aplikasi yang dilindungi SHA.

  1. Masukkan Host, FQDN publik aplikasi.

  2. Masukkan ID Entitas, pengidentifikasi yang digunakan Microsoft Entra ID untuk mengidentifikasi SAML SP yang meminta token.

    Cuplikan layar bidang input untuk Penyedia Layanan.

  3. (Opsional) Di Pengaturan Keamanan, pilih Aktifkan Pernyataan Enkripsi untuk mengaktifkan ID Microsoft Entra untuk mengenkripsi pernyataan SAML yang dikeluarkan. Pernyataan enkripsi ID Microsoft Entra dan BIG-IP APM membantu memastikan token konten tidak disadap, atau data pribadi atau perusahaan disusupi.

  4. Di Pengaturan Keamanan, dari daftar Kunci Privat Dekripsi Pernyataan, pilih Buat Baru.

    Cuplikan layar opsi Buat Baru di daftar Kunci Privat Dekripsi Pernyataan.

  5. Pilih OK.

  6. Dialog Impor Sertifikat dan Kunci SSL muncul.

  7. Untuk Jenis Impor, pilih PKCS 12 (IIS). Tindakan ini mengimpor sertifikat dan kunci privat.

  8. Untuk Sertifikat dan Nama Kunci, pilih Baru dan masukkan input.

  9. Masukkan Kata Sandi.

  10. Pilih impor.

  11. Tutup tab browser untuk kembali ke tab utama.

Cuplikan layar pilihan dan entri untuk Sumber Kunci Sertifikat SSL.

  1. Centang kotak untuk Aktifkan Pernyataan Terenkripsi.
  2. Jika Anda mengaktifkan enkripsi, dari daftar Kunci Privat Dekripsi Pernyataan, pilih sertifikat. BIG-IP APM menggunakan kunci privat sertifikat ini untuk mendekripsi pernyataan Microsoft Entra.
  3. Jika Anda mengaktifkan enkripsi, dari daftar Sertifikat Dekripsi Pernyataan, pilih sertifikat. BIG-IP mengunggah sertifikat ini ke ID Microsoft Entra untuk mengenkripsi pernyataan SAML yang dikeluarkan.

Cuplikan layar dua entri dan satu opsi untuk Pengaturan Keamanan.

Microsoft Entra ID

Gunakan instruksi berikut untuk mengonfigurasi aplikasi BIG-IP SAML baru di penyewa Microsoft Entra Anda. Easy Button memiliki templat aplikasi untuk Oracle Orang Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP, dan templat SHA generik.

  1. Di Konfigurasi Azure, di bawah Properti Konfigurasi, pilih Integrasi F5 BIG-IP APM Microsoft Entra ID.
  2. Pilih Tambahkan.

Konfigurasi Azure

  1. Masukkan Nama Tampilan aplikasi yang dibuat BIG-IP di penyewa Microsoft Entra. Pengguna melihat nama, dengan ikon, di Microsoft Aplikasi Saya.

  2. Lewati URL Masuk (opsional).

  3. Di samping Kunci Penandatanganan dan Sertifikat Penandatanganan, pilih refresh untuk menemukan sertifikat yang Anda impor.

  4. Di Frasa Sandi Kunci Penandatanganan, masukkan kata sandi sertifikat.

  5. (Opsional) Aktifkan Opsi Penandatanganan untuk memastikan BIG-IP menerima token dan klaim yang ditandatangani oleh ID Microsoft Entra.

    Cuplikan layar konfigurasi Azure - Tambahkan info sertifikat penandatanganan

  6. Input untuk Grup Pengguna dan Pengguna dikueri secara dinamis.

    Penting

    Tambahkan pengguna atau grup untuk pengujian, jika tidak, semua akses ditolak. Pada Grup Pengguna dan Pengguna, pilih + Tambahkan.

    Cuplikan layar opsi Tambahkan pada Grup Pengguna dan Pengguna.

Atribut & Klaim Pengguna

Saat pengguna mengautentikasi, ID Microsoft Entra mengeluarkan token SAML dengan klaim dan atribut yang mengidentifikasi pengguna. Tab Atribut Pengguna & Klaim memiliki klaim default untuk aplikasi. Gunakan tab untuk mengonfigurasi lebih banyak klaim.

Sertakan satu atribut lagi:

  1. Untuk Nama Header, masukkan employeeid.

  2. Untuk Atribut Sumber, masukkan user.employeeid.

    Cuplikan layar nilai di bawah Klaim Tambahan.

Atribut Pengguna Tambahan

Di tab Atribut Pengguna Tambahan, aktifkan augmentasi sesi. Gunakan fitur ini untuk sistem terdistribusi seperti Oracle, SAP, dan implementasi JAVA lainnya yang memerlukan atribut untuk disimpan di direktori lain. Atribut yang diambil dari sumber Lightweight Directory Access Protocol (LDAP) disuntikkan sebagai lebih banyak header SSO. Tindakan ini membantu mengontrol akses berdasarkan peran, ID Mitra, dll.

Catatan

Fitur ini tidak memiliki korelasi dengan ID Microsoft Entra. Ini adalah sumber atribut. 

Kebijakan Akses Bersyarat

Kebijakan Akses Bersyarat mengontrol akses berdasarkan perangkat, aplikasi, lokasi, dan sinyal risiko.

  • Di Kebijakan yang Tersedia, temukan kebijakan Akses Bersyarah tanpa tindakan pengguna
  • Di Kebijakan yang Dipilih, temukan kebijakan aplikasi cloud
    • Anda tidak dapat membatalkan pilihan kebijakan ini atau memindahkannya ke Kebijakan yang Tersedia karena diberlakukan pada tingkat penyewa

Untuk memilih kebijakan yang akan diterapkan pada aplikasi yang diterbitkan:

  1. Pada tab Kebijakan Akses Bersyar, di daftar Kebijakan yang Tersedia, pilih kebijakan.
  2. Pilih panah kanan dan pindahkan ke daftar Kebijakan yang Dipilih.

Catatan

Anda dapat memilih opsi Sertakan atau Kecualikan untuk kebijakan. Jika kedua opsi dipilih, kebijakan tidak diberlakukan.

Cuplikan layar opsi Kecualikan yang dipilih untuk kebijakan di Polisi yang Dipilih.

Catatan

Daftar kebijakan muncul saat Anda memilih tab Kebijakan Akses Bersyariah. Pilih refresh, dan panduan meminta penyewa. Refresh muncul setelah aplikasi disebarkan.

Properti Server Virtual

Server virtual adalah objek sarana data BIG-IP, yang diwakili oleh alamat IP virtual. Server mendengarkan permintaan klien ke aplikasi. Lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM yang terkait dengan server virtual. Lalu lintas diarahkan sesuai dengan kebijakan.

  1. Untuk Alamat Tujuan, masukkan alamat IPv4 atau IPv6 yang digunakan BIG-IP untuk menerima lalu lintas klien. Pastikan catatan yang sesuai di server nama domain (DNS) yang memungkinkan klien menyelesaikan URL eksternal, dari aplikasi yang diterbitkan BIG-IP, ke IP ini. Anda dapat menggunakan DNS localhost komputer untuk pengujian.

  2. Untuk Port Layanan, masukkan 443, dan pilih HTTPS.

  3. Centang kotak untuk Aktifkan Port Pengalihan.

  4. Masukkan nilai untuk Port Pengalihan. Opsi ini mengalihkan lalu lintas klien HTTP masuk ke HTTPS.

  5. Pilih Profil SSL Klien yang Anda buat, atau biarkan default untuk pengujian. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui TLS.

    Cuplikan layar Alamat Tujuan, Port Layanan, dan profil yang dipilih di Properti Server Virtual.

Properti Kumpulan

Tab Kumpulan Aplikasi memiliki layanan di belakang BIG-IP, yang diwakili sebagai kumpulan, dengan satu atau beberapa server aplikasi.

  1. Untuk Pilih Kumpulan, pilih Buat Baru, atau pilih yang lain.

  2. Untuk Metode Penyeimbangan Beban, pilih Round Robin.

  3. Untuk Server Kumpulan, pilih simpul, atau pilih alamat IP dan port untuk server yang menghosting aplikasi berbasis header.

    Cuplikan layar Alamat IP atau Nama node, dan Input port pada Properti Kumpulan.

    Catatan

    Aplikasi back-end Microsoft ada di Port HTTP 80. Jika Anda memilih HTTPS, gunakan 443.

Akses Menyeluruh & Header HTTP

Dengan SSO, pengguna mengakses layanan yang diterbitkan BIG-IP tanpa memasukkan kredensial. Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO.

  1. Pada Akses Menyeluruh & Header HTTP, di Header SSO, untuk Operasi Header, pilih sisipkan

  2. Untuk Nama Header, gunakan upn.

  3. Untuk Nilai Header, gunakan %{session.saml.last.identity}.

  4. Untuk Operasi Header, pilih sisipkan.

  5. Untuk Nama Header, gunakan employeeid.

  6. Untuk Nilai Header, gunakan %{session.saml.last.attr.name.employeeid}.

    Cuplikan layar entri dan pilihan untuk Header SSO.

    Catatan

    Variabel sesi APM dalam tanda kurung kurawal peka huruf besar/kecil. Inkonsistensi menyebabkan kegagalan pemetaan atribut.

Manajemen Sesi

Gunakan pengaturan manajemen sesi BIG-IP untuk menentukan kondisi untuk penghentian atau kelanjutan sesi pengguna.

Untuk mempelajari selengkapnya, buka support.f5.com untuk K18390492: Keamanan | Panduan operasi BIG-IP APM

Akses menyeluruh (SLO) memastikan sesi IdP, BIG-IP, dan agen pengguna berakhir saat pengguna keluar. Saat Tombol Mudah membuat instans aplikasi SAML di penyewa Microsoft Entra Anda, tombol ini mengisi URL keluar, dengan titik akhir APM SLO. Keluar yang dimulai idP dari Aplikasi Saya mengakhiri sesi BIG-IP dan klien.

Pelajari selengkapnya: lihat, Aplikasi Saya

Metadata federasi SAML untuk aplikasi yang diterbitkan diimpor dari penyewa Anda. Impor menyediakan APM dengan titik akhir keluar SAML untuk ID Microsoft Entra. Tindakan ini memastikan keluar yang dimulai SP mengakhiri sesi klien dan Microsoft Entra. Pastikan APM tahu kapan pengguna keluar terjadi.

Jika portal webtop BIG-IP mengakses aplikasi yang diterbitkan, maka eAPM memproses keluar untuk memanggil titik akhir keluar Microsoft Entra. Jika portal webtop BIG-IP tidak digunakan, pengguna tidak dapat menginstruksikan APM untuk keluar. Jika pengguna keluar dari aplikasi, BIG-IP tidak sadar. Dengan demikian, pastikan keluar yang dimulai SP mengakhiri sesi dengan aman. Anda dapat menambahkan fungsi SLO ke tombol Keluar aplikasi, Lalu, klien dialihkan ke titik akhir keluar Microsoft Entra SAML atau BIG-IP. Untuk menemukan URL titik akhir keluar SAML untuk penyewa Anda, buka Titik Akhir Pendaftaran > Aplikasi.

Jika Anda tidak dapat mengubah aplikasi, aktifkan BIG-IP untuk mendengarkan panggilan keluar aplikasi dan memicu SLO.

Selengkapnya:

Sebarkan

Penyebaran menyediakan perincian konfigurasi Anda.

  1. Untuk menerapkan pengaturan, pilih Sebarkan.
  2. Verifikasi aplikasi dalam daftar penyewa aplikasi Enterprise Anda.
  3. Aplikasi ini diterbitkan dan dapat diakses melalui SHA, dengan URL-nya, atau di portal aplikasi Microsoft.

Uji

  1. Di browser, sambungkan ke URL eksternal aplikasi atau pilih ikon aplikasi di Aplikasi Saya.
  2. Autentikasi ke ID Microsoft Entra.
  3. Pengalihan terjadi ke server virtual BIG-IP untuk aplikasi dan masuk dengan SSO.

Cuplikan layar berikut adalah output header yang disuntikkan dari aplikasi berbasis header.

Cuplikan layar PERAN UPN, ID karyawan, dan peristiwa di bawah Variabel Server.

Catatan

Anda dapat memblokir akses langsung ke aplikasi, sehingga memberlakukan jalur melalui BIG-IP.

Penyebaran tingkat lanjut

Untuk beberapa skenario, templat Konfigurasi Terpandu tidak memiliki fleksibilitas.

Pelajari lebih lanjut: Tutorial: Mengonfigurasi F5 BIG-IP Access Policy Manager untuk SSO berbasis header.

Di BIG-IP, Anda dapat menonaktifkan mode manajemen ketat Konfigurasi Terpandu. Kemudian, ubah konfigurasi secara manual, namun sebagian besar konfigurasi diotomatisasi dengan templat wizard.

  1. Untuk menonaktifkan mode ketat, navigasikan ke Konfigurasi Terpandu Akses>.

  2. Pada baris untuk konfigurasi aplikasi, pilih ikon gembok .

  3. Objek BIG-IP yang terkait dengan instans aplikasi yang diterbitkan tidak terkunci untuk manajemen. Perubahan dengan wizard tidak lagi dimungkinkan.

    Cuplikan layar ikon gembok.

    Catatan

    Jika Anda mengaktifkan kembali mode ketat dan menyebarkan konfigurasi, tindakan akan menimpa pengaturan yang tidak ada di Konfigurasi Terpandu. Kami merekomendasikan konfigurasi lanjutan untuk layanan produksi.

Pemecahan Masalah

Gunakan panduan berikut saat memecahkan masalah.

Verbositas log

Log BIG-IP membantu mengisolasi masalah dengan konektivitas, SSO, kebijakan, atau pemetaan variabel yang salah dikonfigurasi. Untuk memecahkan masalah, tingkatkan verbositas log.

  1. Navigasi ke Gambaran Umum Kebijakan > Akses.
  2. Pilih Log Peristiwa.
  3. Pilih pengaturan.
  4. Pilih baris aplikasi yang anda terbitkan
  5. Pilih Edit.
  6. Pilih Akses Log Sistem.
  7. Dari daftar SSO, pilih Debug.
  8. Pilih OK.
  9. Rekonstruksi masalah tersebut.
  10. Periksa log.

Catatan

Kembalikan fitur ini setelah selesai. Mode verbose menghasilkan data yang berlebihan.

Pesan kesalahan BIG-IP

Jika pesan kesalahan BIG-IP muncul setelah praautentikasi Microsoft Entra, masalahnya mungkin terkait dengan Microsoft Entra ID-to-BIG-IP SSO.

  1. Navigasi ke Gambaran Umum Kebijakan > Akses.
  2. Pilih Akses laporan.
  3. Jalankan laporan selama satu jam terakhir.
  4. Tinjau log untuk petunjuk.

Gunakan tautan Lihat variabel sesi, untuk sesi, untuk membantu memahami apakah APM menerima klaim Microsoft Entra yang diharapkan.

Tidak ada pesan kesalahan BIG-IP

Jika tidak ada pesan kesalahan BIG-IP yang muncul, masalahnya mungkin terkait dengan permintaan back-end, atau SSO BIG-IP-to-application.

  1. Navigasi ke Gambaran Umum Kebijakan > Akses.
  2. Pilih Sesi Aktif.
  3. Pilih tautan sesi aktif.

Gunakan tautan Lihat Variabel untuk membantu menentukan masalah SSO, terutama jika BIG-IP APM tidak mendapatkan atribut yang benar.

Selengkapnya: