Tutorial: Configurar o botão F5 BIG-IP Easy para logon único baseado em cabeçalho e LDAP
Neste artigo, você pode aprender a proteger aplicativos baseados em cabeçalho e LDAP usando o Microsoft Entra ID, usando a Configuração Guiada por Botão Fácil F5 BIG-IP 16.1. A integração de um BIG-IP com o Microsoft Entra ID oferece muitos benefícios:
- Governança aprimorada: consulte a estrutura Zero Trust para habilitar o trabalho remoto e saiba mais sobre a pré-autenticação do Microsoft Entra
- Consulte também, O que é Acesso Condicional? para saber como ele ajuda a aplicar políticas organizacionais
- Logon único (SSO) completo entre o Microsoft Entra ID e os serviços publicados pelo BIG-IP
- Gerencie identidades e acesso a partir de um plano de controle, o centro de administração do Microsoft Entra
Para saber mais sobre os benefícios, consulte Integração F5 BIG-IP e Microsoft Entra.
Descrição do cenário
Este cenário se concentra no aplicativo herdado clássico usando cabeçalhos de autorização HTTP originados de atributos de diretório LDAP, para gerenciar o acesso ao conteúdo protegido.
Por ser legado, o aplicativo carece de protocolos modernos para suportar uma integração direta com o Microsoft Entra ID. Você pode modernizar o aplicativo, mas é caro, requer planejamento e introduz risco de tempo de inatividade potencial. Em vez disso, você pode usar um F5 BIG-IP Application Delivery Controller (ADC) para preencher a lacuna entre o aplicativo herdado e o plano de controle de ID moderno, com transição de protocolo.
Ter um BIG-IP na frente do aplicativo permite a sobreposição do serviço com pré-autenticação do Microsoft Entra e SSO baseado em cabeçalho, melhorando a postura geral de segurança do aplicativo.
Arquitetura do cenário
A solução de acesso híbrido seguro para este cenário tem:
- Aplicação - Serviço publicado BIG-IP a ser protegido pelo Microsoft Entra ID acesso híbrido seguro (SHA)
- Microsoft Entra ID - Provedor de identidade (IdP) SAML (Security Assertion Markup Language) que verifica as credenciais do usuário, Acesso Condicional e SSO baseado em SAML para o BIG-IP. Com o SSO, o Microsoft Entra ID fornece ao BIG-IP os atributos de sessão necessários.
- Sistema de RH - banco de dados de funcionários baseado em LDAP como fonte de verdade para permissões de aplicativos
- BIG-IP - Proxy reverso e provedor de serviços SAML (SP) para o aplicativo, delegando autenticação ao IdP SAML, antes de executar o SSO baseado em cabeçalho para o aplicativo back-end
SHA para este cenário suporta fluxos iniciados por SP e IdP. A imagem a seguir ilustra o fluxo iniciado pelo SP.
- O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP)
- A política de acesso BIG-IP APM redireciona o usuário para o Microsoft Entra ID (SAML IdP)
- O Microsoft Entra ID pré-autentica o usuário e aplica políticas de Acesso Condicional impostas
- O usuário é redirecionado para BIG-IP (SAML SP) e o SSO é executado usando o token SAML emitido
- BIG-IP solicita mais atributos do sistema de RH baseado em LDAP
- O BIG-IP injeta atributos do sistema Microsoft Entra ID e HR como cabeçalhos em solicitação ao aplicativo
- O aplicativo autoriza o acesso com permissões de sessão enriquecidas
Pré-requisitos
Não é necessária experiência prévia em BIG-IP, mas você precisa:
- Uma conta gratuita do Azure ou uma subscrição de nível superior
- Um BIG-IP ou implantar um BIG-IP Virtual Edition (VE) no Azure
- Qualquer uma das seguintes licenças F5 BIG-IP:
- F5 BIG-IP® Melhor pacote
- Licença autónoma F5 BIG-IP Access Policy Manager™ (APM)
- F5 BIG-IP Access Policy Manager™ (APM) licença complementar em um BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
- Versão experimental gratuita de 90 dias do produto BIG-IP
- Identidades de usuário sincronizadas de um diretório local para o ID do Microsoft Entra
- Uma das seguintes funções: Cloud Application Administrator ou Application Administrator.
- Um certificado da Web SSL para publicar serviços por HTTPS ou usar certificados BIG-IP padrão durante o teste
- Um aplicativo baseado em cabeçalho ou configurar um aplicativo de cabeçalho simples do IIS para teste
- Um diretório de usuário que suporta LDAP, como o Windows Ative Directory Lightweight Directory Services (AD LDS), OpenLDAP e assim por diante.
Configuração BIG-IP
Este tutorial usa a Configuração Guiada 16.1 com um modelo de Botão Fácil. Com o Botão Fácil, os administradores não vão e voltam entre o Microsoft Entra ID e um BIG-IP para habilitar serviços para SHA. A implantação e o gerenciamento de políticas são tratados entre o assistente de Configuração Guiada do APM e o Microsoft Graph. Essa integração entre o BIG-IP APM e o Microsoft Entra ID garante que os aplicativos suportem federação de identidades, SSO e acesso condicional do Microsoft Entra, reduzindo a sobrecarga administrativa.
Nota
Substitua cadeias de caracteres ou valores de exemplo neste guia por aqueles para seu ambiente.
Botão Registar Fácil
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Antes que um cliente ou serviço possa acessar o Microsoft Graph, ele é confiável pela plataforma de identidade da Microsoft.
Esta primeira etapa cria um registro de aplicativo de locatário para autorizar o acesso do Botão Fácil ao Graph. Com essas permissões, o BIG-IP pode enviar por push as configurações para estabelecer uma confiança entre uma instância do SP SAML para aplicativo publicado e o ID do Microsoft Entra como o IdP SAML.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Aplicativos de identidade>>Registros de>aplicativos Novo registro.
Insira um nome de exibição para seu aplicativo. Por exemplo, F5 BIG-IP Easy Button.
Especifique quem pode usar as Contas do aplicativo >somente neste diretório organizacional.
Selecione Registar.
Navegue até permissões de API e autorize as seguintes permissões do Aplicativo Microsoft Graph:
- Aplicação.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Grupo.Read.All
- IdentityRiskyUser.Read.All
- Política.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Conceda consentimento de administrador para sua organização.
Em Certificados & Segredos, gere um novo segredo de cliente. Anote este segredo.
Em Visão geral, anote a ID do Cliente e a ID do Locatário.
Configurar o botão Fácil
Inicie a Configuração Guiada do APM para iniciar o modelo Botão Fácil.
Navegue até Access Guided Configuration > Microsoft Integration e selecione Microsoft Entra Application>.
Reveja a lista de passos e selecione Seguinte
Para publicar seu aplicativo, siga as etapas.
Propriedades de Configuração
A guia Propriedades de configuração cria uma configuração de aplicativo BIG-IP e um objeto SSO. A seção Detalhes da Conta de Serviço do Azure representa o cliente que você registrou em seu locatário do Microsoft Entra anteriormente, como um aplicativo. Essas configurações permitem que um cliente OAuth BIG-IP registre uma controladora de armazenamento SAML em seu locatário, com as propriedades de SSO que você configuraria manualmente. O Easy Button faz essa ação para cada serviço BIG-IP publicado e habilitado para SHA.
Algumas dessas configurações são globais, portanto, podem ser reutilizadas para publicar mais aplicativos, reduzindo o tempo e o esforço de implantação.
- Insira um Nome de Configuração exclusivo para que os administradores possam distinguir entre as configurações do Botão Fácil.
- Habilite o logon único (SSO) & cabeçalhos HTTP.
- Insira o ID do Locatário, o ID do Cliente e o Segredo do Cliente que você anotou ao registrar o cliente do Botão Fácil em seu locatário.
- Confirme se o BIG-IP pode se conectar ao seu locatário.
- Selecione Seguinte.
Fornecedor de Serviços
As configurações do provedor de serviços definem as propriedades para a instância SAML SP do aplicativo protegido por SHA.
Digite Host, o nome de domínio público totalmente qualificado (FQDN) do aplicativo que está sendo protegido.
Insira o ID da entidade, o identificador que o Microsoft Entra ID usa para identificar a controladora de armazenamento SAML que solicita um token. Use as Configurações de Segurança opcionais para especificar se o ID do Microsoft Entra criptografa asserções SAML emitidas. A criptografia de asserções entre o Microsoft Entra ID e o BIG-IP APM garante que os tokens de conteúdo não podem ser intercetados e os dados pessoais ou corporativos não podem ser comprometidos.
Na lista Assertion Decryption Private Key, selecione Create New
Selecione OK. A caixa de diálogo Importar Certificado SSL e Chaves é aberta em uma nova guia.
Selecione PKCS 12 (IIS) para importar o certificado e a chave privada. Após o provisionamento, feche a guia do navegador para retornar à guia principal.
Marque Ativar asserção criptografada.
Se tiver ativado a encriptação, selecione o seu certificado na lista Chave Privada de Desencriptação de Asserção. O BIG-IP APM usa essa chave privada de certificado para descriptografar as asserções do Microsoft Entra.
Se tiver ativado a encriptação, selecione o seu certificado na lista Certificado de Desencriptação de Asserção . O BIG-IP carrega este certificado para o Microsoft Entra ID para criptografar as asserções SAML emitidas.
Microsoft Entra ID
Esta seção contém propriedades para configurar manualmente um novo aplicativo BIG-IP SAML em seu locatário do Microsoft Entra. O Easy Button tem modelos de aplicativos para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA para outros aplicativos.
Para esse cenário, selecione F5 BIG-IP APM Microsoft Entra ID Integration > Add.
Configuração do Azure
Digite Nome para exibição do aplicativo que o BIG-IP cria em seu locatário do Microsoft Entra e o ícone que os usuários veem no portal MyApps.
Não faça nenhuma entrada para URL de logon (opcional).
Para localizar o certificado importado, selecione o ícone Atualizar ao lado de Chave de Assinatura e Certificado de Assinatura.
Introduza a palavra-passe do certificado em Frase secreta da chave de assinatura.
Habilite a opção de assinatura (opcional) para garantir que o BIG-IP aceite tokens e declarações assinadas pelo ID do Microsoft Entra.
Usuários e Grupos de Usuários são consultados dinamicamente a partir do locatário do Microsoft Entra e autorizam o acesso ao aplicativo. Adicione um usuário ou grupo para teste, caso contrário, o acesso será negado.
Atributos do usuário & Declarações
Quando um usuário se autentica, o Microsoft Entra ID emite um token SAML com um conjunto padrão de declarações e atributos que identificam exclusivamente o usuário. A guia Atributos do Usuário & Declarações mostra as declarações padrão a serem emitidas para o novo aplicativo. Ele também permite configurar mais declarações.
Para este exemplo, inclua mais um atributo:
Em Nome da declaração , insira employeeid.
Em Source Attribute (Atributo de origem), digite user.employeeid.
Atributos de usuário adicionais
Na guia Atributos de Usuário Adicionais, você pode habilitar o aumento de sessão para sistemas distribuídos, como Oracle, SAP e outras implementações baseadas em Java que exigem atributos armazenados em outros diretórios. Os atributos obtidos de uma fonte LDAP podem ser injetados como mais cabeçalhos SSO para controlar o acesso com base em funções, IDs de parceiros e assim por diante.
Habilite a opção Configurações avançadas .
Marque a caixa de seleção Atributos LDAP.
Em Escolher Servidor de Autenticação, selecione Criar Novo.
Dependendo da configuração, selecione Usar pool ou Modo de conexão direta do servidor para fornecer o endereço do servidor do serviço LDAP de destino. Se estiver usando um único servidor LDAP, selecione Direto.
Para Porta de serviço, digite 389, 636 (Segura) ou outra porta usada pelo serviço LDAP.
Para Base Search DN , insira o nome distinto do local que contém a conta com a qual o APM se autentica, para consultas de serviço LDAP.
Em DN de Pesquisa , insira o nome distinto do local que contém os objetos de conta de usuário que o APM consulta via LDAP.
Defina ambas as opções de associação como Nenhum e adicione o nome do atributo de objeto do usuário a ser retornado do diretório LDAP. Para este cenário: eventroles.
Política de Acesso Condicional
As políticas de Acesso Condicional são aplicadas após a pré-autenticação do Microsoft Entra para controlar o acesso com base no dispositivo, aplicativo, local e sinais de risco.
O modo de exibição Políticas Disponíveis lista as políticas de Acesso Condicional que não incluem ações do usuário.
O modo de exibição Políticas Selecionadas mostra políticas direcionadas a todos os recursos. Essas políticas não podem ser desmarcadas ou movidas para a lista Políticas Disponíveis porque são aplicadas em um nível de locatário.
Para selecionar uma política a ser aplicada ao aplicativo que está sendo publicado:
Na lista Políticas disponíveis, selecione uma política.
Selecione a seta para a direita e mova-a para a lista Políticas selecionadas .
Nota
As políticas selecionadas têm uma opção Incluir ou Excluir marcada. Se ambas as opções estiverem marcadas, a política selecionada não será imposta.
Nota
A lista de políticas é enumerada uma vez, quando você seleciona inicialmente essa guia. Use o botão Atualizar para forçar manualmente o assistente a consultar seu locatário. Esse botão aparece quando o aplicativo é implantado.
Propriedades do Virtual Server
Um servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual escutando solicitações de cliente para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil APM associado ao servidor virtual, antes de ser direcionado de acordo com a política.
Insira o Endereço de Destino, um endereço IPv4/IPv6 disponível que o BIG-IP pode usar para receber tráfego de cliente. Deve haver um registro correspondente no servidor de nomes de domínio (DNS), que permite que os clientes resolvam a URL externa do seu aplicativo publicado BIG-IP para esse IP, em vez do aplicativo. Usar um DNS de host local de PC de teste é aceitável para teste.
Para Porta de Serviço, digite 443 e HTTPS.
Marque Ativar Porta de Redirecionamento e digite Porta de Redirecionamento para redirecionar o tráfego de entrada do cliente HTTP para HTTPS.
O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, para que as conexões do cliente sejam criptografadas pelo Transport Layer Security (TLS). Selecione o Perfil SSL do Cliente que você criou ou deixe o padrão durante o teste.
Propriedades da piscina
A guia Pool de Aplicativos tem os serviços por trás de um BIG-IP representados como um pool, com um ou mais servidores de aplicativos.
Escolha entre Selecionar um pool. Crie um novo pool ou selecione um.
Escolha o Método de Balanceamento de Carga, como Round Robin.
Para Servidores de Pool , selecione um nó ou especifique um IP e uma porta para o servidor que hospeda o aplicativo baseado em cabeçalho.
Nota
Nosso aplicativo back-end fica na porta HTTP 80. Mude para 443 se o seu for HTTPS.
Logon único e cabeçalhos HTTP
A habilitação do SSO permite que os usuários acessem serviços publicados pelo BIG-IP sem inserir credenciais. O assistente Easy Button suporta Kerberos, OAuth Bearer e cabeçalhos de autorização HTTP para SSO.
Use a lista a seguir para configurar opções.
Operação de cabeçalho: Inserir
Nome do cabeçalho: upn
Valor do cabeçalho: %{session.saml.last.identity}
Operação de cabeçalho: Inserir
Nome do cabeçalho: employeeid
Valor do cabeçalho: %{session.saml.last.attr.name.employeeid}
Operação de cabeçalho: Inserir
Nome do cabeçalho: eventroles
Valor do cabeçalho: %{session.ldap.last.attr.eventroles}
Nota
As variáveis de sessão APM entre colchetes diferenciam maiúsculas de minúsculas. Por exemplo, se você inserir OrclGUID e o nome do atributo Microsoft Entra for orclguid, ocorrerá uma falha de mapeamento de atributo.
Configurações de gerenciamento de sessão
As configurações de gerenciamento de sessão BIG-IPs definem as condições sob as quais as sessões de usuário são encerradas ou permitidas para continuar, limites para usuários e endereços IP e informações de usuário correspondentes. Consulte o artigo F5 K18390492: Segurança | Guia de operações do BIG-IP APM para obter detalhes sobre essas configurações.
O que não é coberto é a funcionalidade Single Log out (SLO), que garante que as sessões entre o IdP, o BIG-IP e o agente do usuário terminem quando os usuários sairem. Quando o Botão Fácil instancia um aplicativo SAML em seu locatário do Microsoft Entra, ele preenche a URL de saída com o ponto de extremidade SLO do APM. Uma saída iniciada pelo IdP do portal Microsoft Entra My Apps encerra a sessão entre o BIG-IP e um cliente.
Os metadados de federação SAML para o aplicativo publicado são importados do seu locatário, que fornece ao APM o ponto de extremidade de saída SAML para o Microsoft Entra ID. Essa ação garante que uma saída iniciada pelo SP encerre a sessão entre um cliente e a ID do Microsoft Entra. O APM precisa saber quando um usuário sai do aplicativo.
Se o portal do webtop BIG-IP for usado para acessar aplicativos publicados, o APM processará a saída para chamar o ponto de extremidade de saída do Microsoft Entra. Mas, considere um cenário em que o portal BIG-IP webtop não é usado. O usuário não pode instruir o APM a sair. Mesmo que o usuário saia do aplicativo, o BIG-IP é esquecido. Portanto, considere a saída iniciada pelo SP para garantir que as sessões sejam encerradas com segurança. Você pode adicionar uma função SLO a um botão de saída do aplicativo, para que ele possa redirecionar seu cliente para o ponto de extremidade de saída do Microsoft Entra SAML ou BIG-IP. A URL do ponto de extremidade de saída SAML para seu locatário está em Pontos de extremidade de registros de >aplicativos.
Se você não puder fazer uma alteração no aplicativo, considere fazer com que o BIG-IP escute a chamada de saída do aplicativo e, ao detetar a solicitação, acione o SLO. Consulte as orientações do Oracle PeopleSoft SLO para saber mais sobre o BIG-IP iRules. Para obter mais informações sobre como usar o BIG-IP iRules, consulte:
- K42052145: Configurando o encerramento automático da sessão com base em um nome de arquivo referenciado por URI
- K12056: Visão geral da opção Incluir URI de logout
Resumo
Esta última etapa fornece um detalhamento de suas configurações.
Selecione Implantar para confirmar as configurações e verifique se o aplicativo está na sua lista de locatários de aplicativos corporativos.
Seu aplicativo é publicado e acessível via SHA, seja com sua URL ou por meio de portais de aplicativos da Microsoft. Para aumentar a segurança, as organizações que usam esse padrão podem bloquear o acesso direto ao aplicativo. Esta ação força um caminho rigoroso através do BIG-IP.
Próximos passos
Em um navegador, no portal Microsoft MyApps, conecte-se à URL externa do aplicativo ou selecione o ícone do aplicativo. Depois de se autenticar no Microsoft Entra ID, você será redirecionado para o servidor virtual BIG-IP do aplicativo e entrará por meio do SSO.
Veja a captura de tela a seguir para a saída dos cabeçalhos injetados em nosso aplicativo baseado em cabeçalhos.
Para aumentar a segurança, as organizações que usam esse padrão podem bloquear o acesso direto ao aplicativo. Esta ação força um caminho rigoroso através do BIG-IP.
Implementação avançada
Os modelos de Configuração Guiada podem não ter flexibilidade para atingir requisitos específicos.
No BIG-IP, você pode desativar o modo de gerenciamento estrito Configuração Guiada. Em seguida, você pode alterar manualmente suas configurações, embora a maior parte das configurações seja automatizada por meio dos modelos baseados em assistente.
Para as configurações dos seus aplicativos, você pode navegar até Configuração Guiada de Acesso > e selecionar o pequeno ícone de cadeado na extremidade direita da linha.
Neste ponto, as alterações com a interface do usuário do assistente não são mais possíveis, mas todos os objetos BIG-IP associados à instância publicada do aplicativo são desbloqueados para gerenciamento direto.
Nota
A reativação do modo estrito e a implantação de uma configuração sobrescrevem todas as configurações executadas fora da interface do usuário de configuração guiada. Recomendamos o método de configuração avançada para serviços de produção.
Resolução de Problemas
Registo BIG-IP
O registro em log do BIG-IP pode ajudar a isolar problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis mal configurados.
Para solucionar problemas, você pode aumentar o nível de verbosidade do log.
- Navegue até Configurações de Logs de Eventos de > Visão Geral > da Política > de Acesso.
- Selecione a linha do aplicativo publicado e, em seguida, Editar > logs do sistema de acesso.
- Na lista SSO, selecione Depurar e, em seguida, OK.
Reproduza o problema e, em seguida, inspecione os logs, mas reverta essa configuração quando terminar. O modo detalhado gera quantidades significativas de dados.
Página de erro BIG-IP
Se aparecer um erro BIG-IP após a pré-autenticação do Microsoft Entra, é possível que o problema esteja relacionado ao SSO do ID do Microsoft Entra para o BIG-IP.
- Navegue até Visão geral > do Access > Acesse relatórios.
- Execute o relatório na última hora para ver se os logs fornecem alguma pista.
- Use o link Exibir variáveis para sua sessão para entender se o APM está recebendo as declarações esperadas do ID do Microsoft Entra.
Solicitação de back-end
Se não houver nenhuma página de erro, o problema provavelmente está relacionado à solicitação de back-end ou SSO do BIG-IP para o aplicativo.
- Navegue até Access Policy > Overview > Ative Sessions e selecione o link para sua sessão ativa.
- Para ajudar a causar o problema, use o link Exibir variáveis , especialmente se o BIG-IP APM não conseguir obter os atributos corretos da ID do Microsoft Entra ou de outra fonte.
Validar a conta de serviço APM
Para validar a conta de serviço APM para consultas LDAP, use o seguinte comando do shell bash BIG-IP. Confirme a autenticação e a consulta de um objeto de usuário.
ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"
Para obter mais informações, consulte o artigo F5 K11072: Configuring LDAP remote authentication for Ative Directory. Você pode usar uma tabela de referência BIG-IP para ajudar a diagnosticar problemas relacionados ao LDAP no documento AskF5, Consulta LDAP.