Dela via

Självstudie: Konfigurera enkel inloggning mellan Microsoft Entra-ID och enkel F5-knapp för BIG-IP för huvudbaserad enkel inloggning

  • Artikel

I den här självstudien lär du dig att integrera F5 med Microsoft Entra-ID. När du integrerar F5 med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till F5.
  • Gör så att dina användare automatiskt loggas in på F5 med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Kommentar

F5 BIG-IP APM Köp nu.

Beskrivning av scenario

Det här scenariot tittar på det klassiska äldre programmet med http-auktoriseringshuvuden för att hantera åtkomst till skyddat innehåll.

Eftersom programmet är äldre saknar det moderna protokoll för att stödja en direkt integrering med Microsoft Entra-ID. Programmet kan moderniseras, men det är kostsamt, kräver noggrann planering och medför risk för potentiell stilleståndstid. I stället används en F5 BIG-IP Application Delivery Controller (ADC) för att överbrygga klyftan mellan det äldre programmet och det moderna ID-kontrollplanet genom protokollövergång.

Med en BIG-IP framför programmet kan vi överlagra tjänsten med Microsoft Entra-förautentisering och huvudbaserad enkel inloggning, vilket avsevärt förbättrar programmets övergripande säkerhetsstatus.

Kommentar

Organisationer kan också få fjärråtkomst till den här typen av program med Microsoft Entra-programproxy.

Scenariots arkitektur

SHA-lösningen för det här scenariot består av:

Program: BIG-IP-publicerad tjänst som ska skyddas av Microsoft Entra SHA.

Microsoft Entra ID: Security Assertion Markup Language (SAML) Identity Provider (IdP) som ansvarar för verifiering av användarautentiseringsuppgifter, villkorsstyrd åtkomst och SAML-baserad enkel inloggning till BIG-IP. Via enkel inloggning tillhandahåller Microsoft Entra-ID BIG-IP med alla nödvändiga sessionsattribut.

BIG-IP: Omvänd proxy och SAML-tjänstprovider (SP) till programmet, delegera autentisering till SAML IdP innan du utför huvudbaserad enkel inloggning till serverdelsprogrammet.

SHA för det här scenariot stöder både SP- och IdP-initierade flöden. Följande bild illustrerar det SP-initierade flödet.

Skärmbild av Säker hybridåtkomst – SP-initierat flöde.

Steg beskrivning
1 Användaren ansluter till programslutpunkten (BIG-IP)
2 BIG-IP APM-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP)
3 Microsoft Entra-ID förautentiserar användaren och tillämpar alla framtvingade principer för villkorsstyrd åtkomst
4 Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning utförs med en utfärdad SAML-token
5 BIG-IP matar in Microsoft Entra-attribut som rubriker i begäran till programmet
6 Programmet auktoriserar begäran och returnerar nyttolast

Förutsättningar

Tidigare BIG-IP-upplevelse är inte nödvändig, men du behöver:

BIG-IP-konfigurationsmetoder

Det finns många metoder för att konfigurera BIG-IP för det här scenariot, inklusive två mallbaserade alternativ och en avancerad konfiguration. Den här självstudien beskriver den senaste guidade konfigurationen 16.1 som erbjuder en enkel knappmall. Med enkel knapp går administratörer inte längre fram och tillbaka mellan Microsoft Entra-ID och en BIG-IP för att aktivera tjänster för SHA. Distributions- och principhanteringen hanteras direkt mellan APM:s guide för guidad konfiguration och Microsoft Graph. Den här omfattande integreringen mellan BIG-IP APM och Microsoft Entra ID säkerställer att program snabbt och enkelt kan stödja identitetsfederation, enkel inloggning och villkorsstyrd åtkomst i Microsoft Entra, vilket minskar de administrativa kostnaderna.

Kommentar

Alla exempelsträngar eller värden som refereras i den här guiden bör ersättas med dem för din faktiska miljö.

Registrera enkel knapp

Innan en klient eller tjänst kan komma åt Microsoft Graph måste den vara betrodd av Microsofts identitetsplattform.

Det här första steget skapar en registrering av klientappen som ska användas för att auktorisera enkel knappåtkomst till Graph. Med dessa behörigheter kommer BIG-IP att tillåtas att push-överföra de konfigurationer som krävs för att upprätta ett förtroende mellan en SAML SP-instans för publicerat program och Microsoft Entra ID som SAML IdP.

  1. Logga in på Azure-portalen med ett konto med administratörsbehörighet för program.

  2. I det vänstra navigeringsfönstret väljer du Tjänsten Microsoft Entra-ID .

  3. Under Hantera väljer du Appregistreringar> Ny registrering.

  4. Ange ett visningsnamn för ditt program, till exempel F5 BIG-IP Easy Button.

  5. Ange vem som endast kan använda programkontona >i den här organisationskatalogen.

  6. Välj Registrera för att slutföra den första appregistreringen.

  7. Gå till API-behörigheter och auktorisera följande Microsoft Graph-programbehörigheter:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Bevilja administratörsmedgivande för din organisation.

  9. På bladet Certifikat och hemligheter genererar du en ny klienthemlighet och noterar den.

  10. På bladet Översikt noterar du klient-ID och klient-ID.

Konfigurera enkel knapp

Starta APM:s guidade konfiguration för att starta mallen Enkel knapp .

  1. Gå till Åtkomst > till interaktiv konfiguration > Microsoft-integrering och välj Microsoft Entra-program.

    Skärmbild för Konfigurera enkel knapp – Installera mallen.

  2. Granska listan med konfigurationssteg och välj Nästa.

    Skärmbild för Konfigurera enkel knapp – Lista konfigurationssteg.

  3. Följ den sekvens med steg som krävs för att publicera programmet.

    Skärmbild av flödet för konfigurationssteg.

Konfigurationsegenskaper

Fliken Konfigurationsegenskaper skapar ett BIG-IP-programkonfigurations- och SSO-objekt. Överväg avsnittet Information om Azure-tjänstkonto för att representera klienten som du registrerade i din Microsoft Entra-klientorganisation tidigare, som ett program. De här inställningarna gör det möjligt för en BIG-IP-OAuth-klient att individuellt registrera en SAML SP direkt i din klientorganisation, tillsammans med de SSO-egenskaper som du normalt konfigurerar manuellt. Easy Button gör detta för varje BIG-IP-tjänst som publiceras och aktiveras för SHA.

Vissa av dessa är globala inställningar så kan återanvändas för att publicera fler program, vilket ytterligare minskar distributionstiden och arbetet.

  1. Ange ett unikt konfigurationsnamn så att administratörer enkelt kan skilja mellan Easy Button-konfigurationer.

  2. Aktivera enkel inloggning (SSO) och HTTP-huvuden.

  3. Ange klient-ID, klient-ID och klienthemlighet som du antecknade när du registrerade Easy Button-klienten i klientorganisationen.

  4. Bekräfta att BIG-IP kan ansluta till din klientorganisation och välj sedan Nästa.

    Skärmbild för egenskaper för konfiguration av allmänt och tjänstkonto.

Tjänstleverantör

Inställningarna för tjänstprovidern definierar egenskaperna för SAML SP-instansen av programmet som skyddas via SHA.

  1. Ange Värd. Det här är det offentliga fullständiga domännamnet för programmet som skyddas.

  2. Ange entitets-ID. Det här är den identifierare som Microsoft Entra ID använder för att identifiera SAML SP som begär en token.

    Skärmbild för inställningar för tjänstleverantör.

    Den valfria säkerhets-Inställningar ange om Microsoft Entra-ID ska kryptera utfärdade SAML-intyg. Krypteringskontroller mellan Microsoft Entra-ID och BIG-IP APM ger ytterligare garantier för att innehållstoken inte kan fångas upp och att personliga data eller företagsdata komprometteras.

  3. I listan Med privata nycklar för försäkran väljer du Skapa ny.

    Skärmbild för Konfigurera enkel knapp – Skapa ny import.

  4. Välj OK. Då öppnas dialogrutan Importera SSL-certifikat och nycklar på en ny flik.

  5. Välj PKCS 12 (IIS) för att importera certifikatet och den privata nyckeln. När du har etablerat stänger du webbläsarfliken för att återgå till huvudfliken.

    Skärmbild för Konfigurera enkel knapp – Importera nytt certifikat.

  6. Kontrollera Aktivera krypterad försäkran.

  7. Om du har aktiverat kryptering väljer du ditt certifikat i listan Med privata nycklar för försäkrandekryptering. Det här är den privata nyckeln för certifikatet som BIG-IP APM använder för att dekryptera Microsoft Entra-försäkran.

  8. Om du har aktiverat kryptering väljer du certifikatet i listan Certifikat för dekryptering av försäkran. Det här är certifikatet som BIG-IP laddar upp till Microsoft Entra-ID för kryptering av de utfärdade SAML-försäkran.

Skärmbild för säkerhetsinställningar för tjänstleverantör.

Microsoft Entra ID

Det här avsnittet definierar alla egenskaper som du normalt använder för att manuellt konfigurera ett nytt BIG-IP SAML-program i din Microsoft Entra-klientorganisation. Easy Button innehåller en uppsättning fördefinierade programmallar för Oracle Personer Soft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP samt en allmän SHA-mall för andra appar. I det här scenariot väljer du F5 BIG-IP APM Azure AD Integration > Add.

Skärmbild för Azure-konfiguration lägg till BIG-IP-program.

Azure-konfiguration

  1. Ange Visningsnamn för appen som BIG-IP skapar i din Microsoft Entra-klientorganisation och ikonen som användarna ser på MyApps-portalen.

  2. Ange inget i inloggnings-URL :en (valfritt) för att aktivera IdP-initierad inloggning.

    Skärmbild för Azure-konfiguration lägg till visningsinformation.

  3. Välj uppdateringsikonen bredvid signeringsnyckeln och signeringscertifikatet för att hitta certifikatet som du importerade tidigare.

  4. Ange certifikatets lösenord i lösenfrasen för signeringsnyckeln.

  5. Aktivera signeringsalternativ (valfritt). Detta säkerställer att BIG-IP endast accepterar token och anspråk som är signerade av Microsoft Entra-ID.

    Skärmbild för Azure-konfiguration – Lägg till information om signeringscertifikat.

  6. Användar- och användargrupper efterfrågas dynamiskt från din Microsoft Entra-klientorganisation och används för att auktorisera åtkomst till programmet. Lägg till en användare eller grupp som du kan använda senare för testning, annars nekas all åtkomst.

    Skärmbild för Azure-konfiguration – Lägg till användare och grupper.

Användarattribut och anspråk

När en användare har autentiserats utfärdar Microsoft Entra-ID en SAML-token med en standarduppsättning anspråk och attribut som unikt identifierar användaren. Fliken Användarattribut och anspråk visar standardanspråken som ska utfärdas för det nya programmet. Du kan också konfigurera fler anspråk.

I det här exemplet kan du inkludera ytterligare ett attribut:

  1. Ange Rubriknamn som employeeid.

  2. Ange Källattribut som user.employeeid.

    Skärmbild för användarattribut och anspråk.

Ytterligare användarattribut

På fliken Ytterligare användarattribut kan du aktivera sessionsförstoring som krävs av en mängd olika distribuerade system, till exempel Oracle, SAP och andra JAVA-baserade implementeringar som kräver attribut som lagras i andra kataloger. Attribut som hämtas från en LDAP-källa kan sedan matas in som ytterligare SSO-huvuden för att ytterligare kontrollera åtkomsten baserat på roller, partner-ID:n och så vidare.

Skärmbild för ytterligare användarattribut.

Kommentar

Den här funktionen har ingen korrelation till Microsoft Entra-ID men är en annan källa till attribut. 

Princip för villkorsstyrd åtkomst

Principer för villkorsstyrd åtkomst framtvingas efter Microsoft Entra-förautentisering för att styra åtkomst baserat på enheter, program, platser och risksignaler.

Vyn Tillgängliga principer visar som standard alla principer för villkorsstyrd åtkomst som inte innehåller användarbaserade åtgärder.

Vyn Valda principer visar som standard alla principer som riktar sig till Alla molnappar. Dessa principer kan inte avmarkeras eller flyttas till listan Tillgängliga principer eftersom de tillämpas på klientnivå.

Så här väljer du en princip som ska tillämpas på programmet som publiceras:

  1. Välj önskad princip i listan Tillgängliga principer .
  2. Välj högerpilen och flytta den till listan Valda principer .

Valda principer bör antingen ha alternativet Inkludera eller Exkludera markerat. Om båda alternativen är markerade tillämpas inte den valda principen.

Skärmbild av principer för villkorsstyrd åtkomst.

Kommentar

Principlistan räknas bara upp en gång när du först växlar till den här fliken. En uppdateringsknapp är tillgänglig för att manuellt tvinga guiden att fråga din klientorganisation, men den här knappen visas bara när programmet har distribuerats.

Egenskaper för virtuell server

En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress som lyssnar efter klienters begäranden till programmet. All mottagen trafik bearbetas och utvärderas mot den APM-profil som är associerad med den virtuella servern innan den dirigeras enligt principresultaten och inställningarna.

  1. Ange måladress. Det här är alla tillgängliga IPv4/IPv6-adresser som BIG-IP kan använda för att ta emot klienttrafik. En motsvarande post bör också finnas i DNS, vilket gör det möjligt för klienter att matcha den externa URL:en för ditt BIG IP-publicerade program till den här IP-adressen i stället för själva programmet. Det går bra att använda en testdators localhost DNS för testning.

  2. Ange Tjänstport som 443 för HTTPS.

  3. Kontrollera Aktivera omdirigeringsport och ange sedan Omdirigeringsport. Den omdirigerar inkommande HTTP-klienttrafik till HTTPS.

  4. Klient-SSL-profilen aktiverar den virtuella servern för HTTPS, så att klientanslutningar krypteras via TLS. Välj den klient-SSL-profil som du skapade som en del av förhandskraven eller låt standardvärdet vara kvar under testningen.

    Skärmbild för Virtuell server.

Poolegenskaper

Fliken Programpool beskriver tjänsterna bakom en BIG-IP som representeras som en pool som innehåller en eller flera programservrar.

  1. Välj från Välj en pool. Skapa en ny pool eller välj en befintlig.

  2. Välj lastbalanseringsmetod som Round Robin.

  3. För Poolservrar väljer du en befintlig nod eller anger en IP-adress och port för servern som är värd för det huvudbaserade programmet.

    Skärmbild för programpool.

Vårt serverdelsprogram finns på HTTP-port 80 men växlar uppenbarligen till 443 om ditt är HTTPS.

Enkel inloggning och HTTP-huvuden

Genom att aktivera enkel inloggning kan användare komma åt BIG IP-publicerade tjänster utan att behöva ange autentiseringsuppgifter. Guiden Enkel knapp stöder Kerberos-, OAuth Bearer- och HTTP-auktoriseringshuvuden för enkel inloggning, varav den senare gör det möjligt att konfigurera följande.

  • Rubrikåtgärd:Insert

  • Rubriknamn:upn

  • Rubrikvärde:%{session.saml.last.identity}

  • Rubrikåtgärd:Insert

  • Rubriknamn:employeeid

  • Rubrikvärde:%{session.saml.last.attr.name.employeeid}

    Skärmbild för SSO- och HTTP-huvuden.

Kommentar

APM-sessionsvariabler som definieras inom klammerparenteser är SKIFT-känsliga. Om du till exempel anger OrclGUID när microsoft Entra-attributnamnet definieras som orclguid, orsakar det ett attributmappningsfel.

Sessionshantering

Sessionshanteringsinställningarna för BIG-IPs används för att definiera de villkor under vilka användarsessioner avslutas eller tillåts fortsätta, begränsningar för användare och IP-adresser och motsvarande användarinformation. Mer information om de här inställningarna finns i F5:s dokument.

Det som inte beskrivs här är dock funktioner för enkel utloggning (SLO), vilket säkerställer att alla sessioner mellan IdP, BIG-IP och användaragenten avslutas när användarna loggar ut. När Enkel knapp instansierar ett SAML-program i din Microsoft Entra-klientorganisation fylls även utloggnings-URL:en med APM:s SLO-slutpunkt. På så sätt avslutar IdP-initierade utloggningar från Microsoft Entra-Mina appar-portalen även sessionen mellan BIG-IP och en klient.

Tillsammans med detta importeras ÄVEN SAML-federationsmetadata för det publicerade programmet från din klientorganisation, vilket ger APM-slutpunkten saml-utloggningsslutpunkt för Microsoft Entra-ID. Detta säkerställer att SP-initierade utloggningar avslutar sessionen mellan en klient och Microsoft Entra-ID. Men för att detta ska vara verkligt effektivt måste APM veta exakt när en användare loggar ut från programmet.

Om BIG-IP-webbportalen används för att komma åt publicerade program bearbetas en utloggning därifrån av APM för att även anropa Microsoft Entra-utloggningsslutpunkten. Men tänk dig ett scenario där BIG-IP-webbportalen inte används, då användaren inte har något sätt att instruera APM att logga ut. Även om användaren loggar ut från själva programmet är BIG-IP tekniskt omedveten om detta. Därför behöver SP-initierad utloggning noggrant övervägas för att säkerställa att sessioner avslutas på ett säkert sätt när de inte längre behövs. Ett sätt att uppnå detta är att lägga till en SLO-funktion i utloggningsknappen för dina program, så att den kan omdirigera klienten till antingen Microsoft Entra SAML- eller BIG-IP-utloggningsslutpunkten. URL:en för SAML-utloggningsslutpunkten för din klient finns i slutpunkter för > appregistreringar.

Om det inte går att göra en ändring i appen kan du överväga att låta BIG-IP-lyssningen för programmets utloggningsanrop, och när du upptäcker begäran har den utlösande SLO. Se vår Oracle Personer Soft SLO-vägledning för att använda BIG-IP-regler för att uppnå detta. Mer information om hur du använder BIG-IP iRules för att uppnå detta finns i F5-kunskapsartikeln Konfigurera automatisk sessionsavslut (utloggning) baserat på ett URI-refererat filnamn och Översikt över alternativet Inkludera utloggnings-URI.

Sammanfattning

Det här sista steget innehåller en uppdelning av dina konfigurationer. Välj Distribuera för att checka in alla inställningar och kontrollera att programmet nu finns i klientorganisationens lista över "Företagsprogram.

Ditt program bör nu publiceras och vara tillgängligt via SHA, antingen direkt via dess URL eller via Microsofts programportaler.

Nästa steg

Från en webbläsare ansluter du till programmets externa URL eller väljer programmets ikon i Microsoft MyApps-portalen. När du har autentiserat mot Microsoft Entra-ID omdirigeras du till den virtuella BIG-IP-servern för programmet och loggas automatiskt in via enkel inloggning.

Detta visar utdata från de inmatade huvuden som visas av vårt huvudbaserade program.

Skärmbild för appvyer.

För ökad säkerhet kan organisationer som använder det här mönstret också överväga att blockera all direkt åtkomst till programmet, vilket tvingar fram en strikt sökväg via BIG-IP.

Avancerad distribution

Det kan finnas fall där mallarna för den guidade konfigurationen saknar flexibilitet för att uppnå mer specifika krav. Mer information om dessa scenarier finns i Avancerad konfiguration för huvudbaserad enkel inloggning.

Alternativt ger BIG-IP dig möjlighet att inaktivera den guidade konfigurationens strikta hanteringsläge. På så sätt kan du justera konfigurationerna manuellt, även om merparten av konfigurationerna automatiseras via de guidebaserade mallarna.

Du kan navigera till Åtkomst > till guidad konfiguration och välja den lilla hänglåsikonen längst till höger på raden för dina programkonfigurationer.

Skärmbild för Konfigurera enkel knapp – strikt hantering.

Vid den tidpunkten är ändringar via guidens användargränssnitt inte längre möjliga, men alla BIG-IP-objekt som är associerade med den publicerade instansen av programmet kommer att låsas upp för direkt hantering.

Kommentar

Om du återaktiverar strikt läge och distribuerar en konfiguration skrivs alla inställningar som utförs utanför användargränssnittet för guidad konfiguration över. Därför rekommenderar vi den avancerade konfigurationsmetoden för produktionstjänster.

Felsökning

Det går inte att komma åt ett SHA-skyddat program på grund av ett antal faktorer. BIG-IP-loggning kan hjälpa till att snabbt isolera alla typer av problem med anslutning, enkel inloggning, principöverträdelser eller felkonfigurerade variabelmappningar. Börja felsöka genom att öka loggveroalitetsnivån.

  1. Gå till Översikt över > händelseloggar > för åtkomstprincip > Inställningar.

  2. Välj raden för det publicerade programmet och redigera > sedan Åtkomstsystemloggar.

  3. Välj Felsök i listan med enkel inloggning och sedan OK.

Återskapa problemet och inspektera loggarna, men kom ihåg att växla tillbaka när det är klart som utförligt läge genererar massor av data.

Om du ser ett BIG-IP-märkesfel omedelbart efter lyckad Microsoft Entra-förautentisering är det möjligt att problemet gäller enkel inloggning från Microsoft Entra-ID till BIG-IP.

  1. Gå till Access Overview >> Access-rapporter.

  2. Kör rapporten för den senaste timmen för att se om loggarna ger några ledtrådar. Länken Visa sessionsvariabler för din session hjälper också till att förstå om APM tar emot de förväntade anspråken från Microsoft Entra-ID.

Om du inte ser någon BIG-IP-felsida är problemet förmodligen mer relaterat till serverdelsbegäran eller enkel inloggning från BIG-IP till programmet.

  1. I så fall går du till Översikt över > åtkomstprincip > Aktiva sessioner och väljer länken för din aktiva session.

  2. Länken Visa variabler på den här platsen kan också hjälpa till att orsaka problem med enkel inloggning, särskilt om BIG-IP APM inte hämtar rätt attribut från Microsoft Entra-ID eller någon annan källa.

Mer information finns i den här F5-kunskapsartikeln Konfigurera LDAP-fjärrautentisering för Active Directory. Det finns också en bra BIG-IP-referenstabell som hjälper dig att diagnostisera LDAP-relaterade problem i den här F5-kunskapsartikeln om LDAP-fråga.