Partilhar via

Tutorial: Configurar o F5 BIG-IP Access Policy Manager para logon único baseado em cabeçalho

  • Artigo

Aprenda a implementar acesso híbrido seguro (SHA) com logon único (SSO) para aplicativos baseados em cabeçalho, usando a configuração avançada F5 BIG-IP. Aplicativos publicados BIG-IP e benefícios de configuração do Microsoft Entra:

  • Governança Zero Trust aprimorada por meio da pré-autenticação e acesso condicional do Microsoft Entra
  • SSO completo entre o Microsoft Entra ID e os serviços publicados pelo BIG-IP
  • Identidades gerenciadas e acesso a partir de um plano de controle

Saiba mais:

Descrição do cenário

Para esse cenário, há um aplicativo herdado usando cabeçalhos de autorização HTTP para controlar o acesso ao conteúdo protegido. Idealmente, o Microsoft Entra ID gerencia o acesso ao aplicativo. No entanto, o legado carece de um protocolo de autenticação moderno. A modernização exige esforço e tempo, ao mesmo tempo que introduz custos e riscos de tempo de inatividade. Em vez disso, implante um BIG-IP entre a Internet pública e o aplicativo interno para bloquear o acesso de entrada ao aplicativo.

Um big-IP na frente do aplicativo permite a sobreposição do serviço com pré-autenticação do Microsoft Entra e SSO baseado em cabeçalho. A configuração melhora a postura de segurança do aplicativo.

Arquitetura do cenário

A solução de acesso híbrido seguro para este cenário é composta por:

  • Aplicação - Serviço publicado BIG-IP a ser protegido pelo Microsoft Entra SHA
  • Microsoft Entra ID - Provedor de identidade (IdP) SAML (Security Assertion Markup Language) que verifica as credenciais do usuário, acesso condicional e SSO para o BIG-IP
    • Com o SSO, o Microsoft Entra ID fornece os atributos de sessão necessários do BIG-IP, incluindo identificadores de usuário
  • BIG-IP - proxy reverso e provedor de serviços SAML (SP) para o aplicativo, delegando autenticação ao IdP SAML, antes do SSO baseado em cabeçalho para o aplicativo back-end

O diagrama a seguir ilustra o fluxo do usuário com o Microsoft Entra ID, BIG-IP, APM e um aplicativo.

Diagrama do fluxo de usuários com Microsoft Entra ID, BIG-IP, APM e um aplicativo

  1. O usuário se conecta ao ponto de extremidade SAML SP do aplicativo (BIG-IP).
  2. A política de acesso BIG-IP APM redireciona o usuário para o Microsoft Entra ID (SAML IdP).
  3. O Microsoft Entra pré-autentica o usuário e aplica políticas de Acesso Condicional.
  4. O usuário é redirecionado para BIG-IP (SAML SP) e o SSO ocorre usando o token SAML emitido.
  5. O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos em solicitação ao aplicativo.
  6. O aplicativo autoriza a solicitação e retorna a carga útil.

Pré-requisitos

Para o cenário que você precisa:

  • Uma assinatura do Azure
  • Uma das seguintes funções: Administrador de aplicativos na nuvem ou Administrador de aplicativos
  • Um BIG-IP ou implantar um BIG-IP Virtual Edition (VE) no Azure
  • Qualquer uma das seguintes licenças F5 BIG-IP:
    • F5 BIG-IP® Melhor pacote
    • Licença autónoma F5 BIG-IP Access Policy Manager™ (APM)
    • F5 BIG-IP Access Policy Manager™ (APM) licença complementar em um BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Versão experimental completa de 90 dias do BIG-IP. Veja, Avaliações gratuitas.
  • Identidades de usuário sincronizadas de um diretório local para o ID do Microsoft Entra
  • Um certificado SSL para publicar serviços por HTTPS ou usar certificados padrão durante o teste
  • Um aplicativo baseado em cabeçalho ou um aplicativo de cabeçalho do IIS para teste

Método de configuração BIG-IP

As instruções a seguir são um método de configuração avançado, uma maneira flexível de implementar o SHA. Crie manualmente objetos de configuração BIG-IP. Use esse método para cenários não incluídos nos modelos de Configuração Guiada.

Nota

Substitua cadeias de caracteres ou valores de exemplo pelos do seu ambiente.

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Para implementar o SHA, a primeira etapa é configurar uma confiança de federação SAML entre o BIG-IP APM e o Microsoft Entra ID. A confiança estabelece a integração para que o BIG-IP entregue a pré-autenticação e o Acesso Condicional à ID do Microsoft Entra, antes de conceder acesso ao serviço publicado.

Saiba mais: O que é o Acesso Condicional?

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.

  3. Na faixa de opções superior, selecione + Novo aplicativo.

  4. Na galeria, procure por F5.

  5. Selecione F5 BIG-IP APM Microsoft Entra ID integration.

  6. Insira um nome de aplicativo.

  7. Selecione Adicionar/Criar.

  8. O nome reflete o serviço.

Configurar o Microsoft Entra SSO

  1. As novas propriedades do aplicativo F5 são exibidas

  2. Selecione Gerenciar>logon único

  3. Na página Selecione um método de logon único, selecione SAML.

  4. Ignore o prompt para salvar as configurações de logon único.

  5. Selecione Não, vou salvar mais tarde.

  6. Em Configurar logon único com SAML, para Configuração Básica de SAML, selecione o ícone de caneta.

  7. Substitua a URL do identificador pela URL do serviço publicado pelo BIG-IP. Por exemplo, https://mytravel.contoso.com

  8. Repita para URL de resposta e inclua o caminho do ponto de extremidade SAML do APM. Por exemplo, https://mytravel.contoso.com/saml/sp/profile/post/acs

    Nota

    Nessa configuração, o fluxo SAML opera no modo IdP: o Microsoft Entra ID emite ao usuário uma asserção SAML antes de ser redirecionado para o ponto de extremidade do serviço BIG-IP do aplicativo. O BIG-IP APM suporta os modos IdP e SP.

  9. Para URI de Logout, insira o ponto de extremidade BIG-IP APM Single Logout (SLO), precedido pelo cabeçalho do host de serviço. O URI SLO garante que as sessões do BIG-IP APM do usuário terminem após a saída do Microsoft Entra. Por exemplo https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Captura de tela da entrada de Configuração SAML Básica para Identificador, URL de resposta, URL de logon e assim por diante.

    Nota

    Do sistema operacional de gerenciamento de tráfego (TMOS) v16 em diante, o ponto de extremidade SAML SLO mudou para /saml/sp/profile/redirect/slo.

  10. Selecione Guardar.

  11. Saia da configuração SAML.

  12. Ignore o prompt de teste SSO.

  13. Para editar os Atributos do Usuário & Declarações > + Adicionar nova declaração, selecione o ícone da caneta .

  14. Em Nome , selecione Employeeid.

  15. Para o atributo Source, selecione user.employeeid.

  16. Selecione Guardar

Captura de tela da entrada para o atributo Name and Source, na caixa de diálogo Gerenciar declaração.

  1. Selecione + Adicionar uma declaração de grupo
  2. Selecione Grupos atribuídos ao atributo>de origem do aplicativo>sAMAccountName.

Captura de tela da entrada para o atributo Source, na caixa de diálogo Group Claims.

  1. Selecione Salvar a configuração.
  2. Feche a vista.
  3. Observe as propriedades da seção Atributos do Usuário & Declarações . O Microsoft Entra ID emite propriedades de usuários para autenticação BIG-IP APM e SSO para o aplicativo back-end.

Captura de tela de informações de Atributos e Declarações do Usuário, como sobrenome, endereço de e-mail, identidade e assim por diante.

Nota

Adicione outras declarações que o aplicativo publicado BIG-IP espera como cabeçalhos. Declarações mais definidas são emitidas se estiverem no Microsoft Entra ID. Defina associações de diretório e objetos de usuário no Microsoft Entra ID antes que as declarações possam ser emitidas. Consulte Configurar declarações de grupo para aplicativos usando a ID do Microsoft Entra.

  1. Na seção Certificado de Assinatura SAML , selecione Download.
  2. O arquivo XML de metadados de federação é salvo no seu computador.

Os certificados de assinatura SAML criados pelo Microsoft Entra ID têm uma vida útil de três anos.

Autorização do Microsoft Entra

Por padrão, o Microsoft Entra ID emite tokens para usuários com acesso concedido a um aplicativo.

  1. Na visualização de configuração do aplicativo, selecione Usuários e grupos.
  2. Selecione + Adicionar usuário e, em Adicionar atribuição, selecione Usuários e grupos.
  3. Na caixa de diálogo Usuários e grupos, adicione os grupos de usuários autorizados a acessar o aplicativo baseado em cabeçalho.
  4. Selecione Selecionar.
  5. Selecione Atribuir.

A confiança de federação do Microsoft Entra SAML está concluída. Em seguida, configure o BIG-IP APM para publicar o aplicativo Web, configurado com propriedades para concluir a confiança de pré-autenticação SAML.

Configuração avançada

Use as seções a seguir para configurar SAML, SSO de cabeçalho, perfil de acesso e muito mais.

Configuração SAML

Para federar o aplicativo publicado com o Microsoft Entra ID, crie o provedor de serviços BIG-IP SAML e os objetos IdP SAML correspondentes.

  1. Selecione Access>Federation>SAML Service Provider>Local SP Services>Create.

    Captura de tela da opção Criar na guia Provedor de Serviços SAML.

  2. Insira um Nome.

  3. Insira o ID da entidade definido no ID do Microsoft Entra.

    Captura de tela da entrada Nome e ID da entidade na caixa de diálogo Criar novo serviço SAML SP.

  4. Para Configurações de Nome da controladora de armazenamento, faça seleções se a ID da entidade não corresponder ao nome de host da URL publicada ou faça seleções se ela não estiver no formato de URL baseado em nome de host regular. Forneça o esquema externo e o nome do host do aplicativo se o ID da entidade for urn:mytravel:contosoonline.

  5. Role para baixo para selecionar o novo objeto SAML SP.

  6. Selecione Bind/UnBind IdP Connectors.

    Captura de tela da opção Bind Unbind IdP Connectors na guia SAML Services Provider.

  7. Selecione Criar novo conector IdP.

  8. Na lista suspensa, selecione Dos metadados.

    Captura de tela da opção De metadados no menu suspenso Criar nova conexão IdP.

  9. Navegue até o arquivo XML de metadados de federação que você baixou.

  10. Insira um Nome do Provedor de Identidade para o objeto APM para o IdP SAML externo. Por exemplo, MyTravel_EntraID

Captura de tela da entrada Selecionar Nome do Arquivo e do Provedor de Identidade em Criar Novo Conector IdP SAML.

  1. Selecione Adicionar nova linha.
  2. Selecione o novo conector IdP SAML.
  3. Selecione Atualizar.

Captura de tela da opção Atualizar em Conectores IdP SAML.

  1. Selecione OK.

Captura de ecrã das definições guardadas

Configuração de SSO de cabeçalho

Crie um objeto SSO APM.

  1. Selecione Perfis de acesso>/Políticas>criadas por solicitação.>

  2. Insira um Nome.

  3. Adicione pelo menos um idioma aceito.

  4. Selecione Concluído.

    Captura de ecrã da entrada Nome e Idioma Aceite.

  5. Para a nova política por solicitação, selecione Editar.

    Captura de ecrã da opção Editar na coluna Política por Pedido.

  6. O editor de política visual é iniciado.

  7. Em fallback, selecione o + símbolo.

    Captura de tela da opção plus em fallback.

  8. Na guia Propósito Geral, selecione Cabeçalhos>HTTP Adicionar Item.

    Captura de ecrã da opção Cabeçalhos HTTP.

  9. Selecione Adicionar nova entrada.

  10. Crie três entradas HTTP e Header Modifique.

  11. Em Nome do cabeçalho, digite upn.

  12. Em Valor do cabeçalho, digite %{session.saml.last.identity}.

  13. Em Nome do cabeçalho, insira employeeid.

  14. Em Valor do Cabeçalho, digite %{session.saml.last.attr.name.employeeid}.

  15. Em Nome do cabeçalho, digite group_authz.

  16. Em Valor do cabeçalho, digite %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Nota

As variáveis de sessão APM entre parênteses são sensíveis a maiúsculas e minúsculas. Recomendamos que você defina atributos em minúsculas.

Captura de ecrã da entrada de cabeçalho, em Modificação de Cabeçalho HTTP, no separador Propriedades.

  1. Selecione Guardar.
  2. Feche o editor de política visual.

Captura de tela do editor de política visual.

Configuração do perfil de acesso

Um perfil de acesso vincula muitos elementos APM gerenciando o acesso a servidores virtuais BIG-IP, incluindo políticas de acesso, configuração de SSO e configurações de interface do usuário.

  1. Selecione Perfis de Acesso>/ Políticas>Perfis de Acesso (Políticas por Sessão)>Criar.

  2. Em Nome, digite MyTravel.

  3. Em Tipo de perfil, selecione Todos.

  4. Em Idioma aceito, selecione pelo menos um idioma.

  5. selecione Concluído.

    Captura de ecrã das entradas para Nome, Tipo de Perfil e Idioma Aceite.

  6. Para o perfil por sessão que você criou, selecione Editar.

    Captura de ecrã da opção Editar na coluna Política por sessão.

  7. O editor de política visual é iniciado.

  8. Em fallback, selecione o + símbolo.

    Captura de tela da opção mais.

  9. Selecione Autenticação>SAML Auth>Add Item.

    Captura de tela da opção Autenticação SAML na guia Autenticação.

  10. Para a configuração da controladora de armazenamento de autenticação SAML, na lista suspensa Servidor AAA, selecione o objeto da controladora de armazenamento SAML que você criou.

  11. Selecione Guardar.

Captura de tela da seleção do Servidor AAA.

Mapeamento de atributos

As instruções a seguir são opcionais. Com uma configuração LogonID_Mapping, a lista de sessões ativas do BIG-IP tem o UPN (nome principal do usuário) conectado, não um número de sessão. Use esses dados ao analisar logs ou solucionar problemas.

  1. Para a ramificação SAML Auth Successful (Autenticação SAML bem-sucedida ), selecione o + símbolo.

    Captura de tela do símbolo de adição na ramificação SAML Auth Successful.

  2. No pop-up, selecione Atribuir Variável de Atribuição>Adicionar>Item.

    Captura de ecrã da opção Atribuição de Variáveis, no separador Atribuição.

  3. Insira um nome

  4. Na seção Atribuição de variáveis, selecione Adicionar nova alteração de entrada>. Por exemplo, LogonID_Mapping.

    Captura de ecrã das opções Adicionar nova entrada e alterar

  5. Para Variável personalizada, defina session.saml.last.identity.

  6. Para Variável de sessão, defina session.logon.last.username.

  7. Selecione Concluído.

  8. SelecioneGuardar.

  9. Na ramificação Política de acesso bem-sucedida , selecione o terminal Negar .

  10. Selecione Permitir.

  11. Selecione Guardar.

  12. Selecione Aplicar política de acesso.

  13. Feche o editor de política visual.

Configuração do pool de back-end

Para permitir que o BIG-IP encaminhe o tráfego do cliente corretamente, crie um objeto de nó APM que represente o servidor back-end que hospeda seu aplicativo. Coloque o nó em um pool de APM.

  1. Selecione Criar Lista > de Pool de Pools de Tráfego > > Local.

  2. Para um objeto de pool de servidores, insira um Name. Por exemplo, MyApps_VMs.

    Captura de ecrã da Política de Acesso Aplicável.

  3. Adicione um objeto de membro do pool.

  4. Em Nome do Nó, insira um nome para o servidor que hospeda o aplicativo Web back-end.

  5. Em Endereço, digite o endereço IP do servidor que hospeda o aplicativo.

  6. Para Porta de serviço, insira a porta HTTP/S na qual o aplicativo está escutando.

  7. Selecione Adicionar.

    Captura de tela da entrada para Nome do Nó, Endereço, Porta de Serviço e a opção Adicionar.

    Nota

    Para saber mais, vá para my.f5.com para K13397: Visão geral da formatação de solicitação de monitor de integridade HTTP para o sistema BIG-IP DNS.

Configuração do servidor virtual

Um servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual escutando solicitações de clientes para o aplicativo. O tráfego recebido é processado e avaliado com o perfil de acesso APM associado ao servidor virtual. O tráfego é direcionado de acordo com a política.

  1. Selecione Servidores Virtuais de Tráfego>Local Lista de>Servidores>Virtuais Criar.

  2. Insira um Nome do servidor virtual.

  3. Para Endereço de Destino/Máscara, selecione Host

  4. Insira um IP IPv4 ou IPv6 não utilizado a ser atribuído ao BIG-IP para receber tráfego de cliente.

  5. Em Porta de serviço, selecione Porta, 443 e HTTPS.

    Captura de ecrã das entradas para Nome, Máscara de Endereço de Destino e Porta de Serviço.

  6. Para Perfil HTTP (Cliente), selecione http.

  7. Para Perfil SSL (Cliente), selecione o perfil SSL do cliente que você criou ou deixe o padrão para teste.

    Captura de tela das entradas para HTTP Profile Client e SSL Profile Client.

  8. Para Tradução de Endereço de Origem, selecione Mapa Automático.

    Captura de ecrã da opção Tradução de Endereço de Origem.

  9. Em Política de Acesso, selecione o Perfil de Acesso criado anteriormente. Esta ação vincula o perfil de pré-autenticação SAML do Microsoft Entra e a política de SSO de cabeçalhos ao servidor virtual.

  10. Em Política por solicitação, selecione SSO_Headers.

Captura de ecrã das entradas para Perfil de Acesso e Política de Pré-Pedido.

  1. Em Pool padrão, selecione os objetos de pool de back-end que você criou.
  2. Selecione Concluído.

Captura de tela da opção Pool padrão em Recursos.

Gestão de sessões

Use a configuração de gerenciamento de sessão BIG-IPs para definir as condições de término ou continuação da sessão do usuário. Crie uma política com Perfis de Acesso à Política>de Acesso. Selecione uma aplicação na lista.

Em relação à funcionalidade SLO, um URI SLO no Microsoft Entra ID garante que uma saída iniciada pelo IdP do portal MyApps encerre a sessão entre o cliente e o BIG-IP APM. O metadata.xml de federação de aplicativos importados fornece ao APM o ponto de extremidade de saída do Microsoft Entra SAML, para saída iniciada pelo SP. Portanto, habilite o APM para saber quando um usuário sai.

Se não houver um portal da Web BIG-IP, o usuário não poderá instruir o APM a sair. Se o usuário sair do aplicativo, o BIG-IP estará alheio à ação. A sessão de aplicação pode ser restabelecida através de SSO. Portanto, a saída iniciada pelo SP precisa ser cuidadosamente considerada.

Para garantir que as sessões terminem com segurança, adicione uma função SLO ao botão Sair do aplicativo. Habilite-o para redirecionar o cliente para o ponto de extremidade de saída SAML do Microsoft Entra. Para o ponto de extremidade de saída SAML para seu locatário, vá para Pontos de extremidade de registros de>aplicativos.

Se não for possível alterar o aplicativo, habilite o BIG-IP para ouvir a chamada de saída do aplicativo e acionar o SLO. Para saber mais:

Implementar

  1. Selecione Implantar para confirmar as configurações.
  2. Verifique se o aplicativo aparece em seu locatário.
  3. O aplicativo é publicado e acessível via SHA, com sua URL ou portais da Microsoft.

Teste

Execute o seguinte teste como usuário.

  1. Selecione a URL externa do aplicativo ou, no portal MyApps, selecione o ícone do aplicativo.

  2. Autentique-se no Microsoft Entra ID.

  3. Ocorre um redirecionamento para o servidor virtual BIG-IP do aplicativo e conectado com SSO.

  4. A saída de cabeçalho injetada aparece pelo aplicativo baseado em cabeçalho.

    Captura de tela de variáveis de servidor, como UPN, ID de funcionário e autorização de grupo.

Para maior segurança, bloqueie o acesso direto ao aplicativo, impondo um caminho através do BIG-IP.

Resolução de Problemas

Use as orientações a seguir para solucionar problemas.

Verborrácia do log

Os logs BIG-IP têm informações para ajudar a isolar problemas de autenticação e SSO. Aumente o nível de verbosidade do log:

  1. Vá para Logs de eventos de visão geral>da política>de acesso.
  2. Selecione Definições.
  3. Selecione a linha do seu aplicativo publicado.
  4. Selecione Editar >logs do sistema de acesso.
  5. Na lista SSO, selecione Depurar.
  6. Selecione OK.
  7. Reproduza o problema.
  8. Revise os logs.
  9. Quando terminar, reverta as configurações.

Mensagem de erro BIG-IP

Se um erro BIG-IP aparecer após o redirecionamento, o problema provavelmente está relacionado ao SSO do ID do Microsoft Entra para o BIG-IP.

  1. Navegue até Visão geral da política>de acesso.
  2. Selecione Acessar relatórios.
  3. Execute o relatório na última hora.
  4. Revise os logs para obter pistas.
  5. Para sua sessão, selecione o link Exibir variáveis de sessão.
  6. Verifique se o APM recebe as declarações esperadas do Microsoft Entra ID.

Nenhuma mensagem de erro BIG-IP

Se nenhuma mensagem de erro BIG-IP aparecer, o problema provavelmente está mais relacionado ao SSO do BIG-IP para o aplicativo de back-end.

  1. Navegue até Visão geral da política>de acesso.
  2. Selecione Sessões ativas.
  3. Selecione o link para sua sessão ativa.
  4. Selecione o link Exibir variáveis para determinar quaisquer problemas de SSO.
  5. Confirme se o BIG-IP APM falha ou obtém os identificadores de usuário e domínio corretos.

Saiba mais:

Recursos