Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso SSO basato su intestazione

Informazioni su come proteggere le applicazioni basate su intestazioni con Microsoft Entra ID, con la configurazione guidata di F5 BIG-IP Easy Button v16.1.

L'integrazione di BIG-IP con Microsoft Entra ID offre molti vantaggi, tra cui:

Altre informazioni:

Descrizione dello scenario

Questo scenario illustra l'applicazione legacy usando le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto. Gli strumenti legacy non dispongono di protocolli moderni per supportare l'integrazione diretta con Microsoft Entra ID. La modernizzazione è costosa, richiede molto tempo e comporta un rischio di tempo di inattività. Usare invece un controller ADC F5 BIG-IP per colmare il divario tra l'applicazione legacy e il piano di controllo dell'ID moderno, tramite la transizione del protocollo.

Con un BIG-IP davanti all'applicazione, è possibile sovrapporre il servizio con la preautenticazione e l'accesso SSO basato su intestazioni di Microsoft Entra. Questa configurazione migliora la postura di sicurezza generale delle applicazioni.

Nota

Le organizzazioni possono avere accesso remoto a questo tipo di applicazione con il proxy dell'applicazione Microsoft Entra. Per altre informazioni, consultare Accesso remoto alle applicazioni locali tramite Microsoft Entra Application Proxy

Architettura dello scenario

La soluzione SHA contiene:

  • Applicazione: servizio pubblicato di BIG-IP protetto con SHA di Microsoft Entra
  • Microsoft Entra ID: provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAML al BIG-IP. Con SSO, Microsoft Entra ID fornisce attributi di sessione a BIG-IP.
  • BIG-IP: proxy inverso e provider di servizi (SP) SAML per l'applicazione, che delega l'autenticazione al provider di identità SAML prima di eseguire l'accesso SSO basato su intestazione all'applicazione backend.

Per questo scenario, SHA supporta i flussi avviati da SP e IdP. Il diagramma seguente illustra il flusso avviato dal provider di servizi.

Diagramma della configurazione con un flusso avviato da SP.

  1. L'utente si connette all'endpoint applicazione (BIG-IP).
  2. Il criterio di accesso BIG-IP APM reindirizza l'utente a Microsoft Entra ID (provider di identità SAML).
  3. Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale.
  4. L'utente viene reindirizzato a BIG-IP (provider di servizi SAML) e l'accesso SSO viene eseguito usando il token SAML rilasciato.
  5. BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta dell'applicazione.
  6. L'applicazione autorizza la richiesta e restituisce il payload.

Prerequisiti

Per questo scenario, sono necessari:

Configurazione di BIG-IP

Questa esercitazione usa la configurazione guidata v16.1 con un modello Easy Button. Con Easy Button, gli amministratori non devono più fare avanti e indietro per abilitare i servizi SHA. La procedura di configurazione guidata e Microsoft Graph gestiscono la distribuzione e la gestione dei criteri. L'integrazione di APM di BIG-IP e Microsoft Entra garantisce che le applicazioni supportino la federazione delle identità, l'accesso SSO e l'accesso condizionale.

Nota

Sostituire le stringhe o i valori di esempio con quelli dell'ambiente in uso.

Registrare Easy Button

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Prima che un client o un servizio possa accedere a Microsoft Graph, deve essere considerato attendibile da Microsoft Identity Platform.

Altre informazioni: Guida introduttiva: Registrare un'applicazione con Microsoft Identity Platform.

Creare una registrazione dell'app tenant per autorizzare l'accesso Easy Button a Graph. Con queste autorizzazioni, BIG-IP esegue il push delle configurazioni per stabilire un’attendibilità tra un'istanza del provider di servizi SAML per l'applicazione pubblicata e Microsoft Entra ID come provider di identità SAML.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Andare a Identità>Applicazioni>Registrazioni app>Nuova registrazione.

  3. Alla voce Gestisci, selezionare Registrazioni app > Nuova registrazione.

  4. Immettere un Nome per l'applicazione.

  5. Specificare chi usa l'applicazione.

  6. Selezionare Account solo in questa directory dell'organizzazione.

  7. Selezionare Registra.

  8. Andare a Autorizzazioni API.

  9. Autorizzare le seguenti autorizzazioni dell'applicazione Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  10. Concedere il consenso amministratore per l'organizzazione.

  11. In Certificati e segreti, generare un nuovo segreto client. Prendere nota del segreto client.

  12. In Panoramica, prendere nota dell'ID client e dell'ID tenant.

Configurare Easy Button

  1. Avviare la configurazione guidata di APM.

  2. Avviare il modello Easy Button.

  3. Andare ad Accesso > Configurazione guidata.

  4. Selezionare Integrazione Microsoft

  5. Selezionare Applicazione Microsoft Entra.

  6. Rivedere i passaggi di configurazione.

  7. Selezionare Avanti.

  8. Usare la sequenza di passaggi illustrati per pubblicare l'applicazione.

    Diagramma della sequenza di pubblicazione.

Configuration Properties

Usare la scheda Proprietà di configurazione per creare una configurazione dell'applicazione BIG-IP e un oggetto SSO. I dettagli dell'account del servizio di Azure rappresentano il client registrato nel tenant di Microsoft Entra. Usare le impostazioni per il client OAuth BIG-IP per registrare un provider di servizi SAML nel tenant con le proprietà SSO. Easy Button esegue questa azione per i servizi BIG-IP pubblicati e abilitati per SHA.

È possibile riutilizzare le impostazioni per pubblicare più applicazioni.

  1. Immettere un Nome configurazione.
  2. Per Single Sign-On (SSO) e intestazioni HTTP, selezionare .
  3. Per ID tenant, ID client e Segreto client, immettere le informazioni annotate.
  4. Verificare che BIG-IP si connetta al tenant.
  5. Seleziona Avanti.

Provider di Servizi

Nelle impostazioni del provider di servizi, definire le impostazioni dell'istanza di SAML SP per l'applicazione protetta da SHA.

  1. Immettere un Host, l'FQDN pubblico dell'applicazione.

  2. Immettere un ID di entità, l'identificatore che Microsoft Entra ID usa per identificare il provider di servizi SAML che richiede un token.

  3. (Facoltativo) In Impostazioni di protezione, selezionare Abilita asserzione crittografia per abilitare Microsoft Entra ID perla crittografia delle asserzioni SAML rilasciate. Le asserzioni di crittografia di Microsoft Entra ID e APM BIG-IP consentono di garantire che i token di contenuto non vengano intercettati, così come i dati personali o aziendali compromessi.

  4. In Impostazioni di protezione, dall'elenco Chiave privata di decrittografia asserzione, selezionare Crea nuova.

    Screenshot dell'opzione Crea nuova nell'elenco Chiave privata di decrittografia asserzione.

  5. Selezionare OK.

  6. Viene visualizzata la finestra di dialogo Importa certificato SSL e chiavi.

  7. Per Tipo di importazione, selezionare Public Key Cryptography Standards 12 (IIS). Questa azione importa il certificato e la chiave privata.

  8. Per Certificato e Nome chiave, selezionare Nuovo e immettere l'input.

  9. Consente di immettere la password.

  10. Selezionare Importa.

  11. Chiudere la scheda del browser per tornare alla scheda principale.

Screenshot delle selezioni e delle voci per l'origine della chiave del certificato SSL.

  1. Selezionare la casella di controllo Abilita asserzione crittografata.
  2. Se è stata abilitata la crittografia, dall'elenco Chiave privata di decrittografia asserzione selezionare il certificato. BIG-IP APM usa questa chiave privata del certificato per decrittografare le asserzioni di Microsoft Entra.
  3. Se è stata abilitata la crittografia, nell'elenco Certificato di decrittografia asserzione, selezionare il certificato. BIG-IP carica questo certificato in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

Screenshot di due voci e di un'opzione per Impostazioni di protezione.

Microsoft Entra ID

Usare le istruzioni seguenti per configurare una nuova applicazione SAML BIG-IP nel tenant di Microsoft Entra. Easy Button include modelli di applicazione per Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e un modello SHA generico.

  1. In Configurazione di Azure, in Proprietà di configurazione, selezionare Integrazione Microsoft Entra ID con F5 BIG-IP APM.
  2. Selezionare Aggiungi.

Configurazione di Azure

  1. Immettere un Nome visualizzato dell'app che BIG-IP crea nel tenant di Microsoft Entra. Gli utenti visualizzano il nome con un'icona in App personali di Microsoft.

  2. Ignorare l'URL di accesso (facoltativo).

  3. Accanto a Chiave di firma e Certificato di firma, selezionare aggiorna per individuare il certificato importato.

  4. Immettere la password del certificato in Passphrase della chiave di firma.

  5. (Facoltativo) Abilitare l'opzione di firma per garantire che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.

    Screenshot della configurazione di Azure - Aggiunta di informazioni ai certificati di firma

  6. L'input per Utenti e gruppi di utenti viene sottoposto a query in modo dinamico.

    Importante

    Aggiungere un utente o un gruppo per il test; in caso contrario, viene negato tutto l'accesso. In Utenti e gruppi di utenti, selezionare + Aggiungi.

    Screenshot dell'opzione Aggiungi in Utenti e gruppi di utenti.

Attributi utente e attestazioni

Quando un utente esegue l'autenticazione, Microsoft Entra ID rilascia un token SAML con attestazioni e attributi che identificano l'utente. La scheda Attributi utente e attestazioni contiene le attestazioni predefinite per la nuova applicazione. Usare la scheda per configurare altre attestazioni.

Includere un altro attributo:

  1. In Nome intestazione, immettere employeeid.

  2. In Attributo di origine, immettere user.employeeid.

    Screenshot dei valori in Attestazioni aggiuntive.

Attributi utente aggiuntivi

Nella scheda Attributi utente aggiuntivi, abilitare l'aumento della sessione. Usare questa funzionalità per sistemi distribuiti, ad esempio Oracle, SAP e altre implementazioni JAVA che richiedono l'archiviazione degli attributi in altre directory. Gli attributi recuperati da un'origine Lightweight Directory Access Protocol (LDAP) vengono inseriti come più intestazioni SSO. Questa azione consente di controllare l'accesso in base a ruoli, ID partner e così via.

Nota

Questa funzionalità non ha alcuna correlazione con Microsoft Entra ID. Si tratta di un'origine dell'attributo. 

Criteri di accesso condizionale

I criteri di accesso condizionale controllano l'accesso in base ai dispositivi, applicazioni, posizioni e segnali di rischio.

  • In Criteri disponibili, trovare criteri di accesso condizionale senza azioni utente
  • In Criteri selezionati, trovare i criteri delle app cloud
    • Non è possibile deselezionare questi criteri o spostarli nei Criteri disponibili, poiché vengono applicati a livello di tenant

Per selezionare un criterio da applicare all'applicazione da pubblicare:

  1. Nella scheda Criteri di accesso condizionale, selezionare un criterio nell'elenco Criteri disponibili.
  2. Selezionare la freccia DESTRA e spostarla nell'elenco Criteri selezionati.

Nota

È possibile selezionare l'opzione Includi o Escludi per un criterio. Se sono selezionate entrambe le opzioni, il criterio viene annullato.

Screenshot dell'opzione Escludi selezionata per i criteri in Criteri selezionati.

Nota

L'elenco dei criteri viene visualizzato quando si seleziona la scheda Criteri di accesso condizionale. Selezionando Aggiorna, la procedura guidata esegue una query sul tenant. L'aggiornamento viene visualizzato dopo la distribuzione di un'applicazione.

Proprietà del server virtuale

Un server virtuale è un oggetto del piano dati BIG-IP rappresentato da un indirizzo IP virtuale. Il server è in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale. Il traffico viene indirizzato in base ai criteri.

  1. Per Indirizzo di destinazione, immettere un indirizzo IPv4 o IPv6 usato da BIG-IP per ricevere il traffico client. Assicurarsi di configurare un record corrispondente nel server DNS che consenta ai client di risolvere l'URL esterno dall'applicazione pubblicata di BIG-IP all'indirizzo IP. È possibile usare il DNS localhost del computer per il test.

  2. Per Porta servizio, immettere 443 e selezionare HTTPS.

  3. Selezionare la casella di controllo Abilita porta di reindirizzamento.

  4. Immettere un valore per Porta di reindirizzamento. Questa opzione reindirizza il traffico client HTTP in ingresso a HTTPS.

  5. Selezionare il Profilo SSL client creato o lasciare l'impostazione predefinita per i test. Il profilo SSL client abilita il server virtuale per HTTPS, in modo che le connessioni client vengano crittografate tramite TLS.

    Screenshot dell'indirizzo di destinazione, della porta del servizio e di un profilo selezionato nelle Proprietà del server virtuale.

Proprietà del pool

La scheda Pool applicazioni include servizi dietro un BIG-IP, rappresentati come un pool con uno o più server applicazioni.

  1. Per Seleziona un pool, selezionare Crea nuovo o selezionarne un altro.

  2. Per Metodo di bilanciamento del carico, selezionare Round robin.

  3. Per Server pool, selezionare un nodo o selezionare un indirizzo IP e una porta per il server che ospita l'applicazione basata sull'intestazione.

    Screenshot dell'indirizzo IP o del nome del nodo e dell'input della porta nelle proprietà del pool.

    Nota

    L'applicazione back-end Microsoft si trova sulla porta HTTP 80. Se si seleziona HTTPS, usare 443.

Intestazioni HTTP e Single Sign-On

Con l'accesso SSO, gli utenti accedono ai servizi pubblicati di BIG-IP senza immettere le credenziali. La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO.

  1. In Accesso Single Sign-On e intestazioni HTTP, in Intestazioni SSO, per Operazione intestazione, selezionare inserisci

  2. Per Nome intestazione, usare upn.

  3. Per Valore intestazione, usare %{session.saml.last.identity}.

  4. Per Operazione intestazione, selezionare Inserisci.

  5. Per Nome intestazione, usare employeeid.

  6. Per Valore intestazione, usare %{session.saml.last.attr.name.employeeid}.

    Screenshot delle voci e delle selezioni per le intestazioni SSO.

    Nota

    Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. Le incoerenze causano errori di mapping degli attributi.

Gestione delle sessioni

Usare le impostazioni di gestione delle sessioni BIG-IP per definire le condizioni per la terminazione o la continuazione delle sessioni utente.

Per altre informazioni, vedere support.f5.com per K18390492: Sicurezza | Guida operativa di APM BIG-IP

Single Log-Out (SLO) garantisce che le sessioni idP, BIG-IP e agente utente terminino quando gli utenti si disconnettono. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola l'URL di disconnessione con l'endpoint SLO di APM. La disconnessione avviata da IdP da App personali termina le sessioni BIG-IP e client.

Altre informazioni: vedere App personali

I metadati della federazione SAML per l'applicazione pubblicata vengono importati dal tenant. L'importazione fornisce ad APM l'endpoint di disconnesso SAML per Microsoft Entra ID. Questa azione garantisce che la disconnessione avviata da SP termini il client e la sessione di Microsoft Entra. Assicurarsi che APM sappia quando si verifica la disconnessione dell'utente.

Se il portale webtop BIG-IP accede alle applicazioni pubblicate, APM elabora una disconnessione per chiamare l'endpoint di disconnessione di Microsoft Entra. Se il portale webtop BIG-IP non viene usato, gli utenti non possono indicare ad APM di disconnettersi. Se gli utenti si disconnettono dall'applicazione, BIG-IP lo ignora. Assicurarsi quindi che la disconnessione avviata da SP termini in modo sicuro le sessioni. È possibile aggiungere una funzione SLO a un pulsante di disconnessione di un'applicazione. Quindi i client vengono reindirizzati all'endpoint di disconnessione SAML o BIG-IP di Microsoft Entra. Per trovare l'URL dell'endpoint di disconnessione SAML per il tenant, andare a Registrazioni app > Endpoint.

Se non è possibile modificare l'app, abilitare BIG-IP in modo che resti in ascolto della chiamata di disconnessione dell'app e attivi la funzione SLO.

Altre informazioni:

Distribuzione

La distribuzione fornisce una suddivisione delle configurazioni.

  1. Per eseguire il commit delle impostazioni, selezionare Distribuisci.
  2. Verificare l'applicazione nell'elenco tenant delle applicazioni aziendali.
  3. L'applicazione viene pubblicata ed è accessibile tramite SHA, con il relativo URL o nei portali delle applicazioni Microsoft.

  Test

  1. Con un browser, connettersi all'URL esterno dell'applicazione o in App personali selezionare l'icona dell'applicazione.
  2. Eseguire l'autenticazione in Microsoft Entra ID.
  3. Si viene reindirizzati al server virtuale BIG-IP per l'applicazione e viene effettuato l'accesso tramite SSO.

La screenshot seguente è l'output delle intestazioni inserite dall'applicazione basata su intestazione.

Screenshot di UPN, ID dipendente e ruoli evento in Variabili del server.

Nota

È possibile bloccare l'accesso diretto all'applicazione, applicando così un percorso tramite BIG-IP.

Distribuzione avanzata

Per alcuni scenari, i modelli di configurazione guidata non hanno flessibilità.

Altre informazioni: Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'accesso SSO basato su intestazione.

In BIG-IP è possibile disabilitare la modalità di gestione strict della configurazione guidata. Quindi, modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni viene automatizzata con i modelli della procedura guidata.

  1. Per disabilitare la modalità strict, andare ad Accesso > Configurazione guidata.

  2. Nella riga per la configurazione dell'applicazione, selezionare l'icona a forma di lucchetto.

  3. Gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione vengono sbloccati per la gestione. Le modifiche apportate alla procedura guidata non sono più consentite.

    Screenshot dell'icona a forma di lucchetto.

    Nota

    Se si abilita nuovamente la modalità strict e si distribuisce una configurazione, l'azione sovrascrive le impostazioni non nella configurazione guidata. È consigliabile configurare la configurazione avanzata per i servizi di produzione.

Risoluzione dei problemi

Usare le indicazioni seguenti per la risoluzione dei problemi.

Livello di dettaglio del log

I log BIG-IP consentono di isolare i problemi di connettività, SSO, criteri o mapping di variabili configurati in modo errato. Per risolvere i problemi, aumentare il livello di dettaglio del log.

  1. Andare a Criteri di accesso > Panoramica.
  2. Selezionare Log eventi.
  3. Seleziona Impostazioni.
  4. Selezionare la riga dell'applicazione pubblicata
  5. Seleziona Modifica.
  6. Selezionare Log di sistema di accesso.
  7. Dall'elenco SSO, selezionare Debug.
  8. Selezionare OK.
  9. Riprodurre il problema.
  10. Esaminare i log.

Nota

Ripristinare questa funzionalità al termine dell'operazione. La modalità dettagliata genera dati eccessivi.

Messaggio di errore BIG-IP

Se viene visualizzato un messaggio errore BIG-IP dopo la preautenticazione di Microsoft Entra, il problema potrebbe riguardare l'accesso SSO da Microsoft Entra ID a BIG-IP.

  1. Andare a Criteri di accesso > Panoramica.
  2. Selezionare Report di accesso.
  3. Eseguire il report per l'ultima ora.
  4. Esaminare i log per individuare gli indizi.

Usare il collegamento Visualizza variabili di sessione per determinare se APM riceve le attestazioni previste di Microsoft Entra.

Nessun messaggio di errore BIG-IP

Se non viene visualizzato alcun messaggio di errore BIG-IP, il problema potrebbe essere correlato alla richiesta back-end o all'accesso SSO da BIG-IP all'applicazione.

  1. Andare a Criteri di accesso > Panoramica.
  2. Selezionare Sessioni attive.
  3. Selezionare il collegamento della sessione attiva.

Usare il collegamento Visualizza variabili per analizzare i problemi relativi all'accesso SSO, in particolare se APM di BIG-IP non ottiene gli attributi corretti.

Altre informazioni: