Bagikan melalui

Tutorial: Mengonfigurasi Tombol Mudah F5 BIG-IP untuk SSO ke SAP ERP

  • Artikel

Dalam artikel ini, pelajari cara mengamankan SAP ERP menggunakan Microsoft Entra ID, dengan F5 BIG-IP Easy Button Guided Configuration 16.1. Mengintegrasikan BIG-IP dengan MICROSOFT Entra ID memiliki banyak manfaat:

Selengkapnya:

Deskripsi Skenario

Skenario ini mencakup aplikasi SAP ERP menggunakan autentikasi Kerberos untuk mengelola akses ke konten yang dilindungi.

Aplikasi warisan tidak memiliki protokol modern untuk mendukung integrasi dengan MICROSOFT Entra ID. Modernisasi mahal, memerlukan perencanaan, dan memperkenalkan potensi risiko waktu henti. Sebagai gantinya, gunakan Pengontrol Pengiriman Aplikasi (ADC) F5 BIG-IP untuk menjenjangkan kesenjangan antara aplikasi warisan dan sarana kontrol ID modern, melalui transisi protokol.

BIG-IP di depan aplikasi memungkinkan overlay layanan dengan preauthentication Microsoft Entra dan SSO berbasis header. Konfigurasi ini meningkatkan postur keamanan aplikasi secara keseluruhan.

Arsitektur skenario

Solusi akses hibrid aman (SHA) memiliki komponen berikut:

  • Aplikasi SAP ERP - layanan yang diterbitkan BIG-IP yang dilindungi oleh Microsoft Entra SHA
  • Id Microsoft Entra - IdP (IdP) Security Assertion Markup Language (SAML) yang memverifikasi kredensial pengguna, Akses Bersyarat, dan SSO berbasis SAML ke BIG-IP
  • BIG-IP - proksi terbalik dan penyedia layanan SAML (SP) ke aplikasi. BIG-IP mendelegasikan autentikasi ke IDP SAML kemudian melakukan SSO berbasis header ke layanan SAP

SHA mendukung alur yang diinisiasi SP dan IdP. Gambar berikut mengilustrasikan alur yang dimulai SP.

Diagram akses hibrid aman, alur yang dimulai SP.

  1. Pengguna terhubung ke titik akhir aplikasi (BIG-IP)
  2. Kebijakan akses BIG-IP APM mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP)
  3. ID Microsoft Entra melakukan pra-autentikasi pengguna dan menerapkan kebijakan Akses Bersyariah yang diberlakukan
  4. Pengguna dialihkan ke BIG-IP (SAML SP) dan SSO terjadi dengan token SAML yang dikeluarkan
  5. BIG-IP meminta tiket Kerberos dari KDC
  6. BIG-IP mengirimkan permintaan ke aplikasi back-end, dengan tiket Kerberos untuk SSO
  7. Aplikasi mengotorisasi permintaan dan mengembalikan payload

Prasyarat

  • Akun Microsoft Entra ID Gratis, atau yang lebih tinggi
  • BIG-IP atau BIG-IP Virtual Edition (VE) di Azure
  • Salah satu lisensi F5 BIG-IP berikut:
    • F5 BIG-IP® Bundel terbaik
    • Lisensi mandiri APM BIG-IP F5
    • Lisensi add-on APM BIG-IP F5 pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) yang ada
    • Lisensi uji coba fitur lengkap BIG-IP 90 hari
  • Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra, atau dibuat di ID Microsoft Entra dan mengalir kembali ke direktori lokal
  • Salah satu peran berikut: Administrator Aplikasi Cloud, atau Administrator Aplikasi.
  • Sertifikat Web SSL untuk menerbitkan layanan melalui HTTPS, atau menggunakan sertifikasi BIG-IP default untuk pengujian
  • Lingkungan SAP ERP yang dikonfigurasi untuk autentikasi Kerberos

Metode konfigurasi BIG-IP

Tutorial ini menggunakan Konfigurasi Terpandu 16.1 dengan templat Tombol Mudah. Dengan Tombol Mudah, admin tidak antara MICROSOFT Entra ID dan BIG-IP untuk mengaktifkan layanan untuk SHA. Wizard Konfigurasi Terpandu APM dan Microsoft Graph menangani penyebaran dan manajemen kebijakan. Integrasi ini memastikan aplikasi mendukung federasi identitas, SSO, dan Akses Bersyarat.

Catatan

Ganti contoh string atau nilai dalam panduan ini dengan yang ada di lingkungan Anda.

Mendaftarkan Easy Button

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Sebelum klien atau layanan mengakses Microsoft Graph, platform identitas Microsoft harus mempercayainya.

Lihat, Mulai Cepat: Mendaftarkan aplikasi dengan platform identitas Microsoft

Daftarkan klien Easy Button di ID Microsoft Entra, maka diizinkan untuk membangun kepercayaan antara instans SAML SP dari aplikasi yang diterbitkan BIG-IP, dan ID Microsoft Entra sebagai IDP SAML.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri Aplikasi> Identitas>Pendaftaran aplikasi> Pendaftaran baru.

  3. Masukkan Nama untuk aplikasi baru.

  4. Hanya di Akun dalam direktori organisasi ini, tentukan siapa yang dapat menggunakan aplikasi.

  5. Pilih Daftarkan.

  6. Navigasikan ke izin API.

  7. Otorisasi izin Aplikasi Microsoft Graph berikut:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grup.Baca.Semua
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • Pengguna.Baca.Semua

  8. Berikan persetujuan admin untuk organisasi Anda.

  9. Pada Sertifikat & Rahasia, buat rahasia klien baru.

  10. Perhatikan rahasia untuk digunakan nanti.

  11. Dari Gambaran Umum, perhatikan ID Klien dan ID Penyewa.

Mengonfigurasi Tombol Mudah

  1. Mulai Konfigurasi Terpandu APM.
  2. Luncurkan templat Tombol Mudah.
  3. Dari browser, masuk ke konsol manajemen F5 BIG-IP.
  4. Navigasi ke Akses > Konfigurasi > Terpandu Integrasi Microsoft.
  5. Pilih Aplikasi Microsoft Entra.
  6. Tinjau daftar konfigurasi.
  7. Pilih Selanjutnya.
  8. Ikuti urutan konfigurasi di bawah Microsoft Entra Application Configuration.

Cuplikan layar urutan konfigurasi.

Properti Konfigurasi

Tab Properti Konfigurasi memiliki properti akun layanan dan membuat konfigurasi aplikasi BIG-IP dan objek SSO. Bagian Detail Akun Layanan Azure mewakili klien yang Anda daftarkan sebagai aplikasi, di penyewa Microsoft Entra. Gunakan pengaturan untuk klien BIG-IP OAuth untuk mendaftarkan SAML SP secara individual di penyewa, dengan properti SSO. Tombol Mudah melakukan tindakan ini untuk layanan BIG-IP yang diterbitkan dan diaktifkan untuk SHA.

Catatan

Beberapa pengaturan bersifat global dan dapat digunakan kembali untuk menerbitkan lebih banyak aplikasi.

  1. Masukkan Nama Konfigurasi. Nama unik membedakan konfigurasi Tombol Mudah.

  2. Untuk Akses Menyeluruh (SSO) & Header HTTP, pilih Aktif.

  3. Untuk ID Penyewa, ID Klien, dan Rahasia Klien, masukkan ID Penyewa, ID Klien, dan Rahasia Klien yang Anda catat selama pendaftaran penyewa.

  4. Pilih Uji koneksi. Tindakan ini mengonfirmasi BIG-IP tersambung ke penyewa Anda.

  5. Pilih Selanjutnya.

    Cuplikan layar opsi dan pilihan untuk Properti Konfigurasi.

Penyedia Layanan

Gunakan pengaturan Penyedia Layanan untuk menentukan properti instans SAML SP dari aplikasi yang diamankan oleh SHA.

  1. Untuk Host, masukkan nama domain publik yang sepenuhnya memenuhi syarat (FQDN) dari aplikasi yang diamankan.

  2. Untuk ID Entitas, masukkan pengidentifikasi yang digunakan Microsoft Entra ID untuk mengidentifikasi SAML SP yang meminta token.

    Opsi dan pilihan cuplikan layar untuk Penyedia Layanan.

  3. (Opsional) Gunakan Pengaturan Keamanan untuk menunjukkan ID Microsoft Entra mengenkripsi pernyataan SAML yang dikeluarkan. Pernyataan yang dienkripsi antara ID Microsoft Entra dan BIG-IP APM meningkatkan jaminan bahwa token konten tidak disadap, atau data disusupi.

  4. Dari Kunci Privat Dekripsi Pernyataan, pilih Buat Baru.

    Cuplikan layar opsi Buat Baru dari daftar Kunci Privat Dekripsi Pernyataan.

  5. Pilih OK.

  6. Dialog Impor Sertifikat dan Kunci SSL muncul di tab baru.

  7. Untuk mengimpor sertifikat dan kunci privat, pilih PKCS 12 (IIS).

  8. Tutup tab browser untuk kembali ke tab utama.

    Cuplikan layar opsi dan pilihan untuk Mengimpor Sertifikat dan Kunci SSL.

  9. Untuk Aktifkan Pernyataan Terenkripsi, centang kotak .

  10. Jika Anda mengaktifkan enkripsi, dari daftar Kunci Privat Dekripsi Pernyataan, pilih kunci privat untuk sertifikat yang digunakan BIG-IP APM untuk mendekripsi pernyataan Microsoft Entra.

  11. Jika Anda mengaktifkan enkripsi, dari daftar Sertifikat Dekripsi Pernyataan, pilih sertifikat unggahan BIG-IP ke ID Microsoft Entra untuk mengenkripsi pernyataan SAML yang dikeluarkan.

Cuplikan layar opsi dan pilihan untuk Penyedia Layanan.

Microsoft Entra ID

Easy Button memiliki templat aplikasi untuk Oracle Orang Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP, dan templat SHA generik.

  1. Untuk memulai konfigurasi Azure, pilih Tambahkan Komponen > Pusat SAP ERP.

    Cuplikan layar opsi Komponen Pusat SAP ERP pada Konfigurasi Azure dan tombol Tambahkan.

    Catatan

    Anda dapat menggunakan informasi di bagian berikut saat mengonfigurasi aplikasi SAML BIG-IP baru secara manual di penyewa Microsoft Entra.

Konfigurasi Azure

  1. Untuk Nama Tampilan masukkan aplikasi yang dibuat BIG-IP di penyewa Microsoft Entra. Nama muncul pada ikon di portal Aplikasi Saya.

  2. (Opsional) biarkan URL Masuk (opsional) kosong.

    Cuplikan layar entri untuk Nama Tampilan dan URL Masuk.

  3. Di samping Kunci Penandatanganan pilih refresh.

  4. Pilih Sertifikat Penandatanganan. Tindakan ini menemukan sertifikat yang Anda masukkan.

  5. Untuk Menandatangani Frasa Sandi Kunci, masukkan kata sandi sertifikat.

  6. (Opsional) Aktifkan Opsi Penandatanganan. Opsi ini memastikan BIG-IP menerima token dan klaim yang ditandatangani oleh ID Microsoft Entra

    Cuplikan layar entri untuk Kunci Penandatanganan, Sertifikat Penandatanganan, dan Frasa Sandi Kunci Penandatanganan.

  7. Grup Pengguna dan Pengguna dikueri secara dinamis dari penyewa Microsoft Entra Anda. Grup membantu mengotorisasi akses aplikasi.

  8. Tambahkan pengguna atau grup untuk pengujian, jika tidak, akses ditolak.

    Cuplikan layar tombol Tambahkan pada Grup Pengguna dan Pengguna.

Atribut & Klaim Pengguna

Saat pengguna mengautentikasi ke ID Microsoft Entra, pengguna mengeluarkan token SAML dengan klaim dan atribut default yang mengidentifikasi pengguna. Tab Atribut Pengguna & Klaim menunjukkan klaim default yang akan dikeluarkan untuk aplikasi baru. Gunakan untuk mengonfigurasi lebih banyak klaim.

Tutorial ini didasarkan pada akhiran domain .com yang digunakan secara internal dan eksternal. Tidak ada atribut lain yang diperlukan untuk mencapai implementasi SSO delegasi yang dibatasi Kerberos fungsional (KCD).

Cuplikan layar tab Atribut & Klaim Pengguna.

Anda dapat menyertakan lebih banyak atribut Microsoft Entra. Untuk tutorial ini, SAP ERP memerlukan atribut default.

Pelajari lebih lanjut: Tutorial: Mengonfigurasi F5 BIG-IP Access Policy Manager untuk autentikasi Kerberos. Lihat, instruksi tentang beberapa domain atau pengguna masuk dengan akhiran alternatif.

Atribut Pengguna Tambahan

Tab Atribut Pengguna Tambahan mendukung sistem terdistribusi yang memerlukan atribut yang disimpan di direktori lain, untuk augmentasi sesi. Dengan demikian, atribut dari sumber LDAP disuntikkan sebagai lebih banyak header SSO untuk mengontrol akses berbasis peran, ID Mitra, dan sebagainya.

Catatan

Fitur ini tidak memiliki korelasi dengan ID Microsoft Entra tetapi merupakan sumber atribut lain.

Kebijakan Akses Bersyarat

Kebijakan Akses Bersyariah diberlakukan setelah pra-autentikasi Microsoft Entra. Tindakan ini mengontrol akses berdasarkan perangkat, aplikasi, lokasi, dan sinyal risiko.

Tampilan Kebijakan yang Tersedia mencantumkan kebijakan Akses Bersyar tanpa tindakan berbasis pengguna.

Tampilan Kebijakan yang Dipilih mencantumkan kebijakan yang menargetkan aplikasi cloud. Anda tidak dapat membatalkan pilihan kebijakan ini, atau memindahkannya ke daftar Kebijakan yang Tersedia karena diberlakukan di tingkat penyewa.

Untuk memilih kebijakan untuk aplikasi yang diterbitkan:

  1. Dari daftar Kebijakan yang Tersedia, pilih kebijakan.
  2. Pilih panah kanan.
  3. Pindahkan kebijakan ke daftar Kebijakan yang Dipilih.

Kebijakan yang dipilih memiliki opsi Sertakan atau Kecualikan dicentang. Jika kedua opsi dicentang, kebijakan yang dipilih tidak diberlakukan.

Cuplikan layar kebijakan yang dikecualikan dalam Kebijakan yang Dipilih.

Catatan

Daftar kebijakan muncul saat Anda awalnya memilih tab ini. Gunakan tombol refresh untuk mengkueri penyewa Anda. Refresh muncul saat aplikasi disebarkan.

Properti Server Virtual

Server virtual adalah objek sarana data BIG-IP yang diwakili oleh alamat IP virtual. Server ini mendengarkan permintaan klien ke aplikasi. Lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM yang terkait dengan server virtual. Lalu lintas kemudian diarahkan sesuai dengan kebijakan.

  1. Masukkan Alamat Tujuan. Gunakan alamat IPv4/IPv6 yang digunakan BIG-IP untuk menerima lalu lintas klien. Rekaman yang sesuai ada di DNS, yang memungkinkan klien untuk menyelesaikan URL eksternal aplikasi yang diterbitkan BIG-IP ke IP ini. Anda dapat menggunakan DNS localhost komputer pengujian untuk pengujian.
  2. Untuk Port Layanan, masukkan 443.
  3. Pilih HTTPS.
  4. Untuk Aktifkan Port Pengalihan, centang kotak .
  5. Untuk Port Pengalihan, masukkan angka dan pilih HTTP. Opsi ini mengalihkan lalu lintas klien HTTP masuk ke HTTPS.
  6. Pilih Profil SSL Klien yang Anda buat. Atau, biarkan default untuk pengujian. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui TLS.

Cuplikan layar opsi dan pilihan untuk Properti Server Virtual.

Properti Kumpulan

Tab Kumpulan Aplikasi memiliki layanan di belakang BIG-IP, yang diwakili sebagai kumpulan dengan server aplikasi.

  1. Untuk Pilih Kumpulan, pilih Buat Baru, atau pilih kumpulan.

  2. Untuk Metode Penyeimbangan Beban, pilih Round Robin.

  3. Untuk Pool Server, pilih simpul server, atau masukkan IP dan port untuk simpul back-end yang menghosting aplikasi berbasis header.

    Cuplikan layar opsi dan pilihan untuk Kumpulan Aplikasi.

Akses Menyeluruh & Header HTTP

Gunakan SSO untuk mengaktifkan akses layanan yang diterbitkan BIG-IP tanpa memasukkan kredensial. Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO. Untuk instruksi berikut, Anda memerlukan akun delegasi Kerberos yang Anda buat.

  1. Pada Akses Menyeluruh & Header HTTP, untuk Pengaturan Tingkat Lanjut, pilih Aktif.

  2. Untuk Jenis Akses Menyeluruh yang Dipilih, pilih Kerberos.

  3. Untuk Sumber Nama Pengguna, masukkan variabel sesi sebagai sumber ID pengguna. session.saml.last.identity memegang klaim Microsoft Entra dengan ID pengguna yang masuk.

  4. Opsi Sumber Realm Pengguna diperlukan jika domain pengguna berbeda dari realm BIG-IP kerberos. Dengan demikian, variabel sesi APM berisi domain pengguna yang masuk. Contohnya,session.saml.last.attr.name.domain.

    Cuplikan layar opsi dan pilihan untuk Akses Menyeluruh & Header HTTP.

  5. Untuk KDC, masukkan IP pengendali domain, atau FQDN jika DNS dikonfigurasi.

  6. Untuk Dukungan UPN, centang kotak . APM menggunakan UPN untuk tiket kerberos.

  7. Untuk Pola SPN, masukkan HTTP/%h. Tindakan ini menginformasikan APM untuk menggunakan header host permintaan klien dan membangun SPN yang meminta token kerberos.

  8. Untuk Kirim Otorisasi, nonaktifkan opsi untuk aplikasi yang menegosiasikan autentikasi. Misalnya, Tomcat.

    Cuplikan layar opsi dan pilihan untuk Konfigurasi Metode SSO.

Manajemen Sesi

Gunakan pengaturan manajemen sesi BIG-IP untuk menentukan kondisi saat sesi pengguna dihentikan atau dilanjutkan. Kondisi termasuk batasan untuk pengguna dan alamat IP, dan info pengguna terkait.

Untuk mempelajari selengkapnya, buka my.f5.com untuk K18390492: Keamanan | Panduan operasi BIG-IP APM

Panduan operasi tidak mencakup Single Log-Out (SLO). Fitur ini memastikan sesi antara IdP, BIG-IP, dan agen pengguna berakhir saat pengguna keluar. Tombol Mudah menyebarkan aplikasi SAML ke penyewa Microsoft Entra. Ini mengisi URL Keluar dengan titik akhir APM SLO. IdP yang dimulai keluar dari portal Aplikasi Saya mengakhiri sesi BIG-IP dan klien.

Selama penyebaran, metadata federasi SAML aplikasi yang diterbitkan diimpor dari penyewa. Tindakan ini menyediakan APM titik akhir keluar SAML untuk ID Microsoft Entra dan membantu keluar yang dimulai SP mengakhiri sesi klien dan Microsoft Entra.

Penyebaran

  1. Pilih Sebarkan.
  2. Verifikasi bahwa aplikasi berada dalam daftar aplikasi Enterprise penyewa.
  3. Dengan browser, sambungkan ke URL eksternal aplikasi atau pilih ikon aplikasi di Aplikasi Saya.
  4. Autentikasi ke ID Microsoft Entra.
  5. Anda dialihkan ke server virtual BIG-IP dan masuk melalui SSO.

Untuk peningkatan keamanan, Anda dapat memblokir akses langsung ke aplikasi, sehingga memberlakukan jalur melalui BIG-IP.

Penyebaran tingkat lanjut

Templat Konfigurasi Terpandu terkadang tidak memiliki fleksibilitas.

Pelajari lebih lanjut: Tutorial: Mengonfigurasi F5 BIG-IP Access Policy Manager untuk autentikasi Kerberos.

Menonaktifkan mode manajemen yang ketat

Atau, di BIG-IP Anda dapat menonaktifkan mode manajemen ketat Konfigurasi Terpandu. Anda dapat mengubah konfigurasi secara manual, meskipun sebagian besar konfigurasi diotomatisasi dengan templat wizard.

  1. Navigasi ke Konfigurasi Terpandu Akses>.

  2. Di akhir baris untuk konfigurasi aplikasi Anda, pilih gembok.

  3. Objek BIG-IP yang terkait dengan aplikasi yang diterbitkan tidak terkunci untuk manajemen. Perubahan melalui UI wizard tidak lagi dimungkinkan.

    Cuplikan layar ikon gembok.

    Catatan

    Untuk mengaktifkan kembali mode manajemen yang ketat dan menyebarkan konfigurasi yang menimpa pengaturan di luar UI Konfigurasi Terpandu, kami merekomendasikan metode konfigurasi tingkat lanjut untuk layanan produksi.

Pemecahan Masalah

Jika Anda tidak dapat mengakses aplikasi yang diamankan SHA, lihat panduan pemecahan masalah berikut.

  • Kerberos sensitif terhadap waktu. Pastikan server dan klien diatur ke waktu yang benar, dan disinkronkan ke sumber waktu yang dapat diandalkan.
  • Pastikan pengendali domain dan nama host aplikasi web diselesaikan di DNS.
  • Konfirmasikan tidak ada SPN duplikat di lingkungan.
    • Di komputer domain, di baris perintah, gunakan kueri: setspn -q HTTP/my_target_SPN

Untuk memvalidasi konfigurasi KCD aplikasi IIS, lihat Memecahkan masalah konfigurasi KCD untuk Proksi Aplikasi

Buka techdocs.f5.com untuk Metode Akses Menyeluruh Kerberos

Analisis log

Verbositas log

Pengelogan BIG-IP mengisolasi masalah dengan konektivitas, SSO, pelanggaran kebijakan, atau pemetaan variabel yang salah dikonfigurasi. Untuk memulai pemecahan masalah, tingkatkan verbositas log.

  1. Navigasi ke Gambaran Umum Kebijakan > Akses.
  2. Pilih Log Peristiwa.
  3. Pilih pengaturan.
  4. Pilih baris untuk aplikasi yang Anda terbitkan.
  5. Pilih Edit.
  6. Pilih Log Sistem Akses
  7. Dari daftar SSO, pilih Debug.
  8. Pilih OK.
  9. Produksi ulang masalah Anda.
  10. Periksa log.

Ketika inspeksi selesai, kembalikan verbositas log karena mode ini menghasilkan data yang berlebihan.

Pesan kesalahan BIG-IP

Jika pesan kesalahan BIG-IP muncul setelah praautentikasi Microsoft Entra, masalah mungkin terkait dengan ID Microsoft Entra ke BIG-IP SSO.

  1. Navigasi ke Gambaran Umum Akses>.
  2. Pilih Akses laporan.
  3. Jalankan laporan selama satu jam terakhir.
  4. Periksa log.

Gunakan tautan Lihat variabel sesi sesi saat ini untuk melihat apakah APM menerima klaim Microsoft Entra yang diharapkan.

Tidak ada pesan kesalahan BIG-IP

Jika tidak ada pesan kesalahan BIG-IP yang muncul, masalahnya mungkin terkait dengan permintaan back-end, atau BIG-IP ke SSO aplikasi.

  1. Navigasi ke Gambaran Umum Kebijakan > Akses.
  2. Pilih Sesi Aktif.
  3. Pilih tautan untuk sesi saat ini.
  4. Gunakan tautan Lihat Variabel untuk mengidentifikasi masalah KCD, terutama jika BIG-IP APM tidak mendapatkan pengidentifikasi pengguna dan domain yang benar dari variabel sesi.

Selengkapnya: