Настройка диспетчера политик доступа F5 BIG-IP для единого входа на основе форм

Узнайте, как настроить диспетчер политик доступа F5 BIG-IP (APM) и идентификатор Microsoft Entra для безопасного гибридного доступа (SHA) для приложений на основе форм. Опубликованные службы BIG-IP для единого входа (SSO) Microsoft Entra имеют следующие преимущества:

• Улучшено управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и условного доступа
  • См. раздел "Что такое условный доступ"?
  • См. раздел "Безопасность нулевого доверия"
• Полный единый вход между идентификатором Microsoft Entra ID и опубликованными службами BIG-IP
• Управляемые удостоверения и доступ из одной плоскости управления
  • См. Центр администрирования Microsoft Entra

Подробнее:

• Интеграция F5 BIG-IP с идентификатором Microsoft Entra
• Включение единого входа для корпоративного приложения

Описание сценария

В сценарии существует внутреннее устаревшее приложение, настроенное для проверки подлинности на основе форм (FBA). В идеале идентификатор Microsoft Entra управляет доступом к приложению, так как устаревшие не имеют современных протоколов проверки подлинности. Модернизация занимает много времени и усилий, что создает риск простоя. Вместо этого разверните BIG-IP между общедоступным Интернетом и внутренним приложением. Этот шлюз конфигурации входящий доступ к приложению.

С помощью BIG-IP перед приложением можно наложить службу с помощью предварительной проверки подлинности Microsoft Entra и единого входа на основе заголовков. Наложение улучшает состояние безопасности приложений.

Архитектура сценария

Решение SHA имеет следующие компоненты:

• Приложение — опубликованная служба BIG-IP, защищенная SHA.
  • Приложение проверяет учетные данные пользователя
  • Используйте любой каталог, открытый код и т. д.
• Идентификатор Microsoft Entra — поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход в BIG-IP.
  • При использовании единого входа идентификатор Microsoft Entra предоставляет атрибуты BIG-IP, включая идентификаторы пользователей.
• BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение.
  • Big-IP делегирование проверки подлинности в поставщике удостоверений SAML затем выполняет единый вход на основе заголовков в серверное приложение.
  • Единый вход использует кэшированные учетные данные пользователя для других приложений проверки подлинности на основе форм

SHA поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующей схеме показан поток, инициированный поставщиком службы.

1. Пользователь подключается к конечной точке приложения (BIG-IP).
2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
3. Microsoft Entra предварительно выполняет проверку подлинности пользователей и применяет политики условного доступа.
4. Пользователь перенаправляется в BIG-IP (SAML SP) и выполняется единый вход с использованием выданного токена SAML.
5. BIG-IP запрашивает пользователю пароль приложения и сохраняет его в кэше.
6. BIG-IP отправляет запрос приложению и получает форму входа.
7. Скрипт APM заполняет имя пользователя и пароль, а затем отправляет форму.
8. Веб-сервер обслуживает полезные данные приложения и отправляет его клиенту.

Необходимые условия

Вам потребуются следующие компоненты:

• Подписка Azure
  • Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• Одна из следующих ролей: администратор облачных приложений или администратор приложений
• BIG-IP или развертывание виртуального выпуска BIG-IP (VE) в Azure
  • См. статью "Развертывание виртуальной машины F5 BIG-IP Virtual Edition" в Azure
• Любая из следующих лицензий F5 BIG-IP:
  • Лучший пакет F5 BIG-IP®
  • Автономная лицензия F5 BIG-IP Access Manager™ (APM)
  • Надстройка F5 BIG-IP Access Policy Manager™ (APM) на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
  • 90-дневная пробная версия BIG-IP. Просмотр бесплатных пробных версий
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra
  • См . раздел "Синхронизация Microsoft Entra Connect: общие сведения и настройка синхронизации"
• SSL-сертификат для публикации служб по протоколу HTTPS или использования сертификатов по умолчанию во время тестирования
  • См. профиль SSL
• Приложение проверки подлинности на основе форм или настройка приложения проверки подлинности на основе форм службы IIS (IIS) для тестирования
  • См. сведения о проверке подлинности на основе форм

Конфигурация BIG-IP

Конфигурация в этой статье представляет собой гибкую реализацию SHA: ручное создание объектов конфигурации BIG-IP. Используйте этот подход для сценариев, которые не охватывают шаблоны управляемой конфигурации.

Заметка

Замените примеры строк или значений этими строками из вашей среды.

Регистрация F5 BIG-IP в идентификаторе Microsoft Entra

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Регистрация BIG-IP — это первый шаг единого входа между сущностями. Приложение, которое вы создаете из шаблона коллекции F5 BIG-IP, является проверяющей стороной, представляющей SAML SP для опубликованного приложения BIG-IP.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
3. В области "Все приложения" выберите "Создать приложение".
4. Откроется панель "Обзор коллекции Microsoft Entra".
5. Плитки отображаются для облачных платформ, локальных приложений и функциональных приложений. Значки избранных приложений указывают на поддержку федеративного единого входа и подготовки.
6. В коллекции Azure найдите F5.
7. Выберите F5 BIG-IP APM Microsoft Entra ID integration.
8. Введите имя нового приложения, которое используется для распознавания экземпляра приложения.
9. Нажмите кнопку "Добавить".
10. Нажмите кнопку "Создать".

Включение единого входа в F5 BIG-IP

Настройте регистрацию BIG-IP для выполнения токенов SAML, запрашивающих APM BIG-IP.

1. В меню слева в разделе "Управление " выберите единый вход.
2. Откроется панель единого входа.
3. На странице "Выбор метода единого входа" выберите SAML.
4. Нажмите кнопку "Нет", я сохраните позже.
5. На панели SAML в области "Настройка единого входа" выберите значок пера.
6. Для идентификатора замените значение URL-адресом опубликованного приложения BIG-IP.
7. Для URL-адреса ответа замените значение, но сохраните путь к конечной точке приложения SAML SP. С этой конфигурацией поток SAML работает в режиме, инициируемом поставщиком удостоверений.
8. Идентификатор Microsoft Entra id выдает утверждение SAML, а затем пользователь перенаправляется в конечную точку BIG-IP.
9. В режиме, инициированном поставщиком службы, для URL-адреса входа введите URL-адрес приложения.
10. Для URL-адреса выхода введите конечную точку единого выхода (SLO) BIG-IP APM, предопределенную заголовком узла службы.
11. Затем сеансы пользователей BIG-IP APM заканчиваются при выходе пользователей из идентификатора Microsoft Entra.
12. Нажмите кнопку "Сохранить".
13. Закройте область конфигурации SAML.
14. Пропустите запрос на тестирование единого входа.
15. Запишите свойства раздела "Атрибуты пользователя и утверждения ". Идентификатор Microsoft Entra выдает свойства для проверки подлинности APM BIG-IP и единого входа в серверное приложение.
16. На панели сертификатов подписывания SAML нажмите кнопку "Скачать".
17. XML-файл метаданных федерации сохраняется на компьютере.

Заметка

Начиная с операционной системы управления трафиком (TMOS) версии 16, конечная точка SLO SAML — /saml/sp/profile/redirect/sloэто .

Заметка

Сертификаты подписывания Microsoft Entra SAML имеют срок действия трех лет.

Дополнительные сведения. Руководство. Управление сертификатами для федеративного единого входа

Назначение пользователей и групп

Идентификатор Microsoft Entra выдает маркеры для пользователей, которым предоставлен доступ к приложению. Чтобы предоставить определенным пользователям и группам доступ к приложениям, выполните указанные ниже действия.

1. На панели обзора приложения F5 BIG-IP выберите "Назначить пользователей и группы".
2. Выберите + Добавить пользователя или группу.
3. Выберите нужных пользователей и группы.
4. Выберите " Назначить".

Расширенная конфигурация BIG-IP

Используйте следующие инструкции для настройки BIG-IP.

Настройка параметров поставщика услуг SAML

Параметры SAML SP определяют свойства SAML SP, которые APM использует для наложения устаревшего приложения с предварительной аутентификацией SAML. Чтобы настроить их, выполните приведенные действия.

1. Выберите поставщик служб SAML федерации>Access.>

2. Выберите локальные службы SP.

3. Нажмите кнопку "Создать".

   

4. В поле "Создание новой службы SAML SP" для имени и идентификатора сущности введите определенное имя и идентификатор сущности.

   

   Заметка

   Значения параметров имени субъекта-службы требуются, если идентификатор сущности не соответствует части имени узла опубликованного URL-адреса. Кроме того, значения требуются, если идентификатор сущности не в регулярном формате URL-адреса на основе имени узла.

5. Если идентификатор сущности имеется urn:myvacation:contosoonline, введите внешнюю схему приложения и имя узла.

Настройка внешнего соединителя idP

Соединитель поставщика удостоверений SAML определяет параметры для APM BIG-IP, чтобы доверять идентификатору Microsoft Entra в качестве поставщика удостоверений SAML. Параметры подключают поставщика услуг SAML к поставщику удостоверений SAML, который устанавливает доверие федерации между APM и идентификатором Microsoft Entra.

Чтобы настроить соединитель, выполните следующие действия.

1. Выберите новый объект поставщика услуг SAML.

2. Выберите соединители Bind/UnbBind IdP.

   

3. В списке "Создать соединитель поставщика удостоверений " выберите "Из метаданных".

   

4. На панели "Создание нового соединителя поставщика удостоверений SAML" найдите скачанный XML-файл метаданных федерации.

5. Введите имя поставщика удостоверений для объекта APM, представляющего внешний поставщик удостоверений SAML IdP. Например, MyVacation_EntraID.

   

6. Выберите " Добавить новую строку".

7. Выберите новый соединитель поставщика удостоверений SAML.

8. Выберите "Обновить".

   

9. Нажмите кнопку "ОК".

   

Настройка единого входа на основе форм

Создайте объект единого входа APM для единого входа FBA для внутренних приложений.

Выполните единый вход FBA в режиме, инициированном клиентом, или в режиме, инициированном BIG-IP. Оба метода эмулируют вход пользователя, введя учетные данные в теги имени пользователя и пароля. Форма отправлена. Пользователи предоставляют пароль для доступа к приложению FBA. Пароль кэшируется и повторно используется для других приложений FBA.

1. Выберите единый вход Access>.

2. Выберите "Формы на основе".

3. Нажмите кнопку "Создать".

4. В поле "Имя" введите описательное имя. Например, Contoso\FBA\sso.

5. Для использования шаблона единого входа выберите None.

6. В поле "Источник имени пользователя" введите источник имени пользователя, чтобы заполнить форму сбора паролей. По умолчанию session.sso.token.last.username работает хорошо, так как он имеет имя участника-пользователя Microsoft Entra User Name (UPN).

7. Для источника паролей сохраните значение по умолчанию session.sso.token.last.password переменной BIG-IP APM, используемой для кэширования паролей пользователей.

   

8. В поле URI запуска введите универсальный код ресурса (URI) для входа в приложение FBA. Если URI запроса соответствует этому значению URI, проверка подлинности на основе форм APM выполняет единый вход.

9. Для действия формы оставьте его пустым. Затем для единого входа используется исходный URL-адрес запроса.

10. Для параметра формы для имени пользователя введите элемент поля имени пользователя формы входа. Используйте средства разработки браузера для определения элемента.

11. Для параметра формы для пароля введите элемент поля пароля для входа в систему. Используйте средства разработки браузера для определения элемента.

Дополнительные сведения см. в статье techdocs.f5.com для ручной главы: методы единого входа.

Настройка профиля доступа

Профиль доступа привязывает элементы APM, которые управляют доступом к виртуальным серверам BIG-IP, включая политики доступа, конфигурацию единого входа и параметры пользовательского интерфейса.

1. Выберите профили доступа>или политики.

2. Выберите профили доступа (политики для каждого сеанса).

3. Нажмите кнопку "Создать".

4. Введите имя.

5. Для типа профиля выберите "Все".

6. Для настройки единого входа выберите созданный объект конфигурации единого входа FBA.

7. Для принятого языка выберите по крайней мере один язык.

   

8. В столбце политики каждого сеанса для профиля нажмите кнопку "Изменить".

9. Запускается редактор визуальных политик APM.

   

10. В разделе "Резервный+" выберите знак.

11. Во всплывающем итоге выберите "Проверка подлинности".
12. Выберите SAML Auth.
13. Выберите " Добавить элемент".

14. При проверке подлинности SAML измените имя на проверку подлинности Microsoft Entra.
15. В раскрывающемся списке сервера AAA введите созданный объект поставщика услуг SAML.

16. В ветви "Успешно" выберите + знак.
17. Во всплывающем итоге выберите "Проверка подлинности".
18. Выберите страницу входа.
19. Выберите " Добавить элемент".

20. Для имени пользователя в столбце "Только для чтения" выберите "Да".

21. Для резервного входа выберите + знак. Это действие добавляет объект сопоставления учетных данных единого входа.

22. Во всплывающем запустите вкладку "Назначение ".

23. Выберите сопоставление учетных данных единого входа.

24. Выберите " Добавить элемент".

    

25. При назначении переменной: сопоставление учетных данных единого входа сохраните параметры по умолчанию.

26. Нажмите кнопку "Сохранить".

    

27. В верхнем поле "Запретить " выберите ссылку.

28. Ветвь успешно изменится на Allow.

29. Нажмите кнопку "Сохранить".

(Необязательно) Настройка сопоставлений атрибутов

Можно добавить конфигурацию LogonID_Mapping. Затем список активных сеансов BIG-IP содержит имя участника-пользователя, выполнившего вход, а не номер сеанса. Используйте эти сведения для анализа журналов или устранения неполадок.

1. В ветви SAML Auth Successful выберите + знак.

2. Во всплывающем итоге выберите "Назначение".

3. Выберите "Назначить переменную".

4. Выберите " Добавить элемент".

   

5. На вкладке "Свойства" введите имя. Например, LogonID_Mapping.

6. В разделе "Назначение переменной" выберите "Добавить новую запись".

7. Выберите изменение.

   

8. Для пользовательской переменной используйте session.logon.last.username.

9. Для переменной сеанса пользователь session.saml.last.identity.

10. Нажмите кнопку "Готово".

11. Нажмите кнопку "Сохранить".

12. Выберите " Применить политику доступа".

13. Закройте редактор визуальных политик.

Настройка внутреннего пула

Чтобы включить правильное перенаправление трафика клиента BIG-IP, создайте объект узла BIG-IP, представляющий серверный сервер, на котором размещено приложение. Затем поместите этот узел в пул сервера BIG-IP.

1. Выберите локальные пулы трафика>.

2. Выберите список пулов.

3. Нажмите кнопку "Создать".

4. Введите имя объекта пула серверов. Например, MyApps_VMs.

   

5. В поле "Имя узла" введите отображаемое имя сервера. На этом сервере размещается серверное веб-приложение.

6. В поле "Адрес" введите IP-адрес узла сервера приложений.

7. Для порта службы введите порт HTTP/S, который приложение прослушивает.

   

   Заметка

   Мониторы работоспособности требуют конфигурации, которую эта статья не охватывает. Перейдите к support.f5.com для K13397: обзор форматирования запросов монитора работоспособности HTTP для системы DNS BIG-IP.

Настройка виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом. Сервер прослушивает клиентские запросы к приложению. Любой полученный трафик обрабатывается и оценивается в профиле доступа APM, связанном с виртуальным сервером. Трафик направляется в соответствии с политикой.

Чтобы настроить виртуальный сервер, выполните приведенные действия.

1. Выберите локальные виртуальные серверы трафика>.

2. Выберите список виртуальных серверов.

3. Нажмите кнопку "Создать".

4. Введите имя.

5. Для адреса назначения или маски выберите узел и введите IPv4 или IPv6-адрес. Адрес получает клиентский трафик для опубликованного серверного приложения.

6. Для порта службы выберите порт, введите 443 и выберите HTTPS.

   

7. Для профиля HTTP (клиент) выберите http.

8. Для профиля SSL (клиента) выберите созданный профиль или оставьте значение по умолчанию для тестирования. Этот параметр позволяет виртуальному серверу для протокола TLS публиковать службы по протоколу HTTPS.

   

9. Для перевода исходных адресов выберите "Автоматическая карта".

   

10. В разделе "Политика доступа" в поле "Профиль доступа" введите созданное имя. Это действие привязывает профиль предварительной проверки подлинности Microsoft Entra SAML и политику единого входа FBA к виртуальному серверу.

11. В разделе "Ресурсы" для пула по умолчанию выберите созданные объекты внутреннего пула.
12. Нажмите кнопку "Готово".

Настройка параметров управления сеансами

Параметры управления сеансами BIG-IP определяют условия завершения сеансов и продолжения. Создайте политику в этой области.

1. Перейдите к политике доступа.
2. Выберите профили доступа.
3. Выберите "Профиль доступа".
4. В списке выберите приложение.

Если вы определили одно значение URI выхода в идентификаторе Microsoft Entra, то выход, инициированный поставщиком удостоверений из MyApps, завершает клиент и сеанс APM BIG-IP. Импортированный XML-файл метаданных федерации приложения предоставляет APM с конечной точкой Microsoft Entra SAML для выхода, инициированного поставщиком службы. Убедитесь, что APM правильно реагирует на выход пользователя.

Если веб-портал BIG-IP отсутствует, пользователи не могут указать APM выйти из нее. Если пользователь выходит из приложения, BIG-IP не забвевает. Сеанс приложения можно восстановить с помощью единого входа. Для выхода, инициированного поставщиком службы, убедитесь, что сеансы завершаются безопасно.

Вы можете добавить функцию SLO в кнопку выхода приложения. Эта функция перенаправляет клиент на конечную точку выхода Microsoft Entra SAML. Чтобы найти конечную точку выхода SAML, перейдите к конечным точкам регистрации приложений>.

Если вы не можете изменить приложение, у вас есть прослушиватель BIG-IP для вызова выхода приложения и активации SLO.

Подробнее:

• K42052145. Настройка автоматического завершения сеанса (выход) на основе имени файла, на который ссылается URI
• K12056: обзор параметра включения URI выхода

Опубликованное приложение

Приложение опубликовано и доступно с помощью SHA с ПОМОЩЬЮ URL-адреса приложения или портала Майкрософт.

Приложение отображается в качестве целевого ресурса в условном доступе. Дополнительные сведения: создание политики условного доступа.

Для повышения безопасности блокируйте прямой доступ к приложению, применяя путь через BIG-IP.

Тест

1. Пользователь подключается к внешнему URL-адресу приложения или в Мои приложения и выбирает значок приложения.

2. Пользователь проходит проверку подлинности в идентификаторе Microsoft Entra.

3. Пользователь перенаправляется в конечную точку BIG-IP для приложения.

4. Появится запрос пароля.

5. APM заполняет имя пользователя именем участника-пользователя из идентификатора Microsoft Entra. Имя пользователя доступно только для чтения для согласованности сеансов. При необходимости скрыть это поле.

6. Информация отправляется.

7. Пользователь вошел в приложение.

   

Устранить

При устранении неполадок рассмотрите следующие сведения:

• BIG-IP выполняет единый вход FBA, так как он анализирует форму входа в URI

  • BIG-IP ищет теги элементов имени пользователя и пароля из конфигурации.

• Подтверждение согласованности тегов элементов или сбой единого входа

• Сложные формы, созданные динамически, могут потребовать анализа средств разработки для понимания формы входа

• Запуск клиента лучше подходит для входа на страницы с несколькими формами

  • Вы можете выбрать имя формы и настроить логику обработчика форм JavaScript

• Методы единого входа FBA скрывают взаимодействие с формами для оптимизации взаимодействия с пользователем и безопасностью:

  • Можно проверить, внедряются ли учетные данные.
  • В режиме, инициированном клиентом, отключите автоматическую отправку формы в профиле единого входа.
  • Использование средств разработки для отключения двух свойств стиля, которые препятствуют отображению страницы входа

  

Увеличение детализации журнала

Журналы BIG-IP содержат сведения об изоляции проблем проверки подлинности и единого входа. Увеличьте уровень детализации журнала:

1. Перейдите к обзору политики>доступа.
2. Выберите журналы событий.
3. Выберите параметры.
4. Выберите строку опубликованного приложения.
5. Выберите "Изменить".
6. Выберите журналы системы доступа.
7. В списке единого входа выберите "Отладка".
8. Нажмите кнопку "ОК".
9. Воспроизвести проблему.
10. Просмотрите журналы.

Вернитесь к параметрам в противном случае есть чрезмерные данные.

Сообщение об ошибке BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с идентификатором Microsoft Entra ID и единым входом BIG-IP.

1. Перейдите к обзору доступа>.
2. Выберите отчеты Access.
3. Запустите отчет за последний час.
4. Просмотрите журналы для получения подсказок.

Используйте ссылку "Просмотр переменных сеанса" для сеанса, чтобы определить, получает ли APM ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если сообщение об ошибке BIG-IP не отображается, проблема может быть связана с серверным запросом или единым входом в приложение BIG-IP-to-application.

1. Выберите "Обзор политики>доступа".
2. Выберите активные сеансы.
3. Выберите ссылку активного сеанса.

Используйте ссылку "Переменные представления" в этом расположении, чтобы определить первопричину, особенно если APM не сможет получить правильный идентификатор пользователя и пароль.

Чтобы узнать больше, перейдите к techdocs.f5.com для раздела вручную: переменные сеанса.

Ресурсы

• Перейдите в раздел techdocs.f5.com для ручной главы: проверка подлинности
• Проверка подлинности без пароля
• Что такое условный доступ?
• Платформа нулевого доверия для включения удаленной работы