Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'accesso Single Sign-On basato su intestazione
Informazioni su come implementare l'accesso ibrido sicuro (SHA) con l'accesso Single Sign-On (SSO) alle applicazioni basate su intestazioni, usando la configurazione avanzata F5 BIG-IP. Applicazioni pubblicate big-IP e vantaggi della configurazione di Microsoft Entra:
- Miglioramento della governance zero trust tramite la preautenticazione e l'accesso condizionale di Microsoft Entra
- Vedere Che cos'è l'accesso condizionale?
- Vedere Sicurezza Zero Trust
- Accesso SSO completo tra i servizi pubblicati da Microsoft Entra ID e BIG-IP
- Identità gestite e accesso da un piano di controllo
- Vedere l'interfaccia di amministrazione di Microsoft Entra
Altre informazioni:
- Integrare F5 BIG-IP con Microsoft Entra ID
- Abilitare l'accesso Single Sign-On per un'applicazione aziendale
Descrizione dello scenario
Per questo scenario, è disponibile un'applicazione legacy che usa intestazioni di autorizzazione HTTP per controllare l'accesso al contenuto protetto. Idealmente, Microsoft Entra ID gestisce l'accesso alle applicazioni. Tuttavia, la legacy non dispone di un protocollo di autenticazione moderno. La modernizzazione richiede impegno e tempo, introducendo al tempo di inattività i costi e i rischi. Distribuire invece un BIG-IP tra la rete Internet pubblica e l'applicazione interna per controllare l'accesso in ingresso all'applicazione.
Un BIG-IP davanti all'applicazione abilita la sovrimpressione del servizio con l'accesso Single Sign-On basato su intestazione e preautenticazione di Microsoft Entra. La configurazione migliora il comportamento di sicurezza dell'applicazione.
Architettura dello scenario
La soluzione di accesso ibrido sicuro per questo scenario è costituita da:
- Applicazione - Servizio pubblicato big-IP da proteggere da Microsoft Entra SHA
- Microsoft Entra ID - Provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO a BIG-IP
- Con SSO, Microsoft Entra ID fornisce gli attributi di sessione necessari per BIG-IP, inclusi gli identificatori utente
- BIG-IP : proxy inverso e provider di servizi SAML (SP) all'applicazione, delega dell'autenticazione all'IdP SAML, prima dell'accesso SSO basato su intestazione all'applicazione back-end
Il diagramma seguente illustra il flusso utente con Microsoft Entra ID, BIG-IP, APM e un'applicazione.
- L'utente si connette all'endpoint SAML SP dell'applicazione (BIG-IP).
- I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (SAML IdP).
- Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale.
- L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito usando il token SAML rilasciato.
- BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta all'applicazione.
- L'applicazione autorizza la richiesta e restituisce il payload.
Prerequisiti
Per lo scenario necessario:
- Una sottoscrizione di Azure
- Se non si ha un account gratuito di Azure, ottenere un account gratuito di Azure
- Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator
- BIG-IP o distribuire big-IP Virtual Edition (VE) in Azure
- Una delle licenze F5 BIG-IP seguenti:
- Bundle migliore F5 BIG-IP®
- Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
- Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM)
- Versione di valutazione completa delle funzionalità big-IP di 90 giorni. Vedi Versioni di valutazione gratuite.
- Identità utente sincronizzate da una directory locale a Microsoft Entra ID
- Un certificato SSL per pubblicare i servizi tramite HTTPS o usare i certificati predefiniti durante il test
- Vedere Profilo SSL
- Un'applicazione basata su intestazione o un'app di intestazione IIS per il test
Metodo di configurazione BIG-IP
Le istruzioni seguenti sono un metodo di configurazione avanzato, un modo flessibile per implementare SHA. Creare manualmente oggetti di configurazione BIG-IP. Usare questo metodo per gli scenari non inclusi nei modelli di configurazione guidata.
Nota
Sostituire stringhe o valori di esempio con quelli dell'ambiente.
Aggiungere F5 BIG-IP dalla raccolta di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Per implementare SHA, il primo passaggio consiste nel configurare un trust federativo SAML tra BIG-IP APM e Microsoft Entra ID. Il trust stabilisce l'integrazione per BIG-IP per distribuire la preautenticazione e l'accesso condizionale all'ID Microsoft Entra, prima di concedere l'accesso al servizio pubblicato.
Altre informazioni: Che cos'è l'accesso condizionale?
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
Nella barra multifunzione superiore selezionare + Nuova applicazione.
Nella raccolta cercare F5.
Selezionare F5 BIG-IP APM Integrazione di Microsoft Entra ID.
Immettere un nome dell'applicazione.
Selezionare Aggiungi/Crea.
Il nome riflette il servizio.
Configurare l'accesso Single Sign-On di Microsoft Entra
Vengono visualizzate le nuove proprietà dell'applicazione F5
Selezionare Gestisci>accesso Single Sign-On
Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Ignorare il prompt per salvare le impostazioni di Single Sign-On.
Selezionare No, verrà salvato in un secondo momento.
In Configura l'accesso Single Sign-On con SAML selezionare l'icona della penna per Configurazione SAML di base.
Sostituire l'URL dell'identificatore con l'URL del servizio pubblicato big-IP. Ad esempio,
https://mytravel.contoso.com
Ripetere per URL di risposta e includere il percorso dell'endpoint SAML di APM. Ad esempio,
https://mytravel.contoso.com/saml/sp/profile/post/acs
Nota
In questa configurazione, il flusso SAML opera in modalità IdP: Microsoft Entra ID rilascia all'utente un'asserzione SAML prima di essere reindirizzata all'endpoint del servizio BIG-IP per l'applicazione. Big-IP APM supporta le modalità IdP e SP.
Per Logout URI (URI disconnessione) immettere l'endpoint SLO (Single Logout) big-IP APM, anteponendo l'intestazione dell'host del servizio. L'URI SLO garantisce che le sessioni APM BIG-IP dell'utente terminano dopo la disconnessione di Microsoft Entra. Per esempio
https://mytravel.contoso.com/saml/sp/profile/redirect/slr
Nota
A partire da TMOS (Traffic Management Operating System) v16 e versioni successive, l'endpoint SLO SAML è stato modificato in
/saml/sp/profile/redirect/slo
.Seleziona Salva.
Uscire dalla configurazione SAML.
Ignorare il prompt di test dell'accesso Single Sign-On.
Per modificare attributi utente e attestazioni > + Aggiungi nuova attestazione, selezionare l'icona della penna .
In Nome selezionare Employeeid.
Per Attributo di origine selezionare user.employeeid.
Seleziona Salva
- Selezionare + Aggiungi un'attestazione di gruppo
- Selezionare Gruppi assegnati all'attributo di origine>dell'applicazione>sAMAccountName.
- Selezionare Salva la configurazione.
- Chiudere la visualizzazione.
- Osservare le proprietà della sezione Attributi utente e attestazioni . Microsoft Entra ID genera le proprietà degli utenti per l'autenticazione APM BIG-IP e l'accesso SSO all'applicazione back-end.
Nota
Aggiungere altre attestazioni previste dall'applicazione pubblicata BIG-IP come intestazioni. Le attestazioni più definite vengono rilasciate se si trovano in Microsoft Entra ID. Definire le appartenenze alla directory e gli oggetti utente in Microsoft Entra ID prima che le attestazioni possano essere rilasciate. Vedere Configurare le attestazioni di gruppo per le applicazioni usando Microsoft Entra ID.
- Nella sezione Certificato di firma SAML selezionare Scarica.
- Il file XML dei metadati di federazione viene salvato nel computer.
I certificati di firma SAML creati da Microsoft Entra ID hanno una durata di tre anni.
Autorizzazione Microsoft Entra
Per impostazione predefinita, Microsoft Entra ID rilascia token agli utenti a cui è concesso l'accesso a un'applicazione.
- Nella visualizzazione di configurazione dell'applicazione selezionare Utenti e gruppi.
- Selezionare + Aggiungi utente e in Aggiungi assegnazione selezionare Utenti e gruppi.
- Nella finestra di dialogo Utenti e gruppi aggiungere i gruppi di utenti autorizzati ad accedere all'applicazione basata sull'intestazione.
- Seleziona Seleziona.
- Seleziona Assegna.
Microsoft Entra SAML federation trust is complete. Configurare quindi BIG-IP APM per pubblicare l'applicazione Web, configurata con le proprietà per completare l'attendibilità della preautenticazione SAML.
Configurazione avanzata
Usare le sezioni seguenti per configurare SAML, intestazione SSO, profilo di accesso e altro ancora.
Configurazione SAML
Per federate l'applicazione pubblicata con Microsoft Entra ID, creare il provider di servizi SAML BIG-IP e gli oggetti IDP SAML corrispondenti.
Selezionare Access Federation SAML Service Provider Local SP Services Create (Accesso>federazione>SAML Service Provider>Local SP Services>Create).
Immetti un valore per Nome.
Immettere l'ID entità definito in Microsoft Entra ID.
Per NOME SP Impostazioni, effettuare selezioni se l'ID entità non corrisponde al nome host dell'URL pubblicato o effettuare selezioni se non è in formato URL basato su nome host normale. Specificare lo schema esterno e il nome host dell'applicazione se l'ID entità è
urn:mytravel:contosoonline
.Scorrere verso il basso per selezionare il nuovo oggetto SAML SP.
Selezionare Bind/UnBind IdP Connessione ors.
Selezionare Crea nuovo provider di identità Connessione or.
Nell'elenco a discesa selezionare Da metadati.
Passare al file XML dei metadati della federazione scaricato.
Immettere un Nome provider di identità per l'oggetto APM per l'IdP SAML esterno. Ad esempio,
MyTravel_EntraID
- Selezionare Aggiungi nuova riga.
- Selezionare il nuovo provider di identità SAML Connessione or.
- Selezionare Aggiorna.
- Seleziona OK.
Configurazione dell'accesso Single Sign-On di intestazione
Creare un oggetto SSO APM.
Selezionare Profili di accesso>/Criteri>per richiesta>Crea.
Immetti un valore per Nome.
Aggiungere almeno una lingua accettata.
Selezionare Completato.
Per i nuovi criteri per richiesta selezionare Modifica.
Viene avviato l'editor dei criteri visivi.
In fallback selezionare il + simbolo.
Nella scheda Utilizzo generico selezionare Intestazioni>HTTP Aggiungi elemento.
Selezionare Aggiungi nuova voce.
Creare tre voci di modifica http e intestazione.
In Nome intestazione immettere upn.
In Valore intestazione immettere %{session.saml.last.identity}.
In Nome intestazione immettere employeeid.
In Valore intestazione immettere %{session.saml.last.attr.name.employeeid}.
In Nome intestazione immettere group_authz.
In Valore intestazione immettere %{session.saml.last.attr.name.
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
}.
Nota
Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. È consigliabile definire gli attributi in lettere minuscole.
- Seleziona Salva.
- Chiudere l'editor dei criteri visivi.
Configurazione del profilo di accesso
Un profilo di accesso associa molti elementi APM che gestiscono l'accesso a server virtuali BIG-IP, inclusi i criteri di accesso, la configurazione SSO e le impostazioni dell'interfaccia utente.
Selezionare Profili di accesso>/Profili>di accesso criteri (criteri per sessione)>Crea.
In Nome immettere MyGuide.
In Tipo di profilo selezionare Tutto.
Per Lingua accettata selezionare almeno una lingua.
selezionare Fine.
Per il profilo per sessione creato, selezionare Modifica.
Viene avviato l'editor dei criteri visivi.
In fallback selezionare il + simbolo.
Selezionare Authentication SAML Auth Add Item (Autenticazione>SAML Auth>Add Item).
Per la configurazione di SAML authentication SP , nell'elenco a discesa AAA Server selezionare l'oggetto SAML SP creato.
Seleziona Salva.
Mapping attributi
Le istruzioni seguenti sono facoltative. Con una configurazione LogonID_Mapping, l'elenco delle sessioni attive BIG-IP ha il nome dell'entità utente (UPN) connesso, non un numero di sessione. Usare questi dati durante l'analisi dei log o la risoluzione dei problemi.
Per il ramo SAML Auth Successful (Autenticazione SAML riuscita ), selezionare il + simbolo .
Nella finestra popup selezionare Assegnazione>variabile Assegna>aggiungi elemento.
Immetti un valore per Nome
Nella sezione Assegnazione variabile selezionare Aggiungi nuova voce>. Ad esempio, LogonID_Mapping.
Per Variabile personalizzata impostare session.saml.last.identity.
Per Variabile di sessione impostare session.logon.last.username.
Selezionare Completato.
Seleziona Salva.
Nel ramo Access Policy Successful (Criteri di accesso riusciti ) selezionare il terminale Deny (Nega terminale).
Seleziona Consenti.
Seleziona Salva.
Selezionare Applica criteri di accesso.
Chiudere l'editor dei criteri visivi.
Configurazione del pool back-end
Per consentire a BIG-IP di inoltrare correttamente il traffico client, creare un oggetto nodo APM che rappresenta il server back-end che ospita l'applicazione. Posizionare il nodo in un pool APM.
Selezionare Elenco pool > > di traffico > locali Crea.
Per un oggetto pool di server, immettere un nome. Ad esempio, MyApps_VMs.
Aggiungere un oggetto membro del pool.
In Nome nodo immettere un nome per il server che ospita l'applicazione Web back-end.
In Indirizzo immettere l'indirizzo IP del server che ospita l'applicazione.
Per Porta del servizio immettere la porta HTTP/S su cui l'applicazione è in ascolto.
Selezionare Aggiungi.
Nota
Per altre informazioni, vedere my.f5.com per K13397: Panoramica della formattazione delle richieste di Monitoraggio integrità HTTP per il sistema DNS BIG-IP.
Configurazione del server virtuale
Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale in ascolto delle richieste dei client all'applicazione. Il traffico ricevuto viene elaborato e valutato con il profilo di accesso APM associato al server virtuale. Il traffico viene indirizzato in base ai criteri.
Selezionare Local Traffic Virtual Server Virtual Server (Server>virtuali del traffico>locale) Create>(Crea).
Immettere un nome server virtuale.
Per Indirizzo di destinazione/Maschera selezionare Host
Immettere un indirizzo IP IPv4 o IPv6 inutilizzato da assegnare all'indirizzo BIG-IP per ricevere il traffico client.
Per Porta del servizio selezionare Porta, 443 e HTTPS.
Per Profilo HTTP (client) selezionare http.
Per Profilo SSL (client) selezionare il profilo SSL client creato o lasciare l'impostazione predefinita per i test.
Per Source Address Translation (Traduzione indirizzi origine) selezionare Auto Map (Mappa automatica).
Per Criteri di accesso selezionare il profilo di accesso creato in precedenza. Questa azione associa il profilo di preautenticazione e le intestazioni di Microsoft Entra SAML al server virtuale.
Per Criteri per richiesta selezionare SSO_Headers.
- Per Pool predefinito selezionare gli oggetti pool back-end creati.
- Selezionare Completato.
Gestione della sessione
Usare l'impostazione di gestione delle sessioni BIG-IP per definire le condizioni per la terminazione o la continuazione della sessione utente. Creare criteri con i profili di accesso ai criteri>di accesso. Seleziona un'applicazione dall'elenco.
Per quanto riguarda la funzionalità SLO, un URI SLO in Microsoft Entra ID garantisce la disconnessione avviata da IdP dal portale MyApps termina la sessione tra il client e big-IP APM. La federazione dell'applicazione importata metadata.xml fornisce a APM l'endpoint di disconnesso SAML di Microsoft Entra, per la disconnessazione avviata da SP. Pertanto, abilitare APM per sapere quando un utente si disconnette.
Se non è presente un portale Web BIG-IP, l'utente non può indicare a APM di disconnettersi. Se l'utente si disconnette dall'applicazione, BIG-IP è oblivioso all'azione. La sessione dell'applicazione può essere ripristinata tramite SSO. Pertanto, la disconnessità avviata da SP richiede un'attenta considerazione.
Per assicurarsi che le sessioni vengano terminate in modo sicuro, aggiungere una funzione SLO al pulsante Disconnessione dell'applicazione. Abilitarlo per reindirizzare il client all'endpoint di disconnessione SAML di Microsoft Entra. Per l'endpoint di disconnessioni SAML per il tenant, passare a Endpoint registrazioni>app.
Se non è possibile modificare l'app, abilitare BIG-IP per l'ascolto della chiamata di disconnessione dell'app e attivare SLO. Per altre informazioni, vedere:
- Passare a support.f5.com per K42052145: Configurazione della terminazione automatica della sessione (disconnessione) in base a un nome file a cui si fa riferimento URI
- Passare a my.f5.com per K12056: Panoramica dell'opzione Includi URI disconnessione
Distribuzione
- Selezionare Distribuisci per eseguire il commit delle impostazioni.
- Verificare che l'applicazione venga visualizzata nel tenant.
- L'applicazione viene pubblicata e accessibile tramite SHA, con l'URL o i portali Microsoft.
Test
Eseguire il test seguente come utente.
Selezionare l'URL esterno dell'applicazione oppure nel portale App personali selezionare l'icona dell'applicazione.
Eseguire l'autenticazione in Microsoft Entra ID.
Viene eseguito un reindirizzamento al server virtuale BIG-IP per l'app ed è stato eseguito l'accesso con SSO.
L'output dell'intestazione inserita viene visualizzato dall'applicazione basata su intestazione.
Per una maggiore sicurezza, bloccare l'accesso diretto all'applicazione, applicando un percorso tramite BIG-IP.
Risoluzione dei problemi
Usare le indicazioni seguenti per la risoluzione dei problemi.
Dettaglio log
I log BIG-IP contengono informazioni per isolare i problemi di autenticazione e SSO. Aumentare il livello di dettaglio del log:
- Passare a Log eventi di Panoramica>dei>criteri di accesso.
- Seleziona Impostazioni.
- Selezionare la riga dell'applicazione pubblicata.
- Selezionare Modifica>log di sistema di accesso.
- Nell'elenco SSO selezionare Debug.
- Seleziona OK.
- Riprodurre il problema.
- Esaminare i log.
- Al termine, ripristinare le impostazioni.
Messaggio di errore BIG-IP
Se viene visualizzato un errore BIG-IP dopo il reindirizzamento, il problema è probabilmente correlato all'accesso SSO da Microsoft Entra ID all'INDIRIZZO BIG-IP.
- Passare a Panoramica dei criteri> di accesso.
- Selezionare Accedi ai report.
- Eseguire il report per l'ultima ora.
- Esaminare i log per individuare gli indizi.
- Per la sessione selezionare il collegamento Visualizza variabili di sessione.
- Verificare che APM riceva le attestazioni previste dall'ID Microsoft Entra.
Nessun messaggio di errore BIG-IP
Se non viene visualizzato alcun messaggio di errore BIG-IP, il problema è probabilmente più correlato all'accesso Single Sign-On dall'IP BIG all'applicazione back-end.
- Passare a Panoramica dei criteri> di accesso.
- Selezionare Sessioni attive.
- Selezionare il collegamento per la sessione attiva.
- Selezionare il collegamento Visualizza variabili per determinare eventuali problemi di Single Sign-On.
- Verificare che il servizio APM BIG-IP abbia esito negativo o abbia esito positivo per ottenere gli identificatori di dominio e utente corretti.
Altre informazioni:
- Passare a devcentral.f5.com per assegnare esempi di variabile APM
- Passare a techdocs.f5.com per Gestione criteri di accesso BIG-IP: Editor criteri visivi