Integrar o F5 BIG-IP ao Microsoft Entra ID

Com o aumento do cenário de ameaças e o uso de vários dispositivos móveis, as organizações estão repensando o acesso e a governança de recursos. Parte dos programas de modernização inclui avaliar sua preparação entre identidades, dispositivos, aplicativos, infraestrutura, rede e dados. Você pode aprender sobre a Estrutura de Confiança Zero para habilitar o trabalho remoto e a ferramenta de Avaliação de Confiança Zero.

A transformação digital é uma jornada de longo prazo, e recursos potencialmente críticos são expostos até serem modernizados. O objetivo do F5 BIG-IP e do SHA (acesso híbrido seguro) do Microsoft Entra ID é aprimorar o acesso remoto aos aplicativos locais e fortalecer a postura de segurança de serviços herdados vulneráveis.

Um estudo estima que 60% a 80% dos aplicativos locais são herdados ou não podem ser integrados ao Microsoft Entra ID. O mesmo estudo também indica que uma grande proporção de sistemas similares é executada em versões anteriores do SAP, do Oracle, do SAGE e de outras cargas de trabalho bem conhecidas de serviços críticos.

O SHA permite que as organizações continuem usando investimentos em rede F5 e entrega de aplicativos. Com o Microsoft Entra ID, o SHA faz a ponte com o painel de controle de identidade.

Benefícios

Quando o Microsoft Entra ID pré-autentica o acesso aos serviços publicados em BIG-IP, há muitos benefícios:

• Autenticação sem senha com:
  • Windows Hello para Empresas
  • Microsoft Authenticator
  • Chaves FIDO (Fast Identity Online)
  • Autenticação baseada em certificado

Outros benefícios incluem:

• Um painel de controle para controlar a identidade e o acesso
  • O centro de administração do Microsoft Entra
• Acesso condicional preemptivo
• Autenticação multifator do Microsoft Entra
• Proteção adaptável por meio da criação de perfil de risco do usuário e da sessão
  • Microsoft Entra ID Protection
• Redefinição de senha self-service (SSPR)
• Gerenciamento de direitos para acesso para convidado controlado
  • Colaboração com parceiros
• Descoberta e controle de aplicativo
  • Defender para Aplicativos de Nuvem
• Monitoramento e análise de ameaças com o Microsoft Sentinel

Descrição do cenário

Como um ADC (Controlador de Entrega de Aplicativos) e uma SSL-VPN (rede virtual privada em SSL), o sistema BIG-IP fornece acesso local e remoto a serviços, incluindo:

• Aplicativos Web modernos e herdados
• Aplicativos sem base na Web
• Serviços de API (interface de programação de aplicativo) Web REST (Transferência de Estado Representacional) e SOAP (Protocolo Simples de Acesso a Objeto)

O LTM (Gerenciador de Tráfego Local) do BIG-IP é destinado à publicação de serviço seguro, enquanto um APM (Gerenciador de Políticas de Acesso) estende as funções do BIG-IP que permitem federação de identidade e SSO (logon único).

Com a integração, você obtém a transição de protocolo para proteger serviços herdados ou outros integrados, com controles como:

• Autenticação sem senha
• Acesso Condicional

No cenário, um BIG-IP é um proxy reverso que entrega a pré-autenticação e a autorização do serviço para o Microsoft Entra ID. A integração é baseada em uma relação de confiança de federação padrão entre o APM e o Microsoft Entra ID. Esse cenário é comum com o SHA. Saiba mais: Configurar o F5 BIG-IP SSL-VPN para o SSO do Microsoft Entra. Com o SHA, você pode proteger os recursos SAML (Linguagem de Marcação de Declaração de Segurança), OAuth (Open Authorization - Autorização Aberta) e OIDC (Open ID Connect).

Observação

Quando usado para acesso local e remoto, um BIG-IP pode ser um ponto de restrição de acesso de Confiança Zero aos serviços, incluindo aplicativos SaaS (software como serviço).

O diagrama a seguir ilustra a troca de pré-autenticação de front-end entre um usuário, um BIG-IP e o Microsoft Entra ID, em um fluxo iniciado por SP (provedor de serviços). Isso mostra o aprimoramento da sessão seguinte do APM e o SSO para serviços de back-end individuais.

1. Os usuários escolhem um ícone de aplicativo no portal, resolvendo a URL para o SP do SAML (BIG-IP)
2. O BIG-IP redireciona o usuário para o IdP (provedor de identidade SAML), o Microsoft Entra ID, para pré-autenticação
3. O Microsoft Entra ID processa as políticas de acesso condicional e os controles de sessão para autorização
4. Os usuários retornam ao BIG-IP e apresentam as declarações SAML emitidas pelo Microsoft Entra ID
5. O BIG-IP solicita informações de sessão para SSO e RBAC (controle de acesso baseado em função) para o serviço publicado
6. O BIG-IP encaminha a solicitação do cliente ao serviço de back-end

Experiência do usuário

Seja um funcionário, uma afiliada ou um consumidor, a maioria dos usuários está familiarizada com a experiência de entrada do Office 365. Acessar serviços BIG-IP é semelhante.

Os usuários podem encontrar os serviços publicados do BIG-IP deles no portal Meus Aplicativos ou no inicializador de aplicativos do Microsoft 365 com funcionalidades de autoatendimento, independentemente do dispositivo ou do local. Os usuários podem continuar acessando os serviços publicados com o portal Webtop do BIG-IP. Quando os usuários se desconectam, o SHA garante o encerramento da sessão do BIG-IP e do Microsoft Entra ID, ajudando os serviços a permanecer protegidos contra o acesso não autorizado.

Os usuários acessam o portal Meus Aplicativos para encontrar os serviços publicados do BIG-IP e gerenciar as propriedades de conta deles. Confira a galeria e a página nos gráficos a seguir.

Insights e análises

Você pode monitorar instâncias implantadas do BIG-IP para garantir que os serviços publicados estejam altamente disponíveis, no nível do SHA e operacionalmente.

Há várias opções para registrar eventos local ou remotamente por meio de uma solução SIEM (Gerenciamento de Eventos e Informações de Segurança), que permite o processamento de armazenamento e telemetria. Para monitorar o Microsoft Entra ID e as atividades do SHA, use o Azure Monitor e o Microsoft Sentinel juntos:

• Visão geral detalhada da sua organização, potencialmente em várias nuvens e locais físicos, incluindo a infraestrutura de BIG-IP

• Um plano de controle com a visualização de sinais, evitando a dependência de ferramentas complexas e diferentes

  

Pré-requisitos de integração

Não é preciso ter experiência anterior ou conhecimentos sobre o F5 BIG-IP para implementar o SHA, mas recomendamos que você se familiarize com a terminologia do F5 BIG-IP. Confira o serviço Glossário do F5.

A integração de um F5 BIG-IP ao Microsoft Entra ID para SHA tem os seguintes pré-requisitos:

• Uma instância do F5 BIG-IP em execução em:

  • Dispositivo físico
  • Hypervisor Virtual Edition, como Microsoft Hyper-V, VMware ESXi, KVM (máquina virtual baseada em kernel) do Linux e Hipervisor Citrix
  • Cloud Virtual Edition, como Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack e Google Cloud

  Observação

  A instância do BIG-IP pode ser local ou estar em uma plataforma de nuvem com suporte, incluindo o Azure. A instância tem conectividade com a Internet, recursos sendo publicados e outros serviços.

• Uma licença ativa do APM BIG-IP da F5:

  • Pacote BIG-IP® Best da F5
  • Licença autônoma do BIG-IP Access Policy Manager™ da F5
  • Licença de complemento do APM (BIG-IP Access Policy Manager™) da F5 em um LTM (Local Traffic Manager™) do BIG-IP® da F5 já existente
  • Uma licença de avaliação do APM (BIG-IP Access Policy Manager™) válida por 90 dias

• Licenciamento do Microsoft Entra ID:

  • Uma conta gratuita do Azure tem requisitos básicos mínimos para SHA com autenticação sem senha
  • Uma assinatura Premium tem o acesso condicional, a autenticação multifator e a Microsoft Entra ID Protection

Cenários de configuração

Você pode configurar um BIG-IP para SHA com opções baseadas em modelo ou uma configuração manual. Os tutoriais a seguir trazem diretrizes sobre como implementar o BIG-IP e o acesso híbrido seguro do Microsoft Entra ID.

Configuração avançada

A abordagem avançada é uma forma flexível de implementar o SHA. Você deve criar manualmente todos os objetos de configuração do BIG-IP. Use essa abordagem para cenários que não estão em modelos de configuração guiados.

Tutoriais de configuração avançada:

• Passo a passo da implantação do BIG-IP da F5 no Azure
• BIG-IP SSL-VPN da F5 com SHA do Microsoft Entra
• O Azure AD B2C protege aplicativos usando F5 BIG-IP
• APM BIG-IP da F5 e SSO do Microsoft Entra para aplicativos Kerberos
• APM BIG-IP da F5 e SSO do Microsoft Entra para aplicativos baseados em cabeçalho
• APM BIG-IP da F5 e SSO do Microsoft Entra para aplicativos baseados em formulários

Configuração guiada e modelos de botão fácil

O assistente de Configuração Guiada do BIG-IP versão 13.1 minimiza o tempo e o esforço para implementar cenários comuns de publicação do BIG-IP. A estrutura do fluxo de trabalho dele fornece uma experiência de implantação intuitiva para topologias de acesso específicas.

A Configuração Guiada versão 16.x tem o recurso Botão Fácil. Os administradores não vão e voltam entre o Microsoft Entra ID e um BIG-IP para habilitar serviços para SHA. O Assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de política. Essa integração entre o BIG-IP APM e o Microsoft Entra ID garante que os aplicativos deem suporte à federação de identidade, ao SSO e ao acesso condicional do Microsoft Entra, sem a despesa administrativa de precisar executar essas tarefas para cada aplicativo.

Tutoriais para usar modelos do Easy Button, Easy Button do BIG-IP da F5 para SSO para:

• Aplicativos Kerberos
• Aplicativos baseados em cabeçalho
• Aplicativos LDAP (Protocolo Leve de Acesso a Diretórios) e baseados em cabeçalho
• Oracle EBS (Pacote Empresarial de Negócios)
• Oracle JD Edwards
• Oracle PeopleSoft
• SAP ERP (Planejamento de Recursos Empresariais)

Acesso de convidado B2B do Microsoft Entra

É possível obter o acesso para convidado B2B do Microsoft Entra aos aplicativos protegidos por SHA, mas isso pode exigir etapas que não estão nos tutoriais. Um exemplo é o SSO do Kerberos, em que um BIG-IP executará a KCD (delegação restrita de Kerberos) para obter um tíquete de serviço dos controladores de domínio. Sem uma representação local de um usuário convidado local, um controlador de domínio não atende à solicitação porque não há nenhum usuário. Para dar suporte a esse cenário, verifique se as identidades externas fluem do seu locatário do Microsoft Entra para o diretório usado pelo aplicativo.

Saiba mais: Conceder acesso aos aplicativos locais aos usuários B2B do Microsoft Entra ID

Próximas etapas

Você pode realizar uma prova de conceito (POC) para SHA usando sua infraestrutura BIG-IP ou implantando uma máquina virtual BIG-IP Virtual Edition no Azure. Leva aproximadamente 30 minutos para implantar uma VM (máquina virtual) no Azure. O resultado é:

• Uma plataforma protegida para modelar um piloto do SHA
• Uma instância de pré-produção para teste de novas atualizações e hotfixes do sistema BIG-IP

Identifique um ou dois aplicativos a serem publicados com BIG-IP e protegidos com SHA.

Nossa recomendação é começar com um aplicativo que não esteja publicado por meio de um BIG-IP. Essa ação evita possíveis interrupções nos serviços de produção. As diretrizes deste artigo podem ajudar você a aprender sobre o procedimento para criar objetos de configuração do BIG-IP e configurar o SHA. Em seguida, você pode converter serviços publicados do BIG-IP em SHA.

Recursos

• Estratégias sem senha
• Acesso híbrido seguro ao Microsoft Entra ID
• Estrutura Zero Trust da Microsoft para permitir o trabalho remoto
• Microsoft Sentinel