Dela via


Självstudie: Konfigurera enkel F5 BIG-IP-knapp för huvudbaserad och enkel inloggning med LDAP

I den här artikeln kan du lära dig att skydda huvud- och LDAP-baserade program med hjälp av Microsoft Entra-ID med hjälp av den guidade konfigurationen F5 BIG-IP Easy Button 16.1. Att integrera en BIG-IP med Microsoft Entra ID ger många fördelar:

  • Förbättrad styrning: Se Nolltillit ramverk för att aktivera distansarbete och lära dig mer om Microsoft Entra-förautentisering
  • Fullständig enkel inloggning (SSO) mellan Microsoft Entra-ID och BIG-IP-publicerade tjänster
  • Hantera identiteter och åtkomst från ett kontrollplan, administrationscentret för Microsoft Entra

Mer information om fler fördelar finns i F5 BIG-IP- och Microsoft Entra-integrering.

Beskrivning av scenario

Det här scenariot fokuserar på det klassiska äldre programmet med http-auktoriseringshuvuden som kommer från LDAP-katalogattribut för att hantera åtkomst till skyddat innehåll.

Eftersom det är äldre saknar programmet moderna protokoll för att stödja en direkt integrering med Microsoft Entra-ID. Du kan modernisera appen, men den är kostsam, kräver planering och medför risk för potentiell stilleståndstid. I stället kan du använda en F5 BIG-IP Application Delivery Controller (ADC) för att överbrygga klyftan mellan det äldre programmet och det moderna ID-kontrollplanet med protokollövergång.

Att ha en BIG-IP framför appen möjliggör överlägg av tjänsten med Microsoft Entra-förautentisering och huvudbaserad enkel inloggning, vilket förbättrar programmets övergripande säkerhetsstatus.

Scenariots arkitektur

Den säkra hybridåtkomstlösningen för det här scenariot har:

  • Program – BIG-IP-publicerad tjänst som ska skyddas av Microsoft Entra ID säker hybridåtkomst (SHA)
  • Microsoft Entra ID – SAML-identitetsprovider (Security Assertion Markup Language) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst och SAML-baserad enkel inloggning till BIG-IP. Med enkel inloggning tillhandahåller Microsoft Entra ID BIG-IP med nödvändiga sessionsattribut.
  • HR-system – LDAP-baserad medarbetardatabas som sanningskälla för programbehörigheter
  • BIG-IP – Omvänd proxy och SAML-tjänstprovider (SP) till programmet, delegera autentisering till SAML-IdP innan du utför huvudbaserad enkel inloggning till serverdelsprogrammet

SHA för det här scenariot stöder SP- och IdP-initierade flöden. Följande bild illustrerar det SP-initierade flödet.

Diagram över sp-initierat flöde för säker hybridåtkomst.

  1. Användaren ansluter till programslutpunkten (BIG-IP)
  2. BIG-IP APM-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP)
  3. Microsoft Entra ID förautentiserar användaren och tillämpar framtvingade principer för villkorsstyrd åtkomst
  4. Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning utförs med en utfärdad SAML-token
  5. BIG-IP begär fler attribut från LDAP-baserat HR-system
  6. BIG-IP matar in Microsoft Entra-ID och HR-systemattribut som rubriker i begäran till programmet
  7. Programmet auktoriserar åtkomst med utökad sessionsbehörighet

Förutsättningar

Tidigare BIG-IP-upplevelse är inte nödvändig, men du behöver:

  • Ett kostnadsfritt Azure-konto eller en prenumeration på högre nivå
  • En BIG-IP eller distribuera en BIG-IP Virtual Edition (VE) i Azure
  • Någon av följande F5 BIG-IP-licenser:
    • F5 BIG-IP® Bästa paket
    • Fristående licens för F5 BIG-IP Access Policy Manager™ (APM)
    • F5 APM-tilläggslicens (BIG-IP Access Policy Manager™) på en BIG IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Kostnadsfri utvärderingsversion av 90-dagars BIG-IP-produkt
  • Användaridentiteter som synkroniseras från en lokal katalog till Microsoft Entra-ID
  • En av följande roller: Molnprogramadministratör eller programadministratör.
  • Ett SSL-webbcertifikat för publicering av tjänster via HTTPS eller använd big-IP-standardcertifikat vid testning
  • Ett huvudbaserat program eller konfigurera en enkel IIS-huvudapp för testning
  • En användarkatalog som stöder LDAP, till exempel Windows Active Directory Lightweight Directory Services (AD LDS), OpenLDAP och så vidare.

BIG-IP-konfiguration

I den här självstudien används guidad konfiguration 16.1 med en mall för Enkel knapp. Med enkel knapp går administratörer inte fram och tillbaka mellan Microsoft Entra-ID och en BIG-IP för att aktivera tjänster för SHA. Distributions- och principhanteringen hanteras mellan guiden APM Guidad konfiguration och Microsoft Graph. Den här integreringen mellan BIG-IP APM och Microsoft Entra ID säkerställer att program stöder identitetsfederation, enkel inloggning och villkorsstyrd åtkomst i Microsoft Entra, vilket minskar de administrativa kostnaderna.

Kommentar

Ersätt exempelsträngar eller värden i den här guiden med dem för din miljö.

Registrera enkel knapp

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Innan en klient eller tjänst kan komma åt Microsoft Graph är den betrodd av Microsofts identitetsplattform.

Det här första steget skapar en registrering av klientappen för att auktorisera enkel knappåtkomst till Graph. Med dessa behörigheter kan BIG-IP push-överföra konfigurationerna för att upprätta ett förtroende mellan en SAML SP-instans för publicerat program och Microsoft Entra-ID som SAML IdP.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identitetsprogram>> Appregistreringar> Ny registrering.

  3. Ange ett visningsnamn för programmet. Till exempel enkel F5 BIG-IP-knapp.

  4. Ange vem som endast kan använda programkontona >i den här organisationskatalogen.

  5. Välj Registrera.

  6. Gå till API-behörigheter och auktorisera följande Microsoft Graph-programbehörigheter:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  7. Bevilja administratörsmedgivande för din organisation.

  8. Generera en ny klienthemlighet på Certifikat och hemligheter. Anteckna den här hemligheten.

  9. Observera klient-ID och klient-IDÖversikt.

Konfigurera knappen Enkel

Starta den guidade APM-konfigurationen för att starta mallen Enkel knapp.

  1. Gå till Åtkomst > till interaktiv konfiguration > Microsoft-integrering och välj Microsoft Entra-program.

  2. Granska listan med steg och välj Nästa

  3. Följ stegen för att publicera ditt program.

    Skärmbild av konfigurationsflödet i guidad konfiguration.

Konfigurationsegenskaper

Fliken Konfigurationsegenskaper skapar ett BIG-IP-programkonfigurations- och SSO-objekt. Avsnittet Information om Azure-tjänstkonto representerar den klient som du registrerade i din Microsoft Entra-klientorganisation tidigare, som ett program. Med de här inställningarna kan en BIG-IP OAuth-klient registrera en SAML SP i din klientorganisation, med de SSO-egenskaper som du konfigurerar manuellt. Easy Button gör den här åtgärden för varje BIG-IP-tjänst som publiceras och aktiveras för SHA.

Vissa av de här inställningarna är globala och kan därför återanvändas för att publicera fler program, vilket minskar distributionstiden och arbetet.

  1. Ange ett unikt konfigurationsnamn så att administratörer kan skilja mellan Easy Button-konfigurationer.
  2. Aktivera enkel inloggning (SSO) och HTTP-huvuden.
  3. Ange klientorganisations-ID, klient-ID och klienthemlighet som du antecknade när du registrerade Easy Button-klienten i din klientorganisation.
  4. Bekräfta att BIG-IP kan ansluta till din klientorganisation.
  5. Välj Nästa.

Tjänstleverantör

Inställningarna för tjänstprovidern definierar egenskaperna för SAML SP-instansen av programmet som skyddas via SHA.

  1. Ange Värd, det offentliga fullständigt kvalificerade domännamnet (FQDN) för programmet som skyddas.

  2. Ange entitets-ID, identifieraren Microsoft Entra ID använder för att identifiera SAML SP som begär en token. Använd de valfria säkerhetsinställningarna för att ange om Microsoft Entra ID krypterar utfärdade SAML-intyg. Krypteringskontroller mellan Microsoft Entra-ID och BIG-IP APM garanterar att innehållstoken inte kan fångas upp och att personliga data eller företagsdata inte kan komprometteras.

  3. I listan Avkryptering av kontroll privat nyckel väljer du Skapa ny

    Skärmbild av alternativet Skapa ny under Privat nyckel för försäkrandekryptering i Säkerhetsinställningar.

  4. Välj OK. Dialogrutan Importera SSL-certifikat och nycklar öppnas på en ny flik.

  5. Välj PKCS 12 (IIS) för att importera certifikatet och den privata nyckeln. När du har etablerat stänger du webbläsarfliken för att återgå till huvudfliken.

    Skärmbild av importtyp, certifikat och nyckelnamn, certifikatnyckelkälla och lösenordsposter

  6. Kontrollera Aktivera krypterad försäkran.

  7. Om du har aktiverat kryptering väljer du ditt certifikat i listan Med privata nycklar för försäkrandekryptering. BIG-IP APM använder den här privata certifikatnyckeln för att dekryptera Microsoft Entra-försäkran.

  8. Om du har aktiverat kryptering väljer du ditt certifikat i listan Certifikat för dekryptering av försäkran. BIG-IP laddar upp det här certifikatet till Microsoft Entra-ID för att kryptera de utfärdade SAML-försäkran.

    Skärmbild av posterna för kontrolldekryptering av privat nyckel och dekrypteringscertifikat för försäkran i säkerhetsinställningar.

Microsoft Entra ID

Det här avsnittet innehåller egenskaper för att manuellt konfigurera ett nytt BIG-IP SAML-program i din Microsoft Entra-klientorganisation. Easy Button har programmallar för Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP och en SHA-mall för andra appar.

I det här scenariot väljer du F5 BIG-IP APM Microsoft Entra ID Integration > Add.

Azure-konfiguration

  1. Ange Visningsnamn för den app som BIG-IP skapar i din Microsoft Entra-klientorganisation och ikonen som användarna ser på MyApps-portalen.

  2. Gör ingen post för inloggnings-URL (valfritt).

  3. Om du vill hitta certifikatet som du har importerat väljer du ikonen Uppdatera bredvid signeringsnyckeln och signeringscertifikatet.

  4. Ange certifikatlösenordet i Lösenfras för signeringsnyckel.

  5. Aktivera signeringsalternativ (valfritt) för att säkerställa att BIG-IP accepterar token och anspråk som signerats av Microsoft Entra-ID.

    Skärmbild av signeringsnyckel, signeringscertifikat och signeringsnyckelns lösenfrasposter i SAML-signeringscertifikatet.

  6. Användar- och användargrupper efterfrågas dynamiskt från din Microsoft Entra-klientorganisation och ger åtkomst till programmet. Lägg till en användare eller grupp för testning, annars nekas åtkomst.

    Skärmbild av alternativet Lägg till i användar- och användargrupper.

Användarattribut och anspråk

När en användare autentiserar utfärdar Microsoft Entra ID en SAML-token med en standarduppsättning anspråk och attribut som unikt identifierar användaren. Fliken Användarattribut och anspråk visar standardanspråken som ska utfärdas för det nya programmet. Du kan också konfigurera fler anspråk.

I det här exemplet inkluderar du ytterligare ett attribut:

  1. För Anspråksnamn anger du employeeid.

  2. För Källattribut anger du user.employeeid.

    Skärmbild av värdet employeeid under Ytterligare anspråk på användarattribut och anspråk.

Ytterligare användarattribut

På fliken Ytterligare användarattribut kan du aktivera sessionsförstoring för distribuerade system som Oracle, SAP och andra JAVA-baserade implementeringar som kräver attribut som lagras i andra kataloger. Attribut som hämtas från en LDAP-källa kan matas in som fler SSO-huvuden för att styra åtkomsten baserat på roller, partner-ID:n och så vidare.

  1. Aktivera alternativet Avancerade inställningar.

  2. Markera kryssrutan LDAP-attribut .

  3. I Välj autentiseringsserver väljer du Skapa ny.

  4. Beroende på konfigurationen väljer du antingen Använd pool- eller Direktserveranslutningsläge för att ange serveradressen för LDAP-måltjänsten. Om du använder en enda LDAP-server väljer du Direkt.

  5. För Tjänstport anger du 389, 636 (Säker) eller en annan port som din LDAP-tjänst använder.

  6. För Base Search DN anger du det unika namnet på platsen som innehåller det konto som APM autentiserar med för LDAP-tjänstfrågor.

    Skärmbild av poster för LDAP-serveregenskaper för ytterligare användarattribut.

  7. För Sök DN anger du det unika namnet på platsen som innehåller användarkontoobjekten som APM frågar via LDAP.

  8. Ange båda medlemskapsalternativen till Ingen och lägg till namnet på det användarobjektattribut som ska returneras från LDAP-katalogen. För det här scenariot: eventroles.

    Skärmbild av poster för LDAP-frågeegenskaper.

Princip för villkorsstyrd åtkomst

Principer för villkorsstyrd åtkomst framtvingas efter Microsoft Entra-förautentisering för att styra åtkomst baserat på enheter, program, platser och risksignaler.

I vyn Tillgängliga principer visas principer för villkorsstyrd åtkomst som inte innehåller användaråtgärder.

Vyn Valda principer visar principer som riktar sig till alla resurser. Dessa principer kan inte avmarkeras eller flyttas till listan Tillgängliga principer eftersom de tillämpas på klientnivå.

Så här väljer du en princip som ska tillämpas på programmet som publiceras:

  1. I listan Tillgängliga principer väljer du en princip.

  2. Välj högerpilen och flytta den till listan Valda principer .

    Kommentar

    Valda principer har alternativet Inkludera eller Exkludera markerat. Om båda alternativen är markerade tillämpas inte den valda principen.

    Skärmbild av exkluderade principer, under Valda principer, på princip för villkorsstyrd åtkomst.

    Kommentar

    Principlistan räknas upp en gång när du först väljer den här fliken. Använd knappen Uppdatera för att manuellt tvinga guiden att fråga din klientorganisation. Den här knappen visas när programmet distribueras.

Egenskaper för virtuell server

En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress som lyssnar efter klientbegäranden till programmet. Mottagen trafik bearbetas och utvärderas mot den APM-profil som är associerad med den virtuella servern innan den dirigeras enligt principen.

  1. Ange måladressen, en tillgänglig IPv4/IPv6-adress som BIG-IP kan använda för att ta emot klienttrafik. Det bör finnas en motsvarande post i domännamnsservern (DNS), som gör det möjligt för klienter att matcha den externa URL:en för ditt BIG-IP-publicerade program till den här IP-adressen i stället för programmet. Det är acceptabelt att använda en lokal värd-DNS för testdatorer för testning.

  2. För Tjänstport anger du 443 och HTTPS.

  3. Kontrollera Aktivera omdirigeringsport och ange sedan Omdirigeringsport för att omdirigera inkommande HTTP-klienttrafik till HTTPS.

  4. Klient-SSL-profilen aktiverar den virtuella servern för HTTPS, så klientanslutningar krypteras via TLS (Transport Layer Security). Välj den klient-SSL-profil som du skapade eller lämna standardvärdet under testningen.

    Skärmbild av måladress, tjänstport och vanliga poster under Allmänna egenskaper för egenskaper för virtuell server.

Poolegenskaper

fliken Programpool finns tjänsterna bakom en STOR IP-adress som representeras som en pool, med en eller flera programservrar.

  1. Välj från Välj en pool. Skapa en ny pool eller välj en.

  2. Välj metoden För belastningsutjämning, till exempel Resursallokering.

  3. För Poolservrar väljer du en nod eller anger en IP-adress och port för servern som är värd för det huvudbaserade programmet.

    Skärmbild av IP-adress/nodnamn och portposter under Programpool i Poolegenskaper.

Kommentar

Vårt serverdelsprogram finns på HTTP-port 80. Växla till 443 om din är HTTPS.

Enkel inloggning och HTTP-huvuden

Genom att aktivera enkel inloggning kan användare komma åt BIG IP-publicerade tjänster utan att ange autentiseringsuppgifter. Guiden Enkel knapp stöder Kerberos-, OAuth Bearer- och HTTP-auktoriseringshuvuden för enkel inloggning.

Använd följande lista för att konfigurera alternativ.

  • Rubrikåtgärd: Infoga

  • Rubriknamn: upn

  • Rubrikvärde: %{session.saml.last.identity}

  • Rubrikåtgärd: Infoga

  • Rubriknamn: employeeid

  • Rubrikvärde: %{session.saml.last.attr.name.employeeid}

  • Rubrikåtgärd: Infoga

  • Rubriknamn: eventroles

  • Rubrikvärde: %{session.ldap.last.attr.eventroles}

    Skärmbild av poster för SSO-huvuden under SSO-huvuden på enkel inloggning och HTTP-huvuden.

Kommentar

APM-sessionsvariabler inom klammerparenteser är skiftlägeskänsliga. Om du till exempel anger OrclGUID och Microsoft Entra-attributnamnet är orclguid uppstår ett attributmappningsfel.

Inställningar för sessionshantering

Sessionshanteringsinställningarna för BIG-IPs definierar under vilka förhållanden användarsessioner avslutas eller tillåts fortsätta, begränsningar för användare och IP-adresser och motsvarande användarinformation. Se F5-artikeln K18390492: Säkerhet | BIG-IP APM-driftguide för mer information om dessa inställningar.

Det som inte omfattas är SLO-funktioner (Single Log Out), som säkerställer att sessioner mellan IdP, BIG-IP och användaragenten avslutas när användarna loggar ut. När Enkel knapp instansierar ett SAML-program i din Microsoft Entra-klientorganisation fyller den utloggnings-URL:en med APM SLO-slutpunkten. En IdP-initierad utloggning från Microsoft Entra-Mina appar-portalen avslutar sessionen mellan BIG-IP och en klient.

SAML-federationsmetadata för det publicerade programmet importeras från din klientorganisation, vilket ger APM-slutpunkten saml-utloggning för Microsoft Entra-ID. Den här åtgärden säkerställer att en SP-initierad utloggning avslutar sessionen mellan en klient och Microsoft Entra-ID. APM måste veta när en användare loggar ut från programmet.

Om BIG-IP-webbportalen används för att komma åt publicerade program bearbetar APM utloggning för att anropa Microsoft Entra-slutpunkten för utloggning. Men tänk dig ett scenario där BIG-IP-webbportalen inte används. Användaren kan inte instruera APM att logga ut. Även om användaren loggar ut från programmet är BIG-IP omedveten. Därför bör du överväga SP-initierad utloggning för att säkerställa att sessionerna avslutas på ett säkert sätt. Du kan lägga till en SLO-funktion i en utloggningsknapp för programmet, så att den kan omdirigera klienten till Microsoft Entra SAML- eller BIG-IP-utloggningsslutpunkten. URL:en för SAML-utloggningsslutpunkten för din klient finns i slutpunkter för > appregistreringar.

Om du inte kan göra en ändring i appen kan du överväga att låta BIG-IP-lyssningen för programmets utloggningsanrop, och när du upptäcker begäran har den utlösande SLO. Mer information om BIG-IP iRules finns i Oracle PeopleSoft SLO-vägledningen . Mer information om hur du använder BIG-IP iRules finns i:

Sammanfattning

Det här sista steget innehåller en uppdelning av dina konfigurationer.

Välj Distribuera för att checka in inställningar och kontrollera att programmet finns i klientorganisationens lista över Företagsprogram.

Ditt program publiceras och är tillgängligt via SHA, antingen med dess URL eller via Microsofts programportaler. För ökad säkerhet kan organisationer som använder det här mönstret blockera direkt åtkomst till programmet. Den här åtgärden tvingar fram en strikt väg genom BIG-IP.

Nästa steg

I en webbläsare går du till Microsoft MyApps-portalen och ansluter till programmets externa URL eller väljer programikonen. När du har autentiserat mot Microsoft Entra-ID omdirigeras du till den virtuella BIG-IP-servern för programmet och loggas in via enkel inloggning.

Se följande skärmbild för utdata från de inmatade rubrikerna i vårt huvudbaserade program.

Skärmbild av utdatavärden under Servervariabler på Mina händelser.

För ökad säkerhet kan organisationer som använder det här mönstret blockera direkt åtkomst till programmet. Den här åtgärden tvingar fram en strikt väg genom BIG-IP.

Avancerad distribution

De guidade konfigurationsmallarna kan sakna flexibilitet för att uppnå specifika krav.

I BIG-IP kan du inaktivera strikt hanteringsläge för guidad konfiguration. Du kan sedan ändra konfigurationerna manuellt, även om huvuddelen av konfigurationerna automatiseras via de guidebaserade mallarna.

För dina programkonfigurationer kan du navigera till Åtkomst > till guidad konfiguration och välja den lilla hänglåsikonen längst till höger på raden.

Skärmbild av hänglåsalternativet.

I det här läget är ändringar med guidens användargränssnitt inte längre möjliga, men alla BIG-IP-objekt som är associerade med den publicerade instansen av programmet är olåst för direkt hantering.

Kommentar

Om du återaktiverar strikt läge och distribuerar en konfiguration skrivs alla inställningar som utförs utanför det guidade konfigurationsgränssnittet. Vi rekommenderar den avancerade konfigurationsmetoden för produktionstjänster.

Felsökning

BIG-IP-loggning

BIG-IP-loggning kan hjälpa till att isolera problem med anslutning, enkel inloggning, principöverträdelser eller felkonfigurerade variabelmappningar.

Om du vill felsöka kan du öka loggveroalitetsnivån.

  1. Gå till Inställningar för åtkomstprincipöversikt > för > händelseloggar>.
  2. Välj raden för det publicerade programmet och redigera > sedan Åtkomstsystemloggar.
  3. I listan med enkel inloggning väljer du Felsök och sedan OK.

Återskapa problemet och granska loggarna, men återställ den här inställningen när du är klar. Utförligt läge genererar betydande mängder data.

BIG-IP-felsida

Om ett BIG-IP-fel visas efter Microsoft Entra-förautentisering är det möjligt att problemet gäller enkel inloggning från Microsoft Entra-ID till BIG-IP.

  1. Gå till Access Overview > > Access-rapporter.
  2. Kör rapporten för den senaste timmen för att se om loggarna ger några ledtrådar.
  3. Använd länken Visa variabler för sessionen för att förstå om APM tar emot de förväntade anspråken från Microsoft Entra ID.

Serverdelsbegäran

Om det inte finns någon felsida är problemet förmodligen relaterat till serverdelsbegäran eller enkel inloggning från BIG-IP till programmet.

  1. Gå till Översikt över > åtkomstprincip > Aktiva sessioner och välj länken för den aktiva sessionen.
  2. Om du vill hjälpa till med rotorsaken till problemet använder du länken Visa variabler , särskilt om BIG-IP APM inte hämtar rätt attribut från Microsoft Entra-ID eller någon annan källa.

Verifiera APM-tjänstkontot

Om du vill verifiera APM-tjänstkontot för LDAP-frågor använder du följande kommando från BASH-gränssnittet BIG-IP. Bekräfta autentisering och fråga för ett användarobjekt.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Mer information finns i F5-artikeln K11072: Konfigurera LDAP-fjärrautentisering för Active Directory. Du kan använda en BIG-IP-referenstabell för att diagnostisera LDAP-relaterade problem i AskF5-dokumentet, LDAP Query.