Configurare F5 BIG-IP Access Policy Manager per l'accesso SSO basato su form
Informazioni su come configurare F5 BIG-IP Access Policy Manager (APM) e Microsoft Entra ID per l'accesso ibrido sicuro (SHA) alle applicazioni basate su form. I servizi pubblicati big-IP per l'accesso Single Sign-On (SSO) di Microsoft Entra offrono vantaggi:
- Miglioramento della governance zero trust tramite la preautenticazione e l'accesso condizionale di Microsoft Entra
- Accesso SSO completo tra i servizi pubblicati da Microsoft Entra ID e BIG-IP
- Identità gestite e accesso da un piano di controllo
- Vedere l'interfaccia di amministrazione di Microsoft Entra
Altre informazioni:
- Integrare F5 BIG-IP con Microsoft Entra ID
- Abilitare l'accesso Single Sign-On per un'applicazione aziendale
Descrizione dello scenario
Per lo scenario, è disponibile un'applicazione legacy interna configurata per l'autenticazione basata su form. Idealmente, Microsoft Entra ID gestisce l'accesso alle applicazioni, perché legacy non dispone di protocolli di autenticazione moderni. La modernizzazione richiede tempo e impegno, introducendo il rischio di tempi di inattività. Distribuire invece un BIG-IP tra la rete Internet pubblica e l'applicazione interna. Questa configurazione consente l'accesso in ingresso all'applicazione.
Con un BIG-IP davanti all'applicazione, è possibile sovrapporre il servizio con l'accesso Single Sign-On basato su intestazione e preautenticazione di Microsoft Entra. La sovrimpressione migliora il comportamento di sicurezza dell'applicazione.
Architettura dello scenario
La soluzione SHA include i componenti seguenti:
- Applicazione : servizio pubblicato BIG-IP protetto da SHA.
- L'applicazione convalida le credenziali utente in Active Directory
- Usare qualsiasi directory, inclusi Active Directory Lightweight Directory Services, open source e così via
- Microsoft Entra ID : provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO all'INDIRIZZO BIG-IP.
- Con SSO, Microsoft Entra ID fornisce attributi per BIG-IP, inclusi gli identificatori utente
- BIG-IP : proxy inverso e provider di servizi SAML (SP) all'applicazione.
- BIG-IP delega l'autenticazione al provider di identità SAML e quindi esegue l'accesso SSO basato su intestazione all'applicazione back-end.
- SSO usa le credenziali utente memorizzate nella cache in altre applicazioni di autenticazione basate su form
SHA supporta i flussi avviati da SP e IdP. Il diagramma seguente illustra il flusso avviato da SP.
- L'utente si connette all'endpoint applicazione (BIG-IP).
- I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (SAML IdP).
- Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale applicati.
- L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito usando il token SAML rilasciato.
- BIG-IP richiede all'utente una password dell'applicazione e la archivia nella cache.
- BIG-IP invia una richiesta all'applicazione e riceve un modulo di accesso.
- Lo scripting APM compila il nome utente e la password, quindi invia il modulo.
- Il server Web serve il payload dell'applicazione e lo invia al client.
Prerequisiti
Sono necessari i componenti seguenti:
- Una sottoscrizione di Azure
- Se non si ha un account gratuito di Azure, ottenere un account gratuito di Azure
- Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator
- BIG-IP o distribuire big-IP Virtual Edition (VE) in Azure
- Una delle licenze F5 BIG-IP seguenti:
- Bundle migliore F5 BIG-IP®
- Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
- Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM)
- Versione di valutazione completa delle funzionalità big-IP di 90 giorni. Vedere Versioni di valutazione gratuite
- Identità utente sincronizzate da una directory locale a Microsoft Entra ID
- Un certificato SSL per pubblicare i servizi tramite HTTPS o usare i certificati predefiniti durante il test
- Vedere Profilo SSL
- Un'applicazione di autenticazione basata su form o configurare un'app FBA IIS per il test
Configurazione BIG-IP
La configurazione in questo articolo è un'implementazione SHA flessibile: creazione manuale di oggetti di configurazione BIG-IP. Usare questo approccio per gli scenari che i modelli di configurazione guidata non coprono.
Nota
Sostituire stringhe o valori di esempio con quelli dell'ambiente.
Registrare F5 BIG-IP in Microsoft Entra ID
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
La registrazione big-IP è il primo passaggio per l'accesso SSO tra entità. L'app creata dal modello della raccolta BIG-IP F5 è la relying party, che rappresenta l'SP SAML per l'applicazione pubblicata BIG-IP.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
- Nel riquadro Tutte le applicazioni selezionare Nuova applicazione.
- Viene visualizzato il riquadro Sfoglia Raccolta entra di Microsoft.
- I riquadri vengono visualizzati per piattaforme cloud, applicazioni locali e applicazioni in primo piano. Le icone delle applicazioni in primo piano indicano il supporto dell'accesso Single Sign-On federato e del provisioning.
- Nella raccolta di Azure cercare F5.
- Selezionare F5 BIG-IP APM Integrazione di Microsoft Entra ID.
- Immettere un nome usato dalla nuova applicazione per riconoscere l'istanza dell'applicazione.
- Selezionare Aggiungi.
- Seleziona Crea.
Abilitare l'accesso SSO a F5 BIG-IP
Configurare la registrazione BIG-IP per soddisfare i token SAML che richiede BIG-IP APM.
- Nel menu a sinistra, nella sezione Gestione selezionare Single Sign-On.
- Viene visualizzato il riquadro Single Sign-On .
- Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
- Selezionare No, verrà salvato in un secondo momento.
- Nel riquadro Configura accesso Single Sign-On con SAML selezionare l'icona della penna.
- Per Identificatore sostituire il valore con l'URL dell'applicazione pubblicata big-IP.
- Per URL di risposta sostituire il valore, ma mantenere il percorso per l'endpoint SAML SP dell'applicazione. Con questa configurazione, il flusso SAML opera in modalità avviata da IdP. Microsoft Entra ID genera un'asserzione SAML, quindi l'utente viene reindirizzato all'endpoint BIG-IP.
- Per la modalità avviata da SP, per URL di accesso, immettere l'URL dell'applicazione.
- Per Url disconnessione immettere l'endpoint APM a disconnessione singola (SLO) BIG-IP anteporto dall'intestazione dell'host del servizio. Quindi, le sessioni utente di BIG-IP APM terminano quando escono da Microsoft Entra ID.
Nota
Da TMOS (Traffic Management Operating System) v16 e versioni successive, l'endpoint SLO SAML è /saml/sp/profile/redirect/slo
.
- Seleziona Salva.
- Chiudere il riquadro di configurazione SAML.
- Ignorare il prompt di test dell'accesso Single Sign-On.
- Prendere nota delle proprietà della sezione Attributi utente e attestazioni . Microsoft Entra ID rilascia le proprietà per l'autenticazione APM BIG-IP e l'accesso SSO all'applicazione back-end.
- Nel riquadro Certificato di firma SAML selezionare Scarica.
- Il file XML metadati federazione viene salvato nel computer.
Nota
I certificati di firma SAML di Microsoft Entra hanno una durata di tre anni.
Altre informazioni: Esercitazione: Gestire i certificati per l'accesso Single Sign-On federato
Assegnare utenti e gruppi
Microsoft Entra ID rilascia i token per gli utenti a cui è concesso l'accesso a un'applicazione. Per concedere a utenti e gruppi specifici l'accesso alle applicazioni:
- Nel riquadro di panoramica dell'applicazione BIG-IP F5 selezionare Assegna utenti e gruppi.
- Selezionare + Aggiungi utente/gruppo.
- Selezionare gli utenti e i gruppi desiderati.
- Seleziona Assegna.
Configurazione avanzata big-IP
Usare le istruzioni seguenti per configurare BIG-IP.
Configurare le impostazioni del provider di servizi SAML
Le impostazioni di SAML SP definiscono le proprietà SAML SP usate da APM per sovrapporre l'applicazione legacy con la preautenticazione SAML. Per configurarli:
Selezionare Access>Federation SAML Service Provider (Provider di servizi SAML federativo).>
Selezionare Servizi SP locali.
Seleziona Crea.
Nel riquadro Crea nuovo servizio SAML SP immettere il nome e l'ID entità definiti per Nome e ID entità.
Nota
Se l'ID entità non corrisponde alla parte nome host dell'URL pubblicato, è necessario Impostazioni valori. In alternativa, i valori sono obbligatori se l'ID entità non è in formato URL normale basato su nome host.
Se l'ID entità è
urn:myvacation:contosoonline
, immettere lo schema esterno dell'applicazione e il nome host.
Configurare un connettore IdP esterno
Un connettore SAML IdP definisce le impostazioni per big-IP APM per considerare attendibile l'ID Microsoft Entra come ID SAML. Le impostazioni connettono il provider di servizi SAML a un IDP SAML, che stabilisce la relazione di trust federativa tra APM e Microsoft Entra ID.
Per configurare il connettore:
Selezionare il nuovo oggetto provider di servizi SAML.
Selezionare Bind/UnbBind IdP Connessione ors.
Nell'elenco Crea nuovo provider di identità Connessione or selezionare Da metadati.
Nel riquadro Create New SAML IdP Connessione or (Crea nuovo IDP SAML) cercare il file XML dei metadati federazione scaricato.
Immettere un Nome provider di identità per l'oggetto APM che rappresenta l'IdP SAML esterno. Ad esempio, MyVacation_EntraID.
Selezionare Aggiungi nuova riga.
Selezionare il nuovo provider di identità SAML Connessione or.
Selezionare Aggiorna.
Seleziona OK.
Configurare l'accesso Single Sign-On basato su form
Creare un oggetto SSO APM per l'accesso Single Sign-On di FBA alle applicazioni back-end.
Eseguire l'accesso SSO FBA in modalità avviata dal client o in modalità avviata da BIG-IP. Entrambi i metodi emulano un accesso utente inserendo le credenziali nei tag nome utente e password. Il modulo viene inviato. Gli utenti forniscono la password per accedere a un'applicazione FBA. La password viene memorizzata nella cache e riutilizzata per altre applicazioni FBA.
Selezionare Accesso>Single Sign-On.
Selezionare Basata su moduli.
Seleziona Crea.
In Nome immettere un nome descrittivo. Ad esempio, Contoso\FBA\sso.
Per Usa modello SSO selezionare Nessuno.
Per Origine nome utente immettere l'origine nome utente per compilare il modulo di raccolta delle password. Il valore predefinito
session.sso.token.last.username
funziona correttamente, perché ha l'utente connesso Microsoft Entra User Principal Name (UPN).Per Origine password mantenere l'impostazione predefinita usata
session.sso.token.last.password
dalla variabile APM BIG-IP per memorizzare nella cache le password utente.Per URI start immettere l'URI di accesso dell'applicazione FBA. Se l'URI della richiesta corrisponde a questo valore URI, l'autenticazione basata su form di APM esegue l'accesso SSO.
Per Azione modulo lasciare vuoto. Viene quindi usato l'URL della richiesta originale per l'accesso SSO.
Per Parametro modulo per Nome utente immettere l'elemento del campo nome utente del modulo di accesso. Usare gli strumenti di sviluppo del browser per determinare l'elemento .
Per Parametro modulo per Password immettere l'elemento del campo password del modulo di accesso. Usare gli strumenti di sviluppo del browser per determinare l'elemento .
Per altre informazioni, vedere techdocs.f5.com per i metodi Manual Chapter: Single Sign-On.
Configurare un profilo di accesso
Un profilo di accesso associa gli elementi APM che gestiscono l'accesso ai server virtuali BIG-IP, inclusi i criteri di accesso, la configurazione SSO e le impostazioni dell'interfaccia utente.
Selezionare Profili di accesso>/Criteri.
Selezionare Profili di accesso (criteri per sessione) .
Seleziona Crea.
Immetti un valore per Nome.
In Tipo di profilo selezionare Tutto.
Per Configurazione SSO selezionare l'oggetto di configurazione SSO FBA creato.
Per Lingua accettata selezionare almeno una lingua.
Nella colonna Criteri per sessione selezionare Modifica per il profilo.
Viene avviato l'Editor criteri visivi APM.
In fallback selezionare il + segno.
- Nella finestra popup selezionare Autenticazione.
- Selezionare AUTENTICAZIONE SAML.
- Selezionare Aggiungi elemento.
- In SAML authentication SP modificare il nome in Microsoft Entra auth.On SAML authentication SP, change the Name to Microsoft Entra auth.
- Nell'elenco a discesa AAA Server immettere l'oggetto provider del servizio SAML creato.
- Nel ramo Successo selezionare il + segno.
- Nella finestra popup selezionare Autenticazione.
- Selezionare Pagina di accesso.
- Selezionare Aggiungi elemento.
- Per nome utente, nella colonna Sola lettura selezionare Sì.
Per il fallback della pagina di accesso, selezionare il + segno. Questa azione aggiunge un oggetto di mapping delle credenziali SSO.
Nella finestra popup selezionare la scheda Assegnazione .
Selezionare Mapping delle credenziali SSO.
Selezionare Aggiungi elemento.
In Variabile Assegna: Mapping delle credenziali SSO mantenere le impostazioni predefinite.
Seleziona Salva.
Nella casella Di rifiuto superiore selezionare il collegamento.
Il ramo Operazione riuscita viene modificato in Consenti.
Seleziona Salva.
(Facoltativo) Configurare i mapping degli attributi
È possibile aggiungere una configurazione LogonID_Mapping. Quindi, l'elenco di sessioni attive BIG-IP ha l'UPN dell'utente connesso, non un numero di sessione. Usare queste informazioni per analizzare i log o la risoluzione dei problemi.
Per il ramo SAML Auth Successful (Autenticazione SAML), selezionare il + segno.
Nella finestra popup selezionare Assegnazione.
Selezionare Assegna variabile.
Selezionare Aggiungi elemento.
Nella scheda Proprietà immettere un nome. Ad esempio, LogonID_Mapping.
In Assegnazione variabile selezionare Aggiungi nuova voce.
Selezionare Cambia.
Per variabile personalizzata, usare
session.logon.last.username
.Per Variabile di sessione, utente
session.saml.last.identity
.Selezionare Completato.
Seleziona Salva.
Selezionare Applica criteri di accesso.
Chiudere l'Editor criteri visivi.
Configurare un pool back-end
Per consentire a BIG-IP di inoltrare correttamente il traffico client, creare un oggetto nodo BIG-IP che rappresenta il server back-end che ospita l'applicazione. Posizionare quindi il nodo in un pool di server BIG-IP.
Selezionare Pool di traffico>locali.
Selezionare Elenco pool.
Seleziona Crea.
Immettere un nome per un oggetto pool di server. Ad esempio, MyApps_VMs.
In Nome nodo immettere un nome visualizzato del server. Questo server ospita l'applicazione Web back-end.
In Indirizzo immettere l'indirizzo IP dell'host del server applicazioni.
Per Porta del servizio immettere la porta HTTP/S su cui l'applicazione è in ascolto.
Nota
I monitoraggi dell'integrità richiedono la configurazione che questo articolo non copre. Passare a support.f5.com per K13397: Panoramica della formattazione delle richieste di Monitoraggio integrità HTTP per il sistema DNS BIG-IP.
Configurare un server virtuale
Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale. Il server è in ascolto delle richieste client all'applicazione. Qualsiasi traffico ricevuto viene elaborato e valutato rispetto al profilo di accesso APM associato al server virtuale. Il traffico viene indirizzato in base ai criteri.
Per configurare un server virtuale:
Selezionare Server virtuali traffico>locale.
Selezionare Elenco server virtuale.
Seleziona Crea.
Immetti un valore per Nome.
Per Indirizzo/maschera di destinazione selezionare Host e immettere un indirizzo IPv4 o IPv6. L'indirizzo riceve il traffico client per l'applicazione back-end pubblicata.
Per Porta del servizio selezionare Porta, immettere 443 e selezionare HTTPS.
Per Profilo HTTP (client) selezionare http.
Per Profilo SSL (client) selezionare il profilo creato o lasciare l'impostazione predefinita per i test. Questa opzione consente a un server virtuale per Transport Layer Security (TLS) di pubblicare i servizi tramite HTTPS.
Per Source Address Translation (Traduzione indirizzi origine) selezionare Auto Map (Mappa automatica).
Nella casella Access Profile (Profilo di accesso) in Access Profile (Criteri di accesso) immettere il nome creato. Questa azione associa il profilo di preautenticazione SAML di Microsoft EntraL e i criteri SSO FBA al server virtuale.
- In Risorse selezionare gli oggetti pool back-end creati in Pool predefinito.
- Selezionare Completato.
Configurare le impostazioni di gestione delle sessioni
Le impostazioni di gestione delle sessioni BIG-IP definiscono le condizioni per la terminazione e la continuazione delle sessioni. Creare criteri in questa area.
- Passare a Criteri di accesso.
- Selezionare Access Profiles (Profili di accesso).
- Selezionare Access Profile (Profilo di accesso).
- Nell'elenco selezionare l'applicazione.
Se è stato definito un singolo valore URI di disconnessione in Microsoft Entra ID, la disconnessione avviata da IdP da MyApps termina il client e la sessione APM BIG-IP. Il file XML dei metadati di federazione dell'applicazione importato fornisce a APM l'endpoint SAML di Microsoft Entra per la disconnessazione avviata da SP. Assicurarsi che APM risponda correttamente a un utente che si disconnette.
Se non è presente un portale Web BIG-IP, gli utenti non possono indicare a APM di disconnettersi. Se l'utente si disconnette dall'applicazione, BIG-IP è oblivioso. La sessione dell'applicazione può essere ripristinata tramite SSO. Per la disconnessa avviata da SP, assicurarsi che le sessioni terminino in modo sicuro.
È possibile aggiungere una funzione SLO al pulsante di disconnessione dell'applicazione. Questa funzione reindirizza il client all'endpoint di disconnessione SAML di Microsoft Entra. Per individuare l'endpoint di disconnessioni SAML, passare a Endpoint registrazioni >app.
Se non è possibile modificare l'app, chiedere a BIG-IP di restare in ascolto della chiamata di disconnessione dell'app e attivare SLO.
Altre informazioni:
- K42052145: configurazione della terminazione automatica della sessione (disconnessione) in base a un nome di file a cui si fa riferimento URI
- K12056: Panoramica dell'opzione Includi URI disconnessione
Applicazione pubblicata
L'applicazione viene pubblicata e accessibile con SHA con l'URL dell'app o i portali Microsoft.
L'applicazione viene visualizzata come risorsa di destinazione nell'accesso condizionale. Altre informazioni: Creazione di criteri di accesso condizionale.
Per una maggiore sicurezza, bloccare l'accesso diretto all'applicazione, applicando un percorso tramite BIG-IP.
Test
Con un browser, connettersi all'URL esterno dell'applicazione o in App personali selezionare l'icona dell'applicazione.
Eseguire l'autenticazione in Microsoft Entra ID.
Si viene reindirizzati all'endpoint BIG-IP per l'applicazione.
Viene visualizzata la richiesta di password.
APM riempie il nome utente con l'UPN di Microsoft Entra ID. Il nome utente è di sola lettura per la coerenza della sessione. Nascondere questo campo, se necessario.
Le informazioni vengono inviate.
Si è connessi all'applicazione.
Risoluzione dei problemi
Quando si esegue la risoluzione dei problemi, prendere in considerazione le informazioni seguenti:
BIG-IP esegue l'accesso SSO FBA durante l'analisi del modulo di accesso all'URI
- BIG-IP cerca i tag di elemento nome utente e password dalla configurazione
Verificare che i tag degli elementi siano coerenti o che l'accesso Single Sign-On non riesca
I moduli complessi generati in modo dinamico potrebbero richiedere l'analisi dello strumento di sviluppo per comprendere il modulo di accesso
L'avvio del client è migliore per le pagine di accesso con più moduli
- È possibile specificare il nome del modulo e personalizzare la logica del gestore del modulo JavaScript
I metodi SSO di FBA ottimizzano l'esperienza utente e la sicurezza nascondendo le interazioni con i moduli:
- È possibile verificare se le credenziali vengono inserite
- Nella modalità avviata dal client disabilitare la funzionalità autosubmission del modulo nel profilo SSO
- Usare gli strumenti di sviluppo per disabilitare le due proprietà di stile che impediscono la visualizzazione della pagina di accesso
Aumentare il livello di dettaglio del log
I log BIG-IP contengono informazioni per isolare i problemi di autenticazione e SSO. Aumentare il livello di dettaglio del log:
- Passare a Panoramica dei criteri> di accesso.
- Selezionare Registri eventi.
- Seleziona Impostazioni.
- Selezionare la riga dell'applicazione pubblicata.
- Seleziona Modifica
- Selezionare Accedi ai log di sistema.
- Nell'elenco SSO selezionare Debug.
- Seleziona OK.
- Riprodurre il problema.
- Esaminare i log.
Ripristinare le impostazioni in caso contrario sono presenti dati eccessivi.
Messaggio di errore BIG-IP
Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, il problema potrebbe riguardare Microsoft Entra ID e BIG-IP SSO.
- Passare a Panoramica dell'accesso>.
- Selezionare Accedi ai report.
- Eseguire il report per l'ultima ora.
- Esaminare i log per individuare gli indizi.
Usare il collegamento Visualizza variabili di sessione per la sessione per determinare se APM riceve le attestazioni Microsoft Entra previste.
Nessun messaggio di errore BIG-IP
Se non viene visualizzato alcun messaggio di errore BIG-IP, il problema potrebbe essere correlato alla richiesta back-end o all'accesso SSO big-IP-to-application.
- Selezionare Panoramica dei criteri>di accesso.
- Selezionare Sessioni attive.
- Selezionare il collegamento sessione attiva.
Usare il collegamento Visualizza variabili in questo percorso per determinare la causa radice, in particolare se APM non riesce a ottenere l'identificatore utente e la password corretti.
Per altre informazioni, vedere techdocs.f5.com capitolo manuale: Variabili di sessione.