Интеграция F5 BIG-IP с идентификатором Microsoft Entra
При увеличении ландшафта угроз и использовании нескольких мобильных устройств организации переосмысливают доступ к ресурсам и управление ими. Часть программ модернизации включает оценку готовности между удостоверениями, устройствами, приложениями, инфраструктурой, сетью и данными. Вы можете узнать о платформе "Нулевое доверие", чтобы включить удаленную работу и средство оценки нулевого доверия.
Цифровая трансформация — это долгосрочный путь, и потенциально критически важные ресурсы предоставляются до модернизации. Цель F5 BIG-IP и Microsoft Entra ID secure hybrid access (SHA) — улучшить удаленный доступ к локальным приложениям и укрепить безопасность уязвимых устаревших служб.
По оценкам исследований, 60%-80% локальных приложений являются устаревшими или не могут интегрироваться с идентификатором Microsoft Entra. То же исследование указывает на большую часть аналогичных систем, выполняемых в предыдущих версиях SAP, Oracle, SAGE и других известных рабочих нагрузок для критически важных служб.
SHA позволяет организациям продолжать использовать инвестиции в сеть F5 и доставку приложений. С идентификатором Microsoft Entra SHA мостит разрыв с плоскости управления удостоверениями.
Преимущества
Когда идентификатор Microsoft Entra ID предварительно выполняет доступ к опубликованным службам BIG-IP, существует множество преимуществ:
- Проверка подлинности без пароля с помощью:
К другим преимуществам относятся следующие преимущества:
- Один уровень управления для управления удостоверениями и доступом
- Предварительный условный доступ
- Многофакторная проверка подлинности Microsoft Entra
- Адаптивная защита с помощью профилирования рисков для пользователей и сеансов
- Самостоятельный сброс пароля (SSPR)
- Управление правами для управляемого гостевого доступа
- Обнаружение и управление приложениями
- Мониторинг угроз и аналитика с помощью Microsoft Sentinel
Описание сценария
Как контроллер доставки приложений (ADC) и виртуальная частная сеть защищенного сокета (SSL-VPN), система BIG-IP обеспечивает локальный и удаленный доступ к службам, включая:
- Современные и устаревшие веб-приложения
- Приложения, отличные от веб-приложений
- Службы программирования веб-приложений (API) и простого протокола доступа к объектам (REST) и простого протокола доступа к объектам (SOAP)
Локальная Диспетчер трафика BIG-IP (LTM) предназначена для безопасной публикации служб, а диспетчер политик доступа (APM) расширяет функции BIG-IP, которые обеспечивают федерацию удостоверений и единый вход(SSO).
Благодаря интеграции вы достигаете перехода протокола на защищенные устаревшие версии или другие интегрированные службы с такими элементами управления, как:
В сценарии BIG-IP — это обратный прокси-сервер, который передает предварительную проверку подлинности службы и авторизацию идентификатору Microsoft Entra. Интеграция основана на стандартном доверии федерации между APM и идентификатором Microsoft Entra. Этот сценарий распространен с SHA. Дополнительные сведения: настройка SSL-VPN F5 BIG-IP для единого входа Microsoft Entra. С помощью SHA можно защитить язык разметки утверждений безопасности (SAML), открыть авторизацию (OAuth) и ресурсы OpenID Connect (OIDC).
Заметка
Если используется для локального и удаленного доступа, big-IP может быть задушной точкой для доступа к службам нулевого доверия, включая программное обеспечение как службу (SaaS).
На следующей схеме показан внешний обмен предварительной проверки подлинности между пользователем, BIG-IP и идентификатором Microsoft Entra в потоке, инициированном поставщиком услуг (SP). Затем он показывает последующее обогащение сеансов APM и единый вход для отдельных внутренних служб.
- Пользователи выбирают значок приложения на портале, разрешая URL-адрес SAML SP (BIG-IP)
- BIG-IP перенаправляет пользователя на поставщика удостоверений SAML (IdP), идентификатор Microsoft Entra ID для предварительной проверки подлинности
- Идентификатор Microsoft Entra обрабатывает политики условного доступа и элементы управления сеансами для авторизации
- Пользователи возвращаются в BIG-IP и представляют утверждения SAML, выданные идентификатором Microsoft Entra
- Сведения о сеансах BIG-IP для единого входа и управления доступом на основе ролей (RBAC) в опубликованную службу
- BIG-IP перенаправит запрос клиента в серверную службу.
Взаимодействие с пользователем
Независимо от того, знакомы ли сотрудник, филиал или потребитель, большинство пользователей знакомы с интерфейсом входа в Office 365. Доступ к службам BIG-IP аналогичен.
Пользователи могут найти опубликованные службы BIG-IP на портале Мои приложения или средстве запуска приложений Microsoft 365 с возможностями самообслуживания независимо от устройства или расположения. Пользователи могут продолжать получать доступ к опубликованным службам с помощью портала Webtop BIG-IP. При выходе пользователей SHA обеспечивает завершение сеанса для BIG-IP и идентификатора Microsoft Entra, помогая службам оставаться защищенными от несанкционированного доступа.
Пользователи получают доступ к порталу Мои приложения для поиска опубликованных служб BIG-IP и управления их свойствами учетной записи. См. коллекцию и страницу на следующем рисунке.
Аналитика и аналитика
Вы можете отслеживать развернутые экземпляры BIG-IP, чтобы обеспечить высокую доступность опубликованных служб на уровне SHA и операционной среде.
Существует несколько вариантов для локального журнала событий или удаленного использования решения для управления сведениями о безопасности и событиями (SIEM), которое обеспечивает обработку хранилища и телеметрии. Для мониторинга действий Microsoft Entra ID и SHA можно использовать Azure Monitor и Microsoft Sentinel вместе:
Обзор организации, потенциально в нескольких облаках и локальных расположениях, включая инфраструктуру BIG-IP
Одна плоскость управления с представлением сигналов, избегая зависимости от сложных и разрозненных средств
Предварительные требования для интеграции
Для реализации SHA не требуется никаких предыдущих знаний или знаний F5 BIG-IP, но мы рекомендуем ознакомиться с некоторыми терминологией F5 BIG-IP. См. глоссарий службы F5.
Интеграция F5 BIG-IP с идентификатором Записи Майкрософт для SHA имеет следующие предварительные требования:
Экземпляр F5 BIG-IP, работающий в:
- Физическое устройство
- Гипервизор Virtual Edition, например Microsoft Hyper-V, VMware ESXi, виртуальная машина на основе ядра Linux (KVM) и Гипервизор Citrix
- Cloud Virtual Edition, например Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack и Google Cloud
Заметка
Расположение экземпляра BIG-IP может быть локальной или поддерживаемой облачной платформой, включая Azure. Экземпляр имеет подключение к Интернету, опубликованные ресурсы и другие службы.
Активная лицензия APM F5 BIG-IP:
- Лучший пакет F5 BIG-IP®
- Автономная лицензия F5 BIG-IP Access Manager™
- Надстройка F5 BIG-IP Policy Manager™ (APM) на существующей локальной Диспетчер трафика BIG-IP F5 BIG-IP® Local Диспетчер трафика ™ (LTM)
- Пробная лицензия диспетчера™ политик доступа BIG-IP (APM) на 90 дней
Лицензирование идентификатора Microsoft Entra:
- Бесплатная учетная запись Azure имеет минимальные основные требования для SHA с проверкой подлинности без пароля
- Подписка Premium имеет условный доступ, многофакторную проверку подлинности и Защита идентификации Microsoft Entra
Сценарии конфигурации
Вы можете настроить BIG-IP для SHA с параметрами на основе шаблонов или конфигурацией вручную. В следующих руководствах приведены рекомендации по реализации безопасного гибридного доступа BIG-IP и Microsoft Entra ID.
Расширенная конфигурация
Расширенный подход — это гибкий способ реализации SHA. Вы вручную создаете все объекты конфигурации BIG-IP. Используйте этот подход для сценариев, которые не используются в шаблонах управляемых конфигураций.
Дополнительные руководства по настройке:
- Пошаговое руководство по развертыванию F5 BIG-IP в Azure
- F5 BIG-IP SSL-VPN с microsoft Entra SHA
- Azure AD B2C защищает приложения с помощью F5 BIG-IP
- F5 BIG-IP APM и Microsoft Entra SSO в приложения Kerberos
- F5 BIG-IP APM и Microsoft Entra SSO для приложений на основе заголовков
- F5 BIG-IP APM и Microsoft Entra SSO в приложениях на основе форм
Интерактивные шаблоны конфигурации и простых кнопок
Мастер интерактивной настройки BIG-IP версии 13.1 сводит к минимуму время и усилия для реализации распространенных сценариев публикации BIG-IP. Платформа рабочих процессов обеспечивает интуитивно понятный интерфейс развертывания для конкретных топологий доступа.
В управляемой конфигурации версии 16.x есть функция Easy Button. Администраторы не возвращаются и отступает между идентификатором Microsoft Entra и BIG-IP, чтобы включить службы для SHA. Мастер интерактивной настройки APM и Microsoft Graph обрабатывают развертывание и управление политиками. Эта интеграция между BIG-IP APM и Идентификатором Microsoft Entra гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ Microsoft Entra без дополнительных затрат на управление для каждого приложения.
Руководства по использованию шаблонов easy Button, F5 BIG-IP Easy Button для единого входа:
- Приложения Kerberos
- Приложения на основе заголовков
- Приложения протокола LDAP на основе заголовков и упрощенного доступа к каталогам
- Oracle Enterprise Business Suite (EBS)
- Oracle JD Эдвардс
- Oracle PeopleSoft
- Планирование корпоративных ресурсов SAP (ERP)
Гостевой доступ Microsoft Entra B2B
Гостевой доступ Microsoft Entra B2B к приложениям, защищенным SHA, возможен, но может потребовать действий, не описанных в руководствах. Одним из примеров является единый вход Kerberos, когда BIG-IP выполняет ограниченное делегирование kerberos (KCD) для получения билета на обслуживание от контроллеров домена. Без локального представления локального гостевого пользователя контроллер домена не учитывает запрос, так как нет пользователя. Для поддержки этого сценария убедитесь, что внешние удостоверения отправляются из клиента Microsoft Entra в каталог, используемый приложением.
Дополнительные сведения. Предоставление пользователям B2B доступа к локальным приложениям в Microsoft Entra ID
Дальнейшие действия
Вы можете провести проверку концепции (POC) для SHA с помощью инфраструктуры BIG-IP или развернуть виртуальную машину BIG-IP в Azure. Развертывание виртуальной машины в Azure занимает около 30 минут. Результатом является:
- Безопасная платформа для моделирования пилотного проекта для SHA
- Экземпляр предварительной версии для тестирования новых обновлений системы BIG-IP и исправлений
Определите одно или два приложения, которые будут опубликованы с помощью BIG-IP и защищены с помощью SHA.
Наша рекомендация заключается в том, чтобы начать с приложения, которое не опубликовано через BIG-IP. Это действие позволяет избежать потенциальных сбоев в рабочих службах. Рекомендации, приведенные в этой статье, помогут вам узнать о процедуре создания объектов конфигурации BIG-IP и настройки SHA. Затем вы можете преобразовать опубликованные службы BIG-IP в SHA.