Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso Single Sign-On basato su intestazione e LDAP
In questo articolo è possibile imparare a proteggere l'intestazione e le applicazioni basate su LDAP usando Microsoft Entra ID, usando la configurazione guidata F5 BIG-IP Easy Button 16.1. L'integrazione di big-IP con Microsoft Entra ID offre molti vantaggi:
- Governance migliorata: vedere Framework Zero Trust per abilitare il lavoro remoto e altre informazioni sulla pre-autenticazione di Microsoft Entra
- Vedere anche Che cos'è l'accesso condizionale? per informazioni su come consente di applicare i criteri dell'organizzazione
- Accesso Single Sign-On completo (SSO) tra i servizi pubblicati da Microsoft Entra ID e BIG-IP
- Gestire le identità e l'accesso da un piano di controllo, l'interfaccia di amministrazione di Microsoft Entra
Per altre informazioni sui vantaggi, vedere Integrazione di F5 BIG-IP e Microsoft Entra.
Descrizione dello scenario
Questo scenario è incentrato sull'applicazione classica legacy che usa le intestazioni di autorizzazione HTTP originate dagli attributi della directory LDAP, per gestire l'accesso al contenuto protetto.
Poiché è legacy, l'applicazione non dispone di protocolli moderni per supportare un'integrazione diretta con Microsoft Entra ID. È possibile modernizzare l'app, ma è costosa, richiede la pianificazione e introduce il rischio di potenziali tempi di inattività. È invece possibile usare un controller di distribuzione di applicazioni BIG-IP (ADC) F5 per colmare il divario tra l'applicazione legacy e il piano di controllo ID moderno, con la transizione del protocollo.
La presenza di big-IP davanti all'app consente di sovrapporre il servizio con l'autenticazione preliminare e l'accesso Single Sign-On basato su intestazione, migliorando il comportamento di sicurezza complessivo dell'applicazione.
Architettura dello scenario
La soluzione di accesso ibrido sicuro per questo scenario include:
- Applicazione - Servizio pubblicato big-IP da proteggere da Microsoft Entra ID secure hybrid access (SHA)
- Microsoft Entra ID : provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAML all'INDIRIZZO BIG-IP. Con SSO, Microsoft Entra ID fornisce big-IP con gli attributi di sessione necessari.
- Sistema HR : database dipendente basato su LDAP come origine della verità per le autorizzazioni dell'applicazione
- BIG-IP : proxy inverso e provider di servizi SAML (SP) all'applicazione, delega dell'autenticazione al provider di identità SAML, prima di eseguire l'accesso SSO basato su intestazione all'applicazione back-end
SHA per questo scenario supporta i flussi avviati da SP e IdP. L'immagine seguente illustra il flusso avviato da SP.
- L'utente si connette all'endpoint dell'applicazione (BIG-IP)
- I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (ID SAML)
- Microsoft Entra ID pre-autentica l'utente e applica i criteri di accesso condizionale applicati
- L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito usando il token SAML rilasciato
- BIG-IP richiede più attributi dal sistema HR basato su LDAP
- BIG-IP inserisce gli attributi di sistema MICROSOFT Entra ID e HR come intestazioni nella richiesta all'applicazione
- L'applicazione autorizza l'accesso con autorizzazioni di sessione arricchite
Prerequisiti
L'esperienza BIG-IP precedente non è necessaria, ma è necessario:
- Un account gratuito di Azure o una sottoscrizione di livello superiore
- BIG-IP o distribuire big-IP Virtual Edition (VE) in Azure
- Una delle licenze F5 BIG-IP seguenti:
- Bundle migliore F5 BIG-IP®
- Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
- Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM)
- Versione di valutazione gratuita del prodotto BIG-IP di 90 giorni
- Identità utente sincronizzate da una directory locale a Microsoft Entra ID
- Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator.
- Un certificato Web SSL per la pubblicazione di servizi tramite HTTPS o l'uso di certificati BIG-IP predefiniti durante il test
- Un'applicazione basata su intestazione o configurare una semplice app di intestazione IIS per il test
- Directory utente che supporta LDAP, ad esempio Windows Active Directory Lightweight Directory Services (AD LDS), OpenLDAP e così via.
Configurazione BIG-IP
Questa esercitazione usa la configurazione guidata 16.1 con un modello easy button. Con Easy Button, gli amministratori non vanno avanti e indietro tra Microsoft Entra ID e un BIG-IP per abilitare i servizi per SHA. La gestione della distribuzione e dei criteri viene gestita tra la configurazione guidata di APM e Microsoft Graph. Questa integrazione tra BIG-IP APM e Microsoft Entra ID garantisce che le applicazioni supportino la federazione delle identità, l'accesso condizionale SSO e Microsoft Entra, riducendo il sovraccarico amministrativo.
Nota
Sostituire stringhe o valori di esempio in questa guida con quelli per l'ambiente in uso.
Registra pulsante facile
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Prima che un client o un servizio possa accedere a Microsoft Graph, è considerato attendibile da Microsoft Identity Platform.
Questo primo passaggio crea una registrazione dell'app tenant per autorizzare l'accesso easy Button a Graph. Con queste autorizzazioni, BIG-IP può eseguire il push delle configurazioni per stabilire un trust tra un'istanza di SAML SP per l'applicazione pubblicata e l'ID Microsoft Entra come ID SAML.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Applicazioni> di identità>Registrazioni app> Nuova registrazione.
Immettere un nome visualizzato per l'applicazione. Ad esempio, F5 BIG-IP Easy Button.
Specificare chi può usare solo gli account dell'applicazione >in questa directory organizzativa.
Selezionare Registra.
Passare a Autorizzazioni API e autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Concedere il consenso amministratore per l'organizzazione.
In Certificati e segreti generare un nuovo segreto client. Prendere nota di questo segreto.
In Panoramica prendere nota dell'ID client e dell'ID tenant.
Configurare il pulsante Easy
Avviare la configurazione guidata di APM per avviare il modello Pulsante semplice.
Passare a Access Guided Configuration > Microsoft Integration (Configurazione guidata di Microsoft > Integration) e selezionare Microsoft Entra Application (Applicazione Microsoft Entra).
Esaminare l'elenco dei passaggi e selezionare Avanti
Per pubblicare l'applicazione, seguire la procedura.
Configuration Properties
La scheda Proprietà di configurazione crea una configurazione dell'applicazione BIG-IP e un oggetto SSO. La sezione Dettagli account servizio di Azure rappresenta il client registrato in precedenza nel tenant di Microsoft Entra, come applicazione. Queste impostazioni consentono a un client OAuth BIG-IP di registrare un provider di servizi SAML nel tenant, con le proprietà SSO configurate manualmente. Easy Button esegue questa azione per ogni servizio BIG-IP pubblicato e abilitato per SHA.
Alcune di queste impostazioni sono globali, pertanto possono essere riutilizzate per pubblicare più applicazioni, riducendo il tempo di distribuzione e il lavoro richiesto.
Immettere un nome di configurazione univoco in modo che gli amministratori possano distinguere tra le configurazioni di Easy Button.
Abilitare l'accesso Single Sign-On (SSO) e le intestazioni HTTP.
Immettere l'ID tenant, l'ID client e il segreto client annotati durante la registrazione del client Easy Button nel tenant.
Verificare che BIG-IP possa connettersi al tenant.
Selezionare Avanti.
Provider di Servizi
Le impostazioni del provider di servizi definiscono le proprietà per l'istanza SAML SP dell'applicazione protetta tramite SHA.
Immettere Host, il nome di dominio completo pubblico (FQDN) dell'applicazione protetta.
Immettere Entity ID (ID entità), l'identificatore usato dall'ID Microsoft Entra per identificare il provider di servizi SAML che richiede un token.
Usare il Impostazioni di sicurezza facoltativo per specificare se Microsoft Entra ID crittografa le asserzioni SAML rilasciate. La crittografia delle asserzioni tra Microsoft Entra ID e BIG-IP APM garantisce che i token di contenuto non possano essere intercettati e i dati personali o aziendali non possono essere compromessi.
Nell'elenco Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare Create New (Crea nuova)
Seleziona OK. La finestra di dialogo Importa certificato SSL e chiavi viene visualizzata in una nuova scheda.
Selezionare PKCS 12 (IIS) per importare il certificato e la chiave privata. Dopo il provisioning, chiudere la scheda del browser per tornare alla scheda principale.
Selezionare Abilita asserzione crittografata.
Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Asserzione Decrittografia chiave privata. BIG-IP APM usa questa chiave privata del certificato per decrittografare le asserzioni Microsoft Entra.
Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Certificato di decrittografia asserzione. BIG-IP carica questo certificato in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.
Microsoft Entra ID
Questa sezione contiene le proprietà per configurare manualmente una nuova applicazione SAML BIG-IP nel tenant di Microsoft Entra. Easy Button include modelli di applicazione per Oracle Persone Soft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e un modello SHA per altre app.
Per questo scenario, selezionare F5 BIG-IP APM Microsoft Entra ID Integration > Add( Aggiungi).
Configurazione di Azure
Immettere Nome visualizzato dell'app creata da BIG-IP nel tenant di Microsoft Entra e l'icona visualizzata dagli utenti nel portale MyApps.
Non immettere alcuna voce per l'URL di accesso (facoltativo).
Per individuare il certificato importato, selezionare l'icona Aggiorna accanto alla chiave di firma e al certificato di firma.
Immettere la password del certificato in Passphrase chiave di firma.
Abilitare l'opzione di firma (facoltativa) per assicurarsi che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.
Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra e autorizzano l'accesso all'applicazione. Aggiungere un utente o un gruppo per il test; in caso contrario, l'accesso viene negato.
Attributi utente e attestazioni
Quando un utente esegue l'autenticazione, Microsoft Entra ID rilascia un token SAML con un set predefinito di attestazioni e attributi che identificano in modo univoco l'utente. La scheda Attributi utente e attestazioni mostra le attestazioni predefinite da rilasciare per la nuova applicazione. Consente anche di configurare più attestazioni.
Per questo esempio, includere un altro attributo:
Per Nome attestazione immettere employeeid.
Per Attributo di origine immettere user.employeeid.
Attributi utente aggiuntivi
Nella scheda Attributi utente aggiuntivi è possibile abilitare l'aumento delle sessioni per sistemi distribuiti, ad esempio Oracle, SAP e altre implementazioni basate su JAVA che richiedono attributi archiviati in altre directory. Gli attributi recuperati da un'origine LDAP possono essere inseriti come più intestazioni SSO per controllare l'accesso in base a ruoli, ID partner e così via.
Abilitare l'opzione Avanzate Impostazioni.
Selezionare la casella di controllo Attributi LDAP.
In Scegli server di autenticazione selezionare Crea nuovo.
A seconda dell'installazione, selezionare Usa pool o Modalità di Connessione server diretto per fornire l'indirizzo server del servizio LDAP di destinazione. Se si usa un singolo server LDAP, selezionare Direct.
Per Porta di servizio immettere 389, 636 (sicuro) o un'altra porta usata dal servizio LDAP.
Per DN di ricerca di base immettere il nome distinto della posizione contenente l'account con cui il servizio APM esegue l'autenticazione per le query del servizio LDAP.
Per Cerca DN immettere il nome distinto della posizione contenente gli oggetti dell'account utente su cui viene eseguita la query APM tramite LDAP.
Impostare entrambe le opzioni di appartenenza su Nessuno e aggiungere il nome dell'attributo dell'oggetto utente da restituire dalla directory LDAP. Per questo scenario: eventi.
Criteri di accesso condizionale
I criteri di accesso condizionale vengono applicati dopo la preautenticazione di Microsoft Entra per controllare l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio.
La visualizzazione Criteri disponibili elenca i criteri di accesso condizionale che non includono azioni utente.
La visualizzazione Criteri selezionati mostra i criteri destinati a tutte le app cloud. Questi criteri non possono essere deselezionati o spostati nell'elenco Criteri disponibili perché vengono applicati a livello di tenant.
Per selezionare un criterio da applicare all'applicazione da pubblicare:
Nell'elenco Criteri disponibili selezionare un criterio.
Selezionare la freccia destra e spostarla nell'elenco Criteri selezionati.
Nota
Per i criteri selezionati è selezionata un'opzione Includi o Escludi . Se vengono selezionate entrambe le opzioni, i criteri selezionati non vengono applicati.
Nota
L'elenco dei criteri viene enumerato una sola volta, quando si seleziona inizialmente questa scheda. Usare il pulsante Aggiorna per forzare manualmente la procedura guidata per eseguire query sul tenant. Questo pulsante viene visualizzato quando l'applicazione viene distribuita.
Proprietà del server virtuale
Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale, prima di indirizzare in base ai criteri.
Immettere l'indirizzo di destinazione, un indirizzo IPv4/IPv6 disponibile che può essere usato da BIG-IP per ricevere il traffico client. Deve essere presente un record corrispondente nel server dei nomi di dominio (DNS), che consente ai client di risolvere l'URL esterno dell'applicazione pubblicata BIG-IP in questo INDIRIZZO IP, anziché nell'applicazione. L'uso di un DNS localhost pc di test è accettabile per i test.
Per Porta del servizio immettere 443 e HTTPS.
Selezionare Abilita porta di reindirizzamento e quindi immettere Porta di reindirizzamento per reindirizzare il traffico client HTTP in ingresso a HTTPS.
Il profilo SSL client abilita il server virtuale per HTTPS, quindi le connessioni client vengono crittografate tramite Transport Layer Security (TLS). Selezionare il profilo SSL client creato o lasciare il valore predefinito durante il test.
Proprietà pool
La scheda Pool di applicazioni include i servizi dietro un BIG-IP rappresentato come pool, con uno o più server applicazioni.
Scegliere da Selezionare un pool. Creare un nuovo pool o selezionare uno.
Scegliere il metodo di bilanciamento del carico, ad esempio Round Robin.
Per Server pool selezionare un nodo o specificare un indirizzo IP e una porta per il server che ospita l'applicazione basata su intestazione.
Nota
L'applicazione back-end si trova sulla porta HTTP 80. Passare a 443 se è HTTPS.
Intestazioni HTTP e Single Sign-On
L'abilitazione dell'accesso SSO consente agli utenti di accedere ai servizi pubblicati big-IP senza immettere le credenziali. La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO.
Usare l'elenco seguente per configurare le opzioni.
Operazione di intestazione: Inserisci
Nome intestazione: upn
Valore intestazione: %{session.saml.last.identity}
Operazione di intestazione: Inserisci
Nome intestazione: employeeid
Valore intestazione: %{session.saml.last.attr.name.employeeid}
Operazione di intestazione: Inserisci
Nome intestazione: eventi
Valore intestazione: %{session.ldap.last.attr.eventroles}
Nota
Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. Ad esempio, se si immette OrclGUID e il nome dell'attributo Microsoft Entra è oclguid, si verifica un errore di mapping degli attributi.
Impostazioni di gestione delle sessioni
Le impostazioni di gestione delle sessioni BIG-IP definiscono le condizioni in cui le sessioni utente vengono terminate o consentite di continuare, limitare gli utenti e gli indirizzi IP e le informazioni utente corrispondenti. Vedere l'articolo F5 K18390492: Sicurezza | Guida operativa di BIG-IP APM per informazioni dettagliate su queste impostazioni.
Ciò che non è coperto è la funzionalità SLO (Single Log Out), che garantisce sessioni tra il provider di identità, l'IP BIG e l'agente utente terminano come utenti disconnettersi. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola l'URL di disconnessione con l'endpoint SLO di APM. La disconneszione avviata da IdP dal portale di Microsoft Entra App personali termina la sessione tra BIG-IP e un client.
I metadati della federazione SAML per l'applicazione pubblicata vengono importati dal tenant, che fornisce all'APM l'endpoint di disconnesso SAML per Microsoft Entra ID. Questa azione garantisce che una disconnessa avviata da SP termini la sessione tra un client e un ID Microsoft Entra. APM deve sapere quando un utente si disconnette dall'applicazione.
Se il portale Webtop BIG-IP viene usato per accedere alle applicazioni pubblicate, APM elabora la disconnessa per chiamare l'endpoint di disconnesso Microsoft Entra. Si consideri tuttavia uno scenario in cui il portale Webtop BIG-IP non viene usato. L'utente non può indicare a APM di disconnettersi. Anche se l'utente si disconnette dall'applicazione, BIG-IP è oblivioso. Si consideri quindi la disconnessa avviata da SP per garantire che le sessioni terminino in modo sicuro. È possibile aggiungere una funzione SLO a un pulsante di disconnessione dell'applicazione, in modo che possa reindirizzare il client all'endpoint di disconnessione MICROSOFT Entra SAML o BIG-IP. L'URL per l'endpoint di disconnessione SAML per il tenant si trova in Endpoint registrazioni >app.
Se non è possibile apportare una modifica all'app, prendere in considerazione l'ascolto di BIG-IP per la chiamata di disconnessione dell'applicazione e dopo aver rilevato che la richiesta attiva SLO. Per informazioni su BIG-IP iRules, vedere le indicazioni su Oracle Persone Soft SLO. Per altre informazioni sull'uso di iRules BIG-IP, vedere:
- K42052145: Configurazione della terminazione automatica della sessione in base a un nome di file a cui si fa riferimento URI
- K12056: Panoramica dell'opzione Includi URI di disconnessione
Riepilogo
Questo ultimo passaggio fornisce una suddivisione delle configurazioni.
Selezionare Distribuisci per eseguire il commit delle impostazioni e verificare che l'applicazione sia nell'elenco tenant delle applicazioni aziendali.
L'applicazione viene pubblicata e accessibile tramite SHA, con il relativo URL o tramite i portali delle applicazioni Microsoft. Per una maggiore sicurezza, le organizzazioni che usano questo modello possono bloccare l'accesso diretto all'applicazione. Questa azione forza un percorso rigoroso tramite BIG-IP.
Passaggi successivi
Da un browser, nel portale Microsoft MyApps connettersi all'URL esterno dell'applicazione o selezionare l'icona dell'applicazione. Dopo aver eseguito l'autenticazione con Microsoft Entra ID, si viene reindirizzati al server virtuale BIG-IP per l'applicazione ed è stato eseguito l'accesso tramite SSO.
Vedere lo screenshot seguente per l'output delle intestazioni inserite nell'applicazione basata su intestazioni.
Per una maggiore sicurezza, le organizzazioni che usano questo modello possono bloccare l'accesso diretto all'applicazione. Questa azione forza un percorso rigoroso tramite BIG-IP.
Distribuzione avanzata
I modelli di configurazione guidata possono non avere flessibilità per ottenere requisiti specifici.
In BIG-IP è possibile disabilitare la modalità di gestione strict della configurazione guidata. È quindi possibile modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni viene automatizzata tramite i modelli basati su procedura guidata.
Per le configurazioni delle applicazioni, è possibile passare a Configurazione guidata di accesso > e selezionare l'icona a forma di lucchetto piccola all'estrema destra della riga.
A questo punto, le modifiche apportate all'interfaccia utente della procedura guidata non sono più possibili, ma tutti gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione vengono sbloccati per la gestione diretta.
Nota
Riabilitare la modalità strict e distribuire una configurazione sovrascrive tutte le impostazioni eseguite all'esterno dell'interfaccia utente di configurazione guidata. È consigliabile usare il metodo di configurazione avanzato per i servizi di produzione.
Risoluzione dei problemi
Registrazione BIG-IP
La registrazione BIG-IP consente di isolare i problemi di connettività, SSO, violazioni dei criteri o mapping di variabili configurati in modo errato.
Per risolvere i problemi, è possibile aumentare il livello di dettaglio del log.
- Passare a Access Policy > Overview Event Logs (Panoramica > dei criteri > di accesso) Impostazioni.
- Selezionare la riga per l'applicazione pubblicata e quindi Modificare > i log di sistema di accesso.
- Nell'elenco SSO selezionare Debug e quindi OK.
Riprodurre il problema, quindi esaminare i log, ma ripristinare questa impostazione al termine. La modalità dettagliata genera quantità significative di dati.
Pagina di errore BIG-IP
Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, è possibile che il problema si riferisca all'accesso SSO da Microsoft Entra ID a BIG-IP.
- Passare a Access > Overview Access Reports (Accedere ai report di accesso).>
- Eseguire il report per l'ultima ora per verificare se i log forniscono indizi.
- Usare il collegamento Visualizza variabili per la sessione per capire se APM riceve le attestazioni previste dall'ID Microsoft Entra.
Richiesta back-end
Se non è presente alcuna pagina di errore, il problema è probabilmente correlato alla richiesta back-end o SSO dall'indirizzo BIG-IP all'applicazione.
- Passare a Panoramica dei >> criteri di accesso Sessioni attive e selezionare il collegamento per la sessione attiva.
- Per facilitare la causa radice del problema, usare il collegamento Visualizza variabili , in particolare se big-IP APM non riesce a ottenere gli attributi corretti da Microsoft Entra ID o da un'altra origine.
Convalidare l'account del servizio APM
Per convalidare l'account del servizio APM per le query LDAP, usare il comando seguente dalla shell bash BIG-IP. Confermare l'autenticazione e la query di un oggetto utente.
ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"
Per altre informazioni, vedere l'articolo F5 K11072: Configurazione dell'autenticazione remota LDAP per Active Directory. È possibile usare una tabella di riferimento BIG-IP per diagnosticare i problemi correlati a LDAP nel documento AskF5, query LDAP.