教學課程:設定 F5 BIG-IP Easy Button for SSO to SAP ERP
在本文中,瞭解如何使用 Microsoft Entra ID 保護 SAP ERP,並搭配 F5 BIG-IP 簡易按鈕引導式設定 16.1。 將 BIG-IP 與 Microsoft Entra ID 整合有許多優點:
- 零信任架構來啟用遠端工作
- 何謂條件式存取?
- Microsoft Entra ID 與 BIG-IP 已發佈服務之間的單一登錄 (SSO)
- 從 Microsoft Entra 系統管理中心管理身分識別和存取權
深入了解:
案例描述
此案例包含使用 Kerberos 驗證來管理受保護內容的存取權的 SAP ERP 應用程式。
舊版應用程式缺少新式通訊協定,可支援與 Microsoft Entra ID 整合。 現代化成本高昂,需要規劃,並帶來潛在的停機時間風險。 相反地,使用 F5 BIG-IP 應用程式傳遞控制器(ADC)透過通訊協定轉換來橋接舊版應用程式和新式標識元控制平面之間的差距。
應用程式前面的 BIG-IP 可讓服務與 Microsoft Entra 預先驗證和標頭型 SSO 重疊。 此設定可改善整體應用程式安全性狀態。
案例架構
安全的混合式存取 (SHA) 解決方案具有下列元件:
- SAP ERP 應用程式 - 受 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
- Microsoft Entra ID - 安全性判斷提示標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取和 SAML 型 SSO 到 BIG-IP
- BIG-IP - 反向 Proxy 和 SAML 服務提供者 (SP) 至應用程式。 BIG-IP 會將驗證委派給 SAML IdP,然後對 SAP 服務執行標頭型 SSO
SHA 支援SP和IdP起始的流程。 下圖說明SP起始的流程。
- 使用者連線到應用程式端點 (BIG-IP)
- BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)
- Microsoft Entra ID 會預先驗證使用者,並套用強制執行的條件式存取原則
- 使用者會重新導向至 BIG-IP (SAML SP),且 SSO 發生於已核發的 SAML 令牌
- 來自 KDC 的 BIG-IP 要求 Kerberos 票證
- BIG-IP 使用 SSO 的 Kerberos 票證將要求傳送至後端應用程式
- 應用程式授權要求並傳回承載
必要條件
- Microsoft Entra ID 免費帳戶或更新版本
- 如果您沒有帳戶,請取得 Azure 免費帳戶
- Azure 中的 BIG-IP 或 BIG-IP 虛擬版本 (VE)
- 下列任何 F5 BIG-IP 授權:
- F5 BIG-IP® 最佳套件組合
- F5 BIG-IP APM 獨立授權
- 現有 BIG-IP F5 BIG-IP® 本機 流量管理員 ™ (LTM) 上的 F5 BIG-IP APM 附加元件授權
- 90 天 BIG-IP 完整功能 試用版授權
- 從內部部署目錄同步處理到 Microsoft Entra 識別碼的使用者身分識別,或在 Microsoft Entra 識別符中建立,並流回內部部署目錄
- 下列其中一個角色:Global 管理員 istrator、Cloud Application 管理員 istrator 或 Application 管理員 istrator。
- 透過 HTTPS 發佈服務的 SSL Web 憑證,或使用預設 BIG-IP 憑證進行測試
- 針對 Kerberos 驗證設定的 SAP ERP 環境
BIG-IP 組態方法
本教學課程使用引導式設定 16.1 搭配簡易按鈕範本。 使用 [簡單按鈕] 時,系統管理員不會在 Microsoft Entra ID 與 BIG-IP 之間切換,以啟用 SHA 的服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 此整合可確保應用程式支援身分識別同盟、SSO 和條件式存取。
注意
將本指南中的範例字串或值取代為您環境中的字串或值。
註冊簡易按鈕
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
在用戶端或服務存取 Microsoft Graph 之前,Microsoft 身分識別平台 必須信任它。
請參閱快速入門:向 Microsoft 身分識別平台 註冊應用程式
在 Microsoft Entra 識別符中註冊 Easy Button 用戶端,然後允許在 BIG-IP 已發佈應用程式的 SAML SP 實例和 Microsoft Entra ID 之間建立信任,作為 SAML IdP。
以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式> 應用程式註冊>][新增註冊]。
輸入新應用程式的 [名稱]。
在此 組織目錄中的 [帳戶] 中,指定誰可以使用應用程式。
選取註冊。
流覽至 API 許可權。
授權下列 Microsoft Graph 應用程式權限:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
授與貴組織的系統管理員同意。
在 [憑證與密碼] 上,產生新的客戶端密碼。
記下稍後要使用的秘密。
從 [ 概觀] 中,記下 用戶端標識符 和 租用戶標識符。
設定簡易按鈕
- 起始 APM 引導式設定。
- 啟動簡易按鈕範本。
- 從瀏覽器登入 F5 BIG-IP 管理主控台。
- 流覽至存取>引導式>設定 Microsoft 整合。
- 選取 [Microsoft Entra 應用程式]。
- 檢閱組態清單。
- 選取 [下一步]。
- 遵循 Microsoft Entra 應用程式組態下的組態順序。
組態屬性
[組態屬性] 索引標籤具有服務帳戶屬性,並建立 BIG-IP 應用程式組態和 SSO 物件。 [ Azure 服務帳戶詳細 數據] 區段代表您在 Microsoft Entra 租用戶中註冊為應用程式的用戶端。 使用 BIG-IP OAuth 客戶端的設定,使用 SSO 屬性在租用戶中個別註冊 SAML SP。 [簡單按鈕] 會針對針對針對 SHA 發佈的 BIG-IP 服務執行此動作並加以啟用。
注意
某些設定是全域設定,可用來發佈更多應用程式。
輸入組 態名稱。 唯一名稱會區分簡易按鈕組態。
針對 [單一登錄][SSO] 和 [HTTP 標頭],選取 [開啟]。
針對 [ 租使用者標識符]、[用戶端標識符 ] 和 [客戶端密碼],輸入您在租用戶註冊期間所注意到的 [租用戶標識符]、[用戶端標識符] 和 [客戶端密碼]。
選取 [測試連線]。 此動作會確認 BIG-IP 連線到您的租使用者。
選取 [下一步]。
服務提供者
使用服務提供者設定來定義受 SHA 保護之應用程式的 SAML SP 實例屬性。
針對 [ 主機],輸入要保護之應用程式的公用完整功能變數名稱 (FQDN)。
針對 [實體標識符],輸入 Microsoft Entra ID 用來識別要求令牌的 SAML SP 識別符。
(選擇性)使用安全性 設定 來指出 Microsoft Entra ID 會加密發出的 SAML 判斷提示。 Microsoft Entra ID 與 BIG-IP APM 之間加密的判斷提示可增加保證內容令牌不會遭到攔截,也不會遭到數據入侵。
從 [判斷提示解密私鑰] 中,選取 [ 新建]。
選取 [確定]。
[匯 入 SSL 憑證和金鑰] 對話框會出現在新索引標籤 中。
若要匯入憑證和私鑰,請選取 PKCS 12 (IIS)。
關閉瀏覽器索引標籤以返回主要索引標籤。
針對 [ 啟用加密判斷提示],核取方塊。
如果您已啟用加密,請從 [ 判斷提示解密私鑰 ] 清單中,選取 BIG-IP APM 用來解密 Microsoft Entra 判斷提示憑證的私鑰。
如果您已啟用加密,請從 [ 判斷提示解密憑證 ] 清單中,選取憑證 BIG-IP 上傳至 Microsoft Entra ID,以加密核發的 SAML 判斷提示。
Microsoft Entra ID
Easy Button 具有 Oracle 人員 Soft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 和一般 SHA 範本的應用程式範本。
若要啟動 Azure 設定,請選取 [SAP ERP Central 元件 > 新增]。
注意
在 Microsoft Entra 租使用者中手動設定新的 BIG-IP SAML 應用程式時,您可以使用下列各節中的資訊。
Azure 組態
針對 [ 顯示名稱 ],輸入 Microsoft Entra 租使用者中建立的應用程式 BIG-IP。 名稱會出現在 我的應用程式 入口網站的圖示上。
(選擇性) 將 [登入 URL] 保留空白。
在 [簽署金鑰 ] 旁,選取 [ 重新整理]。
選取 [ 簽署憑證]。 此動作會找出您輸入的憑證。
針對 [簽署密鑰複雜密碼],輸入憑證密碼。
(選擇性)啟用 簽署選項。 此選項可確保 BIG-IP 接受由 Microsoft Entra ID 簽署的令牌和宣告
用戶和使用者群組 會從您的 Microsoft Entra 租使用者動態查詢。 群組可協助授權應用程式存取。
新增用於測試的使用者或群組,否則會拒絕存取。
使用者屬性與宣告
當使用者向 Microsoft Entra 識別碼進行驗證時,它會發出 SAML 令牌,其中包含識別用戶的預設宣告和屬性。 [ 使用者屬性和宣告] 索引 標籤會顯示新應用程式要發出的預設宣告。 使用它來設定更多宣告。
本教學課程是以內部和外部使用的.com網域後綴為基礎。 不需要其他屬性,才能達成功能 Kerberos 限制委派 (KCD) SSO 實作。
您可以包含更多 Microsoft Entra 屬性。 在本教學課程中,SAP ERP 需要默認屬性。
深入瞭解:教學課程: 設定 F5 BIG-IP 存取原則管理員以進行 Kerberos 驗證。 請參閱多個網域或使用者使用替代後綴登入的指示。
其他用戶屬性
[ 其他使用者屬性] 索引 標籤支援需要儲存在其他目錄中之屬性的分散式系統,以進行會話增強。 因此,LDAP 來源的屬性會插入為更多 SSO 標頭,以控制角色型存取、合作夥伴識別碼等。
注意
這項功能與 Microsoft Entra ID 沒有相互關聯,但是另一個屬性來源。
條件式存取原則
條件式存取原則會在 Microsoft Entra 預先驗證之後強制執行。 此動作會根據裝置、應用程式、位置和風險訊號控制存取。
[ 可用的原則 ] 檢視會列出條件式存取原則,而不需以使用者為基礎的動作。
[ 選取的原則 ] 檢視會列出以雲端應用程式為目標的原則。 您無法取消選取這些原則,也無法將它們移至 [可用的原則] 列表,因為它們會在租用戶層級強制執行。
若要選取要發行之應用程式的原則:
- 從 [ 可用的原則] 清單中,選取原則。
- 選取向右箭頭。
- 將原則移至 [ 選取的原則 ] 清單。
選取的原則已核取 [包含] 或 [排除] 選項。 如果檢查這兩個選項,則不會強制執行選取的原則。
注意
當您一開始選取此索引標籤時,就會顯示原則清單。使用 [重新 整理 ] 按鈕來查詢您的租使用者。 部署應用程式時會出現重新整理。
虛擬伺服器屬性
虛擬伺服器是由虛擬IP位址表示的BIG-IP數據平面物件。 此伺服器會接聽對應用程式的用戶端要求。 接收的流量會根據與虛擬伺服器相關聯的 APM 配置檔進行處理和評估。 然後,流量會根據原則進行導向。
- 輸入目的地位址。 使用 IPv4/IPv6 位址 BIG-IP 用來接收用戶端流量。 對應的記錄位於 DNS 中,可讓用戶端將 BIG-IP 已發佈應用程式的外部 URL 解析為此 IP。 您可以使用測試電腦localhost DNS 進行測試。
- 針對 [服務埠],輸入 443。
- 選取 [HTTPS] 。
- 針對 [ 啟用重新導向埠],核取方塊。
- 針對 [ 重新導向埠],輸入數字並選取 [ HTTP]。 此選項會將連入 HTTP 用戶端流量重新導向至 HTTPS。
- 選取您建立的 用戶端 SSL 設定檔 。 或者,保留用於測試的預設值。 用戶端 SSL 設定檔會啟用 HTTPS 的虛擬伺服器,因此用戶端聯機會透過 TLS 加密。
集區屬性
[應用程式集區] 索引標籤具有 BIG-IP 後方的服務,以具有應用程式伺服器的集區表示。
針對 [ 選取集區],選取 [新建],或選取集區。
針對 [負載平衡方法],選取 [迴圈配置資源]。
針對 [ 集區伺服器 ] 選取伺服器節點,或輸入裝載標頭應用程式之後端節點的IP和埠。
單一登錄和 HTTP 標頭
使用 SSO 來啟用存取 BIG-IP 已發佈的服務,而不需要輸入認證。 簡易按鈕精靈支援 SSO 的 Kerberos、OAuth Bearer 和 HTTP 授權標頭。 如需下列指示,您需要您所建立的 Kerberos 委派帳戶。
在 [單一登錄與 HTTP 標頭] 上,針對 [進階 設定],選取 [開啟]。
針對 [選取的單一登錄類型],選取 [Kerberos]。
針對 [ 使用者名稱來源],輸入會話變數作為使用者標識符來源。
session.saml.last.identity
會保存具有已登入使用者標識碼的 Microsoft Entra 宣告。如果使用者網域與 BIG-IP kerberos 領域不同,則需要 [用戶領域來源] 選項。 因此,APM 會話變數包含已登入的用戶網域。 例如:
session.saml.last.attr.name.domain
。針對 KDC,輸入域控制器 IP,如果已設定 DNS,請輸入 FQDN。
針對 UPN支援,核取方塊。 APM 會使用 UPN 進行 Kerberos 票證。
針對 SPN模式,輸入 HTTP/% h。 此動作會通知 APM 使用用戶端要求主機標頭,並建置其要求 kerberos 令牌的 SPN。
針對 [ 傳送授權], 停用交涉驗證的應用程式選項。 例如, Tomcat。
工作階段管理
使用 BIG-IP 工作階段管理設定來定義使用者工作階段終止或繼續時的條件。 條件包括使用者和IP位址的限制,以及對應的用戶資訊。
若要深入瞭解,請移至 K18390492 的 my.f5.com :安全性 |BIG-IP APM 作業指南
操作指南未涵蓋單一註銷 (SLO)。 這項功能可確保當使用者註銷時,IdP、BIG-IP 和使用者代理程式之間的會話終止。[簡單] 按鈕會將 SAML 應用程式部署至 Microsoft Entra 租使用者。 它會使用 APM SLO 端點填入註銷 URL。 從 我的應用程式 入口網站起始的IdP註銷會終止 BIG-IP 和用戶端會話。
在部署期間,會從租用戶匯入已發佈的應用程式 SAML 同盟元數據。 此動作會為 APM 提供 Microsoft Entra ID 的 SAML 註銷端點,並協助 SP 起始的註銷終止用戶端和 Microsoft Entra 工作階段。
部署
- 選取部署。
- 確認應用程式位於租 用戶企業應用程式 清單中。
- 使用瀏覽器,連線到應用程式外部 URL,或選取 我的應用程式 中的應用程式圖示。
- 向 Microsoft Entra 識別碼進行驗證。
- 系統會將您重新導向至 BIG-IP 虛擬伺服器,並透過 SSO 登入。
為了提高安全性,您可以封鎖應用程式的直接存取,藉此強制執行透過 BIG-IP 的路徑。
進階部署
引導式設定範本有時缺乏彈性。
深入瞭解:教學課程: 設定 F5 BIG-IP 存取原則管理員以進行 Kerberos 驗證。
停用嚴格管理模式
或者,在 BIG-IP 中,您可以停用引導式設定嚴格管理模式。 雖然大部分的組態都是使用精靈範本自動化,但您可以手動變更設定。
流覽至 [ 存取 > 引導式設定]。
在應用程式組態的數據列結尾,選取 掛鎖。
與已發佈應用程式相關聯的 BIG-IP 物件會解除鎖定以進行管理。 無法再透過精靈 UI 進行變更。
注意
若要重新啟用嚴格的管理模式,並部署覆寫引導式設定 UI 外部設定的組態,我們建議生產服務的進階設定方法。
疑難排解
如果您無法存取 SHA 保護的應用程式,請參閱下列疑難解答指引。
- Kerberos 會區分時間。 請確定伺服器和客戶端已設定為正確的時間,並同步處理至可靠的時間來源。
- 確定 DNS 中的域控制器和 Web 應用程式主機名解析。
- 確認環境中沒有重複的SPN。
- 在網域電腦上,於命令行使用查詢:
setspn -q HTTP/my_target_SPN
- 在網域電腦上,於命令行使用查詢:
若要驗證 IIS 應用程式 KCD 設定,請參閱針對 應用程式 Proxy 的 KCD 設定進行疑難解答
移至 kerberos 單一 登錄方法的 techdocs.f5.com
記錄檔分析
記錄詳細資訊
BIG-IP 記錄會隔離連線、SSO、原則違規或設定錯誤的變數對應問題。 若要開始疑難解答,請增加記錄詳細資訊。
- 流覽至存取 原則 > 概觀。
- 選取 [事件記錄檔]。
- 選取設定。
- 選取已發佈應用程式的數據列。
- 選取編輯。
- 選取 [存取系統記錄檔]
- 從 SSO 清單中,選取 [ 偵錯]。
- 選取 [確定]。
- 重現您的問題。
- 檢查記錄。
檢查完成時,還原記錄詳細資訊,因為此模式會產生過多的數據。
BIG-IP 錯誤訊息
如果 BIG-IP 錯誤訊息出現在 Microsoft Entra 預先驗證之後,問題可能與 Microsoft Entra ID 與 BIG-IP SSO 有關。
- 流覽至 [ 存取 > 概觀]。
- 選取 [ 存取報表]。
- 執行過去一小時的報表。
- 檢查記錄。
使用目前會話的 [ 檢視會話變數 ] 連結來查看 APM 是否收到預期的 Microsoft Entra 宣告。
沒有 BIG-IP 錯誤訊息
如果沒有出現 BIG-IP 錯誤訊息,問題可能與後端要求或 BIG-IP 至應用程式 SSO 有關。
- 流覽至存取 原則 > 概觀。
- 選取 [ 使用中會話]。
- 選取目前會話的連結。
- 使用 [ 檢視變數 ] 鏈接來識別 KCD 問題,特別是當 BIG-IP APM 無法從會話變數取得正確的使用者和網域識別符時。
深入了解: