Tutorial: configurar o Gerenciador de Política de Acesso do BIG-IP da F5 para SSO baseado em cabeçalho

Saiba como implementar o acesso híbrido seguro (SHA) com o logon único (SSO) em aplicativos baseados em cabeçalho usando a configuração avançada do BIG-IP da F5. Aplicativos publicados no BIG-IP e benefícios de configuração do Microsoft Entra:

• Melhor governança de Confiança Zero por meio da autenticação prévia e do acesso condicional do Microsoft Entra
  • Veja, o que é acesso condicional?
  • Veja a segurança de Confiança Zero
• SSO completo entre os serviços publicados do Microsoft Entra ID e do BIG-IP
• Identidades gerenciadas e acesso de um painel de controle
  • Veja o Centro de administração do Microsoft Entra

Saiba mais:

• Integrar F5 BIG-IP com Microsoft Entra ID
• Habilitar o SSO para um aplicativo empresarial

Descrição do cenário

Para este cenário, temos um aplicativo herdado usando cabeçalhos de autorização HTTP para controlar o acesso ao conteúdo protegido. O ideal é que a ID do Microsoft Entra gerencie o acesso ao aplicativo. No entanto, o herdado não tem um protocolo de autenticação moderno. A modernização exige esforço e tempo, além de introduzir custos e riscos de tempo de inatividade. Em vez disso, um BIG-IP implantado entre a Internet pública e o aplicativo interno será usado para controlar o acesso de entrada ao aplicativo.

Um BIG-IP na frente do aplicativo permite a sobreposição do serviço com a pré-autenticação do Microsoft Entra e SSO baseado em cabeçalho. A configuração melhora a postura de segurança do aplicativo.

Arquitetura de cenário

A solução de acesso híbrido seguro para esse cenário é composta do:

• Aplicativo – BIG-IP serviço publicado a ser protegido pelo Microsoft Entra SHA
• ID do Microsoft Entra – Provedor de Identidade (IdP) que usa o Security Assertion Markup Language (SAML) para verificar as credenciais dos usuários, controle de acesso condicional e Single Sign-On (SSO) para o BIG-IP.
  • Por meio do SSO, o Azure AD fornece ao BIG-IP todos os atributos de sessão necessários, incluindo identificadores de usuário
• BIG-IP – proxy reverso e SP (provedor de serviços SAML) para o aplicativo, delegando a autenticação ao IdP SAML, antes do SSO baseado em cabeçalho para o aplicativo de back-end

O diagrama a seguir ilustra o fluxo do usuário com Azure AD, BIG-IP, APM e um aplicativo.

1. O usuário se conecta ao ponto de extremidade do SP do SAML do aplicativo (BIG-IP).
2. A política de acesso do APM do BIG-IP redireciona o usuário para o Microsoft Entra ID (IdP do SAML).
3. O Microsoft Entra autentica o usuário previamente e aplica as políticas ConditionalAccess.
4. O usuário é redirecionado para o BIG-IP (SP do SAML) e o SSO ocorre usando o token SAML emitido.
5. O BIG-IP injeta os atributos do Microsoft Entra como cabeçalhos na solicitação ao aplicativo.
6. O aplicativo autoriza a solicitação e retorna o conteúdo.

Pré-requisitos

Para o cenário você precisa:

• Uma assinatura do Azure
  • Se você não tiver uma, obtenha uma conta gratuita do Azure
• Uma das seguintes funções: Administrador de Aplicativo de Nuvem ou Administrador de Aplicativos
• Um BIG-IP ou implantar uma VE (Virtual Edition) do BIG-IP no Azure
  • Confira, Implantar máquina virtual do F5 BIG-IP Virtual Edition no Azure
• Qualquer uma das seguintes licenças de F5 BIG-IP:
  • Pacote F5 BIG-IP® Best
  • Licença autônoma do BIG-IP Access Policy Manager™ (APM) da F5
  • Licença de complemento do F5 BIG-IP APM (Access Policy Manager™) em um LTM (Local Traffic Manager™) BIG-IP® do BIG-IP F5
  • Avaliação gratuita completa de 90 dias do BIG-IP. Veja testes gratuitos.
• Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID
  • Sincronização do Microsoft Entra Connect: entender e personalizar a sincronização
• Um certificado SSL para publicar serviços via HTTPS ou usar certificados padrão durante o teste
  • Veja o perfil SSL
• Um aplicativo baseado em cabeçalho ou um aplicativo de cabeçalho IIS para teste

Método de configuração do BIG-IP

As instruções a seguir são um método de configuração avançado, uma maneira flexível de implementar o SHA. Crie manualmente os objetos de configuração do BIG-IP. Use esse método para cenários não incluídos nos modelos de Configuração Guiada.

Observação

Substitua cadeias de caracteres ou valores de exemplo por aqueles do seu ambiente.

Adicionar o BIG-IP da F5 a partir da galeria do Microsoft Entra

Para implementar o SHA, a primeira etapa é configurar uma relação de confiança de federação SAML entre o APM do BIG-IP e o Azure AD. A relação de confiança estabelece a integração necessária para que o BIG-IP entregue a pré-autenticação e o Acesso Condicional ao Azure AD, antes de permitir acesso ao serviço publicado.

Saiba mais: O que é acesso condicional?

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

2. Navegue até Entra ID>Aplicativos empresariais>Todos os aplicativos.

3. Na faixa de opções superior, selecione + Novo aplicativo.

4. Na galeria, pesquise por F5.

5. Selecione integração F5 BIG-IP APM Microsoft Entra ID.

6. Insira um nome de aplicativo.

7. Selecione Adicionar/Criar.

8. O nome reflete o serviço.

Configurar o SSO do Microsoft Entra

1. As novas propriedades do aplicativo F5 são exibidas

2. Selecione Gerenciar>Logon Único

3. Na página Selecionar um método de logon único , selecione SAML.

4. Ignore o prompt para salvar as configurações de logon único.

5. Selecione Não, salvarei mais tarde.

6. Ao configurar o logon único com SAML, para a Configuração Básica de SAML, selecione o ícone de caneta .

7. Substitua a URL do Identificador pela URL do serviço publicado BIG-IP. Por exemplo, https://mytravel.contoso.com

8. Repita a URL de Resposta e inclua o caminho do ponto de extremidade SAML do APM. Por exemplo, https://mytravel.contoso.com/saml/sp/profile/post/acs

   Observação

   Nessa configuração, o fluxo SAML opera no modo IdP: o Azure AD emite ao usuário uma declaração SAML antes de ser redirecionado ao ponto de extremidade de serviço do BIG-IP para o aplicativo. O APM do BiG-IP dá suporte aos modos IdP e SP.

9. Para a URI de Logoff, insira o endpoint de Logoff Único (SLO) do BIG-IP APM, precedido pelo cabeçalho do host de serviço. A URI do SLO garante que as sessões do APM do BIG-IP do usuário terminem depois que Microsoft Entra sair. Por exemplo,https://mytravel.contoso.com/saml/sp/profile/redirect/slr

   

   Observação

   A partir da v16 do TMOS (Traffic Management Operating System), o ponto de extremidade de SLO de SAML alterou para /saml/sp/profile/redirect/slo.

10. Selecione Salvar.

11. Saia da configuração do SAML.

12. Ignore o prompt de teste de SSO.

13. Para editar os Atributos de Usuário & Declarações > + Adicionar nova declaração, selecione o ícone de caneta .

14. Para Nome , selecione Employeeid.

15. Para o atributo De origem, selecioneuser.employeeid.

16. Selecione Salvar

17. Selecionar + Adicionar uma declaração de grupo
18. Selecione Grupos atribuídos ao aplicativo>Atributo de Origem>sAMAccountName.

19. Selecione Salvar a configuração.
20. Feche a exibição.
21. Observe as propriedades da seção Atributos e Declarações do Usuário . O Microsoft Entra ID emite propriedades aos usuários para a autenticação de APM do BIG-IP e SSO para o aplicativo de back-end.

Observação

Adicione outras declarações que o aplicativo publicado do BIG-IP espera como cabeçalhos. Declarações mais definidas serão emitidas se estiverem no Azure AD. Defina associações de diretório e objetos de usuário no Azure AD antes que as declarações possam ser emitidas. Veja, Configurar declarações de grupo para aplicativos usando a ID do Microsoft Entra.

22. Na seção Certificado de Autenticação SAML , selecione Baixar.
23. O arquivo XML de Metadados de Federação é salvo em seu computador.

Os certificados de autenticação SAML criados pelo Microsoft Entra ID têm um ciclo de vida de três anos.

Autorização do Microsoft Entra

Por padrão, o Microsoft Entra ID emite tokens aos usuários com acesso concedido em um serviço.

1. No modo de exibição de configuração do aplicativo, selecione Usuários e grupos.
2. Selecione + Adicionar usuário e, em Adicionar Atribuição, selecione Usuários e grupos.
3. Na caixa de diálogo Usuários e grupos , adicione os grupos de usuários autorizados a acessar o aplicativo baseado em cabeçalho.
4. Selecione Selecionar.
5. Selecione Atribuir.

A relação de confiança de federação SAML do Microsoft Entra está concluída. Em seguida, configure o APM do BIG-IP para publicar o aplicativo Web, configurado com propriedades para concluir a relação de confiança de pré-autenticação do SAML.

Configuração avançada

Use as seções a seguir para configurar SAML, SSO de cabeçalho, perfil de acesso e muito mais.

Configuração do SAML

Para federar o aplicativo publicado com a ID do Microsoft Entra, crie o provedor de serviços SAML BIG-IP e os objetos IdP saml correspondentes.

1. Selecione Acesso>Federação>Provedor de Serviços SAML>Serviços Locais de SP>Criar.

   

2. Insira um Nome.

3. Insira o ID da Entidade definido no Microsoft Entra ID.

   

4. Para configurações de nome SP, faça seleções se a ID da Entidade não corresponder ao nome do host da URL publicada ou faça seleções se não estiver no formato de URL baseado em nome de host regular. Forneça o esquema externo e o nome do host do aplicativo se a ID de entidade for urn:mytravel:contosoonline.

5. Role a página para baixo para selecionar o novo objeto de SP do SAML.

6. Selecione Conectores IdP Associados/Não Associados.

   

7. Selecione Criar Novo Conector IdP.

8. Na lista suspensa, selecione De Metadados.

   Captura de tela da opção "De Metadados" no menu suspenso "Criar Nova Conexão IdP".

9. Procure o arquivo XML de metadados de federação que você baixou.

10. Insira um nome de provedor de identidade para o objeto APM para o IdP SAML externo. Por exemplo, MyTravel_EntraID

11. Selecione Adicionar Nova Linha.
12. Selecione o novo Conector IdP SAML.
13. Selecione Atualizar.

14. Selecione OK.

Configuração de SSO de cabeçalho

Crie um objeto de SSO do APM.

1. Selecione Acesso>Perfis/Políticas>Per-Request Políticas>Criar.

2. Insira um Nome.

3. Adicione pelo menos um idioma aceito.

4. Selecione Concluído.

   

5. Para a nova política por solicitação, selecione Editar.

   

6. O editor de política visual inicia.

7. Em fallback, selecione o + símbolo.

   

8. Na guia Uso Geral, selecione Cabeçalhos HTTP>Adicionar Item.

   

9. Selecione Adicionar nova entrada.

10. Crie três entradas de modificação de cabeçalho e HTTP.

11. Para Nome do Cabeçalho, insira upn.

12. Para Valor do Cabeçalho, insira%{session.saml.last.identity}.

13. Para Nome do Cabeçalho, insira employeeid.

14. Para Valor de Cabeçalho, insira%{session.saml.last.attr.name.employeeid}.

15. Para Nome do Cabeçalho, insira group_authz.

16. Para o Valor do Cabeçalho, insira%{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Observação

As variáveis de sessão do APM entre colchetes diferenciam maiúsculas de minúsculas. Recomendamos que você defina atributos em letras minúsculas.

17. Selecione Salvar.
18. Feche o editor de política visual.

Configuração do perfil de acesso

Perfis de acesso associam muitos elementos do APM gerenciando o acesso a servidores virtuais do BIG-IP, incluindo políticas de acesso, configuração de SSO e configurações de interface do usuário.

1. Selecione Acesso>Perfis / Políticas>Perfis de Acesso (Per-Session Políticas)>Criar.

2. Para Nome, insira MyTravel.

3. Para Tipo de Perfil, selecione Tudo.

4. Para Linguagem Aceita, selecione pelo menos um idioma.

5. selecione Concluído.

   

6. Para o perfil por sessão criado, selecione Editar.

   

7. O editor de política visual inicia.

8. Em fallback, selecione o símbolo +.

   

9. Selecione Autenticação>SAML Auth>Add Item.

   

10. Para a Configuração SP de Autenticação SAML, na lista suspensa Servidor AAA, selecione o objeto SAML SP que você criou.

11. Selecione Salvar.

Mapeamento de atributos

As instruções a seguir são opcionais. Com uma configuração de LogonID_Mapping, a lista de sessões ativas do BIG-IP tem o UPN (nome de entidade de usuário conectado), não um número de sessão. Use esses dados ao analisar logs ou para solucionar problemas.

1. Para a ramificação bem-sucedida da Autenticação SAML, selecione o + símbolo.

   

2. No pop-up, selecione Atribuição>Atribuição de Variável>Adicionar Item.

   

3. Inserir um nome

4. Na seção Atribuição de Variável, selecione Adicionar nova entrada>alterar. Por exemplo, LogonID_Mapping.

   

5. Para Variável Personalizada, defina session.saml.last.identity.

6. Para a Variável de Sessão, defina session.logon.last.username.

7. Selecione Concluído.

8. SelecioneSalvar.

9. No ramo bem-sucedido da Política de Acesso, selecione o terminal Negar.

10. Selecione Permitir.

11. Selecione Salvar.

12. Selecione Aplicar Política de Acesso.

13. Feche o editor de política visual.

Configuração de pool de back-end

Para habilitar o BIG-IP para encaminhar o tráfego do cliente de forma correta, crie um objeto de nó do APM que representa o servidor de back-end que hospeda o aplicativo. Coloque o nó em um pool do APM.

1. Selecione >.

2. Para um objeto de pool de servidores, insira um Nome. Por exemplo, MyApps_VMs.

   

3. Adicione um objeto de membro do pool.

4. Para Nome do Nó, insira um nome para o servidor que hospeda o aplicativo Web de back-end.

5. Para Endereço, insira o endereço IP do servidor que hospeda o aplicativo.

6. Para Porta de Serviço, insira a porta HTTP/S que o aplicativo está escutando.

7. Selecione Adicionar.

   

   Observação

   Para saber mais, acesse my.f5.com para K13397: Visão geral da formatação de solicitação do monitor de integridade HTTP para o sistema DNS BIG-IP.

Configuração do servidor virtual

Servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual que escuta solicitações de clientes para o aplicativo. Qualquer tráfego recebido é processado e avaliado em relação ao perfil de acesso do APM associado ao servidor virtual. O tráfego é direcionado de acordo com a política.

1. Selecione Tráfego Local>Servidores Virtuais>Lista de Servidores Virtuais>Criar.

2. Insira um nome de servidor virtual.

3. Para Endereço/Máscara de Destino, selecione Host

4. Insira um IP IPv4 ou IPv6 não utilizado a ser atribuído ao BIG-IP para receber o tráfego do cliente.

5. Para a Porta de Serviço, selecione Porta, 443 e HTTPS.

   

6. Para Perfil HTTP (Cliente), selecione http.

7. Para o Perfil SSL (Cliente), selecione o perfil SSL do cliente que você criou ou deixe o padrão para teste.

   

8. Para Tradução de Endereço de Origem, selecione Mapa Automático.

   

9. Para a Política de Acesso, selecione o Perfil de Acesso criado anteriormente. Essa ação vincula o perfil de pré-autenticação SAML do Microsoft Entra e a política de SSO de cabeçalhos ao servidor virtual.

10. Para Per-Request Policy, selecione SSO_Headers.

11. Para o Pool Padrão, selecione os objetos do pool de back-end que você criou.
12. Selecione Concluído.

Gerenciamento da sessão

Use as configurações de gerenciamento de sessão do BIG-IP para definir as condições de encerramento ou continuação das sessões de usuário. Crie uma política com Política de Acesso>Perfis de Acesso. Selecione um aplicativo na lista.

Com relação à funcionalidade de SLO, a definição de uma só URI de SLO no Microsoft Entra ID garante que uma saída iniciada pelo IdP do portal MyApps termine a sessão entre o cliente e o APM do BIG-IP. O arquivo XML de metadados de federação do aplicativo importado fornece ao APM o ponto de extremidade de saída SAML do Microsoft Entra para a saída iniciada por SP. Portanto, habilite o APM para saber quando um usuário sai.

Se você não usar o portal Web do BIG-IP, o usuário não poderá instruir o APM a sair. Se o usuário sair do aplicativo, o BIG-IP estará alheio à ação. A sessão do aplicativo pode ser restabelecida por meio do SSO. Portanto, a saída iniciada por SP precisa de uma consideração cuidadosa.

Para garantir que as sessões terminem com segurança, adicione uma função SLO ao botão Sair do aplicativo. Habilite-a para redirecionar o cliente para o ponto de extremidade de saída do SAML do Microsoft Entra. Para o ponto de extremidade de logout SAML do seu inquilino, vá para Registros de Aplicativos>Pontos de Extremidade.

Se não for possível alterar o aplicativo, ative o BIG-IP para ouvir a chamada de saída do aplicativo e acionar o SLO. Para saber mais:

• Vá para support.f5.com para K42052145: Configurando a terminação automática de sessão (logoff) com base em um nome de arquivo referenciado por URI
• Vá para my.f5.com e acesse K12056: Visão geral da opção Incluir URI de Logout

Implantar

1. Selecione Implantar para confirmar configurações.
2. Verifique se o aplicativo aparece em seu locatário.
3. O aplicativo é publicado e acessível via SHA, em sua URL ou nos portais da Microsoft.

Teste

Execute o teste a seguir como usuário.

1. Selecione a URL externa do aplicativo ou, no portal do MyApps, selecione o ícone do aplicativo.
2. Autentique-se no Microsoft Entra ID.
3. Um redirecionamento ocorre para o servidor virtual BIG-IP para o aplicativo e conectado com o SSO.
4. A saída do cabeçalho injetado é exibida pelo aplicativo baseado em cabeçalho.

Para aumentar a segurança, bloqueie o acesso direto ao aplicativo, impondo um caminho através do BIG-IP.

Solução de problemas

Use as diretrizes a seguir para solucionar problemas.

Detalhamento do log

Os logs do BIG-IP têm informações para ajudar a isolar problemas de autenticação e de SSO. Para aumentar o nível de detalhamento do log:

1. Vá para Política de Acesso>Visão Geral>Logs de Eventos.
2. Selecione Configurações.
3. Selecione a linha do aplicativo publicado.
4. Selecione Editar>Acessar Logs do Sistema.
5. Na lista SSO, selecione Depurar.
6. Selecione OK.
7. Reproduza o problema.
8. Analise os logs.
9. Quando terminar, reverta as configurações.

Mensagem de erro do BIG-IP

Se um erro de BIG-IP for exibido após o redirecionamento, talvez o problema esteja relacionado ao SSO do Azure AD para BIG-IP.

1. Navegue até Política de Acesso>Visão Geral.
2. Selecione relatórios do Access.
3. Execute o relatório da última hora.
4. Analise os logs em busca de pistas.
5. Para sua sessão, selecione o link Exibir variáveis de sessão .
6. Verifique se o APM recebe as declarações esperadas do Azure AD.

Nenhuma mensagem de erro do BIG-IP

Se uma mensagem de erro do BIG-IP não aparecer, o problema provavelmente estará mais relacionado ao SSO do BIG-IP no aplicativo de back-end.

1. Navegue até Política de Acesso>Visão Geral.
2. Selecione Sessões Ativas.
3. Selecione o link para sua sessão ativa.
4. Selecione o link Exibir Variáveis para determinar quaisquer problemas de SSO.
5. Confirme se o APM do BIG-IP falha ou consegue obter os identificadores de domínio e de usuário corretos.

Saiba mais:

• Vá para devcentral.f5.com para exemplos de atribuição de variáveis do APM
• Acesse techdocs.f5.com para BIG-IP Access Policy Manager: Editor de Política Visual

Recursos

• Autenticação sem senha
• O que é acesso condicional?
• Estrutura de Confiança Zero para habilitar o trabalho remoto