教學課程:為標頭型 SSO 設定 F5 BIG-IP Easy Button
瞭解如何使用 Microsoft Entra ID 保護標頭型應用程式,並使用 F5 BIG-IP 簡易按鈕引導式設定 v16.1。
將 BIG-IP 與 Microsoft Entra ID 整合可提供許多優點,包括:
- 透過 Microsoft Entra 預先驗證和條件式存取改善 零信任 治理
- 請參閱什麼是條件式存取?
- 請參閱 零信任 安全性
- Microsoft Entra ID 與 BIG-IP 已發佈服務之間的完整 SSO
- 來自一個控制平面的受控識別和存取
深入了解:
案例描述
此案例涵蓋使用 HTTP 授權標頭來管理受保護內容的存取權的舊版應用程式。 舊版缺少新式通訊協定,可支援與 Microsoft Entra ID 的直接整合。 現代化成本高昂、耗時,並帶來停機時間風險。 請改用 F5 BIG-IP 應用程式傳遞控制器(ADC)來橋接舊版應用程式與新式識別碼控制平面之間的差距,並轉換通訊協定。
應用程式前面的 BIG-IP 可讓服務與 Microsoft Entra 預先驗證和標頭型 SSO 重疊。 此設定可改善整體應用程式安全性狀態。
注意
組織可以使用 Microsoft Entra 應用程式 Proxy 遠端存取此應用程式類型。 深入瞭解: 透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式
案例架構
SHA 解決方案包含:
- 應用程式 - 受 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
- Microsoft Entra ID - 安全性判斷提示標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取和 SAML 型 SSO 到 BIG-IP。 透過 SSO,Microsoft Entra ID 會提供 BIG-IP 與會話屬性。
- BIG-IP - 反向 Proxy 和 SAML 服務提供者 (SP) 至應用程式,先將驗證委派給 SAML IdP,再對後端應用程式執行標頭型 SSO。
在此案例中,SHA 支援由SP和IdP起始的流程。 下圖說明SP起始的流程。
- 用戶連線到應用程式端點 (BIG-IP)。
- BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)。
- Microsoft Entra 會預先驗證使用者,並套用條件式存取原則。
- 使用者會重新導向至 BIG-IP(SAML SP),而 SSO 會使用發行的 SAML 令牌進行。
- BIG-IP 會在應用程式要求中插入 Microsoft Entra 屬性作為標頭。
- 應用程式會授權要求並傳回承載。
必要條件
針對您需要的案例:
- Azure 訂用帳戶
- 如果您沒有帳戶,請取得 Azure 免費帳戶
- 下列其中一個角色:Global 管理員 istrator、Cloud Application 管理員 istrator 或 Application 管理員 istrator
- BIG-IP 或在 Azure 中部署 BIG-IP 虛擬版本 (VE)
- 下列任何 F5 BIG-IP 授權:
- F5 BIG-IP® 最佳套件組合
- F5 BIG-IP 存取原則管理員 ™ (APM) 獨立授權
- F5 BIG-IP 存取原則管理員 ™ (APM) BIG-IP 本機 流量管理員 (LTM) 上的 BIG-IP F5 BIG-IP® 本機授權™附加元件授權
- 90 天 BIG-IP 完整功能試用版。 請參閱免費試用
- 從內部部署目錄同步至 Microsoft Entra 識別碼的使用者身分識別
- 透過 HTTPS 發佈服務的 SSL Web 憑證,或使用預設 BIG-IP 憑證進行測試
- 標頭型應用程式或設定 IIS 標頭應用程式以進行測試
BIG-IP 組態
本教學課程使用引導式設定 v16.1 搭配簡易按鈕範本。 使用 [簡單按鈕] 時,系統管理員不再來回啟用SHA服務。 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 BIG-IP APM 和 Microsoft Entra 整合可確保應用程式支援身分識別同盟、SSO 和條件式存取。
注意
將範例字串或值取代為您環境中的字串或值。
註冊簡易按鈕
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
在用戶端或服務存取 Microsoft Graph 之前,Microsoft 身分識別平台 必須信任它。
深入瞭解:快速入門:向 Microsoft 身分識別平台 註冊應用程式。
建立租用戶應用程式註冊,以授權輕鬆按鈕存取 Graph。 透過這些許可權,BIG-IP 會推送設定,以在已發佈應用程式的 SAML SP 實例與 Microsoft Entra ID 之間建立信任,作為 SAML IdP。
以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式> 應用程式註冊][>新增註冊]。
在「管理」下方,選取 [應用程式註冊] > [新增註冊]。
輸入應用程式 名稱。
指定誰使用應用程式。
僅選取此組織目錄中的 [帳戶]。
選取註冊。
流覽至 API 許可權。
授權下列 Microsoft Graph 應用程式權限:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
授與貴組織的系統管理員同意。
在 [憑證和秘密] 上,產生新的客戶端密碼。 記下客戶端密碼。
在 [概觀] 上,記下用戶端標識符和租用戶標識符。
設定簡易按鈕
啟動 APM 引導式設定。
啟動 [簡單按鈕] 範本。
流覽至 [ 存取 > 引導式設定]。
選取 Microsoft 整合
選取 [Microsoft Entra 應用程式]。
檢閱設定步驟。
選取 [下一步]。
使用說明的步驟順序來發佈您的應用程式。
組態屬性
使用 [ 組態屬性] 索引標籤來建立 BIG-IP 應用程式組態和 SSO 物件。 Azure 服務帳戶詳細數據代表您在 Microsoft Entra 租用戶中註冊的用戶端。 使用 BIG-IP OAuth 客戶端的設定,在租用戶中註冊 SAML SP,並具有 SSO 屬性。 [簡單按鈕] 會針對針對針對 SHA 發行並啟用的 BIG-IP 服務執行此動作。
您可以重複使用設定來發佈更多應用程式。
輸入組 態名稱。
針對 [單一登錄][SSO] 和 [HTTP 標頭],選取 [開啟]。
針對 [租使用者標識符]、 [用戶端標識符] 和 [客戶端密碼],輸入您注意到的內容。
確認 BIG-IP 連線到您的租使用者。
選取下一個
服務提供者
在 [服務提供者設定] 中,定義受 SHA 保護應用程式的 SAML SP 實例設定。
輸入主機,應用程式公用 FQDN。
輸入實體標識碼,Microsoft Entra ID 用來識別要求令牌的 SAML SP。
(選擇性)在 [安全性 設定] 中,選取 [啟用加密判斷提示],讓 Microsoft Entra ID 加密已發出的 SAML 判斷提示。 Microsoft Entra ID 和 BIG-IP APM 加密判斷提示有助於確保內容令牌不會遭到攔截,也不會遭到個人或公司數據洩露。
在 [安全性 設定] 的 [判斷提示解密私鑰] 清單中,選取 [新建]。
選取 [確定]。
[ 匯入 SSL 憑證和金鑰 ] 對話框隨即出現。
針對 [ 匯入類型],選取 [ PKCS 12 (IIS)]。 此動作會匯入憑證和私鑰。
針對 [ 憑證和金鑰名稱],選取 [ 新增 ],然後輸入輸入。
輸入密碼。
選取匯入。
關閉瀏覽器索引標籤以返回主要索引標籤。
- 核取 [啟用加密判斷提示] 的方塊。
- 如果您已啟用加密,請從 [ 判斷提示解密私鑰 ] 清單中選取憑證。 BIG-IP APM 會使用此憑證私鑰來解密 Microsoft Entra 判斷提示。
- 如果您已啟用加密,請從 [ 判斷提示解密憑證 ] 列表中選取憑證。 BIG-IP 會將此憑證上傳至 Microsoft Entra ID,以加密所簽發的 SAML 判斷提示。
Microsoft Entra ID
使用下列指示,在您的 Microsoft Entra 租用戶中設定新的 BIG-IP SAML 應用程式。 Easy Button 具有 Oracle 人員 Soft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 和一般 SHA 範本的應用程式範本。
- 在 [Azure 組態] 的 [組態屬性] 下,選取 [F5 BIG-IP APM Microsoft Entra ID 整合]。
- 選取 [新增]。
Azure 組態
在 Microsoft Entra 租使用者中輸入應用程式 顯示名稱 BIG-IP 建立。 使用者在 Microsoft 我的應用程式 上看到名稱,並顯示圖示。
略過 登入 URL (選擇性) 。
在 [簽署金鑰 和 簽署憑證] 旁,選取 [ 重新 整理] 以找出您匯入的憑證。
在 [簽署金鑰複雜密碼] 中,輸入憑證密碼。
(選擇性)啟用 簽署選項 ,以確保 BIG-IP 接受由 Microsoft Entra ID 簽署的令牌和宣告。
會動態查詢使用者和使用者群組的輸入。
重要
新增使用者或群組進行測試,否則會拒絕所有存取。 在 [使用者和使用者群組] 上,選取 [+ 新增]。
使用者屬性與宣告
當使用者驗證時,Microsoft Entra ID 會發出 SAML 令牌,其中包含可識別使用者的宣告和屬性。 [ 使用者屬性和宣告 ] 索引標籤具有應用程式的預設宣告。 使用索引標籤來設定更多宣告。
再包含一個屬性:
針對 [ 標頭名稱],輸入 employeeid。
針對 [來源屬性],輸入 user.employeeid。
其他用戶屬性
在 [ 其他使用者屬性] 索引標籤中 ,啟用會話增強功能。 針對需要將屬性儲存在其他目錄中的分散式系統,例如 Oracle、SAP 和其他 JAVA 實作使用此功能。 從輕量型目錄存取通訊協定 (LDAP) 來源擷取的屬性會插入為更多 SSO 標頭。 此動作可協助根據角色、合作夥伴標識碼等來控制存取權。
注意
此功能與 Microsoft Entra 識別碼沒有關聯。 它是屬性來源。
條件式存取原則
條件式存取原則會根據裝置、應用程式、位置和風險訊號來控制存取。
- 在 [可用的原則] 中,尋找沒有使用者動作的條件式存取原則
- 在 [選取的原則] 中,尋找雲端應用程式原則
- 您無法取消選取這些原則,或將它們移至可用的原則,因為它們會在租用戶層級強制執行
若要選取要套用至所發行應用程式的原則:
- 在 [ 條件式存取原則 ] 索引標籤的 [可用原則 ] 清單中,選取原則。
- 選取向右箭號,並將其移至 [選取的原則] 清單。
注意
您可以選取原則的 [包含 ] 或 [排除] 選項。 如果選取這兩個選項,原則就會取消強制。
注意
當您選取 [條件式存取原則 ] 索引標籤時,會出現原則清單。選取 重新整理,精靈會查詢租使用者。 重新整理會出現在部署應用程式之後。
虛擬伺服器屬性
虛擬伺服器是 BIG-IP 數據平面物件,由虛擬 IP 位址表示。 伺服器會接聽客戶端對應用程式的要求。 接收的流量會根據與虛擬伺服器相關聯的 APM 配置檔進行處理和評估。 流量會根據原則進行導向。
針對 [ 目的地位址],輸入 BIG-IP 用來接收用戶端流量的 IPv4 或 IPv6 位址。 請確定功能變數名稱伺服器 (DNS) 中的對應記錄,可讓用戶端將此IP解析 BIG-IP 已發佈應用程式的外部URL。 您可以使用電腦的localhost DNS 進行測試。
針對 [服務埠],輸入 443,然後選取 [ HTTPS]。
核取 [啟用重新導向埠] 的方塊。
輸入 [ 重新導向埠] 的值。 此選項會將連入 HTTP 用戶端流量重新導向至 HTTPS。
選取您建立的 用戶端 SSL 設定檔 ,或保留預設值進行測試。 用戶端 SSL 設定檔會啟用 HTTPS 的虛擬伺服器,因此用戶端聯機會透過 TLS 加密。
集區屬性
[應用程式集區] 索引標籤具有 BIG-IP 後方的服務,以集區表示,具有一或多個應用程式伺服器。
針對 [ 選取集區],選取 [ 新建],或選取另一個。
針對 [負載平衡方法],選取 [迴圈配置資源]。
針對 [ 集區伺服器],選取節點,或選取裝載標頭應用程式之伺服器的IP位址和埠。
注意
Microsoft 後端應用程式位於 HTTP 連接埠 80 上。 如果您選取 [HTTPS],請使用 443。
單一登錄和 HTTP 標頭
透過 SSO,使用者不需要輸入認證即可存取 BIG-IP 已發佈的服務。 簡易按鈕精靈支援 SSO 的 Kerberos、OAuth Bearer 和 HTTP 授權標頭。
在 [單一登錄 + HTTP 標頭] 中,針對 [標頭作業] 選取 [插入]
針對 [標頭名稱],請使用 upn。
針對 標頭值,請使用 %{session.saml.last.identity}。
針對 [ 標頭作業],選取 [ 插入]。
針對 [標頭名稱],請使用 employeeid。
針對 標頭值,請使用 %{session.saml.last.attr.name.employeeid}。
注意
大括弧中的 APM 會話變數會區分大小寫。 不一致會導致屬性對應失敗。
工作階段管理
使用 BIG-IP 工作階段管理設定來定義使用者工作階段終止或接續的條件。
若要深入瞭解,請移至K18390492 support.f5.com :安全性 |BIG-IP APM 作業指南
單一註銷 (SLO) 可確保當使用者註銷時終止 IdP、BIG-IP 和使用者代理程式會話。當 Easy Button 在您的 Microsoft Entra 租使用者中具現化 SAML 應用程式時,它會使用 APM SLO 端點填入註銷 URL。 從 idP 起始的註銷 我的應用程式 會終止 BIG-IP 和用戶端工作階段。
深入瞭解:請參閱、我的應用程式
已發佈應用程式的 SAML 同盟元數據會從租用戶匯入。 匯入會為 APM 提供 Microsoft Entra ID 的 SAML 註銷端點。 此動作可確保SP起始的註銷會終止用戶端和 Microsoft Entra 工作階段。 確定 APM 知道使用者何時註銷。
如果 BIG-IP Webtop 入口網站存取已發佈的應用程式,則 eAPM 會處理註銷以呼叫 Microsoft Entra 註銷端點。 如果未使用 BIG-IP Webtop 入口網站,使用者就無法指示 APM 註銷。如果使用者註銷應用程式,BIG-IP 就會被遺忘。 因此,請確定SP起始的註銷會安全地終止會話。 您可以將 SLO 函式新增至應用程式 [註銷 ] 按鈕,然後,用戶端會重新導向至 Microsoft Entra SAML 或 BIG-IP 註銷端點。 若要找出租使用者的 SAML 註銷端點 URL,請移至 [ 應用程式註冊 > 端點]。
如果您無法變更應用程式,請啟用 BIG-IP 以接聽應用程式註銷呼叫並觸發 SLO。
深入了解:
- 人員 Soft 單一註銷
- 移至 support.f5.com, 以取得:
部署
部署提供設定的明細。
- 若要認可設定,請選取 [ 部署]。
- 確認企業應用程式租使用者清單中的應用程式。
- 應用程式可透過 SHA、其 URL 或 Microsoft 應用程式入口網站上發佈和存取。
Test
- 在瀏覽器中,連線到應用程式外部URL,或選取 我的應用程式上的應用程式圖示。
- 向 Microsoft Entra 識別碼進行驗證。
- 重新導向至應用程式的 BIG-IP 虛擬伺服器,並使用 SSO 登入。
下列螢幕快照會插入標頭型應用程式的標頭輸出。
注意
您可以封鎖直接存取應用程式,藉此強制執行透過 BIG-IP 的路徑。
進階部署
在某些情況下,引導式設定範本缺乏彈性。
深入瞭解:教學課程: 針對標頭型 SSO 設定 F5 BIG-IP 存取原則管理員。
在 BIG-IP 中,您可以停用引導式設定嚴格管理模式。 然後,手動變更組態,不過大部分的組態都是使用精靈範本自動化的。
若要停用嚴格模式,請流覽至存取>引導式設定。
在應用程式組態的數據列上,選取 掛鎖 圖示。
與應用程式已發行實例相關聯的 BIG-IP 物件會解除鎖定以進行管理。 無法再使用精靈進行變更。
注意
如果您重新啟用嚴格模式並部署設定,動作會覆寫不在引導式設定中的設定。 我們建議生產服務的進階設定。
疑難排解
進行疑難解答時,請使用下列指引。
記錄詳細資訊
BIG-IP 記錄有助於找出連線能力、SSO、原則或設定錯誤的變數對應問題。 若要進行疑難解答,請增加記錄詳細資訊。
- 流覽至存取 原則 > 概觀。
- 選取 [事件記錄檔]。
- 選取設定。
- 選取已發佈應用程式的數據列
- 選取編輯。
- 選取 [ 存取系統記錄]。
- 從 SSO 清單中,選取 [ 偵錯]。
- 選取 [確定]。
- 重現問題。
- 檢查記錄。
注意
完成時還原這項功能。 詳細資訊模式會產生過多的數據。
BIG-IP 錯誤訊息
如果 BIG-IP 錯誤訊息出現在 Microsoft Entra 預先驗證之後,問題可能與 Microsoft Entra ID-to-BIG-IP SSO 有關。
- 流覽至存取 原則 > 概觀。
- 選取 [ 存取報表]。
- 執行過去一小時的報表。
- 檢閱記錄以取得線索。
使用會話的 [ 檢視會話 變數] 鏈接,協助瞭解 APM 是否收到預期的 Microsoft Entra 宣告。
沒有 BIG-IP 錯誤訊息
如果沒有出現 BIG-IP 錯誤訊息,問題可能與後端要求或 BIG-IP 對應用程式 SSO 有關。
- 流覽至存取 原則 > 概觀。
- 選取 [ 使用中會話]。
- 選取使用中的會話連結。
使用 [ 檢視變數 ] 鏈接來協助判斷 SSO 問題,特別是當 BIG-IP APM 未取得正確的屬性時。
深入了解:
- 設定 Active Directory 的 LDAP 遠端驗證
- 移至手動章節 techdocs.f5.com :LDAP 查詢