Integrare F5 BIG-IP con Microsoft Entra ID

Con l'aumento del panorama delle minacce e l'uso di più dispositivi mobili, le organizzazioni stanno ripensando all'accesso e alla governance delle risorse. Parte dei programmi di modernizzazione includono la valutazione dell'idoneità tra identità, dispositivi, app, infrastruttura, rete e dati. È possibile ottenere informazioni sul framework Zero Trust per abilitare il lavoro remoto e lo strumento Zero Trust Assessment.

Microsoft e F5 si rendono conto che la trasformazione digitale è un percorso a lungo termine, le risorse potenzialmente critiche vengono esposte fino alla modernizzazione. L'obiettivo di F5 BIG-IP e Microsoft Entra ID proteggere l'accesso ibrido (SHA) è migliorare l'accesso remoto alle applicazioni locali e rafforzare il comportamento di sicurezza dei servizi legacy vulnerabili.

La ricerca stima che il 60%-80% delle applicazioni locali sia legacy o incapace di integrarsi con Microsoft Entra ID. Lo stesso studio indica una gran parte di sistemi simili eseguiti nelle versioni precedenti di SAP, Oracle, SAGE e altri carichi di lavoro noti per i servizi critici.

SHA consente alle organizzazioni di continuare a usare gli investimenti nella rete F5 e nella distribuzione di applicazioni. Con Microsoft Entra ID, SHA consente di colmare il divario con il piano di controllo delle identità.

Vantaggi

Quando Microsoft Entra ID pre-autentica l'accesso ai servizi pubblicati big-IP, esistono molti vantaggi:

• Autenticazione senza password con:
  • Windows Hello
  • MS Authenticator
  • Chiavi FIDO (Fast Identity Online)
  • Autenticazione basata su certificati

Altri vantaggi includono:

• Un piano di controllo per gestire l'identità e l'accesso
  • Interfaccia di amministrazione di Microsoft Entra
• Accesso condizionale preemptive
• Autenticazione a più fattori Microsoft Entra
• Protezione adattiva tramite la profilatura dei rischi utente e sessione
  • Identity Protection
• Rilevamento delle credenziali perse
• Reimpostazione password self-service
• Gestione entitlement per l'accesso guest regolamentato
  • Collaborazione partner
• Individuazione e controllo delle app
  • app Defender per il cloud (CASB)
• Monitoraggio e analisi delle minacce con Microsoft Sentinel

Descrizione dello scenario

Come controller per la distribuzione di applicazioni (ADC) e rete privata virtuale secure socket layer (SSL-VPN), un sistema BIG-IP fornisce l'accesso locale e remoto ai servizi, tra cui:

• Applicazioni Web moderne e legacy
• Applicazioni non basate sul Web
• Servizi REST (Representational State Transfer) e Simple Object Access Protocol (SOAP) Web Application Programming Interface (API)

BIG-IP Local Gestione traffico (LTM) è per la pubblicazione sicura dei servizi, mentre Access Policy Manager (APM) estende le funzioni BIG-IP che abilitano la federazione delle identità e l'accesso Single Sign-On (SSO).

Con l'integrazione, si ottiene la transizione del protocollo ai servizi legacy sicuri o non azure AD integrati, con controlli come:

• Autenticazione senza password
• Accesso condizionale

Nello scenario, un BIG-IP è un proxy inverso che esegue l'autenticazione preliminare del servizio e l'autorizzazione a Microsoft Entra ID. L'integrazione si basa su un trust federativo standard tra APM e Microsoft Entra ID. Questo scenario è comune con SHA. Altre informazioni: Configurare F5 BIG-IP SSL-VPN per Microsoft Entra SSO. Con SHA è possibile proteggere le risorse SAML (Security Assertion Markup Language), Open Authorization (OAuth) e OpenID Connessione (OIDC).

Nota

Se usato per l'accesso locale e remoto, un BIG-IP può essere un punto di blocco per l'accesso Zero Trust ai servizi, incluse le app SaaS (Software as a Service).

Il diagramma seguente illustra lo scambio di preautenticazione front-end tra un utente, un BIG-IP e Microsoft Entra ID, in un flusso avviato da un provider di servizi (SP). Mostra quindi l'arricchimento successivo della sessione APM e l'accesso SSO ai singoli servizi back-end.

1. Nel portale un utente seleziona un'icona dell'applicazione, risolvendo l'URL in SAML SP (BIG-IP)
2. BIG-IP reindirizza l'utente al provider di identità SAML (IdP), all'ID Microsoft Entra, per la pre-autenticazione
3. Microsoft Entra ID elabora i criteri di accesso condizionale e i controlli sessione per l'autorizzazione
4. L'utente torna a BIG-IP e presenta le attestazioni SAML rilasciate da Microsoft Entra ID
5. BIG-IP richiede informazioni sulla sessione per l'accesso Single Sign-On e il controllo degli accessi in base al ruolo al servizio pubblicato
6. BIG-IP inoltra la richiesta client al servizio back-end

Esperienza utente

Indipendentemente dal fatto che un dipendente, un'affiliata o un consumer, la maggior parte degli utenti abbia familiarità con l'esperienza di accesso di Office 365. L'accesso ai servizi BIG-IP è simile.

Gli utenti possono trovare i servizi pubblicati big-IP nel portale di App personali o nell'icona di avvio delle app di Microsoft 365 con funzionalità self-service, indipendentemente dal dispositivo o dalla posizione. Gli utenti possono continuare ad accedere ai servizi pubblicati con il portale Webtop BIG-IP. Quando gli utenti si disconnetteno, SHA garantisce la terminazione della sessione per BIG-IP e Microsoft Entra ID, aiutando i servizi a rimanere protetti dall'accesso non autorizzato.

Gli utenti accedono al portale di App personali per trovare i servizi pubblicati big-IP e per gestire le proprietà dell'account. Vedere la raccolta e la pagina self-service nella grafica seguente.

Informazioni dettagliate e analisi

È possibile monitorare le istanze BIG-IP distribuite per garantire che i servizi pubblicati siano a disponibilità elevata, a livello SHA e operativo.

Sono disponibili diverse opzioni per registrare gli eventi in locale o in remoto tramite una soluzione SIEM (Security Information and Event Management), che consente l'elaborazione dei dati di archiviazione e telemetria. Per monitorare l'attività MICROSOFT Entra ID e SHA, è possibile usare Monitoraggio di Azure e Microsoft Sentinel insieme:

• Panoramica dell'organizzazione, potenzialmente in più cloud e posizioni locali, tra cui l'infrastruttura BIG-IP

• Un piano di controllo con vista dei segnali, evitando la dipendenza da strumenti complessi e diversi

  

Prerequisiti di integrazione

Non è necessaria alcuna esperienza precedente o conoscenza big-IP F5 per implementare SHA, ma è consigliabile apprendere la terminologia F5 BIG-IP. Vedere il glossario del servizio F5.

L'integrazione di un F5 BIG-IP con Microsoft Entra ID for SHA presenta i prerequisiti seguenti:

• Un'istanza BIG-IP F5 in esecuzione in:
  • Appliance fisica
  • Hypervisor Virtual Edition, ad esempio Microsoft Hyper-V, VMware ESXi, Linux KVM e Citrix Hypervisor
  • Cloud Virtual Edition, ad esempio Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack e Google Cloud

Nota

Il percorso dell'istanza BIG-IP può essere locale o una piattaforma cloud supportata, tra cui Azure. L'istanza ha connettività Internet, risorse da pubblicare e tutti i servizi, ad esempio Active Directory.

• Una licenza APM F5 BIG-IP attiva:
  • Bundle migliore F5 BIG-IP®
  • Licenza autonoma di F5 BIG-IP Access Policy Manager™
  • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) su una Gestione traffico ™ locale BIG-IP F5 BIG-IP® esistente
  • Una licenza di valutazione di Big-IP Access Policy Manager™ (APM) di 90 giorni
• Licenze microsoft Entra ID:
  • Un account gratuito di Azure ha requisiti di base minimi per SHA con autenticazione senza password
  • Una sottoscrizione Premium ha accesso condizionale, autenticazione a più fattori e Identity Protection

Scenari di configurazione

È possibile configurare un BIG-IP per SHA con opzioni basate su modello o una configurazione manuale. Le esercitazioni seguenti contengono indicazioni sull'implementazione dell'accesso ibrido sicuro per BIG-IP e Microsoft Entra ID.

Configurazione avanzata

L'approccio avanzato è un modo flessibile per implementare SHA. È possibile creare manualmente tutti gli oggetti di configurazione BIG-IP. Usare questo approccio per scenari non inclusi nei modelli di configurazione guidati.

Esercitazioni avanzate sulla configurazione:

• Procedura dettagliata per F5 BIG-IP nella distribuzione di Azure

• Protezione di F5 BIG-IP SSL-VPN con Microsoft Entra SHA

• Estendere Azure AD B2C per proteggere le applicazioni usando F5 BIG-IP

• Applicazioni F5 BIG-IP APM e Microsoft Entra SSO to Kerberos

• F5 BIG-IP APM e Microsoft Entra SSO per le applicazioni basate sull'intestazione

• F5 BIG-IP APM e Microsoft Entra SSO per le applicazioni basate su moduli

Modelli di configurazione guidata e pulsanti semplici

La configurazione guidata big-IP versione 13.1 riduce al minimo il tempo e lo sforzo per implementare scenari di pubblicazione BIG-IP comuni. Il framework del flusso di lavoro offre un'esperienza di distribuzione intuitiva, per topologie di accesso specifiche.

La configurazione guidata versione 16.x include la funzionalità Easy Button: gli amministratori non passano più avanti e indietro tra Microsoft Entra ID e BIG-IP per abilitare i servizi per SHA. La distribuzione end-to-end e la gestione dei criteri viene gestita dalla configurazione guidata di APM e da Microsoft Graph. Questa integrazione tra BIG-IP APM e Microsoft Entra ID garantisce che le applicazioni supportino la federazione delle identità, l'accesso condizionale SSO e Microsoft Entra, senza il sovraccarico di gestione di questa operazione per ogni app.

Esercitazioni per l'uso di modelli easy Button, F5 BIG-IP Easy Button per l'accesso Single Sign-On:

• Applicazioni Kerberos

• Applicazioni basate su intestazione

• Applicazioni ldap e basate su intestazione

• Oracle EBS (Enterprise Business Suite)

• Oracle JD Edwards

• Oracle Persone Soft

• SAP ERP

Accesso guest Microsoft Entra B2B

L'accesso guest Microsoft Entra B2B alle applicazioni protette da SHA è possibile, ma potrebbe richiedere passaggi non nelle esercitazioni. Un esempio è Kerberos SSO, quando un BIG-IP esegue la delega vincolata Kerberos (KCD) per ottenere un ticket di servizio dai controller di dominio. Senza una rappresentazione locale di un utente guest locale, un controller di dominio non rispetta la richiesta perché non esiste alcun utente. Per supportare questo scenario, assicurarsi che le identità esterne vengano propagate dal tenant di Microsoft Entra alla directory usata dall'applicazione.

Altre informazioni: Concedere agli utenti B2B in Microsoft Entra ID l'accesso alle applicazioni locali

Passaggi successivi

È possibile eseguire un modello di verifica per SHA usando l'infrastruttura BIG-IP o distribuendo una macchina virtuale BIG-IP Virtual Edition (VE) in Azure. Per distribuire una macchina virtuale in Azure sono necessari circa 30 minuti, sarà necessario:

• Piattaforma protetta per modellare un progetto pilota per SHA
• Istanza di pre-produzione per testare nuovi aggiornamenti e hotfix del sistema BIG-IP

Identificare una o due applicazioni da pubblicare con BIG-IP e proteggere con SHA.

È consigliabile iniziare con un'applicazione non pubblicata tramite BIG-IP. Questa azione evita potenziali interruzioni nei servizi di produzione. Le linee guida contenute in questo articolo consentono di ottenere informazioni sulla procedura per creare oggetti di configurazione BIG-IP e configurare SHA. È quindi possibile convertire i servizi pubblicati BIG-IP in SHA con un impegno minimo.

La guida interattiva seguente illustra l'implementazione di SHA con un modello e l'esperienza dell'utente finale.

Risorse

• Fine delle password, senza password
• Accesso ibrido sicuro a Microsoft Entra ID
• Framework Microsoft Zero Trust per abilitare il lavoro remoto
• Introduzione a Microsoft Sentinel