Tutorial: Configurar o botão F5 BIG-IP Easy para SSO para SAP ERP

Neste artigo, aprenda a proteger o SAP Enterprise Resource Planning (ERP) usando o Microsoft Entra ID, com F5 BIG-IP Easy Button Guided Configuration 16.1. A integração de um BIG-IP com o Microsoft Entra ID tem muitos benefícios:

• Estrutura Zero Trust para permitir o trabalho remoto
• O que é Acesso Condicional?
• Logon único (SSO) entre o Microsoft Entra ID e os serviços publicados pelo BIG-IP
• Gerir identidades e acesso a partir do centro de administração do Microsoft Entra

Saiba mais:

• Integre o F5 BIG-IP com o Microsoft Entra ID
• Habilite o SSO para um aplicativo corporativo.

Descrição do cenário

Este cenário inclui o aplicativo SAP ERP usando autenticação Kerberos para gerenciar o acesso ao conteúdo protegido.

Os aplicativos herdados carecem de protocolos modernos para suportar a integração com o Microsoft Entra ID. A modernização é cara, requer planejamento e introduz risco potencial de tempo de inatividade. Em vez disso, use um F5 BIG-IP Application Delivery Controller (ADC) para preencher a lacuna entre o aplicativo herdado e o plano de controle de ID moderno, por meio da transição de protocolo.

Um big-IP na frente do aplicativo permite a sobreposição do serviço com pré-autenticação do Microsoft Entra e SSO baseado em cabeçalhos. Essa configuração melhora a postura geral de segurança do aplicativo.

Arquitetura de cenário

A solução de acesso híbrido seguro (SHA) tem os seguintes componentes:

• Aplicação SAP ERP - um serviço publicado BIG-IP protegido pelo Microsoft Entra SHA
• Microsoft Entra ID - Provedor de identidade (IdP) SAML (Security Assertion Markup Language) que verifica as credenciais do usuário, Acesso Condicional e SSO baseado em SAML para o BIG-IP
• BIG-IP - proxy reverso e provedor de serviços SAML (SP) para o aplicativo. O BIG-IP delega autenticação ao IdP SAML e, em seguida, executa o SSO baseado em cabeçalho para o serviço SAP

O SHA suporta fluxos iniciados por SP e IdP. A imagem a seguir ilustra o fluxo iniciado pelo SP.

1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
2. A política de acesso do BIG-IP Access Policy Manager (APM) redireciona o usuário para o Microsoft Entra ID (SAML IdP).
3. O Microsoft Entra ID pré-autentica o usuário e aplica políticas de Acesso Condicional impostas.
4. O usuário é redirecionado para BIG-IP (SAML SP) e o SSO ocorre com o token SAML emitido.
5. O BIG-IP solicita o tíquete Kerberos do centro de distribuição de chaves (KDC).
6. O BIG-IP envia solicitação para o aplicativo back-end, com o tíquete Kerberos para SSO.
7. O aplicativo autoriza a solicitação e retorna a carga útil.

Pré-requisitos

• Uma conta Microsoft Entra ID Free ou superior
  • Se não tiver uma, obtenha uma conta gratuita do Azure
• Um BIG-IP ou um BIG-IP Virtual Edition (VE) no Azure
  • Consulte Implantar máquina virtual (VM) F5 BIG-IP Virtual Edition no Azure
• Qualquer uma das seguintes licenças F5 BIG-IP:
  • F5 BIG-IP® Melhor pacote
  • F5 BIG-IP APM licença independente
  • Licença de complemento F5 BIG-IP APM em um BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) existente
  • Licença de avaliação completa de 90 dias do BIG-IP
• Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID ou criadas no Microsoft Entra ID e fluídas de volta para o diretório local
  • Consulte Microsoft Entra Connect Sync: Compreender e personalizar a sincronização
• Uma das seguintes funções: Cloud Application Administrator ou Application Administrator.
• Um certificado da Web SSL para publicar serviços sobre HTTPS ou usar certificados BIG-IP padrão para teste
  • Consulte Implantar a VM F5 BIG-IP Virtual Edition no Azure
• Um ambiente SAP ERP configurado para autenticação Kerberos

Métodos de configuração BIG-IP

Este tutorial usa a Configuração Guiada 16.1 com um modelo de Botão Fácil. Com o Botão Fácil, os administradores não ficam entre o Microsoft Entra ID e um BIG-IP para habilitar serviços para SHA. O assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de políticas. Essa integração garante que os aplicativos ofereçam suporte à federação de identidades, SSO e acesso condicional.

Observação

Substitua cadeias de caracteres ou valores de exemplo neste guia por aqueles em seu ambiente.

Botão Registar Fácil

Dica

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Antes de um cliente ou serviço acessar o Microsoft Graph, a plataforma de identidade da Microsoft deve confiar nele.

Consulte Guia de início rápido: registrar um aplicativo com a plataforma de identidade da Microsoft

Registre o cliente Easy Button no Microsoft Entra ID e, em seguida, estabeleça uma relação de confiança entre instâncias SAML SP de um aplicativo BIG-IP publicado e Microsoft Entra ID como o SAML IdP.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Aplicativos de identidade>>Registros de>aplicativos Novo registro.

3. Insira um Nome para o novo aplicativo.

4. Em Contas somente neste diretório organizacional, especifique quem pode usar o aplicativo.

5. Selecione Registrar.

6. Navegue até Permissões de API.

7. Autorize as seguintes permissões do Aplicativo Microsoft Graph:

   • Aplicação.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Grupo.Read.All
   • IdentityRiskyUser.Read.All
   • Política.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • Usuário.Read.All

8. Conceda consentimento de administrador para sua organização.

9. Em Certificados & Segredos, gere um novo segredo de cliente.

10. Observe o segredo.

11. Em Visão geral, observe a ID do cliente e a ID do locatário.

Configurar o botão Fácil

1. Inicie a configuração guiada pelo APM.
2. Inicie o modelo Botão Fácil.
3. A partir de um browser, inicie sessão na consola de gestão F5 BIG-IP.
4. Navegue até Access Guided Configuration > Microsoft Integration>.
5. Selecione Aplicativo Microsoft Entra.
6. Revise a lista de configurações.
7. Selecione Avançar.
8. Siga a sequência de configuração em Configuração do Aplicativo Microsoft Entra.

Propriedades de configuração

A guia Propriedades de configuração tem propriedades de conta de serviço e cria uma configuração de aplicativo BIG-IP e um objeto SSO. A seção Detalhes da Conta de Serviço do Azure representa o cliente que você registrou como um aplicativo, no locatário do Microsoft Entra. Use as configurações do cliente OAuth BIG-IP para registrar individualmente uma controladora de armazenamento SAML no locatário, com as propriedades SSO. O Easy Button faz esta ação para serviços BIG-IP publicados e ativados para SHA.

Observação

Algumas configurações são globais e podem ser reutilizadas para publicar mais aplicativos.

1. Insira um Nome de Configuração. Nomes exclusivos diferenciam as configurações do Easy Button.
2. Para Single Sign-On (SSO) & HTTP Headers, selecione On.
3. Para ID do Inquilino, ID do Cliente e Segredo do Cliente, insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou durante o registro do locatário.
4. Selecione Testar conexão. Esta ação confirma que o BIG-IP se conecta ao seu locatário.
5. Selecione Avançar.

Prestador de Serviços

Use as configurações do provedor de serviços para definir as propriedades da instância do SP SAML do aplicativo protegido pelo SHA.

1. Para Host, insira o FQDN (nome de domínio público totalmente qualificado) do aplicativo que está sendo protegido.

2. Para ID de entidade, insira o identificador que o Microsoft Entra ID usa para identificar a controladora de armazenamento SAML que solicita um token.

   

3. (Opcional) Use Configurações de Segurança para indicar que o Microsoft Entra ID criptografa asserções SAML emitidas. As asserções criptografadas entre o Microsoft Entra ID e o BIG-IP APM aumentam a garantia de que os tokens de conteúdo não são intercetados, nem os dados comprometidos.

4. Em Assertion Decryption Private Key, selecione Create New.

   

5. Selecione OK.

6. A caixa de diálogo Importar Certificado SSL e Chaves aparece em uma nova guia.

7. Para importar o certificado e a chave privada, selecione PKCS 12 (IIS).

8. Feche a guia do navegador para retornar à guia principal.

   

9. Para Habilitar Asserção Criptografada, marque a caixa.

10. Se você habilitou a criptografia, na lista Assertion Decryption Private Key , selecione a chave privada para o certificado que o BIG-IP APM usa para descriptografar as asserções do Microsoft Entra.

11. Se você habilitou a criptografia, na lista Certificado de Descriptografia de Asserção , selecione o certificado que o BIG-IP carrega para o ID do Microsoft Entra para criptografar as asserções SAML emitidas.

Microsoft Entra ID

O Easy Button tem modelos de aplicativos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico.

1. Para iniciar a configuração do Azure, selecione SAP ERP Central Component > Add.

   

   Observação

   Você pode usar as informações nas seções a seguir ao configurar manualmente um novo aplicativo BIG-IP SAML em um locatário do Microsoft Entra.

Configuração do Azure

1. Em Nome para Exibição, insira o aplicativo que o BIG-IP cria no locatário do Microsoft Entra. O nome aparece no ícone no portal Meus Aplicativos .

2. (Opcional) deixe o URL de Início de Sessão (opcional) em branco.

   

3. Ao lado de Chave de assinatura, selecione atualizar.

4. Selecione Certificado de assinatura. Esta ação localiza o certificado que você inseriu.

5. Para Senha da chave de assinatura, insira a senha do certificado.

6. (Opcional) Habilite a opção de assinatura. Essa opção garante que o BIG-IP aceite tokens e declarações assinadas pelo ID do Microsoft Entra

   

7. Usuários e Grupos de Usuários são consultados dinamicamente a partir do seu locatário do Microsoft Entra. Os grupos ajudam a autorizar o acesso ao aplicativo.

8. Adicione um usuário ou grupo para teste, caso contrário, o acesso será negado.

   

Atributos do usuário & Declarações

Quando os usuários se autenticam no Microsoft Entra ID, ele emite um token SAML com declarações e atributos padrão que identificam o usuário. A guia Atributos do Usuário & Declarações mostra as declarações padrão a serem emitidas para o novo aplicativo. Use-o para configurar mais declarações.

Este tutorial é baseado em um sufixo de domínio .com usado interna e externamente. Nenhum outro atributo é necessário para obter uma implementação funcional de SSO de delegação restrita de Kerberos (KCD).

Você pode incluir mais atributos do Microsoft Entra. Para este tutorial, o SAP ERP requer os atributos padrão.

Saiba mais: Tutorial: Configurar o F5 BIG-IP Access Policy Manager para autenticação Kerberos. Consulte instruções sobre vários domínios ou login de usuário com sufixos alternativos.

Atributos de usuário adicionais

A guia Atributos de Usuário Adicionais oferece suporte a sistemas distribuídos que exigem atributos armazenados em outros diretórios, para aumento de sessão. Assim, os atributos de uma fonte LDAP (Lightweight Directory Access Protocol) são injetados como mais cabeçalhos SSO para controlar o acesso baseado em função, IDs de parceiro e assim por diante.

Observação

Esse recurso não tem correlação com o ID do Microsoft Entra, mas é outra fonte de atributo.

Política de Acesso Condicional

As políticas de Acesso Condicional são aplicadas após a pré-autenticação do Microsoft Entra. Essa ação controla o acesso com base no dispositivo, aplicativo, localização e sinais de risco.

O modo de exibição Políticas Disponíveis lista as políticas de Acesso Condicional sem ações baseadas no usuário.

O modo de exibição Políticas selecionadas lista as políticas direcionadas a aplicativos na nuvem. Não é possível desmarcar políticas impostas no nível do locatário nem movê-las para a lista Políticas Disponíveis.

Para selecionar uma política para o aplicativo que está sendo publicado:

1. Na lista Políticas disponíveis, selecione a política.
2. Selecione a seta para a direita.
3. Mova a política para a lista Políticas Selecionadas .

As políticas selecionadas têm uma opção Incluir ou Excluir marcada. Se ambas as opções estiverem marcadas, a política selecionada não será imposta.

Observação

A lista de políticas aparece quando você seleciona inicialmente essa guia. Use o botão Atualizar para consultar seu locatário. A atualização aparece quando o aplicativo é implantado.

Propriedades do Virtual Server

Um servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual. Este servidor escuta as solicitações do cliente para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil APM associado ao servidor virtual. O tráfego é então direcionado de acordo com a política.

1. Insira um endereço de destino. Use o endereço IPv4/IPv6 que o BIG-IP usa para receber tráfego de cliente. Um registro correspondente está no servidor de nomes de domínio (DNS), que permite que os clientes resolvam a URL externa do aplicativo publicado BIG-IP para esse IP. Você pode usar um DNS de host local do computador de teste para teste.
2. Em Porta de serviço, digite 443.
3. Selecione HTTPS.
4. Para Ativar porta de redirecionamento, marque a caixa.
5. Para Porta de redirecionamento, insira um número e selecione HTTP. Esta opção redireciona o tráfego de entrada do cliente HTTP para HTTPS.
6. Selecione o Perfil SSL do Cliente que você criou. Ou deixe o padrão para teste. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, para que as conexões do cliente sejam criptografadas pelo Transport Layer Security (TLS).

Propriedades da piscina

A guia Pool de Aplicativos tem serviços por trás de um BIG-IP, representado como um pool com servidores de aplicativos.

1. Em Selecionar um pool, selecione Criar novo ou selecione um pool.

2. Para Método de Balanceamento de Carga, selecione Round Robin.

3. Para Servidores de Pool , selecione um nó de servidor ou insira um IP e uma porta para o nó back-end que hospeda o aplicativo baseado em cabeçalho.

   

Logon único & cabeçalhos HTTP

Use o SSO para habilitar o acesso a serviços publicados pelo BIG-IP sem inserir credenciais. O assistente Easy Button suporta Kerberos, OAuth Bearer e cabeçalhos de autorização HTTP para SSO. Para obter as instruções a seguir, você precisa da conta de delegação Kerberos criada.

1. Em Single Sign-On & HTTP Headers, para Advanced Settings, selecione On.

2. Em Tipo de Logon Único Selecionado, selecione Kerberos.

3. Em Username Source, insira uma variável de sessão como a origem do ID do usuário. session.saml.last.identity mantém a declaração Microsoft Entra com o ID de usuário conectado.

4. A opção Origem do território do usuário será necessária se o domínio do usuário for diferente do reino kerberos do BIG-IP. Assim, a variável de sessão APM contém o domínio de usuário assinado. Por exemplo, session.saml.last.attr.name.domain.

   

5. Para KDC, insira um IP do controlador de domínio ou FQDN se o DNS estiver configurado.

6. Para Suporte UPN, marque a caixa. O APM usa o Nome Principal do Usuário (UPN) para emissão de tíquetes kerberos.

7. Para SPN Pattern, insira HTTP/%h. Essa ação informa o APM para usar o cabeçalho de host de solicitação de cliente e criar o SPN (Nome da Entidade de Serviço) para o qual está solicitando um token kerberos.

8. Para Enviar autorização, desative a opção para aplicativos que negociam autenticação. Por exemplo, o Tomcat.

   

Gestão de Sessões

Use as configurações de gerenciamento de sessão BIG-IP para definir condições quando as sessões do usuário terminam ou continuam. As condições incluem limites para usuários e endereços IP e informações de usuário correspondentes.

Para saber mais, acesse my.f5.com para K18390492: Segurança | Guia de operações do BIG-IP APM

O guia de operações não abrange o Single Log-Out (SLO). Esse recurso garante que as sessões entre o IdP, o BIG-IP e o agente do usuário sejam encerradas quando os usuários saírem. O Botão Fácil implanta um aplicativo SAML no locatário do Microsoft Entra. Ele preenche a URL de Logout com o ponto de extremidade SLO do APM. A saída iniciada pelo IdP do portal Meus Aplicativos encerra a sessão do BIG-IP e do cliente.

Durante a implantação, os metadados de federação SAML do aplicativo publicado são importados do locatário. Esta ação fornece ao APM o ponto de extremidade de saída SAML para o ID do Microsoft Entra e ajuda a saída iniciada pelo SP a encerrar o cliente e a sessão do Microsoft Entra.

Implantação

1. Selecione Implantar.
2. Verifique se o aplicativo está na lista de aplicativos corporativos do locatário.
3. Com um navegador, conecte-se à URL externa do aplicativo ou selecione o ícone do aplicativo em Meus Aplicativos.
4. Autentique-se no Microsoft Entra ID.
5. O redirecionamento leva você ao servidor virtual BIG-IP e entra por meio do SSO.

Para maior segurança, você pode bloquear o acesso direto ao aplicativo e impor um caminho através do BIG-IP.

Implementação avançada

Os modelos de Configuração Guiada às vezes carecem de flexibilidade.

Saiba mais: Tutorial: Configurar o F5 BIG-IP Access Policy Manager para autenticação Kerberos.

Desativar o modo de gerenciamento estrito

Como alternativa, no BIG-IP você pode desativar o modo de gerenciamento estrito Configuração Guiada. Você pode alterar suas configurações manualmente, embora a maioria das configurações seja automatizada com modelos de assistente.

1. Navegue até Configuração guiada de acesso>.

2. No final da linha para a configuração do seu aplicativo, selecione o cadeado.

3. Os objetos BIG-IP associados ao aplicativo publicado são desbloqueados para gerenciamento. As alterações por meio da interface do usuário do assistente não são mais possíveis.

   

   Observação

   Para reativar o modo de gerenciamento estrito e implantar uma configuração que substitua as configurações fora da interface do usuário de configuração guiada, recomendamos o método de configuração avançada para serviços de produção.

Solução de problemas

Se você não conseguir acessar o aplicativo protegido por SHA, consulte as seguintes diretrizes de solução de problemas.

• Kerberos é sensível ao tempo. Certifique-se de que os servidores e clientes estejam definidos para a hora correta e sincronizados com uma fonte de tempo confiável.
• Verifique se o controlador de domínio e o nome de host do aplicativo Web são resolvidos no DNS.
• Confirme se não há SPNs duplicados no ambiente.
  • Em um computador de domínio, na linha de comando, use a consulta: setspn -q HTTP/my_target_SPN

Para validar uma configuração KCD de aplicativo do IIS (Serviços de Informações da Internet), consulte Solucionar problemas de configurações do KCD para Proxy de Aplicativo

Ir para techdocs.f5.com para o método de logon único Kerberos

Análise de log

Verborrácia do log

O registro em log BIG-IP isola problemas de conectividade, SSO, violações de política ou mapeamentos de variáveis mal configurados. Para iniciar a solução de problemas, aumente a verbosidade do log.

1. Navegue até Visão geral da política > de acesso.
2. Selecione Logs de eventos.
3. Selecione Configurações.
4. Selecione a linha para o seu aplicativo publicado.
5. Selecione Editar.
6. Selecione Acessar logs do sistema
7. Na lista SSO, selecione Depurar.
8. Selecione OK.
9. Reproduza o seu problema.
10. Inspecione os registros.

Quando a inspeção estiver concluída, reverta a verbosidade do log porque esse modo gera dados excessivos.

Mensagem de erro BIG-IP

Se uma mensagem de erro BIG-IP aparecer após a pré-autenticação do Microsoft Entra, o problema pode estar relacionado ao ID do Microsoft Entra para BIG-IP SSO.

1. Navegue até Visão geral do acesso>.
2. Selecione Acessar relatórios.
3. Execute o relatório na última hora.
4. Inspecione os registros.

Use o link Exibir variáveis de sessão da sessão atual para ver se o APM recebe as declarações esperadas do Microsoft Entra.

Nenhuma mensagem de erro BIG-IP

Se nenhuma mensagem de erro BIG-IP aparecer, o problema pode estar relacionado à solicitação de back-end ou BIG-IP ao SSO do aplicativo.

1. Navegue até Visão geral da política > de acesso.
2. Selecione Sessões ativas.
3. Selecione o link para a sessão atual.
4. Use o link Exibir variáveis para identificar problemas de KCD, especialmente se o BIG-IP APM não obtiver identificadores de usuário e domínio corretos de variáveis de sessão.

Saiba mais:

• Ir para devcentral.f5.com para exemplos de atribuição de variáveis APM
• Ir para techdocs.f5.com para variáveis de sessão