Руководство по настройке единого входа на основе заголовков F5 BIG-IP Easy Button

Узнайте, как защитить приложения на основе заголовков с помощью идентификатора Microsoft Entra с помощью F5 BIG-IP Easy Button Guided Configuration версии 16.1.

Интеграция BIG-IP с идентификатором Microsoft Entra id обеспечивает множество преимуществ, в том числе:

• Улучшено управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и условного доступа
  • Смотрите, что такое условный доступ?
  • См. безопасность нулевого доверия
• Полный единый вход между идентификатором Microsoft Entra ID и опубликованными службами BIG-IP
• Управляемые удостоверения и доступ из одной плоскости управления
  • См. Центр администрирования Microsoft Entra

Подробнее:

• Интеграция F5 BIG-IP с идентификатором Microsoft Entra
• Включение единого входа для корпоративного приложения

Описание сценария

Этот сценарий охватывает устаревшее приложение с помощью заголовков авторизации HTTP для управления доступом к защищенному содержимому. Устаревшие протоколы не поддерживают прямую интеграцию с идентификатором Microsoft Entra. Модернизация является дорогостоящим, трудоемким и представляет риск простоя. Вместо этого используйте контроллер доставки приложений F5 BIG-IP (ADC), чтобы преодолеть разрыв между устаревшим приложением и современной плоскостей управления идентификаторами с переходом протокола.

Big-IP перед приложением включает наложение службы с помощью предварительной проверки подлинности Microsoft Entra и единого входа на основе заголовков. Эта конфигурация улучшает общую безопасность приложений.

Примечание.

Организации могут иметь удаленный доступ к этому типу приложения с помощью прокси приложения Microsoft Entra. Дополнительные сведения: удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra

Архитектура сценария

Решение SHA содержит следующее:

• Приложение — опубликованная служба BIG-IP, защищенная Microsoft Entra SHA
• Идентификатор Microsoft Entra — поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход на основе SAML в BIG-IP. При использовании единого входа идентификатор Microsoft Entra предоставляет BIG-IP с атрибутами сеанса.
• BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение, делегируя проверку подлинности поставщику удостоверений SAML перед выполнением единого входа на основе заголовков в серверное приложение.

В этом сценарии SHA поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующей схеме показан поток, инициированный поставщиком службы.

1. Пользователь подключается к конечной точке приложения (BIG-IP).
2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
3. Microsoft Entra предварительно выполняет проверку подлинности пользователей и применяет политики условного доступа.
4. Пользователь перенаправляется в BIG-IP (SAML SP) и выполняется единый вход с использованием выданного токена SAML.
5. BIG-IP внедряет атрибуты Microsoft Entra в качестве заголовков в запросе приложения.
6. Приложение авторизует запрос и возвращает полезные данные.

Необходимые компоненты

Для сценария, который требуется:

• Подписка Azure
  • Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• Одна из следующих ролей: Global Администратор istrator, Cloud Application Администратор istrator или Application Администратор istrator
• BIG-IP или развертывание виртуального выпуска BIG-IP (VE) в Azure
  • См. статью " Развертывание виртуальной машины F5 BIG-IP Virtual Edition" в Azure
• Любая из следующих лицензий F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • отдельная лицензия F5 BIG-IP Access Policy Manager™ (APM).
  • Надстройка F5 BIG-IP Access Policy Manager™ (APM) на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
  • 90-дневная пробная версия BIG-IP. Просмотр, бесплатные пробные версии
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra
  • См. раздел microsoft Entra Подключение Sync: общие сведения о синхронизации и настройках
• Ssl-веб-сертификат для публикации служб по протоколу HTTPS или использования сертификатов BIG-IP по умолчанию для тестирования
  • См. профиль SSL
• Приложение на основе заголовков или настройка приложения заголовка IIS для тестирования
  • См. инструкции по настройке приложения заголовка IIS

Конфигурация BIG-IP

В этом руководстве используется интерактивная конфигурация версии 16.1 с шаблоном кнопки Easy. С помощью кнопки Easy администраторы больше не идут назад и вперед, чтобы включить службы SHA. Мастер интерактивной настройки и Microsoft Graph обрабатывают развертывание и управление политиками. Интеграция BIG-IP APM и Microsoft Entra гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ.

Примечание.

Замените примеры строк или значений этими строками в вашей среде.

Регистрация Easy Button

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Прежде чем клиент или служба обращается к Microsoft Graph, платформа удостоверений Майкрософт должен доверять ему.

Дополнительные сведения: краткое руководство. Регистрация приложения с помощью платформа удостоверений Майкрософт.

Создайте регистрацию приложения клиента, чтобы авторизовать доступ easy Button к Graph. С этими разрешениями BIG-IP отправляет конфигурации для установления доверия между экземпляром SAML SP для опубликованного приложения и идентификатором Microsoft Entra в качестве поставщика удостоверений SAML.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к регистрации приложений> удостоверений>Регистрация приложений> New.

3. В разделе "Управление" выберите Регистрация приложений > Создать регистрацию.

4. Введите имя приложения.

5. Укажите, кто использует приложение.

6. Установите флажок Учетные записи только в этом каталоге организации.

7. Выберите Зарегистрировать.

8. Перейдите к разрешениям API.

9. Авторизуйте следующие разрешения приложения Microsoft Graph:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

10. Предоставьте согласие администратора для вашей организации.

11. В сертификатах и секретах создайте новый секрет клиента. Запишите секрет клиента.

12. В обзоре обратите внимание на идентификатор клиента и идентификатор клиента.

Настройка Easy Button

1. Запустите интерактивную конфигурацию APM.

2. Запустите шаблон Easy Button.

3. Перейдите к интерактивной конфигурации.>

4. Выбор интеграции Майкрософт

5. Выберите приложение Microsoft Entra.

6. Просмотрите действия по настройке.

7. Выберите Далее.

8. Используйте иллюстрированную последовательность шагов для публикации приложения.

   

Свойства конфигурации

Перейдите на вкладку "Свойства конфигурации", чтобы создать конфигурацию приложения BIG-IP и объект единого входа. Сведения о учетной записи службы Azure представляют клиент, зарегистрированный в клиенте Microsoft Entra. Используйте параметры клиента OAuth BIG-IP для регистрации субъекта-службы SAML в клиенте с помощью свойств единого входа. Easy Button выполняет это действие для служб BIG-IP, опубликованных и включенных для SHA.

Можно повторно использовать параметры для публикации дополнительных приложений.

1. Введите имя конфигурации.

2. Для заголовков единого входа и HTTP нажмите кнопку "Вкл.".

3. Для идентификатора клиента, идентификатора клиента и секрета клиента введите то, что вы указали.

4. Подтвердите подключение BIG-IP к клиенту.

5. Выберите Далее

   

Поставщик услуг

В параметрах поставщика услуг определите параметры экземпляра SAML SP для приложения, защищенного SHA.

1. Введите узел, общедоступное полное доменное имя приложения.

2. Введите идентификатор сущности, идентификатор Microsoft Entra ID используется для идентификации SAML SP, запрашивающей токен.

   

3. (Необязательно) В Параметры безопасности выберите "Включить утверждение шифрования", чтобы включить идентификатор Microsoft Entra для шифрования выданных утверждений SAML. Утверждения шифрования MICROSOFT Entra ID и BIG-IP APM помогают гарантировать, что маркеры содержимого не перехватываются, а также не скомпрометированы личные или корпоративные данные.

4. В Параметры безопасности в списке закрытых ключей расшифровки утверждений выберите "Создать".

   

5. Нажмите ОК.

6. Откроется диалоговое окно импорта SSL-сертификата и ключей .

7. Для типа импорта выберите PKCS 12 (IIS). Это действие импортирует сертификат и закрытый ключ.

8. Для имени сертификата и ключа нажмите кнопку "Создать " и введите входные данные.

9. Введите пароль.

10. Выберите Импорт.

11. Закройте вкладку браузера, чтобы вернуться на главную вкладку.

12. Установите флажок для включения зашифрованного утверждения.
13. Если вы включили шифрование, в списке закрытого ключа расшифровки утверждения выберите сертификат. BIG-IP APM использует этот закрытый ключ сертификата для расшифровки утверждений Microsoft Entra.
14. Если вы включили шифрование, в списке сертификатов расшифровки утверждений выберите сертификат. BIG-IP отправляет этот сертификат в идентификатор Microsoft Entra для шифрования выданных утверждений SAML.

Microsoft Entra ID

Используйте следующие инструкции, чтобы настроить новое приложение SAML BIG-IP в клиенте Microsoft Entra. Easy Button содержит шаблоны приложений для Oracle Люди Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP и универсального шаблона SHA.

1. В разделе "Конфигурация Azure" в разделе "Свойства конфигурации" выберите F5 BIG-IP APM Microsoft Entra ID Integration.
2. Выберите Добавить.

Конфигурация Azure

1. Введите отображаемое имя приложения BIG-IP, создаваемое в клиенте Microsoft Entra. Пользователи видят имя с значком в Microsoft Мои приложения.

2. Пропустить URL-адрес для входа (необязательно).

3. Рядом с ключом подписи и сертификатом подписывания выберите обновление , чтобы найти импортированный сертификат.

4. В парольной фразе ключа подписывания введите пароль сертификата.

5. (Необязательно) Включите параметр подписи, чтобы убедиться, что BIG-IP принимает маркеры и утверждения, подписанные идентификатором Microsoft Entra.

   

6. Входные данные для групп пользователей и пользователей динамически запрашиваются.

   Внимание

   Добавьте пользователя или группу для тестирования, в противном случае доступ запрещен. В группах пользователей и пользователей нажмите кнопку +Добавить.

   

Утверждения и атрибуты пользователя

Когда пользователь проходит проверку подлинности, идентификатор Microsoft Entra выдает токен SAML с утверждениями и атрибутами, определяющими пользователя. Вкладка "Атрибуты пользователя и утверждения " имеет утверждения по умолчанию для приложения. Используйте вкладку для настройки дополнительных утверждений.

Включите еще один атрибут:

1. В поле "Имя заголовка" введите employeeid.

2. В качестве исходного атрибута введите user.employeeid.

   

Дополнительные атрибуты пользователя

На вкладке "Дополнительные атрибуты пользователя" включите расширение сеанса . Используйте эту функцию для распределенных систем, таких как Oracle, SAP и другие реализации JAVA, которые требуют хранения атрибутов в других каталогах. Атрибуты, полученные из источника протокола LDAP, внедряются в качестве дополнительных заголовков единого входа. Это действие помогает управлять доступом на основе ролей, идентификаторов партнеров и т. д.

Примечание.

Эта функция не имеет корреляции с идентификатором Microsoft Entra. Это источник атрибута. 

Политика условного доступа

Политики условного доступа управляют доступом на основе устройств, приложений, расположений и сигналов риска.

• В доступных политиках найдите политики условного доступа без действий пользователя
• В выбранных политиках найдите политику облачных приложений
  • Вы не можете отменить выбор этих политик или переместить их в доступные политики, так как они применяются на уровне клиента.

Чтобы выбрать политику для применения к публикуемому приложению, выполните указанные ниже действия.

1. На вкладке "Политика условного доступа" в списке "Доступные политики" выберите политику.
2. Щелкните стрелку вправо и переместите ее в список выбранных политик.

Примечание.

Для политики можно выбрать параметр "Включить " или "Исключить ". Если выбраны оба варианта, политика не выполняется.

Примечание.

При выборе вкладки "Политика условного доступа" появится список политик условного доступа. Выберите обновление и мастер запрашивает клиент. Обновление появляется после развертывания приложения.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом. Сервер прослушивает запросы клиентов к приложению. Полученный трафик обрабатывается и оценивается в профиле APM, связанном с виртуальным сервером. Трафик направляется в соответствии с политикой.

1. Для адреса назначения введите IPv4 или IPv6-адрес, который BIG-IP использует для получения трафика клиента. Убедитесь, что соответствующая запись на сервере доменных имен (DNS), которая позволяет клиентам разрешать внешний URL-адрес опубликованного приложения BIG-IP для этого IP-адреса. Для тестирования можно использовать локальный DNS-сервер компьютера.

2. Для порта службы введите 443 и выберите HTTPS.

3. Установите флажок включить порт перенаправления.

4. Введите значение порта перенаправления. Этот параметр перенаправляет входящий трафик КЛИЕНТА HTTP на HTTPS.

5. Выберите созданный профиль SSL клиента или оставьте значение по умолчанию для тестирования. Профиль SSL клиента включает виртуальный сервер для HTTPS, поэтому клиентские подключения шифруются по протоколу TLS.

   

Свойства пула

Вкладка пула приложений содержит службы за большим IP-адресом, представленным в виде пула , с одним или несколькими серверами приложений.

1. Для выбора пула нажмите кнопку "Создать" или выберите другой.

2. Для метода балансировки нагрузки выберите циклический робин.

3. Для серверов пула выберите узел или выберите IP-адрес и порт для сервера, на котором размещено приложение на основе заголовков.

   

   Примечание.

   Серверное приложение Майкрософт находится на HTTP-порту 80. При выборе HTTPS используйте 443.

Заголовки единого входа и HTTP

С помощью единого входа пользователи получают доступ к опубликованным службам BIG-IP без ввода учетных данных. Мастер Easy Button поддерживает Kerberos, носитель OAuth и заголовки авторизации HTTP для единого входа.

1. В заголовках единого входа и HTTP в заголовках единого входа для операции заголовка выберите insert

2. Для имени заголовка используйте upn.

3. Для значения заголовка используйте %{session.saml.last.identity}.

4. Для операции заголовка выберите insert.

5. Для имени заголовка используйте employeeid.

6. Для значения заголовка используйте %{session.saml.last.attr.name.employeeid}.

   

   Примечание.

   Переменные сеанса APM в фигурных скобках чувствительны к регистру. Несоответствия вызывают сбои сопоставления атрибутов.

Управление сеансом

Используйте параметры управления сеансами BIG-IP, чтобы определить условия прекращения или продолжения сеансов пользователей.

Дополнительные сведения см. в support.f5.com для K18390492: безопасность | Руководство по операциям APM BIG-IP

Единый выход (SLO) гарантирует завершение сеансов поставщика удостоверений, BIG-IP и сеансов агента пользователя при выходе пользователей. Когда easy Button создает экземпляр приложения SAML в клиенте Microsoft Entra, он заполняет URL-адрес выхода конечной точкой APM SLO. Выход, инициированный поставщиком удостоверений, из Мои приложения завершает сеансы BIG-IP и клиента.

Дополнительные сведения: см. Мои приложения

Метаданные федерации SAML для опубликованного приложения импортируются из вашего клиента. Импорт предоставляет APM с конечной точкой выхода SAML для идентификатора Microsoft Entra ID. Это действие гарантирует, что выход, инициированный поставщиком службы, завершает сеансы клиента и Microsoft Entra. Убедитесь, что APM знает, когда происходит выход пользователя.

Если портал webtop BIG-IP обращается к опубликованным приложениям, то th eAPM обрабатывает выход для вызова конечной точки выхода Microsoft Entra. Если веб-портал BIG-IP не используется, пользователи не могут указать APM выйти из нее. Если пользователи выходят из приложения, BIG-IP не забвевает. Таким образом, убедитесь, что выход, инициированный поставщиком службы, безопасно завершает сеансы. Вы можете добавить функцию SLO в кнопку выхода приложения, а затем клиенты перенаправляются в конечную точку выхода Microsoft Entra SAML или BIG-IP. Чтобы найти URL-адрес конечной точки выхода SAML для клиента, перейдите к конечным точкам регистрации приложений>.

Если вы не можете изменить приложение, включите BIG-IP для прослушивания вызова выхода приложения и активации SLO.

Подробнее:

• единый выход Люди Soft
• Перейдите к support.f5.com:
  • K42052145: Configuring automatic session termination (logout) based on a URI-referenced file name (Настройка автоматического завершения сеанса (выхода) на основе имени файла, указанного в URI)
  • K12056: обзор параметра включения URI выхода.

Развернуть

Развертывание обеспечивает разбивку конфигураций.

1. Чтобы зафиксировать параметры, выберите "Развернуть".
2. Проверьте приложение в списке клиентов корпоративных приложений.
3. Приложение опубликовано и доступно с помощью SHA, с его URL-адресом или на порталах приложений Майкрософт.

Тест

1. В браузере подключитесь к внешнему URL-адресу приложения или выберите значок приложения на Мои приложения.
2. Проверка подлинности в идентификаторе Microsoft Entra.
3. Перенаправление происходит на виртуальный сервер BIG-IP для приложения и вход с помощью единого входа.

На следующем снимках экрана отображаются выходные данные заголовков из приложения на основе заголовков.

Примечание.

Вы можете заблокировать прямой доступ к приложению, тем самым применяя путь через BIG-IP.

Расширенное развертывание

В некоторых сценариях шаблоны управляемой конфигурации не имеют гибкости.

Дополнительные сведения. Руководство. Настройка диспетчера политик доступа F5 BIG-IP для единого входа на основе заголовков.

В BIG-IP можно отключить строгий режим управления управляемой конфигурацией. Затем вручную измените конфигурации, однако большинство конфигураций автоматизированы с помощью шаблонов мастера.

1. Чтобы отключить строгий режим, перейдите к интерактивной конфигурации Access>.

2. В строке конфигурации приложения выберите значок блокировки.

3. Объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для управления. Изменения в мастере больше не возможны.

   

   Примечание.

   Если вы повторно включите строгий режим и развернете конфигурацию, действие перезаписывает параметры, не в интерактивной конфигурации. Мы рекомендуем расширенную конфигурацию для рабочих служб.

Устранение неполадок

При устранении неполадок используйте следующие рекомендации.

Детализация журнала

Журналы BIG-IP помогают изолировать проблемы с подключением, единым входом, политикой или неправильно настроенными сопоставлениями переменных. Чтобы устранить неполадки, увеличьте детализацию журнала.

1. Перейдите к обзору политики > доступа.
2. Выберите журналы событий.
3. Выберите Параметры.
4. Выберите строку опубликованного приложения
5. Выберите Изменить.
6. Выберите журналы системы доступа.
7. В списке единого входа выберите "Отладка".
8. Нажмите ОК.
9. Воспроизведите проблему.
10. Проверьте журналы.

Примечание.

Верните эту функцию после завершения. Подробный режим создает чрезмерные данные.

Сообщение об ошибке BIG-IP

Если сообщение об ошибке BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с единым входом Microsoft Entra ID-to-BIG-IP.

1. Перейдите к обзору политики > доступа.
2. Выберите отчеты Access.
3. Запустите отчет за последний час.
4. Просмотрите журналы для получения подсказок.

Используйте ссылку "Просмотр переменных сеанса " для сеанса, чтобы понять, получает ли APM ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если сообщение об ошибке BIG-IP не отображается, проблема может быть связана с серверным запросом или единым входом в приложение BIG-IP-to-application.

1. Перейдите к обзору политики > доступа.
2. Выберите активные сеансы.
3. Выберите ссылку активного сеанса.

Используйте ссылку "Переменные представления" , чтобы определить проблемы единого входа, особенно если APM BIG-IP не получает правильные атрибуты.

Подробнее:

• Настройка удаленной проверки подлинности LDAP для Active Directory
• Перейдите к techdocs.f5.com для раздела вручную: запрос LDAP