Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso Single Sign-On a SAP ERP

Questo articolo illustra come proteggere SAP ERP usando Microsoft Entra ID, con F5 BIG-IP Easy Button Configuration 16.1. L'integrazione di big-IP con Microsoft Entra ID offre molti vantaggi:

• Framework Zero Trust per abilitare il lavoro remoto
• Informazioni sull'accesso condizionale
• Single Sign-On (SSO) tra i servizi pubblicati da Microsoft Entra ID e BIG-IP
• Gestire le identità e l'accesso dall'interfaccia di amministrazione di Microsoft Entra

Altre informazioni:

• Integrare F5 BIG-IP con Microsoft Entra ID
• Abilitare l'accesso Single Sign-On per un'applicazione aziendale.

Descrizione dello scenario

Questo scenario include l'applicazione SAP ERP che usa l'autenticazione Kerberos per gestire l'accesso al contenuto protetto.

Le applicazioni legacy non dispongono di protocolli moderni per supportare l'integrazione con Microsoft Entra ID. La modernizzazione è costosa, richiede la pianificazione e introduce potenziali rischi di inattività. Usare invece F5 BIG-IP Application Delivery Controller (ADC) per colmare il divario tra l'applicazione legacy e il piano di controllo ID moderno, tramite la transizione del protocollo.

Un BIG-IP davanti all'applicazione abilita la sovrimpressione del servizio con l'accesso Single Sign-On basato su intestazioni e preautenticazione di Microsoft Entra. Questa configurazione migliora il comportamento complessivo di sicurezza delle applicazioni.

Architettura dello scenario

La soluzione sha (Secure Hybrid Access) include i componenti seguenti:

• Applicazione SAP ERP: un servizio pubblicato big-IP protetto da Microsoft Entra SHA
• Microsoft Entra ID - Provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAML all'IP BIG
• BIG-IP : proxy inverso e provider di servizi SAML (SP) all'applicazione. BIG-IP delega l'autenticazione al provider di identità SAML e quindi esegue l'accesso SSO basato su intestazioni al servizio SAP

SHA supporta i flussi avviati da SP e IdP. L'immagine seguente illustra il flusso avviato da SP.

1. L'utente si connette all'endpoint dell'applicazione (BIG-IP)
2. I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (ID SAML)
3. Microsoft Entra ID pre-autentica l'utente e applica i criteri di accesso condizionale applicati
4. L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO si verifica con il token SAML rilasciato
5. BIG-IP richiede ticket Kerberos da KDC
6. BIG-IP invia una richiesta all'applicazione back-end, con il ticket Kerberos per l'accesso SSO
7. L'applicazione autorizza la richiesta e restituisce il payload

Prerequisiti

• Un account Microsoft Entra ID Gratuito o superiore
  • Se non si ha un account gratuito di Azure, ottenere un account gratuito di Azure
• BIG-IP o BIG-IP Virtual Edition (VE) in Azure
  • Vedere Distribuire la macchina virtuale F5 BIG-IP Virtual Edition in Azure
• Una delle licenze F5 BIG-IP seguenti:
  • Bundle migliore F5 BIG-IP®
  • Licenza autonoma F5 BIG-IP APM
  • Licenza del componente aggiuntivo F5 BIG-IP APM in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM) esistente
  • Licenza di valutazione completa di 90 giorni per BIG-IP
• Identità utente sincronizzate da una directory locale a Microsoft Entra ID o create in Microsoft Entra ID e restituite alla directory locale
  • Vedere Microsoft Entra Connessione Sync: Informazioni e personalizzazione della sincronizzazione
• Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator.
• Un certificato Web SSL per pubblicare i servizi tramite HTTPS o usare certificati BIG-IP predefiniti per il test
  • Vedere Distribuire la macchina virtuale F5 BIG-IP Virtual Edition in Azure
• Un ambiente SAP ERP configurato per l'autenticazione Kerberos

Metodi di configurazione BIG-IP

Questa esercitazione usa la configurazione guidata 16.1 con un modello easy button. Con Easy Button, gli amministratori non passano tra Microsoft Entra ID e BIG-IP per abilitare i servizi per SHA. La configurazione guidata di APM e Microsoft Graph gestiscono la distribuzione e la gestione dei criteri. Questa integrazione garantisce che le applicazioni supportino la federazione delle identità, l'accesso SSO e l'accesso condizionale.

Nota

Sostituire stringhe o valori di esempio in questa guida con quelli nell'ambiente in uso.

Registra pulsante facile

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Prima che un client o un servizio accesa a Microsoft Graph, Microsoft Identity Platform deve considerarlo attendibile.

Vedere Avvio rapido: Registrare un'applicazione con Microsoft Identity Platform

Registrare il client Easy Button in Microsoft Entra ID, quindi è consentito stabilire un trust tra le istanze DI SAML SP di un'applicazione pubblicata big-IP e l'ID Microsoft Entra come ID SAML.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

2. Passare a Applicazioni> di identità>Registrazioni app> Nuova registrazione.

3. Immettere un nome per la nuova applicazione.

4. In Account solo in questa directory organizzativa specificare chi può usare l'applicazione.

5. Selezionare Registra.

6. Passare a Autorizzazioni API.

7. Autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Concedere il consenso amministratore per l'organizzazione.

9. In Certificati e segreti generare un nuovo segreto client.

10. Prendere nota del segreto da usare in un secondo momento.

11. In Panoramica prendere nota dell'ID client e dell'ID tenant.

Configurare il pulsante Easy

1. Avviare la configurazione guidata di APM.
2. Avviare il modello Easy Button.
3. Da un browser accedere alla console di gestione di F5 BIG-IP.
4. Passare a Access Guided Configuration > Microsoft Integration ( Configurazione guidata di Microsoft > Integration).
5. Selezionare Applicazione Microsoft Entra.
6. Esaminare l'elenco di configurazione.
7. Selezionare Avanti.
8. Seguire la sequenza di configurazione in Configurazione dell'applicazione Microsoft Entra.

Configuration Properties

La scheda Proprietà di configurazione include le proprietà dell'account del servizio e crea una configurazione dell'applicazione BIG-IP e un oggetto SSO. La sezione Dettagli account servizio di Azure rappresenta il client registrato come applicazione nel tenant Microsoft Entra. Usare le impostazioni per il client OAuth BIG-IP per registrare singolarmente un PROVIDER SAML nel tenant con le proprietà SSO. Easy Button esegue questa azione per i servizi BIG-IP pubblicati e abilitati per SHA.

Nota

Alcune impostazioni sono globali e possono essere riutilizzate per pubblicare altre applicazioni.

1. Immettere un nome di configurazione. I nomi univoci differenziano le configurazioni easy Button.

2. Per Single Sign-On (SSO) e intestazioni HTTP selezionare Sì.

3. Per ID tenant, ID client e Segreto client immettere l'ID tenant, l'ID client e il segreto client annotati durante la registrazione del tenant.

4. Selezionare Test connessione. Questa azione conferma la connessione BIG-IP al tenant.

5. Selezionare Avanti.

   

Provider di Servizi

Usare le impostazioni del provider di servizi per definire le proprietà dell'istanza SAML SP dell'applicazione protetta da SHA.

1. Per Host immettere il nome di dominio completo pubblico (FQDN) dell'applicazione protetta.

2. Per ENTITY ID (ID entità) immettere l'identificatore usato dall'ID Microsoft Entra per identificare il provider di servizi SAML che richiede un token.

   

3. (Facoltativo) Usare Security Impostazioni per indicare che Microsoft Entra ID crittografa le asserzioni SAML rilasciate. Le asserzioni crittografate tra Microsoft Entra ID e BIG-IP APM aumentano la garanzia che i token di contenuto non vengano intercettati né compromessi.

4. In Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare Create New (Crea nuovo).

   

5. Seleziona OK.

6. La finestra di dialogo Importa certificato SSL e chiavi viene visualizzata in una nuova scheda.

7. Per importare il certificato e la chiave privata, selezionare PKCS 12 (IIS).To import the certificate and private key, select PKCS 12 (IIS).

8. Chiudere la scheda del browser per tornare alla scheda principale.

   

9. Per Enable Encrypted Assertion (Abilita asserzione crittografata) selezionare la casella .

10. Se è stata abilitata la crittografia, dall'elenco Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare la chiave privata per il certificato usato da BIG-IP APM per decrittografare le asserzioni Microsoft Entra.

11. Se è stata abilitata la crittografia, dall'elenco Certificato di decrittografia asserzione selezionare il certificato CARICAMENTO BIG-IP in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

Microsoft Entra ID

Easy Button include modelli di applicazione per Oracle Persone Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e un modello SHA generico.

1. Per avviare la configurazione di Azure, selezionare SAP ERP Central Component Add (Aggiungi componente > SAP ERP Central).

   

   Nota

   È possibile usare le informazioni nelle sezioni seguenti quando si configura manualmente una nuova applicazione SAML BIG-IP in un tenant di Microsoft Entra.

Configurazione di Azure

1. Per Nome visualizzato immettere l'app BIG-IP creato nel tenant di Microsoft Entra. Il nome viene visualizzato sull'icona nel portale di App personali.

2. (Facoltativo) lasciare vuoto l'URL di accesso (facoltativo).

   

3. Accanto a Chiave di firma selezionare Aggiorna.

4. Selezionare Certificato di firma. Questa azione individua il certificato immesso.

5. Per Passphrase chiave di firma immettere la password del certificato.

6. (Facoltativo) Abilitare l'opzione di firma. Questa opzione garantisce che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID

   

7. Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra. I gruppi consentono di autorizzare l'accesso alle applicazioni.

8. Aggiungere un utente o un gruppo per il test; in caso contrario, l'accesso viene negato.

   

Attributi utente e attestazioni

Quando gli utenti eseguono l'autenticazione in Microsoft Entra ID, rilascia un token SAML con attestazioni e attributi predefiniti che identificano l'utente. La scheda Attributi utente e attestazioni mostra le attestazioni predefinite da rilasciare per la nuova applicazione. Usarlo per configurare più attestazioni.

Questa esercitazione si basa su un suffisso di dominio .com usato internamente ed esternamente. Non sono necessari altri attributi per ottenere un'implementazione di delega vincolata Kerberos funzionale (KCD).

È possibile includere altri attributi di Microsoft Entra. Per questa esercitazione, SAP ERP richiede gli attributi predefiniti.

Altre informazioni: Esercitazione: Configurare Gestione criteri di accesso BIG-IP F5 per l'autenticazione Kerberos. Vedere istruzioni su più domini o accesso utente con suffissi alternativi.

Attributi utente aggiuntivi

La scheda Attributi utente aggiuntivi supporta sistemi distribuiti che richiedono attributi archiviati in altre directory, per l'aumento della sessione. Gli attributi di un'origine LDAP vengono quindi inseriti come più intestazioni SSO per controllare l'accesso in base al ruolo, gli ID partner e così via.

Nota

Questa funzionalità non ha alcuna correlazione con l'ID Microsoft Entra, ma è un'altra origine attributo.

Criteri di accesso condizionale

I criteri di accesso condizionale vengono applicati dopo la preautenticazione di Microsoft Entra. Questa azione controlla l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio.

La visualizzazione Criteri disponibili elenca i criteri di accesso condizionale senza azioni basate sull'utente.

La visualizzazione Criteri selezionati elenca i criteri destinati alle app cloud. Non è possibile deselezionare questi criteri né spostarli nell'elenco Criteri disponibili perché vengono applicati a livello di tenant.

Per selezionare un criterio per l'applicazione da pubblicare:

1. Nell'elenco Criteri disponibili selezionare il criterio.
2. Seleziona la freccia destra.
3. Spostare il criterio nell'elenco Criteri selezionati.

Per i criteri selezionati è selezionata un'opzione Includi o Escludi . Se vengono selezionate entrambe le opzioni, i criteri selezionati non vengono applicati.

Nota

L'elenco dei criteri viene visualizzato quando si seleziona inizialmente questa scheda. Usare il pulsante aggiorna per eseguire query sul tenant. L'aggiornamento viene visualizzato quando l'applicazione viene distribuita.

Proprietà del server virtuale

Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale. Questo server è in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale. Il traffico viene quindi indirizzato in base ai criteri.

1. Immettere un indirizzo di destinazione. Usare l'indirizzo IPv4/IPv6 usato da BIG-IP per ricevere il traffico client. Un record corrispondente si trova in DNS, che consente ai client di risolvere l'URL esterno dell'applicazione pubblicata big-IP in questo indirizzo IP. È possibile usare un DNS localhost del computer di test per il test.
2. Per Porta di servizio immettere 443.
3. selezionare HTTPS.
4. Per Abilita porta di reindirizzamento selezionare la casella.
5. Per Porta di reindirizzamento immettere un numero e selezionare HTTP. Questa opzione reindirizza il traffico client HTTP in ingresso a HTTPS.
6. Selezionare il profilo SSL client creato. In alternativa, lasciare l'impostazione predefinita per i test. Il profilo SSL client abilita il server virtuale per HTTPS, quindi le connessioni client vengono crittografate tramite TLS.

Proprietà pool

La scheda Pool di applicazioni include servizi dietro un BIG-IP, rappresentato come pool con server applicazioni.

1. Per Selezionare un pool selezionare Crea nuovo o selezionare un pool.

2. Per Metodo di bilanciamento del carico selezionare Round Robin.

3. Per Server del pool selezionare un nodo server oppure immettere un indirizzo IP e una porta per il nodo back-end che ospita l'applicazione basata sull'intestazione.

   

Intestazioni Single Sign-On e HTTP

Usare l'accesso Single Sign-On per abilitare l'accesso ai servizi pubblicati big-IP senza immettere le credenziali. La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO. Per le istruzioni seguenti, è necessario l'account di delega Kerberos creato.

1. In Single Sign-On & HTTP Headers (Intestazioni Single Sign-On e HTTP) per Advanced Impostazioni (Avanzate) selezionare Sì.

2. Per Tipo di accesso Single Sign-On selezionato selezionare Kerberos.

3. Per Origine nome utente immettere una variabile di sessione come origine ID utente. session.saml.last.identity contiene l'attestazione Microsoft Entra con l'ID utente connesso.

4. L'opzione Origine area di autenticazione utente è obbligatoria se il dominio utente è diverso dall'area di autenticazione Kerberos BIG-IP. Pertanto, la variabile di sessione APM contiene il dominio utente connesso. Ad esempio: session.saml.last.attr.name.domain.

   

5. Per KDC immettere un indirizzo IP del controller di dominio o FQDN se il DNS è configurato.

6. Per il supporto UPN, selezionare la casella. APM usa l'UPN per il ticket Kerberos.

7. Per Modello SPN immettere HTTP/%h. Questa azione informa il servizio APM di usare l'intestazione host della richiesta client e di compilare il nome SPN per il quale richiede un token Kerberos.

8. Per Invia autorizzazione disabilitare l'opzione per le applicazioni che negoziano l'autenticazione. Ad esempio, Tomcat.

   

Gestione delle sessioni

Usare le impostazioni di gestione delle sessioni BIG IP per definire le condizioni quando le sessioni utente terminano o continuano. Le condizioni includono limiti per gli utenti e gli indirizzi IP e le informazioni utente corrispondenti.

Per altre informazioni, vedere my.f5.com per K18390492: Sicurezza | Guida operativa di BIG-IP APM

La guida operativa non riguarda single log-out (SLO). Questa funzionalità garantisce che le sessioni tra idp, BIG-IP e l'agente utente terminino quando gli utenti si disconnetteno. Easy Button distribuisce un'applicazione SAML nel tenant di Microsoft Entra. Popola l'URL di disconnessione con l'endpoint SLO di APM. La disconnessa avviata da IdP dal portale di App personali termina la sessione BIG-IP e client.

Durante la distribuzione, i metadati di federazione SAML dell'applicazione pubblicata vengono importati dal tenant. Questa azione fornisce a APM l'endpoint di disconnesso SAML per Microsoft Entra ID e aiuta la disconnessa avviata da SP a terminare la sessione client e Microsoft Entra.

Distribuzione

1. Seleziona Distribuisci.
2. Verificare che l'applicazione sia presente nell'elenco delle applicazioni aziendali tenant.
3. Con un browser, connettersi all'URL esterno dell'applicazione o selezionare l'icona dell'applicazione in App personali.
4. Eseguire l'autenticazione in Microsoft Entra ID.
5. Si viene reindirizzati al server virtuale BIG-IP ed è stato eseguito l'accesso tramite SSO.

Per una maggiore sicurezza, è possibile bloccare l'accesso diretto all'applicazione, applicando così un percorso tramite BIG-IP.

Distribuzione avanzata

I modelli di configurazione guidata a volte non dispongono di flessibilità.

Altre informazioni: Esercitazione: Configurare Gestione criteri di accesso BIG-IP F5 per l'autenticazione Kerberos.

Disabilitare la modalità di gestione strict

In alternativa, in BIG-IP è possibile disabilitare la modalità di gestione strict della configurazione guidata. È possibile modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni è automatizzata con i modelli di procedura guidata.

1. Passare a Configurazione guidata di accesso>.

2. Alla fine della riga per la configurazione dell'applicazione selezionare il lucchetto.

3. Gli oggetti BIG-IP associati all'applicazione pubblicata vengono sbloccati per la gestione. Le modifiche tramite l'interfaccia utente della procedura guidata non sono più possibili.

   

   Nota

   Per riabilitare la modalità di gestione rigorosa e distribuire una configurazione che sovrascrive le impostazioni all'esterno dell'interfaccia utente di configurazione guidata, è consigliabile usare il metodo di configurazione avanzato per i servizi di produzione.

Risoluzione dei problemi

Se non è possibile accedere all'applicazione protetta da SHA, vedere le indicazioni seguenti per la risoluzione dei problemi.

• Kerberos è sensibile al tempo. Verificare che i server e i client siano impostati sull'ora corretta e sincronizzati con un'origine ora affidabile.
• Verificare che il controller di dominio e il nome host dell'app Web vengano risolti in DNS.
• Confermare l'assenza di SPN duplicati nell'ambiente.
  • In un computer di dominio, nella riga di comando, usare la query: setspn -q HTTP/my_target_SPN

Per convalidare una configurazione KCD dell'applicazione IIS, vedere Risolvere i problemi relativi alle configurazioni KCD per il proxy di applicazione

Passare a techdocs.f5.com per il metodo Single Sign-On Kerberos

Log Analytics

Dettaglio log

La registrazione BIG-IP isola i problemi di connettività, SSO, violazioni dei criteri o mapping di variabili configurati in modo errato. Per iniziare la risoluzione dei problemi, aumentare il livello di dettaglio del log.

1. Passare a Panoramica dei criteri> di accesso.
2. Selezionare Registri eventi.
3. Seleziona Impostazioni.
4. Selezionare la riga per l'applicazione pubblicata.
5. Seleziona Modifica
6. Selezionare Access System Logs (Accedi ai log di sistema)
7. Nell'elenco SSO selezionare Debug.
8. Seleziona OK.
9. Riprodurre il problema.
10. Esaminare i log.

Al termine dell'ispezione, ripristinare il livello di dettaglio del log perché questa modalità genera dati eccessivi.

Messaggio di errore BIG-IP

Se viene visualizzato un messaggio di errore BIG-IP dopo la preautenticazione di Microsoft Entra, il problema potrebbe riguardare Microsoft Entra ID a BIG-IP SSO.

1. Passare a Panoramica di Accesso>.
2. Selezionare Accedi ai report.
3. Eseguire il report per l'ultima ora.
4. Esaminare i log.

Usare il collegamento Visualizza variabili di sessione della sessione corrente per verificare se APM riceve le attestazioni Microsoft Entra previste.

Nessun messaggio di errore BIG-IP

Se non viene visualizzato alcun messaggio di errore BIG-IP, il problema potrebbe essere correlato alla richiesta back-end o big-IP all'accesso SSO dell'applicazione.

1. Passare a Panoramica dei criteri> di accesso.
2. Selezionare Sessioni attive.
3. Selezionare il collegamento per la sessione corrente.
4. Usare il collegamento Visualizza variabili per identificare i problemi KCD, in particolare se big-IP APM non ottiene gli identificatori di dominio e utente corretti dalle variabili di sessione.

Altre informazioni:

• Passare a devcentral.f5.com per assegnare esempi di variabile APM
• Passare a techdocs.f5.com per le variabili di sessione