Tutorial: Configurar o SSO entre o ID do Microsoft Entra e o botão fácil BIG-IP do F5 para SSO baseado em cabeçalho
Neste tutorial, você aprenderá como integrar o F5 ao Microsoft Entra ID. Ao integrar F5 com o Microsoft Entra ID, você pode:
- Controle no Microsoft Entra ID quem tem acesso a F5.
- Permita que seus usuários entrem automaticamente no F5 com suas contas do Microsoft Entra.
- Gerencie suas contas em um local central.
Nota
F5 BIG-IP APM Compre agora.
Descrição do cenário
Este cenário examina o aplicativo herdado clássico usando cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido.
Sendo legado, o aplicativo carece de protocolos modernos para suportar uma integração direta com o Microsoft Entra ID. O aplicativo pode ser modernizado, mas é caro, requer planejamento cuidadoso e introduz risco de tempo de inatividade potencial. Em vez disso, um F5 BIG-IP Application Delivery Controller (ADC) é usado para preencher a lacuna entre o aplicativo herdado e o plano de controle de ID moderno, por meio da transição de protocolo.
Ter um BIG-IP na frente do aplicativo nos permite sobrepor o serviço com pré-autenticação do Microsoft Entra e SSO baseado em cabeçalhos, melhorando significativamente a postura geral de segurança do aplicativo.
Nota
As organizações também podem obter acesso remoto a esse tipo de aplicativo com o proxy de aplicativo Microsoft Entra.
Arquitetura do cenário
A solução SHA para este cenário é composta por:
Aplicação: Serviço publicado BIG-IP para ser protegido pelo Microsoft Entra SHA.
Microsoft Entra ID: Security Assertion Markup Language (IdP) Identity Provider (IdP) responsável pela verificação de credenciais de usuário, Acesso Condicional e SSO baseado em SAML para o BIG-IP. Através do SSO, o Microsoft Entra ID fornece ao BIG-IP todos os atributos de sessão necessários.
BIG-IP: Proxy reverso e provedor de serviços SAML (SP) para o aplicativo, delegando autenticação ao IdP SAML antes de executar o SSO baseado em cabeçalho para o aplicativo de back-end.
SHA para este cenário suporta fluxos iniciados por SP e IdP. A imagem a seguir ilustra o fluxo iniciado pelo SP.
Passos | Description |
---|---|
5 | O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP) |
2 | A política de acesso BIG-IP APM redireciona o usuário para o Microsoft Entra ID (SAML IdP) |
3 | O Microsoft Entra ID pré-autentica o usuário e aplica todas as políticas de Acesso Condicional impostas |
4 | O usuário é redirecionado para BIG-IP (SAML SP) e o SSO é executado usando o token SAML emitido |
5 | O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos em solicitação ao aplicativo |
6 | Aplicação autoriza pedido e devolve carga útil |
Pré-requisitos
Não é necessária experiência prévia em BIG-IP, mas você precisará:
Uma subscrição gratuita do Microsoft Entra ID ou superior.
Um BIG-IP existente ou implantar um BIG-IP Virtual Edition (VE) no Azure..
Qualquer um dos seguintes SKUs de licença F5 BIG-IP.
F5 BIG-IP® Melhor pacote.
Licença autónoma F5 BIG-IP Access Policy Manager™ (APM).
F5 BIG-IP Access Policy Manager™ (APM) licença complementar em um BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) existente.
Licença de avaliação completa de 90 dias do BIG-IP.
Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID.
Uma conta com permissões de Administrador de Aplicativos do Microsoft Entra.
Um certificado da Web SSL para publicar serviços por HTTPS ou usar certificados BIG-IP padrão durante o teste.
Um aplicativo baseado em cabeçalho existente ou configurar um aplicativo de cabeçalho do IIS simples para teste.
Métodos de configuração BIG-IP
Há muitos métodos para configurar o BIG-IP para esse cenário, incluindo duas opções baseadas em modelo e uma configuração avançada. Este tutorial aborda a configuração guiada 16.1 mais recente que oferece um modelo de botão Fácil. Com o Botão Fácil, os administradores não vão e voltam entre o Microsoft Entra ID e um BIG-IP para habilitar serviços para SHA. A implantação e o gerenciamento de políticas são tratados diretamente entre o assistente de Configuração Guiada do APM e o Microsoft Graph. Essa integração avançada entre o BIG-IP APM e o Microsoft Entra ID garante que os aplicativos possam oferecer suporte rápido e fácil à federação de identidades, SSO e Acesso Condicional do Microsoft Entra, reduzindo a sobrecarga administrativa.
Nota
Todas as cadeias de caracteres ou valores de exemplo referenciados ao longo deste guia devem ser substituídos por aqueles para o seu ambiente real.
Botão Registar Fácil
Antes que um cliente ou serviço possa acessar o Microsoft Graph, ele deve ser confiável pela plataforma de identidade da Microsoft.
Esta primeira etapa cria um registro de aplicativo de locatário que será usado para autorizar o acesso do Botão Fácil ao Graph. Por meio dessas permissões, o BIG-IP terá permissão para enviar por push as configurações necessárias para estabelecer uma relação de confiança entre uma instância do SP SAML para o aplicativo publicado e o ID do Microsoft Entra como o IdP SAML.
Entre no portal do Azure usando uma conta com direitos administrativos de aplicativo.
No painel de navegação esquerdo, selecione o serviço Microsoft Entra ID .
Em Gerir, selecione Registos de>aplicações Novo registo.
Insira um nome para exibição para seu aplicativo, como
F5 BIG-IP Easy Button
.Especifique quem pode usar as Contas do aplicativo >somente neste diretório organizacional.
Selecione Registrar para concluir o registro inicial do aplicativo.
Navegue até permissões de API e autorize as seguintes permissões do Aplicativo Microsoft Graph:
- Aplicação.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Grupo.Read.All
- IdentityRiskyUser.Read.All
- Política.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Conceda consentimento de administrador para sua organização.
Na folha Certificados & Segredos, gere um novo segredo do cliente e anote-o.
Na folha Visão geral, anote a ID do Cliente e a ID do Locatário.
Configurar o botão Fácil
Inicie a Configuração Guiada do APM para iniciar o Modelo de Botão Fácil.
Navegue até Access Guided Configuration > Microsoft Integration e selecione Microsoft Entra Application>.
Em Configurando a solução usando as etapas abaixo criará os objetos necessários, revise a lista de etapas de configuração e selecione Avançar.
Em Configuração guiada, siga a sequência de etapas necessárias para publicar seu aplicativo.
Propriedades de Configuração
A guia Propriedades de configuração cria uma configuração de aplicativo BIG-IP e um objeto SSO. Considere a seção Detalhes da Conta de Serviço do Azure para representar o cliente que você registrou em seu locatário do Microsoft Entra anteriormente, como um aplicativo. Essas configurações permitem que o cliente OAuth de um BIG-IP registre individualmente uma controladora de armazenamento SAML diretamente em seu locatário, juntamente com as propriedades de SSO que você normalmente configuraria manualmente. O Easy Button faz isso para cada serviço BIG-IP que está sendo publicado e ativado para SHA.
Algumas delas são configurações globais, portanto, podem ser reutilizadas para publicar mais aplicativos, reduzindo ainda mais o tempo e o esforço de implantação.
Insira um Nome de Configuração exclusivo para que os administradores possam distinguir facilmente entre as configurações do Botão Fácil.
Habilite o logon único (SSO) & cabeçalhos HTTP.
Introduza o ID do Inquilino, o ID do Cliente e o Segredo do Cliente que anotou ao registar o cliente do Botão Fácil no seu inquilino.
Confirme se o BIG-IP pode se conectar com êxito ao seu locatário e selecione Avançar.
Fornecedor de Serviços
As configurações do provedor de serviços definem as propriedades para a instância SAML SP do aplicativo protegido por SHA.
Entre em Host. Este é o FQDN público do aplicativo que está sendo protegido.
Insira o ID da entidade. Este é o identificador que o Microsoft Entra ID usará para identificar a controladora de armazenamento SAML que solicita um token.
As Configurações de Segurança opcionais especificam se o ID do Microsoft Entra deve criptografar asserções SAML emitidas. A criptografia de asserções entre o Microsoft Entra ID e o BIG-IP APM fornece garantia adicional de que os tokens de conteúdo não podem ser intercetados e os dados pessoais ou corporativos são comprometidos.
Na lista Assertion Decryption Private Key, selecione Create New.
Selecione OK. Isso abre a caixa de diálogo Importar Certificado SSL e Chaves em uma nova guia.
Selecione PKCS 12 (IIS) para importar o certificado e a chave privada. Uma vez provisionado, feche a guia do navegador para retornar à guia principal.
Marque Ativar asserção criptografada.
Se tiver ativado a encriptação, selecione o seu certificado na lista Chave Privada de Desencriptação de Asserção. Esta é a chave privada para o certificado que o BIG-IP APM usará para descriptografar as asserções do Microsoft Entra.
Se tiver ativado a encriptação, selecione o seu certificado na lista Certificado de Desencriptação de Asserção . Este é o certificado que o BIG-IP carregará para o Microsoft Entra ID para criptografar as asserções SAML emitidas.
Microsoft Entra ID
Esta seção define todas as propriedades que você normalmente usaria para configurar manualmente um novo aplicativo BIG-IP SAML em seu locatário do Microsoft Entra. O Easy Button fornece um conjunto de modelos de aplicativos predefinidos para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP, bem como modelos SHA genéricos para quaisquer outros aplicativos.
Para esse cenário, na página Configuração do Azure, selecione F5 BIG-IP APM Azure AD Integration>Add.
Configuração do Azure
Na página Configuração do Azure, siga estas etapas:
Em Propriedades de Configuração, insira Nome de Exibição do aplicativo que o BIG-IP cria em seu locatário do Microsoft Entra e o ícone que os usuários verão no portal MyApps.
Não insira nada na URL de logon (opcional) para habilitar o logon iniciado pelo IdP.
Selecione o ícone de atualização ao lado da Chave de Assinatura e do Certificado de Assinatura para localizar o certificado importado anteriormente.
Insira a senha do certificado em Senha da chave de assinatura.
Habilite a opção de assinatura (opcional). Isso garante que o BIG-IP só aceite tokens e declarações assinadas pelo Microsoft Entra ID.
Usuários e Grupos de Usuários são consultados dinamicamente do locatário do Microsoft Entra e usados para autorizar o acesso ao aplicativo. Adicione um usuário ou grupo que você possa usar mais tarde para teste, caso contrário, todo o acesso será negado.
Atributos do usuário & Declarações
Quando um usuário se autentica com êxito, o Microsoft Entra ID emite um token SAML com um conjunto padrão de declarações e atributos que identificam exclusivamente o usuário. A guia Atributos do Usuário & Declarações mostra as declarações padrão a serem emitidas para o novo aplicativo. Ele também permite configurar mais declarações.
Neste exemplo, você pode incluir mais um atributo:
Digite Nome do cabeçalho como employeeid.
Insira Source Attribute como user.employeeid.
Atributos de usuário adicionais
Na guia Atributos de usuário adicionais, você pode habilitar o aumento de sessão exigido por uma variedade de sistemas distribuídos, como Oracle, SAP e outras implementações baseadas em JAVA que exigem atributos armazenados em outros diretórios. Os atributos obtidos de uma fonte LDAP podem ser injetados como cabeçalhos SSO adicionais para controlar ainda mais o acesso com base em funções, IDs de parceiros e assim por diante.
Nota
Esse recurso não tem correlação com o ID do Microsoft Entra, mas é outra fonte de atributos.
Política de Acesso Condicional
As políticas de Acesso Condicional são aplicadas após a pré-autenticação do Microsoft Entra, para controlar o acesso com base no dispositivo, aplicativo, local e sinais de risco.
O modo de exibição Políticas Disponíveis, por padrão, listará todas as políticas de Acesso Condicional que não incluem ações baseadas no usuário.
O modo de exibição Políticas Selecionadas, por padrão, exibe todas as políticas direcionadas a Todos os recursos. Essas políticas não podem ser desmarcadas ou movidas para a lista Políticas Disponíveis, pois são aplicadas em um nível de locatário.
Para selecionar uma política a ser aplicada ao aplicativo que está sendo publicado:
- Selecione a política desejada na lista Políticas disponíveis.
- Selecione a seta para a direita e mova-a para a lista Políticas selecionadas .
As políticas selecionadas devem ter uma opção Incluir ou Excluir marcada. Se ambas as opções estiverem marcadas, a política selecionada não será imposta.
Nota
A lista de políticas é enumerada apenas uma vez quando se alterna pela primeira vez para esta guia. Um botão de atualização está disponível para forçar manualmente o assistente a consultar seu locatário, mas esse botão é exibido somente quando o aplicativo foi implantado.
Propriedades do Virtual Server
Um servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual escutando solicitações de clientes para o aplicativo. Qualquer tráfego recebido é processado e avaliado em relação ao perfil APM associado ao servidor virtual, antes de ser direcionado de acordo com os resultados e configurações da política.
Insira o endereço de destino. Este é qualquer endereço IPv4/IPv6 disponível que o BIG-IP pode usar para receber tráfego de cliente. Um registro correspondente também deve existir no DNS, permitindo que os clientes resolvam a URL externa do seu aplicativo publicado BIG-IP para esse IP, em vez do próprio aplicativo. Usar o DNS localhost de um PC de teste é bom para testes.
Insira a Porta de Serviço como 443 para HTTPS.
Marque Ativar porta de redirecionamento e insira Porta de redirecionamento. Ele redireciona o tráfego de entrada do cliente HTTP para HTTPS.
O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, para que as conexões do cliente sejam criptografadas por TLS. Selecione o Perfil SSL do Cliente que você criou como parte dos pré-requisitos ou deixe o padrão durante o teste.
Propriedades da piscina
A guia Pool de Aplicativos detalha os serviços por trás de um BIG-IP que são representados como um pool, contendo um ou mais servidores de aplicativos.
Escolha entre Selecionar um pool. Crie um novo pool ou selecione um existente.
Escolha o Método de Balanceamento de Carga como
Round Robin
.Para Servidores de Pool , selecione um nó existente ou especifique um IP e uma porta para o servidor que hospeda o aplicativo baseado em cabeçalho.
Nosso aplicativo de back-end fica na porta HTTP 80, mas obviamente alterna para 443 se o seu for HTTPS.
Logon único & cabeçalhos HTTP
A habilitação do SSO permite que os usuários acessem serviços publicados pelo BIG-IP sem precisar inserir credenciais. O assistente Easy Button suporta Kerberos, OAuth Bearer e cabeçalhos de autorização HTTP para SSO, o último dos quais habilitaremos para configurar o seguinte.
Operação de cabeçalho:
Insert
Nome do cabeçalho:
upn
Valor do cabeçalho:
%{session.saml.last.identity}
Operação de cabeçalho:
Insert
Nome do cabeçalho:
employeeid
Valor do cabeçalho:
%{session.saml.last.attr.name.employeeid}
Nota
As variáveis de sessão APM definidas entre parênteses são sensíveis a maiúsculas e minúsculas. Por exemplo, se você inserir OrclGUID quando o nome do atributo Microsoft Entra estiver sendo definido como orclguid, isso causará uma falha de mapeamento de atributo.
Gestão de Sessões
As configurações de gerenciamento de sessão BIG-IPs são usadas para definir as condições sob as quais as sessões de usuário são encerradas ou permitidas para continuar, limites para usuários e endereços IP e informações de usuário correspondentes. Consulte os documentos do F5 para obter detalhes sobre essas configurações.
O que não é abordado aqui, no entanto, é a funcionalidade Single Log-Out (SLO), que garante que todas as sessões entre o IdP, o BIG-IP e o agente do usuário sejam encerradas à medida que os usuários assinam. Quando o Botão Fácil instancia um aplicativo SAML em seu locatário do Microsoft Entra, ele também preenche a URL de Logout com o ponto de extremidade SLO do APM. Dessa forma, as saídas iniciadas pelo IdP do portal Microsoft Entra My Apps também encerram a sessão entre o BIG-IP e um cliente.
Junto com isso, os metadados de federação SAML para o aplicativo publicado também são importados do seu locatário, fornecendo ao APM o ponto de extremidade de logout SAML para o Microsoft Entra ID. Isso garante que as saídas iniciadas pelo SP encerrem a sessão entre um cliente e o ID do Microsoft Entra. Mas para que isso seja realmente eficaz, o APM precisa saber exatamente quando um usuário sai do aplicativo.
Se o portal do webtop BIG-IP for usado para acessar aplicativos publicados, uma saída de lá será processada pelo APM para também chamar o ponto de extremidade de saída do Microsoft Entra. Mas considere um cenário em que o portal do webtop BIG-IP não é usado, então o usuário não tem como instruir o APM a sair. Mesmo que o usuário saia do próprio aplicativo, o BIG-IP é tecnicamente alheio a isso. Portanto, por esse motivo, a saída iniciada pelo SP precisa ser cuidadosamente considerada para garantir que as sessões sejam encerradas com segurança quando não forem mais necessárias. Uma maneira de conseguir isso seria adicionar uma função SLO ao botão de saída de seus aplicativos, para que ele possa redirecionar seu cliente para o ponto de extremidade de saída do Microsoft Entra SAML ou BIG-IP. A URL do ponto de extremidade de saída SAML para seu locatário pode ser encontrada em Pontos de extremidade de registros de > aplicativos.
Se fazer uma alteração no aplicativo for impossível, considere fazer com que o BIG-IP escute a chamada de saída do aplicativo e, ao detetar a solicitação, acione o SLO. Consulte nossa orientação de SLO do Oracle PeopleSoft para usar irules BIG-IP para conseguir isso. Mais detalhes sobre o uso de iRules BIG-IP para conseguir isso estão disponíveis no artigo de conhecimento F5 Configurando o encerramento automático de sessão (logout) com base em um nome de arquivo referenciado por URI e Visão geral da opção Incluir URI de logout.
Resumo
Esta última etapa fornece um detalhamento de suas configurações. Selecione Implantar para confirmar todas as configurações e verificar se o aplicativo agora existe na lista de locatários de 'Aplicativos corporativos.
Seu aplicativo agora deve ser publicado e acessível via SHA, diretamente por meio de sua URL ou através dos portais de aplicativos da Microsoft.
Próximos passos
Em um navegador, conecte-se à URL externa do aplicativo ou selecione o ícone do aplicativo no portal Microsoft MyApps. Depois de se autenticar no Microsoft Entra ID, você será redirecionado para o servidor virtual BIG-IP do aplicativo e entrará automaticamente por meio do SSO.
Isso mostra a saída dos cabeçalhos injetados exibidos pelo nosso aplicativo baseado em cabeçalhos.
Para aumentar a segurança, as organizações que usam esse padrão também podem considerar bloquear todo o acesso direto ao aplicativo, forçando assim um caminho rigoroso através do BIG-IP.
Implementação avançada
Pode haver casos em que os modelos de Configuração Guiada não tenham flexibilidade para atingir requisitos mais específicos. Para esses cenários, consulte Configuração avançada para SSO baseado em cabeçalhos.
Como alternativa, o BIG-IP oferece a opção de desativar o modo de gerenciamento estrito da Configuração Guiada. Isso permite que você ajuste manualmente suas configurações, mesmo que grande parte de suas configurações sejam automatizadas por meio dos modelos baseados em assistente.
Você pode navegar até Configuração guiada de acesso > e selecionar o pequeno ícone de cadeado na extremidade direita da linha para as configurações de seus aplicativos.
Nesse ponto, as alterações por meio da interface do usuário do assistente não são mais possíveis, mas todos os objetos BIG-IP associados à instância publicada do aplicativo serão desbloqueados para gerenciamento direto.
Nota
A reativação do modo estrito e a implantação de uma configuração substituirão quaisquer configurações executadas fora da interface do usuário de configuração guiada, portanto, recomendamos o método de configuração avançada para serviços de produção.
Resolução de Problemas
A falha no acesso a um aplicativo protegido por SHA pode ser devido a vários fatores. O registro em log do BIG-IP pode ajudar a isolar rapidamente todos os tipos de problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis mal configurados. Comece a solucionar problemas aumentando o nível de verbosidade do log.
Navegue até Configurações de Logs de Eventos de > Visão Geral > da Política > de Acesso.
Selecione a linha do aplicativo publicado e, em seguida, Editar > logs do sistema de acesso.
Selecione Depurar na lista SSO e, em seguida, OK.
Reproduza o problema e, em seguida, inspecione os logs, mas lembre-se de alternar isso novamente quando terminar, pois o modo detalhado gera muitos dados.
Se você vir um erro com a marca BIG-IP imediatamente após a pré-autenticação bem-sucedida do Microsoft Entra, é possível que o problema esteja relacionado ao SSO do ID do Microsoft Entra para o BIG-IP.
Navegue até Visão geral > do Access > Acesse relatórios.
Execute o relatório na última hora para ver se os logs fornecem alguma pista. O link Exibir variáveis de sessão para sua sessão também ajudará a entender se o APM está recebendo as declarações esperadas do Microsoft Entra ID.
Se você não vir uma página de erro BIG-IP, o problema provavelmente está mais relacionado à solicitação de back-end ou SSO do BIG-IP para o aplicativo.
Nesse caso, vá para Access Policy > Overview > Ative Sessions e selecione o link para sua sessão ativa.
O link Exibir variáveis neste local também pode ajudar a causar problemas de SSO de causa raiz, particularmente se o BIG-IP APM não conseguir obter os atributos corretos do ID do Microsoft Entra ou de outra fonte.
Para obter mais informações, visite este artigo de conhecimento F5 Configurando a autenticação remota LDAP para o Ative Directory. Há também uma ótima tabela de referência BIG-IP para ajudar a diagnosticar problemas relacionados ao LDAP neste artigo de conhecimento F5 sobre Consulta LDAP.