Integrowanie F5 BIG-IP z identyfikatorem Entra firmy Microsoft

Wraz ze wzrostem poziomu zagrożeń i użyciem wielu urządzeń przenośnych organizacje ponownie przemyśleją dostęp do zasobów i nadzór. Część programów modernizacji obejmuje ocenę gotowości między tożsamościami, urządzeniami, aplikacjami, infrastrukturą, siecią i danymi. Możesz dowiedzieć się więcej na temat platformy Zero Trust, aby umożliwić zdalną pracę i narzędzie Do oceny zerowej zaufania.

Transformacja cyfrowa to długoterminowa podróż, a potencjalnie krytyczne zasoby są narażone do czasu modernizacji. Celem F5 BIG-IP i Microsoft Entra ID bezpiecznego dostępu hybrydowego (SHA) jest zwiększenie dostępu zdalnego do aplikacji lokalnych i wzmocnienie stanu zabezpieczeń narażonych starszych usług.

Badania szacują, że 60%-80% aplikacji lokalnych jest starszych lub nie jest w stanie zintegrować z identyfikatorem Entra firmy Microsoft. To samo badanie wskazuje dużą część podobnych systemów działających w poprzednich wersjach systemów SAP, Oracle, SAGE i innych dobrze znanych obciążeń dla usług krytycznych.

Sha umożliwia organizacjom dalsze korzystanie z inwestycji w sieć F5 i dostarczanie aplikacji. Dzięki identyfikatorowi Entra firmy Microsoft algorytm SHA łączy lukę w płaszczyźnie kontroli tożsamości.

Świadczenia

Gdy identyfikator Entra firmy Microsoft wstępnie uwierzytelnia dostęp do opublikowanych usług BIG-IP, istnieje wiele korzyści:

• Uwierzytelnianie bez hasła przy użyciu:
  • Windows Hello for Business
  • Microsoft Authenticator
  • Klucze fast identity Online (FIDO)
  • Uwierzytelnianie oparte na certyfikatach

Inne korzyści obejmują:

• Jedna płaszczyzna sterowania do zarządzania tożsamościami i dostępem
  • Centrum administracyjne firmy Microsoft Entra
• Wstępny dostęp warunkowy
• Uwierzytelnianie wieloskładnikowe firmy Microsoft
• Adaptacyjna ochrona za pośrednictwem profilowania ryzyka związanego z użytkownikiem i sesją
  • Ochrona tożsamości Microsoft Entra
• Samoobsługowe resetowanie hasła (SSPR)
• Zarządzanie upoważnieniami dla zarządzanego dostępu gościa
  • Współpraca partnerów
• Odnajdywanie i kontrolowanie aplikacji
  • aplikacje Defender dla Chmury
• Monitorowanie zagrożeń i analiza za pomocą usługi Microsoft Sentinel

Opis scenariusza

Jako kontroler dostarczania aplikacji (ADC) i bezpieczna sieć prywatna warstwy gniazd (SSL-VPN), system BIG-IP zapewnia lokalny i zdalny dostęp do usług, w tym:

• Nowoczesne i starsze aplikacje internetowe
• Aplikacje nienależące do internetu
• Usługi interfejsu API (Representational State Transfer) i Simple Object Access Protocol (SOAP)

Usługa BIG-IP Local Traffic Manager (LTM) służy do bezpiecznego publikowania usługi, podczas gdy menedżer zasad dostępu (APM) rozszerza funkcje BIG-IP, które umożliwiają federację tożsamości i logowanie jednokrotne (SSO).

Dzięki integracji uzyskujesz przejście protokołu na bezpieczną starszą lub inną zintegrowaną usługę z kontrolkami, takimi jak:

• Uwierzytelnianie bez hasła
• Dostęp warunkowy

W tym scenariuszu big-IP jest zwrotnym serwerem proxy, który przekazuje wstępne uwierzytelnianie usługi i autoryzację do identyfikatora Entra firmy Microsoft. Integracja jest oparta na standardowym zaufaniu federacji między APM i Microsoft Entra ID. Ten scenariusz jest typowy w przypadku algorytmu SHA. Dowiedz się więcej: Konfigurowanie protokołu SSL-VPN protokołu F5 BIG-IP dla usługi Microsoft Entra SSO. Za pomocą algorytmu SHA można zabezpieczyć zasoby języka SAML (Security Assertion Markup Language), Open Authorization (OAuth) i OpenID Connect (OIDC).

Uwaga

W przypadku dostępu lokalnego i zdalnego adres BIG-IP może być punktem dławień dostępu Zero Trust do usług, w tym aplikacji saas (software as a service).

Na poniższym diagramie przedstawiono wymianę wstępnego uwierzytelniania frontonu między użytkownikiem, big-IP i identyfikatorem Entra firmy Microsoft w przepływie inicjowanym przez dostawcę usług. Następnie pokazuje kolejne wzbogacanie sesji APM i logowanie jednokrotne do poszczególnych usług zaplecza.

1. Użytkownicy wybierają ikonę aplikacji w portalu, rozpoznawanie adresu URL do dostawcy SAML SP (BIG-IP)
2. Big-IP przekierowuje użytkownika do dostawcy tożsamości SAML (IdP), identyfikatora Microsoft Entra w celu wstępnego uwierzytelniania
3. Microsoft Entra ID przetwarza zasady dostępu warunkowego i kontrole sesji na potrzeby autoryzacji
4. Użytkownicy wracają do big-IP i przedstawiają oświadczenia SAML wystawione przez identyfikator Firmy Microsoft Entra
5. Big-IP żąda informacji o sesji dla logowania jednokrotnego i kontroli dostępu opartej na rolach (RBAC) do opublikowanej usługi
6. Big-IP przekazuje żądanie klienta do usługi zaplecza

Środowisko użytkownika

Niezależnie od tego, czy pracownik, podmiot partnerski, czy konsument, większość użytkowników zna środowisko logowania usługi Office 365. Uzyskiwanie dostępu do usług BIG-IP jest podobne.

Użytkownicy mogą znaleźć swoje opublikowane usługi BIG-IP w portalu Moje aplikacje lub uruchamiania aplikacji platformy Microsoft 365 z funkcjami samoobsługi, niezależnie od urządzenia lub lokalizacji. Użytkownicy mogą nadal uzyskiwać dostęp do opublikowanych usług za pomocą portalu internetowego big-IP. Po wylogowaniu się użytkowników funkcja SHA zapewnia zakończenie sesji dla big-IP i identyfikatora Entra firmy Microsoft, co pomaga usługom zachować ochronę przed nieautoryzowanym dostępem.

Użytkownicy uzyskują dostęp do portalu Moje aplikacje, aby znaleźć opublikowane usługi BIG-IP i zarządzać ich właściwościami konta. Zobacz galerię i stronę na poniższej ilustracji.

Szczegółowe informacje i analiza

Możesz monitorować wdrożone wystąpienia BIG-IP, aby zapewnić wysoką dostępność opublikowanych usług na poziomie SHA i operacyjnie.

Istnieje kilka opcji rejestrowania zdarzeń lokalnie lub zdalnie za pomocą rozwiązania Do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), które umożliwia przechowywanie i przetwarzanie danych telemetrycznych. Aby monitorować działania microsoft Entra ID i SHA, możesz używać usług Azure Monitor i Microsoft Sentinel razem:

• Omówienie organizacji, potencjalnie w wielu chmurach i lokalizacjach lokalnych, w tym infrastruktury BIG-IP

• Jedna płaszczyzna sterowania z widokiem na sygnały, unikanie polegania na złożonych i różnych narzędziach

  

Wymagania wstępne dotyczące integracji

Do zaimplementowania algorytmu SHA nie trzeba korzystać z wcześniejszego doświadczenia ani wiedzy F5 BIG-IP, ale zalecamy zapoznanie się z terminologią F5 BIG-IP. Zobacz słownik usługi F5.

Zintegrowanie F5 BIG-IP z identyfikatorem Microsoft Entra ID dla algorytmu SHA ma następujące wymagania wstępne:

• Wystąpienie F5 BIG-IP uruchomione w:

  • Urządzenie fizyczne
  • Funkcja Hypervisor Virtual Edition, taka jak Microsoft Hyper-V, VMware ESXi, maszyna wirtualna oparta na jądrze systemu Linux (KVM) i Citrix Hypervisor
  • Cloud Virtual Edition, takie jak Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack i Google Cloud

  Uwaga

  Lokalizacja wystąpienia BIG-IP może być lokalna lub obsługiwana platforma w chmurze, w tym platforma Azure. Wystąpienie ma łączność z Internetem, publikowane zasoby i inne usługi.

• Aktywna licencja F5 BIG-IP APM:

  • F5 BIG-IP® Best bundle
  • Licencja autonomiczna programu F5 BIG-IP Access Policy Manager™
  • Licencja dodatku F5 BIG-IP Access Policy Manager™ (APM) na istniejącą licencję BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • 90-dniowa licencja próbna menedżera zasad™ dostępu BIG-IP (APM)

• Licencjonowanie identyfikatora Entra firmy Microsoft:

  • Bezpłatne konto platformy Azure ma minimalne wymagania podstawowe dotyczące algorytmu SHA z uwierzytelnianiem bez hasła
  • Subskrypcja Premium ma dostęp warunkowy, uwierzytelnianie wieloskładnikowe i Ochrona tożsamości Microsoft Entra

Scenariusze konfiguracji

Można skonfigurować duży adres IP dla algorytmu SHA przy użyciu opcji opartych na szablonach lub konfiguracji ręcznej. Poniższe samouczki zawierają wskazówki dotyczące implementowania bezpiecznego dostępu hybrydowego big-IP i microsoft Entra ID.

Konfiguracja zaawansowana

Zaawansowane podejście to elastyczny sposób implementowania algorytmu SHA. Ręcznie utworzysz wszystkie obiekty konfiguracji BIG-IP. Użyj tego podejścia dla scenariuszy, które nie są używane w szablonach konfiguracji z przewodnikiem.

Samouczki dotyczące konfiguracji zaawansowanej:

• Przewodnik wdrażania F5 BIG-IP na platformie Azure
• F5 BIG-IP SSL-VPN z usługą Microsoft Entra SHA
• Usługa Azure AD B2C chroni aplikacje przy użyciu protokołu F5 BIG-IP
• F5 BIG-IP APM i Microsoft Entra SSO do aplikacji Kerberos
• F5 BIG-IP APM i Microsoft Entra SSO do aplikacji opartych na nagłówkach
• F5 BIG-IP APM i Microsoft Entra SSO do aplikacji opartych na formularzach

Konfiguracja z przewodnikiem i szablony łatwych przycisków

Kreator konfiguracji z przewodnikiem BIG-IP w wersji 13.1 minimalizuje czas i nakład pracy w celu zaimplementowania typowych scenariuszy publikowania BIG-IP. Struktura przepływu pracy zapewnia intuicyjne środowisko wdrażania dla określonych topologii dostępu.

Konfiguracja z przewodnikiem w wersji 16.x ma funkcję Easy Button. Administratorzy nie są tam i z powrotem między identyfikatorem Entra firmy Microsoft i dużym adresem IP, aby włączyć usługi dla algorytmu SHA. Kreator konfiguracji z przewodnikiem APM i program Microsoft Graph obsługują wdrażanie i zarządzanie zasadami. Ta integracja między aplikacjami BIG-IP APM i Microsoft Entra ID zapewnia, że aplikacje obsługują federację tożsamości, logowanie jednokrotne i dostęp warunkowy firmy Microsoft Entra bez konieczności wykonywania tych czynności przez zarządzanie dla każdej aplikacji.

Samouczki dotyczące korzystania z szablonów easy Button, F5 BIG-IP Easy Button for SSO to:

• Aplikacje kerberos
• Aplikacje oparte na nagłówkach
• Aplikacje oparte na nagłówkach i Lightweight Directory Access Protocol (LDAP)
• Oracle Enterprise Business Suite (EBS)
• Oracle JD Edwards
• Oracle PeopleSoft
• Planowanie zasobów SAP Enterprise (ERP)

Microsoft Entra B2B — dostęp gościa

Dostęp gościa firmy Microsoft Entra B2B do aplikacji chronionych przy użyciu algorytmu SHA jest możliwy, ale może wymagać wykonania kroków, które nie są opisane w samouczkach. Przykładem jest logowanie jednokrotne Kerberos, gdy big-IP wykonuje ograniczone delegowanie kerberos (KCD) w celu uzyskania biletu usługi z kontrolerów domeny. Bez lokalnej reprezentacji lokalnego użytkownika-gościa kontroler domeny nie honoruje żądania, ponieważ nie ma żadnego użytkownika. Aby obsłużyć ten scenariusz, upewnij się, że tożsamości zewnętrzne są przepływane z dzierżawy firmy Microsoft Entra do katalogu używanego przez aplikację.

Dowiedz się więcej: Udzielanie użytkownikom B2B w usłudze Microsoft Entra ID dostępu do aplikacji lokalnych

Następne kroki

Możesz przeprowadzić weryfikację koncepcji (POC) dla algorytmu SHA przy użyciu infrastruktury BIG-IP lub przez wdrożenie maszyny wirtualnej BIG-IP Virtual Edition na platformie Azure. Wdrożenie maszyny wirtualnej na platformie Azure trwa około 30 minut. Wynik to:

• Zabezpieczona platforma do modelowania pilotażu dla algorytmu SHA
• Wystąpienie przedprodukcyjne do testowania nowych aktualizacji i poprawek systemu BIG-IP

Zidentyfikuj jedną lub dwie aplikacje do opublikowania przy użyciu protokołu BIG-IP i chronione za pomocą algorytmu SHA.

Naszym zaleceniem jest rozpoczęcie od aplikacji, która nie jest publikowana za pośrednictwem big-IP. Ta akcja pozwala uniknąć potencjalnych zakłóceń w usługach produkcyjnych. Wskazówki zawarte w tym artykule mogą pomóc w zapoznaniu się z procedurą tworzenia obiektów konfiguracji BIG-IP i konfigurowania algorytmu SHA. Następnie można przekonwertować opublikowane usługi BIG-IP na sha.

Zasoby

• Strategie bez hasła
• Bezpieczny dostęp hybrydowy identyfikatora Entra firmy Microsoft
• Platforma Microsoft Zero Trust umożliwiająca zdalną pracę
• Microsoft Sentinel