Configurar o Gerenciador de Política de Acesso BIG-IP da F5 para o SSO baseado em formulário

  • Artigo

Saiba como configurar o APM (Gerenciador de Política de Acesso) BIG-IP da F5 e o Microsoft Entra ID para obter SHA (acesso híbrido seguro) a aplicativos baseados em formulário. Os serviços publicados pelo BIG-IP para o SSO (logon único) do Microsoft Entra têm benefícios:

  • Melhor governança de Confiança Zero por meio da autenticação prévia e do acesso condicional do Microsoft Entra
  • SSO completo entre os serviços publicados do Microsoft Entra ID e do BIG-IP
  • Identidades gerenciadas e acesso de um painel de controle

Saiba mais:

Descrição do cenário

Nesse cenário, há um aplicativo herdado interno configurado para a autenticação baseada em formulário (FBA). O ideal é o Microsoft Entra gerenciar o acesso ao aplicativo, pois o herdado não possui protocolos de autenticação modernos. A modernização leva tempo e esforço, introduzindo o risco de tempo de inatividade. Em vez disso, impante um BIG-IP entre a internet pública e o aplicativo interno. Essa configuração recepciona o acesso de entrada ao aplicativo.

Com o BIG-IP protegendo o aplicativo, você pode sobrepor o serviço com a pré-autenticação do Microsoft Entra e o SSO baseado em cabeçalho. A sobreposição melhora a postura de segurança do aplicativo.

Arquitetura de cenário

A solução SHA tem os seguintes componentes:

  • Aplicativo – serviço publicado pelo BIG-IP protegido pelo SHA.
    • O aplicativo valida as credenciais do usuário no Active Directory
    • Use qualquer diretório, incluindo Serviços de Domínio do Active Directory Lightweight, código aberto e assim por diante
  • Microsoft Entra ID – Provedor de identidade (IdP) Security Assertion Markup Language (SAML) que verifica as credenciais do usuário, o Acesso Condicional e o SSO baseado em SAML para o BIG-IP.
    • Com o SSO, o Microsoft Entra fornece atributos para o BIG-IP, incluindo identificadores de usuário
  • BIG-IP – proxy reverso e provedor de serviços (SP) de SAML para o aplicativo.
    • O BIG-IP que delega a autenticação ao IdP do SAML executa o SSO baseado em cabeçalho para o aplicativo de back-end.
    • O SSO usa as credenciais do usuário armazenadas em cache em outros aplicativos de autenticação baseados em formulário

O SHA dá suporte a fluxos iniciados pelo IdP e SP. O diagrama a seguir demonstra o fluxo iniciado pelo SP.

Diagrama do fluxo iniciado pelo provedor de serviços.

  1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
  2. A política de acesso do APM do BIG-IP redireciona o usuário para o Microsoft Entra ID (IdP do SAML).
  3. O Microsoft Entra pré-autentica o usuário e aplica as políticas de Acesso Condicional impostas.
  4. O usuário é redirecionado para o BIG-IP (SP no SAML) e o SSO é executado usando o token SAML emitido.
  5. O BIG-IP solicita ao usuário uma senha do aplicativo e a armazena em cache.
  6. O BIG-IP envia uma solicitação ao aplicativo e recebe um formulário de logon.
  7. O script de APM preenche o nome de usuário e a senha, e depois envia o formulário.
  8. O servidor Web atende ao conteúdo do aplicativo e o envia ao cliente.

Pré-requisitos

Você precisa dos seguintes componentes:

Configuração do BIG-IP

A configuração neste artigo é uma implementação SHA flexível: criação manual de objetos de configuração BIG-IP. Use essa abordagem em cenários que não são cobertos por modelos de Configuração Guiada.

Observação

Substitua cadeias de caracteres ou valores de exemplo por aqueles do seu ambiente.

Registrar o F5 BIG-IP na ID do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

O registro de BIG-IP é a primeira etapa para o SSO entre entidades. O aplicativo que você criar a partir do modelo da galeria do BIG-IP do F5 será a terceira parte confiável que representará o SP do SAML para o aplicativo publicado pelo BIG-IP.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
  3. No menu Todos os aplicativos, selecione Novo aplicativo.
  4. O painel Procurar galeria do Microsoft Entra é aberto.
  5. Os blocos aparecem para plataformas de nuvem, aplicativos locais e aplicativos em destaque. Os ícones aplicativos em destaque indicam suporte de provisionamento SSO federado.
  6. Na galeria do Azure, pesquise F5.
  7. Selecione F5 BIG-IP APM Microsoft Entra ID integration.
  8. Inserir um Nome que o novo aplicativo usa para reconhecer a instância de aplicativo.
  9. Selecione Adicionar.
  10. Selecione Criar.

Habilitar o SSO para o BIG-IP F5

Configure o registro do BIG-IP para atender aos tokens SAML solicitados pelo APM do BIG-IP.

  1. No menu esquerdo, na seção Gerenciar, selecione Logon único.
  2. O painel Logon único aparece.
  3. Na página Selecionar um método de logon único, escolha SAML.
  4. Selecione Não. Salvarei mais tarde.
  5. No painel Configurar logon único com SAML, selecione o ícone da caneta.
  6. Para o Identificador, substitua o valor pela URL do aplicativo publicado pelo BIG-IP.
  7. Para URL de Resposta, substitua o valor, mas mantenha o caminho para o ponto de extremidade de SP de SAML do aplicativo. Com essa configuração, o fluxo de SAML opera em modo iniciado pelo IdP. O Microsoft Entra emitirá uma declaração SAML, depois o usuário será redirecionado ao ponto de extremidade do BIG-IP.
  8. No modo iniciado por SP, para URL de Logon, insira a URL do aplicativo.
  9. Para a URL de logoff, insira o ponto de extremidade de logoff único (SLO) do APM do BIG-IP anexado pelo cabeçalho de host de serviço. Em seguida, as sessões de usuário do APM do BIG-IP terminam quando cada usuário sai do Microsoft Entra ID.

Captura de tela das URLs na configuração do SAML.

Observação

A partir da v16 do TMOS (Traffic Management Operating System), o ponto de extremidade de SLO de SAML é /saml/sp/profile/redirect/slo.

  1. Clique em Salvar.
  2. Feche o painel de configuração do SAML.
  3. Ignore o prompt de teste de SSO.
  4. Observe as propriedades da seção Atributos e Declarações do Usuário. O Microsoft Entra ID emite propriedades para a autenticação de APM do BIG-IP e SSO para o aplicativo back-end.
  5. No painel Certificado de Autenticação SAML, selecione Baixar.
  6. O arquivo XML de Metadados de Federação é salvo em seu computador.

Captura de tela de uma opção Baixar em Certificado de Autenticação SAML.

Observação

Os certificados de autenticação SAML do Microsoft Entra têm um ciclo de vida de três anos.

Saiba mais: Tutorial: gerenciar certificados para o logon único federado

Atribuir usuários e grupos

O Microsoft Entra ID emite tokens a usuários cujo acesso a um aplicativo foi permitido. Para conceder acesso de usuários e grupos específicos aos aplicativos:

  1. No painel visão geral do aplicativo do F5 BIG-IP, selecione Atribuir usuários e grupos.
  2. Selecione Adicionar usuário/grupo.
  3. Selecione os usuários e grupos desejados.
  4. Selecione Atribuir.

Configuração avançada do BIG-IP

Use as instruções a seguir para configurar o BIG-IP.

Definir configurações do provedor de serviços SAML

As configurações SP do SAML definem as propriedades do SP do SAML que o APM usa para sobrepor o aplicativo herdado com a pré-autenticação do SAML. Para configurá-las:

  1. Selecione Provedor de Serviços SAML> de Federação>de Acesso.

  2. Selecione Serviços SP Locais.

  3. Selecione Criar.

    Captura de tela da opção Criar na guia Provedor de Serviços SAML.

  4. No painel Criar Serviço SP do SAML, em Nome e ID da Entidade, insira o nome e a ID da entidade definidos.

    Captura de tela dos campos de Nome e ID da Entidade em Criar Novo Serviço SP do SAML.

    Observação

    Os valores de Configurações de Nome SP serão necessários se a ID da entidade não corresponder à parte do nome do host da URL publicada. Ou valores serão necessários se a ID da entidade não estiver no formato de URL regular baseado no nome do host.

  5. Se a ID da entidade for urn:myvacation:contosoonline, insira o esquema externo do aplicativo e o nome do host.

Configurar um conector IdP externo

Um conector de IdP do SAML define as configurações para que o APM do BIG-IP confie no Microsoft Entra ID como o IdP do SAML. As configurações conectam o provedor de serviços SAML para um IdP do SAML, que estabelece a relação de confiança de federação entre o APM e o Microsoft Entra ID.

Para configurar o conector:

  1. Selecione o novo objeto do provedor de serviços SAML.

  2. Selecione Associar/Desassociar Conectores de IdP.

    Captura de tela da opção Associar/Desassociar Conectores IdP na guia Provedor de Serviços SAML.

  3. Na lista Criar novo conector de IDP, selecione dos metadados.

    Captura de tela da opção Dos metadados na lista suspensa Criar novo conector de IdP.

  4. No painel Criar Conector IdP SAML, procure o arquivo XML de Metadados de Federação que você baixou.

  5. Insira um Nome do Provedor de Identidade para o objeto APM que represente o IdP do SAML externo. Por exemplo, MyVacation_EntraID.

    Captura de tela dos campos Selecionar Arquivo e Nome de Provedor de Arquivos em Criar Conector IdP do SAML.

  6. Selecione Adicionar nova linha.

  7. Selecione o novo Conector IdP do SAML.

  8. Selecione Atualizar.

    Captura de tela da opção Atualizar.

  9. Selecione OK.

    Captura de tela da caixa de diálogo Editar IdPs do SAML que usam este SP.

Configurar SSO baseado em formulário

Crie um objeto de SSO do APM para SSO da FBA em aplicativos back-end.

Execute o SSO da FBA no modo iniciado pelo cliente ou no modo iniciado pelo BIG-IP. Ambos os métodos emulam uma entrada de usuário, injetando credenciais nas marcas de nome de usuário e de senha. O formulário é enviado. Os usuários fornecem a senha para acessar um aplicativo FBA. A senha é armazenada em cache e reutilizada para outros aplicativos FBA.

  1. Selecione Logon Único>de Acesso.

  2. Selecione Baseado em Formulário.

  3. Selecione Criar.

  4. Para o Nome: insira um nome descritivo. Por exemplo, Contoso\FBA\sso.

  5. Para Usar o modelo de SSO, selecione Nenhum.

  6. Para a Fonte do nome de usuário, insira a fonte do nome de usuário para preencher o formulário de coleção de senhas previamente. O padrão session.sso.token.last.username funciona bem, pois tem o upn (nome de entidade de usuário) do Microsoft Entra conectado.

  7. Para a Fonte de Senha, mantenha o padrão session.sso.token.last.password, a variável do APM que o BIG-IP usa para armazenar senhas de usuário em cache.

    Captura de tela das opções Nome e Usar Modelo de SSO em Nova Configuração de SSO.

  8. Para Iniciar o URI, insira o URI de logon do aplicativo FBA. Se o URI de solicitação corresponde a esse valor de URI, a autenticação baseada em formulário do APM executa o SSO.

  9. Para a Ação de Formulário, deixe-a em branco. Depois, a URL de solicitação original é usada no SSO.

  10. Para o Parâmetro de Formulário para Nome de Usuário, insira o elemento de campo de nome de usuário do formulário de entrada. Use as ferramentas para desenvolvedor de navegador para determinar o elemento.

  11. Para Parâmetro de Formulário para Senha, insira o elemento de campo de senha do formulário de entrada. Use as ferramentas para desenvolvedor de navegador para determinar o elemento.

Captura de tela dos campos Iniciar URI, Parâmetro de Formulário para Nome de Usuário e Parâmetro de Formulário para Senha.

Captura de tela da página de entrada com textos explicativos para os campos de nome de usuário e de senha.

Para saber mais, acesse techdocs.f5.com para Capítulo Manual: métodos de logon único.

Configurar o perfil de acesso

Um perfil de acesso associa os elementos do APM gerenciando o acesso a servidores virtuais do BIG-IP, incluindo políticas de acesso, configuração de SSO e configurações de interface do usuário.

  1. SelecionePerfis/Políticas>de Acesso.

  2. Selecione Perfis de Acesso (Políticas por Sessão).

  3. Selecione Criar.

  4. Insira um Nome.

  5. Em Tipo de Perfil: selecione Todos.

  6. Para Configuração de SSO: selecione o objeto de configuração de SSO da FBA que você criou.

  7. Para Idioma Aceito, selecione pelo menos um idioma.

    Captura de tela de opções e seleções em Perfis de Acesso por Políticas de Sessão, Novo Perfil.

  8. Na coluna Política por Sessão, para o perfil, selecione Editar.

  9. O Editor de Política Visual do APM é iniciado.

    Captura de tela da opção Editar na coluna Política por Sessão.

  10. Em fallback, selecione o sinal +.

Captura de tela da opção de sinal de adição do Editor de Política Visual do APM em fallback.

  1. No item pop-up, selecione Autenticação.
  2. Selecione Autenticação SAML.
  3. Selecione Adicionar Item.

Captura de tela da opção de autenticação SAML.

  1. No SP de autenticação SAML, altere o Nome para Autenticação do Microsoft Entra.
  2. Na lista suspensa Servidor AAA, insira o objeto do provedor de serviços SAML que você criou.

A captura de tela mostra as configurações do servidor de autenticação do Microsoft Entra.

  1. Na ramificação Êxito, selecione o sinal +.
  2. No item pop-up, selecione Autenticação.
  3. Selecione Página de Logon.
  4. Selecione Adicionar Item.

Captura de tela da opção Página de Logon na guia Logon.

  1. Para nome de usuário, na coluna Somente Leitura, selecione Sim.

Captura de tela da opção Sim na linha nome de usuário na guia Propriedades.

  1. Para o fallback da página de entrada, selecione o sinal +. Essa ação adiciona um objeto de mapeamento de credenciais de SSO.

  2. No item pop-up, selecione a guia Atribuição.

  3. Selecione Mapeamento de Credenciais de SSO.

  4. Selecione Adicionar Item.

    Captura de tela da opção Mapeamento de Credenciais de SSO na guia Atribuição.

  5. Em Atribuição de variável: mapeamento de credenciais de SSO, mantenha as configurações padrão.

  6. Clique em Salvar.

    Captura de tela da opção Salvar na guia Propriedades.

  7. Na caixa superior Negar, selecione o link.

  8. A ramificação Êxito muda para Permitir.

  9. Clique em Salvar.

(Opção) Configurar mapeamentos de atributo

Você pode adicionar uma configuração LogonID_Mapping. Depois, a lista de sessões ativas do BIG-IP tem o UPN do usuário conectado, não um número de sessão. Use essas informações para analisar logs ou solucionar problemas.

  1. Na ramificação Autenticação SAML com êxito, selecione o sinal +.

  2. No item pop-up, selecione Atribuição.

  3. Selecione Atribuição de Variável.

  4. Selecione Adicionar Item.

    Captura de tela da opção Atribuição de Variável na guia Atribuição.

  5. Na guia Propriedades, insira um Nome. Por exemplo, LogonID_Mapping.

  6. Em Atribuição de Variável, selecione Adicionar nova entrada.

  7. Selecione alterar.

    Captura de tela da opção Adicionar nova entrada e da opção alteração.

  8. Em Variável Personalizada, use session.logon.last.username.

  9. Para Variável de Sessão, usuário session.saml.last.identity.

  10. Selecione Concluído.

  11. Clique em Salvar.

  12. Selecione Aplicar Política de Acesso.

  13. Feche o Editor de Política Visual.

Captura de tela da política de acesso em Aplicar Política de Acesso.

Configurar um pool de back-end

Para habilitar o BIG-IP para encaminhar o tráfego do cliente de forma correta, crie um objeto de nó do BIG-IP que representa o servidor de back-end que hospeda o aplicativo. Em seguida, coloque esse nó em um pool de servidores do BIG-IP.

  1. SelecionePools de>Tráfego Local.

  2. Selecione Lista de Pools.

  3. Selecione Criar.

  4. Insira um Nome para um objeto de pool de servidores. Por exemplo, MyApps_VMs.

    Captura de tela do campo Nome em Novo Pool.

  5. Para Nome do Nó, insira um nome de exibição do servidor. Esse servidor hospeda o aplicativo Web de back-end.

  6. Em Endereço, insira o endereço IP do host do servidor de aplicativos.

  7. Para Porta de serviço: insira a porta HTTP/S por onde o aplicativo está escutando.

    Captura de tela dos campos Nome do Nó, Endereço e Porta de Serviço e a opção Adicionar.

    Observação

    Os monitores de integridade exigem configuração que este artigo não aborda. Acesse support.f5.com para K13397: visão geral de formatação da solicitação do monitor de integridade HTTP para o sistema DNS do BIG-IP.

Configurar um servidor Virtual

Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual. O servidor escuta solicitações do cliente para o aplicativo. Qualquer tráfego recebido é processado e avaliado em relação ao perfil de acesso do APM associado ao servidor virtual. O tráfego é direcionado de acordo com a política.

Para configurar um servidor virtual:

  1. Selecione Servidores Virtuais>de Tráfego Local.

  2. Selecione Lista de Servidores Virtuais.

  3. Selecione Criar.

  4. Insira um Nome.

  5. Para Endereço/Máscara de Destino, selecione Host e insira um endereço IPv4 ou IPv6. O endereço recebe o tráfego do cliente para o aplicativo de back-end publicado.

  6. Para Porta de Serviço, selecione Porta, insira 443 e selecione HTTPS.

    Captura de tela dos campos e opções Nome, Endereço de Destino e Porta de Serviço.

  7. Para Perfil HTTP (Cliente), selecione http.

  8. Para o Perfil de SSL do Cliente que você criou ou mantenha o padrão no teste. Essa opção permite que um servidor virtual do TLS (Transport Layer Security) publique serviços via HTTPS.

    Captura de tela das opções Cliente de Perfil HTTP e Cliente de Perfil SSL.

  9. Em Tradução de Endereço de Origem, selecione Mapeamento Automático.

    Captura de tela da seleção de Mapeamento Automático para Tradução de Endereço de Origem.

  10. Em Política de acesso, na caixa Perfil de acesso, insira o nome que você criou. Essa ação vincula o perfil de pré-autenticação SAML do Microsoft Entra e a política de SSO da FBA ao servidor virtual.

Captura de tela da entrada Perfil de Acesso em Política de Acesso.

  1. Em Recursos, para o Pool Padrão, selecione os objetos de pool de back-end que você criou.
  2. Selecione Concluído.

Captura de tela da opção Pool Padrão em Recursos.

Configurar as configurações de gerenciamento de sessão

As configurações de gerenciamento de sessão do BIG-IP define as condições de encerramento e continuação das sessões. Crie uma política nessa área.

  1. Acesse Política de Acesso.
  2. Selecione Perfis de acesso.
  3. Selecione Perfil de Acesso.
  4. Na lista, selecione seu aplicativo.

Se você definiu um valor de URI de logoff único no Microsoft Entra ID, uma saída iniciada por IdP do MyApps encerra a sessão do cliente e do APM do BIG-IP. O arquivo XML de metadados de federação do aplicativo importado fornece ao APM o ponto de extremidade do SAML do Microsoft Entra para a saída iniciada por SP. Garanta que o APM responda corretamente quando um usuário sai.

Se não houver portal da Web do BIG-IP, os usuários não poderão instruir o APM a sair. Se o usuário sair do aplicativo, o BIG-IP estará inativo. A sessão do aplicativo pode ser restabelecida por meio do SSO. Para a saída iniciada por SP, garanta que as sessões encerrem com segurança.

É possível adicionar uma função de SLO ao botão Sair do aplicativo. Essa função redireciona o cliente para o ponto de extremidade de saída do SAML do Microsoft Entra. Para localizar o ponto de extremidade de saída do SAML, acesse Pontos de extremidade> de registros de aplicativo.

Se não for possível alterar o aplicativo, ative o BIG-IP para escutar a chamada de saída do aplicativo e acionar o SLO.

Saiba mais:

Aplicativo publicado

Seu aplicativo é publicado e acessível com SHA com a URL do aplicativo ou portais da Microsoft.

O aplicativo aparece como um recurso de destino no Acesso Condicional. Saiba mais: Como criar uma política de Acesso Condicional.

Para aumentar a segurança, bloqueie o acesso direto ao aplicativo, impondo um caminho através do BIG-IP.

Teste

  1. Com um navegador, conecte-se ao URL externo do aplicativo ou, em Meus Aplicativos, selecione o ícone do aplicativo.

  2. Autentique-se no Microsoft Entra ID.

  3. Você será redirecionado para o ponto de extremidade do BIG-IP do aplicativo.

  4. O prompt de senha é exibido.

  5. O APM preenche o nome de usuário com o UPN do Microsoft Entra ID. O nome de usuário é somente leitura para consistência de sessão. Oculte este campo, se necessário.

    Captura de tela da página de entrada.

  6. As informações são enviadas.

  7. Você está conectado ao aplicativo.

    Captura de tela da Página inicial.

Solucionar problemas

Durante a solução de problemas, considere as seguintes informações:

  • O BIG-IP executa o SSO da FBA ao analisar o formulário de entrada no URI

    • O BIG-IP busca as marcas de elemento do nome de usuário e senha de sua configuração

  • Confirme se as marcas de elemento são consistentes ou o SSO falha

  • Formulários complexos gerados dinamicamente podem exigir que a análise da ferramenta de desenvolvimento entenda o formulário de entrada

  • A iniciação do cliente é melhor para páginas de entrada com vários formulários

    • Você pode especificar o nome do formulário e personalizar a lógica do manipulador de formulários JavaScript

  • Os métodos de SSO do FBA otimizam a experiência e a segurança do usuário ocultando interações de formulário:

    • Você pode validar se as credenciais são injetadas
    • No modo iniciado pelo cliente, desabilite o envio automático de formulário em seu perfil de SSO
    • Use as ferramentas de desenvolvedor para desabilitar as duas propriedades de estilo que impedem que a página de entrada apareça

    Captura de tela da Página de propriedades.

Aumentar o detalhamento de log

Os logs do BIG-IP contêm informações para isolar problemas de autenticação e de SSO. Para aumentar o nível de detalhamento do log:

  1. Acesse Visão geral>das Política de Acesso.
  2. Selecione Logs de Eventos.
  3. Selecione Configurações.
  4. Selecione a linha do aplicativo publicado.
  5. Selecione Editar.
  6. Selecione os Logs do Sistema de Acesso.
  7. Na lista de SSO, selecione Depurar.
  8. Selecione OK.
  9. Reproduza o problema.
  10. Analise os logs.

Reverta as configurações ou haverá excesso de dados.

Mensagem de erro do BIG-IP

Se um erro do BIG-IP for exibido após a pré-autenticação do Microsoft Entra, o problema poderá estar relacionado ao SSO do Microsoft Entra ID e do BIG-IP.

  1. Acesse Visão geral>de Acesso.
  2. Selecione Acessar relatórios.
  3. Execute o relatório da última hora.
  4. Analise os logs em busca de pistas.

Use o link Exibir variáveis da sessão para a sessão determinar se o APM recebe as declarações esperadas do Microsoft Entra.

Nenhuma mensagem de erro do BIG-IP

Se nenhuma mensagem de erro do BIG-IP for exibida, o problema pode estar relacionado à solicitação de back-end ou do BIG-IP para o SSO de aplicativo.

  1. Selecione Visão geral>da Política de Acesso.
  2. Selecione Sessões ativas.
  3. Clique no link da sessão ativa.

Usar o link Exibir variáveis neste local também ajuda a determinar a causa raiz, principalmente se o APM não conseguir obter o identificador de usuário e a senha corretos.

Para saber mais, acesse techdocs.f5.com para Capítulo Manual: variáveis de sessão.

Recursos