Compartilhar via

Configurar o Botão Fácil BIG-IP da F5 para SSO baseado em cabeçalho, com logon único usando o Microsoft Entra ID

Neste artigo, você aprenderá a integrar o F5 à ID do Microsoft Entra. Ao integrar o F5 ao Microsoft Entra ID, você poderá:

  • Controlar quem tem acesso ao F5 no Microsoft Entra ID.
  • Permitir que os usuários entrem automaticamente no F5 com as respectivas contas do Microsoft Entra.
  • Gerencie suas contas em uma localização central.

Observação

F5 BIG-IP APM Comprar agora.

Descrição do cenário

Esse cenário analisa o aplicativo herdado clássico usando cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido.

Sendo herdado, o aplicativo não tem protocolos modernos para dar suporte a uma integração direta com o Microsoft Entra ID. O aplicativo pode ser modernizado, mas é caro, requer um planejamento cuidadoso e introduz o risco de tempo de inatividade potencial. Nesse caso, um BIG-IP ADC (Application Delivery Controller) da F5 é usado para fazer a ponte entre o aplicativo herdado e o painel de controle de ID moderno, por meio da transição de protocolo.

Ter um BIG-IP na frente do aplicativo nos permite sobrepor o serviço com o SSO baseado em pré-autenticação e cabeçalhos do Microsoft Entra, melhorando significativamente a postura geral de segurança do aplicativo.

Observação

As organizações também podem obter acesso remoto a esse tipo de aplicativo com o proxy de aplicativo do Microsoft Entra.

Arquitetura de cenário

A solução de SHA para esse cenário é composta de:

Aplicativo – serviço publicado do BIG-IP a ser protegido pelo SHA do Microsoft Entra.

Microsoft Entra ID: provedor de Identidade (IdP) do Security Assertion Markup Language (SAML) responsável pela verificação das credenciais do usuário, Acesso Condicional e SSO baseado em SAML para o BIG-IP. Por meio do SSO, o ID do Microsoft Entra fornece ao BIG-IP todos os atributos de sessão necessários.

BIG-IP: proxy reverso e SP (provedor de serviços) SAML para o aplicativo, delegando a autenticação ao IdP SAML, antes de executar o SSO baseado em cabeçalho para o aplicativo de back-end.

O SHA para esse cenário dá suporte a fluxos iniciados pelo SP e pelo IdP. A imagem a seguir ilustra o fluxo iniciado pelo SP.

Captura de tela do Acesso híbrido seguro – fluxo iniciado por SP.

Etapas Descrição
1 O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP)
2 A política de acesso do BIG-IP APM redireciona o usuário para o Microsoft Entra ID (IdP do SAML)
3 Microsoft Entra ID pré-autentica o usuário e aplica quaisquer políticas de Acesso Condicional impostas
4 O usuário é redirecionado para o BIG-IP (SP no SAML) e o SSO é executado usando o token SAML emitido
5 O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos na solicitação ao aplicativo
6 O aplicativo autoriza a solicitação e retorna o conteúdo

Pré-requisitos

Não é necessário já ter experiência com o BIG-IP, mas você precisará do seguinte:

  • Uma assinatura do Microsoft Entra ID Gratuito ou superior.

  • Um BIG-IP existente ou implantar uma VE (Virtual Edition) do BIG-IP no Azure.

  • Qualquer um dos seguintes SKUs de licença de F5 BIG-IP.

    • Pacote F5 BIG-IP® Best.

    • Licença autônoma do BIG-IP Access Policy Manager™ (APM) da F5.

    • Licença adicional do F5 BIG-IP Access Policy Manager™ (APM) em um BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) existente.

    • Licença de avaliação de 90 dias com todos os recursos do BIG-IP .

  • Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID.

  • Uma conta com permissões de Administrador de Aplicativos do Microsoft Entra.

  • Um certificado SSL Web para serviços de publicação em HTTPS, ou use certificados BIG-IP padrão durante o teste.

  • Um aplicativo existente baseado em cabeçalho ou configurar um aplicativo de cabeçalho simples do IIS para teste.

Métodos de configuração BIG-IP

Há muitos métodos para configurar BIG-IP para esse cenário, incluindo duas opções baseadas em modelo e uma configuração avançada. Este artigo aborda a configuração guiada mais recente 16.1 oferecendo um modelo de botão Fácil. Com o Easy Button, os administradores não alternam mais entre o Microsoft Entra ID e um BIG-IP para habilitar serviços para SHA. A implantação e o gerenciamento de políticas são tratados diretamente entre o assistente da Configuração Guiada do APM e o Microsoft Graph. Essa integração avançada entre o APM do BIG-IP e o Microsoft Entra garante que os aplicativos possam oferecer suporte rápido e fácil à federação de identidades, SSO e Acesso Condicional do Microsoft Entra, reduzindo a sobrecarga administrativa.

Observação

Todos os exemplos de cadeias de caracteres ou valores referenciados em todo este guia devem ser substituídos pelos do seu ambiente real.

Registrar o Easy Button

Antes que um cliente ou serviço possa acessar o Microsoft Graph, ele deverá ser confiável para a plataforma de identidade da Microsoft.

Esta primeira etapa cria um registro de aplicativo de locatário usado para autorizar o acesso do Botão Fácil ao Graph. Por meio dessas permissões, o BIG-IP tem permissão para enviar por push as configurações necessárias para estabelecer uma confiança entre uma instância do SP SAML para o aplicativo publicado e o Microsoft Entra ID como o IdP SAML.

  1. Entre no portal do Azure usando uma conta com direitos administrativos do aplicativo.

  2. No painel de navegação esquerdo, selecione o serviço Microsoft Entra ID.

  3. Em Gerenciar, selecione Registros de aplicativo>Novo registro.

  4. Insira um nome de exibição para seu aplicativo, como F5 BIG-IP Easy Button.

  5. Especifique quem pode usar as contas > aplicativo apenas neste diretório organizacional.

  6. Selecione Registrar para concluir o registro inicial do aplicativo.

  7. Navegue até as Permissões de API e autorize as seguintesPermissões de aplicativos do Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Dar consentimento do administrador para sua organização.

  9. Na folha certificados & Segredos, gere um novo segredo de cliente e anote-o.

  10. Na folha visão geral, anote a ID do cliente e a ID do locatário.

Configurar botão fácil

Inicie a Configuração Guiada do APM para o iniciar o Modelo de Botão Fácil.

  1. Navegue até Acessar > Configuração Guiada > Integração à Microsoft e selecione Aplicativo Microsoft Entra.

  2. Em Configurar a solução usando as etapas abaixo criará os objetos necessários, analise a lista de etapas de configuração e selecione Avançar.

  3. Em Configuração Guiada, siga a sequência de etapas necessárias para publicar seu aplicativo.

Propriedades da Configuração

A guia Propriedades de Configuração cria uma configuração de aplicativo BIG-IP e um objeto de SSO. Considere a seção Detalhes da Conta de Serviço do Azure para representar o cliente que você registrou em seu locatário do Microsoft Entra anteriormente, como um aplicativo. Essas configurações permitem que o cliente OAuth de um BIG-IP registre individualmente um SP no SAML diretamente em seu locatário, junto com as propriedades de SSO que você configura manualmente como de costume. O Easy Button faz isso para todos os serviços BIG-IP publicados e habilitados para SHA.

Algumas delas são configurações globais, portanto, podem ser reutilizadas para publicar mais aplicativos, reduzindo ainda mais o tempo e o esforço de implantação.

  1. Insira um nome de configuração exclusivo para que os administradores possam distinguir facilmente as configurações do Easy Button.

  2. Habilitar cabeçalhos HTTP de & SSO (Logon Único).

  3. Insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou ao registrar o cliente do Easy Button em seu locatário.

  4. Confirme se Big-IP pode se conectar com êxito ao seu locatário e, em seguida, selecione Avançar.

    Captura de tela das propriedades de configuração geral e conta de serviço.

Provedor de Serviços

As configurações do Provedor de Serviços definem as propriedades da instância de SP do SAML do aplicativo protegido por SHA.

  1. Insira o Host. Esse é o FQDN público do aplicativo que está sendo protegido.

  2. Inserir ID de entidade. Esse é o identificador que o Microsoft Entra ID usará para identificar o SP do SAML que está solicitando um token.

    Captura de tela das configurações do provedor de serviço.

    As Configurações de Segurança opcionais especificam se o Microsoft Entra ID deve criptografar as declarações SAML emitidas. Criptografar declarações entre o Microsoft Entra ID e o BIG-IP APM fornece garantia adicional de que os tokens de conteúdo não podem ser interceptados e de que dados pessoais ou corporativos não serão comprometidos.

  3. Na lista Chave Particular de Descriptografia de Declaração, selecione Criar.

    Captura de tela para Configurar o Botão Fácil – Criar importação.

  4. Selecione OK. A caixa de diálogo Importar Certificado SSL e Chaves é aberta em uma nova guia.

  5. Selecione PKCS 12 (IIS) para importar o certificado e a chave privada. Após o provisionamento, feche a guia do navegador para retornar à guia principal.

    Captura de tela para Configurar o Botão Fácil – Importar novo cert.

  6. Marque a opção Habilitar Declaração Criptografada.

  7. Se você tiver habilitado a criptografia, selecione o certificado na lista Chave Particular de Descriptografia da Declaração. Essa é a chave privada do certificado que o APM do BIG-IP usará para descriptografar as declarações do Microsoft Entra.

  8. Se você tiver habilitado a criptografia, selecione o certificado na lista Certificado de Descriptografia de Declaração. Esse é o certificado que o BIG-IP carregará no Microsoft Entra ID para criptografar as declarações SAML emitidas.

Captura de tela das configurações de segurança do provedor de serviços.

Microsoft Entra ID

Esta seção define todas as propriedades que você normalmente usaria para configurar manualmente um novo aplicativo SAML BIG-IP no locatário do Microsoft Entra. O Botão Fácil fornece um conjunto de modelos de aplicativo predefinidos para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e modelo SHA genérico para qualquer outro aplicativo.

Para esse cenário, na página Configuração do Azure, selecione Integração do Azure AD com o APM de BIG-IP de F5>Adicionar.

Configuração do Azure

Na página Configuração do Azure, siga estas etapas:

  1. Em Propriedades da Configuração, insira Nome de Exibição do aplicativo que o Big-IP cria no locatário do Microsoft Entra e o ícone que os usuários verão no portal do MyApps.

  2. não insira nada na URL de Logon (opcional) para habilitar o logon iniciado pelo IdP.

  3. Escolha o ícone de atualização ao lado de Chave de Autenticação e de Certificado de Autenticação para localizar o certificado importado anteriormente.

  4. Insira a senha do certificado em Frase Secreta da Chave de Autenticação.

  5. Habilite a Opção de Autenticação (opcional). Isso garante que o BIG-IP só aceite tokens e declarações assinados pelo Microsoft Entra ID.

    Captura de tela da configuração do Azure - Adicionar informações de certificados de assinatura.

  6. Usuários e Grupos de Usuários são consultados dinamicamente no locatário do Microsoft Entra e usados para autorizar o acesso ao aplicativo. Adicione um usuário ou grupo que você pode usar posteriormente para teste, caso contrário, todo o acesso será negado.

    Captura de tela da configuração do Azure - Adicionar usuários e grupos.

Declarações & Atributos do Usuário

Quando um usuário se autentica com êxito, o ID do Microsoft Entra emite um token SAML com um conjunto padrão de declarações e atributos que identificam exclusivamente o usuário. A guia Atributos& Declarações de Usuário mostra as declarações padrão a serem emitidas para o novo aplicativo. Ele também permite que você configure mais declarações.

Para este exemplo, você pode incluir mais um atributo:

  1. Insira o nome do cabeçalho como employeeid.

  2. Insira o atributo de origem como user.employeeid.

    Captura de tela de atributos e declarações do usuário.

Atributos de usuário adicionais

Na guia atributos de usuário adicionais, você pode habilitar o aumento de sessão exigido por uma variedade de sistemas distribuídos, como Oracle, SAP e outras implementações baseadas em Java que exigem atributos armazenados em outros diretórios. Os atributos obtidos de uma origem LDAP podem ser injetados como cabeçalhos adicionais de SSO para controlar ainda mais o acesso com base em funções, IDs de parceiros, etc.

Observação

Esse recurso não tem correlação com o Microsoft Entra ID, mas é outra fonte de atributo. 

Política de Acesso Condicional

As políticas de acesso condicional são impostas após a autenticação prévia do Microsoft Entra para controlar o acesso baseado no dispositivo, no aplicativo, na localização e nos sinais de risco.

A exibição Políticas Disponíveis , por padrão, listará todas as políticas de Acesso Condicional que não incluem ações baseadas no usuário.

A exibição Políticas Selecionadas, por padrão, exibe todas as políticas com destino a Todos os recursos. Essas políticas não podem ser desmarcadas nem movidas para a lista Políticas Disponíveis, pois são impostas no nível do locatário.

Para selecionar uma política a ser aplicada ao aplicativo que está sendo publicado:

  1. Selecione a política desejada na lista Políticas Disponíveis.
  2. Escolha a seta para a direita e mova-a para a lista Políticas Selecionadas.

As políticas selecionadas devem ter uma opção de inclusão ou exclusão marcada. Se ambas as opções estiverem marcadas, a política selecionada não será imposta.

Captura de tela das políticas de acesso condicional.

Observação

A lista de políticas é enumerada apenas uma vez ao alternar para essa guia pela primeira vez. Um botão de atualização está disponível para forçar manualmente o assistente a consultar o seu locatário, mas esse botão é exibido somente quando o aplicativo foi implantado.

Propriedades do Servidor Virtual

Servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual que escuta solicitações de clientes para o aplicativo. Todo tráfego recebido é processado e avaliado em relação ao perfil de APM associado ao servidor virtual, antes de ser direcionado de acordo com os resultados e as configurações da política.

  1. Inserir endereço de destino Esse endereço é qualquer IPv4 ou IPv6 disponível que o BIG-IP possa usar para receber o tráfego do cliente. Um registro correspondente também deve existir no DNS, permitindo que os clientes resolvam a URL externa do seu aplicativo publicado do BIG-IP para este IP, em vez do próprio aplicativo. Usar o DNS de localhost de um PC de teste é adequado para testar.

  2. Insira a Porta de serviço como 443 para HTTPS.

  3. Marque habilitar redirecionar porta e, em seguida, digite porta de redirecionamento. Ele redireciona o tráfego do cliente HTTP de entrada para HTTPS.

  4. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, para que as conexões do cliente sejam criptografadas por TLS. Selecione o Perfil SSL do Cliente que você criou como parte dos pré-requisitos ou mantenha o padrão durante o teste.

    Captura de tela para serviço virtual.

Propriedades do Pool

A guia Pool de Aplicativos detalha os serviços por trás de um BIG-IP que são representados como um pool, contendo um ou mais servidores de aplicativos.

  1. Escolha em Selecionar um Pool. Crie um novo pool ou selecione um existente.

  2. Escolha o Método de Balanceamento de Carga como Round Robin.

  3. Para Servidores de Pool selecione um nó existente ou especifique um IP e uma porta para o servidor que hospeda o aplicativo baseado em cabeçalho.

    Para ações do pool de aplicativos.

Nosso aplicativo de back-end fica na porta HTTP 80, mas, obviamente, muda para 443 se o seu for HTTPS.

SSO (Logon Único) & Cabeçalhos HTTP

Habilitar o SSO permite que os usuários acessem serviços publicados de BIG-IP sem precisar inserir credenciais. O assistente do Easy Button oferece suporte a cabeçalhos de autorização Kerberos, de Portador OAuth e HTTP para SSO, dos quais o último habilitaremos para configurar o seguinte.

  • Operação de cabeçalho:Insert

  • Nome do cabeçalho:upn

  • Valor do cabeçalho:%{session.saml.last.identity}

  • Operação de cabeçalho:Insert

  • Nome do cabeçalho:employeeid

  • Valor do cabeçalho:%{session.saml.last.attr.name.employeeid}

    Captura de tela para cabeçalhos SSO e HTTP.

Observação

As variáveis de sessão do APM definidas entre chaves diferenciam maiúsculas e minúsculas. Por exemplo, se você inserir OrclGUID quando o nome do atributo do Microsoft Entra estiver sendo definido como orclguid, isso causará uma falha no mapeamento do atributo.

Gerenciamento da sessão

As configurações de gerenciamento de sessão dos BIG-IPs são usadas para definir as condições nas quais as sessões de usuário são encerradas ou têm permissão para continuar, além de limites para usuários e endereços IP e as informações de usuário correspondentes. Consulte os documentos da F5 para obter detalhes sobre essas configurações.

No entanto, o que não foi aqui tratado é a funcionalidade de SLO (logoff único), que garante que todas as sessões entre o IdP, o BIG-IP e o agente do usuário sejam encerradas à medida que os usuários se desconectam. Quando o Easy Button cria uma instância de um aplicativo SAML em seu locatário do Microsoft Entra, ele também preenche a URL de Logout com o ponto de extremidade de SLO do APM. Dessa forma, as saídas iniciadas pelo IdP do portal Meus Aplicativos do Microsoft Entra também encerram a sessão entre o BIG-IP e um cliente.

Junto com isso, os metadados de federação SAML para o aplicativo publicado também são importados do seu locatário, fornecendo ao APM o ponto de extremidade de logoff SAML para o Microsoft Entra ID. Isso garante que as saídas iniciadas pelo SP encerrem a sessão entre um cliente e o Microsoft Entra ID. Mas, para que isso funcione, o APM precisa saber exatamente quando um usuário sai do aplicativo.

Se o portal do webtop do BIG-IP for usado para acessar aplicativos publicados, uma saída de lá será processada pelo APM para também chamar o ponto de extremidade de saída do Microsoft Entra. Mas considere um cenário em que o portal da Webtop do BIG-IP não é usado, então o usuário não tem como instruir o APM a sair. Mesmo que o usuário saia do aplicativo, o BIG-IP é tecnicamente alheio a isso. Por esse motivo, a saída iniciada pelo SP precisa ser cuidadosamente considerada para garantir que as sessões sejam encerradas com segurança quando não forem mais necessárias. Uma maneira de fazer isso seria adicionar uma função SLO ao botão de saída de seus aplicativos, para que ele possa redirecionar o seu cliente para o ponto de extremidade de saída da SAML do Microsoft Entra ou BIG-IP. A URL do ponto de extremidade de saída do SAML para seu locatário pode ser encontrada em Registros de aplicativos > Pontos de extremidade.

Se não for possível fazer uma alteração no aplicativo, considere fazer com que o BIG-IP escute a chamada de saída do aplicativo e, ao detectar a solicitação, dispare o SLO. Consulte nossas Diretrizes de SLO do Oracle Peoplesoft para usar as regras BIG-IP para conseguir fazer isso. Mais detalhes sobre como usar iRules de BIG-IP para fazer isso está disponível no artigo de conhecimento F5 Configurando o encerramento automático da sessão (logout) com base em um nome de arquivo referenciado por URI e visão geral da opção incluir URI de logout.

Resumo

Esta última etapa fornece uma análise das configurações. Selecione Implantar para confirmar todas as configurações e verificar se o aplicativo já é exibido na lista de locatários dos aplicativos empresariais.

Agora o seu aplicativo deve estar publicado e acessível com o SHA, seja diretamente por meio da URL ou por meio de portais de aplicativo da Microsoft.

Conteúdo relacionado

Em um navegador, conecte-se à URL externa do aplicativo ou selecione o ícone do aplicativo no portal do Microsoft MyApps. Depois de se autenticar no Microsoft Entra ID, você será redirecionado para o servidor virtual do BIG-IP do aplicativo e será conectado automaticamente por SSO.

Para aumentar a segurança, as organizações que usam esse padrão também podem considerar o bloqueio de todo o acesso direto ao aplicativo, forçando, assim, um caminho estrito por meio do BIG-IP.

Implantação avançada

Pode haver casos em que os modelos da Configuração Guiada não têm a flexibilidade para alcançar requisitos mais específicos. Para esses cenários, confira Configuração avançada para o SSO baseado em cabeçalhos.

Como alternativa, o BIG-IP oferece a opção de desabilitar o modo de gerenciamento estrito da Configuração Guiada. Isso permite que você ajuste manualmente as configurações, mesmo que a maior parte delas seja automatizada por meio dos modelos baseados em assistente.

Navegue até Acesso > Configuração Guiada e selecione o pequeno ícone de cadeado na extremidade direita da linha para ver as configurações dos aplicativos.

Captura de tela para Configurar o Botão Fácil – Gerenciamento Estrito.

Nesse ponto, as alterações por meio da interface do usuário do assistente não são mais possíveis, mas todos os objetos do BIG-IP associados à instância publicada do aplicativo são desbloqueados para gerenciamento direto.

Observação

Se você habilitar novamente o modo estrito e implantar uma configuração, serão substituídas as configurações feitas fora da interface do usuário da Configuração Guiada. Portanto, recomendamos o método de configuração avançada para os serviços de produção.

Solução de problemas

A falha em acessar um aplicativo protegido por SHA pode ser devido a vários fatores. O log do BIG-IP pode ajudar a isolar rapidamente todos os tipos de problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis configurados incorretamente. Inicie a solução de problemas aumentando o nível de detalhamento do log.

  1. Navegue até política de acesso > visão geral > Logs de eventos > Configurações.

  2. Selecione a linha do seu aplicativo publicado e, em seguida, Editar> Acessar Logs do Sistema.

  3. Selecione Depurar na lista de SSO e, em seguida, OK.

Reproduza o problema e inspecione os logs, mas lembre-se de reverter essa configuração ao terminar, pois o modo detalhado gera muitos dados.

Se você vir um erro com a marca BIG-IP imediatamente após a pré-autenticação bem-sucedida do Microsoft Entra, é possível que o problema esteja relacionado ao SSO do Microsoft Entra ID para o BIG-IP.

  1. Navegue até Acessar > Visão geral > Acessar relatórios.

  2. Execute o relatório da última hora para verificar se os logs fornecem alguma pista. O link Exibir variáveis de sessão para a sua sessão também ajudará a entender se o APM está recebendo as declarações esperadas do Microsoft Entra ID.

Se você não vir uma página de erro do BIG-IP, o problema provavelmente está mais relacionado à solicitação de back-end ou ao SSO do BIG-IP para o aplicativo.

  1. Nesse caso, acesse a Política de Acesso > Visão Geral> Sessões Ativas e selecione o link da sua sessão ativa.

  2. O link Exibir Variáveis nesse local também pode ajudar a encontrar a causa raiz dos problemas de SSO, especialmente se o APM do BIG-IP não conseguir obter os atributos corretos do Microsoft Entra ID ou de outra fonte.

Para obter mais informações, visite este artigo de conhecimento do F5 Configurando a autenticação remota LDAP para Active Directory. Há também uma ótima tabela de referência do BIG-IP para ajudar a diagnosticar problemas relacionados ao LDAP neste artigo de conhecimento da F5 sobre a consulta LDAP.

  • Last updated on