F5 BIG-IP integreren met Microsoft Entra ID

Met een toename van het bedreigingslandschap en het gebruik van meerdere mobiele apparaten herzien organisaties de toegang en governance van resources. Onderdeel van moderniseringsprogramma's zijn het beoordelen van uw gereedheid voor identiteiten, apparaten, apps, infrastructuur, netwerk en gegevens. U vindt meer informatie over het Zero Trust-framework om extern werk en het hulpprogramma Zero Trust Assessment in te schakelen.

Digitale transformatie is een langetermijntraject en potentieel kritieke resources worden beschikbaar gemaakt totdat ze zijn gemoderniseerd. Het doel van F5 BIG-IP en Microsoft Entra ID secure hybrid access (SHA) is het verbeteren van externe toegang tot on-premises toepassingen en het versterken van de beveiligingspostuur van kwetsbare verouderde services.

Onderzoek schat dat 60%-80% van de on-premises toepassingen verouderd zijn of niet kunnen worden geïntegreerd met Microsoft Entra ID. In dezelfde studie wordt aangegeven dat een groot deel van vergelijkbare systemen wordt uitgevoerd in eerdere versies van SAP, Oracle, SAGE en andere bekende workloads voor kritieke services.

MET SHA kunnen organisaties blijven investeren in F5-netwerk- en toepassingslevering. Met Microsoft Entra ID overbrugt SHA de kloof met het identiteitsbeheervlak.

Voordelen

Wanneer Microsoft Entra ID de toegang tot gepubliceerde BIG-IP-services vooraf controleert, zijn er veel voordelen:

• Verificatie zonder wachtwoord met:
  • Windows Hello voor Bedrijven
  • Microsoft Authenticator
  • Fido-sleutels (Fast Identity Online)
  • Verificatie op basis van certificaten

Andere voordelen zijn:

• Eén besturingsvlak om identiteit en toegang te beheren
  • Het Microsoft Entra-beheercentrum
• Preventieve voorwaardelijke toegang
• Meervoudige verificatie van Microsoft Entra
• Adaptieve beveiliging via profilering van gebruikers- en sessierisico's
  • Microsoft Entra ID Protection
• Selfservice voor wachtwoordherstel (SSPR)
• Rechtenbeheer voor beheerde gasttoegang
  • Samenwerking tussen partners
• App-detectie en -beheer
  • Defender voor Cloud-apps
• Bedreigingsbewaking en -analyse met Microsoft Sentinel

Beschrijving van scenario

Als ADC (Application Delivery Controller) en secure socket layer virtual private network (SSL-VPN) biedt een BIG-IP-systeem lokale en externe toegang tot services, waaronder:

• Moderne en verouderde webtoepassingen
• Niet-webtoepassingen
• REST-services (Representational State Transfer) en Simple Object Access Protocol (SOAP) Web Application Programming Interface (API)

BIG-IP Local Traffic Manager (LTM) is bedoeld voor het publiceren van beveiligde services, terwijl een Access Policy Manager (APM) BIG-IP-functies uitbreidt die identiteitsfederatie en eenmalige aanmelding (SSO) mogelijk maken.

Met integratie bereikt u de protocolovergang om verouderde of andere geïntegreerde services te beveiligen, met besturingselementen zoals:

• Verificatie zonder wachtwoord
• Voorwaardelijke toegang

In het scenario is een BIG-IP een omgekeerde proxy die preauthenticatie en autorisatie van de service aflevert voor Microsoft Entra-id. De integratie is gebaseerd op een standaardfederatievertrouwensrelatie tussen de APM- en Microsoft Entra-id. Dit scenario is gebruikelijk met SHA. Meer informatie: F5 BIG-IP SSL-VPN configureren voor eenmalige aanmelding van Microsoft Entra. Met SHA kunt u Security Assertion Markup Language (SAML), Open Authorization (OAuth) en OpenID Connect-resources (OIDC) beveiligen.

Notitie

Wanneer een BIG-IP wordt gebruikt voor lokale en externe toegang, kan een BIG-IP een stikpunt zijn voor Zero Trust-toegang tot services, waaronder SaaS-apps (Software as a Service).

In het volgende diagram ziet u de front-end vooraf verificatie-uitwisseling tussen een gebruiker, een BIG-IP en Microsoft Entra-id, in een door een serviceprovider geïnitieerde stroom (SP). Vervolgens worden de volgende APM-sessieverrijking en eenmalige aanmelding voor afzonderlijke back-endservices weergegeven.

1. Gebruikers selecteren een toepassingspictogram in de portal, waarbij URL naar de SAML SP (BIG-IP) wordt omgezet
2. BIG-IP leidt de gebruiker om naar de SAML-id-provider (IdP), Microsoft Entra-id, voor verificatie vooraf
3. Microsoft Entra ID verwerkt beleidsregels voor voorwaardelijke toegang en sessiebesturingselementen voor autorisatie
4. Gebruikers keren terug naar BIG-IP en presenteren de SAML-claims die zijn uitgegeven door Microsoft Entra-id
5. BIG-IP vraagt sessiegegevens aan voor SSO en op rollen gebaseerd toegangsbeheer (RBAC) voor de gepubliceerde service
6. BIG-IP stuurt de clientaanvraag door naar de back-endservice

Gebruikerservaring

Of een werknemer, partner of consument, de meeste gebruikers vertrouwd zijn met de aanmeldingservaring van Office 365. Toegang tot BIG-IP-services is vergelijkbaar.

Gebruikers kunnen hun gepubliceerde BIG-IP-services vinden in de Mijn apps-portal of het startprogramma voor Microsoft 365-apps met selfservicemogelijkheden, ongeacht het apparaat of de locatie. Gebruikers kunnen toegang blijven krijgen tot gepubliceerde services met de BIG-IP-webtopportal. Wanneer gebruikers zich afmelden, zorgt SHA ervoor dat sessies worden beëindigd voor BIG-IP en Microsoft Entra ID, zodat services beschermd blijven tegen onbevoegde toegang.

Gebruikers hebben toegang tot de Mijn apps-portal om gepubliceerde BIG-IP-services te vinden en hun accounteigenschappen te beheren. Zie de galerie en pagina in de volgende afbeelding.

Inzichten en analyses

U kunt geïmplementeerde BIG-IP-exemplaren bewaken om ervoor te zorgen dat gepubliceerde services maximaal beschikbaar zijn, op SHA-niveau en operationeel.

Er zijn verschillende opties voor het lokaal vastleggen van gebeurtenissen of extern via een SIEM-oplossing (Security Information and Event Management), waarmee opslag- en telemetrieverwerking mogelijk is. Als u de Activiteiten van Microsoft Entra ID en SHA wilt bewaken, kunt u Azure Monitor en Microsoft Sentinel samen gebruiken:

• Overzicht van uw organisatie, mogelijk in meerdere clouds en on-premises locaties, waaronder BIG-IP-infrastructuur

• Eén besturingsvlak met weergave van signalen, het vermijden van afhankelijkheid van complexe en verschillende hulpprogramma's

  

Integratievereisten

Er is geen eerdere ervaring of F5 BIG-IP-kennis nodig om SHA te implementeren, maar we raden u aan enige F5 BIG-IP-terminologie te leren. Zie de woordenlijst van de F5-service.

De integratie van een F5 BIG-IP met Microsoft Entra ID voor SHA heeft de volgende vereisten:

• Een F5 BIG-IP-exemplaar dat wordt uitgevoerd op:

  • Fysiek apparaat
  • Hypervisor Virtual Edition, zoals Microsoft Hyper-V, VMware ESXi, virtuele Linux-machine (KVM) en Citrix Hypervisor
  • Cloud Virtual Edition zoals Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack en Google Cloud

  Notitie

  De locatie van het BIG-IP-exemplaar kan on-premises zijn of een ondersteund cloudplatform, waaronder Azure. Het exemplaar heeft een internetverbinding, resources die worden gepubliceerd en andere services.

• Een actieve F5 BIG-IP APM-licentie:

  • F5 BIG-IP® Beste bundel
  • Zelfstandige licentie voor F5 BIG-IP Access Policy Manager™
  • F5 BIG-IP Access Policy Manager™ (APM) invoegtoepassingslicentie voor een bestaande BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Een proefversie van 90 dagen BIG-IP Access Policy Manager™ (APM)

• Microsoft Entra ID-licentieverlening:

  • Een gratis Azure-account heeft minimale kernvereisten voor SHA met verificatie zonder wachtwoord
  • Een Premium-abonnement heeft voorwaardelijke toegang, meervoudige verificatie en Microsoft Entra ID Protection

Configuratiescenario's

U kunt een BIG-IP configureren voor SHA met opties op basis van sjablonen of een handmatige configuratie. De volgende zelfstudies bevatten richtlijnen voor het implementeren van hybride toegang tot BIG-IP en Microsoft Entra ID.

Geavanceerde configuratie

De geavanceerde benadering is een flexibele manier om SHA te implementeren. U maakt handmatig alle BIG-IP-configuratieobjecten. Gebruik deze methode voor scenario's die niet in begeleide configuratiesjablonen worden gebruikt.

Zelfstudies voor geavanceerde configuratie:

• Overzicht van F5 BIG-IP in Azure-implementatie
• F5 BIG-IP SSL-VPN met Microsoft Entra SHA
• Azure AD B2C beveiligt toepassingen met F5 BIG-IP
• F5 BIG-IP APM en Microsoft Entra SSO naar Kerberos-toepassingen
• F5 BIG-IP APM en Microsoft Entra SSO voor op header gebaseerde toepassingen
• F5 BIG-IP APM en Microsoft Entra SSO voor op formulieren gebaseerde toepassingen

Sjablonen voor begeleide configuratie en eenvoudige knoppen

De wizard Begeleide configuratie van BIG-IP versie 13.1 minimaliseert tijd en moeite om algemene BIG-IP-publicatiescenario's te implementeren. Het werkstroomframework biedt een intuïtieve implementatie-ervaring voor specifieke toegangstopologieën.

Begeleide configuratieversie 16.x heeft de functie Easy Button. Beheerders schakelen niet heen en weer tussen Microsoft Entra ID en een BIG-IP om services voor SHA in te schakelen. De wizard Begeleide configuratie van APM en Microsoft Graph verwerken implementatie en beleidsbeheer. Deze integratie tussen BIG-IP APM en Microsoft Entra ID zorgt ervoor dat toepassingen identiteitsfederatie, eenmalige aanmelding en voorwaardelijke toegang van Microsoft Entra ondersteunen, zonder dat hiervoor beheeroverhead voor elke app hoeft te worden gebruikt.

Zelfstudies voor het gebruik van Easy Button-sjablonen, F5 BIG-IP Easy Button voor eenmalige aanmelding voor:

• Kerberos-toepassingen
• Op headers gebaseerde toepassingen
• LDAP-toepassingen (Header-based and Lightweight Directory Access Protocol)
• Oracle Enterprise Business Suite (EBS)
• Oracle JD Edwards
• Oracle PeopleSoft
• SAP Enterprise Resource Planning (ERP)

Gasttoegang van Microsoft Entra B2B

Microsoft Entra B2B-gasttoegang tot met SHA beveiligde toepassingen is mogelijk, maar vereist mogelijk geen stappen in de zelfstudies. Een voorbeeld hiervan is Kerberos SSO, wanneer een BIG-IP kerberos-beperkte delegatie (KCD) uitvoert om een serviceticket van domeincontrollers te verkrijgen. Zonder een lokale weergave van een lokale gastgebruiker wordt de aanvraag niet door een domeincontroller uitgevoerd omdat er geen gebruiker is. Ter ondersteuning van dit scenario moet u ervoor zorgen dat externe identiteiten worden gestroomd van uw Microsoft Entra-tenant naar de map die door de toepassing wordt gebruikt.

Meer informatie: B2B-gebruikers in Microsoft Entra ID toegang verlenen tot uw on-premises toepassingen

Volgende stappen

U kunt een proof-of-concept (POC) voor SHA uitvoeren met behulp van uw BIG-IP-infrastructuur of door een virtuele BIG-IP-machine in Azure te implementeren. Het duurt ongeveer 30 minuten om een virtuele machine (VM) in Azure te implementeren. Het resultaat is:

• Een beveiligd platform voor het modelleren van een pilot voor SHA
• Een preproductie-exemplaar om nieuwe BIG-IP-systeemupdates en hotfixes te testen

Identificeer een of twee toepassingen die moeten worden gepubliceerd met BIG-IP en beveiligd met SHA.

We raden u aan om te beginnen met een toepassing die niet is gepubliceerd via een BIG-IP. Deze actie voorkomt potentiële onderbreking van productieservices. De richtlijnen in dit artikel kunnen u helpen meer te weten te komen over de procedure voor het maken van BIG-IP-configuratieobjecten en het instellen van SHA. Vervolgens kunt u gepubliceerde BIG-IP-services converteren naar SHA.

Weg

• Strategieën zonder wachtwoord
• Beveiligde hybride toegang met Microsoft Entra ID
• Microsoft Zero Trust Framework om extern werk in te schakelen
• Microsoft Sentinel