Share via

Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'accesso Single Sign-On basato su intestazione

  • Articolo

Informazioni su come implementare l'accesso ibrido sicuro (SHA) con l'accesso Single Sign-On (SSO) alle applicazioni basate su intestazioni, usando la configurazione avanzata F5 BIG-IP. Applicazioni pubblicate big-IP e vantaggi della configurazione di Microsoft Entra:

  • Miglioramento della governance zero trust tramite la preautenticazione e l'accesso condizionale di Microsoft Entra
  • Accesso SSO completo tra i servizi pubblicati da Microsoft Entra ID e BIG-IP
  • Identità gestite e accesso da un piano di controllo

Altre informazioni:

Descrizione dello scenario

Per questo scenario, è disponibile un'applicazione legacy che usa intestazioni di autorizzazione HTTP per controllare l'accesso al contenuto protetto. Idealmente, Microsoft Entra ID gestisce l'accesso alle applicazioni. Tuttavia, la legacy non dispone di un protocollo di autenticazione moderno. La modernizzazione richiede impegno e tempo, introducendo al tempo di inattività i costi e i rischi. Distribuire invece un BIG-IP tra la rete Internet pubblica e l'applicazione interna per controllare l'accesso in ingresso all'applicazione.

Un BIG-IP davanti all'applicazione abilita la sovrimpressione del servizio con l'accesso Single Sign-On basato su intestazione e preautenticazione di Microsoft Entra. La configurazione migliora il comportamento di sicurezza dell'applicazione.

Architettura dello scenario

La soluzione di accesso ibrido sicuro per questo scenario è costituita da:

  • Applicazione - Servizio pubblicato big-IP da proteggere da Microsoft Entra SHA
  • Microsoft Entra ID - Provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO a BIG-IP
    • Con SSO, Microsoft Entra ID fornisce gli attributi di sessione necessari per BIG-IP, inclusi gli identificatori utente
  • BIG-IP : proxy inverso e provider di servizi SAML (SP) all'applicazione, delega dell'autenticazione all'IdP SAML, prima dell'accesso SSO basato su intestazione all'applicazione back-end

Il diagramma seguente illustra il flusso utente con Microsoft Entra ID, BIG-IP, APM e un'applicazione.

Diagramma del flusso utente con Microsoft Entra ID, BIG-IP, APM e un'applicazione

  1. L'utente si connette all'endpoint SAML SP dell'applicazione (BIG-IP).
  2. I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale.
  4. L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito usando il token SAML rilasciato.
  5. BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta all'applicazione.
  6. L'applicazione autorizza la richiesta e restituisce il payload.

Prerequisiti

Per lo scenario necessario:

  • Una sottoscrizione di Azure
  • Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator
  • BIG-IP o distribuire big-IP Virtual Edition (VE) in Azure
  • Una delle licenze F5 BIG-IP seguenti:
    • Bundle migliore F5 BIG-IP®
    • Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
    • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM)
    • Versione di valutazione completa delle funzionalità big-IP di 90 giorni. Vedi Versioni di valutazione gratuite.
  • Identità utente sincronizzate da una directory locale a Microsoft Entra ID
  • Un certificato SSL per pubblicare i servizi tramite HTTPS o usare i certificati predefiniti durante il test
    • Vedere Profilo SSL
  • Un'applicazione basata su intestazione o un'app di intestazione IIS per il test

Metodo di configurazione BIG-IP

Le istruzioni seguenti sono un metodo di configurazione avanzato, un modo flessibile per implementare SHA. Creare manualmente oggetti di configurazione BIG-IP. Usare questo metodo per gli scenari non inclusi nei modelli di configurazione guidata.

Nota

Sostituire stringhe o valori di esempio con quelli dell'ambiente.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per implementare SHA, il primo passaggio consiste nel configurare un trust federativo SAML tra BIG-IP APM e Microsoft Entra ID. Il trust stabilisce l'integrazione per BIG-IP per distribuire la preautenticazione e l'accesso condizionale all'ID Microsoft Entra, prima di concedere l'accesso al servizio pubblicato.

Altre informazioni: Che cos'è l'accesso condizionale?

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.

  3. Nella barra multifunzione superiore selezionare + Nuova applicazione.

  4. Nella raccolta cercare F5.

  5. Selezionare F5 BIG-IP APM Integrazione di Microsoft Entra ID.

  6. Immettere un nome dell'applicazione.

  7. Selezionare Aggiungi/Crea.

  8. Il nome riflette il servizio.

Configurare l'accesso Single Sign-On di Microsoft Entra

  1. Vengono visualizzate le nuove proprietà dell'applicazione F5

  2. Selezionare Gestisci>accesso Single Sign-On

  3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  4. Ignorare il prompt per salvare le impostazioni di Single Sign-On.

  5. Selezionare No, verrà salvato in un secondo momento.

  6. In Configura l'accesso Single Sign-On con SAML selezionare l'icona della penna per Configurazione SAML di base.

  7. Sostituire l'URL dell'identificatore con l'URL del servizio pubblicato big-IP. Ad esempio, https://mytravel.contoso.com

  8. Ripetere per URL di risposta e includere il percorso dell'endpoint SAML di APM. Ad esempio, https://mytravel.contoso.com/saml/sp/profile/post/acs

    Nota

    In questa configurazione, il flusso SAML opera in modalità IdP: Microsoft Entra ID rilascia all'utente un'asserzione SAML prima di essere reindirizzata all'endpoint del servizio BIG-IP per l'applicazione. Big-IP APM supporta le modalità IdP e SP.

  9. Per Logout URI (URI disconnessione) immettere l'endpoint SLO (Single Logout) big-IP APM, anteponendo l'intestazione dell'host del servizio. L'URI SLO garantisce che le sessioni APM BIG-IP dell'utente terminano dopo la disconnessione di Microsoft Entra. Per esempio https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Screenshot dell'input di configurazione SAML di base per identificatore, URL di risposta, URL di accesso e così via.

    Nota

    A partire da TMOS (Traffic Management Operating System) v16 e versioni successive, l'endpoint SLO SAML è stato modificato in /saml/sp/profile/redirect/slo.

  10. Seleziona Salva.

  11. Uscire dalla configurazione SAML.

  12. Ignorare il prompt di test dell'accesso Single Sign-On.

  13. Per modificare attributi utente e attestazioni > + Aggiungi nuova attestazione, selezionare l'icona della penna .

  14. In Nome selezionare Employeeid.

  15. Per Attributo di origine selezionare user.employeeid.

  16. Seleziona Salva

Screenshot dell'input per l'attributo Name e Source nella finestra di dialogo Gestisci attestazione.

  1. Selezionare + Aggiungi un'attestazione di gruppo
  2. Selezionare Gruppi assegnati all'attributo di origine>dell'applicazione>sAMAccountName.

Screenshot dell'input per l'attributo Source nella finestra di dialogo Attestazioni di gruppo.

  1. Selezionare Salva la configurazione.
  2. Chiudere la visualizzazione.
  3. Osservare le proprietà della sezione Attributi utente e attestazioni . Microsoft Entra ID genera le proprietà degli utenti per l'autenticazione APM BIG-IP e l'accesso SSO all'applicazione back-end.

Screenshot delle informazioni su attributi utente e attestazioni, ad esempio cognome, indirizzo di posta elettronica, identità e così via.

Nota

Aggiungere altre attestazioni previste dall'applicazione pubblicata BIG-IP come intestazioni. Le attestazioni più definite vengono rilasciate se si trovano in Microsoft Entra ID. Definire le appartenenze alla directory e gli oggetti utente in Microsoft Entra ID prima che le attestazioni possano essere rilasciate. Vedere Configurare le attestazioni di gruppo per le applicazioni usando Microsoft Entra ID.

  1. Nella sezione Certificato di firma SAML selezionare Scarica.
  2. Il file XML dei metadati di federazione viene salvato nel computer.

Screenshot del collegamento Download per XML metadati federazione nella finestra di dialogo Certificato di firma SAML.

I certificati di firma SAML creati da Microsoft Entra ID hanno una durata di tre anni.

Autorizzazione Microsoft Entra

Per impostazione predefinita, Microsoft Entra ID rilascia token agli utenti a cui è concesso l'accesso a un'applicazione.

  1. Nella visualizzazione di configurazione dell'applicazione selezionare Utenti e gruppi.
  2. Selezionare + Aggiungi utente e in Aggiungi assegnazione selezionare Utenti e gruppi.
  3. Nella finestra di dialogo Utenti e gruppi aggiungere i gruppi di utenti autorizzati ad accedere all'applicazione basata sull'intestazione.
  4. Seleziona Seleziona.
  5. Seleziona Assegna.

Microsoft Entra SAML federation trust is complete. Configurare quindi BIG-IP APM per pubblicare l'applicazione Web, configurata con le proprietà per completare l'attendibilità della preautenticazione SAML.

Configurazione avanzata

Usare le sezioni seguenti per configurare SAML, intestazione SSO, profilo di accesso e altro ancora.

Configurazione SAML

Per federate l'applicazione pubblicata con Microsoft Entra ID, creare il provider di servizi SAML BIG-IP e gli oggetti IDP SAML corrispondenti.

  1. Selezionare Access Federation SAML Service Provider Local SP Services Create (Accesso>federazione>SAML Service Provider>Local SP Services>Create).

    Screenshot dell'opzione Crea nella scheda Provider di servizi SAML.

  2. Immetti un valore per Nome.

  3. Immettere l'ID entità definito in Microsoft Entra ID.

    Screenshot dell'input nome e ID entità nella finestra di dialogo Crea nuovo servizio SP SAML.

  4. Per NOME SP Impostazioni, effettuare selezioni se l'ID entità non corrisponde al nome host dell'URL pubblicato o effettuare selezioni se non è in formato URL basato su nome host normale. Specificare lo schema esterno e il nome host dell'applicazione se l'ID entità è urn:mytravel:contosoonline.

  5. Scorrere verso il basso per selezionare il nuovo oggetto SAML SP.

  6. Selezionare Bind/UnBind IdP Connessione ors.

    Screenshot dell'opzione Binding Unbind IdP Connessione ors nella scheda SamL Services Provider (Provider di servizi SAML).

  7. Selezionare Crea nuovo provider di identità Connessione or.

  8. Nell'elenco a discesa selezionare Da metadati.

    Screenshot dell'opzione Da metadati nel menu a discesa Crea nuovo provider di identità Connessione.

  9. Passare al file XML dei metadati della federazione scaricato.

  10. Immettere un Nome provider di identità per l'oggetto APM per l'IdP SAML esterno. Ad esempio, MyTravel_EntraID

Screenshot dell'input Select File and Identity Provider Name (Seleziona file e nome provider di identità) in Create New SAML IdP Connessione or (Crea nuovo IDP SAML).

  1. Selezionare Aggiungi nuova riga.
  2. Selezionare il nuovo provider di identità SAML Connessione or.
  3. Selezionare Aggiorna.

Screenshot dell'opzione Update in SAML IdP Connessione ors.

  1. Seleziona OK.

Screenshot delle impostazioni salvate

Configurazione dell'accesso Single Sign-On di intestazione

Creare un oggetto SSO APM.

  1. Selezionare Profili di accesso>/Criteri>per richiesta>Crea.

  2. Immetti un valore per Nome.

  3. Aggiungere almeno una lingua accettata.

  4. Selezionare Completato.

    Screenshot dell'input nome e della lingua accettata.

  5. Per i nuovi criteri per richiesta selezionare Modifica.

    Screenshot dell'opzione Modifica nella colonna Criteri per richiesta.

  6. Viene avviato l'editor dei criteri visivi.

  7. In fallback selezionare il + simbolo.

    Screenshot dell'opzione più in fallback.

  8. Nella scheda Utilizzo generico selezionare Intestazioni>HTTP Aggiungi elemento.

    Screenshot dell'opzione Intestazioni HTTP.

  9. Selezionare Aggiungi nuova voce.

  10. Creare tre voci di modifica http e intestazione.

  11. In Nome intestazione immettere upn.

  12. In Valore intestazione immettere %{session.saml.last.identity}.

  13. In Nome intestazione immettere employeeid.

  14. In Valore intestazione immettere %{session.saml.last.attr.name.employeeid}.

  15. In Nome intestazione immettere group_authz.

  16. In Valore intestazione immettere %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Nota

Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. È consigliabile definire gli attributi in lettere minuscole.

Screenshot dell'input dell'intestazione, in Modifica intestazione HTTP, nella scheda Proprietà.

  1. Seleziona Salva.
  2. Chiudere l'editor dei criteri visivi.

Screenshot dell'editor dei criteri visivi.

Configurazione del profilo di accesso

Un profilo di accesso associa molti elementi APM che gestiscono l'accesso a server virtuali BIG-IP, inclusi i criteri di accesso, la configurazione SSO e le impostazioni dell'interfaccia utente.

  1. Selezionare Profili di accesso>/Profili>di accesso criteri (criteri per sessione)>Crea.

  2. In Nome immettere MyGuide.

  3. In Tipo di profilo selezionare Tutto.

  4. Per Lingua accettata selezionare almeno una lingua.

  5. selezionare Fine.

    Screenshot delle voci per Nome, Tipo di profilo e Lingua accettata.

  6. Per il profilo per sessione creato, selezionare Modifica.

    Screenshot dell'opzione Modifica nella colonna Criteri per sessione.

  7. Viene avviato l'editor dei criteri visivi.

  8. In fallback selezionare il + simbolo.

    Screenshot dell'opzione più.

  9. Selezionare Authentication SAML Auth Add Item (Autenticazione>SAML Auth>Add Item).

    Screenshot dell'opzione SAML Auth (Autenticazione SAML) nella scheda Authentication (Autenticazione).

  10. Per la configurazione di SAML authentication SP , nell'elenco a discesa AAA Server selezionare l'oggetto SAML SP creato.

  11. Seleziona Salva.

Screenshot della selezione di AAA Server.

Mapping attributi

Le istruzioni seguenti sono facoltative. Con una configurazione LogonID_Mapping, l'elenco delle sessioni attive BIG-IP ha il nome dell'entità utente (UPN) connesso, non un numero di sessione. Usare questi dati durante l'analisi dei log o la risoluzione dei problemi.

  1. Per il ramo SAML Auth Successful (Autenticazione SAML riuscita ), selezionare il + simbolo .

    Screenshot del simbolo più nel ramo SAML Auth Successful.

  2. Nella finestra popup selezionare Assegnazione>variabile Assegna>aggiungi elemento.

    Screenshot dell'opzione Assegnazione variabile nella scheda Assegnazione.

  3. Immetti un valore per Nome

  4. Nella sezione Assegnazione variabile selezionare Aggiungi nuova voce>. Ad esempio, LogonID_Mapping.

    Screenshot delle opzioni Aggiungi nuova voce e modifica

  5. Per Variabile personalizzata impostare session.saml.last.identity.

  6. Per Variabile di sessione impostare session.logon.last.username.

  7. Selezionare Completato.

  8. Seleziona Salva.

  9. Nel ramo Access Policy Successful (Criteri di accesso riusciti ) selezionare il terminale Deny (Nega terminale).

  10. Seleziona Consenti.

  11. Seleziona Salva.

  12. Selezionare Applica criteri di accesso.

  13. Chiudere l'editor dei criteri visivi.

Configurazione del pool back-end

Per consentire a BIG-IP di inoltrare correttamente il traffico client, creare un oggetto nodo APM che rappresenta il server back-end che ospita l'applicazione. Posizionare il nodo in un pool APM.

  1. Selezionare Elenco pool >> di traffico > locali Crea.

  2. Per un oggetto pool di server, immettere un nome. Ad esempio, MyApps_VMs.

    Screenshot dell'applicazione dei criteri di accesso.

  3. Aggiungere un oggetto membro del pool.

  4. In Nome nodo immettere un nome per il server che ospita l'applicazione Web back-end.

  5. In Indirizzo immettere l'indirizzo IP del server che ospita l'applicazione.

  6. Per Porta del servizio immettere la porta HTTP/S su cui l'applicazione è in ascolto.

  7. Selezionare Aggiungi.

    Screenshot dell'input per Nome nodo, Indirizzo, Porta del servizio e l'opzione Aggiungi.

    Nota

    Per altre informazioni, vedere my.f5.com per K13397: Panoramica della formattazione delle richieste di Monitoraggio integrità HTTP per il sistema DNS BIG-IP.

Configurazione del server virtuale

Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale in ascolto delle richieste dei client all'applicazione. Il traffico ricevuto viene elaborato e valutato con il profilo di accesso APM associato al server virtuale. Il traffico viene indirizzato in base ai criteri.

  1. Selezionare Local Traffic Virtual Server Virtual Server (Server>virtuali del traffico>locale) Create>(Crea).

  2. Immettere un nome server virtuale.

  3. Per Indirizzo di destinazione/Maschera selezionare Host

  4. Immettere un indirizzo IP IPv4 o IPv6 inutilizzato da assegnare all'indirizzo BIG-IP per ricevere il traffico client.

  5. Per Porta del servizio selezionare Porta, 443 e HTTPS.

    Screenshot delle voci per Nome, Maschera indirizzo di destinazione e Porta del servizio.

  6. Per Profilo HTTP (client) selezionare http.

  7. Per Profilo SSL (client) selezionare il profilo SSL client creato o lasciare l'impostazione predefinita per i test.

    Screenshot delle voci per client del profilo HTTP e client del profilo SSL.

  8. Per Source Address Translation (Traduzione indirizzi origine) selezionare Auto Map (Mappa automatica).

    Screenshot dell'opzione Source Address Translation.

  9. Per Criteri di accesso selezionare il profilo di accesso creato in precedenza. Questa azione associa il profilo di preautenticazione e le intestazioni di Microsoft Entra SAML al server virtuale.

  10. Per Criteri per richiesta selezionare SSO_Headers.

Screenshot delle voci per Profilo di accesso e Criteri di pre-richiesta.

  1. Per Pool predefinito selezionare gli oggetti pool back-end creati.
  2. Selezionare Completato.

Screenshot dell'opzione Pool predefinito in Risorse.

Gestione della sessione

Usare l'impostazione di gestione delle sessioni BIG-IP per definire le condizioni per la terminazione o la continuazione della sessione utente. Creare criteri con i profili di accesso ai criteri>di accesso. Seleziona un'applicazione dall'elenco.

Per quanto riguarda la funzionalità SLO, un URI SLO in Microsoft Entra ID garantisce la disconnessione avviata da IdP dal portale MyApps termina la sessione tra il client e big-IP APM. La federazione dell'applicazione importata metadata.xml fornisce a APM l'endpoint di disconnesso SAML di Microsoft Entra, per la disconnessazione avviata da SP. Pertanto, abilitare APM per sapere quando un utente si disconnette.

Se non è presente un portale Web BIG-IP, l'utente non può indicare a APM di disconnettersi. Se l'utente si disconnette dall'applicazione, BIG-IP è oblivioso all'azione. La sessione dell'applicazione può essere ripristinata tramite SSO. Pertanto, la disconnessità avviata da SP richiede un'attenta considerazione.

Per assicurarsi che le sessioni vengano terminate in modo sicuro, aggiungere una funzione SLO al pulsante Disconnessione dell'applicazione. Abilitarlo per reindirizzare il client all'endpoint di disconnessione SAML di Microsoft Entra. Per l'endpoint di disconnessioni SAML per il tenant, passare a Endpoint registrazioni>app.

Se non è possibile modificare l'app, abilitare BIG-IP per l'ascolto della chiamata di disconnessione dell'app e attivare SLO. Per altre informazioni, vedere:

Distribuzione

  1. Selezionare Distribuisci per eseguire il commit delle impostazioni.
  2. Verificare che l'applicazione venga visualizzata nel tenant.
  3. L'applicazione viene pubblicata e accessibile tramite SHA, con l'URL o i portali Microsoft.

  Test

Eseguire il test seguente come utente.

  1. Selezionare l'URL esterno dell'applicazione oppure nel portale App personali selezionare l'icona dell'applicazione.

  2. Eseguire l'autenticazione in Microsoft Entra ID.

  3. Viene eseguito un reindirizzamento al server virtuale BIG-IP per l'app ed è stato eseguito l'accesso con SSO.

  4. L'output dell'intestazione inserita viene visualizzato dall'applicazione basata su intestazione.

    Screenshot delle variabili del server, ad esempio UPN, ID dipendente e Autorizzazione gruppo.

Per una maggiore sicurezza, bloccare l'accesso diretto all'applicazione, applicando un percorso tramite BIG-IP.

Risoluzione dei problemi

Usare le indicazioni seguenti per la risoluzione dei problemi.

Dettaglio log

I log BIG-IP contengono informazioni per isolare i problemi di autenticazione e SSO. Aumentare il livello di dettaglio del log:

  1. Passare a Log eventi di Panoramica>dei>criteri di accesso.
  2. Seleziona Impostazioni.
  3. Selezionare la riga dell'applicazione pubblicata.
  4. Selezionare Modifica>log di sistema di accesso.
  5. Nell'elenco SSO selezionare Debug.
  6. Seleziona OK.
  7. Riprodurre il problema.
  8. Esaminare i log.
  9. Al termine, ripristinare le impostazioni.

Messaggio di errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo il reindirizzamento, il problema è probabilmente correlato all'accesso SSO da Microsoft Entra ID all'INDIRIZZO BIG-IP.

  1. Passare a Panoramica dei criteri> di accesso.
  2. Selezionare Accedi ai report.
  3. Eseguire il report per l'ultima ora.
  4. Esaminare i log per individuare gli indizi.
  5. Per la sessione selezionare il collegamento Visualizza variabili di sessione.
  6. Verificare che APM riceva le attestazioni previste dall'ID Microsoft Entra.

Nessun messaggio di errore BIG-IP

Se non viene visualizzato alcun messaggio di errore BIG-IP, il problema è probabilmente più correlato all'accesso Single Sign-On dall'IP BIG all'applicazione back-end.

  1. Passare a Panoramica dei criteri> di accesso.
  2. Selezionare Sessioni attive.
  3. Selezionare il collegamento per la sessione attiva.
  4. Selezionare il collegamento Visualizza variabili per determinare eventuali problemi di Single Sign-On.
  5. Verificare che il servizio APM BIG-IP abbia esito negativo o abbia esito positivo per ottenere gli identificatori di dominio e utente corretti.

Altre informazioni:

Risorse