教學課程：為標頭型 SSO 設定 F5 BIG-IP Easy Button

瞭解如何使用 Microsoft Entra ID 保護標頭型應用程式，並使用 F5 BIG-IP 簡易按鈕引導式設定 v16.1。

將 BIG-IP 與 Microsoft Entra ID 整合可提供許多優點，包括：

• 透過 Microsoft Entra 預先驗證和條件式存取改善 零信任 治理
  • 請參閱什麼是條件式存取？
  • 請參閱 零信任 安全性
• Microsoft Entra ID 與 BIG-IP 已發佈服務之間的完整 SSO
• 來自一個控制平面的受控識別和存取
  • 請參閱 Microsoft Entra 系統管理中心

深入了解：

• 整合 F5 BIG-IP 與 Microsoft Entra ID
• 啟用企業應用程式的 SSO

案例描述

此案例涵蓋使用 HTTP 授權標頭來管理受保護內容的存取權的舊版應用程式。 舊版缺少新式通訊協定，可支援與 Microsoft Entra ID 的直接整合。 現代化成本高昂、耗時，並帶來停機時間風險。 請改用 F5 BIG-IP 應用程式傳遞控制器（ADC）來橋接舊版應用程式與新式識別碼控制平面之間的差距，並轉換通訊協定。

應用程式前面的 BIG-IP 可讓服務與 Microsoft Entra 預先驗證和標頭型 SSO 重疊。 此設定可改善整體應用程式安全性狀態。

注意

組織可以使用 Microsoft Entra 應用程式 Proxy 遠端存取此應用程式類型。 深入瞭解： 透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式

案例架構

SHA 解決方案包含：

• 應用程式 - 受 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
• Microsoft Entra ID - 安全性判斷提示標記語言 （SAML） 識別提供者 （IdP） 會驗證使用者認證、條件式存取和 SAML 型 SSO 到 BIG-IP。 透過 SSO，Microsoft Entra ID 會提供 BIG-IP 與會話屬性。
• BIG-IP - 反向 Proxy 和 SAML 服務提供者 （SP） 至應用程式，先將驗證委派給 SAML IdP，再對後端應用程式執行標頭型 SSO。

在此案例中，SHA 支援由SP和IdP起始的流程。 下圖說明SP起始的流程。

1. 用戶連線到應用程式端點 （BIG-IP）。
2. BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID （SAML IdP）。
3. Microsoft Entra 會預先驗證使用者，並套用條件式存取原則。
4. 使用者會重新導向至 BIG-IP（SAML SP），而 SSO 會使用發行的 SAML 令牌進行。
5. BIG-IP 會在應用程式要求中插入 Microsoft Entra 屬性作為標頭。
6. 應用程式會授權要求並傳回承載。

必要條件

針對您需要的案例：

• Azure 訂用帳戶
  • 如果您沒有帳戶，請取得 Azure 免費帳戶
• 下列其中一個角色：Global 管理員 istrator、Cloud Application 管理員 istrator 或 Application 管理員 istrator
• BIG-IP 或在 Azure 中部署 BIG-IP 虛擬版本 （VE）
  • 請參閱在 Azure 中部署 F5 BIG-IP Virtual Edition 虛擬機
• 下列任何 F5 BIG-IP 授權：
  • F5 BIG-IP® 最佳套件組合
  • F5 BIG-IP 存取原則管理員 ™ （APM） 獨立授權
  • F5 BIG-IP 存取原則管理員 ™ （APM） BIG-IP 本機 流量管理員 （LTM） 上的 BIG-IP F5 BIG-IP® 本機授權™附加元件授權
  • 90 天 BIG-IP 完整功能試用版。 請參閱免費試用
• 從內部部署目錄同步至 Microsoft Entra 識別碼的使用者身分識別
  • 請參閱 Microsoft Entra 連線 Sync：瞭解和自定義同步處理
• 透過 HTTPS 發佈服務的 SSL Web 憑證，或使用預設 BIG-IP 憑證進行測試
  • 請參閱 SSL 設定檔
• 標頭型應用程式或設定 IIS 標頭應用程式以進行測試
  • 請參閱設定 IIS 標頭應用程式

BIG-IP 組態

本教學課程使用引導式設定 v16.1 搭配簡易按鈕範本。 使用 [簡單按鈕] 時，系統管理員不再來回啟用SHA服務。 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 BIG-IP APM 和 Microsoft Entra 整合可確保應用程式支援身分識別同盟、SSO 和條件式存取。

注意

將範例字串或值取代為您環境中的字串或值。

註冊簡易按鈕

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

在用戶端或服務存取 Microsoft Graph 之前，Microsoft 身分識別平台 必須信任它。

深入瞭解：快速入門：向 Microsoft 身分識別平台 註冊應用程式。

建立租用戶應用程式註冊，以授權輕鬆按鈕存取 Graph。 透過這些許可權，BIG-IP 會推送設定，以在已發佈應用程式的 SAML SP 實例與 Microsoft Entra ID 之間建立信任，作為 SAML IdP。

1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別應用程式> 應用程式註冊][>新增註冊]。

3. 在「管理」下方，選取 [應用程式註冊] > [新增註冊]。

4. 輸入應用程式 名稱。

5. 指定誰使用應用程式。

6. 僅選取此組織目錄中的 [帳戶]。

7. 選取註冊。

8. 流覽至 API 許可權。

9. 授權下列 Microsoft Graph 應用程式權限：

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

10. 授與貴組織的系統管理員同意。

11. 在 [憑證和秘密] 上，產生新的客戶端密碼。 記下客戶端密碼。

12. 在 [概觀] 上，記下用戶端標識符和租用戶標識符。

設定簡易按鈕

1. 啟動 APM 引導式設定。

2. 啟動 [簡單按鈕] 範本。

3. 流覽至 [ 存取 > 引導式設定]。

4. 選取 Microsoft 整合

5. 選取 [Microsoft Entra 應用程式]。

6. 檢閱設定步驟。

7. 選取 [下一步]。

8. 使用說明的步驟順序來發佈您的應用程式。

   

組態屬性

使用 [ 組態屬性] 索引標籤來建立 BIG-IP 應用程式組態和 SSO 物件。 Azure 服務帳戶詳細數據代表您在 Microsoft Entra 租用戶中註冊的用戶端。 使用 BIG-IP OAuth 客戶端的設定，在租用戶中註冊 SAML SP，並具有 SSO 屬性。 [簡單按鈕] 會針對針對針對 SHA 發行並啟用的 BIG-IP 服務執行此動作。

您可以重複使用設定來發佈更多應用程式。

1. 輸入組 態名稱。

2. 針對 [單一登錄][SSO] 和 [HTTP 標頭]，選取 [開啟]。

3. 針對 [租使用者標識符]、 [用戶端標識符] 和 [客戶端密碼]，輸入您注意到的內容。

4. 確認 BIG-IP 連線到您的租使用者。

5. 選取下一個

   

服務提供者

在 [服務提供者設定] 中，定義受 SHA 保護應用程式的 SAML SP 實例設定。

1. 輸入主機，應用程式公用 FQDN。

2. 輸入實體標識碼，Microsoft Entra ID 用來識別要求令牌的 SAML SP。

   

3. （選擇性）在 [安全性 設定] 中，選取 [啟用加密判斷提示]，讓 Microsoft Entra ID 加密已發出的 SAML 判斷提示。 Microsoft Entra ID 和 BIG-IP APM 加密判斷提示有助於確保內容令牌不會遭到攔截，也不會遭到個人或公司數據洩露。

4. 在 [安全性 設定] 的 [判斷提示解密私鑰] 清單中，選取 [新建]。

   

5. 選取 [確定]。

6. [ 匯入 SSL 憑證和金鑰 ] 對話框隨即出現。

7. 針對 [ 匯入類型]，選取 [ PKCS 12 （IIS）]。 此動作會匯入憑證和私鑰。

8. 針對 [ 憑證和金鑰名稱]，選取 [ 新增 ]，然後輸入輸入。

9. 輸入密碼。

10. 選取匯入。

11. 關閉瀏覽器索引標籤以返回主要索引標籤。

12. 核取 [啟用加密判斷提示] 的方塊。
13. 如果您已啟用加密，請從 [ 判斷提示解密私鑰 ] 清單中選取憑證。 BIG-IP APM 會使用此憑證私鑰來解密 Microsoft Entra 判斷提示。
14. 如果您已啟用加密，請從 [ 判斷提示解密憑證 ] 列表中選取憑證。 BIG-IP 會將此憑證上傳至 Microsoft Entra ID，以加密所簽發的 SAML 判斷提示。

Microsoft Entra ID

使用下列指示，在您的 Microsoft Entra 租用戶中設定新的 BIG-IP SAML 應用程式。 Easy Button 具有 Oracle 人員 Soft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 和一般 SHA 範本的應用程式範本。

1. 在 [Azure 組態] 的 [組態屬性] 下，選取 [F5 BIG-IP APM Microsoft Entra ID 整合]。
2. 選取 [新增]。

Azure 組態

1. 在 Microsoft Entra 租使用者中輸入應用程式 顯示名稱 BIG-IP 建立。 使用者在 Microsoft 我的應用程式 上看到名稱，並顯示圖示。

2. 略過 登入 URL （選擇性） 。

3. 在 [簽署金鑰 和 簽署憑證] 旁，選取 [ 重新 整理] 以找出您匯入的憑證。

4. 在 [簽署金鑰複雜密碼] 中，輸入憑證密碼。

5. （選擇性）啟用 簽署選項 ，以確保 BIG-IP 接受由 Microsoft Entra ID 簽署的令牌和宣告。

   

6. 會動態查詢使用者和使用者群組的輸入。

   重要

   新增使用者或群組進行測試，否則會拒絕所有存取。 在 [使用者和使用者群組] 上，選取 [+ 新增]。

   

使用者屬性與宣告

當使用者驗證時，Microsoft Entra ID 會發出 SAML 令牌，其中包含可識別使用者的宣告和屬性。 [ 使用者屬性和宣告 ] 索引標籤具有應用程式的預設宣告。 使用索引標籤來設定更多宣告。

再包含一個屬性：

1. 針對 [ 標頭名稱]，輸入 employeeid。

2. 針對 [來源屬性]，輸入 user.employeeid。

   

其他用戶屬性

在 [ 其他使用者屬性] 索引標籤中 ，啟用會話增強功能。 針對需要將屬性儲存在其他目錄中的分散式系統，例如 Oracle、SAP 和其他 JAVA 實作使用此功能。 從輕量型目錄存取通訊協定 （LDAP） 來源擷取的屬性會插入為更多 SSO 標頭。 此動作可協助根據角色、合作夥伴標識碼等來控制存取權。

注意

此功能與 Microsoft Entra 識別碼沒有關聯。 它是屬性來源。 

條件式存取原則

條件式存取原則會根據裝置、應用程式、位置和風險訊號來控制存取。

• 在 [可用的原則] 中，尋找沒有使用者動作的條件式存取原則
• 在 [選取的原則] 中，尋找雲端應用程式原則
  • 您無法取消選取這些原則，或將它們移至可用的原則，因為它們會在租用戶層級強制執行

若要選取要套用至所發行應用程式的原則：

1. 在 [ 條件式存取原則 ] 索引標籤的 [可用原則 ] 清單中，選取原則。
2. 選取向右箭號，並將其移至 [選取的原則] 清單。

注意

您可以選取原則的 [包含 ] 或 [排除] 選項。 如果選取這兩個選項，原則就會取消強制。

注意

當您選取 [條件式存取原則 ] 索引標籤時，會出現原則清單。選取 重新整理，精靈會查詢租使用者。 重新整理會出現在部署應用程式之後。

虛擬伺服器屬性

虛擬伺服器是 BIG-IP 數據平面物件，由虛擬 IP 位址表示。 伺服器會接聽客戶端對應用程式的要求。 接收的流量會根據與虛擬伺服器相關聯的 APM 配置檔進行處理和評估。 流量會根據原則進行導向。

1. 針對 [ 目的地位址]，輸入 BIG-IP 用來接收用戶端流量的 IPv4 或 IPv6 位址。 請確定功能變數名稱伺服器 （DNS） 中的對應記錄，可讓用戶端將此IP解析 BIG-IP 已發佈應用程式的外部URL。 您可以使用電腦的localhost DNS 進行測試。

2. 針對 [服務埠]，輸入 443，然後選取 [ HTTPS]。

3. 核取 [啟用重新導向埠] 的方塊。

4. 輸入 [ 重新導向埠] 的值。 此選項會將連入 HTTP 用戶端流量重新導向至 HTTPS。

5. 選取您建立的 用戶端 SSL 設定檔 ，或保留預設值進行測試。 用戶端 SSL 設定檔會啟用 HTTPS 的虛擬伺服器，因此用戶端聯機會透過 TLS 加密。

   

集區屬性

[應用程式集區] 索引標籤具有 BIG-IP 後方的服務，以集區表示，具有一或多個應用程式伺服器。

1. 針對 [ 選取集區]，選取 [ 新建]，或選取另一個。

2. 針對 [負載平衡方法]，選取 [迴圈配置資源]。

3. 針對 [ 集區伺服器]，選取節點，或選取裝載標頭應用程式之伺服器的IP位址和埠。

   

   注意

   Microsoft 後端應用程式位於 HTTP 連接埠 80 上。 如果您選取 [HTTPS]，請使用 443。

單一登錄和 HTTP 標頭

透過 SSO，使用者不需要輸入認證即可存取 BIG-IP 已發佈的服務。 簡易按鈕精靈支援 SSO 的 Kerberos、OAuth Bearer 和 HTTP 授權標頭。

1. 在 [單一登錄 + HTTP 標頭] 中，針對 [標頭作業] 選取 [插入]

2. 針對 [標頭名稱]，請使用 upn。

3. 針對 標頭值，請使用 %{session.saml.last.identity}。

4. 針對 [ 標頭作業]，選取 [ 插入]。

5. 針對 [標頭名稱]，請使用 employeeid。

6. 針對 標頭值，請使用 %{session.saml.last.attr.name.employeeid}。

   

   注意

   大括弧中的 APM 會話變數會區分大小寫。 不一致會導致屬性對應失敗。

工作階段管理

使用 BIG-IP 工作階段管理設定來定義使用者工作階段終止或接續的條件。

若要深入瞭解，請移至K18390492 support.f5.com ：安全性 |BIG-IP APM 作業指南

單一註銷 （SLO） 可確保當使用者註銷時終止 IdP、BIG-IP 和使用者代理程式會話。當 Easy Button 在您的 Microsoft Entra 租使用者中具現化 SAML 應用程式時，它會使用 APM SLO 端點填入註銷 URL。 從 idP 起始的註銷 我的應用程式 會終止 BIG-IP 和用戶端工作階段。

深入瞭解：請參閱、我的應用程式

已發佈應用程式的 SAML 同盟元數據會從租用戶匯入。 匯入會為 APM 提供 Microsoft Entra ID 的 SAML 註銷端點。 此動作可確保SP起始的註銷會終止用戶端和 Microsoft Entra 工作階段。 確定 APM 知道使用者何時註銷。

如果 BIG-IP Webtop 入口網站存取已發佈的應用程式，則 eAPM 會處理註銷以呼叫 Microsoft Entra 註銷端點。 如果未使用 BIG-IP Webtop 入口網站，使用者就無法指示 APM 註銷。如果使用者註銷應用程式，BIG-IP 就會被遺忘。 因此，請確定SP起始的註銷會安全地終止會話。 您可以將 SLO 函式新增至應用程式 [註銷 ] 按鈕，然後，用戶端會重新導向至 Microsoft Entra SAML 或 BIG-IP 註銷端點。 若要找出租使用者的 SAML 註銷端點 URL，請移至 [ 應用程式註冊 > 端點]。

如果您無法變更應用程式，請啟用 BIG-IP 以接聽應用程式註銷呼叫並觸發 SLO。

深入了解：

• 人員 Soft 單一註銷
• 移至 support.f5.com， 以取得：
  • K42052145：根據 URI 參考的檔案名設定自動工作階段終止 （註銷）
  • K12056：註銷 URI Include 選項的概觀。

部署

部署提供設定的明細。

1. 若要認可設定，請選取 [ 部署]。
2. 確認企業應用程式租使用者清單中的應用程式。
3. 應用程式可透過 SHA、其 URL 或 Microsoft 應用程式入口網站上發佈和存取。

Test

1. 在瀏覽器中，連線到應用程式外部URL，或選取 我的應用程式上的應用程式圖示。
2. 向 Microsoft Entra 識別碼進行驗證。
3. 重新導向至應用程式的 BIG-IP 虛擬伺服器，並使用 SSO 登入。

下列螢幕快照會插入標頭型應用程式的標頭輸出。

注意

您可以封鎖直接存取應用程式，藉此強制執行透過 BIG-IP 的路徑。

進階部署

在某些情況下，引導式設定範本缺乏彈性。

深入瞭解：教學課程： 針對標頭型 SSO 設定 F5 BIG-IP 存取原則管理員。

在 BIG-IP 中，您可以停用引導式設定嚴格管理模式。 然後，手動變更組態，不過大部分的組態都是使用精靈範本自動化的。

1. 若要停用嚴格模式，請流覽至存取>引導式設定。

2. 在應用程式組態的數據列上，選取 掛鎖 圖示。

3. 與應用程式已發行實例相關聯的 BIG-IP 物件會解除鎖定以進行管理。 無法再使用精靈進行變更。

   

   注意

   如果您重新啟用嚴格模式並部署設定，動作會覆寫不在引導式設定中的設定。 我們建議生產服務的進階設定。

疑難排解

進行疑難解答時，請使用下列指引。

記錄詳細資訊

BIG-IP 記錄有助於找出連線能力、SSO、原則或設定錯誤的變數對應問題。 若要進行疑難解答，請增加記錄詳細資訊。

1. 流覽至存取 原則 > 概觀。
2. 選取 [事件記錄檔]。
3. 選取設定。
4. 選取已發佈應用程式的數據列
5. 選取編輯。
6. 選取 [ 存取系統記錄]。
7. 從 SSO 清單中，選取 [ 偵錯]。
8. 選取 [確定]。
9. 重現問題。
10. 檢查記錄。

注意

完成時還原這項功能。 詳細資訊模式會產生過多的數據。

BIG-IP 錯誤訊息

如果 BIG-IP 錯誤訊息出現在 Microsoft Entra 預先驗證之後，問題可能與 Microsoft Entra ID-to-BIG-IP SSO 有關。

1. 流覽至存取 原則 > 概觀。
2. 選取 [ 存取報表]。
3. 執行過去一小時的報表。
4. 檢閱記錄以取得線索。

使用會話的 [ 檢視會話 變數] 鏈接，協助瞭解 APM 是否收到預期的 Microsoft Entra 宣告。

沒有 BIG-IP 錯誤訊息

如果沒有出現 BIG-IP 錯誤訊息，問題可能與後端要求或 BIG-IP 對應用程式 SSO 有關。

1. 流覽至存取 原則 > 概觀。
2. 選取 [ 使用中會話]。
3. 選取使用中的會話連結。

使用 [ 檢視變數 ] 鏈接來協助判斷 SSO 問題，特別是當 BIG-IP APM 未取得正確的屬性時。

深入了解：

• 設定 Active Directory 的 LDAP 遠端驗證
• 移至手動章節 techdocs.f5.com ：LDAP 查詢