Tutoriel : Configurez Easy Button de F5 BIG-IP pour l’authentification unique à SAP ERP

Dans cet article, découvrez comment sécuriser SAP ERP à l'aide de Microsoft Entra ID, avec la configuration guidée F5 BIG-IP Easy Button 16.1. L'intégration d'un BIG-IP avec Microsoft Entra ID présente de nombreux avantages :

En savoir plus :

Description du scénario

Ce scénario inclut l’application SAP ERP qui utilise l’authentification Kerberos pour gérer l’accès à un contenu protégé.

Les applications héritées ne disposent pas de protocoles modernes pour prendre en charge l'intégration avec Microsoft Entra ID. Une modernisation est coûteuse, nécessite une planification et présente un risque potentiel de temps d’arrêt. Au lieu de cela, utilisez un contrôleur de livraison d’application (ADC) F5 BIG-IP pour faire le lien entre l’application héritée et le plan de contrôle d’ID moderne, via une transition de protocole.

Un BIG-IP devant l'application permet de superposer le service avec la pré-authentification Microsoft Entra et le SSO basé sur les en-têtes. Cette configuration améliore l’état de la sécurité global des applications.

Architecture du scénario

La solution d’accès hybride sécurisé (SHA) est constituée des composants suivants :

  • Application SAP ERP – un service publié BIG-IP protégé par Microsoft Entra SHA
  • Microsoft Entra ID – Fournisseur d'identité (IdP) Security Assertion Markup Language (SAML) qui vérifie les informations d’identification d’utilisateur, l'accès conditionnel et l'authentification unique basée sur SAML sur le BIG-IP
  • BIG-IP : proxy inverse et fournisseur de services SAML (SP) pour l’application. BIG-IP délègue l’authentification au fournisseur d’identité SAML, puis effectue une authentification unique basée sur l’en-tête auprès du service SAP

SHA prend en charge les flux initiés par le fournisseur de services et le fournisseur d’identité. L’image suivante illustre le flux initié par le fournisseur de services.

Diagramme d’un accès hybride sécurisé, le flux initié par le fournisseur de services.

  1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP).
  2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
  3. Microsoft Entra ID pré-authentifie l'utilisateur et applique les stratégies d'accès conditionnel appliquées.
  4. L’utilisateur est redirigé vers BIG-IP (SP SAML) et l’authentification unique s’effectue avec le jeton SAML émis.
  5. BIG-IP demande un ticket Kerberos à partir du centre de distribution de clés (KDC).
  6. BIG-IP envoie lune requête à l’application back-end avec le ticket Kerberos pour une authentification unique.
  7. L’application autorise la demande et renvoie une charge utile.

Prérequis

Méthodes de configuration BIG-IP

Ce tutoriel utilise la Configuration guidée version 16.1 avec un modèle Easy Button. Avec l’Easy Button, les administrateurs n’ont pas à faire des allers-retours entre Microsoft Entra ID et BIG-IP afin d’activer les services pour SHA. L’Assistant de configuration guidée d’APM et Microsoft Graph gèrent les déploiements et les stratégies. Cette intégration garantit que les applications prennent en charge la fédération d’identités, l’authentification unique et l’accès conditionnel.

Remarque

Remplacez les exemples de chaînes ou de valeurs de ce guide par ceux de votre environnement.

Inscrire Easy Button

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Avant qu’un client ou un service accède à Microsoft Graph, la plateforme d’identités Microsoft doit l’approuver.

Consultez Démarrage rapide : Inscrire une application à l’aide de la plateforme d’identités Microsoft

Enregistrez le client Easy Button dans Microsoft Entra ID, il est alors autorisé d'établir une confiance entre les instances SAML SP d'une application publiée BIG-IP et Microsoft Entra ID en tant qu'IdP SAML.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Inscriptions d’applications>Nouvelle inscription.

  3. Saisissez un Nom pour la nouvelle application.

  4. Dans les Comptes de cet annuaire organisationnel uniquement, spécifiez qui peut utiliser l’application.

  5. Sélectionnez Inscrire.

  6. Accédez à Autorisations de l’API.

  7. Autorisez les autorisations d’application Microsoft Graph suivantes :

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Accorder le consentement administrateur pour votre organisation.

  9. Dans Certificats et secrets, générez une nouvelle clé secrète client.

  10. Notez le secret.

  11. Depuis Vue d’ensemble, notez l’ID client et l’ID de client.

Configurer Easy Button

  1. Lancez la configuration guidée d’APM.
  2. Lancez le modèle Easy Button.
  3. À partir d’un navigateur, connectez-vous à la console de gestion F5 BIG-IP.
  4. Accédez à Accès > Configuration guidée > Intégration Microsoft.
  5. Sélectionnez Application Microsoft Entra.
  6. Évaluez la liste de configuration.
  7. Sélectionnez Suivant.
  8. Suivez la séquence de configuration sous Microsoft Entra Application Configuration.

Capture d’écran d’une séquence de configuration.

Configuration des propriétés

L’onglet Propriétés de la configuration comporte des propriétés de compte de service et crée une configuration d’application BIG-IP et un objet d’authentification unique. La section Détails du compte de service Azure représente le client que vous avez enregistré en tant qu'application, dans le client Microsoft Entra. Utilisez les paramètres du client OAuth de BIG-IP pour inscrire individuellement un fournisseur de services SAML dans le client, avec les propriétés d’authentification unique. Easy Button effectue cette action pour les services BIG-IP publiés et activés pour SHA.

Remarque

Certains paramètres sont globaux et peuvent être réutilisés pour publier d’autres applications.

  1. Saisissez un Nom de configuration. Des noms uniques permettent de différencier les configurations Easy Button.
  2. Pour Authentification unique (SSO) et en-têtes HTTP, sélectionnez Activé.
  3. Pour ID locataire, ID client et Clé secrète client, saisissez l’ID de client, l’ID client et la clé secrète client que vous avez notés lors de l’inscription du client.
  4. Sélectionnez Tester la connexion. Cette action confirme la connexion BIG-IP à votre client.
  5. Sélectionnez Suivant.

Fournisseur de services

Utilisez les paramètres du fournisseur de services pour définir les propriétés de l’instance SP SAML de l’application sécurisée par SHA.

  1. Pour Hôte, saisissez le nom de domaine complet (FQDN) public de l’application en cours de sécurisation.

  2. Pour ID d’entité, saisissez l’identifiant utilisé par Microsoft Entra ID pour identifier le SP SAML demandant un jeton.

    Capture d’écran des options et des sélections pour le fournisseur de services.

  3. (Facultatif) Utilisez les paramètres de sécurité pour indiquer que Microsoft Entra ID chiffre les assertions SAML émises. Les assertions chiffrées entre Microsoft Entra ID et BIG-IP APM augmentent l'assurance que les jetons de contenu ne sont pas interceptés ni les données compromises.

  4. Dans Clé privée de déchiffrement d’assertion, sélectionnez Créer.

    Capture d’écran de l’option Créer dans la liste Clé privée de déchiffrement d’assertion.

  5. Sélectionnez OK.

  6. La boîte de dialogue Importer un certificat et des clés SSL s’ouvre dans un nouvel onglet.

  7. Pour importer le certificat et la clé privée, sélectionnez PKCS 12 (IIS).

  8. Fermez l’onglet du navigateur pour revenir à l’onglet principal.

    Capture d’écran des options et des sélections des certificats et des clés SSL d’importation.

  9. Pour Activer l’assertion chiffrée, activez la case.

  10. Si vous avez activé le chiffrement, dans la liste Clé privée de déchiffrement d'assertion, sélectionnez la clé privée du certificat que BIG-IP APM utilise pour déchiffrer les assertions Microsoft Entra.

  11. Si vous avez activé le chiffrement, dans la liste Certificat de décryptage d'assertion, sélectionnez le certificat téléchargé par BIG-IP sur Microsoft Entra ID pour chiffrer les assertions SAML émises.

Capture d’écran des options et des sélections pour le fournisseur de services.

Microsoft Entra ID

Easy Button fournit des modèles d’applications pour Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP, et un modèle SHA générique.

  1. Pour démarrer une configuration Azure, sélectionnez Composant central SAP ERP >Ajouter.

    Capture d’écran de l’option Composant central SAP ERP dans une configuration Azure et du bouton Ajouter.

    Remarque

    Vous pouvez utiliser les informations des sections suivantes lors de la configuration manuelle d'une nouvelle application SAML BIG-IP dans un client Microsoft Entra.

Configuration d’Azure

  1. Pour Nom d’affichage, saisissez l’application créée par BIG-IP dans le client Microsoft Entra. Le nom apparaît sur l’icône dans le portail Mes applications.

  2. (Facultatif) Laissez l’URL de connexion (facultatif) vide.

    Capture d’écran des entrées pour Nom d’affichage et URL de connexion.

  3. À côté de Clé de signature, sélectionnez Actualiser.

  4. Sélectionnez Certificat de signature. Cette action localise le certificat que vous avez entré.

  5. Pour Phrase secrète de la clé de signature, saisissez le mot de passe du certificat.

  6. (Facultatif) Activez l’option Option de signature. Cette option garantit que BIG-IP accepte les jetons et les revendications signés par Microsoft Entra ID

    Capture d’écran des entrées pour la clé de signature, le certificat de signature et la phrase secrète de la clé de signature.

  7. Les utilisateurs et groupes d'utilisateurs sont interrogés de manière dynamique à partir de votre client Microsoft Entra. Les groupes permettent d’autoriser l’accès à l’application.

  8. Ajoutez un utilisateur ou un groupe pour les tests ; sinon, les accès sont refusés.

    Capture d’écran du bouton Ajouter dans Utilisateurs et Groupes d’utilisateurs.

Attributs utilisateur et revendications

Lorsque les utilisateurs s'authentifient auprès de Microsoft Entra ID, il émet un jeton SAML avec des revendications et des attributs par défaut qui identifient l'utilisateur. L’onglet Attributs utilisateur et revendications montre les revendications par défaut à émettre pour la nouvelle application. Utilisez-le pour configurer d’autres revendications.

Ce tutoriel est basé sur un suffixe de domaine .com utilisé en interne et en externe. Aucun autre attribut n’est nécessaire pour obtenir une implémentation fonctionnelle de l’authentification unique de la délégation Kerberos contrainte (KCD).

Capture d’écran de l’onglet Attributs et Revendications de l’utilisateur.

Vous pouvez inclure davantage d'attributs Microsoft Entra. Dans ce tutoriel, SAP ERP requiert les attributs par défaut.

En savoir plus : Tutoriel : Configurer le manager de stratégie d’accès F5 BIG-IP pour l’authentification Kerberos. Consultez les instructions sur plusieurs domaines ou la connexion de l’utilisateur avec d’autres suffixes.

Attributs utilisateur supplémentaires

L’onglet Attributs utilisateur supplémentaires prend en charge les systèmes distribués nécessitant des attributs stockés dans d’autres annuaires, pour l’augmentation de la session. Par conséquent, les attributs d’une source LDAP (Lightweight Directory Access Protocol) sont injectés sous forme d’en-têtes SSO supplémentaires pour contrôler l’accès basé sur le rôle, les ID de partenaire, etc.

Remarque

Cette fonctionnalité n'a aucune corrélation avec Microsoft Entra ID mais constitue une autre source d'attributs.

Stratégie d’accès conditionnel

Les stratégies d’accès conditionnel sont appliquées après la pré-authentification de Microsoft Entra. Cette action contrôle l’accès en fonction de l’appareil, de l’application, de l’emplacement et des signaux de risque.

L’affichage Stratégies disponibles répertorie des stratégies d’accès conditionnel sans actions basées sur l’utilisateur.

L’affichage Stratégies sélectionnées répertorie les stratégies qui ciblent des applications cloud. Vous ne pouvez pas désélectionner ces stratégies appliquées au niveau du client, ni les déplacer vers la liste des stratégies disponibles.

Pour sélectionner une stratégie pour l’application en cours de publication :

  1. Dans la liste Stratégies disponibles, sélectionnez la stratégie.
  2. Sélectionnez la flèche droite.
  3. Déplacez la stratégie vers la liste des Stratégies sélectionnées.

Les stratégies sélectionnées doivent avoir l’option Inclure ou Exclure cochée. Si les deux options sont cochées, la stratégie sélectionnée n’est pas appliquée.

Capture d’écran des stratégies exclues des stratégies sélectionnées.

Remarque

La liste des stratégies apparaît lorsque vous sélectionnez initialement cet onglet. Utilisez le bouton Actualiser pour interroger votre client. Le bouton Actualiser s’affiche lorsque l’application est déployée.

Propriétés du serveur virtuel

Un serveur virtuel est un objet de plan de données BIG-IP représenté par une adresse IP virtuelle. Ce serveur écoute les requêtes du client adressées à l’application. Le trafic reçu est traité et évalué par rapport au profil APM associé au serveur virtuel. Le trafic est ensuite dirigé conformément à la stratégie.

  1. Saisissez une Adresse de destination. Utilisez l’adresse IPv4/IPv6 que BIG-IP utilise pour recevoir le trafic client. Un enregistrement correspondant existe dans le serveur de noms de domaine (DNS), qui permet aux clients de résoudre l’URL externe de l’application BIG-IP publiée en cette adresse IP. Vous pouvez utiliser un DNS localhost d’ordinateur de test pour effectuer des tests.
  2. Pour Port de service, saisissez 443.
  3. Sélectionnez HTTPS.
  4. Pour Activer le port de redirection, activez la case.
  5. Pour Port de redirection, saisissez un nombre, puis sélectionnez HTTP. Cette option redirige le trafic entrant du client HTTP vers HTTPS.
  6. Sélectionnez le Profil SSL client que vous avez créé. Ou conservez la valeur par défaut pour effectuer des tests. Le profil SSL du client permet d’activer le serveur virtuel pour HTTPS : les connexions clientes sont donc chiffrées sur TLS (Transport Layer Security).

Capture d’écran des options et des sélections pour les propriétés du serveur virtuel.

Propriétés du pool

L’onglet Pool d'applications a des services derrière BIG-IP, représentés comme un pool avec des serveurs d’application.

  1. Pour Sélectionnez un pool, sélectionnez Créer ou sélectionnez un pool.

  2. Pour Méthode d’équilibrage de charge, sélectionnez Tournoi toutes rondes.

  3. Pour Serveurs du pool, sélectionnez un nœud serveur ou saisissez une adresse IP et un port pour le nœud back-end hébergeant l’application basée sur un en-tête.

    Capture d’écran des options et des sélections pour le pool d’applications.

Authentification unique et en-têtes HTTP

Utilisez l’authentification unique pour permettre un accès aux services publiés BIG-IP sans saisir d’identifiants. L’Assistant Easy Button prend en charge Kerberos, OAuth Bearer et les en-têtes d’autorisation HTTP pour l’authentification unique. Pour les instructions suivantes, vous avez besoin du compte de délégation Kerberos que vous avez créé.

  1. Dans Authentification unique et en-têtes HTTP, pour Paramètres avancés, sélectionnez Activé.

  2. Pour Type d’authentification unique sélectionné, sélectionnez Kerberos.

  3. Pour Source du nom d’utilisateur, saisissez une variable de session en tant que source de l’ID d’utilisateur. session.saml.last.identity détient la revendication Microsoft Entra avec l’identifiant utilisateur connecté.

  4. L’option Source du domaine de l’utilisateur est obligatoire si le domaine de l’utilisateur est différent du domaine kerberos de BIG-IP. Par conséquent, la variable de session APM contient le domaine de l’utilisateur connecté. Par exemple : session.saml.last.attr.name.domain.

    Capture d’écran des options et des sélections pour l’Authentification unique et les En-têtes HTTP.

  5. Pour KDC, saisissez une adresse IP de contrôleur de domaine ou un nom de domaine complet si le DNS est configuré.

  6. Pour une Prise en charge UPN, activez la case. L’APM utilise le nom d'utilisateur principal (UPN) pour la création de tickets kerberos.

  7. Pour Modèle SPN, saisissez HTTP/%h. Cette action indique à l’APM d’utiliser l’en-tête d’hôte de requête client et de générer le nom de principal du service (SPN) pour lequel il demande un jeton kerberos.

  8. Pour Envoyer l’autorisation, désactivez l’option pour les applications qui négocient l’authentification. Par exemple, Tomcat.

    Capture d’écran des options et des sélections de la configuration de la méthode d’authentification unique.

Gestion des sessions

Utilisez les paramètres de gestion de session BIG-IP pour définir les conditions dans lesquelles des sessions d’utilisateur se terminent ou se poursuivent. Les conditions incluent des limites pour les utilisateurs et les adresses IP, ainsi que des informations utilisateur correspondantes.

Pour en savoir plus, accédez à my.f5.com et consultez K18390492 : Sécurité | Guide des opérations BIG-IP APM

Le guide des opérations ne couvre pas les Single Log-Out (SLO). Cette fonctionnalité garantit que les sessions entre l'IdP, le BIG-IP et l'agent utilisateur se terminent lorsque les utilisateurs se déconnectent. L'Easy Button déploie une application SAML sur le client Microsoft Entra. Il remplit l’URL de déconnexion avec le point de terminaison APM des SLO. Les déconnexions initiées par le fournisseur d’identité à partir du portail Mes applications terminent BIG-IP et la session client.

Pendant le déploiement, les métadonnées de fédération SAML de l’application publiée sont importées à partir du client. Cette action fournit à l'APM le point de terminaison de déconnexion SAML pour l'Microsoft Entra ID et aide la déconnexion initiée par le SP à mettre fin au client et à la session Microsoft Entra.

Déploiement

  1. Sélectionnez Déployer.
  2. Vérifiez que l’application est répertoriée dans la liste des Applications d’entreprise du client.
  3. Avec un navigateur, connectez-vous à l’URL externe de l’application ou sélectionnez l’icône de l’application dans Mes Applications.
  4. Authentifiez-vous auprès de Microsoft Entra ID.
  5. Vous êtes redirigé vers le serveur virtuel BIG-IP et connecté via l’authentification unique.

Pour augmenter la sécurité, vous pouvez bloquer l’accès direct à l’application, imposant ainsi un chemin d’accès via le BIG-IP.

Déploiement avancé

Les modèles de configuration guidée manquent parfois de flexibilité.

En savoir plus : Tutoriel : Configurer le manager de stratégie d’accès F5 BIG-IP pour l’authentification Kerberos.

Désactiver le mode de gestion strict

Sinon, dans BIG-IP, vous pouvez désactiver le mode de gestion strict de la configuration guidée. Vous pouvez modifier vos configurations manuellement, bien que la plupart des configurations soient automatisées avec des modèles d’Assistant.

  1. Accédez à Accès > Configuration guidée.

  2. À l’extrémité de la ligne correspondant à la configuration de votre application, sélectionnez le cadenas.

  3. Les objets BIG-IP associés à l’application publiée sont déverrouillés pour la gestion. Les modifications via l’interface utilisateur de l’Assistant ne sont plus possibles.

    Capture d’écran de l’icône de cadenas.

    Remarque

    La réactivation du mode d’administration strict et le déploiement d’une configuration remplaçant les paramètres hors de l’interface utilisateur de la Configuration guidée, nous recommandons d’utiliser la méthode de configuration avancée pour les services en production.

Dépannage

Si vous ne parvenez pas à accéder à l’application sécurisée SHA, consultez l’aide suivante sur la résolution des problèmes.

  • Kerberos est sensible au temps. Vérifiez que les serveurs et les clients sont réglés sur la bonne heure et synchronisés sur une source horaire fiable.
  • Vérifiez que le contrôleur de domaine et le nom d’hôte de l’application web sont résolus dans DNS.
  • Vérifiez qu’il n’y a aucun SPN en double dans l’environnement.
    • Sur un ordinateur de domaine, sur la ligne de commande, utilisez la requête : setspn -q HTTP/my_target_SPN

Pour valider une configuration KCD d’application Internet Information Services (IIS), consultez Résolution des problèmes de configuration KCD du proxy d'application

Accédez à techdocs.f5.com et consultez la Méthode d’authentification unique Kerberos

Analyse des journaux

Verbosité du journal

La journalisation BIG-IP isole les problèmes liés à la connectivité, à l’authentification unique, aux violations de stratégies ou aux mappages de variables mal configurés. Pour commencer la résolution des problèmes, augmentez la verbosité du journal.

  1. Accédez à Stratégie d’accès > Vue d'ensemble.
  2. Sélectionnez Journaux des événements.
  3. Sélectionnez Paramètres.
  4. Sélectionnez la ligne correspondant à votre application publiée.
  5. Sélectionnez Modifier.
  6. Sélectionnez Accéder aux journaux système
  7. Dans la liste de l’authentification unique, sélectionnez Déboguer.
  8. Sélectionnez OK.
  9. Reproduisez votre problème.
  10. Inspectez les journaux d'activité.

Une fois l’inspection terminée, rétablissez la verbosité du journal, car ce mode génère des données excessives.

Message d’erreur BIG-IP

Si un message d'erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, le problème peut être lié à l'authentification unique Microsoft Entra ID vers BIG-IP.

  1. Accédez à Accès > Vue d’ensemble.
  2. Sélectionnez Rapports d’accès.
  3. Exécutez le rapport pour la dernière heure.
  4. Inspectez les journaux d'activité.

Utilisez le lien Afficher les variables de session de la session en cours pour voir si APM reçoit les revendications Microsoft Entra attendues.

Aucun message d’erreur BIG-IP

Si aucun message d’erreur BIG-IP est apparu, le problème peut être lié à la requête back-end ou à l’authentification unique entre BIG-IP et l’application.

  1. Accédez à Stratégie d’accès > Vue d'ensemble.
  2. Sélectionnez Sessions actives.
  3. Sélectionnez le lien de la session actuelle.
  4. Utilisez le lien Afficher les variables pour identifier les problèmes de KCD, en particulier si BIG-IP APM n’obtient pas les identifiants d’utilisateur et de domaine corrects à partir des variables de session.

En savoir plus :