Integrowanie F5 BIG-IP z identyfikatorem Entra firmy Microsoft

Wraz ze wzrostem poziomu zagrożeń i użyciem wielu urządzeń przenośnych organizacje ponownie przemyśleją dostęp do zasobów i nadzór. Część programów modernizacji obejmuje ocenę gotowości między tożsamościami, urządzeniami, aplikacjami, infrastrukturą, siecią i danymi. Możesz dowiedzieć się więcej na temat platformy Zero Trust, aby umożliwić zdalną pracę i narzędzie Do oceny zerowej zaufania.

W firmie Microsoft i F5 zdajemy sobie sprawę, że transformacja cyfrowa jest długotrwałą podróżą, potencjalnie krytycznymi zasobami są narażone do czasu modernizacji. Celem F5 BIG-IP i Microsoft Entra ID bezpiecznego dostępu hybrydowego (SHA) jest zwiększenie dostępu zdalnego do aplikacji lokalnych i wzmocnienie stanu zabezpieczeń narażonych starszych usług.

Badania szacują, że 60%-80% aplikacji lokalnych jest starszych lub nie jest w stanie zintegrować z identyfikatorem Entra firmy Microsoft. To samo badanie wskazuje dużą część podobnych systemów działających w poprzednich wersjach systemów SAP, Oracle, SAGE i innych dobrze znanych obciążeń dla usług krytycznych.

Sha umożliwia organizacjom dalsze korzystanie z inwestycji w sieć F5 i dostarczanie aplikacji. Dzięki identyfikatorowi Entra firmy Microsoft algorytm SHA łączy lukę w płaszczyźnie kontroli tożsamości.

Świadczenia

Gdy identyfikator Entra firmy Microsoft wstępnie uwierzytelnia dostęp do opublikowanych usług BIG-IP, istnieje wiele korzyści:

• Uwierzytelnianie bez hasła przy użyciu:
  • Windows Hello
  • MS Authenticator
  • Klucze fast identity Online (FIDO)
  • Uwierzytelnianie oparte na certyfikatach

Inne korzyści obejmują:

• Jedna płaszczyzna sterowania do zarządzania tożsamościami i dostępem
  • Centrum administracyjne firmy Microsoft Entra
• Wstępny dostęp warunkowy
• Uwierzytelnianie wieloskładnikowe firmy Microsoft
• Adaptacyjna ochrona za pośrednictwem profilowania ryzyka związanego z użytkownikiem i sesją
  • Identity Protection
• Wykrywanie ujawnionych poświadczeń
• Samoobsługowe resetowanie hasła (SSPR)
• Zarządzanie upoważnieniami dla zarządzanego dostępu gościa
  • Współpraca partnerów
• Odnajdywanie i kontrolowanie aplikacji
  • aplikacje Defender dla Chmury (CASB)
• Monitorowanie zagrożeń i analiza za pomocą usługi Microsoft Sentinel

Opis scenariusza

Jako kontroler dostarczania aplikacji (ADC) i bezpieczna sieć prywatna warstwy gniazd (SSL-VPN), system BIG-IP zapewnia lokalny i zdalny dostęp do usług, w tym:

• Nowoczesne i starsze aplikacje internetowe
• Aplikacje nienależące do internetu
• Usługi interfejsu API (Representational State Transfer) i Simple Object Access Protocol (SOAP)

Usługa BIG-IP Local Traffic Manager (LTM) służy do bezpiecznego publikowania usługi, podczas gdy menedżer zasad dostępu (APM) rozszerza funkcje BIG-IP, które umożliwiają federację tożsamości i logowanie jednokrotne (SSO).

Dzięki integracji można osiągnąć przejście protokołu do bezpiecznego starszej wersji lub usług zintegrowanych z usługą Azure AD z kontrolkami takimi jak:

• Uwierzytelnianie bez hasła
• Dostęp warunkowy

W tym scenariuszu big-IP jest zwrotnym serwerem proxy, który przekazuje uwierzytelnianie przed usługą i autoryzację do identyfikatora Entra firmy Microsoft. Integracja jest oparta na standardowym zaufaniu federacji między APM i Microsoft Entra ID. Ten scenariusz jest typowy w przypadku algorytmu SHA. Dowiedz się więcej: Konfigurowanie protokołu SSL-VPN protokołu F5 BIG-IP dla usługi Microsoft Entra SSO. Za pomocą algorytmu SHA można zabezpieczyć zasoby języka SAML (Security Assertion Markup Language), Open Authorization (OAuth) i OpenID Połączenie (OIDC).

Uwaga

W przypadku dostępu lokalnego i zdalnego adres BIG-IP może być punktem dławień dostępu Zero Trust do usług, w tym aplikacji saas (software as a service).

Na poniższym diagramie przedstawiono wymianę przed uwierzytelnienia frontonu między użytkownikiem, dużym adresem IP i identyfikatorem Entra firmy Microsoft w przepływie inicjowanym przez dostawcę usług. Następnie pokazuje kolejne wzbogacanie sesji APM i logowanie jednokrotne do poszczególnych usług zaplecza.

1. W portalu użytkownik wybiera ikonę aplikacji, rozpoznając adres URL do dostawcy SAML SP (BIG-IP)
2. Big-IP przekierowuje użytkownika do dostawcy tożsamości SAML (IdP), identyfikatora Entra firmy Microsoft na potrzeby wstępnego uwierzytelniania
3. Microsoft Entra ID przetwarza zasady dostępu warunkowego i kontrole sesji na potrzeby autoryzacji
4. Użytkownik wraca do adresu BIG-IP i przedstawia oświadczenia SAML wystawione przez identyfikator Firmy Microsoft Entra
5. Big-IP żąda informacji o sesji dla logowania jednokrotnego i kontroli dostępu opartej na rolach (RBAC) do opublikowanej usługi
6. Big-IP przekazuje żądanie klienta do usługi zaplecza

Środowisko użytkownika

Niezależnie od tego, czy pracownik, podmiot partnerski, czy konsument, większość użytkowników zna środowisko logowania usługi Office 365. Uzyskiwanie dostępu do usług BIG-IP jest podobne.

Użytkownicy mogą znaleźć swoje opublikowane usługi BIG-IP w portalu Moje aplikacje lub uruchamiania aplikacji platformy Microsoft 365 z funkcjami samoobsługi, niezależnie od urządzenia lub lokalizacji. Użytkownicy mogą nadal uzyskiwać dostęp do opublikowanych usług za pomocą portalu internetowego big-IP. Po wylogowaniu się użytkowników funkcja SHA zapewnia zakończenie sesji dla big-IP i identyfikatora Entra firmy Microsoft, co pomaga usługom zachować ochronę przed nieautoryzowanym dostępem.

Użytkownicy uzyskują dostęp do portalu Moje aplikacje, aby znaleźć opublikowane usługi BIG-IP i zarządzać ich właściwościami konta. Zobacz galerię i stronę samoobsługową w poniższej grafice.

Szczegółowe informacje i analiza

Możesz monitorować wdrożone wystąpienia BIG-IP, aby zapewnić wysoką dostępność opublikowanych usług na poziomie SHA i operacyjnie.

Istnieje kilka opcji rejestrowania zdarzeń lokalnie lub zdalnie za pomocą rozwiązania Do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), które umożliwia przechowywanie i przetwarzanie danych telemetrycznych. Aby monitorować działania microsoft Entra ID i SHA, możesz używać usług Azure Monitor i Microsoft Sentinel razem:

• Omówienie organizacji, potencjalnie w wielu chmurach i lokalizacjach lokalnych, w tym infrastruktury BIG-IP

• Jedna płaszczyzna sterowania z widokiem na sygnały, unikanie polegania na złożonych i różnych narzędziach

  

Wymagania wstępne dotyczące integracji

Do zaimplementowania algorytmu SHA nie trzeba korzystać z wcześniejszego doświadczenia ani wiedzy F5 BIG-IP, ale zalecamy zapoznanie się z terminologią F5 BIG-IP. Zobacz słownik usługi F5.

Zintegrowanie F5 BIG-IP z identyfikatorem Microsoft Entra ID dla algorytmu SHA ma następujące wymagania wstępne:

• Wystąpienie F5 BIG-IP uruchomione w:
  • Urządzenie fizyczne
  • Funkcja Hypervisor Virtual Edition, taka jak Microsoft Hyper-V, VMware ESXi, Linux KVM i Citrix Hypervisor
  • Cloud Virtual Edition, takie jak Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack i Google Cloud

Uwaga

Lokalizacja wystąpienia BIG-IP może być lokalna lub obsługiwana platforma w chmurze, w tym platforma Azure. Wystąpienie ma łączność z Internetem, publikowane zasoby i wszystkie usługi, takie jak Active Directory.

• Aktywna licencja F5 BIG-IP APM:
  • F5 BIG-IP® Best bundle
  • Licencja autonomiczna programu F5 BIG-IP Access Policy Manager™
  • Licencja dodatku F5 BIG-IP Access Policy Manager™ (APM) na istniejącą licencję BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • 90-dniowa licencja próbna menedżera zasad™ dostępu BIG-IP (APM)
• Licencjonowanie identyfikatora Entra firmy Microsoft:
  • Bezpłatne konto platformy Azure ma minimalne wymagania podstawowe dotyczące algorytmu SHA z uwierzytelnianiem bez hasła
  • Subskrypcja Premium ma dostęp warunkowy, uwierzytelnianie wieloskładnikowe i usługę Identity Protection

Scenariusze konfiguracji

Można skonfigurować duży adres IP dla algorytmu SHA przy użyciu opcji opartych na szablonach lub konfiguracji ręcznej. Poniższe samouczki zawierają wskazówki dotyczące implementowania bezpiecznego dostępu hybrydowego big-IP i microsoft Entra ID.

Konfiguracja zaawansowana

Zaawansowane podejście to elastyczny sposób implementowania algorytmu SHA. Ręcznie utworzysz wszystkie obiekty konfiguracji BIG-IP. Użyj tego podejścia dla scenariuszy, które nie są używane w szablonach konfiguracji z przewodnikiem.

Samouczki dotyczące konfiguracji zaawansowanej:

• Przewodnik wdrażania F5 BIG-IP na platformie Azure

• Zabezpieczanie protokołu F5 BIG-IP SSL-VPN przy użyciu protokołu MICROSOFT Entra SHA

• Rozszerzanie usługi Azure AD B2C w celu ochrony aplikacji przy użyciu protokołu F5 BIG-IP

• F5 BIG-IP APM i Microsoft Entra SSO do aplikacji Kerberos

• F5 BIG-IP APM i Microsoft Entra SSO do aplikacji opartych na nagłówkach

• F5 BIG-IP APM i Microsoft Entra SSO do aplikacji opartych na formularzach

Konfiguracja z przewodnikiem i szablony łatwych przycisków

Kreator konfiguracji z przewodnikiem BIG-IP w wersji 13.1 minimalizuje czas i nakład pracy w celu zaimplementowania typowych scenariuszy publikowania BIG-IP. Struktura przepływu pracy zapewnia intuicyjne środowisko wdrażania dla określonych topologii dostępu.

Konfiguracja z przewodnikiem w wersji 16.x ma funkcję Przycisku łatwego: administratorzy nie przechodzą już tam i z powrotem między identyfikatorem Microsoft Entra ID i big-IP, aby włączyć usługi dla algorytmu SHA. Kompleksowe wdrażanie i zarządzanie zasadami jest obsługiwane przez kreatora konfiguracji z przewodnikiem APM i programu Microsoft Graph. Ta integracja między aplikacjami BIG-IP APM i Microsoft Entra ID zapewnia, że aplikacje obsługują federację tożsamości, logowanie jednokrotne i dostęp warunkowy firmy Microsoft Entra bez konieczności wykonywania tych czynności przez zarządzanie dla każdej aplikacji.

Samouczki dotyczące korzystania z szablonów easy Button, F5 BIG-IP Easy Button for SSO to:

• Aplikacje kerberos

• Aplikacje oparte na nagłówkach

• Aplikacje oparte na nagłówkach i LDAP

• Oracle EBS (Enterprise Business Suite)

• Oracle JD Edwards

• Oracle Osoby Soft

• SAP ERP

Microsoft Entra B2B — dostęp gościa

Dostęp gościa firmy Microsoft Entra B2B do aplikacji chronionych przy użyciu algorytmu SHA jest możliwy, ale może wymagać wykonania kroków, które nie są opisane w samouczkach. Przykładem jest logowanie jednokrotne Kerberos, gdy big-IP wykonuje ograniczone delegowanie kerberos (KCD) w celu uzyskania biletu usługi z kontrolerów domeny. Bez lokalnej reprezentacji lokalnego użytkownika-gościa kontroler domeny nie będzie honorować żądania, ponieważ nie ma żadnego użytkownika. Aby obsłużyć ten scenariusz, upewnij się, że tożsamości zewnętrzne są przepływane z dzierżawy firmy Microsoft Entra do katalogu używanego przez aplikację.

Dowiedz się więcej: Udzielanie użytkownikom B2B w usłudze Microsoft Entra ID dostępu do aplikacji lokalnych

Następne kroki

Możesz przeprowadzić weryfikację koncepcji algorytmu SHA przy użyciu infrastruktury BIG-IP lub wdrożyć maszynę wirtualną BIG-IP Virtual Edition (VE) na platformie Azure. Aby wdrożyć maszynę wirtualną na platformie Azure trwa około 30 minut, będziesz mieć następujące elementy:

• Zabezpieczona platforma do modelowania pilotażu dla algorytmu SHA
• Wystąpienie przedprodukcyjne do testowania nowych aktualizacji i poprawek systemu BIG-IP

Zidentyfikuj jedną lub dwie aplikacje do opublikowania przy użyciu protokołu BIG-IP i chronione za pomocą algorytmu SHA.

Naszym zaleceniem jest rozpoczęcie od aplikacji, która nie jest publikowana za pośrednictwem big-IP. Ta akcja pozwala uniknąć potencjalnych zakłóceń w usługach produkcyjnych. Wskazówki zawarte w tym artykule mogą pomóc w zapoznaniu się z procedurą tworzenia obiektów konfiguracji BIG-IP i konfigurowania algorytmu SHA. Następnie można przekonwertować opublikowane usługi BIG-IP na algorytm SHA przy minimalnym nakładzie pracy.

Poniższy interaktywny przewodnik ilustruje implementowanie algorytmu SHA za pomocą szablonu i środowiska użytkownika końcowego.

Zasoby

• Koniec haseł, przejdź bez hasła
• Bezpieczny dostęp hybrydowy identyfikatora Entra firmy Microsoft
• Platforma Microsoft Zero Trust umożliwiająca zdalną pracę
• Wprowadzenie do usługi Microsoft Sentinel