Compartilhar via

Configurar o Gerenciador de Política de Acesso BIG-IP da F5 para o SSO baseado em formulário

Saiba como configurar o APM (Gerenciador de Política de Acesso) BIG-IP da F5 e o Microsoft Entra ID para obter SHA (acesso híbrido seguro) a aplicativos baseados em formulário. Os serviços publicados pelo BIG-IP para o SSO (logon único) do Microsoft Entra têm benefícios:

Saiba mais:

Descrição do cenário

Nesse cenário, há um aplicativo herdado interno configurado para a autenticação baseada em formulário (FBA). O ideal é o Microsoft Entra gerenciar o acesso ao aplicativo, pois o herdado não possui protocolos de autenticação modernos. A modernização leva tempo e esforço, introduzindo o risco de tempo de inatividade. Em vez disso, impante um BIG-IP entre a internet pública e o aplicativo interno. Essa configuração recepciona o acesso de entrada ao aplicativo.

Com o BIG-IP protegendo o aplicativo, você pode sobrepor o serviço com a pré-autenticação do Microsoft Entra e o SSO baseado em cabeçalho. A sobreposição melhora a postura de segurança do aplicativo.

Arquitetura de cenário

A solução SHA tem os seguintes componentes:

  • Aplicativo – serviço publicado pelo BIG-IP protegido pelo SHA.
    • O aplicativo valida as credenciais do usuário
    • Use qualquer diretório, código aberto e assim por diante
  • Microsoft Entra ID – provedor de identidade (IdP) Security Assertion Markup Language (SAML) que verifica as credenciais do usuário, o Acesso Condicional e o SSO baseado em SAML para o BIG-IP.
    • Com o SSO, o Microsoft Entra fornece atributos para o BIG-IP, incluindo identificadores de usuário
  • BIG-IP – proxy reverso e provedor de serviços (SP) de SAML para o aplicativo.
    • O BIG-IP que delega a autenticação ao IdP do SAML executa o SSO baseado em cabeçalho para o aplicativo de back-end.
    • O SSO usa as credenciais do usuário armazenadas em cache em outros aplicativos de autenticação baseados em formulário

O SHA dá suporte a fluxos iniciados pelo IdP e SP. O diagrama a seguir ilustra o fluxo iniciado pelo SP.

Diagrama do fluxo iniciado pelo provedor de serviços.

  1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
  2. A política de acesso do APM do BIG-IP redireciona o usuário para a ID do Microsoft Entra (IdP do SAML).
  3. O Microsoft Entra pré-autentica o usuário e aplica as políticas de Acesso Condicional impostas.
  4. O usuário é redirecionado para o BIG-IP (SP do SAML) e o SSO ocorre usando o token SAML emitido.
  5. O BIG-IP solicita ao usuário uma senha do aplicativo e a armazena em cache.
  6. O BIG-IP envia uma solicitação ao aplicativo e recebe um formulário de logon.
  7. O script de APM preenche o nome de usuário e a senha, e depois envia o formulário.
  8. O servidor Web atende ao conteúdo do aplicativo e o envia ao cliente.

Pré-requisitos

Você precisa dos seguintes componentes:

  • Uma assinatura do Azure
  • Uma das seguintes funções: Administrador de Aplicativo de Nuvem ou Administrador de Aplicativos
  • Um BIG-IP ou implantar uma VE (Virtual Edition) do BIG-IP no Azure
  • Qualquer uma das seguintes licenças do F5 BIG-IP:
    • Melhor pacote do F5 BIG-IP®
    • Licença independente do F5 BIG-IP Access Policy Manager™ (APM)
    • Licença de complemento do F5 BIG-IP APM (Access Policy Manager™) em um LTM (Local Traffic Manager™) BIG-IP® do BIG-IP F5
    • Avaliação completa de 90 dias do BIG-IP. Ver testes gratuitos
  • Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID
  • Um certificado SSL para publicar serviços via HTTPS ou usar certificados padrão durante o teste
  • Um aplicativo de autenticação baseada em formulário ou configurar um aplicativo FBA (autenticação baseada em formulário) do IIS (Serviços de Informações da Internet) para teste

Configuração do BIG-IP

A configuração neste artigo é uma implementação SHA flexível: criação manual de objetos de configuração BIG-IP. Use essa abordagem em cenários que não são cobertos por modelos de Configuração Guiada.

Observação

Substitua cadeias de caracteres ou valores de exemplo por aqueles do seu ambiente.

Registrar o F5 BIG-no Microsoft Entra ID

O registro de BIG-IP é a primeira etapa para o SSO entre entidades. O aplicativo que você criar a partir do modelo da galeria do BIG-IP do F5 será a terceira parte confiável que representará o SP do SAML para o aplicativo publicado pelo BIG-IP.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
  2. Navegue até Entra ID>Aplicativos corporativos>Todos os aplicativos.
  3. No painel Todos os aplicativos , selecione Novo aplicativo.
  4. O painel Procurar galeria do Microsoft Entra é aberto.
  5. Os blocos aparecem para plataformas de nuvem, aplicativos locais e aplicativos em destaque. Ícones de aplicativos em destaque indicam suporte ao SSO federado e ao provisionamento.
  6. Na galeria do Azure, pesquise por F5.
  7. Selecione F5 BIG-IP APM Microsoft Entra ID integration.
  8. Insira um nome que o novo aplicativo usa para reconhecer a instância do aplicativo.
  9. Selecione Adicionar.
  10. Selecione Criar.

Habilitar o SSO para o BIG-IP F5

Configure o registro do BIG-IP para atender aos tokens SAML solicitados pelo APM do BIG-IP.

  1. No menu à esquerda, na seção Gerenciar , selecione Logon único.
  2. O painel Single Sign-On é exibido.
  3. Na página Selecionar um método de logon único , selecione SAML.
  4. Selecione Não, salvarei mais tarde.
  5. No painel Configurar logon único com SAML, selecione o ícone da caneta.
  6. Para o Identificador, substitua o valor pela URL do aplicativo publicado BIG-IP.
  7. Para a URL de Resposta, substitua o valor, mas mantenha o caminho para o endpoint SAML SP do aplicativo. Com essa configuração, o fluxo de SAML opera em modo iniciado pelo IdP.
  8. O Microsoft Entra emitirá uma declaração SAML, depois o usuário será redirecionado ao ponto de extremidade do BIG-IP.
  9. Para o modo iniciado por SP, para URL de Logon, insira a URL do aplicativo.
  10. Para a URL de logoff, insira o ponto de extremidade de logoff único (SLO) do APM do BIG-IP anexado pelo cabeçalho de host de serviço.
  11. Em seguida, as sessões de usuário do APM do BIG-IP terminam quando os usuários saem do Microsoft Entra ID.
  12. Selecione Salvar.
  13. Feche o painel de configuração do SAML.
  14. Ignore o prompt de teste de SSO.
  15. Anote as propriedades da seção Atributos e Declarações do Usuário . O Microsoft Entra ID emite propriedades para a autenticação de APM do BIG-IP e SSO para o aplicativo back-end.
  16. No painel Certificado de Autenticação SAML , selecione Baixar.
  17. O arquivo XML de Metadados de Federação é salvo em seu computador.

Observação

A partir da v16 do TMOS (Traffic Management Operating System), o ponto de extremidade de SLO de SAML é /saml/sp/profile/redirect/slo.

Captura de tela das URLs na configuração do SAML.

Observação

Os certificados de autenticação SAML do Microsoft Entra têm um ciclo de vida de três anos.

Saiba mais: Tutorial: Gerenciar certificados para logon único federado

Atribuir usuários e grupos

O Microsoft Entra ID emite tokens a usuários cujo acesso a um aplicativo foi permitido. Para conceder acesso de usuários e grupos específicos aos aplicativos:

  1. No painel de visão geral do aplicativo BIG-IP F5 , selecione Atribuir Usuários e grupos.
  2. Selecione + Adicionar usuário/grupo.
  3. Selecione os usuários e grupos desejados.
  4. Selecione Atribuir.

Configuração avançada do BIG-IP

Use as instruções a seguir para configurar o BIG-IP.

Definir configurações do provedor de serviços SAML

As configurações SP do SAML definem as propriedades do SP do SAML que o APM usa para sobrepor o aplicativo herdado com a pré-autenticação do SAML. Para configurá-las:

  1. Selecione Acesso>Federação>Provedor de Serviços SAML.

  2. Selecione Serviços SP Locais.

  3. Selecione Criar.

    Captura de tela da opção Criar na guia Provedor de Serviços SAML.

  4. Em Criar Novo Serviço SP saml, para nome e ID de entidade, insira o nome definido e a ID da entidade.

    Captura de tela dos campos Nome e ID da Entidade em Criar Novo Serviço SAML SP.

    Observação

    Os valores de Configurações de Nome SP serão necessários se a ID da entidade não corresponder à parte do nome do host da URL publicada. Ou valores serão necessários se a ID da entidade não estiver no formato de URL regular baseado no nome do host.

  5. Se a ID da entidade for urn:myvacation:contosoonline, insira o esquema externo do aplicativo e o nome do host.

Configurar um conector IdP externo

Um conector de IdP do SAML define as configurações para que o APM do BIG-IP confie no Microsoft Entra ID como o IdP do SAML. As configurações conectam o provedor de serviços SAML para um IdP do SAML, que estabelece a relação de confiança de federação entre o APM e o Microsoft Entra ID.

Para configurar o conector:

  1. Selecione o novo objeto do provedor de serviços SAML.

  2. Selecione Associar/Desassociar Conectores de IdP.

    Captura de tela da opção Associar/Desassociar Conectores IdP na guia Provedor de Serviços SAML.

  3. Na lista Criar Novo Conector IdP, selecione A partir de Metadados.

    Captura de tela da opção Dos metadados na lista suspensa Criar novo conector de IdP.

  4. No painel Criar Conector IdP SAML, procure o arquivo XML de Metadados de Federação que você baixou.

  5. Insira um nome de provedor de identidade para o objeto APM que representa o IdP SAML externo. Por exemplo, MyVacation_EntraID.

    Captura de tela dos campos Selecionar Arquivo e Nome de Provedor de Arquivos em Criar Conector IdP do SAML.

  6. Selecione Adicionar Nova Linha.

  7. Selecione o novo Conector IdP do SAML.

  8. Selecione Atualizar.

    Captura de tela da opção Atualizar.

  9. Selecione OK.

    Captura de tela da caixa de diálogo Editar IdPs do SAML que usam este SP.

Configurar SSO baseado em formulário

Crie um objeto de SSO do APM para SSO da FBA em aplicativos back-end.

Execute o SSO da FBA no modo iniciado pelo cliente ou no modo iniciado pelo BIG-IP. Ambos os métodos emulam uma entrada de usuário, injetando credenciais nas marcas de nome de usuário e de senha. O formulário é enviado. Os usuários fornecem a senha para acessar um aplicativo FBA. A senha é armazenada em cache e reutilizada para outros aplicativos FBA.

  1. Selecione Access>Single Sign-on.

  2. Selecione Baseado em Formulário.

  3. Selecione Criar.

  4. Para Nome, insira um nome descritivo. Por exemplo, Contoso\FBA\sso.

  5. Para Usar Modelo de SSO, selecione Nenhum.

  6. Para a Fonte do nome de usuário, insira a fonte do nome de usuário para preencher o formulário de coleção de senhas previamente. O padrão session.sso.token.last.username funciona bem, pois tem o upn (nome de entidade de usuário) do Microsoft Entra conectado.

  7. Para a origem da senha, mantenha o padrão session.sso.token.last.password que a variável APM BIG-IP usa para armazenar em cache senhas de usuário.

    Captura de tela das opções Nome e Usar Modelo de SSO em Nova Configuração de SSO.

  8. Para URI de início, insira o URI de logon do aplicativo FBA. Se o URI de solicitação corresponde a esse valor de URI, a autenticação baseada em formulário do APM executa o SSO.

  9. Para a Ação de Formulário, deixe-a em branco. Depois, a URL de solicitação original é usada no SSO.

  10. Para o Parâmetro de Formulário para Nome de Usuário, insira o elemento de campo de nome de usuário do formulário de entrada. Use as ferramentas para desenvolvedor de navegador para determinar o elemento.

  11. Para Parâmetro de Formulário para Senha, insira o elemento de campo de senha do formulário de entrada. Use as ferramentas para desenvolvedor de navegador para determinar o elemento.

Captura de tela do URI inicial, parâmetro de formulário para nome de usuário e parâmetro de formulário para campos de senha.

Captura de tela da página de entrada com textos explicativos para o campo nome de usuário e o campo senha.

Para saber mais, acesse techdocs.f5.com para o Capítulo Manual: métodos de logon único.

Configurar o perfil de acesso

Um perfil de acesso associa os elementos do APM gerenciando o acesso a servidores virtuais do BIG-IP, incluindo políticas de acesso, configuração de SSO e configurações de interface do usuário.

  1. Selecione Acesso>Perfis/Políticas.

  2. Selecione Perfis de Acesso (políticas dePer-Session).

  3. Selecione Criar.

  4. Insira um Nome.

  5. Para Tipo de Perfil, selecione Tudo.

  6. Para a Configuração de SSO, selecione o objeto de configuração de SSO do FBA que você criou.

  7. Para Linguagem Aceita, selecione pelo menos um idioma.

    Captura de tela de opções e seleções em Perfis de Acesso por Políticas de Sessão, Novo Perfil.

  8. Na coluna Per-Session Política , para o perfil, selecione Editar.

  9. O Editor de Política Visual do APM é iniciado.

    Captura de tela da opção Editar na coluna política Per-Session.

  10. Em fallback, selecione o + ícone.

Captura de tela da opção de sinal de adição do Editor de Política Visual do APM em fallback.

  1. No pop-up, selecione Autenticação.
  2. Selecione Autenticação SAML.
  3. Selecione Adicionar Item.

Captura de tela da opção autenticação SAML.

  1. No SP de autenticação SAML, altere o Nome para Autenticação do Microsoft Entra.
  2. Na lista suspensa Servidor AAA, insira o objeto do provedor de serviços SAML que você criou.

Captura de tela mostrando as configurações do servidor de autenticação do Microsoft Entra.

  1. Na ramificação Êxito, selecione o sinal +.
  2. No pop-up, selecione Autenticação.
  3. Selecione Página de Logon.
  4. Selecione Adicionar Item.

Captura de tela da opção Página de Logon na guia Logon.

  1. Para nome de usuário, na coluna Somente Leitura , selecione Sim.

Captura de tela da opção Sim na linha nome de usuário na guia Propriedades.

  1. Para o fallback da página de entrada, selecione o sinal +. Essa ação adiciona um objeto de mapeamento de credenciais de SSO.

  2. No pop-up, selecione a guia Atribuição .

  3. Selecione Mapeamento de Credenciais SSO.

  4. Selecione Adicionar Item.

    Captura de tela da opção Mapeamento de Credenciais de SSO na guia Atribuição.

  5. Em Atribuição de Variável: Mapeamento de Credenciais de SSO, mantenha as configurações padrão.

  6. Selecione Salvar.

    Captura de tela da opção Salvar na guia Propriedades.

  7. Na caixa Negação superior, selecione o link.

  8. A ramificação Êxito muda para Permitir.

  9. Selecione Salvar.

(Opção) Configurar mapeamentos de atributo

Você pode adicionar uma configuração LogonID_Mapping. Depois, a lista de sessões ativas do BIG-IP tem o UPN do usuário conectado, não um número de sessão. Use essas informações para analisar logs ou solucionar problemas.

  1. Na ramificação Autenticação SAML com êxito, selecione o sinal +.

  2. No pop-up, selecione Atribuição.

  3. Selecione Atribuição de Variável.

  4. Selecione Adicionar Item.

    Captura de tela da opção Atribuição de Variável na guia Atribuição.

  5. Na guia Propriedades , insira um Nome. Por exemplo, LogonID_Mapping.

  6. Em Atribuição de Variável, selecione Adicionar nova entrada.

  7. Selecione alterar.

    Captura de tela da opção Adicionar nova entrada e da opção de alteração.

  8. Para Variável Personalizada, use session.logon.last.username.

  9. Para Variável de Sessão, usuário session.saml.last.identity.

  10. Selecione Concluído.

  11. Selecione Salvar.

  12. Selecione Aplicar Política de Acesso.

  13. Feche o Editor de Política Visual.

Captura de tela da política de acesso na opção Aplicar Política de Acesso.

Configurar um pool de back-end

Para habilitar o BIG-IP para encaminhar o tráfego do cliente de forma correta, crie um objeto de nó do BIG-IP que representa o servidor de back-end que hospeda o aplicativo. Em seguida, coloque esse nó em um pool de servidores do BIG-IP.

  1. Selecione Pools de>Tráfego Local.

  2. Selecione Lista de Pools.

  3. Selecione Criar.

  4. Insira um nome para um objeto de pool de servidores. Por exemplo, MyApps_VMs.

    Captura de tela do campo Nome em Novo Pool.

  5. Para Nome do Nó, insira um nome de exibição do servidor. Esse servidor hospeda o aplicativo Web de back-end.

  6. Para Endereço, insira o endereço IP do host do servidor de aplicativos.

  7. Para Porta de serviço: insira a porta HTTP/S por onde o aplicativo está escutando.

    Captura de tela dos campos Nome do Nó, Endereço, Porta de Serviço e a opção Adicionar.

    Observação

    Os monitores de integridade exigem configuração que este artigo não aborda. Acesse support.f5.com para K13397: visão geral de formatação da solicitação do monitor de integridade HTTP para o sistema DNS do BIG-IP.

Configurar um servidor Virtual

Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual. O servidor escuta solicitações do cliente para o aplicativo. Qualquer tráfego recebido é processado e avaliado em relação ao perfil de acesso do APM associado ao servidor virtual. O tráfego é direcionado de acordo com a política.

Para configurar um servidor virtual:

  1. Selecione Tráfego Local>Servidores Virtuais.

  2. Selecione Lista de Servidores Virtuais.

  3. Selecione Criar.

  4. Insira um Nome.

  5. Para Endereço/Máscara de Destino, selecione Host e insira um endereço IPv4 ou IPv6. O endereço recebe o tráfego do cliente para o aplicativo de back-end publicado.

  6. Para a Porta de Serviço, selecione Porta, insira 443 e selecione HTTPS.

    Captura de tela dos campos e opções Nome, Endereço de Destino e Porta de Serviço.

  7. Para Perfil HTTP (Cliente), selecione http.

  8. Para o Perfil SSL (Cliente), selecione o perfil que você criou ou deixe o padrão para teste. Essa opção permite que um servidor virtual do TLS (Transport Layer Security) publique serviços via HTTPS.

    Captura de tela das opções Cliente de Perfil HTTP e Cliente de Perfil SSL.

  9. Para Tradução de Endereço de Origem, selecione Mapa Automático.

    Captura de tela da seleção de Mapa Automático para Tradução de Endereço de Origem.

  10. Na Política de Acesso, na caixa Perfil de Acesso , insira o nome que você criou. Essa ação vincula o perfil de pré-autenticação SAML do Microsoft Entra e a política de SSO da FBA ao servidor virtual.

Captura de tela da entrada do Perfil de Acesso na Política de Acesso.

  1. Em Recursos, para Pool Padrão, selecione os objetos do pool de back-end que você criou.
  2. Selecione Concluído.

Captura de tela da opção Pool Padrão em Recursos.

Configurar as configurações de gerenciamento de sessão

As configurações de gerenciamento de sessão do BIG-IP define as condições de encerramento e continuação das sessões. Crie uma política nessa área.

  1. Vá para a Política de Acesso.
  2. Selecione Perfis de Acesso.
  3. Selecione o Perfil de Acesso.
  4. Na lista, selecione seu aplicativo.

Se você definiu um valor de URI de logoff único no Microsoft Entra ID, uma saída iniciada por IdP do MyApps encerra a sessão do cliente e do APM do BIG-IP. O arquivo XML de metadados de federação do aplicativo importado fornece ao APM o ponto de extremidade do SAML do Microsoft Entra para a saída iniciada por SP. Garanta que o APM responda corretamente quando um usuário sai.

Se não houver portal da Web do BIG-IP, os usuários não poderão instruir o APM a sair. Se o usuário sair do aplicativo, o BIG-IP estará inativo. A sessão do aplicativo pode ser restabelecida por meio do SSO. Para a saída iniciada por SP, garanta que as sessões encerrem com segurança.

Você pode adicionar uma função SLO ao botão de saída do aplicativo. Essa função redireciona o cliente para o ponto de extremidade de saída do SAML do Microsoft Entra. Para localizar o endpoint de saída do SAML, acesse Registros de Aplicativo > Endpoints.

Se não for possível alterar o aplicativo, ative o BIG-IP para escutar a chamada de saída do aplicativo e acionar o SLO.

Saiba mais:

Aplicativo publicado

Seu aplicativo é publicado e acessível com SHA com a URL do aplicativo ou portais da Microsoft.

O aplicativo aparece como um recurso de destino no Acesso Condicional. Saiba mais: Criando uma política de acesso condicional.

Para aumentar a segurança, bloqueie o acesso direto ao aplicativo, impondo um caminho através do BIG-IP.

Teste

  1. O usuário se conecta à URL externa do aplicativo ou, em Meus Aplicativos, e seleciona o ícone do aplicativo.
  2. O usuário se autentica no Microsoft Entra ID.
  3. O usuário é redirecionado para o ponto de extremidade do BIG-IP do aplicativo.
  4. O prompt de senha é exibido.
  5. O APM preenche o nome de usuário com o UPN do Microsoft Entra ID. O nome de usuário é somente leitura para consistência de sessão. Oculte este campo, se necessário.
  6. As informações são enviadas.
  7. O usuário entra no aplicativo.

Solucionar problemas

Durante a solução de problemas, considere as seguintes informações:

  • O BIG-IP executa o SSO da FBA ao analisar o formulário de entrada no URI

    • O BIG-IP busca as marcas de elemento do nome de usuário e senha de sua configuração

  • Confirme se as marcas de elemento são consistentes ou o SSO falha

  • Formulários complexos gerados dinamicamente podem exigir que a análise da ferramenta de desenvolvimento entenda o formulário de entrada

  • A iniciação do cliente é melhor para páginas de entrada com vários formulários

    • Você pode selecionar o nome do formulário e personalizar a lógica do manipulador de formulários JavaScript

  • Os métodos de SSO da FBA ocultam as interações do formulário para otimizar a experiência e a segurança do usuário:

    • Você pode validar se as credenciais são injetadas
    • No modo iniciado pelo cliente, desabilite o envio automático de formulário em seu perfil de SSO
    • Use as ferramentas de desenvolvedor para desabilitar as duas propriedades de estilo que impedem que a página de entrada apareça

    Captura de tela da página Propriedades.

Aumentar o detalhamento de log

Os logs do BIG-IP contêm informações para isolar problemas de autenticação e de SSO. Para aumentar o nível de detalhamento do log:

  1. Vá paraa Visão Geral da> de Acesso.
  2. Selecione Logs de Eventos.
  3. Selecione Configurações.
  4. Selecione a linha do aplicativo publicado.
  5. Selecione Editar.
  6. Selecione os Logs do Sistema de Acesso.
  7. Na lista de SSO, selecione Depurar.
  8. Selecione OK.
  9. Reproduza o problema.
  10. Analise os logs.

Reverta as configurações ou haverá excesso de dados.

Mensagem de erro do BIG-IP

Se um erro do BIG-IP for exibido após a pré-autenticação do Microsoft Entra, o problema poderá estar relacionado ao SSO do Microsoft Entra ID e do BIG-IP.

  1. Acesse aVisão Geral do >.
  2. Selecione relatórios do Access.
  3. Execute o relatório da última hora.
  4. Analise os logs em busca de pistas.

Use o link Exibir variáveis de sessão para sua sessão para determinar se o APM recebe declarações esperadas do Microsoft Entra.

Nenhuma mensagem de erro do BIG-IP

Se nenhuma mensagem de erro do BIG-IP for exibida, o problema pode estar relacionado à solicitação de back-end ou do BIG-IP para o SSO de aplicativo.

  1. SelecioneVisão geral da> Acesso.
  2. Selecione Sessões Ativas.
  3. Clique no link da sessão ativa.

Use o link Visualizar Variáveis nesta localização para ajudar a determinar a causa raiz, especialmente se o APM não conseguir obter corretamente o identificador de usuário e a senha.

Para saber mais, acesse techdocs.f5.com para Capítulo Manual: Variáveis de Sessão.

Recursos

  • Last updated on