Tutorial: Configurar o botão F5 BIG-IP Easy para SSO para SAP ERP

  • Artigo

Neste artigo, aprenda a proteger o SAP ERP usando o Microsoft Entra ID, com F5 BIG-IP Easy Button Guided Configuration 16.1. A integração de um BIG-IP com o Microsoft Entra ID tem muitos benefícios:

Saiba mais:

Descrição do cenário

Este cenário inclui o aplicativo SAP ERP usando autenticação Kerberos para gerenciar o acesso ao conteúdo protegido.

Os aplicativos herdados carecem de protocolos modernos para suportar a integração com o Microsoft Entra ID. A modernização é cara, requer planejamento e introduz risco potencial de tempo de inatividade. Em vez disso, use um F5 BIG-IP Application Delivery Controller (ADC) para preencher a lacuna entre o aplicativo herdado e o plano de controle de ID moderno, por meio da transição de protocolo.

Um big-IP na frente do aplicativo permite a sobreposição do serviço com pré-autenticação do Microsoft Entra e SSO baseado em cabeçalhos. Essa configuração melhora a postura geral de segurança do aplicativo.

Arquitetura do cenário

A solução de acesso híbrido seguro (SHA) tem os seguintes componentes:

  • Aplicação SAP ERP - um serviço publicado BIG-IP protegido pelo Microsoft Entra SHA
  • Microsoft Entra ID - Provedor de identidade (IdP) SAML (Security Assertion Markup Language) que verifica as credenciais do usuário, Acesso Condicional e SSO baseado em SAML para o BIG-IP
  • BIG-IP - proxy reverso e provedor de serviços SAML (SP) para o aplicativo. O BIG-IP delega autenticação ao IdP SAML e, em seguida, executa o SSO baseado em cabeçalho para o serviço SAP

O SHA suporta fluxos iniciados por SP e IdP. A imagem a seguir ilustra o fluxo iniciado pelo SP.

Diagram of secure hybrid access, the SP initiated flow.

  1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP)
  2. A política de acesso BIG-IP APM redireciona o usuário para o Microsoft Entra ID (SAML IdP)
  3. O Microsoft Entra ID pré-autentica o usuário e aplica políticas de Acesso Condicional impostas
  4. O usuário é redirecionado para BIG-IP (SAML SP) e o SSO ocorre com o token SAML emitido
  5. BIG-IP solicita tíquete Kerberos do KDC
  6. BIG-IP envia solicitação para aplicativo back-end, com o tíquete Kerberos para SSO
  7. Aplicação autoriza pedido e devolve carga útil

Pré-requisitos

  • Uma conta Microsoft Entra ID Free ou superior
  • Um BIG-IP ou um BIG-IP Virtual Edition (VE) no Azure
  • Qualquer uma das seguintes licenças F5 BIG-IP:
    • F5 BIG-IP® Melhor pacote
    • F5 BIG-IP APM licença independente
    • Licença de complemento F5 BIG-IP APM em um BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) existente
    • Licença de avaliação completa de 90 dias do BIG-IP
  • Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID ou criadas no Microsoft Entra ID e fluídas de volta para o diretório local
  • Uma das seguintes funções: Administrador Global, Administrador de Aplicativos na Nuvem ou Administrador de Aplicativos.
  • Um certificado da Web SSL para publicar serviços sobre HTTPS ou usar certificados BIG-IP padrão para teste
  • Um ambiente SAP ERP configurado para autenticação Kerberos

Métodos de configuração BIG-IP

Este tutorial usa a Configuração Guiada 16.1 com um modelo de Botão Fácil. Com o Botão Fácil, os administradores não ficam entre o Microsoft Entra ID e um BIG-IP para habilitar serviços para SHA. O assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de políticas. Essa integração garante que os aplicativos ofereçam suporte à federação de identidades, SSO e acesso condicional.

Nota

Substitua cadeias de caracteres ou valores de exemplo neste guia por aqueles em seu ambiente.

Botão Registar Fácil

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Antes de um cliente ou serviço acessar o Microsoft Graph, a plataforma de identidade da Microsoft deve confiar nele.

Consulte Guia de início rápido: registrar um aplicativo com a plataforma de identidade da Microsoft

Registre o cliente Easy Button no Microsoft Entra ID e, em seguida, é permitido estabelecer uma confiança entre instâncias SAML SP de um aplicativo publicado BIG-IP e Microsoft Entra ID como o IdP SAML.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Aplicativos de identidade>>Registros de>aplicativos Novo registro.

  3. Insira um Nome para o novo aplicativo.

  4. Em Contas somente neste diretório organizacional, especifique quem pode usar o aplicativo.

  5. Selecione Registar.

  6. Navegue até Permissões de API.

  7. Autorize as seguintes permissões do Aplicativo Microsoft Graph:

    • Aplicação.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grupo.Read.All
    • IdentityRiskyUser.Read.All
    • Política.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Conceda consentimento de administrador para sua organização.

  9. Em Certificados & Segredos, gere um novo segredo de cliente.

  10. Observe o segredo para usar mais tarde.

  11. Em Visão geral, observe a ID do cliente e a ID do locatário.

Configurar o botão Fácil

  1. Inicie a configuração guiada pelo APM.
  2. Inicie o modelo Botão Fácil.
  3. A partir de um browser, inicie sessão na consola de gestão F5 BIG-IP.
  4. Navegue até Access Guided Configuration > Microsoft Integration>.
  5. Selecione Aplicativo Microsoft Entra.
  6. Revise a lista de configurações.
  7. Selecione Seguinte.
  8. Siga a sequência de configuração em Configuração do Aplicativo Microsoft Entra.

Screenshot of configuration sequence.

Propriedades de Configuração

A guia Propriedades de configuração tem propriedades de conta de serviço e cria uma configuração de aplicativo BIG-IP e um objeto SSO. A seção Detalhes da Conta de Serviço do Azure representa o cliente que você registrou como um aplicativo, no locatário do Microsoft Entra. Use as configurações do cliente OAuth BIG-IP para registrar individualmente uma controladora de armazenamento SAML no locatário, com as propriedades SSO. O Easy Button faz esta ação para serviços BIG-IP publicados e ativados para SHA.

Nota

Algumas configurações são globais e podem ser reutilizadas para publicar mais aplicativos.

  1. Insira um Nome de Configuração. Nomes exclusivos diferenciam as configurações do Easy Button.

  2. Para Single Sign-On (SSO) & HTTP Headers, selecione On.

  3. Para ID do Inquilino, ID do Cliente e Segredo do Cliente, insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou durante o registro do locatário.

  4. Selecione Testar Ligação. Esta ação confirma que o BIG-IP se conecta ao seu locatário.

  5. Selecione Seguinte.

    Screenshot of options and selections for Configuration Properties.

Fornecedor de Serviços

Use as configurações do provedor de serviços para definir as propriedades da instância do SP SAML do aplicativo protegido pelo SHA.

  1. Para Host, insira o FQDN (nome de domínio público totalmente qualificado) do aplicativo que está sendo protegido.

  2. Para ID de entidade, insira o identificador que o Microsoft Entra ID usa para identificar a controladora de armazenamento SAML que solicita um token.

    Screenshot options and selections for Service Provider.

  3. (Opcional) Use Configurações de Segurança para indicar que o Microsoft Entra ID criptografa asserções SAML emitidas. As asserções criptografadas entre o Microsoft Entra ID e o BIG-IP APM aumentam a garantia de que os tokens de conteúdo não são intercetados, nem os dados comprometidos.

  4. Em Assertion Decryption Private Key, selecione Create New.

    Screenshot of the Create New option from the Assertion Decryption Private Key list.

  5. Selecione OK.

  6. A caixa de diálogo Importar Certificado SSL e Chaves aparece em uma nova guia.

  7. Para importar o certificado e a chave privada, selecione PKCS 12 (IIS).

  8. Feche a guia do navegador para retornar à guia principal.

    Screenshot of options and selections for Import SSL Certificates and Keys.

  9. Para Habilitar Asserção Criptografada, marque a caixa.

  10. Se você habilitou a criptografia, na lista Assertion Decryption Private Key, selecione a chave privada para o certificado que o BIG-IP APM usa para descriptografar as asserções do Microsoft Entra.

  11. Se você habilitou a criptografia, na lista Certificado de Descriptografia de Asserção , selecione o certificado que o BIG-IP carrega para o ID do Microsoft Entra para criptografar as asserções SAML emitidas.

Screenshot of options and selections for Service Provider.

Microsoft Entra ID

O Easy Button tem modelos de aplicativos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico.

  1. Para iniciar a configuração do Azure, selecione SAP ERP Central Component > Add.

    Screenshot of the SAP ERP Central Component option on Azure Configuration and the Add button.

    Nota

    Você pode usar as informações nas seções a seguir ao configurar manualmente um novo aplicativo BIG-IP SAML em um locatário do Microsoft Entra.

Configuração do Azure

  1. Em Nome para Exibição, insira o aplicativo que o BIG-IP cria no locatário do Microsoft Entra. O nome aparece no ícone no portal Meus Aplicativos .

  2. (Opcional) deixe o URL de Início de Sessão (opcional) em branco.

    Screenshot of entries for Display Name and Sign On URL.

  3. Ao lado de Chave de assinatura, selecione atualizar.

  4. Selecione Certificado de assinatura. Esta ação localiza o certificado que você inseriu.

  5. Para Senha da chave de assinatura, insira a senha do certificado.

  6. (Opcional) Habilite a opção de assinatura. Essa opção garante que o BIG-IP aceite tokens e declarações assinadas pelo ID do Microsoft Entra

    Screenshot of entries for Signing Key, Signing Certificate, and Signing Key Passphrase.

  7. Usuários e Grupos de Usuários são consultados dinamicamente a partir do seu locatário do Microsoft Entra. Os grupos ajudam a autorizar o acesso ao aplicativo.

  8. Adicione um usuário ou grupo para teste, caso contrário, o acesso será negado.

    Screenshot of the Add button on User And User Groups.

Atributos do usuário & Declarações

Quando os usuários se autenticam no Microsoft Entra ID, ele emite um token SAML com declarações e atributos padrão que identificam o usuário. A guia Atributos do Usuário & Declarações mostra as declarações padrão a serem emitidas para o novo aplicativo. Use-o para configurar mais declarações.

Este tutorial é baseado em um sufixo de domínio .com usado interna e externamente. Nenhum outro atributo é necessário para obter uma implementação funcional de SSO de delegação restrita de Kerberos (KCD).

Screenshot of the User Attributes & Claims tab.

Você pode incluir mais atributos do Microsoft Entra. Para este tutorial, o SAP ERP requer os atributos padrão.

Saiba mais: Tutorial: Configurar o F5 BIG-IP Access Policy Manager para autenticação Kerberos. Consulte instruções sobre vários domínios ou login de usuário com sufixos alternativos.

Atributos de usuário adicionais

A guia Atributos de Usuário Adicionais oferece suporte a sistemas distribuídos que exigem atributos armazenados em outros diretórios, para aumento de sessão. Assim, os atributos de uma fonte LDAP são injetados como mais cabeçalhos SSO para controlar o acesso baseado em função, IDs de parceiros, etc.

Nota

Esse recurso não tem correlação com o ID do Microsoft Entra, mas é outra fonte de atributo.

Política de Acesso Condicional

As políticas de Acesso Condicional são aplicadas após a pré-autenticação do Microsoft Entra. Essa ação controla o acesso com base no dispositivo, aplicativo, localização e sinais de risco.

O modo de exibição Políticas Disponíveis lista as políticas de Acesso Condicional sem ações baseadas no usuário.

O modo de exibição Políticas selecionadas lista as políticas direcionadas a aplicativos na nuvem. Não é possível desmarcar essas políticas, nem movê-las para a lista Políticas Disponíveis porque elas são aplicadas no nível do locatário.

Para selecionar uma política para o aplicativo que está sendo publicado:

  1. Na lista Políticas disponíveis, selecione a política.
  2. Selecione a seta para a direita.
  3. Mova a política para a lista Políticas Selecionadas .

As políticas selecionadas têm uma opção Incluir ou Excluir marcada. Se ambas as opções estiverem marcadas, a política selecionada não será imposta.

Screenshot of excluded policies in Selected Policies.

Nota

A lista de políticas aparece quando você seleciona inicialmente essa guia. Use o botão Atualizar para consultar seu locatário. A atualização aparece quando o aplicativo é implantado.

Propriedades do Virtual Server

Um servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual. Este servidor escuta as solicitações do cliente para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil APM associado ao servidor virtual. O tráfego é então direcionado de acordo com a política.

  1. Insira um endereço de destino. Use o endereço IPv4/IPv6 que o BIG-IP usa para receber tráfego de cliente. Um registro correspondente está no DNS, o que permite que os clientes resolvam a URL externa do aplicativo publicado BIG-IP para esse IP. Você pode usar um DNS de host local do computador de teste para teste.
  2. Em Porta de serviço, digite 443.
  3. Selecione HTTPS.
  4. Para Ativar porta de redirecionamento, marque a caixa.
  5. Para Porta de redirecionamento, insira um número e selecione HTTP. Esta opção redireciona o tráfego de entrada do cliente HTTP para HTTPS.
  6. Selecione o Perfil SSL do Cliente que você criou. Ou deixe o padrão para teste. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, para que as conexões do cliente sejam criptografadas por TLS.

Screenshot of options and selections for Virtual Server Properties.

Propriedades da piscina

A guia Pool de Aplicativos tem serviços por trás de um BIG-IP, representado como um pool com servidores de aplicativos.

  1. Em Selecionar um pool, selecione Criar novo ou selecione um pool.

  2. Para Método de Balanceamento de Carga, selecione Round Robin.

  3. Para Servidores de Pool , selecione um nó de servidor ou insira um IP e uma porta para o nó back-end que hospeda o aplicativo baseado em cabeçalho.

    Screenshot of options and selections for Application Pool.

Logon único & cabeçalhos HTTP

Use o SSO para habilitar o acesso a serviços publicados pelo BIG-IP sem inserir credenciais. O assistente Easy Button suporta Kerberos, OAuth Bearer e cabeçalhos de autorização HTTP para SSO. Para obter as instruções a seguir, você precisa da conta de delegação Kerberos criada.

  1. Em Single Sign-On & HTTP Headers, para Advanced Settings, selecione On.

  2. Em Tipo de Logon Único Selecionado, selecione Kerberos.

  3. Em Username Source, insira uma variável de sessão como a origem do ID do usuário. session.saml.last.identity mantém a declaração Microsoft Entra com o ID de usuário conectado.

  4. A opção Origem do território do usuário será necessária se o domínio do usuário for diferente do reino kerberos do BIG-IP. Assim, a variável de sessão APM contém o domínio de usuário assinado. Por exemplo, session.saml.last.attr.name.domain.

    Screenshot of options and selections for Single Sign-On & HTTP Headers.

  5. Para KDC, insira um IP do controlador de domínio ou FQDN se o DNS estiver configurado.

  6. Para Suporte UPN, marque a caixa. O APM usa o UPN para emissão de tíquetes kerberos.

  7. Para SPN Pattern, insira HTTP/%h. Essa ação informa o APM para usar o cabeçalho de host de solicitação de cliente e criar o SPN para o qual está solicitando um token kerberos.

  8. Para Enviar autorização, desative a opção para aplicativos que negociam autenticação. Por exemplo, o Tomcat.

    Screenshot of options and selections for SSO Method Configuration.

Gestão de Sessões

Use as configurações de gerenciamento de sessão BIG-IP para definir condições quando as sessões do usuário terminam ou continuam. As condições incluem limites para usuários e endereços IP e informações de usuário correspondentes.

Para saber mais, acesse my.f5.com para K18390492: Segurança | Guia de operações do BIG-IP APM

O guia de operações não abrange o Single Log-Out (SLO). Esse recurso garante que as sessões entre o IdP, o BIG-IP e o agente do usuário sejam encerradas quando os usuários saírem. O Botão Fácil implanta um aplicativo SAML no locatário do Microsoft Entra. Ele preenche a URL de Logout com o ponto de extremidade SLO do APM. A saída iniciada pelo IdP do portal Meus Aplicativos encerra a sessão do BIG-IP e do cliente.

Durante a implantação, os metadados de federação SAML do aplicativo publicado são importados do locatário. Esta ação fornece ao APM o ponto de extremidade de saída SAML para o ID do Microsoft Entra e ajuda a saída iniciada pelo SP a encerrar o cliente e a sessão do Microsoft Entra.

Implementação

  1. Selecione Implementar.
  2. Verifique se o aplicativo está na lista de aplicativos corporativos do locatário.
  3. Com um navegador, conecte-se à URL externa do aplicativo ou selecione o ícone do aplicativo em Meus Aplicativos.
  4. Autentique-se no Microsoft Entra ID.
  5. Você é redirecionado para o servidor virtual BIG-IP e entra por meio de SSO.

Para maior segurança, você pode bloquear o acesso direto ao aplicativo, impondo assim um caminho através do BIG-IP.

Implementação avançada

Os modelos de Configuração Guiada às vezes carecem de flexibilidade.

Saiba mais: Tutorial: Configurar o F5 BIG-IP Access Policy Manager para autenticação Kerberos.

Desativar o modo de gerenciamento estrito

Como alternativa, no BIG-IP você pode desativar o modo de gerenciamento estrito Configuração Guiada. Você pode alterar suas configurações manualmente, embora a maioria das configurações seja automatizada com modelos de assistente.

  1. Navegue até Configuração guiada de acesso>.

  2. No final da linha para a configuração do seu aplicativo, selecione o cadeado.

  3. Os objetos BIG-IP associados ao aplicativo publicado são desbloqueados para gerenciamento. As alterações por meio da interface do usuário do assistente não são mais possíveis.

    Screenshot of the padlock icon.

    Nota

    Para reativar o modo de gerenciamento estrito e implantar uma configuração que substitua as configurações fora da interface do usuário de configuração guiada, recomendamos o método de configuração avançada para serviços de produção.

Resolução de Problemas

Se você não conseguir acessar o aplicativo protegido por SHA, consulte as seguintes diretrizes de solução de problemas.

  • Kerberos é sensível ao tempo. Certifique-se de que os servidores e clientes estejam definidos para a hora correta e sincronizados com uma fonte de tempo confiável.
  • Verifique se o controlador de domínio e o nome de host do aplicativo Web são resolvidos no DNS.
  • Confirme se não há SPNs duplicados no ambiente.
    • Em um computador de domínio, na linha de comando, use a consulta: setspn -q HTTP/my_target_SPN

Para validar uma configuração de KCD de aplicativo IIS, consulte Solucionar problemas de configurações de KCD para proxy de aplicativo

Ir para techdocs.f5.com para o Método de Logon Único Kerberos

Análise de registos

Verborrácia do log

O registro em log BIG-IP isola problemas de conectividade, SSO, violações de política ou mapeamentos de variáveis mal configurados. Para iniciar a solução de problemas, aumente a verbosidade do log.

  1. Navegue até Visão geral da política > de acesso.
  2. Selecione Logs de eventos.
  3. Selecione Definições.
  4. Selecione a linha para o seu aplicativo publicado.
  5. Selecione Editar.
  6. Selecione Acessar logs do sistema
  7. Na lista SSO, selecione Depurar.
  8. Selecione OK.
  9. Reproduza o problema.
  10. Inspecione os registros.

Quando a inspeção estiver concluída, reverta a verbosidade do log porque esse modo gera dados excessivos.

Mensagem de erro BIG-IP

Se uma mensagem de erro BIG-IP aparecer após a pré-autenticação do Microsoft Entra, o problema pode estar relacionado ao ID do Microsoft Entra para BIG-IP SSO.

  1. Navegue até Visão geral do acesso>.
  2. Selecione Acessar relatórios.
  3. Execute o relatório na última hora.
  4. Inspecione os registros.

Use o link Exibir variáveis de sessão da sessão atual para ver se o APM recebe as declarações esperadas do Microsoft Entra.

Nenhuma mensagem de erro BIG-IP

Se nenhuma mensagem de erro BIG-IP aparecer, o problema pode estar relacionado à solicitação de back-end ou BIG-IP ao SSO do aplicativo.

  1. Navegue até Visão geral da política > de acesso.
  2. Selecione Sessões ativas.
  3. Selecione o link para a sessão atual.
  4. Use o link Exibir variáveis para identificar problemas de KCD, especialmente se o BIG-IP APM não obtiver identificadores de usuário e domínio corretos de variáveis de sessão.

Saiba mais: