教學課程:設定 SSO 至 SAP ERP 的 F5 BIG-IP 簡易按鈕
在本文,瞭解如何使用 Microsoft Entra ID 搭配 F5 BIG-IP Easy Button 引導式設定 16.1 來保護 SAP ERP。 將 BIG-IP 與 Microsoft Entra ID 整合有許多優點:
- 啟用遠端工作的零信任架構
- 何謂條件式存取?
- Microsoft Entra ID 與 BIG-IP 已發佈服務之間的單一登入 (SSO)
- 從 Microsoft Entra 系統管理中心 管理身分識別和存取權限
深入了解:
案例描述
此案例包含使用 Kerberos 驗證來管理受保護內容的存取權的 SAP ERP 應用程式。
舊版應用程式缺少新式通訊協定,可支援與 Microsoft Entra ID 整合。 現代化成本高昂,需要規劃,並帶來潛在的停機時間風險。 相反地,透過通訊協定轉換,使用 F5 BIG-IP 應用程式傳遞控制器 (ADC) 來橋接舊版應用程式與新式識別碼控制平面之間的差距。
應用程式前面的 BIG-IP 可讓您使用 Microsoft Entra 預先驗證和標頭型 SSO 來重疊服務。 此設定可改善整體應用程式安全性態勢。
案例架構
安全混合式存取 (SHA) 解決方案具有下列元件:
- SAP ERP 應用程式:由 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務
- Microsoft Entra ID - 安全性聲明標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取,以及對 BIG-IP 的 SAML 型 SSO
- BIG-IP - 應用程式的反向 Proxy 和 SAML 服務提供者 (SP)。 BIG-IP 會將驗證委派給 SAML IdP,然後對 SAP 服務執行標頭型 SSO
SHA 支援 SP 和 IdP 起始的流程。 下圖說明 SP 起始的流程。
- 使用者會連線到應用程式端點 (BIG-IP)。
- BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)。
- Microsoft Entra 會預先驗證使用者,並套用強制執行的條件式存取原則。
- 使用者會重新導向至 BIG-IP (SAML SP),且 SSO 發生於已發行的 SAML 權杖。
- BIG-IP 要求來自金鑰發佈中心 (KDC) 的 Kerberos 票證。
- BIG-IP 會將要求用於 SSO 的 Kerberos 票證傳送至後端應用程式。
- 應用程式會授權要求並回傳酬載。
必要條件
- Microsoft Entra ID 免費帳戶或更新版本
- 如果沒有訂用帳戶,請取得 Azure 免費帳戶
- Azure 中的 BIG-IP 或 BIG-IP 虛擬版本 (VE)
- 下列任一個 F5 BIG-IP 授權:
- F5 BIG-IP® Best 套件組合
- F5 BIG-IP APM 獨立授權
- 現有 BIG-IP F5 BIG-IP® 本機流量管理員™ (LTM) 上的 F5 BIG-IP APM 附加元件授權
- 90 天 BIG-IP 完整功能試用版授權
- 從內部部署目錄同步至 Microsoft Entra ID 的使用者身分識別,或在 Microsoft Entra ID 中建立並流回內部部署目錄的使用者身分識別
- 下列角色其中之一:雲端應用程式管理員或應用程式管理員。
- 透過 HTTPS 發佈服務的 SSL Web 憑證,或使用預設 BIG-IP 憑證進行測試
- 針對 Kerberos 驗證所設定的 SAP ERP 環境
BIG-IP 設定方法
本教學課程使用引導式設定 16.1 搭配簡易按鈕範本。 使用 [簡易] 按鈕時,系統管理員不會在 Microsoft Entra ID 與 BIG-IP 之間切換,以啟用 SHA 服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 此整合可確保應用程式支援身分識別同盟、SSO 及條件式存取。
注意
將本指南中的範例字串或值取代為您環境中的字串或值。
註冊簡單按鈕
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
在用戶端或服務存取 Microsoft Graph 之前,Microsoft 身分識別平台必須信任它。
請參閱,快速入門:向 Microsoft 身分識別平台註冊應用程式
在 Microsoft Entra ID 中註冊「簡易按鈕」用戶端,然後允許在 BIG-IP 已發佈應用程式的 SAML SP 執行個體之間建立信任,以及 Microsoft Entra ID 作為 SAML IdP。
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[應用程式註冊]>[新增註冊]。
輸入新應用程式的名稱。
在此組織目錄中帳戶,指定誰可以使用應用程式。
選取註冊。
瀏覽至 API 權限。
授權下列 Microsoft Graph 應用程式權限:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
為您的組織授與管理員同意。
在 [憑證與密碼],產生新的 [用戶端密碼]。
輸入密碼。
從概觀,記下 [用戶端識別碼] 和 [租用戶識別碼]。
設定 [簡易] 按鈕
- 起始 APM 引導式設定。
- 啟動簡易按鈕範本。
- 從瀏覽器登入 F5 BIG IP 管理主控台。
- 瀏覽至 Access> 引導式設定 >Microsoft 整合。
- 選取 [Microsoft Entra 應用程式]。
- 檢閱設定清單。
- 選取 [下一步]。
- 遵循 Microsoft Entra Application Configuration 下的設定順序。
組態屬性
[設定屬性] 索引標籤具有服務帳戶屬性,並建立 BIG-IP 應用程式組態和 SSO 物件。 Azure 服務帳戶詳細資料區段代表您在 Microsoft Entra 租用戶中註冊為應用程式的用戶端。 使用 BIG-IP OAuth 客戶端的設定,使用 SSO 屬性在租用戶中個別註冊 SAML SP。 簡單按鈕會為針對 SHA 發佈並啟用的 BIG-IP 服務執行此動作。
注意
某些設定是全域設定,可用來發佈更多應用程式。
- 輸入設定名稱。 唯一名稱會區分簡易按鈕組態。
- 針對單一登入 (SSO) 和 HTTP 標頭,選取 [On]。
- 針對 租用戶識別碼、用戶端識別碼及客戶端密碼,輸入您在租用戶註冊期間所注意到的租用戶識別碼、用戶端識別碼及客戶端密碼。
- 選取 [測試連線]。 此動作確認 BIG-IP 連線至您的租用戶。
- 選取 [下一步]。
服務提供者
使用服務提供者設定來定義受 SHA 保護之應用程式的 SAML SP 執行個體屬性。
針對 主機,輸入要保護的應用程式的公用完整網域名稱 (FQDN)。
針對實體識別碼,輸入 Microsoft Entra ID 使用此識別碼來識別要求權杖的 SAML SP。
(選擇性) 使用安全性設定來指出發出 SAML 判斷提示的 Microsoft Entra ID 加密。 Microsoft Entra ID 與 BIG-IP APM 之間加密的判斷提示可增加保證內容權杖不會遭到攔截,也不會遭到資料入侵。
從判斷提示解密金鑰中,選取 [新建]。
選取 [確定]。
[匯入 SSL 憑證和金鑰] 對話方塊會在新的索引標籤中出現。
若要匯入憑證和金鑰,請選擇 PKCS 12 (IIS)。
關閉瀏覽器索引標籤以返回主要索引標籤。
針對 [啟用加密判斷提示],核取此方塊。
如果您已啟用加密,請從判斷提示解密私密金鑰清單中,選取 BIG-IP APM 用來解密 Microsoft Entra 判斷提示憑證的私密金鑰。
如果您已啟用加密,請從判斷提示解密憑證清單中,選取憑證 BIG-IP 上傳至 Microsoft Entra ID,以加密所發出的 SAML 判斷提示。
Microsoft Entra ID
Easy Button 具有 Oracle PeopleSoft、Oracle E-Business Suite、Oracle JD Edwards、SAP ERP 及一般 SHA 範本的應用程式範本。
若要啟動 Azure 設定,請選取 [SAP ERP Central Component > 新增]。
注意
當您在 Microsoft Entra 租用戶中手動設定新的 BIG-IP SAML 應用程式時,可以使用下列各節中的資訊。
Azure 設定
針對顯示名稱輸入 Microsoft Entra 租用戶中建立的應用程式 BIG-IP。 名稱會出現在我的應用程式入口網站中的圖示上。
(選擇性) 保留 登入 URL (選擇性) 空白。
在簽署金鑰旁選取 [重新整理]。
選取簽署憑證。 此動作會找出您輸入的憑證。
如需 簽署金鑰複雜密碼,請輸入憑證密碼。
(選擇性) 啟用簽署選項。 此選項可確保 BIG-IP 接受由 Microsoft Entra ID 簽署的權杖和宣告
使用者和使用者群組 會從您的 Microsoft Entra 租用戶動態查詢。 群組可協助授權應用程式存取。
新增用於測試的使用者或群組,否則存取會被拒絕。
使用者屬性與宣告
當使用者向 Microsoft Entra ID 進行驗證時,它會發出 SAML 權杖,其中包含識別使用者的預設宣告和屬性。 [使用者屬性與宣告] 索引標籤會顯示要對新應用程式發出的預設宣告。 使用其來設定更多宣告。
教學課程是以內部和外部使用的 .com 網域尾碼為基礎。 不需要其他屬性,便能達成功能 Kerberos 限制委派 (KCD) SSO 實作。
您可以包含更多 Microsoft Entra 屬性。 在本教學課程中,SAP ERP 需要預設屬性。
深入瞭解:教學課程:為 Kerberos 驗證設定 F5 BIG-IP 存取原則管理員。 請參閱多個網域或使用者使用替代尾碼登入的指示。
其他使用者屬性
其他使用者屬性 索引標籤會支援分散式系統,而這些系統需要其他目錄中所儲存的屬性來進行工作階段增強。 從輕量型目錄存取通訊協定 (LDAP) 來源擷取的屬性可以插入為 SSO 標頭,協助根據角色、合作夥伴識別碼等來控制存取權。
注意
這項功能與 Microsoft Entra ID 沒有關聯,而是另一個屬性來源。
條件式存取原則
條件式存取原則會在 Microsoft Entra 預先驗證之後強制執行。 此動作會根據裝置、應用程式、位置及風險訊號控制存取。
可用原則檢視會列出條件式存取原則,而不需以使用者為基礎的動作。
選取的原則 檢視會列出以雲端應用程式為目標的原則。 您無法取消選取在租用戶層級強制執行的原則,也無法將它們移至 [可用的原則] 列表。
若要選取要發行之應用程式的原則:
- 從 [可用原則] 清單中,選取原則。
- 選取向右箭頭。
- 將原則移至 [選取的原則] 清單。
選取的原則已核取 [包含] 或 [排除] 選項。 如果同時核取這兩個選項,則不會強制執行選取的原則。
注意
當您一開始選取此索引標籤時,就會顯示原則清單。使用 [重新整理] 按鈕來查詢您的租用戶。 部署應用程式時會出現 [重新整理]。
虛擬伺服器屬性
虛擬伺服器是一種以虛擬 IP 位址表示的 BIG-IP 資料平面物件。 此伺服器會接聽用戶端對應用程式的要求。 收到的流量都會根據與虛擬伺服器相關聯的 APM 設定檔進行處理和評估。 然後,流量會根據原則進行導向。
- 輸入 [目的地位址]。 使用 IPv4/IPv6 位址 BIG-IP 來接收用戶端流量。 對應的記錄位於 DNS 中,可讓用戶端將 BIG-IP 已發佈應用程式的外部 URL 解析為此 IP。 您可以使用測試電腦 localhost DNS 進行測試。
- 針對服務連接埠,輸入 443。
- 選取 [HTTPS] 。
- 針對 [啟用重新導向轉接連接埠] ,請核取此方塊。
- 針對 [重新導向轉接連接埠],輸入數字並選取 [HTTP]。 此選項會將傳入的 HTTP 用戶端流量重新導向至 HTTPS。
- 選取您建立的 [用戶端 SSL 設定檔]。 或者,保留用於測試的預設值。 用戶端 SSL 設定檔會啟用 HTTPS 的虛擬伺服器,因此用戶端連線會透過傳輸層安全性 (TLS) 加密。
集區屬性
[應用程式集區] 索引標籤會將受 BIG-IP 保護的服務,而這些服務以應用程式伺服器的集區表示。
針對 [選取集區],請選取 [新建],或選取集區。
針對 [負載平衡方法],選取 [循環配置資源] 。
針對 [集區伺服器] 選取伺服器節點,或為裝載標頭型應用程式的後端節點輸入 IP 和連接埠。
單一登入和 HTTP 標頭
使用 SSO 來啟用存取 BIG-IP 已發佈的服務,而不需要輸入認證。 簡單按鈕精靈支援 Kerberos、OAuth 持有人及 HTTP 授權標頭以進行 SSO。 如需下列指示,您需要您所建立的 Kerberos 委派帳戶。
在單一登錄與 HTTP 標頭上,針對 [進階設定],選取 [開啟]。
針對 [選取的單一登入類型],選取 [Kerberos]。
針對 [使用者名稱來源],輸入工作階段變數作為使用者識別碼來源。
session.saml.last.identity
會保存具有已登入使用者識別碼的 Microsoft Entra 宣告。如果使用者網域與 BIG-IP Kerberos 領域不同,則需要使用者領域來源選項。 因此,APM 工作階段變數包含已登入的使用者網域。 例如:
session.saml.last.attr.name.domain
。針對 KDC,如果設定 DNS,請輸入網域控制站 IP 或 FQDN。
若為 UPN 支援,請核取方塊。 APM 會使用 UPN 進行 Kerberos 票證。
針對 SPN 模式,輸入 [HTTP/%h]。 此操作會通知 APM 使用用戶端要求主機標頭,並建置其要求 Kerberos 權杖的服務主體名稱 (SPN)。
針對傳送授權,停用交涉驗證的應用程式選項。 例如,Tomcat。
工作階段管理
使用 BIG-IP 工作階段管理設定來定義使用者工作階段終止或繼續時的條件。 條件包括使用者和 IP 位址的限制,以及對應的使用者資訊。
若要深入瞭解,請移至 my.f5.com 獲取 K18390492:安全性 | BIG-IP APM 操作指南
操作指南未涵蓋單一登出 (SLO)。 這項功能可確保當使用者登出時,IdP、BIG-IP 及使用者代理程式之間的工作階段終止。[簡單按鈕] 會將 SAML 應用程式部署至 Microsoft Entra 租用戶。 它會使用 APM SLO 端點填入登出 URL。 從 My Apps 入口網站起始的 IdP 會終止 BIG-IP 和用戶端工作階段。
在部署期間,會從租用戶匯入已發佈的應用程式 SAML 同盟中繼資料。 此動作會為 APM 提供 SAML 登出端點以進行 Microsoft Entra ID,並協助 SP 起始的登出終止用戶端和 Microsoft Entra 工作階段。
部署
- 選取部署。
- 確認應用程式位於租用戶企業應用程式清單中。
- 使用瀏覽器連線到應用程式外部 URL,或在 [我的應用程式] 中選取應用程式圖示。
- 對 Microsoft Entra ID 進行驗證。
- 系統會重新導向至 BIG-IP 虛擬伺服器,並透過 SSO 登入。
為了提高安全性,可以封鎖對應用程式的直接存取,藉此強制執行透過 BIG-IP 的路徑。
進階部署
引導式設定範本有時缺乏彈性。
深入瞭解:教學課程:為 Kerberos 驗證設定 F5 BIG-IP 存取原則管理員。
停用嚴格管理模式
或者,在 BIG-IP 中,您可以停用引導式設定嚴格管理模式。 雖然大部分的組態都是使用精靈範本自動化,但您可以手動變更設定。
瀏覽至 [存取 > 引導式設定]。
在應用程式組態的資料列結尾,選取 [掛鎖]。
與已發佈應用程式相關聯的 BIG-IP 物件會解除鎖定以進行管理。 無法再透過精靈 UI 進行變更。
注意
若要重新啟用嚴格的管理模式,並部署覆寫引導式設定 UI 外部設定的組態,我們建議生產服務的進階設定方法。
疑難排解
如果您無法存取 SHA 保護的應用程式,請參閱下列疑難排解指導。
- Kerberos 對時間很敏感。 請確定伺服器和用戶端已設定為正確的時間,並同步處理至可靠的時間來源。
- 確定 DNS 中的網域控制站和 Web 應用程式主機名解析。
- 確認環境中沒有重複的 SPN。
- 在網域電腦上,於命令列使用查詢:
setspn -q HTTP/my_target_SPN
- 在網域電腦上,於命令列使用查詢:
若要驗證 IIS 應用程式 KCD 組態,請參閱針對應用程式 Proxy 的 KCD 設定進行疑難排解
請移至 techdocs.f5.com,參閱Kerberos 單一登入方法
記錄檔分析
記錄詳細程度
BIG-IP 記錄會隔離連線能力、SSO、原則違規或變數對應設定錯誤的問題。 若要開始疑難排解,請增加記錄詳細資訊。
- 瀏覽至存取原則 > 概觀。
- 選取 [事件記錄]。
- 選取設定。
- 選取已發佈應用程式的資料列。
- 選取編輯。
- 選取 [存取系統記錄]
- 從 SSO 清單中,選取 [偵錯]。
- 選取 [確定]。
- 重現您的問題。
- 檢查記錄。
檢查完成時,還原記錄詳細資訊,因為此模式會產生過多的資料。
BIG-IP 錯誤訊息
如果 BIG-IP 錯誤訊息出現在 Microsoft Entra 預先驗證之後,則問題可能與 Microsoft Entra ID 與 BIG-IP SSO 有關。
- 瀏覽至 Access > 概觀。
- 選取 [存取報告]。
- 執行過去一小時的報告。
- 檢查記錄。
使用目前工作階段檢視工作階段變數連結,以查看 APM 是否收到預期的 Microsoft Entra 宣告。
沒有 BIG-IP 錯誤訊息
如果沒有出現 BIG-IP 錯誤訊息,則問題可能與後端要求或 BIG-IP 至應用程式的 SSO 有關。
- 瀏覽至存取原則 > 概觀。
- 選取 [作用中工作階段]。
- 選取目前工作階段的連結。
- 使用檢視變數連結來識別 KCD 問題,特別是當 BIG-IP APM 無法從工作階段變數取得正確的使用者和網域識別碼時。
深入了解:
- 前往 devcentral.f5.com 以參閱 APM 變數指派範例
- 移至工作階段變數的 techdocs.f5.com