Tutorial: configurar o F5 BIG-IP Easy Button para SSO baseado em cabeçalho

Saiba como proteger os aplicativos baseados em cabeçalho com o Microsoft Entra ID, por meio da Configuração Guiada do F5 BIG-IP Easy Button v16.1.

A integração da BIG-IP com o Microsoft Entra ID oferece muitos benefícios importantes, incluindo:

• Melhor governança de Confiança Zero por meio da autenticação prévia e do acesso condicional do Microsoft Entra
  • Consulte, O que é Acesso Condicional?
  • Confira, segurança de Confiança Zero
• SSO completo entre os serviços publicados do Microsoft Entra ID e do BIG-IP
• Identidades gerenciadas e acesso de um painel de controle
  • Consulte, o centro de administração do Microsoft Entra

Saiba mais:

• Integrar o F5 BIG-IP ao Microsoft Entra ID
• Habilitar SSO para um aplicativo empresarial

Descrição do cenário

Este cenário abrange o aplicativo herdado que usa cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido. O herdado não possui protocolos modernos para dar suporte à integração direta com o Microsoft Entra ID. A modernização tem alto custo, é demorada e apresenta risco de tempo de inatividade. Como alternativa, use um Controlador de Entrega de Aplicativos (ADC) do F5 BIG-IP para preencher a lacuna entre o aplicativo herdado e o plano de controle de ID moderno, com transição de protocolo.

Um BIG-IP na frente do aplicativo permite a sobreposição do serviço com a pré-autenticação do Microsoft Entra e SSO baseado em cabeçalhos. Essa configuração melhora a postura geral de segurança do aplicativo.

Observação

As organizações podem ter acesso remoto a esse tipo de aplicativo com o proxy de aplicativo do Microsoft Entra. Saiba mais: acesso remoto a aplicativos locais por meio do proxy de aplicativo do Microsoft Entra

Arquitetura de cenário

A solução SHA contém:

• Aplicativo - Serviço publicado pelo BIG-IP protegido por Microsoft Entra SHA
• Microsoft Entra ID - Provedor de identidade (IdP) Security Assertion Markup Language (SAML) que verifica as credenciais do usuário, o Acesso Condicional e o SSO baseado em SAML para o BIG-IP. Com o SSO, o Microsoft Entra ID fornece o BIG-IP com atributos de sessão.
• BIG-IP - proxy reverso e provedor de serviços do SAML (SP) para o aplicativo, delegando autenticação ao IdP do SAML antes de executar o SSO baseado em cabeçalho para o aplicativo de back-end.

Nesse cenário, o SHA dá suporte a fluxos iniciados pelo SP e pelo IdP. O diagrama a seguir ilustra o fluxo iniciado pelo SP.

1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
2. A política de acesso do APM do BIG-IP redireciona o usuário para a ID do Microsoft Entra (IdP do SAML).
3. O Microsoft Entra autentica o usuário previamente e aplica as políticas de acesso condicional.
4. O usuário é redirecionado para o BIG-IP (SP do SAML) e o SSO ocorre usando o token SAML emitido.
5. O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos na solicitação do aplicativo.
6. O aplicativo autoriza a solicitação e retorna o conteúdo.

Pré-requisitos

Para o cenário você precisa:

• Uma assinatura do Azure
  • Se não tiver uma, obtenha uma conta gratuita do Azure
• Uma das seguintes funções: Administrador Global, Administrador de Aplicativos de Nuvem ou Administrador de Aplicativos
• Um BIG-IP ou implantar uma VE (Virtual Edition) do BIG-IP no Azure
  • Confira Implantar máquina virtual BIG-IP Virtual Edition da F5 no Azure
• Qualquer uma das seguintes licenças de F5 BIG-IP:
  • Pacote F5 BIG-IP® Best
  • Licença autônoma do BIG-IP Access Policy Manager™ (APM) da F5
  • Licença de complemento do F5 BIG-IP APM (Access Policy Manager™) em um LTM (Local Traffic Manager™) BIG-IP® do BIG-IP F5
  • Avaliação completa de 90 dias do BIG-IP. Confira Avaliações Gratuitas
• Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID
  • Confira sincronização do Microsoft Entra Connect: entender e personalizar a sincronização
• Um certificado Web SSL é necessário para publicar serviços em HTTPS, ou você pode usar os certificados BIG-IP padrão para testes
  • Confira perfil SSL
• Um aplicativo baseado em cabeçalho ou configurar um aplicativo de cabeçalho IIS para teste
  • Confira Configurar um aplicativo de cabeçalho IIS

Configuração do BIG-IP

Este tutorial usa a Configuração Guiada v16.1 com um modelo do Easy Button. Com o Easy Button, os administradores simplificam a habilitação dos serviços SHA. O assistente de Configuração Guiada e o Microsoft Graph lidam com a implantação e o gerenciamento de políticas. A integração do BIG-IP APM e do Microsoft Entra garante que os aplicativos suportem a federação de identidade, SSO e Acesso Condicional.

Observação

Substitua cadeias de caracteres ou valores de exemplo por aqueles em seu ambiente.

Registrar botão fácil

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Antes que um cliente ou serviço acesse o Microsoft Graph, a plataforma de identidade da Microsoft precisa confiar nele.

Saiba mais: Início Rápido: registrar um aplicativo na plataforma de identidade da Microsoft.

Crie um registro do aplicativo de locatário para autorizar o acesso do Easy Button ao Graph. Com essas permissões, o BIG-IP envia as configurações por push para estabelecer uma relação de confiança entre uma instância do SP do SAML do aplicativo publicado e a ID do Microsoft Entra como o IdP do SAML.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Registros de aplicativo>Novo registro.

3. Em Gerenciar, selecione Registros de aplicativo > Novo registro.

4. Insira o Nome de um aplicativo.

5. Especifique quem usa o aplicativo.

6. Escolha Somente contas neste diretório organizacional.

7. Selecione Registrar.

8. Navegue até Permissões de API.

9. Autorize as seguintes Permissões de aplicativo do Microsoft Graph:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy. Read. All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

10. Dar consentimento do administrador para sua organização.

11. Em Certificados e Segredos, gere um novo segredo do cliente. Anote o Segredo do Cliente.

12. Em Visão geral, anote a ID do Cliente e a ID do Locatário.

Configurar botão fácil

1. Inicie a Configuração Guiada do APM.

2. Inicie o modelo Easy Button.

3. Navegue até Acesso > Configuração Guiada.

4. Selecione Integração da Microsoft

5. Selecione Aplicativo do Microsoft Entra.

6. Examine as etapas de configuração.

7. Selecione Avançar.

8. Use a sequência de etapas ilustradas para publicar seu aplicativo.

   

Configuration Properties

Use a guia Propriedades de Configuração para criar uma configuração de aplicativo BIG-IP e um objeto SSO. Os Detalhes da Conta de Serviço do Azure representam o cliente que você registrou no locatário do Microsoft Entra. Use as configurações do cliente OAuth BIG-IP para registrar um SP do SAML em seu locatário, com propriedades SSO. O Easy Button executa essa ação para serviços BIG-IP publicados e habilitados para SHA.

Você pode reutilizar as configurações para publicar mais aplicativos.

1. Insira o Nome da Configuração.

2. Para SSO (Logon Único) e Cabeçalhos HTTP, selecione Ativado.

3. Para ID do Locatário, ID do Cliente e Segredo do Cliente, insira o que você anotou.

4. Confirme se o BIG-IP se conecta ao locatário.

5. Selecione Avançar

   

Provedor de serviços

Nas configurações do Provedor de Serviços, defina as configurações de instância do SP do SAML para o aplicativo protegido por SHA.

1. Insira um Host, o FQDN público do aplicativo.

2. Insira uma ID da Entidade, o identificador que o Microsoft Entra ID usa para identificar o SP do SAML ao solicitar um token.

   

3. (Opcional) Em Configurações de Segurança, selecione Habilitar Declaração de Criptografia para permitir que o Microsoft Entra ID criptografe as declarações SAML emitidas. As declarações de criptografia do Microsoft Entra ID e BIG-IP APM ajudam a garantir que os tokens de conteúdo não sejam interceptados nem os dados pessoais ou corporativos sejam comprometidos.

4. Em Configurações de Segurança, na lista Chave Privada da Descriptografia de Declaração, selecione Criar Nova.

   

5. Selecione OK.

6. A caixa de diálogo Importar Certificado e Chaves SSL aparece.

7. Em Importar Tipo, selecione PKCS 12 (IIS). Essa ação importa o certificado e a chave privada.

8. Em Certificado e Nome da Chave, selecione Novo e insira a entrada.

9. Insira a Senha.

10. Selecione Importar.

11. Feche a guia do navegador para retornar à guia principal.

12. Marque a caixa Habilitar Declaração Criptografada.
13. Se você habilitou a criptografia, na lista de Chave Privada da Descriptografia de Declaração, selecione o certificado. O APM do BIG-IP usa essa chave privada de certificado para descriptografar as declarações do Microsoft Entra.
14. Se você habilitou a criptografia, na lista de Certificado da Descriptografia de Declaração, selecione o certificado. O BIG-IP carrega esse certificado no Microsoft Entra ID para criptografar as declarações SAML emitidas.

Microsoft Entra ID

Utilize as instruções a seguir para configurar um novo aplicativo SAML do BIG-IP no seu locatário do Microsoft Entra. O Easy Button tem modelos de aplicativos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico.

1. Na Configuração do Azure, em Propriedades da Configuração, selecione Integração do APM do BIG-IP da F5 ao Microsoft Entra ID.
2. Selecione Adicionar.

Configuração do Azure

1. Insira um aplicativo Nome de Exibição que o BIG-IP cria no locatário do Microsoft Entra. Os usuários veem o nome, com um ícone, em Meus Aplicativos da Microfone.

2. Ignore o URL de Logon (opcional).

3. Ao lado de Chave de Autenticação e Certificado de Autenticação, selecione atualizar para localizar o certificado que você importou.

4. Em Senha da Chave de Autenticação, insira a senha de certificado.

5. (Opcional) Habilite a Opção de Autenticação para garantir que o BIG-IP aceite tokens e declarações assinados pelo Microsoft Entra ID.

   

6. A entrada para Usuário E Grupos de Usuários é consultada dinamicamente.

   Importante

   Adicionar um usuário ou grupo para teste, caso contrário, todo o acesso é negado. Em Usuário E Grupos de Usuários, selecione + Adicionar.

   

Declarações e Atributos do Usuário

Quando um usuário é autenticado, o Microsoft Entra ID emite um token SAML com declarações e atributos que identificam o usuário. A guia Atributos e Declarações do Usuário tem declarações padrão para o aplicativo. Use a guia para configurar mais declarações.

Inclua mais um atributo:

1. Para Nome do Cabeçalho, insira employeeid.

2. Para Atributo de Origem, insira user.employeeid.

   

Atributos de usuário adicionais

Na guia Atributos Adicionais do Usuário, habilite o aumento da sessão. Use esse recurso para sistemas distribuídos como Oracle, SAP e outras implementações JAVA que exigem que os atributos sejam armazenados em outros diretórios. Atributos buscados de uma origem LDAP (Lightweight Directory Access Protocol) são injetados como mais cabeçalhos de SSO. Essa ação ajuda a controlar o acesso com base em funções, IDs de Parceiro etc.

Observação

Esse recurso não tem correlação com o Microsoft Entra ID. É uma fonte de atributo. 

Política de Acesso Condicional

As políticas de Acesso Condicional controlam o acesso com base no dispositivo, aplicativo, localização e sinais de risco.

• Em Políticas Disponíveis, localize as políticas de Acesso Condicional sem ações do usuário
• Em Políticas Selecionadas, localize a política de aplicativo na nuvem
  • Não é possível desmarcar essas políticas ou movê-las para as Políticas Disponíveis porque elas são impostas em um nível de locatário

Para selecionar uma política a ser aplicada ao aplicativo que está sendo publicado:

1. Na guia Política de Acesso Condicional, na lista Políticas Disponíveis, selecione uma política.
2. Escolha a seta para a direita e mova-a para a lista Políticas Selecionadas.

Observação

Você pode selecionar a opção Incluir ou Excluir para uma política. Se ambas as opções estiverem selecionadas, a política não será aplicada.

Observação

A lista de políticas é exibida quando você seleciona a guia Política de Acesso Condicional. Selecione atualizar e o assistente consultará o locatário. A atualização aparece depois que um aplicativo é implantado.

Propriedades do Servidor Virtual

Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual. O servidor escuta solicitações de clientes para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil do APM associado ao servidor virtual. O tráfego é direcionado de acordo com a política.

1. Para Endereço de Destino, insira um endereço IPv4 ou IPv6 que o BIG-IP usa para receber o tráfego do cliente. Garanta um registro correspondente no DNS (servidor de nomes de domínio) que permita aos clientes resolver o URL externo, do aplicativo publicado pelo BIG-IP, para esse IP. Você pode usar o DNS localhost do computador para teste.

2. Para Porta de Serviço, insira 443 e selecione HTTPS.

3. Marque a caixa Habilitar Porta de Redirecionamento.

4. Insira um valor para a Porta de Redirecionamento. Essa opção redireciona o tráfego do cliente HTTP de entrada para HTTPS.

5. Selecione o Perfil de SSL do Cliente que você criou ou mantenha o padrão no teste. O Perfil de SSL do Cliente habilita o servidor virtual para HTTPS, portanto, as conexões do cliente são criptografadas por TLS.

   

Propriedades de Pool

A guia Pool de Aplicativos tem serviços por trás de um BIG-IP representados como um pool, com um ou mais servidores de aplicativos.

1. Para Selecionar um Pool, selecione Criar Novo ou selecione outro.

2. Para o Método de Balanceamento de Carga, selecione Round Robin.

3. Para Servidores de Pool selecione um nó ou selecione um endereço IP e uma porta do servidor que hospeda o aplicativo baseado em cabeçalho.

   

   Observação

   O aplicativo de back-end da Microsoft está na Porta 80 HTTP. Se você selecionar HTTPS, use 443.

SSO (Logon Único) e Cabeçalhos HTTP

Com o SSO, os usuários acessam os serviços publicados pelo BIG-IP sem inserir credenciais. O assistente de Botão Fácil oferece suporte a cabeçalhos de autorização Kerberos, Portador OAuth e HTTP para SSO.

1. Em Logon Único e Cabeçalhos HTTP, em Cabeçalhos de SSO, para Operação de Cabeçalho, selecione inserir

2. Para Nome do Cabeçalho, use upn.

3. Para Valor do Cabeçalho, use %{session.saml.last.identity}.

4. Para Operação de Cabeçalho, selecione inserir.

5. Para Nome do Cabeçalho, use employeeid.

6. Para Valor do Cabeçalho, use %{session.saml.last.attr.name.employeeid}.

   

   Observação

   As variáveis de sessão do APM entre colchetes diferenciam maiúsculas de minúsculas. Inconsistências causam falhas de mapeamento de atributo.

Gerenciamento da sessão

Use as configurações de gerenciamento de sessão do BIG-IP para definir as condições de encerramento ou continuação das sessões de usuário.

Para saber mais, acesse support.f5.com para K18390492: Segurança | Guia de operações do BIG-IP APM

O logoff único (SLO) garante que as sessões de IdP, BIG-IP e agente do usuário sejam encerradas quando os usuários saírem. Quando o Easy Button instancia um aplicativo SAML em seu locatário do Microsoft Entra, ele preenche o URL de saída com o ponto de extremidade APM SLO. A saída iniciada por IdP em Meus Aplicativos encerra as sessões BIG-IP e de cliente.

Saiba mais: confira, Meus Aplicativos

Os metadados da federação SAML do aplicativo publicado são importados de seu locatário. A importação fornece ao APM o ponto de extremidade de saída SAML para o Microsoft Entra ID. Essa ação garante que a saída iniciada pelo SP encerre as sessões do cliente e do Microsoft Entra. Verifique se o APM sabe quando a saída do usuário ocorre.

Se o portal webtop do BIG-IP acessar aplicativos publicados, o eAPM processará a saída para chamar o ponto de extremidade de saída do Microsoft Entra. Se o portal webtop do BIG-IP não for usado, os usuários não poderão instruir o APM a sair. Se os usuários saírem do aplicativo, o BIG-IP será indiferente. Portanto, verifique se a saída iniciada pelo SP encerra as sessões com segurança. Você pode adicionar uma função SLO a um botão Sair do aplicativo. Em seguida, os clientes são redirecionados para o ponto de extremidade de saída do SAML do Microsoft Entra ou do BIG-IP. Para localizar o URL do ponto de extremidade de saída SAML do seu locatário, acesse Registros de Aplicativos > Pontos de extremidade.

Se não for possível alterar o aplicativo, ative o BIG-IP para ouvir a chamada de saída do aplicativo e acionar o SLO.

Saiba mais:

• Logoff único do PeopleSoft
• Vá para support.f5.com para:
  • K42052145: configurar o encerramento automático da sessão (logoff) com base em um nome de arquivo referenciado por URI
  • K12056: visão geral da opção Incluir URI de Logoff.

Implantar

A implantação fornece um detalhamento de suas configurações.

1. Para confirmar as configurações, selecione Implantar.
2. Verifique o aplicativo em sua lista de locatários de Aplicativos empresariais.
3. O aplicativo é publicado e acessível via SHA, em seu URL ou nos portais de aplicativos da Microsoft.

Teste

1. Em um navegador, conecte-se ao URL externo do aplicativo ou selecione o ícone do aplicativo em Meus Aplicativos.
2. Autentique-se no Microsoft Entra ID.
3. Você será redirecionado para o servidor virtual do BIG-IP do aplicativo e conectado por meio do SSO.

A captura de tela a seguir é a saída de cabeçalhos injetados do aplicativo baseado em cabeçalho.

Observação

Você pode bloquear o acesso direto ao aplicativo, impondo assim um caminho através do BIG-IP.

Implantação avançada

Para alguns cenários, os modelos de Configuração Guiada não têm flexibilidade.

Saiba mais: tutorial: configurar o Gerenciador de Política de Acesso do F5 BIG-IP do SSO baseado em cabeçalho.

No BIG-IP, é possível desabilitar o Modo de gerenciamento estrito da Configuração Guiada. Em seguida, altere manualmente as configurações, no entanto, a maioria das configurações é automatizada com modelos de assistente.

1. Para desabilitar o modo estrito, navegue até Acesso > Configuração Guiada.

2. Na linha da configuração do aplicativo, selecione o ícone de cadeado.

3. Os objetos do BIG-IP associados à instância publicada do aplicativo são desbloqueados para gerenciamento. Não é possível fazer alterações usando o assistente.

   

   Observação

   Se você reabilitar o modo estrito e implantar uma configuração, a ação substituirá as configurações que não estão na Configuração Guiada. Recomendamos a configuração avançada para serviços de produção.

Solução de problemas

Use as diretrizes a seguir ao solucionar problemas.

Detalhamento do log

Os log do BIG-IP ajudam a isolar problemas de conectividade, SSO, política ou mapeamentos de variáveis configurados incorretamente. Para solucionar problemas, aumente o detalhamento do log.

1. Navegue até Política de Acesso Visão Geral>.
2. Selecione Logs de Eventos.
3. Selecione Configurações.
4. Selecione a linha do aplicativo publicado
5. Selecione Editar.
6. Selecione os Logs do Sistema de Acesso.
7. Na lista de SSO, selecione Depurar.
8. Selecione OK.
9. Reproduza o problema.
10. Inspecione os logs.

Observação

Reverta esse recurso quando concluir. O modo detalhado gera dados excessivos.

Mensagem de erro do BIG-IP

Se uma mensagem de erro do BIG-IP aparecer após a pré-autenticação do Microsoft Entra, o problema poderá estar relacionado ao SSO do Microsoft Entra ID para BIG-IP.

1. Navegue até Política de Acesso Visão Geral>.
2. Selecione Acessar relatórios.
3. Execute o relatório da última hora.
4. Analise os logs em busca de pistas.

Use o link Exibir variáveis da sessão, para a sessão, para ajudar a entender se o APM recebe as declarações esperadas do Microsoft Entra.

Nenhuma mensagem de erro do BIG-IP

Se nenhuma mensagem de erro do BIG-IP for exibida, o problema poderá estar relacionado à solicitação de back-end ou do BIG-IP para SSO de aplicativo.

1. Navegue até Política de Acesso Visão Geral>.
2. Selecione Sessões Ativas.
3. Selecione o link da sessão ativa.

Use o link Exibir Variáveis para ajudar a determinar problemas de SSO, especialmente se o BIG-IP APM não obtiver atributos corretos.

Saiba mais:

• Configurando a autenticação remota LDAP para o Active Directory
• Vá para techdocs.f5.com para Capítulo Manual: Consulta LDAP