Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso Single Sign-On basato su intestazione
Informazioni su come proteggere le applicazioni basate su intestazioni con Microsoft Entra ID, con F5 BIG-IP Easy Button Configuration v16.1.
L'integrazione di big-IP con Microsoft Entra ID offre molti vantaggi, tra cui:
- Miglioramento della governance zero trust tramite la preautenticazione e l'accesso condizionale di Microsoft Entra
- Vedere Che cos'è l'accesso condizionale?
- Vedere Sicurezza Zero Trust
- Accesso SSO completo tra i servizi pubblicati da Microsoft Entra ID e BIG-IP
- Identità gestite e accesso da un piano di controllo
- Vedere l'interfaccia di amministrazione di Microsoft Entra
Altre informazioni:
- Integrare F5 BIG-IP con Microsoft Entra ID
- Abilitare l'accesso Single Sign-On per un'applicazione aziendale
Descrizione dello scenario
Questo scenario illustra l'applicazione legacy usando le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto. Legacy non dispone di protocolli moderni per supportare l'integrazione diretta con Microsoft Entra ID. La modernizzazione è costosa, richiede molto tempo e comporta un rischio di inattività. Usare invece F5 BIG-IP Application Delivery Controller (ADC) per colmare il divario tra l'applicazione legacy e il piano di controllo ID moderno, con la transizione del protocollo.
Un BIG-IP davanti all'applicazione abilita la sovrimpressione del servizio con l'accesso Single Sign-On basato su intestazioni e preautenticazione di Microsoft Entra. Questa configurazione migliora il comportamento complessivo di sicurezza delle applicazioni.
Nota
Le organizzazioni possono avere accesso remoto a questo tipo di applicazione con il proxy dell'applicazione Microsoft Entra. Altre informazioni: Accesso remoto alle applicazioni locali tramite il proxy dell'applicazione Microsoft Entra
Architettura dello scenario
La soluzione SHA contiene:
- Applicazione - Servizio pubblicato big-IP protetto da Microsoft Entra SHA
- Microsoft Entra ID : provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAML all'INDIRIZZO BIG-IP. Con SSO, Microsoft Entra ID fornisce big-IP con attributi di sessione.
- BIG-IP : proxy inverso e provider di servizi SAML (SP) all'applicazione, delegando l'autenticazione al provider di identità SAML prima di eseguire l'accesso SSO basato su intestazione all'applicazione back-end.
Per questo scenario, SHA supporta i flussi avviati da SP e IdP. Il diagramma seguente illustra il flusso avviato da SP.
- L'utente si connette all'endpoint applicazione (BIG-IP).
- I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (SAML IdP).
- Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale.
- L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito usando il token SAML rilasciato.
- BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta dell'applicazione.
- L'applicazione autorizza la richiesta e restituisce il payload.
Prerequisiti
Per lo scenario necessario:
- Una sottoscrizione di Azure
- Se non si ha un account gratuito di Azure, ottenere un account gratuito di Azure
- Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator
- BIG-IP o distribuire big-IP Virtual Edition (VE) in Azure
- Una delle licenze F5 BIG-IP seguenti:
- Bundle migliore F5 BIG-IP®
- Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
- Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM)
- Versione di valutazione completa delle funzionalità big-IP di 90 giorni. Vedere Versioni di valutazione gratuite
- Identità utente sincronizzate da una directory locale a Microsoft Entra ID
- Un certificato Web SSL per pubblicare i servizi tramite HTTPS o usare certificati BIG-IP predefiniti per il test
- Vedere Profilo SSL
- Un'applicazione basata su intestazione o configurare un'app di intestazione IIS per il test
Configurazione BIG-IP
Questa esercitazione usa la configurazione guidata v16.1 con un modello di pulsante Facile. Con Easy Button, gli amministratori non tornano più indietro e indietro per abilitare i servizi SHA. La Configurazione guidata guidata e Microsoft Graph gestiscono la distribuzione e la gestione dei criteri. L'integrazione di BIG-IP APM e Microsoft Entra garantisce che le applicazioni supportino la federazione delle identità, l'accesso SSO e l'accesso condizionale.
Nota
Sostituire stringhe o valori di esempio con quelli nell'ambiente in uso.
Registra pulsante facile
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Prima che un client o un servizio accesa a Microsoft Graph, Microsoft Identity Platform deve considerarlo attendibile.
Altre informazioni: Guida introduttiva: Registrare un'applicazione con Microsoft Identity Platform.
Creare una registrazione dell'app tenant per autorizzare l'accesso easy Button a Graph. Con queste autorizzazioni, BIG-IP esegue il push delle configurazioni per stabilire un trust tra un'istanza di SAML SP per l'applicazione pubblicata e l'ID Microsoft Entra come ID SAML.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Applicazioni> di identità>Registrazioni app> Nuova registrazione.
Alla voce Gestisci, selezionare Registrazioni app > Nuova registrazione.
Immettere un nome dell'applicazione.
Specificare chi usa l'applicazione.
Selezionare Account solo in questa directory dell'organizzazione.
Selezionare Registra.
Passare a Autorizzazioni API.
Autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Concedere il consenso amministratore per l'organizzazione.
In Certificati e segreti generare un nuovo segreto client. Prendere nota del segreto client.
In Panoramica prendere nota dell'ID client e dell'ID tenant.
Pulsante Configura facile
Avviare la configurazione guidata di APM.
Avviare il modello Easy Button .
Passare a Configurazione guidata di accesso>.
Selezionare Integrazione Microsoft
Selezionare Applicazione Microsoft Entra.
Esaminare i passaggi di configurazione.
Selezionare Avanti.
Usare la sequenza di passaggi illustrati per pubblicare l'applicazione.
Configuration Properties
Usare la scheda Proprietà di configurazione per creare una configurazione dell'applicazione BIG-IP e un oggetto SSO. I dettagli dell'account del servizio di Azure rappresentano il client registrato nel tenant di Microsoft Entra. Usare le impostazioni per il client OAuth BIG-IP per registrare un provider di servizi SAML nel tenant con le proprietà SSO. Easy Button esegue questa azione per i servizi BIG-IP pubblicati e abilitati per SHA.
È possibile riutilizzare le impostazioni per pubblicare più applicazioni.
Immettere un nome di configurazione.
Per Single Sign-On (SSO) e intestazioni HTTP selezionare Sì.
Per ID tenant, ID client e Segreto client immettere gli elementi annotati.
Verificare che BIG-IP si connetta al tenant.
Selezionare Avanti.
Provider di Servizi
Nelle impostazioni del provider di servizi definire le impostazioni dell'istanza di SAML SP per l'applicazione protetta da SHA.
Immettere un nome di dominio completo pubblico dell'applicazione.
Immettere un ID entità, l'identificatore usato dall'ID Microsoft Entra per identificare il provider di servizi SAML che richiede un token.
(Facoltativo) In Sicurezza Impostazioni selezionare Abilita asserzione crittografia per abilitare Microsoft Entra ID per crittografare le asserzioni SAML rilasciate. Le asserzioni di crittografia di Microsoft Entra ID e BIG-IP APM consentono di garantire che i token di contenuto non vengano intercettati, né i dati personali o aziendali compromessi.
Nell'elenco Chiave privata di decrittografia asserzione in Sicurezza Impostazioni selezionare Crea nuovo.
Seleziona OK.
Viene visualizzata la finestra di dialogo Importa certificato SSL e chiavi .
Per Tipo di importazione selezionare PKCS 12 (IIS). Questa azione importa il certificato e la chiave privata.
Per Certificato e Nome chiave selezionare Nuovo e immettere l'input.
Consente di immettere la password.
Selezionare Importa.
Chiudere la scheda del browser per tornare alla scheda principale.
- Selezionare la casella Abilita asserzione crittografata.
- Se è stata abilitata la crittografia, nell'elenco Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare il certificato. BIG-IP APM usa questa chiave privata del certificato per decrittografare le asserzioni Microsoft Entra.
- Se è stata abilitata la crittografia, nell'elenco Certificato di decrittografia asserzione selezionare il certificato. BIG-IP carica questo certificato in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.
Microsoft Entra ID
Usare le istruzioni seguenti per configurare una nuova applicazione SAML BIG-IP nel tenant di Microsoft Entra. Easy Button include modelli di applicazione per Oracle Persone Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e un modello SHA generico.
- In Configurazione di Azure, in Proprietà di configurazione selezionare F5 BIG-IP APM Microsoft Entra ID Integration.
- Selezionare Aggiungi.
Configurazione di Azure
Immettere un nome visualizzato dell'app BIG-IP creato nel tenant di Microsoft Entra. Gli utenti visualizzano il nome, con un'icona, in Microsoft App personali.
Ignorare l'URL di accesso (facoltativo).
Accanto a Firma chiave e certificato di firma selezionare Aggiorna per individuare il certificato importato.
In Passphrase chiave di firma immettere la password del certificato.
(Facoltativo) Abilitare l'opzione di firma per assicurarsi che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.
L'input per utenti e gruppi di utenti viene sottoposto a query in modo dinamico.
Importante
Aggiungere un utente o un gruppo per il test; in caso contrario, viene negato tutto l'accesso. In Utenti e gruppi di utenti selezionare + Aggiungi.
Attributi utente e attestazioni
Quando un utente esegue l'autenticazione, Microsoft Entra ID rilascia un token SAML con attestazioni e attributi che identificano l'utente. La scheda Attributi utente e attestazioni ha attestazioni predefinite per l'applicazione. Usare la scheda per configurare altre attestazioni.
Includere un altro attributo:
In Nome intestazione immettere employeeid.
Per Attributo di origine immettere user.employeeid.
Attributi utente aggiuntivi
Nella scheda Attributi utente aggiuntivi abilitare l'aumento della sessione. Usare questa funzionalità per sistemi distribuiti, ad esempio Oracle, SAP e altre implementazioni JAVA che richiedono l'archiviazione degli attributi in altre directory. Gli attributi recuperati da un'origine LDAP (Lightweight Directory Access Protocol) vengono inseriti come più intestazioni SSO. Questa azione consente di controllare l'accesso in base a ruoli, ID partner e così via.
Nota
Questa funzionalità non ha alcuna correlazione con Microsoft Entra ID. Si tratta di un'origine dell'attributo.
Criteri di accesso condizionale
I criteri di accesso condizionale controllano l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio.
- In Criteri disponibili trovare criteri di accesso condizionale senza azioni utente
- In Criteri selezionati trovare i criteri delle app cloud
- Non è possibile deselezionare questi criteri o spostarli in Criteri disponibili perché vengono applicati a livello di tenant
Per selezionare un criterio da applicare all'applicazione da pubblicare:
- Nell'elenco Criteri di accesso condizionale della scheda Criteri di accesso condizionale selezionare un criterio.
- Selezionare la freccia destra e spostarla nell'elenco Criteri selezionati.
Nota
È possibile selezionare l'opzione Includi o Escludi per un criterio. Se sono selezionate entrambe le opzioni, il criterio viene annullato.
Nota
L'elenco dei criteri viene visualizzato quando si seleziona la scheda Criteri di accesso condizionale. Selezionare Aggiorna e la procedura guidata esegue una query sul tenant. L'aggiornamento viene visualizzato dopo la distribuzione di un'applicazione.
Proprietà del server virtuale
Un server virtuale è un oggetto piano dati BIG-IP, rappresentato da un indirizzo IP virtuale. Il server è in ascolto delle richieste dei client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale. Il traffico viene indirizzato in base ai criteri.
Per Indirizzo di destinazione immettere un indirizzo IPv4 o IPv6 usato da BIG-IP per ricevere il traffico client. Assicurarsi che un record corrispondente nel server dei nomi di dominio (DNS) che consenta ai client di risolvere l'URL esterno, dell'applicazione pubblicata BIG-IP, in questo INDIRIZZO IP. È possibile usare il DNS localhost del computer per il test.
Per Porta del servizio immettere 443 e selezionare HTTPS.
Selezionare la casella Abilita porta di reindirizzamento.
Immettere un valore per Porta di reindirizzamento. Questa opzione reindirizza il traffico client HTTP in ingresso a HTTPS.
Selezionare il profilo SSL client creato oppure lasciare l'impostazione predefinita per i test. Il profilo SSL client abilita il server virtuale per HTTPS, quindi le connessioni client vengono crittografate tramite TLS.
Proprietà pool
La scheda Pool di applicazioni include servizi dietro un BIG-IP, rappresentato come pool, con uno o più server applicazioni.
Per Selezionare un pool selezionare Crea nuovo o selezionare un altro.
Per Metodo di bilanciamento del carico selezionare Round Robin.
Per Server del pool selezionare un nodo o selezionare un indirizzo IP e una porta per il server che ospita l'applicazione basata sull'intestazione.
Nota
L'applicazione back-end Microsoft si trova sulla porta HTTP 80. Se si seleziona HTTPS, usare 443.
Intestazioni Single Sign-On e HTTP
Con l'accesso SSO, gli utenti accedono ai servizi pubblicati big-IP senza immettere le credenziali. La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO.
In Intestazioni Single Sign-On e HTTP, in Intestazioni SSO, per Operazione intestazione selezionare Inserisci
Per Nome intestazione, usare upn.
Per Valore intestazione, usare %{session.saml.last.identity}.
In Operazione intestazione selezionare Inserisci.
Per Nome intestazione usare employeeid.
Per Valore intestazione usare %{session.saml.last.attr.name.employeeid}.
Nota
Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. Le incoerenze causano errori di mapping degli attributi.
Gestione delle sessioni
Usare le impostazioni di gestione delle sessioni BIG-IP per definire le condizioni per la terminazione o la continuazione delle sessioni utente.
Per altre informazioni, vedere support.f5.com per K18390492: Sicurezza | Guida operativa di BIG-IP APM
L'uscita singola (SLO) garantisce che le sessioni idP, BIG-IP e agente utente terminino quando gli utenti si disconnetteno. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola l'URL di disconnessione con l'endpoint SLO di APM. La disconnessa avviata da IdP da App personali termina le sessioni BIG-IP e client.
Altre informazioni: vedere App personali
I metadati della federazione SAML per l'applicazione pubblicata vengono importati dal tenant. L'importazione fornisce all'APM l'endpoint di disconnesso SAML per Microsoft Entra ID. Questa azione garantisce che la disconnessa avviata da SP termini le sessioni client e Microsoft Entra. Assicurarsi che APM sappia quando si verifica la disconnessità dell'utente.
Se il portale Webtop BIG-IP accede alle applicazioni pubblicate, th eAPM elabora la disconnessa per chiamare l'endpoint di disconnesso Microsoft Entra. Se il portale webtop BIG-IP non viene usato, gli utenti non possono indicare a APM di disconnettersi. Se gli utenti escono dall'applicazione, BIG-IP è oblivioso. Assicurarsi quindi che la disconnessa avviata da SP termini in modo sicuro le sessioni. È possibile aggiungere una funzione SLO a un pulsante di disconnessione dell'applicazione, quindi i client vengono reindirizzati all'endpoint di disconnessione microsoft Entra SAML o BIG-IP. Per individuare l'URL dell'endpoint di disconnessione SAML per il tenant, passare a Endpoint registrazioni >app.
Se non è possibile modificare l'app, abilitare big-IP per l'ascolto della chiamata di disconnessione dell'applicazione e attivare SLO.
Altre informazioni:
- Persone Soft Single Logout
- Passare a support.f5.com per:
Distribuzione
La distribuzione fornisce una suddivisione delle configurazioni.
- Per eseguire il commit delle impostazioni, selezionare Distribuisci.
- Verificare l'applicazione nell'elenco tenant delle applicazioni aziendali.
- L'applicazione viene pubblicata e accessibile tramite SHA, con il relativo URL o nei portali delle applicazioni Microsoft.
Test
- In un browser connettersi all'URL esterno dell'applicazione o selezionare l'icona dell'applicazione in App personali.
- Eseguire l'autenticazione in Microsoft Entra ID.
- Si verifica un reindirizzamento al server virtuale BIG-IP per l'applicazione e ha eseguito l'accesso con SSO.
Lo screenshot seguente è l'output delle intestazioni inserite dall'applicazione basata su intestazione.
Nota
È possibile bloccare l'accesso diretto all'applicazione, applicando così un percorso tramite BIG-IP.
Distribuzione avanzata
Per alcuni scenari, i modelli di configurazione guidata non hanno flessibilità.
Altre informazioni: Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'accesso SSO basato su intestazione.
In BIG-IP è possibile disabilitare la modalità di gestione strict della configurazione guidata. Modificare quindi manualmente le configurazioni, ma la maggior parte delle configurazioni viene automatizzata con i modelli della procedura guidata.
Per disabilitare la modalità strict, passare a Configurazione guidata di accesso>.
Nella riga per la configurazione dell'applicazione selezionare l'icona del lucchetto .
Gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione vengono sbloccati per la gestione. Le modifiche apportate alla procedura guidata non sono più possibili.
Nota
Se si abilita nuovamente la modalità strict e si distribuisce una configurazione, l'azione sovrascrive le impostazioni non nella configurazione guidata. È consigliabile configurare la configurazione avanzata per i servizi di produzione.
Risoluzione dei problemi
Usare le indicazioni seguenti per la risoluzione dei problemi.
Dettaglio log
I log BIG-IP consentono di isolare i problemi di connettività, SSO, criteri o mapping di variabili configurati in modo errato. Per risolvere i problemi, aumentare il livello di dettaglio del log.
- Passare a Panoramica dei criteri> di accesso.
- Selezionare Registri eventi.
- Seleziona Impostazioni.
- Selezionare la riga dell'applicazione pubblicata
- Seleziona Modifica
- Selezionare Accedi ai log di sistema.
- Nell'elenco SSO selezionare Debug.
- Seleziona OK.
- Riprodurre il problema.
- Esaminare i log.
Nota
Ripristinare questa funzionalità al termine. La modalità dettagliata genera dati eccessivi.
Messaggio di errore BIG-IP
Se viene visualizzato un messaggio di errore BIG-IP dopo la preautenticazione di Microsoft Entra, il problema potrebbe riguardare Microsoft Entra ID-to-BIG-IP SSO.
- Passare a Panoramica dei criteri> di accesso.
- Selezionare Accedi ai report.
- Eseguire il report per l'ultima ora.
- Esaminare i log per individuare gli indizi.
Usare il collegamento Visualizza variabili di sessione per la sessione per comprendere se APM riceve le attestazioni Di Microsoft Entra previste.
Nessun messaggio di errore BIG-IP
Se non viene visualizzato alcun messaggio di errore BIG-IP, il problema potrebbe essere correlato alla richiesta back-end o all'accesso SSO big-IP-to-application.
- Passare a Panoramica dei criteri> di accesso.
- Selezionare Sessioni attive.
- Selezionare il collegamento sessione attiva.
Usare il collegamento Visualizza variabili per determinare i problemi relativi all'accesso Single Sign-On, in particolare se big-IP APM non ottiene gli attributi corretti.
Altre informazioni:
- Configurazione dell'autenticazione remota LDAP per Active Directory
- Passare a techdocs.f5.com per Capitolo manuale: Query LDAP