Dela via

Självstudie: Konfigurera F5 BIG-IP Access Policy Manager för huvudbaserad enkel inloggning

  • Artikel

Lär dig att implementera säker hybridåtkomst (SHA) med enkel inloggning (SSO) till huvudbaserade program med hjälp av avancerad F5 BIG-IP-konfiguration. BIG-IP-publicerade program och Microsoft Entra-konfigurationsfördelar:

  • Förbättrad Nolltillit styrning via Microsoft Entra-förautentisering och villkorlig åtkomst
  • Fullständig enkel inloggning mellan Microsoft Entra-ID och BIG-IP-publicerade tjänster
  • Hanterade identiteter och åtkomst från ett kontrollplan

Läs mer:

Beskrivning av scenario

I det här scenariot finns det ett äldre program som använder HTTP-auktoriseringshuvuden för att styra åtkomsten till skyddat innehåll. Helst hanterar Microsoft Entra ID programåtkomst. Äldre saknar dock ett modernt autentiseringsprotokoll. Moderniseringen tar arbete och tid, samtidigt som kostnader och risker för stilleståndstid införs. Distribuera i stället en BIG-IP mellan det offentliga Internet och det interna programmet för att gate inkommande åtkomst till programmet.

En BIG-IP framför programmet möjliggör överlägg av tjänsten med Microsoft Entra-förautentisering och huvudbaserad enkel inloggning. Konfigurationen förbättrar programmets säkerhetsstatus.

Scenariots arkitektur

Den säkra hybridåtkomstlösningen för det här scenariot består av:

  • Program – BIG-IP-publicerad tjänst som ska skyddas av Microsoft Entra SHA
  • Microsoft Entra-ID – SAML-identitetsprovider (Security Assertion Markup Language) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst och enkel inloggning till BIG-IP
    • Med enkel inloggning tillhandahåller Microsoft Entra-ID de big-IP-obligatoriska sessionsattributen, inklusive användaridentifierare
  • BIG-IP – omvänd proxy och SAML-tjänstprovider (SP) till programmet, delegera autentisering till SAML-IdP före huvudbaserad enkel inloggning till serverdelsprogrammet

Följande diagram illustrerar användarflödet med Microsoft Entra-ID, BIG-IP, APM och ett program.

Diagram över användarflödet med Microsoft Entra-ID, BIG-IP, APM och ett program

  1. Användaren ansluter till programmets SAML SP-slutpunkt (BIG-IP).
  2. BIG-IP APM-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra förautentiserar användaren och tillämpar principer för villkorlig åtkomst.
  4. Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning sker med en utfärdad SAML-token.
  5. BIG-IP matar in Microsoft Entra-attribut som rubriker i begäran till programmet.
  6. Programmet auktoriserar begäran och returnerar nyttolast.

Förutsättningar

För scenariot du behöver:

  • En Azure-prenumeration
    • Om du inte har något får du ett kostnadsfritt Azure-konto
  • En av följande roller: Molnprogramadministratör eller programadministratör
  • En BIG-IP eller distribuera en BIG-IP Virtual Edition (VE) i Azure
  • Någon av följande F5 BIG-IP-licenser:
    • F5 BIG-IP® Bästa paket
    • Fristående licens för F5 BIG-IP Access Policy Manager™ (APM)
    • F5 APM-tilläggslicens (BIG-IP Access Policy Manager™) på en BIG IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 dagars utvärderingsversion av big-IP-fullständig funktion. Se Kostnadsfria utvärderingsversioner.
  • Användaridentiteter som synkroniseras från en lokal katalog till Microsoft Entra-ID
  • Ett SSL-certifikat för att publicera tjänster via HTTPS eller använda standardcertifikat vid testning
  • Ett huvudbaserat program eller en IIS-huvudapp för testning

BIG-IP-konfigurationsmetod

Följande instruktioner är en avancerad konfigurationsmetod, ett flexibelt sätt att implementera SHA. Skapa BIG-IP-konfigurationsobjekt manuellt. Använd den här metoden för scenarier som inte ingår i mallarna för guidad konfiguration.

Kommentar

Ersätt exempelsträngar eller värden med dem från din miljö.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

För att implementera SHA är det första steget att konfigurera ett SAML-federationsförtroende mellan BIG-IP APM och Microsoft Entra ID. Förtroendet upprättar integreringen för BIG-IP för att lämna ut förautentisering och villkorsstyrd åtkomst till Microsoft Entra-ID innan åtkomst beviljas till den publicerade tjänsten.

Läs mer: Vad är villkorlig åtkomst?

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Alla program.

  3. I det övre menyfliksområdet väljer du + Nytt program.

  4. Sök efter F5 i galleriet.

  5. Välj F5 BIG-IP APM Microsoft Entra ID-integrering.

  6. Ange ett programnamn.

  7. Välj Lägg till/skapa.

  8. Namnet återspeglar tjänsten.

Konfigurera enkel inloggning med Microsoft Entra

  1. De nya F5-programegenskaperna visas

  2. Välj Hantera>enkel inloggning

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. Hoppa över uppmaningen för att spara inställningarna för enkel inloggning.

  5. Välj Nej, jag sparar senare.

  6. I Konfigurera enkel inloggning med SAML väljer du pennikonen för Grundläggande SAML-konfiguration.

  7. Ersätt identifierar-URL:en med den BIG-IP-publicerade tjänst-URL:en. Till exempel: https://mytravel.contoso.com

  8. Upprepa för svars-URL och inkludera APM SAML-slutpunktssökvägen. Till exempel: https://mytravel.contoso.com/saml/sp/profile/post/acs

    Kommentar

    I den här konfigurationen fungerar SAML-flödet i IdP-läge: Microsoft Entra ID utfärdar en SAML-försäkran för användaren innan det omdirigeras till BIG-IP-tjänstslutpunkten för programmet. BIG-IP APM stöder IdP- och SP-lägen.

  9. För Utloggnings-URI anger du SLO-slutpunkten (BIG-IP APM Single Logout), som förbereds av tjänstens värdhuvud. SLO-URI:n säkerställer att användarens BIG-IP APM-sessioner upphör efter Microsoft Entra-utloggning. Till exempel https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Skärmbild av grundläggande SAML-konfigurationsindata för identifierare, svars-URL, inloggnings-URL och så vidare.

    Kommentar

    Från Traffic Management-operativsystemet (TMOS) v16 och senare ändrades SAML SLO-slutpunkten till /saml/sp/profile/redirect/slo.

  10. Välj Spara.

  11. Avsluta SAML-konfigurationen.

  12. Hoppa över SSO-testprompten.

  13. Om du vill redigera användarattribut och anspråk > + Lägg till nytt anspråk väljer du pennikonen.

  14. För Namn väljer du Employeeid.

  15. För Källattribut väljer du user.employeeid.

  16. Välj Spara

Skärmbild av indata för attributet Namn och källa i dialogrutan Hantera anspråk.

  1. Välj + Lägg till ett gruppanspråk
  2. Välj Grupper som tilldelats programmets>källattribut>sAMAccountName.

Skärmbild av indata för källattributet i dialogrutan Gruppanspråk.

  1. Välj Spara konfigurationen.
  2. Stäng vyn.
  3. Observera egenskaperna för avsnittet Användarattribut och anspråk . Microsoft Entra ID utfärdar användaregenskaper för BIG-IP APM-autentisering och enkel inloggning till serverdelsprogrammet.

Skärmbild av information om användarattribut och anspråk, till exempel efternamn, e-postadress, identitet och så vidare.

Kommentar

Lägg till andra anspråk som det BIG-IP-publicerade programmet förväntar sig som rubriker. Mer definierade anspråk utfärdas om de finns i Microsoft Entra-ID. Definiera katalogmedlemskap och användarobjekt i Microsoft Entra-ID innan anspråk kan utfärdas. Se Konfigurera gruppanspråk för program med hjälp av Microsoft Entra-ID.

  1. I avsnittet SAML-signeringscertifikat väljer du Ladda ned.
  2. XML-filen federationsmetadata sparas på datorn.

Skärmbild av länken Ladda ned för XML för federationsmetadata i dialogrutan SAML-signeringscertifikat.

SAML-signeringscertifikat som skapats av Microsoft Entra ID har en livslängd på tre år.

Microsoft Entra-auktorisering

Som standard utfärdar Microsoft Entra-ID token till användare som beviljats åtkomst till ett program.

  1. I programmets konfigurationsvy väljer du Användare och grupper.
  2. Välj + Lägg till användare och välj Användare och grupper i Lägg till tilldelning.
  3. I dialogrutan Användare och grupper lägger du till användargrupper som har behörighet att komma åt det huvudbaserade programmet.
  4. Välj Välj.
  5. Välj Tilldela.

Microsoft Entra SAML-federationsförtroendet är slutfört. Konfigurera sedan BIG-IP APM för att publicera webbprogrammet, konfigurerat med egenskaper för att slutföra SAML-förautentiseringsförtroendet.

Avancerad konfiguration

Använd följande avsnitt för att konfigurera SAML, SSO för sidhuvud, åtkomstprofil med mera.

SAML-konfiguration

Om du vill federera det publicerade programmet med Microsoft Entra-ID skapar du SAML-tjänstprovidern BIG-IP och motsvarande SAML IdP-objekt.

  1. Välj Access>Federation>SAML Service Provider>Local SP Services>Create.

    Skärmbild av alternativet Skapa under fliken SAML-tjänstprovider.

  2. Ange ett Namn.

  3. Ange det entitets-ID som definierats i Microsoft Entra-ID.

    Skärmbild av namn- och entitets-ID-indata i dialogrutan Skapa ny SAML SP-tjänst.

  4. För SP-namn Inställningar gör du val om entitets-ID:t inte matchar värdnamnet för den publicerade URL:en eller gör val om det inte är i vanligt värdnamnsbaserat URL-format. Ange det externa schemat och programmets värdnamn om entitets-ID är urn:mytravel:contosoonline.

  5. Rulla nedåt för att välja det nya SAML SP-objektet.

  6. Välj Bind/Koppla från IdP-Anslut orer.

    Skärmbild av alternativet Bind unbind IdP Anslut ors under fliken SAML-tjänsteprovider.

  7. Välj Skapa ny IdP-Anslut eller.

  8. I listrutan väljer du Från metadata.

    Skärmbild av alternativet Från metadata i listrutan Skapa nytt IdP Anslut ion.

  9. Bläddra till XML-filen för federationsmetadata som du laddade ned.

  10. Ange ett identitetsprovidernamn för APM-objektet för den externa SAML-IdP:n. Till exempel: MyTravel_EntraID

Skärmbild av Välj indata för fil- och identitetsproviderns namn under Skapa ny SAML-IdP-Anslut eller.

  1. Välj Lägg till ny rad.
  2. Välj den nya SAML IdP-Anslut eller.
  3. Välj Uppdatera.

Skärmbild av alternativet Uppdatera under SAML IdP-Anslut orer.

  1. Välj OK.

Skärmbild av sparade inställningar

SSO-konfiguration för sidhuvud

Skapa ett APM SSO-objekt.

  1. Välj Skapa åtkomstprofiler>/principer>per begärandeprinciper.>

  2. Ange ett Namn.

  3. Lägg till minst ett accepterat språk.

  4. Välj Slutförd.

    Skärmbild av indata för namn och accepterat språk.

  5. För den nya principen per begäran väljer du Redigera.

    Skärmbild av alternativet Redigera i kolumnen Princip per begäran.

  6. Redigeraren för visuell princip startar.

  7. Under Reserv väljer du symbolen + .

    Skärmbild av plusalternativet under återställning.

  8. På fliken Generell användning väljer du HTTP-huvuden>Lägg till objekt.

    Skärmbild av alternativet HTTP-huvuden.

  9. Välj Lägg till ny post.

  10. Skapa tre HTTP- och header-ändringsposter.

  11. För Rubriknamn anger du upn.

  12. Som Rubrikvärde anger du %{session.saml.last.identity}.

  13. För Rubriknamn anger du employeeid.

  14. Som Rubrikvärde anger du %{session.saml.last.attr.name.employeeid}.

  15. Som Rubriknamn anger du group_authz.

  16. Som Rubrikvärde anger du %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Kommentar

APM-sessionsvariabler inom klammerparenteser är skiftlägeskänsliga. Vi rekommenderar att du definierar attribut i gemener.

Skärmbild av sidhuvudindata under HTTP-rubrik ändra på fliken Egenskaper.

  1. Välj Spara.
  2. Stäng redigeraren för visuell princip.

Skärmbild av redigeraren för visuell princip.

Konfiguration av åtkomstprofil

En åtkomstprofil binder många APM-element som hanterar åtkomst till virtuella BIG-IP-servrar, inklusive åtkomstprinciper, SSO-konfiguration och användargränssnittsinställningar.

  1. Välj Åtkomstprofiler>/Principer>Åtkomstprofiler (principer per session)>Skapa.

  2. Som Namn anger du MyTravel.

  3. För Profiltyp väljer du Alla.

  4. För Accepterat språk väljer du minst ett språk.

  5. välj Slutförd.

    Skärmbild av poster för namn, profiltyp och godkänt språk.

  6. För profilen per session som du skapade väljer du Redigera.

    Skärmbild av alternativet Redigera i kolumnen Princip per session.

  7. Redigeraren för visuell princip startar.

  8. Under Reserv väljer du symbolen + .

    Skärmbild av plusalternativet.

  9. Välj Autentisering>SAML Auth>Lägg till objekt.

    Skärmbild av alternativet SAML Auth på fliken Autentisering.

  10. För SP-konfigurationen för SAML-autentisering går du till listrutan AAA Server och väljer det SAML SP-objekt som du skapade.

  11. Välj Spara.

Skärmbild av valet av AAA-server.

Attributmappning

Följande instruktioner är valfria. Med en LogonID_Mapping konfiguration har listan big-IP-aktiva sessioner det inloggade användarens huvudnamn (UPN), inte ett sessionsnummer. Använd dessa data när du analyserar loggar eller felsökning.

  1. För grenen SAML Auth Lyckades väljer du symbolen + .

    Skärmbild av plussymbolen på saml-autentiseringsgrenen Lyckades.

  2. I popup-fönstret väljer du Tilldelningsvariabel>Tilldela>lägg till objekt.

    Skärmbild av alternativet Variabeltilldelning på fliken Tilldelning.

  3. Ange ett Namn

  4. I avsnittet Variabeltilldelning väljer du Lägg till ny poständring>. Till exempel LogonID_Mapping.

    Skärmbild av alternativen Lägg till ny post och ändring

  5. För Anpassad variabel anger du session.saml.last.identity.

  6. För Sessionsvariabel anger du session.logon.last.username.

  7. Välj Slutförd.

  8. Välj Spara.

  9. I grenen Åtkomstprincip lyckades väljer du neka-terminalen.

  10. Markera Tillåt.

  11. Välj Spara.

  12. Välj Tillämpa åtkomstprincip.

  13. Stäng redigeraren för visuell princip.

Konfiguration av serverdelspool

Om du vill aktivera BIG-IP för att vidarebefordra klienttrafik korrekt skapar du ett APM-nodobjekt som representerar serverdelsservern som är värd för ditt program. Placera noden i en APM-pool.

  1. Välj Skapa poollista >för lokala trafikpooler >>.

  2. Ange ett Namn för ett serverpoolobjekt. Till exempel MyApps_VMs.

    Skärmbild av tillämpa åtkomstprincip.

  3. Lägg till ett poolmedlemsobjekt.

  4. För Nodnamn anger du ett namn för servern som är värd för serverdelswebbappen.

  5. För Adress anger du IP-adressen för den server som är värd för programmet.

  6. För Tjänstport anger du DEN HTTP/S-port som programmet lyssnar på.

  7. Markera Lägga till.

    Skärmbild av indata för nodnamn, adress, tjänstport och alternativet Lägg till.

    Kommentar

    Mer information finns i my.f5.com för K13397: Översikt över http-hälsoövervakarbegärandeformatering för BIG-IP DNS-systemet.

Konfiguration av virtuell server

En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress som lyssnar efter klienters begäranden till programmet. Mottagen trafik bearbetas och utvärderas med APM-åtkomstprofilen som är associerad med den virtuella servern. Trafiken dirigeras enligt principen.

  1. Välj Skapa lista över> virtuella servrar för lokal>trafik>virtuell server.

  2. Ange ett virtuellt servernamn.

  3. För Måladress/mask väljer du Värd

  4. Ange en oanvänd IP-IPv4 eller IPv6 som ska tilldelas BIG-IP för att ta emot klienttrafik.

  5. För Tjänstport väljer du Port, 443 och HTTPS.

    Skärmbild av poster för Namn, Måladressmask och Tjänstport.

  6. För HTTP-profil (klient) väljer du http.

  7. För SSL-profil (klient) väljer du den klient-SSL-profil som du skapade eller lämnar standardvärdet för testning.

    Skärmbild av poster för HTTP-profilklienten och SSL-profilklienten.

  8. För Källadressöversättning väljer du Automatisk mappning.

    Skärmbild av alternativet Källadressöversättning.

  9. För Åtkomstprincip väljer du den åtkomstprofil som skapades tidigare. Den här åtgärden binder Microsoft Entra SAML-förautentiseringsprofilen och rubrikerna för SSO-principen till den virtuella servern.

  10. För Princip per begäran väljer du SSO_Headers.

Skärmbild av poster för åtkomstprofil och princip för förhandsbegäran.

  1. För Standardpool väljer du de serverdelspoolobjekt som du skapade.
  2. Välj Slutförd.

Skärmbild av alternativet Standardpool under Resurser.

Sessionshantering

Använd inställningen för hantering av BIG-IP-sessioner för att definiera villkoren för avslutning eller fortsättning av användarsessioner. Skapa en princip med åtkomstprincipens>åtkomstprofiler. Välj ett program i listan.

När det gäller SLO-funktioner säkerställer en SLO-URI i Microsoft Entra-ID att en IdP-initierad utloggning från MyApps-portalen avslutar sessionen mellan klienten och BIG-IP APM. Den importerade programfederationen metadata.xml tillhandahåller APM med Microsoft Entra SAML-utloggningsslutpunkten för SP-initierad utloggning. Aktivera därför APM för att veta när en användare loggar ut.

Om det inte finns någon BIG IP-webbportal kan användaren inte instruera APM att logga ut. Om användaren loggar ut från programmet är BIG-IP omedveten om åtgärden. Programsessionen kan återställas via enkel inloggning. Därför behöver SP-initierad utloggning noggrant övervägas.

För att säkerställa att sessionerna avslutas på ett säkert sätt lägger du till en SLO-funktion i appens utloggningsknapp . Aktivera den för att omdirigera klienten till Microsoft Entra SAML-utloggningsslutpunkten. Gå till Slutpunkter för appregistreringar>för SAML-utloggningsslutpunkten för din klientorganisation.

Om du inte kan ändra appen aktiverar du BIG-IP för att lyssna efter apputloggningsanropet och utlösa SLO. Mer information:

Distribuera

  1. Välj Distribuera för att checka in inställningar.
  2. Kontrollera att programmet visas i klientorganisationen.
  3. Programmet publiceras och är tillgängligt via SHA, med dess URL eller Microsoft-portaler.

Test

Utför följande test som användare.

  1. Välj programmets externa URL eller välj programikonen i MyApps-portalen.

  2. Autentisera till Microsoft Entra-ID.

  3. En omdirigering sker till den virtuella BIG-IP-servern för appen och loggas in med enkel inloggning.

  4. Utdata för inmatade huvuden visas av det huvudbaserade programmet.

    Skärmbild av servervariabler, till exempel UPN, medarbetar-ID och gruppauktorisering.

För ökad säkerhet blockerar du direkt åtkomst till programmet och framtvingar en sökväg via BIG-IP.

Felsökning

Använd följande vägledning för felsökning.

Loggveroalitet

BIG-IP-loggar har information som hjälper till att isolera autentiserings- och SSO-problem. Öka loggverositetsnivån:

  1. Gå till Översikt över>händelseloggar för åtkomstprincip.>
  2. Välj Inställningar.
  3. Välj raden i ditt publicerade program.
  4. Välj Redigera>åtkomstsystemloggar.
  5. I listan med enkel inloggning väljer du Felsök.
  6. Välj OK.
  7. Återskapa problemet.
  8. Granska loggarna.
  9. När du är klar återställer du inställningarna.

BIG-IP-felmeddelande

Om ett BIG-IP-fel visas efter omdirigering beror problemet sannolikt på enkel inloggning från Microsoft Entra-ID till BIG-IP.

  1. Gå till Översikt över åtkomstprincip>.
  2. Välj Åtkomstrapporter.
  3. Kör rapporten för den senaste timmen.
  4. Granska loggarna för att få ledtrådar.
  5. För sessionen väljer du länken Visa sessionsvariabler .
  6. Kontrollera att APM tar emot de förväntade anspråken från Microsoft Entra ID.

Inget BIG-IP-felmeddelande

Om inget BIG-IP-felmeddelande visas är problemet förmodligen mer relaterat till enkel inloggning från BIG-IP till serverdelsprogrammet.

  1. Gå till Översikt över åtkomstprincip>.
  2. Välj Aktiva sessioner.
  3. Välj länken för den aktiva sessionen.
  4. Välj länken Visa variabler för att fastställa eventuella problem med enkel inloggning.
  5. Bekräfta att BIG-IP APM misslyckas eller lyckas hämta rätt användar- och domänidentifierare.

Läs mer:

Resurser