Partilhar via

Configurar o Botão Fácil de BIG-IP do F5 para SSO baseado em cabeçalho para logon único com ID do Microsoft Entra

Neste artigo, você aprenderá a integrar F5 com o Microsoft Entra ID. Ao integrar F5 com o Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao F5.
  • Permita que seus usuários entrem automaticamente no F5 com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Nota

F5 BIG-IP APM Compre agora.

Descrição do cenário

Este cenário examina a aplicação herdada clássica usando cabeçalhos de autorização HTTP para gerir o acesso ao conteúdo protegido.

Sendo legado, o aplicativo carece de protocolos modernos para suportar uma integração direta com o Microsoft Entra ID. O aplicativo pode ser modernizado, mas é caro, requer planejamento cuidadoso e introduz risco de potencial tempo de inatividade. Em vez disso, um F5 BIG-IP Application Delivery Controller (ADC) é usado para preencher a lacuna entre o aplicativo herdado e o plano de controle de ID moderno, por meio da transição de protocolo.

Ter um BIG-IP em frente à aplicação permite-nos sobrepor o serviço com autenticação prévia do Microsoft Entra e SSO baseado em cabeçalhos, melhorando significativamente a postura geral de segurança da aplicação.

Nota

As organizações também podem obter acesso remoto a esse tipo de aplicativo com o proxy de aplicativo Microsoft Entra.

Arquitetura do cenário

A solução SHA para este cenário é composta por:

Aplicação: Serviço publicado BIG-IP para ser protegido pelo Microsoft Entra SHA.

Microsoft Entra ID: Security Assertion Markup Language (IdP) Identity Provider (IdP) responsável pela verificação de credenciais de usuário, Acesso Condicional e SSO baseado em SAML para o BIG-IP. Através do SSO, o Microsoft Entra ID fornece ao BIG-IP todos os atributos de sessão necessários.

BIG-IP: Proxy reverso e provedor de serviços SAML (SP) para o aplicativo, delegando autenticação ao IdP SAML antes de executar o SSO baseado em cabeçalho para o aplicativo de back-end.

SHA para este cenário suporta fluxos iniciados por SP e IdP. A imagem a seguir ilustra o fluxo iniciado pelo SP.

Captura de tela do fluxo iniciado pelo Secure hybrid access - SP.

Passos Descrição
1 O utilizador conecta-se ao endpoint da aplicação (BIG-IP)
2 A política de acesso BIG-IP APM redireciona o usuário para o Microsoft Entra ID (SAML IdP)
3 O Microsoft Entra ID pré-autentica o usuário e aplica todas as políticas de Acesso Condicional impostas
4 O usuário é redirecionado para BIG-IP (SAML SP) e o SSO é executado usando o token SAML emitido
5 O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos em solicitação ao aplicativo
6 Aplicação autoriza pedido e devolve carga útil

Pré-requisitos

Não é necessária experiência prévia em BIG-IP, mas você precisará:

  • Uma subscrição gratuita do Microsoft Entra ID ou superior.

  • Um BIG-IP existente ou implantar um BIG-IP Virtual Edition (VE) no Azure..

  • Qualquer um dos seguintes SKUs de licença F5 BIG-IP.

    • F5 BIG-IP® Melhor pacote.

    • Licença autónoma para o F5 BIG-IP Access Policy Manager™ (APM).

    • F5 BIG-IP Access Policy Manager™ (APM) licença complementar em um BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) existente.

    • Licença de teste completa de 90 dias do BIG-IP.

  • Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID.

  • Uma conta com permissões de Administrador de Aplicativos do Microsoft Entra.

  • Um certificado da Web SSL para publicar serviços por HTTPS ou usar certificados BIG-IP padrão durante o teste.

  • Uma aplicação baseada em cabeçalho existente ou configurar uma aplicação de cabeçalho simples do IIS para testar.

Métodos de configuração BIG-IP

Há muitos métodos para configurar o BIG-IP para esse cenário, incluindo duas opções baseadas em modelo e uma configuração avançada. Este artigo aborda a configuração guiada 16.1 mais recente que oferece um modelo de botão Fácil. Com o Botão Easy, os administradores já não precisam alternar entre o Microsoft Entra ID e um BIG-IP para ativar serviços para o SHA. A implantação e o gerenciamento de políticas são tratados diretamente entre o assistente de Configuração Guiada do APM e o Microsoft Graph. Essa integração avançada entre o BIG-IP APM e o Microsoft Entra ID garante que os aplicativos possam oferecer suporte rápido e fácil à federação de identidades, SSO e Acesso Condicional do Microsoft Entra, reduzindo a sobrecarga administrativa.

Nota

Todas as cadeias de caracteres ou valores de exemplo referenciados ao longo deste guia devem ser substituídos por aqueles para o seu ambiente real.

Botão Fácil de Registar

Antes que um cliente ou serviço possa acessar o Microsoft Graph, ele deve ser confiável pela plataforma de identidade da Microsoft.

Esta primeira etapa cria um registro de aplicativo de locatário que é usado para autorizar o acesso do Botão Fácil ao Graph. Por meio dessas permissões, o BIG-IP tem permissão para implementar as configurações necessárias para estabelecer uma confiança entre uma instância de SP SAML para o aplicativo publicado e o Microsoft Entra ID como IdP SAML.

  1. Entre no portal do Azure usando uma conta com direitos administrativos de aplicativo.

  2. No painel de navegação esquerdo, selecione o serviço Microsoft Entra ID .

  3. Em Gerir, selecione Registos de Aplicações>Novo registo.

  4. Insira um nome para exibição para seu aplicativo, como F5 BIG-IP Easy Button.

  5. Especifique quem pode usar as Contas do aplicativo >somente neste diretório organizacional.

  6. Selecione Registrar para concluir o registro inicial do aplicativo.

  7. Navegue até API permissões e autorize as seguintes permissões de aplicação do Microsoft Graph:

    • Aplicação.Read.All
    • Application.ReadWrite.All
    • Aplicação.Leitura/Escrita.Pertencente a
    • Permissão "Directory.Read.All" (Ler Todo o Diretório)
    • Grupo.Leia.Tudo
    • IdentityRiskyUser.Read.All
    • Política.Leia.Tudo
    • Política.LeituraEscrita.ConfiguraçãoDaAplicação
    • Política.LeituraEscrita.AcessoCondicional
    • Utilizador.Read.All

  8. Conceda consentimento de administrador para sua organização.

  9. Na folha Certificados & Segredos, gere um novo segredo do cliente e anote-o.

  10. Na folha Visão geral, anote a ID do Cliente e a ID do Locatário.

Configurar o botão Fácil

Inicie a Configuração Guiada do APM para iniciar o Modelo de Botão Fácil.

  1. Navegue até > e selecione >.

  2. Em Configurando a solução usando as etapas abaixo criará os objetos necessários, revise a lista de etapas de configuração e selecione Avançar.

  3. Em Configuração guiada, siga a sequência de etapas necessárias para publicar seu aplicativo.

Propriedades de Configuração

A guia Propriedades de configuração cria uma configuração de aplicativo BIG-IP e um objeto SSO. Considere a seção Detalhes da Conta de Serviço do Azure para representar o cliente que você registrou em seu locatário do Microsoft Entra anteriormente, como um aplicativo. Essas configurações permitem que o cliente OAuth de um BIG-IP registre individualmente um Provedor de Serviços SAML diretamente no seu inquilino, juntamente com as propriedades de SSO que normalmente configuraria manualmente. O Easy Button faz isso para cada serviço BIG-IP que está sendo publicado e ativado para SHA.

Algumas delas são configurações globais, portanto, podem ser reutilizadas para publicar mais aplicativos, reduzindo ainda mais o tempo e o esforço de implantação.

  1. Insira um Nome de Configuração exclusivo para que os administradores possam distinguir facilmente entre as configurações do Botão Fácil.

  2. Ative o logon único (SSO) e cabeçalhos HTTP.

  3. Introduza o ID do Inquilino, o ID do Cliente e o Segredo do Cliente que anotou ao registar o cliente do Botão Fácil no seu inquilino.

  4. Confirme se o BIG-IP pode se conectar com êxito ao seu locatário e selecione Avançar.

    Captura de ecrã para as propriedades de Configuração Geral e Conta de Serviço.

Fornecedor de Serviços

As configurações do provedor de serviços definem as propriedades para a instância SAML SP do aplicativo protegido por SHA.

  1. Entre em Host. Este é o FQDN público do aplicativo que está sendo protegido.

  2. Insira o ID da entidade. Este é o identificador que Microsoft Entra ID usará para identificar o Provedor de Serviço SAML que solicita um token.

    Captura de ecrã para as definições do Fornecedor de Serviços.

    As Configurações de Segurança opcionais especificam se o ID do Microsoft Entra deve criptografar asserções SAML emitidas. A encriptação das asserções entre o Microsoft Entra ID e o BIG-IP APM fornece garantia adicional de que os tokens de conteúdo não podem ser intercetados e os dados pessoais ou corporativos não sejam comprometidos.

  3. Na lista Assertion Decryption Private Key, selecione Create New.

    Captura de tela para Configurar Botão Fácil - Criar Nova importação.

  4. Selecione OK. Isso abre a caixa de diálogo Importar Certificado SSL e Chaves num novo separador.

  5. Selecione PKCS 12 (IIS) para importar o certificado e a chave privada. Depois de provisionado, feche a guia do navegador para retornar à guia principal.

    Captura de tela para Configurar Botão Fácil - Importar novo certificado.

  6. Marque Ativar Asserção Criptografada.

  7. Se tiver ativado a encriptação, selecione o seu certificado na lista Chave Privada de Desencriptação de Asserção. Esta é a chave privada para o certificado que o BIG-IP APM usará para descriptografar as asserções do Microsoft Entra.

  8. Se tiver ativado a encriptação, selecione o seu certificado na lista Certificado de Desencriptação de Asserção . Este é o certificado que o BIG-IP carregará para o Microsoft Entra ID para criptografar as asserções SAML emitidas.

Captura de ecrã para as definições de segurança do Fornecedor de Serviços.

Microsoft Entra ID (um serviço de identificação da Microsoft)

Esta seção define todas as propriedades que você normalmente usaria para configurar manualmente um novo aplicativo BIG-IP SAML em seu locatário do Microsoft Entra. O Easy Button fornece um conjunto de modelos de aplicativos predefinidos para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e modelo SHA genérico para quaisquer outros aplicativos.

Para este cenário, na página Configuração do Azure, selecione Integração do F5 BIG-IP APM com o Azure AD>Adicionar.

Configuração do Azure

Na página Configuração do Azure, siga estas etapas:

  1. Em Propriedades de Configuração, insira Nome de Exibição do aplicativo que o BIG-IP cria em seu locatário do Microsoft Entra e o ícone que os usuários verão no portal MyApps.

  2. não insira nada na URL de logon (opcional) para habilitar o logon iniciado pelo IdP.

  3. Selecione o ícone de atualização ao lado da Chave de Assinatura e do Certificado de Assinatura para localizar o certificado importado anteriormente.

  4. Insira a senha do certificado em Senha da chave de assinatura.

  5. Habilite a opção de assinatura (opcional). Isso garante que o BIG-IP só aceite tokens e declarações assinadas pelo Microsoft Entra ID.

    Captura de tela para a configuração do Azure - Adicionar informações de certificados de assinatura.

  6. Utilizadores e Grupos de Utilizadores são consultados dinamicamente do inquilino Microsoft Entra e usados para autorizar o acesso à aplicação. Adicione um usuário ou grupo que você pode usar mais tarde para teste, caso contrário, todo o acesso será negado.

    Captura de ecrã para a configuração do Azure - Adicionar utilizadores e grupos.

Atributos do usuário & Declarações

Quando um usuário se autentica com êxito, o Microsoft Entra ID emite um token SAML com um conjunto padrão de declarações e atributos que identificam exclusivamente o usuário. A guia Atributos do Usuário & Declarações mostra as declarações padrão a serem emitidas para o novo aplicativo. Ele também permite configurar mais declarações.

Neste exemplo, você pode incluir mais um atributo:

  1. Digite Header Name como employeeid.

  2. Insira Source Attribute como user.employeeid.

    Captura de tela para atributos e declarações do usuário.

Atributos de usuário adicionais

Na guia Atributos de usuário adicionais, você pode habilitar o aumento de sessão exigido por uma variedade de sistemas distribuídos, como Oracle, SAP e outras implementações baseadas em JAVA que exigem atributos armazenados em outros diretórios. Os atributos obtidos de uma fonte LDAP podem ser injetados como cabeçalhos SSO adicionais para controlar ainda mais o acesso com base em funções, IDs de parceiros e assim por diante.

Nota

Esse recurso não tem correlação com o ID do Microsoft Entra, mas é outra fonte de atributos. 

Política de Acesso Condicional

As políticas de Acesso Condicional são aplicadas após a pré-autenticação do Microsoft Entra, para controlar o acesso com base no dispositivo, aplicativo, local e sinais de risco.

A vista Políticas Disponíveis, por padrão, listará todas as políticas de Acesso Condicional que não incluem ações baseadas no utilizador.

O modo de exibição Políticas Selecionadas, por padrão, exibe todas as políticas direcionadas a Todos os recursos. Essas políticas não podem ser desmarcadas ou movidas para a lista "Políticas Disponíveis", uma vez que são aplicadas a nível de inquilino.

Para selecionar uma política a ser aplicada ao aplicativo que está sendo publicado:

  1. Selecione a política desejada na lista Políticas disponíveis.
  2. Selecione a seta para a direita e mova-a para a lista Políticas selecionadas .

As políticas selecionadas devem ter uma opção Incluir ou Excluir marcada. Se ambas as opções estiverem marcadas, a política selecionada não será imposta.

Captura de ecrã para políticas de Acesso Condicional.

Nota

A lista de políticas é enumerada apenas uma vez quando se alterna pela primeira vez para esta guia. Um botão de atualização está disponível para forçar manualmente o assistente a consultar seu locatário, mas esse botão é exibido somente quando o aplicativo foi implantado.

Propriedades do Virtual Server

Um servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual escutando solicitações de clientes para o aplicativo. Qualquer tráfego recebido é processado e avaliado em relação ao perfil APM associado ao servidor virtual, antes de ser direcionado de acordo com os resultados e configurações da política.

  1. Insira o endereço de destino. Este é qualquer endereço IPv4/IPv6 disponível que o BIG-IP pode usar para receber tráfego de cliente. Um registro correspondente também deve existir no DNS, permitindo que os clientes resolvam a URL externa do seu aplicativo publicado BIG-IP para esse IP, em vez do próprio aplicativo. Usar o DNS localhost de um PC de teste é bom para testes.

  2. Insira Porta de Serviço como 443 para HTTPS.

  3. Marque Ativar Porta de Redirecionamento e insira Porta de Redirecionamento. Ele redireciona o tráfego de entrada do cliente HTTP para HTTPS.

  4. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, para que as conexões do cliente sejam criptografadas por TLS. Selecione o Perfil SSL do Cliente que você criou como parte dos pré-requisitos ou deixe o padrão durante o teste.

    Captura de tela para o servidor virtual.

Propriedades da piscina

A guia Pool de Aplicativos detalha os serviços por trás de um BIG-IP que são representados como um pool, contendo um ou mais servidores de aplicativos.

  1. Escolha entre Escolher um Pool. Crie um novo pool ou selecione um existente.

  2. Escolha o Método de Balanceamento de Carga como Round Robin.

  3. Para Servidores de Pool, selecione um nó existente ou especifique o IP e a porta para o servidor que aloja a aplicação baseada em cabeçalhos.

    Captura de ecrã para grupo de aplicações.

Nosso aplicativo de back-end fica na porta HTTP 80, mas obviamente alterna para 443 se o seu for HTTPS.

Logon único & cabeçalhos HTTP

A habilitação do SSO permite que os usuários acessem serviços publicados pelo BIG-IP sem precisar inserir credenciais. O assistente Easy Button suporta Kerberos, OAuth Bearer e cabeçalhos de autorização HTTP para SSO, o último dos quais habilitaremos para configurar o seguinte.

  • Operação de cabeçalho:Insert

  • Nome do cabeçalho:upn

  • Valor do cabeçalho:%{session.saml.last.identity}

  • Operação de cabeçalho:Insert

  • Nome do cabeçalho:employeeid

  • Valor do cabeçalho:%{session.saml.last.attr.name.employeeid}

    Captura de tela para cabeçalhos SSO e HTTP.

Nota

As variáveis de sessão APM definidas entre parênteses são sensíveis a maiúsculas e minúsculas. Por exemplo, se você inserir OrclGUID quando o nome do atributo Microsoft Entra estiver sendo definido como orclguid, isso causará uma falha de mapeamento de atributo.

Gestão de Sessões

As configurações de gerenciamento de sessão BIG-IPs são usadas para definir as condições sob as quais as sessões de usuário são encerradas ou permitidas para continuar, limites para usuários e endereços IP e informações de usuário correspondentes. Consulte os documentos do F5 para obter detalhes sobre essas configurações.

O que não é abordado aqui, no entanto, é a funcionalidade Single Log-Out (SLO), que garante que todas as sessões entre o IdP, o BIG-IP e o agente do utilizador sejam encerradas à medida que os utilizadores encerram sessão. Quando o Botão Fácil instancia um aplicativo SAML em seu locatário do Microsoft Entra, ele também preenche a URL de Logout com o ponto de extremidade SLO do APM. Dessa forma, os encerramentos de sessão iniciados pelo IdP no portal Microsoft Entra My Apps também encerram a sessão entre o BIG-IP e um cliente.

Juntamente com isso, os metadados de federação SAML para a aplicação publicada também são importados do seu inquilino, proporcionando ao APM o ponto de extremidade de logout SAML para o Microsoft Entra ID. Isso garante que as saídas iniciadas pelo SP encerrem a sessão entre um cliente e o ID do Microsoft Entra. Mas para que isso seja realmente eficaz, o APM precisa saber exatamente quando um usuário sai do aplicativo.

Se o portal BIG-IP webtop for utilizado para aceder a aplicações publicadas, o APM processará a saída a partir de lá, chamando também o ponto final de término de sessão do Microsoft Entra. Mas considere um cenário em que o portal do webtop BIG-IP não é usado, então o usuário não tem como instruir o APM a sair. Mesmo que o usuário saia do próprio aplicativo, o BIG-IP é tecnicamente alheio a isso. Portanto, por esse motivo, o encerramento de sessão iniciado pelo SP precisa de cuidadosa consideração para garantir que as sessões sejam terminadas com segurança quando não forem mais necessárias. Uma maneira de conseguir isso seria adicionar uma função SLO ao botão de terminar sessão das suas aplicações, para que possa redirecionar o seu cliente para o ponto de extremidade de terminação de sessão do Microsoft Entra SAML ou BIG-IP. A URL para o ponto de extremidade de saída SAML do seu locatário pode ser encontrada em Registos de Aplicações > Pontos de extremidade .

Se fazer uma alteração no aplicativo for impossível, considere fazer com que o BIG-IP escute a chamada de saída do aplicativo e, ao detetar a solicitação, acione o SLO. Consulte a nossa orientação de SLO do Oracle PeopleSoft para usar iRules BIG-IP para alcançar este objetivo. Mais detalhes sobre o uso de BIG-IP iRules para alcançar isso estão disponíveis no artigo de conhecimento da F5 Configurar a terminação automática de sessão (logout) com base em um nome de arquivo referenciado por URI e Panorama da opção URI de Logout Incluído.

Resumo

Esta última etapa fornece um detalhamento de suas configurações. Selecione Implantar para confirmar todas as configurações e verificar se o aplicativo agora existe na lista de locatários de 'Aplicativos corporativos.

Seu aplicativo agora deve ser publicado e acessível via SHA, diretamente por meio de sua URL ou através dos portais de aplicativos da Microsoft.

Conteúdo relacionado

Em um navegador, conecte-se à URL externa do aplicativo ou selecione o ícone do aplicativo no portal Microsoft MyApps. Depois de se autenticar no Microsoft Entra ID, você será redirecionado para o servidor virtual BIG-IP do aplicativo e entrará automaticamente por meio do SSO.

Para aumentar a segurança, as organizações que usam esse padrão também podem considerar bloquear todo o acesso direto ao aplicativo, forçando assim um caminho rigoroso através do BIG-IP.

Implementação avançada

Pode haver casos em que os modelos de Configuração Guiada não tenham flexibilidade para atingir requisitos mais específicos. Para esses cenários, consulte Configuração avançada para SSO baseado em cabeçalhos.

Como alternativa, o BIG-IP oferece a opção de desativar o modo de gerenciamento estrito da Configuração Guiada. Isso permite-lhe ajustar manualmente as suas configurações, mesmo que a maior parte delas sejam automatizadas através dos modelos baseados no assistente.

Você pode navegar até > e selecionar o ícone pequeno de cadeado na extremidade direita da linha para as configurações dos seus aplicativos.

Captura de ecrã de Configurar Botão Fácil - Gestão Estrita.

Nesse ponto, as alterações através do assistente não são mais possíveis, mas todos os objetos BIG-IP associados à instância publicada da aplicação são desbloqueados para gestão direta.

Nota

A reativação do modo estrito e a implantação de uma configuração substituirão quaisquer configurações executadas fora da interface do usuário de configuração guiada, portanto, recomendamos o método de configuração avançada para serviços de produção.

Resolução de Problemas

A falha no acesso a um aplicativo protegido por SHA pode ser devido a vários fatores. O registro em log do BIG-IP pode ajudar a isolar rapidamente todos os tipos de problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis mal configurados. Comece a solucionar problemas aumentando o nível de verbosidade do log.

  1. Navegue até Política de Acesso > Visão Geral > Logs de Eventos > Configurações.

  2. Selecione a linha da aplicação publicada e, em seguida, Editar > registos de sistema de acesso.

  3. Selecione Depurar na lista SSO e, em seguida, OK.

Reproduza o problema e, em seguida, inspecione os logs, mas lembre-se de voltar a alterar isto quando terminar, pois o modo verboso gera muitos dados.

Se for exibido um erro da marca BIG-IP imediatamente após a pré-autenticação bem-sucedida do Microsoft Entra, é possível que o problema esteja relacionado com o SSO do Microsoft Entra ID para o BIG-IP.

  1. Navegue até Visão geral > do Access > Acesse relatórios.

  2. Execute o relatório na última hora para ver se os logs fornecem alguma pista. O link Exibir variáveis de sessão para sua sessão também ajudará a entender se o APM está recebendo as declarações esperadas do Microsoft Entra ID.

Se você não vir uma página de erro BIG-IP, o problema provavelmente está mais relacionado à solicitação de back-end ou SSO do BIG-IP para o aplicativo.

  1. Nesse caso, vá para Access Policy > Overview > Ative Sessions e selecione o link para sua sessão ativa.

  2. O link Ver Variáveis neste local também pode ajudar a identificar a origem dos problemas de SSO, particularmente se o BIG-IP APM não conseguir obter os atributos corretos do Microsoft Entra ID ou de outra fonte.

Para obter mais informações, visite este artigo de conhecimento F5 Configurando a autenticação remota LDAP para o Ative Directory. Há também uma ótima tabela de referência BIG-IP para ajudar a diagnosticar problemas relacionados ao LDAP neste artigo de conhecimento F5 sobre Consulta LDAP.

  • Last updated on