Dela via

Konfigurera F5 BIG-IP Access Policy Manager för formulärbaserad enkel inloggning

  • Artikel

Lär dig hur du konfigurerar F5 BIG-IP Access Policy Manager (APM) och Microsoft Entra ID för säker hybridåtkomst (SHA) till formulärbaserade program. BIG-IP-publicerade tjänster för enkel inloggning med Microsoft Entra (SSO) har fördelar:

  • Förbättrad Nolltillit styrning via Microsoft Entra-förautentisering och villkorlig åtkomst
  • Fullständig enkel inloggning mellan Microsoft Entra-ID och BIG-IP-publicerade tjänster
  • Hanterade identiteter och åtkomst från ett kontrollplan

Lära sig mer:

Scenariobeskrivning

I scenariot finns det ett internt äldre program som har konfigurerats för formulärbaserad autentisering (FBA). Helst hanterar Microsoft Entra-ID programåtkomst eftersom äldre saknar moderna autentiseringsprotokoll. Moderniseringen tar tid och ansträngning, vilket ökar risken för stilleståndstid. Distribuera i stället en BIG-IP mellan det offentliga Internet och det interna programmet. Den här konfigurationen portar inkommande åtkomst till programmet.

Med en BIG-IP framför programmet kan du överlagra tjänsten med Microsoft Entra-förautentisering och huvudbaserad enkel inloggning. Överlägget förbättrar programmets säkerhetsstatus.

Scenarioarkitektur

SHA-lösningen har följande komponenter:

  • Program – BIG-IP-publicerad tjänst som skyddas av SHA.
    • Programmet validerar användarautentiseringsuppgifter
    • Använd valfri katalog, öppen källkod och så vidare
  • Microsoft Entra ID – SAML-identitetsprovider (Security Assertion Markup Language) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst och enkel inloggning till BIG-IP.
    • Med enkel inloggning tillhandahåller Microsoft Entra ID attribut till BIG-IP, inklusive användaridentifierare
  • BIG-IP – omvänd proxy och SAML-tjänstprovider (SP) till programmet.
    • BIG-IP-delegering av autentisering till SAML IdP utför sedan huvudbaserad enkel inloggning till serverdelsprogrammet.
    • Enkel inloggning använder cachelagrade användarautentiseringsuppgifter mot andra formulärbaserade autentiseringsprogram

SHA stöder SP- och IdP-initierade flöden. Följande diagram illustrerar det SP-initierade flödet.

Diagram över det tjänstleverantörsinitierade flödet.

  1. Användaren ansluter till programslutpunkten (BIG-IP).
  2. BIG-IP APM-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra förautentiserar användaren och tillämpar framtvingade principer för villkorsstyrd åtkomst.
  4. Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning sker med en utfärdad SAML-token.
  5. BIG-IP uppmanar användaren att ange ett programlösenord och lagrar det i cacheminnet.
  6. BIG-IP skickar en begäran till programmet och får ett inloggningsformulär.
  7. APM-skriptet fyller i användarnamnet och lösenordet och skickar sedan formuläret.
  8. Webbservern hanterar programnyttolasten och skickar den till klienten.

Förutsättningar

Du behöver följande komponenter:

BIG-IP-konfiguration

Konfigurationen i den här artikeln är en flexibel SHA-implementering: manuellt skapande av BIG-IP-konfigurationsobjekt. Använd den här metoden för scenarier som mallarna för guidad konfiguration inte täcker.

Not

Ersätt exempelsträngar eller värden med dem från din miljö.

Registrera F5 BIG-IP i Microsoft Entra-ID

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

BIG-IP-registrering är det första steget för enkel inloggning mellan entiteter. Appen som du skapar från F5 BIG-IP-gallerimallen är den förlitande parten som representerar SAML SP för det BIG-IP-publicerade programmet.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Alla program.
  3. I fönstret Alla program väljer du Nytt program.
  4. Fönstret Bläddra i Microsoft Entra-galleriet öppnas.
  5. Paneler visas för molnplattformar, lokala program och aktuella program. Ikoner för aktuella program visar stöd för federerad enkel inloggning och etablering.
  6. Sök efter F5 i Azure-galleriet.
  7. Välj F5 BIG-IP APM Microsoft Entra ID-integrering.
  8. Ange ett namn som det nya programmet använder för att identifiera programinstansen.
  9. Välj Lägg till.
  10. Välj Skapa.

Aktivera enkel inloggning till F5 BIG-IP

Konfigurera BIG-IP-registreringen för att uppfylla SAML-token som BIG-IP APM begär.

  1. I den vänstra menyn går du till avsnittet Hantera och väljer Enkel inloggning.
  2. Fönstret Enkel inloggning visas.
  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.
  4. Välj Nej, jag sparar senare.
  5. I fönstret Konfigurera enkel inloggning med SAML väljer du pennikonen.
  6. För Identifierare ersätter du värdet med den BIG-IP-publicerade program-URL:en.
  7. För Svars-URL ersätter du värdet, men behåller sökvägen för programmets SAML SP-slutpunkt. Med den här konfigurationen fungerar SAML-flödet i IdP-initierat läge.
  8. Microsoft Entra ID utfärdar en SAML-försäkran och sedan omdirigeras användaren till BIG-IP-slutpunkten.
  9. För SP-initierat läge anger du programmets URL för inloggnings-URL.
  10. För Utloggnings-URL anger du SLO-slutpunkten (BIG-IP APM single logout) som förbereds av tjänstens värdhuvud.
  11. Sedan avslutas BIG-IP APM-användarsessioner när användare loggar ut från Microsoft Entra-ID.
  12. Välj Spara.
  13. Stäng FÖNSTRET SAML-konfiguration.
  14. Hoppa över SSO-testprompten.
  15. Anteckna egenskaperna för avsnittet Användarattribut och anspråk . Microsoft Entra ID utfärdar egenskaperna för BIG-IP APM-autentisering och enkel inloggning till serverdelsprogrammet.
  16. I fönstret SAML-signeringscertifikat väljer du Ladda ned.
  17. XML-filen federationsmetadata sparas på datorn.

Not

Från Traffic Management Operating System (TMOS) v16 och senare är /saml/sp/profile/redirect/sloSAML SLO-slutpunkten .

Skärmbild av URL:er i SAML-konfigurationen.

Not

Microsoft Entra SAML-signeringscertifikat har en livslängd på tre år.

Läs mer: Självstudie: Hantera certifikat för federerad enkel inloggning

Tilldela användare och grupper

Microsoft Entra ID utfärdar token för användare som beviljats åtkomst till ett program. Så här beviljar du specifika användare och grupper programåtkomst:

  1. I översiktsfönstret för F5 BIG-IP-programmet väljer du Tilldela användare och grupper.
  2. Välj + Lägg till användare/grupp.
  3. Välj de användare och grupper som du vill använda.
  4. Välj Tilldela.

Avancerad konfiguration för BIG-IP

Använd följande instruktioner för att konfigurera BIG-IP.

Konfigurera INSTÄLLNINGAR för SAML-tjänstprovider

SAML SP-inställningar definierar de SAML SP-egenskaper som APM använder för att överlägga det äldre programmet med SAML-förautentisering. Så här konfigurerar du dem:

  1. Välj ÅTKOMSTFEDERATION>>SAML-tjänstprovider.

  2. Välj Lokala SP-tjänster.

  3. Välj Skapa.

    Skärmbild av alternativet Skapa på fliken SAML-tjänstprovider.

  4. I Skapa ny SAML SP-tjänst för Namn och Entitets-ID anger du det definierade namnet och entitets-ID:t.

    Skärmbild av fälten Namn och Entitets-ID under Skapa ny SAML SP-tjänst.

    Not

    Värden för SP-namninställningar krävs om entitets-ID:t inte matchar värdnamnsdelen av den publicerade URL:en. Eller så krävs värden om entitets-ID:t inte är i vanligt värdnamnsbaserat URL-format.

  5. Om entitets-ID:t är urn:myvacation:contosoonlineanger du programmets externa schema och värdnamn.

Konfigurera en extern IdP-anslutning

En SAML IdP-anslutningsapp definierar inställningar för BIG-IP APM för att lita på Microsoft Entra ID som dess SAML-IdP. Inställningarna ansluter SAML-tjänstleverantören till en SAML-IdP, som upprättar federationsförtroendet mellan APM och Microsoft Entra ID.

Så här konfigurerar du anslutningsappen:

  1. Välj det nya SAML-tjänstproviderobjektet.

  2. Välj Bind/Koppla bort IdP-anslutningsappar.

    Skärmbild av alternativet Bind unbind IdP Connectors på fliken SAML-tjänstprovider.

  3. I listan Skapa ny IdP-anslutningsapp väljer du Från metadata.

    Skärmbild av alternativet Från metadata i listrutan Skapa ny IdP-anslutningsapp.

  4. I fönstret Skapa ny SAML IdP-anslutningsapp bläddrar du efter XML-filen federationsmetadata som du laddade ned.

  5. Ange ett identitetsprovidernamn för APM-objektet som representerar den externa SAML-IdP:n. Till exempel MyVacation_EntraID.

    Skärmbild av fälten Välj fil- och identitetsprovidernamn i Skapa ny SAML IdP-anslutningsapp.

  6. Välj Lägg till ny rad.

  7. Välj den nya SAML IdP-anslutningsappen.

  8. Välj Uppdatera.

    Skärmbild av alternativet Uppdatera.

  9. Välj OK.

    Skärmbild av redigera SAML-IP-adresser som använder den här SP-dialogrutan.

Konfigurera formulärbaserad enkel inloggning

Skapa ett APM SSO-objekt för FBA SSO till serverdelsprogram.

Utför enkel inloggning med FBA i klientinitierat läge eller BIG-IP-initierat läge. Båda metoderna emulerar en användarinloggning genom att mata in autentiseringsuppgifter i användarnamn- och lösenordstaggar. Formuläret skickas. Användare anger lösenord för att få åtkomst till ett FBA-program. Lösenordet cachelagras och återanvänds för andra FBA-program.

  1. Välj Åtkomst>enkel inloggning.

  2. Välj Formulärbaserad.

  3. Välj Skapa.

  4. Som Namn anger du ett beskrivande namn. Till exempel Contoso\FBA\sso.

  5. För Använd SSO-mall väljer du Ingen.

  6. För Användarnamnskälla anger du användarnamnskällan för att fylla i formuläret för lösenordssamling. Standardvärdet session.sso.token.last.username fungerar bra eftersom det har den inloggade användaren Microsoft Entra User Principal Name (UPN).

  7. För Lösenordskälla behåller du standardvärdet session.sso.token.last.password för APM-variabeln BIG-IP som används för att cachelagrar användarlösenord.

    Skärmbild av alternativen Namn och Använd SSO-mall under Ny SSO-konfiguration.

  8. För Starta URI anger du URI för FBA-programinloggning. Om begärande-URI:n matchar det här URI-värdet kör den APM-formulärbaserade autentiseringen enkel inloggning.

  9. För Formuläråtgärd lämnar du den tom. Sedan används den ursprungliga begärande-URL:en för enkel inloggning.

  10. För Formulärparameter för Användarnamn anger du fältelementet för inloggningsformulärets användarnamn. Använd webbläsarens utvecklingsverktyg för att fastställa elementet.

  11. För Formulärparameter för lösenord anger du fältelementet för inloggningsformulärets lösenord. Använd webbläsarens utvecklingsverktyg för att fastställa elementet.

Skärmbild av start-URI, formulärparameter för användarnamn och formulärparameter för lösenordsfält.

Skärmbild av inloggningssidan med pratbubblar för fältet användarnamn och lösenord.

Mer information finns i techdocs.f5.com för manuella kapitel: metoder för enkel inloggning.

Konfigurera en åtkomstprofil

En åtkomstprofil binder APM-elementen som hanterar åtkomsten till virtuella BIG-IP-servrar, inklusive åtkomstprinciper, SSO-konfiguration och användargränssnittsinställningar.

  1. Välj Åtkomstprofiler>/Principer.

  2. Välj Åtkomstprofiler (principer per session).

  3. Välj Skapa.

  4. Ange ett namn.

  5. För Profiltyp väljer du Alla.

  6. För SSO-konfiguration väljer du det FBA SSO-konfigurationsobjekt som du skapade.

  7. För Accepterat språk väljer du minst ett språk.

    Skärmbild av alternativ och val i Åtkomstprofiler per sessionsprinciper, Ny profil.

  8. I kolumnen Per session-princip väljer du Redigera för profilen.

  9. Redigeraren för visuell APM-princip startar.

    Skärmbild av alternativet Redigera i kolumnen Princip per session.

  10. Under Reserv väljer du + tecknet.

Skärmbild av alternativet För visuell principredigerare för APM plus-sign under återställning.

  1. I popup-fönstret väljer du Autentisering.
  2. Välj SAML-autentisering.
  3. Välj Lägg till objekt.

Skärmbild av alternativet SAML-autentisering.

  1. SAML-autentiserings-SP ändrar du Namnet till Microsoft Entra-autentisering.
  2. I listrutan AAA Server anger du det SAML-tjänstproviderobjekt som du skapade.

Skärmbild som visar inställningarna för Microsoft Entra-autentiseringsservern.

  1. På grenen Lyckad väljer du + tecknet.
  2. I popup-fönstret väljer du Autentisering.
  3. Välj Inloggningssida.
  4. Välj Lägg till objekt.

Skärmbild av alternativet Inloggningssida på fliken Inloggning.

  1. Som användarnamn väljer du Ja i kolumnen Skrivskyddad.

Skärmbild av alternativet Ja på raden användarnamn på fliken Egenskaper.

  1. För återställning av inloggningssidan väljer du + tecknet. Den här åtgärden lägger till ett mappningsobjekt för SSO-autentiseringsuppgifter.

  2. I popup-fönstret väljer du fliken Tilldelning .

  3. Välj Mappning av SSO-autentiseringsuppgifter.

  4. Välj Lägg till objekt.

    Skärmbild av alternativet Mappning av SSO-autentiseringsuppgifter på fliken Tilldelning.

  5. I Variabeltilldela: Mappning av SSO-autentiseringsuppgifter behåller du standardinställningarna.

  6. Välj Spara.

    Skärmbild av alternativet Spara på fliken Egenskaper.

  7. I den övre rutan Neka väljer du länken.

  8. Grenen Lyckades ändras till Tillåt.

  9. Välj Spara.

(Valfritt) Konfigurera attributmappningar

Du kan lägga till en LogonID_Mapping konfiguration. Sedan har listan big-IP-aktiva sessioner det inloggade användar-UPN, inte ett sessionsnummer. Använd den här informationen för att analysera loggar eller felsökning.

  1. För grenen SAML Auth Lyckades väljer du + tecknet.

  2. I popup-fönstret väljer du Tilldelning.

  3. Välj Variabeltilldela.

  4. Välj Lägg till objekt.

    Skärmbild av alternativet Variabeltilldelning på fliken Tilldelning.

  5. På fliken Egenskaper anger du ett Namn. Till exempel LogonID_Mapping.

  6. Under Variabeltilldela väljer du Lägg till ny post.

  7. Välj ändra.

    Skärmbild av alternativet Lägg till ny post och alternativet Ändra.

  8. För anpassad variabel använder du session.logon.last.username.

  9. För Sessionsvariabel, användare session.saml.last.identity.

  10. Välj Slutförd.

  11. Välj Spara.

  12. Välj Tillämpa åtkomstprincip.

  13. Stäng redigeraren för visualiseringsprinciper.

Skärmbild av åtkomstprincipen på Tillämpa åtkomstprincip.

Konfigurera en serverdelspool

Om du vill aktivera BIG-IP för att vidarebefordra klienttrafik korrekt skapar du ett BIG-IP-nodobjekt som representerar serverdelsservern som är värd för ditt program. Placera sedan noden i en BIG-IP-serverpool.

  1. Välj Lokala trafikpooler>.

  2. Välj Poollista.

  3. Välj Skapa.

  4. Ange ett namn för ett serverpoolobjekt. Till exempel MyApps_VMs.

    Skärmbild av fältet Namn under Ny pool.

  5. För Nodnamn anger du ett servervisningsnamn. Den här servern är värd för serverdelswebbprogrammet.

  6. För Adress anger du programserverns värd-IP-adress.

  7. För Tjänstport anger du DEN HTTP/S-port som programmet lyssnar på.

    Skärmbild av nodnamn, adress, tjänstportfält och alternativet Lägg till.

    Not

    Hälsoövervakare kräver konfiguration som den här artikeln inte omfattar. Gå till support.f5.com för K13397: Översikt över http health monitor request formatting for the BIG-IP DNS system .Go to support.f5.com for K13397: Overview of HTTP health monitor request formatting for the BIG-IP DNS system.go to support.f5.com for K13397: Overview of HTTP health monitor request formatting for the BIG-IP DNS system.

Konfigurera en virtuell server

En virtuell server är ett BIG-IP-dataplansobjekt som representeras av en virtuell IP-adress. Servern lyssnar efter klientbegäranden till programmet. All mottagen trafik bearbetas och utvärderas mot APM-åtkomstprofilen som är associerad med den virtuella servern. Trafiken dirigeras enligt principen.

Så här konfigurerar du en virtuell server:

  1. Välj Lokala virtuella trafikservrar>.

  2. Välj Listan Virtuell server.

  3. Välj Skapa.

  4. Ange ett namn.

  5. För Måladress/Mask väljer du Värd och anger en IPv4- eller IPv6-adress. Adressen tar emot klienttrafik för det publicerade serverdelsprogrammet.

  6. För Tjänstport väljer du Port, anger 443 och väljer HTTPS.

    Skärmbild av fälten Namn, Måladress och Tjänstport.

  7. För HTTP-profil (klient) väljer du http.

  8. För SSL-profil (klient) väljer du den profil som du skapade eller lämnar standardvärdet för testning. Med det här alternativet kan en virtuell server för TLS (Transport Layer Security) publicera tjänster via HTTPS.

    Skärmbild av alternativen http-profilklient och SSL-profilklient.

  9. För Källadressöversättning väljer du Automatisk mappning.

    Skärmbild av valet Av automatisk mappning för källadressöversättning.

  10. Under Åtkomstprincip går du till rutan Åtkomstprofil och anger det namn som du skapade. Den här åtgärden binder Microsoft Entra SAML-förautentiseringsprofilen och FBA SSO-principen till den virtuella servern.

Skärmbild av posten Åtkomstprofil under Åtkomstprincip.

  1. Under Resurser för Standardpool väljer du de serverdelspoolobjekt som du skapade.
  2. Välj Slutförd.

Skärmbild av alternativet Standardpool under Resurser.

Konfigurera inställningar för sessionshantering

Inställningar för hantering av BIG-IP-sessioner definierar villkor för sessionsavslut och fortsättning. Skapa en princip i det här området.

  1. Gå till Åtkomstprincip.
  2. Välj Åtkomstprofiler.
  3. Välj Åtkomstprofil.
  4. Välj ditt program i listan.

Om du har definierat ett URI-värde för enkel utloggning i Microsoft Entra-ID avslutar IdP-initierad utloggning från MyApps klienten och BIG-IP APM-sessionen. Xml-filen för importerade programfederationsmetadata tillhandahåller APM med Microsoft Entra SAML-slutpunkten för SP-initierad utloggning. Se till att APM svarar korrekt på en användares utloggning.

Om det inte finns någon BIG IP-webbportal kan användarna inte instruera APM att logga ut. Om användaren loggar ut från programmet är BIG-IP omedvetet. Programsessionen kan återställas via enkel inloggning. För SP-initierad utloggning ska du se till att sessionerna avslutas på ett säkert sätt.

Du kan lägga till en SLO-funktion i utloggningsknappen för programmet. Den här funktionen omdirigerar klienten till Microsoft Entra SAML-utloggningsslutpunkten. Om du vill hitta slutpunkten för SAML-utloggning går du till Slutpunkter för appregistreringar>.

Om du inte kan ändra appen ska du låta BIG-IP-lyssna efter apputloggningsanropet och utlösa SLO.

Lära sig mer:

Publicerat program

Ditt program publiceras och är tillgängligt med SHA med appens URL eller Microsoft-portaler.

Programmet visas som en målresurs i villkorlig åtkomst. Läs mer: Skapa en princip för villkorsstyrd åtkomst.

För ökad säkerhet blockerar du direkt åtkomst till programmet och framtvingar en sökväg via BIG-IP.

Test

  1. Användaren ansluter till programmets externa URL eller i Mina appar och väljer programikonen.

  2. Användaren autentiserar till Microsoft Entra-ID.

  3. Användaren omdirigeras till BIG-IP-slutpunkten för programmet.

  4. Lösenordsprompten visas.

  5. APM fyller användarnamnet med UPN från Microsoft Entra ID. Användarnamnet är skrivskyddat för sessionskonsekvens. Dölj det här fältet om det behövs.

  6. Informationen skickas.

  7. Användaren är inloggad i programmet.

    Skärmbild av välkomstsidan.

Felsöka

När du felsöker bör du tänka på följande information:

  • BIG-IP utför enkel inloggning med FBA när den parsar inloggningsformuläret vid URI:n

    • BIG-IP söker efter taggarna för användarnamn och lösenordselement från din konfiguration

  • Bekräfta att elementtaggar är konsekventa eller att enkel inloggning misslyckas

  • Komplexa formulär som genereras dynamiskt kan kräva utvecklingsverktygsanalys för att förstå inloggningsformuläret

  • Klientinitiering är bättre för inloggningssidor med flera formulär

    • Du kan välja formulärnamnet och anpassa JavaScript-formulärhanterarlogik

  • FBA SSO-metoder döljer formulärinteraktioner för att optimera användarupplevelsen och säkerheten:

    • Du kan kontrollera om autentiseringsuppgifterna matas in
    • I klientinitierat läge inaktiverar du automatisk insändning av formulär i din SSO-profil
    • Använd utvecklingsverktyg för att inaktivera de två formategenskaper som förhindrar att inloggningssidan visas

    Skärmbild av sidan Egenskaper.

Öka loggverositeten

BIG-IP-loggar innehåller information om att isolera autentiserings- och SSO-problem. Öka loggverositetsnivån:

  1. Gå till Översikt över åtkomstprincip>.
  2. Välj Händelseloggar.
  3. Välj Inställningar.
  4. Välj raden i ditt publicerade program.
  5. Välj Redigera.
  6. Välj Åtkomstsystemloggar.
  7. I listan med enkel inloggning väljer du Felsök.
  8. Välj OK.
  9. Återskapa problemet.
  10. Granska loggarna.

Återställ inställningarna annars finns det för mycket data.

BIG-IP-felmeddelande

Om ett BIG-IP-fel visas efter Microsoft Entra-förautentisering kan problemet bero på Microsoft Entra ID och BIG-IP SSO.

  1. Gå till Åtkomstöversikt>.
  2. Välj Åtkomstrapporter.
  3. Kör rapporten för den senaste timmen.
  4. Granska loggarna för att få ledtrådar.

Använd länken Visa sessionsvariabler för sessionen för att avgöra om APM tar emot förväntade Microsoft Entra-anspråk.

Inget BIG-IP-felmeddelande

Om inget BIG-IP-felmeddelande visas kan problemet bero på serverdelsbegäran eller enkel inloggning med BIG-IP-till-program.

  1. Välj Översikt över åtkomstprincip>.
  2. Välj Aktiva sessioner.
  3. Välj den aktiva sessionslänken.

Använd länken Visa variabler på den här platsen för att fastställa rotorsaken, särskilt om APM inte kan hämta rätt användaridentifierare och lösenord.

Mer information finns i techdocs.f5.com för manuellt kapitel: Sessionsvariabler.

Resurser