Настройка F5 BIG-IP Access Policy Manager для единого входа на основе форм

Узнайте, как настроить диспетчер политик доступа F5 BIG-IP (APM) и идентификатор Microsoft Entra для безопасного гибридного доступа (SHA) для приложений на основе форм. Опубликованные службы BIG-IP для единого входа (SSO) Microsoft Entra имеют следующие преимущества:

• Улучшено управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и условного доступа
  • См. Что такое условный доступ?
  • См. раздел "Безопасность нулевого доверия"
• Полный единый вход между идентификатором Microsoft Entra ID и опубликованными службами BIG-IP
• Управляемые удостоверения и доступ из одной плоскости управления
  • См. Центр администрирования Microsoft Entra

Подробнее:

• Интеграция F5 BIG-IP с идентификатором Microsoft Entra
• Включение единого входа для корпоративного приложения

Описание сценария

В сценарии существует внутреннее устаревшее приложение, настроенное для проверки подлинности на основе форм (FBA). В идеале идентификатор Microsoft Entra управляет доступом к приложению, так как устаревшие не имеют современных протоколов проверки подлинности. Модернизация занимает много времени и усилий, что создает риск простоя. Вместо этого разверните BIG-IP между общедоступным Интернетом и внутренним приложением. Этот шлюз конфигурации входящий доступ к приложению.

С помощью BIG-IP перед приложением можно наложить службу с помощью предварительной проверки подлинности Microsoft Entra и единого входа на основе заголовков. Наложение улучшает состояние безопасности приложений.

Архитектура сценария

Решение SHA имеет следующие компоненты:

• Приложение — опубликованная служба BIG-IP, защищенная SHA.
  • Приложение проверяет учетные данные пользователя в Active Directory
  • Используйте любой каталог, в том числе службы упрощенного каталога Active Directory, открытый код и т. д.
• Идентификатор Microsoft Entra — поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход в BIG-IP.
  • При использовании единого входа идентификатор Microsoft Entra предоставляет атрибуты BIG-IP, включая идентификаторы пользователей.
• BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение.
  • Big-IP делегирование проверки подлинности в поставщике удостоверений SAML затем выполняет единый вход на основе заголовков в серверное приложение.
  • Единый вход использует кэшированные учетные данные пользователя для других приложений проверки подлинности на основе форм

SHA поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующей схеме показан поток, инициированный поставщиком службы.

1. Пользователь подключается к конечной точке приложения (BIG-IP).
2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
3. Microsoft Entra предварительно выполняет проверку подлинности пользователей и применяет политики условного доступа.
4. Пользователь перенаправляется в BIG-IP (SAML SP) и выполняется единый вход с использованием выданного токена SAML.
5. BIG-IP запрашивает у пользователя пароль приложения и сохраняет его в кэше.
6. BIG-IP отправляет запрос приложению и получает форму входа.
7. Скрипт APM заполняет имя пользователя и пароль, а затем отправляет форму.
8. Веб-сервер обслуживает полезные данные приложения и отправляет его клиенту.

Необходимые компоненты

Для этого необходимы следующие компоненты.

• Подписка Azure
  • Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• Одна из следующих ролей: Global Администратор istrator, Cloud Application Администратор istrator или Application Администратор istrator
• BIG-IP или развертывание виртуального выпуска BIG-IP (VE) в Azure
  • См. статью "Развертывание виртуальной машины F5 BIG-IP Virtual Edition" в Azure
• Любая из следующих лицензий F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • отдельная лицензия F5 BIG-IP Access Policy Manager™ (APM).
  • Надстройка F5 BIG-IP Access Policy Manager™ (APM) на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
  • 90-дневная пробная версия BIG-IP. Просмотр бесплатных пробных версий
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra
  • См. раздел "Синхронизация Подключение Microsoft Entra: общие сведения и настройка синхронизации"
• SSL-сертификат для публикации служб по протоколу HTTPS или использования сертификатов по умолчанию во время тестирования
  • См. профиль SSL
• Приложение проверки подлинности на основе форм или настройка приложения FBA IIS для тестирования
  • См. сведения о проверке подлинности на основе форм

Конфигурация BIG-IP

Конфигурация в этой статье представляет собой гибкую реализацию SHA: ручное создание объектов конфигурации BIG-IP. Используйте этот подход для сценариев, которые не охватывают шаблоны управляемой конфигурации.

Примечание.

Замените примеры строк или значений этими строками из вашей среды.

Регистрация F5 BIG-IP в идентификаторе Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Регистрация BIG-IP — это первый шаг единого входа между сущностями. Приложение, которое вы создаете из шаблона коллекции F5 BIG-IP, является проверяющей стороной, представляющей SAML SP для опубликованного приложения BIG-IP.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
3. В области "Все приложения" выберите "Создать приложение".
4. Откроется панель "Обзор коллекции Microsoft Entra".
5. Плитки отображаются для облачных платформ, локальных приложений и функциональных приложений. Значки избранных приложений указывают на поддержку федеративного единого входа и подготовки.
6. В коллекции Azure найдите F5.
7. Выберите F5 BIG-IP APM Microsoft Entra ID integration.
8. Введите имя нового приложения, которое используется для распознавания экземпляра приложения.
9. Выберите Добавить.
10. Нажмите кнопку создания.

Включение единого входа для F5 BIG-IP

Настройте регистрацию BIG-IP для выполнения токенов SAML, запрашивающих APM BIG-IP.

1. В меню слева в разделе "Управление " выберите единый вход.
2. Откроется панель единого входа.
3. На странице Выбрать метод единого входа выберите SAML.
4. Нажмите кнопку "Нет", я сохраните позже.
5. На панели SAML в области "Настройка единого входа" выберите значок пера.
6. Для идентификатора замените значение URL-адресом опубликованного приложения BIG-IP.
7. Для URL-адреса ответа замените значение, но сохраните путь к конечной точке приложения SAML SP. С этой конфигурацией поток SAML работает в режиме, инициируемом поставщиком удостоверений. Идентификатор Microsoft Entra id выдает утверждение SAML, а затем пользователь перенаправляется в конечную точку BIG-IP.
8. В режиме, инициированном поставщиком службы, для URL-адреса входа введите URL-адрес приложения.
9. Для URL-адреса выхода введите конечную точку единого выхода (SLO) BIG-IP APM, предопределенную заголовком узла службы. Затем сеансы пользователя BIG-IP APM заканчиваются при выходе из идентификатора Microsoft Entra.

Примечание.

Начиная с операционной системы управления трафиком (TMOS) версии 16, конечная точка SLO SAML — /saml/sp/profile/redirect/sloэто .

11. Выберите Сохранить.
12. Закройте область конфигурации SAML.
13. Пропустите запрос на тестирование единого входа.
14. Запишите свойства раздела "Атрибуты пользователя и утверждения ". Идентификатор Microsoft Entra выдает свойства для проверки подлинности APM BIG-IP и единого входа в серверное приложение.
15. На панели сертификатов подписывания SAML нажмите кнопку "Скачать".
16. XML-файл метаданных федерации сохраняется на компьютере.

Примечание.

Сертификаты подписывания Microsoft Entra SAML имеют срок действия трех лет.

Дополнительные сведения. Руководство. Управление сертификатами для федеративного единого входа

Назначить пользователей и группы

Идентификатор Microsoft Entra выдает маркеры для пользователей, которым предоставлен доступ к приложению. Чтобы предоставить определенным пользователям и группам доступ к приложениям, выполните указанные ниже действия.

1. В области Общие сведения о приложении F5 BIG-IP выберите Назначить пользователей и группы.
2. Выберите + Добавить пользователя или группу.
3. Выберите нужных пользователей и группы.
4. Выберите Назначить.

Расширенная настройка BIG-IP

Используйте следующие инструкции для настройки BIG-IP.

Настройка параметров поставщика службы SAML

Параметры SAML SP определяют свойства SAML SP, которые APM использует для наложения устаревшего приложения с предварительной аутентификацией SAML. Чтобы их настроить, выполните следующие действия:

1. Выберите поставщик служб SAML федерации>Access.>

2. Выберите локальные службы SP.

3. Нажмите кнопку создания.

   

4. На панели "Создание новой службы SAML SP" для имени и сущности введите определенное имя и идентификатор сущности.

   

   Примечание.

   Имя субъекта-службы Параметры требуется, если идентификатор сущности не соответствует части имени узла опубликованного URL-адреса. Кроме того, значения требуются, если идентификатор сущности не в регулярном формате URL-адреса на основе имени узла.

5. Если идентификатор сущности имеется urn:myvacation:contosoonline, введите внешнюю схему приложения и имя узла.

Настройка внешнего соединителя поставщика удостоверений

Соединитель поставщика удостоверений SAML определяет параметры для APM BIG-IP, чтобы доверять идентификатору Microsoft Entra в качестве поставщика удостоверений SAML. Параметры подключают поставщика услуг SAML к поставщику удостоверений SAML, который устанавливает доверие федерации между APM и идентификатором Microsoft Entra.

Чтобы настроить соединитель, выполните следующие действия:

1. Выберите новый объект поставщика услуг SAML.

2. Выберите параметр Bind/UnbBind IdP Подключение or.

   

3. В списке "Создание нового поставщика удостоверений Подключение" выберите "Из метаданных".

   

4. В области создания нового поставщика удостоверений SAML Подключение or найдите скачанный XML-файл метаданных федерации.

5. Введите имя поставщика удостоверений для объекта APM, представляющего внешний поставщик удостоверений SAML IdP. Например, MyVacation_EntraID.

   

6. Выберите " Добавить новую строку".

7. Выберите новый Подключение поставщика удостоверений SAML.

8. Выберите Обновить.

   

9. Нажмите ОК.

   

Настройка единого входа на основе форм

Создайте объект единого входа APM для единого входа FBA для внутренних приложений.

Выполните единый вход FBA в режиме, инициированном клиентом, или в режиме, инициированном BIG-IP. Оба метода эмулируют вход пользователя, введя учетные данные в теги имени пользователя и пароля. Форма отправлена. Пользователи предоставляют пароль для доступа к приложению FBA. Пароль кэшируется и повторно используется для других приложений FBA.

1. Выберите единый вход Access>.

2. Выберите "Формы на основе".

3. Нажмите кнопку создания.

4. В поле "Имя" введите описательное имя. Например, Contoso\FBA\sso.

5. Для использования шаблона единого входа выберите None.

6. В поле "Источник имени пользователя" введите источник имени пользователя, чтобы заполнить форму сбора паролей. По умолчанию session.sso.token.last.username работает хорошо, так как он имеет имя участника-пользователя Microsoft Entra User Name (UPN).

7. Для источника паролей сохраните значение по умолчанию session.sso.token.last.password переменной BIG-IP APM, используемой для кэширования паролей пользователей.

   

8. В поле URI запуска введите универсальный код ресурса (URI) для входа в приложение FBA. Если URI запроса соответствует этому значению URI, проверка подлинности на основе форм APM выполняет единый вход.

9. Для действия формы оставьте его пустым. Затем для единого входа используется исходный URL-адрес запроса.

10. Для параметра формы для имени пользователя введите элемент поля имени пользователя формы входа. Используйте средства разработки браузера для определения элемента.

11. Для параметра формы для пароля введите элемент поля пароля для входа в систему. Используйте средства разработки браузера для определения элемента.

Дополнительные сведения см. в статье techdocs.f5.com для ручной главы: методы единого входа.

Настройка профиля доступа

Профиль доступа привязывает элементы APM, которые управляют доступом к виртуальным серверам BIG-IP, включая политики доступа, конфигурацию единого входа и параметры пользовательского интерфейса.

1. Выберите профили доступа>или политики.

2. Выберите профили доступа (политики для каждого сеанса).

3. Нажмите кнопку создания.

4. Введите Имя.

5. Для типа профиля выберите "Все".

6. Для настройки единого входа выберите созданный объект конфигурации единого входа FBA.

7. Для принятого языка выберите по крайней мере один язык.

   

8. В столбце политики каждого сеанса для профиля нажмите кнопку "Изменить".

9. Запускается редактор визуальных политик APM.

   

10. В разделе "Резервный+" выберите знак.

11. Во всплывающем итоге выберите "Проверка подлинности".
12. Выберите SAML Auth.
13. Выберите " Добавить элемент".

14. При проверке подлинности SAML измените имя на проверку подлинности Microsoft Entra.
15. В раскрывающемся списке сервера AAA введите созданный объект поставщика услуг SAML.

16. В ветви "Успешно" выберите + знак.
17. Во всплывающем итоге выберите "Проверка подлинности".
18. Выберите страницу входа.
19. Выберите " Добавить элемент".

20. Для имени пользователя в столбце "Только для чтения" выберите "Да".

21. Для резервного входа выберите + знак. Это действие добавляет объект сопоставления учетных данных единого входа.

22. Во всплывающем запустите вкладку "Назначение ".

23. Выберите сопоставление учетных данных единого входа.

24. Выберите " Добавить элемент".

    

25. При назначении переменной: сопоставление учетных данных единого входа сохраните параметры по умолчанию.

26. Выберите Сохранить.

    

27. В верхнем поле "Запретить " выберите ссылку.

28. Ветвь успешно изменится на Allow.

29. Выберите Сохранить.

(Необязательно) Настройка сопоставлений атрибутов

Можно добавить конфигурацию LogonID_Mapping. Затем список активных сеансов BIG-IP содержит имя участника-пользователя, выполнившего вход, а не номер сеанса. Используйте эти сведения для анализа журналов или устранения неполадок.

1. В ветви SAML Auth Successful выберите + знак.

2. Во всплывающем итоге выберите "Назначение".

3. Выберите "Назначить переменную".

4. Выберите " Добавить элемент".

   

5. На вкладке "Свойства" введите имя. Например, LogonID_Mapping.

6. В разделе "Назначение переменной" выберите "Добавить новую запись".

7. Выберите изменение.

   

8. Для пользовательской переменной используйте session.logon.last.username.

9. Для переменной сеанса пользователь session.saml.last.identity.

10. Щелкните Готово.

11. Выберите Сохранить.

12. Выберите " Применить политику доступа".

13. Закройте редактор визуальных политик.

Настройка серверного пула

Чтобы включить правильное перенаправление трафика клиента BIG-IP, создайте объект узла BIG-IP, представляющий серверный сервер, на котором размещено приложение. Затем разместите этот узел в пуле серверов BIG-IP.

1. Выберите локальные пулы трафика>.

2. Выберите список пулов.

3. Нажмите кнопку создания.

4. Введите имя объекта пула серверов. Например, MyApps_VMs.

   

5. В поле "Имя узла" введите отображаемое имя сервера. На этом сервере размещается серверное веб-приложение.

6. В поле "Адрес" введите IP-адрес узла сервера приложений.

7. Для порта службы введите порт HTTP/S, который приложение прослушивает.

   

   Примечание.

   Мониторы работоспособности требуют конфигурации, которую эта статья не охватывает. Перейдите к support.f5.com для K13397: обзор форматирования запросов монитора работоспособности HTTP для системы DNS BIG-IP.

Настройка виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом. Сервер прослушивает клиентские запросы к приложению. Любой полученный трафик обрабатывается и оценивается в профиле доступа APM, связанном с виртуальным сервером. Трафик направляется в соответствии с политикой.

Чтобы настроить виртуальный сервер, выполните следующие действия.

1. Выберите локальные виртуальные серверы трафика>.

2. Выберите список виртуальных серверов.

3. Нажмите кнопку создания.

4. Введите Имя.

5. Для адреса назначения или маски выберите узел и введите IPv4 или IPv6-адрес. Адрес получает клиентский трафик для опубликованного серверного приложения.

6. Для порта службы выберите порт, введите 443 и выберите HTTPS.

   

7. Для профиля HTTP (клиент) выберите http.

8. Для профиля SSL (клиента) выберите созданный профиль или оставьте значение по умолчанию для тестирования. Этот параметр позволяет виртуальному серверу для протокола TLS публиковать службы по протоколу HTTPS.

   

9. Для перевода исходных адресов выберите "Автоматическая карта".

   

10. В разделе "Политика доступа" в поле "Профиль доступа" введите созданное имя. Это действие привязывает профиль предварительной проверки подлинности Microsoft Entra SAML и политику единого входа FBA к виртуальному серверу.

11. В разделе "Ресурсы" для пула по умолчанию выберите созданные объекты внутреннего пула.
12. Щелкните Готово.

Настройка параметров управления сеансами

Параметры управления сеансами BIG-IP определяют условия завершения сеансов и продолжения. Создайте политику в этой области.

1. Перейдите к политике доступа.
2. Выберите профили доступа.
3. Выберите "Профиль доступа".
4. В списке выберите приложение.

Если вы определили одно значение URI выхода в идентификаторе Microsoft Entra, то выход, инициированный поставщиком удостоверений из MyApps, завершает клиент и сеанс APM BIG-IP. Импортированный XML-файл метаданных федерации приложения предоставляет APM с конечной точкой Microsoft Entra SAML для выхода, инициированного поставщиком службы. Убедитесь, что APM правильно реагирует на выход пользователя.

Если веб-портал BIG-IP отсутствует, пользователи не могут указать APM выйти из нее. Если пользователь выходит из приложения, BIG-IP не забвевает. Сеанс приложения можно восстановить с помощью единого входа. Для выхода, инициированного поставщиком службы, убедитесь, что сеансы завершаются безопасно.

Вы можете добавить функцию SLO в кнопку выхода приложения. Эта функция перенаправляет клиент на конечную точку выхода Microsoft Entra SAML. Чтобы найти конечную точку выхода SAML, перейдите к конечным точкам регистрации приложений>.

Если вы не можете изменить приложение, у вас есть прослушиватель BIG-IP для вызова выхода приложения и активации SLO.

Подробнее:

• K42052145: Configuring automatic session termination (logout) based on a URI-referenced file name (Настройка автоматического завершения сеанса (выхода) на основе имени файла, указанного в URI)
• K12056: Overview of the Logout URI Include option (Общие сведения о параметре включения URI выхода)

Опубликованное приложение

Приложение опубликовано и доступно с помощью SHA с ПОМОЩЬЮ URL-адреса приложения или портала Майкрософт.

Приложение отображается в качестве целевого ресурса в условном доступе. Дополнительные сведения: создание политики условного доступа.

Для повышения безопасности блокируйте прямой доступ к приложению, применяя путь через BIG-IP.

Тест

1. В браузере подключитесь к внешнему URL-адресу приложения или в Мои приложения выберите значок приложения.

2. Проверка подлинности в идентификаторе Microsoft Entra.

3. Вы перенаправляетесь в конечную точку BIG-IP для приложения.

4. Появится запрос пароля.

5. APM заполняет имя пользователя именем участника-пользователя из идентификатора Microsoft Entra. Имя пользователя доступно только для чтения для согласованности сеансов. При необходимости скрыть это поле.

   

6. Информация отправляется.

7. Вы вошли в приложение.

   

Устранение неполадок

При устранении неполадок рассмотрите следующие сведения:

• BIG-IP выполняет единый вход FBA, так как он анализирует форму входа в URI

  • BIG-IP ищет теги элементов имени пользователя и пароля из конфигурации.

• Подтверждение согласованности тегов элементов или сбой единого входа

• Сложные формы, созданные динамически, могут потребовать анализа средств разработки для понимания формы входа

• Запуск клиента лучше подходит для входа на страницы с несколькими формами

  • Можно указать имя формы и настроить логику обработчика форм JavaScript

• Методы единого входа FBA оптимизируют взаимодействие с пользователями и безопасностью путем скрытия взаимодействий с формами:

  • Можно проверить, внедряются ли учетные данные.
  • В режиме, инициированном клиентом, отключите автосубмиссию формы в профиле единого входа
  • Использование средств разработки для отключения двух свойств стиля, которые препятствуют отображению страницы входа

  

Увеличение детализации журнала

Журналы BIG-IP содержат сведения об изоляции проблем проверки подлинности и единого входа. Увеличьте уровень детализации журнала:

1. Перейдите к обзору политики>доступа.
2. Выберите журналы событий.
3. Выберите Параметры.
4. Выберите строку опубликованного приложения.
5. Выберите Изменить.
6. Выберите журналы системы доступа.
7. В списке единого входа выберите "Отладка".
8. Нажмите ОК.
9. Воспроизведите проблему.
10. Просмотрите журналы.

Вернитесь к параметрам в противном случае есть чрезмерные данные.

Сообщение об ошибке BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с идентификатором Microsoft Entra ID и единым входом BIG-IP.

1. Перейдите к обзору доступа>.
2. Выберите отчеты Access.
3. Запустите отчет за последний час.
4. Просмотрите журналы для получения подсказок.

Используйте ссылку "Просмотр переменных сеанса" для сеанса, чтобы определить, получает ли APM ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если сообщение об ошибке BIG-IP не отображается, проблема может быть связана с серверным запросом или единым входом в приложение BIG-IP-to-application.

1. Выберите "Обзор политики>доступа".
2. Выберите активные сеансы.
3. Выберите ссылку активного сеанса.

Используйте ссылку "Переменные представления" в этом расположении, чтобы определить первопричину, особенно если APM не сможет получить правильный идентификатор пользователя и пароль.

Чтобы узнать больше, перейдите к techdocs.f5.com для раздела вручную: переменные сеанса.

Ресурсы

• Перейдите в раздел techdocs.f5.com для ручной главы: проверка подлинности Active Directory
• Проверка подлинности без пароля
• Что представляет собой условный доступ?
• Модель "Никому не доверяй" для удаленной работы