Руководство. Настройка простой кнопки F5 BIG-IP для единого входа ldap и единого входа LDAP
В этой статье вы можете узнать, как защитить заголовок и приложения на основе LDAP с помощью идентификатора Microsoft Entra с помощью управляемой конфигурации F5 BIG-IP Easy Configuration 16.1. Интеграция BIG-IP с идентификатором Microsoft Entra ID обеспечивает множество преимуществ:
- Улучшенная система управления. См. платформу "Нулевое доверие", чтобы включить удаленную работу и узнать больше о предварительной проверке подлинности Microsoft Entra
- См. также статью "Что такое условный доступ", чтобы узнать, как она помогает применять политики организации.
- Полный единый вход между опубликованными службами Microsoft Entra ID и BIG-IP
- Управление удостоверениями и доступом с одной плоскости управления в Центре администрирования Microsoft Entra
Дополнительные сведения о преимуществах см. в статье F5 BIG-IP и интеграция Microsoft Entra.
Описание сценария
В этом сценарии основное внимание уделяется классическому устаревшему приложению с использованием заголовков авторизации HTTP, полученных из атрибутов каталога LDAP, для управления доступом к защищенному содержимому.
Так как это устаревшая версия, приложение не имеет современных протоколов для поддержки прямой интеграции с идентификатором Microsoft Entra. Вы можете модернизировать приложение, но это затратно, требует планирования и приводит к риску потенциального простоя. Вместо этого можно использовать контроллер доставки приложений F5 BIG-IP (ADC), чтобы преодолеть разрыв между устаревшим приложением и современной плоскостей управления идентификаторами с переходом протокола.
Наличие BIG-IP перед приложением обеспечивает наложение службы с предварительной проверкой подлинности и единым входом на основе заголовков, повышая общую безопасность приложения.
Архитектура сценария
Решение для безопасного гибридного доступа для этого сценария имеет следующее:
- Приложение — опубликованная служба BIG-IP для защиты с помощью идентификатора Microsoft Entra ID безопасного гибридного доступа (SHA)
- Идентификатор Microsoft Entra — поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход на основе SAML в BIG-IP. С помощью единого входа идентификатор Microsoft Entra предоставляет BIG-IP с необходимыми атрибутами сеанса.
- Система управления персоналом — база данных сотрудников на основе LDAP в качестве источника истины для разрешений приложения
- BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение, делегируя проверку подлинности поставщику удостоверений SAML, прежде чем выполнять единый вход на основе заголовков в серверное приложение.
SHA для этого сценария поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На рисунке ниже показан поток, инициированный SP.
- Пользователь подключается к конечной точке приложения (BIG-IP).
- Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP)
- Идентификатор Microsoft Entra ID предварительно проходит проверку подлинности пользователя и применяет примененные политики условного доступа
- Пользователь перенаправляется в BIG-IP (поставщик услуг SAML), и единый вход выполняется с использованием выданного токена SAML.
- Big-IP-запросы больше атрибутов из системы управления персоналом на основе LDAP
- BIG-IP внедряет идентификатор Microsoft Entra ID и системные атрибуты HR в качестве заголовков в запросе к приложению
- Приложение разрешает доступ с расширенными разрешениями сеанса.
Необходимые компоненты
Предварительный интерфейс BIG-IP не требуется, но вам потребуется:
- Бесплатная учетная запись Azure или подписка на более высокий уровень
- BIG-IP или развертывание виртуального выпуска BIG-IP (VE) в Azure
- Любая из следующих лицензий F5 BIG-IP:
- Пакет F5 BIG-IP® Best
- отдельная лицензия F5 BIG-IP Access Policy Manager™ (APM).
- Надстройка F5 BIG-IP Access Policy Manager™ (APM) на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
- Бесплатная пробная версия 90-дневного продукта BIG-IP
- Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra
- Одна из следующих ролей: администратор облачных приложений или администратор приложений.
- Ssl-веб-сертификат для служб публикации по протоколу HTTPS или использование сертификатов BIG-IP по умолчанию во время тестирования
- Приложение на основе заголовков или настройка простого приложения заголовка IIS для тестирования
- Каталог пользователей, поддерживающий LDAP, например службы упрощенного каталога Windows Active Directory (AD LDS), OpenLDAP и т. д.
Конфигурация BIG-IP
В этом руководстве используется интерактивная конфигурация 16.1 с шаблоном easy Button. С помощью кнопки Easy администраторы не отправляются обратно и вперед между идентификатором Microsoft Entra и BIG-IP, чтобы включить службы для SHA. Управление развертываниями и политиками обрабатывается между мастером управляемой конфигурации APM и Microsoft Graph. Эта интеграция между BIG-IP APM и идентификатором Microsoft Entra гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ Microsoft Entra, что снижает административные издержки.
Примечание.
Замените примеры строк или значений в этом руководстве этими строками для вашей среды.
Регистрация Easy Button
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Прежде чем клиент или служба сможет получить доступ к Microsoft Graph, он доверяется платформа удостоверений Майкрософт.
На этом первом шаге создается регистрация приложения клиента для авторизации доступа easy Button к Graph. С этими разрешениями BIG-IP может отправлять конфигурации для установления доверия между экземпляром SAML SP для опубликованного приложения и идентификатором Microsoft Entra в качестве поставщика удостоверений SAML.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к регистрации приложений> удостоверений>Регистрация приложений> New.
Введите отображаемое имя приложения. Например, кнопка "Простой" F5 BIG-IP.
Укажите, кто может использовать учетные записи приложений >только в этом каталоге организации.
Выберите Зарегистрировать.
Перейдите в раздел Разрешения API и предоставьте следующие разрешения приложения Microsoft Graph:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Предоставьте согласие администратора для вашей организации.
В сертификатах и секретах создайте новый секрет клиента. Запишите этот секрет.
В обзоре обратите внимание на идентификатор клиента и идентификатор клиента.
Настройка простой кнопки
Инициируйте интерактивную конфигурацию APM, чтобы запустить шаблон easy Button.
Перейдите к интеграции Microsoft с интерактивной конфигурацией > и > выберите приложение Microsoft Entra.
Просмотрите список шагов и нажмите кнопку "Далее"
Чтобы опубликовать приложение, выполните действия.
Свойства конфигурации
На вкладке Configuration Properties (Свойства конфигурации) создаются конфигурация приложения BIG-IP и объект единого входа. Раздел сведений о учетной записи службы Azure представляет клиент, зарегистрированный в клиенте Microsoft Entra ранее в качестве приложения. Эти параметры позволяют клиенту OAuth BIG-IP зарегистрировать пакет обновления SAML в клиенте с помощью свойств единого входа, которые вы настраиваете вручную. Easy Button выполняет это действие для каждой опубликованной и включенной службы BIG-IP для SHA.
Некоторые из этих параметров являются глобальными, поэтому их можно повторно использовать для публикации дополнительных приложений, уменьшения времени развертывания и усилий.
- Введите уникальное имя конфигурации, чтобы администраторы могли различать конфигурации easy Button.
- Включите единый вход (единый вход) и заголовки HTTP.
- Введите идентификатор клиента, идентификатор клиента и секрет клиента, который вы указали при регистрации клиента Easy Button в клиенте.
- Убедитесь, что BIG-IP может подключиться к клиенту.
- Выберите Далее.
Поставщик услуг
Параметры поставщика услуг определяют свойства экземпляра поставщика службы SAML для приложения, защищенного с помощью безопасного гибридного доступа.
Введите узел, полное доменное имя (FQDN) приложения.
Введите идентификатор сущности, идентификатор Microsoft Entra ID используется для идентификации SAML SP, запрашивающей токен. Используйте необязательные параметры безопасности, чтобы указать, шифрует ли идентификатор Microsoft Entra утверждения SAML. Шифрование утверждений между идентификатором Microsoft Entra и APM BIG-IP обеспечивает гарантию того, что маркеры содержимого не могут быть перехвачены, а личные или корпоративные данные не могут быть скомпрометированы.
В списке Assertion Decryption Private Key (Закрытый ключ расшифровки утверждения) выберите команду Create New (Создать).
Нажмите ОК. Откроется диалоговое окно импорта SSL-сертификата и ключей на новой вкладке.
Выберите вариант PKCS 12 (IIS), чтобы импортировать сертификат и закрытый ключ. После подготовки закройте вкладку браузера, чтобы вернуться на главную вкладку.
Установите флажок Enable Encrypted Assertion (Включить зашифрованное утверждение).
Если вы включили шифрование, выберите сертификат из списка закрытых ключей расшифровки утверждений. BIG-IP APM использует этот закрытый ключ сертификата для расшифровки утверждений Microsoft Entra.
Если вы включили шифрование, выберите сертификат из списка сертификатов расшифровки утверждений. BIG-IP отправляет этот сертификат в идентификатор Microsoft Entra для шифрования выданных утверждений SAML.
Microsoft Entra ID
В этом разделе содержатся свойства для ручной настройки нового приложения SAML BIG-IP в клиенте Microsoft Entra. Easy Button содержит шаблоны приложений для Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP и шаблона SHA для других приложений.
В этом сценарии выберите F5 BIG-IP APM Microsoft Entra ID Integration > Add.
Конфигурация Azure
Введите отображаемое имя приложения, которое создает BIG-IP в клиенте Microsoft Entra, и значок, который пользователи видят на портале MyApps.
Не запишите URL-адрес входа (необязательно).
Чтобы найти импортированный сертификат, щелкните значок "Обновить" рядом с ключом подписывания и сертификатом подписи.
Введите пароль сертификата в парольной фразе ключа для подписывания.
Включите параметр подписи (необязательно), чтобы убедиться, что BIG-IP принимает маркеры и утверждения, подписанные идентификатором Microsoft Entra.
Группы пользователей и пользователей динамически запрашиваются из клиента Microsoft Entra и разрешают доступ к приложению. Добавьте пользователя или группу для тестирования, в противном случае доступ запрещен.
Утверждения и атрибуты пользователя
Когда пользователь проходит проверку подлинности, идентификатор Microsoft Entra выдает токен SAML с набором утверждений и атрибутов по умолчанию, однозначно определяющих пользователя. На вкладке "Атрибуты пользователя" и "Утверждения" отображаются утверждения по умолчанию, которые будут выдаваться для нового приложения. Она также позволяет настроить дополнительные утверждения.
В этом примере включите еще один атрибут:
В поле "Имя утверждения" введите employeeid.
Для исходного атрибута введите user.employeeid.
Дополнительные атрибуты пользователя
На вкладке "Дополнительные атрибуты пользователя" можно включить расширение сеансов для распределенных систем, таких как Oracle, SAP и другие реализации на основе JAVA, требующие атрибутов, хранящихся в других каталогах. Атрибуты, полученные из источника LDAP, можно внедрить как дополнительные заголовки единого входа для управления доступом на основе ролей, идентификаторов партнеров и т. д.
Включите параметр "Дополнительные параметры".
Установите флажок "Атрибуты LDAP".
В разделе "Выбор сервера проверки подлинности" нажмите кнопку "Создать".
В зависимости от конфигурации выберите режим подключения к серверу Use pool (Использовать пул) или Direct (Прямой), чтобы указать адрес сервера целевой службы LDAP. Если используется один LDAP-сервер, выберите режим Direct.
Для порта службы введите 389, 636 (безопасный) или другой порт, используемый службой LDAP.
Для DN базового поиска введите различающееся имя расположения, содержащего учетную запись, с помощью проверки подлинности APM для запросов службы LDAP.
Для DN поиска введите различающееся имя расположения, содержащего объекты учетной записи пользователя, запрашиваемые APM через LDAP.
Задайте для обоих параметров членства значение None и добавьте имя атрибута пользовательского объекта, возвращаемого из каталога LDAP. Для этого сценария: eventroles.
Политика условного доступа
Политики условного доступа применяются после предварительной проверки подлинности Microsoft Entra для управления доступом на основе устройств, приложений, расположений и сигналов риска.
В представлении "Доступные политики" перечислены политики условного доступа, которые не включают действия пользователя.
В представлении "Выбранные политики" показаны политики, предназначенные для всех ресурсов. Эти политики не могут быть удалены или перемещены в список доступных политик, так как они применяются на уровне клиента.
Чтобы выбрать политику для применения к публикуемому приложению, выполните указанные ниже действия.
В списке доступных политик выберите политику.
Щелкните стрелку вправо и переместите политику в список Selected Policies (Выбранные политики).
Примечание.
Выбранные политики имеют флажок "Включить " или "Исключить ". Если установлены оба флажка, выбранная политика не применяется.
Примечание.
Список политик перечисляется один раз при первоначальном выборе этой вкладки. Нажмите кнопку "Обновить ", чтобы вручную заставить мастер запрашивать клиент. Эта кнопка отображается при развертывании приложения.
Свойства виртуального сервера
Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом, который ожидает передачи клиентских запросов к приложению. Полученный трафик обрабатывается и оценивается в профиле APM, связанном с виртуальным сервером, прежде чем направляться в соответствии с политикой.
Введите целевой адрес, доступный IPv4/IPv6-адрес, который big-IP может использовать для получения трафика клиента. В dns-сервере доменных имен должна быть соответствующая запись, которая позволяет клиентам разрешать внешний URL-адрес опубликованного приложения BIG-IP для этого IP-адреса вместо приложения. Использование тестового компьютера localhost DNS допустимо для тестирования.
Для порта службы введите 443 и HTTPS.
Проверьте включение порта перенаправления и введите порт перенаправления, чтобы перенаправить входящий трафик клиента HTTP на HTTPS.
Профиль SSL клиента включает виртуальный сервер для HTTPS, поэтому клиентские подключения шифруются по протоколу TLS. Выберите созданный профиль SSL клиента или оставьте значение по умолчанию во время тестирования.
Свойства пула
На вкладке "Пул приложений" есть службы за большим IP-адресом, представленным в виде пула , с одним или несколькими серверами приложений.
Выберите пул в списке Select a Pool (Выберите пул). Создайте новый пул или выберите один.
Выберите метод балансировки нагрузки, например Round Robin.
Для серверов пула выберите узел или укажите IP-адрес и порт для сервера, на котором размещено приложение на основе заголовков.
Примечание.
Наше серверное приложение находится на HTTP-порте 80. Переключитесь на 443, если используется протокол HTTPS.
Заголовки единого входа и HTTP
Включение единого входа позволяет пользователям получать доступ к опубликованным службам BIG-IP без ввода учетных данных. Мастер Easy Button поддерживает Kerberos, носитель OAuth и заголовки авторизации HTTP для единого входа.
Используйте следующий список для настройки параметров.
Header Operation (Операция заголовка): Insert (Вставка)
Header Name (Имя заголовка): upn
Header Value (Значение заголовка): %{session.saml.last.identity}
Header Operation (Операция заголовка): Insert (Вставка)
Header Name (Имя заголовка): employeeid
Header Value (Значение заголовка): %{session.saml.last.attr.name.employeeid}
Header Operation (Операция заголовка): Insert (Вставка)
Header Name (Имя заголовка): eventroles
Header Value (Значение заголовка): %{session.ldap.last.attr.eventroles}
Примечание.
Переменные сеанса APM в фигурных скобках чувствительны к регистру. Например, если ввести OrclGUID и имя атрибута Microsoft Entra является orclguid, происходит сбой сопоставления атрибутов.
Параметры управления сеансами
Параметры управления сеансами BIG-IPs определяют условия, при которых сеансы пользователя завершаются или разрешены для продолжения, ограничения для пользователей и IP-адресов и соответствующих сведений о пользователе. См. статью F5 K18390492: Безопасность | Руководство по операциям APM BIG-IP для получения подробных сведений об этих параметрах.
Функции единого выхода (SLO), которые обеспечивают сеансы между поставщиком удостоверений, BIG-IP и агентом пользователя завершаются при выходе пользователей. Когда easy Button создает экземпляр приложения SAML в клиенте Microsoft Entra, он заполняет URL-адрес выхода конечной точкой APM SLO. Выход, инициированный поставщиком удостоверений, из портала Microsoft Entra Мои приложения завершает сеанс между BIG-IP и клиентом.
Метаданные федерации SAML для опубликованного приложения импортируются из вашего клиента, который предоставляет APM с конечной точкой выхода SAML для идентификатора Microsoft Entra. Это действие гарантирует, что выход, инициированный поставщиком службы, завершает сеанс между клиентом и идентификатором Microsoft Entra. APM должен знать, когда пользователь выходит из приложения.
Если портал webtop BIG-IP используется для доступа к опубликованным приложениям, APM обрабатывает выход, чтобы вызвать конечную точку выхода Microsoft Entra. Но рассмотрим сценарий, в котором портал webtop BIG-IP не используется. Пользователь не может указать APM выйти из нее. Даже если пользователь выходит из приложения, big-IP не забвевает. Таким образом, рассмотрите возможность выхода, инициированного поставщиком службы, чтобы обеспечить безопасное завершение сеансов. Вы можете добавить функцию SLO в кнопку выхода приложения, чтобы он смог перенаправить клиент в конечную точку выхода Microsoft Entra SAML или BIG-IP. URL-адрес конечной точки выхода SAML для клиента находится в конечных точках регистрации приложений>.
Если вы не можете внести изменения в приложение, рассмотрите возможность прослушивания BIG-IP для вызова выхода приложения и при обнаружении запроса, активировав SLO. Ознакомьтесь с руководством Oracle PeopleSoft SLO, чтобы узнать о big-IP iRules. Дополнительные сведения об использовании iRules BIG-IP см. в следующей статье:
- K42052145. Настройка автоматического завершения сеанса на основе имени файла, на который ссылается URI
- K12056: обзор параметра включения URI выхода
Итоги
На этом последнем шаге представлена разбивка конфигураций.
Выберите "Развернуть " для фиксации параметров и убедитесь, что приложение находится в списке клиентов корпоративных приложений.
Приложение опубликовано и доступно с помощью SHA либо с его URL-адресом, либо с помощью порталов приложений Майкрософт. Для повышения безопасности организации, использующие этот шаблон, могут блокировать прямой доступ к приложению. Это действие заставляет строгий путь через BIG-IP.
Следующие шаги
В браузере на портале Microsoft MyApps подключитесь к внешнему URL-адресу приложения или щелкните значок приложения. После проверки подлинности с помощью идентификатора Microsoft Entra вы будете перенаправлены на виртуальный сервер BIG-IP для приложения и войдете через единый вход.
На следующем снимке экрана приведены выходные данные внедренных заголовков в приложении на основе заголовков.
Для повышения безопасности организации, использующие этот шаблон, могут блокировать прямой доступ к приложению. Это действие заставляет строгий путь через BIG-IP.
Расширенное развертывание
Шаблоны управляемой конфигурации могут не быть гибкими для достижения конкретных требований.
В BIG-IP можно отключить строгий режим управления управляемой конфигурацией. Затем можно вручную изменить конфигурации, хотя основная часть конфигураций автоматически выполняется с помощью шаблонов на основе мастера.
Для конфигураций приложений можно перейти к интерактивной конфигурации access > и выбрать небольшой значок блокировки в правой части строки.
На этом этапе изменения с пользовательским интерфейсом мастера больше не возможны, но все объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для прямого управления.
Примечание.
Повторное включение строгого режима и развертывание конфигурации перезаписывает все параметры, выполняемые за пределами пользовательского интерфейса интерактивной конфигурации. Поэтому мы рекомендуем использовать метод расширенной конфигурации для служб в рабочей среде.
Устранение неполадок
Ведение журнала BIG-IP
Ведение журнала BIG-IP может помочь изолировать проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных.
Чтобы устранить неполадки, можно увеличить уровень детализации журнала.
- Перейдите к параметрам журналов >событий обзора политики > > доступа.
- Выберите строку опубликованного приложения, а затем измените > журналы системы доступа.
- В списке единого входа выберите "Отладка" и " ОК".
Воспроизвести проблему, а затем проверить журналы, но вернуть этот параметр после завершения. Подробный режим создает значительные объемы данных.
Страница ошибок BIG-IP
Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, возможно, проблема связана с единым входом из Идентификатора Microsoft Entra к BIG-IP.
- Перейдите к отчетам Access Overview > Access>.
- Запустите отчет за последний час и посмотрите, нет ли подсказок в журналах.
- Используйте ссылку "Переменные представления" для сеанса, чтобы понять, получает ли APM ожидаемые утверждения из идентификатора Microsoft Entra.
Внутренний запрос
Если нет страницы ошибок, проблема, вероятно, связана с внутренним запросом или единым входом из BIG-IP в приложение.
- Перейдите к обзору > активных сеансов политики > доступа и выберите ссылку для активного сеанса.
- Чтобы устранить проблему, используйте ссылку "Переменные представления", особенно если APM BIG-IP не получает правильные атрибуты из идентификатора Microsoft Entra или другого источника.
Проверка учетной записи службы APM
Чтобы проверить учетную запись службы APM для запросов LDAP, используйте следующую команду из оболочки Bash BIG-IP. Подтвердите проверку подлинности и запрос объекта пользователя.
ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"
Дополнительные сведения см. в статье F5 K11072: настройка удаленной проверки подлинности LDAP для Active Directory. Вы можете использовать таблицу ссылок BIG-IP для диагностики проблем, связанных с LDAP, в документе AskF5, запрос LDAP.