Dela via

Självstudie: Konfigurera enkel F5 BIG-IP-knapp för huvudbaserad enkel inloggning

  • Artikel

Lär dig hur du skyddar huvudbaserade program med Microsoft Entra-ID, med enkel konfiguration med enkel F5 BIG-IP-knapp v16.1.

Att integrera en BIG-IP med Microsoft Entra-ID ger många fördelar, bland annat:

  • Förbättrad Nolltillit styrning via Microsoft Entra-förautentisering och villkorlig åtkomst
  • Fullständig enkel inloggning mellan Microsoft Entra-ID och BIG-IP-publicerade tjänster
  • Hanterade identiteter och åtkomst från ett kontrollplan

Läs mer:

Beskrivning av scenario

Det här scenariot omfattar det äldre programmet med http-auktoriseringshuvuden för att hantera åtkomst till skyddat innehåll. Legacy saknar moderna protokoll för direkt integrering med Microsoft Entra-ID. Modernisering är kostsamt, tidskrävande och medför avbrottsrisker. Använd i stället en F5 BIG-IP Application Delivery Controller (ADC) för att överbrygga klyftan mellan det äldre programmet och det moderna ID-kontrollplanet, med protokollövergång.

En BIG-IP framför programmet möjliggör överlägg av tjänsten med Microsoft Entra-förautentisering och huvudbaserad enkel inloggning. Den här konfigurationen förbättrar den övergripande programsäkerhetsstatusen.

Kommentar

Organisationer kan ha fjärråtkomst till den här programtypen med Microsoft Entra-programproxy. Läs mer: Fjärråtkomst till lokala program via Microsoft Entra-programproxy

Scenariots arkitektur

SHA-lösningen innehåller:

  • Program – BIG-IP-publicerad tjänst som skyddas av Microsoft Entra SHA
  • Microsoft Entra ID – SAML-identitetsprovider (Security Assertion Markup Language) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst och SAML-baserad enkel inloggning till BIG-IP. Med enkel inloggning tillhandahåller Microsoft Entra-ID BIG-IP med sessionsattribut.
  • BIG-IP – omvänd proxy och SAML-tjänstprovider (SP) till programmet, delegera autentisering till SAML IdP innan du utför huvudbaserad enkel inloggning till serverdelsprogrammet.

I det här scenariot stöder SHA SP- och IdP-initierade flöden. Följande diagram illustrerar det SP-initierade flödet.

Diagram över konfigurationen med ett SP-initierat flöde.

  1. Användaren ansluter till programslutpunkten (BIG-IP).
  2. BIG-IP APM-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra förautentiserar användaren och tillämpar principer för villkorsstyrd åtkomst.
  4. Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning sker med en utfärdad SAML-token.
  5. BIG-IP matar in Microsoft Entra-attribut som rubriker i programbegäran.
  6. Programmet auktoriserar begäran och returnerar nyttolast.

Förutsättningar

För scenariot du behöver:

  • En Azure-prenumeration
    • Om du inte har något får du ett kostnadsfritt Azure-konto
  • En av följande roller: Molnprogramadministratör eller programadministratör
  • En BIG-IP eller distribuera en BIG-IP Virtual Edition (VE) i Azure
  • Någon av följande F5 BIG-IP-licenser:
    • F5 BIG-IP® Bästa paket
    • Fristående licens för F5 BIG-IP Access Policy Manager™ (APM)
    • F5 APM-tilläggslicens (BIG-IP Access Policy Manager™) på en BIG IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 dagars utvärderingsversion av big-IP-fullständig funktion. Se kostnadsfria utvärderingsversioner
  • Användaridentiteter som synkroniseras från en lokal katalog till Microsoft Entra-ID
  • Ett SSL-webbcertifikat för att publicera tjänster via HTTPS eller använda big-IP-standardcertifikat för testning
  • Ett huvudbaserat program eller konfigurera en IIS-huvudapp för testning

BIG-IP-konfiguration

I den här självstudien används guidad konfiguration v16.1 med en mall för enkel knapp. Med knappen Enkel går administratörer inte längre fram och tillbaka för att aktivera SHA-tjänster. Guiden Guidad konfiguration och Microsoft Graph hanterar distributions- och principhantering. BIG-IP APM- och Microsoft Entra-integreringen säkerställer att program stöder identitetsfederation, enkel inloggning och villkorsstyrd åtkomst.

Kommentar

Ersätt exempelsträngar eller värden med dem i din miljö.

Registrera enkel knapp

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Innan en klient eller tjänst får åtkomst till Microsoft Graph måste Microsofts identitetsplattform lita på den.

Läs mer: Snabbstart: Registrera ett program med Microsofts identitetsplattform.

Skapa en registrering av klientappen för att auktorisera enkel knappåtkomst till Graph. Med dessa behörigheter push-överför BIG-IP konfigurationerna för att upprätta ett förtroende mellan en SAML SP-instans för publicerat program och Microsoft Entra-ID som SAML-IdP.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identitetsprogram>> Appregistreringar> Ny registrering.

  3. Under Hantera väljer du Appregistreringar > Ny registrering.

  4. Ange ett programnamn.

  5. Ange vem som använder programmet.

  6. Välj Endast konton i den här organisationskatalogen.

  7. Välj Registrera.

  8. Gå till API-behörigheter.

  9. Auktorisera följande Microsoft Graph-programbehörigheter:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  10. Bevilja administratörsmedgivande för din organisation.

  11. Certifikat och hemligheter genererar du en ny klienthemlighet. Anteckna klienthemligheten.

  12. Observera klient-ID och klient-ID på Översikt.

Konfigurera enkel knapp

  1. Starta den guidade APM-konfigurationen.

  2. Starta mallen Enkel knapp .

  3. Gå till Åtkomst > till guidad konfiguration.

  4. Välj Microsoft-integrering

  5. Välj Microsoft Entra-program.

  6. Granska konfigurationsstegen.

  7. Välj Nästa.

  8. Publicera programmet med hjälp av den illustrerade stegsekvensen.

    Diagram över publikationssekvensen.

Konfigurationsegenskaper

Använd fliken Konfigurationsegenskaper för att skapa ett BIG-IP-programkonfigurations- och SSO-objekt. Azure-tjänstkontoinformation representerar den klient som du registrerade i Microsoft Entra-klientorganisationen. Använd inställningarna för BIG-IP OAuth-klienten för att registrera en SAML SP i din klientorganisation med egenskaper för enkel inloggning. Easy Button utför den här åtgärden för BIG-IP-tjänster som publicerats och aktiverats för SHA.

Du kan återanvända inställningar för att publicera fler program.

  1. Ange ett konfigurationsnamn.

  2. För Enkel inloggning (SSO) och HTTP-huvuden väljer du .

  3. För klient-ID, klient-ID och klienthemlighet anger du det du antecknade.

  4. Bekräfta att BIG-IP ansluter till din klientorganisation.

  5. Välj Nästa

    Skärmbild av poster och alternativ för konfigurationsegenskaper.

Tjänstleverantör

I Tjänstproviderinställningar definierar du SAML SP-instansinställningar för det SHA-skyddade programmet.

  1. Ange en värd, programmets offentliga FQDN.

  2. Ange ett entitets-ID som identifieraren Microsoft Entra ID använder för att identifiera SAML SP som begär en token.

    Skärmbild av indatafält för tjänstleverantören.

  3. (Valfritt) I Säkerhets-Inställningar väljer du Aktivera krypteringskontroller för att göra det möjligt för Microsoft Entra-ID att kryptera utfärdade SAML-intyg. Microsoft Entra-ID och BIG-IP APM-krypteringskontroller hjälper till att säkerställa att innehållstoken inte fångas upp eller att personliga data eller företagsdata komprometteras.

  4. I Security Inställningar väljer du Skapa ny i listan Med privat nyckel för försäkrandekryptering.

    Skärmbild av alternativet Skapa ny i listan Med privat nyckel för försäkrandekryptering.

  5. Välj OK.

  6. Dialogrutan Importera SSL-certifikat och nycklar visas.

  7. För Importtyp väljer du PKCS 12 (IIS). Den här åtgärden importerar certifikatet och den privata nyckeln.

  8. För Certifikat och nyckelnamn väljer du Nytt och anger indata.

  9. Ange lösenordet.

  10. Välj Importera.

  11. Stäng webbläsarfliken för att återgå till huvudfliken.

Skärmbild av val och poster för SSL-certifikatnyckelkälla.

  1. Markera kryssrutan för Aktivera krypterad försäkran.
  2. Om du har aktiverat kryptering väljer du certifikatet från listan Med en privat nyckel för försäkrandekryptering. BIG-IP APM använder den här privata certifikatnyckeln för att dekryptera Microsoft Entra-försäkran.
  3. Om du har aktiverat kryptering väljer du certifikatet i listan Certifikat för dekryptering av försäkran. BIG-IP laddar upp det här certifikatet till Microsoft Entra-ID för att kryptera de utfärdade SAML-försäkran.

Skärmbild av två poster och ett alternativ för Security Inställningar.

Microsoft Entra ID

Använd följande instruktioner för att konfigurera ett nytt BIG-IP SAML-program i din Microsoft Entra-klientorganisation. Easy Button har programmallar för Oracle Personer Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP och en allmän SHA-mall.

  1. Under Konfigurationsegenskaper i Azure Configuration väljer du F5 BIG-IP APM Microsoft Entra ID-integrering.
  2. Markera Lägga till.

Azure-konfiguration

  1. Ange ett visningsnamn för appen BIG-IP som skapas i Microsoft Entra-klientorganisationen. Användarna ser namnet, med en ikon, på Microsoft Mina appar.

  2. Hoppa över inloggnings-URL (valfritt).

  3. Bredvid Signeringsnyckel och Signeringscertifikat väljer du Uppdatera för att hitta certifikatet som du har importerat.

  4. I Lösenfras för signeringsnyckel anger du certifikatlösenordet.

  5. (Valfritt) Aktivera signeringsalternativ för att säkerställa att BIG-IP accepterar token och anspråk som signerats av Microsoft Entra-ID.

    Skärmbild för Azure-konfiguration – Lägga till information om signeringscertifikat

  6. Indata för användar- och användargrupper efterfrågas dynamiskt.

    Viktigt!

    Lägg till en användare eller grupp för testning, annars nekas all åtkomst. I Användar- och användargrupper väljer du + Lägg till.

    Skärmbild av alternativet Lägg till i användar- och användargrupper.

Användarattribut och anspråk

När en användare autentiserar utfärdar Microsoft Entra ID en SAML-token med anspråk och attribut som identifierar användaren. Fliken Användarattribut och anspråk har standardanspråk för programmet. Använd fliken för att konfigurera fler anspråk.

Inkludera ytterligare ett attribut:

  1. För Rubriknamn anger du employeeid.

  2. För Källattribut anger du user.employeeid.

    Skärmbild av värden under Ytterligare anspråk.

Ytterligare användarattribut

På fliken Ytterligare användarattribut aktiverar du sessionsförstoring. Använd den här funktionen för distribuerade system som Oracle, SAP och andra JAVA-implementeringar som kräver att attribut lagras i andra kataloger. Attribut som hämtas från en LDAP-källa (Lightweight Directory Access Protocol) matas in som fler SSO-huvuden. Den här åtgärden hjälper dig att styra åtkomsten baserat på roller, partner-ID:n och så vidare.

Kommentar

Den här funktionen har ingen korrelation till Microsoft Entra-ID. Det är en attributkälla. 

Princip för villkorsstyrd åtkomst

Principer för villkorlig åtkomst styr åtkomst baserat på enheter, program, platser och risksignaler.

  • I Tillgängliga principer hittar du principer för villkorsstyrd åtkomst utan användaråtgärder
  • I Valda principer letar du upp en molnappsprincip
    • Du kan inte avmarkera dessa principer eller flytta dem till Tillgängliga principer eftersom de tillämpas på klientnivå

Så här väljer du en princip som ska tillämpas på programmet som publiceras:

  1. På fliken Princip för villkorsstyrd åtkomst går du till listan Tillgängliga principer och väljer en princip.
  2. Välj högerpilen och flytta den till listan Valda principer.

Kommentar

Du kan välja alternativet Inkludera eller Exkludera för en princip. Om båda alternativen har valts avsätts principen.

Skärmbild av alternativet Exkludera som valts för principer i Valda principer.

Kommentar

Principlistan visas när du väljer fliken Princip för villkorsstyrd åtkomst. Välj uppdatera och guiden frågar klientorganisationen. Uppdateringen visas när ett program har distribuerats.

Egenskaper för virtuell server

En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress. Servern lyssnar efter klienters begäranden till programmet. Mottagen trafik bearbetas och utvärderas mot den APM-profil som är associerad med den virtuella servern. Trafiken dirigeras enligt principen.

  1. För Måladress anger du en IPv4- eller IPv6-adress som BIG-IP använder för att ta emot klienttrafik. Se till att en motsvarande post i domännamnsservern (DNS) som gör det möjligt för klienter att matcha den externa URL:en, för det BIG-IP-publicerade programmet, till den här IP-adressen. Du kan använda datorns localhost DNS för testning.

  2. För Tjänstport anger du 443 och väljer HTTPS.

  3. Markera kryssrutan för Aktivera omdirigeringsport.

  4. Ange ett värde för omdirigeringsport. Det här alternativet omdirigerar inkommande HTTP-klienttrafik till HTTPS.

  5. Välj den klient-SSL-profil som du skapade eller lämna standardvärdet för testning. Klient-SSL-profilen aktiverar den virtuella servern för HTTPS, så klientanslutningar krypteras via TLS.

    Skärmbild av måladress, tjänstport och en vald profil på Egenskaper för virtuell server.

Poolegenskaper

Fliken Programpool har tjänster bakom en BIG-IP, som representeras som en pool, med en eller flera programservrar.

  1. För Välj en pool väljer du Skapa ny eller väljer en annan.

  2. För Belastningsutjämningsmetod väljer du Resursallokering.

  3. För Poolservrar väljer du en nod eller väljer en IP-adress och port för servern som är värd för det huvudbaserade programmet.

    Skärmbild av IP-adress eller nodnamn och portindata i Poolegenskaper.

    Kommentar

    Microsofts serverdelsprogram finns på HTTP-port 80. Om du väljer HTTPS använder du 443.

Enkel inloggning och HTTP-huvuden

Med enkel inloggning får användarna åtkomst till BIG-IP-publicerade tjänster utan att ange autentiseringsuppgifter. Guiden Enkel knapp stöder Kerberos-, OAuth Bearer- och HTTP-auktoriseringshuvuden för enkel inloggning.

  1. Vid enkel inloggning och HTTP-huvuden i SSO-huvuden, för Rubrikåtgärd, väljer du infoga

  2. Använd upn för Rubriknamn.

  3. För Rubrikvärde använder du %{session.saml.last.identity}.

  4. För Rubrikåtgärd väljer du Infoga.

  5. För Rubriknamn använder du employeeid.

  6. För Rubrikvärde använder du %{session.saml.last.attr.name.employeeid}.

    Skärmbild av poster och val för SSO-huvuden.

    Kommentar

    APM-sessionsvariabler inom klammerparenteser är skiftlägeskänsliga. Inkonsekvenser orsakar attributmappningsfel.

Sessionshantering

Använd inställningar för hantering av BIG-IP-sessioner för att definiera villkor för avslutning eller fortsättning av användarsessioner.

Mer information finns i support.f5.com för K18390492: Säkerhet | APM-driftguide för BIG-IP

Enkel utloggning (SLO) säkerställer att IdP-, BIG-IP- och användaragentsessioner avslutas när användarna loggar ut. När Enkel knapp instansierar ett SAML-program i din Microsoft Entra-klientorganisation fyller den i utloggnings-URL:en med APM SLO-slutpunkten. IdP-initierad utloggning från Mina appar avslutar BIG-IP- och klientsessioner.

Läs mer: se Mina appar

SAML-federationsmetadata för det publicerade programmet importeras från din klientorganisation. Importen tillhandahåller APM med slutpunkten för SAML-utloggning för Microsoft Entra-ID. Den här åtgärden säkerställer att SP-initierad utloggning avslutar klient- och Microsoft Entra-sessioner. Kontrollera att APM vet när användaren loggar ut.

Om BIG-IP-webbportalen har åtkomst till publicerade program bearbetar eAPM utloggningen för att anropa Microsoft Entra-utloggningsslutpunkten. Om BIG-IP-webbportalen inte används kan användarna inte instruera APM att logga ut. Om användarna loggar ut från programmet är BIG-IP omedveten. Se därför till att SP-initierad utloggning på ett säkert sätt avslutar sessioner. Du kan lägga till en SLO-funktion till en utloggningsknapp för ett program. Sedan omdirigeras klienterna till microsoft Entra SAML- eller BIG-IP-utloggningsslutpunkten. Om du vill hitta SLUTpunkts-URL:en för SAML-utloggning för din klient går du till Slutpunkter för appregistreringar>.

Om du inte kan ändra appen aktiverar du BIG-IP för att lyssna efter programmets utloggningsanrop och utlösa SLO.

Läs mer:

Distribuera

Distributionen ger en uppdelning av dina konfigurationer.

  1. Om du vill checka in inställningar väljer du Distribuera.
  2. Kontrollera programmet i din klientorganisationslista över Företagsprogram.
  3. Programmet publiceras och är tillgängligt via SHA, med dess URL eller på Microsofts programportaler.

Test

  1. I en webbläsare ansluter du till programmets externa URL eller väljer programikonen på Mina appar.
  2. Autentisera till Microsoft Entra-ID.
  3. En omdirigering sker till den virtuella BIG-IP-servern för programmet och loggas in med enkel inloggning.

Följande skärmbild matas in sidhuvudutdata från det huvudbaserade programmet.

Skärmbild av UPN, medarbetar-ID och händelseroller under Servervariabler.

Kommentar

Du kan blockera direkt åtkomst till programmet och därmed framtvinga en sökväg via BIG-IP.

Avancerad distribution

I vissa scenarier saknar mallar för guidad konfiguration flexibilitet.

Läs mer: Självstudie: Konfigurera F5 BIG-IP Access Policy Manager för huvudbaserad enkel inloggning.

I BIG-IP kan du inaktivera strikt hanteringsläge för guidad konfiguration. Ändra sedan konfigurationerna manuellt, men de flesta konfigurationer automatiseras med guidemallar.

  1. Om du vill inaktivera strikt läge går du till Åtkomst > till guidad konfiguration.

  2. Välj hänglåsikonen på raden för programkonfigurationen.

  3. BIG-IP-objekt som är associerade med den publicerade instansen av programmet låss upp för hantering. Ändringar med guiden är inte längre möjliga.

    Skärmbild av hänglåsikonen.

    Kommentar

    Om du återaktiverar strikt läge och distribuerar en konfiguration skriver åtgärden över inställningar som inte finns i den guidade konfigurationen. Vi rekommenderar den avancerade konfigurationen för produktionstjänster.

Felsökning

Använd följande vägledning vid felsökning.

Loggveroalitet

BIG-IP-loggar hjälper till att isolera problem med anslutning, enkel inloggning, princip eller felkonfigurerade variabelmappningar. Om du vill felsöka ökar du loggveroaliteten.

  1. Gå till Översikt över åtkomstprincip>.
  2. Välj Händelseloggar.
  3. Välj Inställningar.
  4. Välj raden i ditt publicerade program
  5. Välj Redigera.
  6. Välj Åtkomstsystemloggar.
  7. I listan med enkel inloggning väljer du Felsök.
  8. Välj OK.
  9. Återskapa problemet.
  10. Granska loggarna.

Kommentar

Återställ den här funktionen när den är klar. Utförligt läge genererar överdrivna data.

BIG-IP-felmeddelande

Om ett BIG-IP-felmeddelande visas efter Microsoft Entra-förautentisering kan problemet gälla Microsoft Entra ID-to-BIG-IP SSO.

  1. Gå till Översikt över åtkomstprincip>.
  2. Välj Åtkomstrapporter.
  3. Kör rapporten för den senaste timmen.
  4. Granska loggarna för att få ledtrådar.

Använd länken Visa sessionsvariabler för sessionen för att förstå om APM tar emot förväntade Microsoft Entra-anspråk.

Inget BIG-IP-felmeddelande

Om inget BIG-IP-felmeddelande visas kan problemet vara relaterat till serverdelsbegäran eller STOR-IP-till-program-enkel inloggning.

  1. Gå till Översikt över åtkomstprincip>.
  2. Välj Aktiva sessioner.
  3. Välj den aktiva sessionslänken.

Använd länken Visa variabler för att fastställa problem med enkel inloggning, särskilt om BIG-IP APM inte hämtar rätt attribut.

Läs mer: