Kurz: Konfigurace Správce zásad přístupu F5 BIG-IP pro jednotné přihlašování založené na hlavičce

Naučte se implementovat zabezpečený hybridní přístup (SHA) s jednotným přihlašováním (SSO) k aplikacím založeným na hlavičce pomocí pokročilé konfigurace F5 BIG-IP. Publikované aplikace BIG-IP a výhody konfigurace Microsoft Entra:

• Vylepšené zásady správného řízení nulová důvěra (Zero Trust) prostřednictvím předběžného ověření Microsoft Entra a podmíněného přístupu
  • Podívejte se, co je podmíněný přístup?
  • Viz zabezpečení nulová důvěra (Zero Trust)
• Úplné jednotné přihlašování mezi publikovanými službami Microsoft Entra ID a BIG-IP
• Spravované identity a přístup z jedné řídicí roviny
  • Viz Centrum pro správu Microsoft Entra

Další informace:

• Integrace F5 BIG-IP s Microsoft Entra ID
• Povolení jednotného přihlašování pro podnikovou aplikaci

Popis scénáře

V tomto scénáři existuje starší verze aplikace využívající autorizační hlavičky HTTP pro řízení přístupu k chráněnému obsahu. V ideálním případě spravuje Microsoft Entra ID přístup k aplikacím. Starší verze ale nemá moderní ověřovací protokol. Modernizace vyžaduje úsilí a čas a zároveň zavádí náklady na výpadky a rizika. Místo toho nasaďte big-IP adresu mezi veřejným internetem a interní aplikací, aby se zamkly příchozí přístup k aplikaci.

Big-IP před aplikací umožňuje překrytí služby pomocí předběžného ověření Microsoft Entra a jednotného přihlašování založeného na hlavičce. Konfigurace zlepšuje stav zabezpečení aplikace.

Architektura scénáře

Řešení zabezpečeného hybridního přístupu pro tento scénář se skládá z:

• Aplikace – publikovaná služba BIG-IP, která má být chráněna microsoftem Entra SHA
• Microsoft Entra ID – Zprostředkovatel identity SAML (Security Assertion Markup Language), který ověřuje přihlašovací údaje uživatele, podmíněný přístup a jednotné přihlašování k big-IP adrese
  • S jednotným přihlašováním poskytuje Microsoft Entra ID požadované relace BIG-IP, včetně identifikátorů uživatelů.
• BIG-IP – reverzní proxy server a poskytovatel služeb SAML (SP) do aplikace, delegování ověřování na zprostředkovatele IDENTITY SAML před jednotným přihlašováním založeným na hlavičce k back-endové aplikaci

Následující diagram znázorňuje tok uživatele pomocí Microsoft Entra ID, BIG-IP, APM a aplikace.

1. Uživatel se připojí ke koncovému bodu SAML SP aplikace (BIG-IP).
2. Zásady přístupu APM BIG-IP přesměrují uživatele na ID Microsoft Entra (SAML IdP).
3. Microsoft Entra předem neověřuje uživatele a používá zásady podmíněného přístupu.
4. Uživatel se přesměruje na BIG-IP (SAML SP) a k jednotnému přihlašování dochází pomocí vydaného tokenu SAML.
5. BIG-IP vloží atributy Microsoft Entra jako hlavičky v požadavku na aplikaci.
6. Aplikace autorizuje požadavek a vrací datovou část.

Požadavky

Pro scénář, který potřebujete:

• Předplatné Azure
  • Pokud ho nemáte, získejte bezplatný účet Azure.
• Jedna z následujících rolí: Správce cloudových aplikací nebo Správce aplikací
• BIG-IP nebo nasaďte virtuální edici BIG-IP (VE) v Azure.
  • Viz nasazení virtuálního počítače F5 BIG-IP v Azure
• Některé z následujících licencí F5 BIG-IP:
  • F5 BIG-IP® Best bundle
  • Samostatná licence F5 BIG-IP Access Policy Manager™ (APM)
  • Doplněk F5 BIG-IP Access Policy Manager (APM) na místním Traffic Manageru™™ (LTM) s velkými IP adresami F5 BIG-IP®
  • 90denní plná zkušební verze funkcí BIG-IP. Podívejte se, bezplatné zkušební verze.
• Identity uživatelů synchronizované z místního adresáře do Microsoft Entra ID
  • Microsoft Entra Connect Sync: Principy a přizpůsobení synchronizace
• Certifikát SSL pro publikování služeb přes PROTOKOL HTTPS nebo použití výchozích certifikátů při testování
  • Viz profil SSL
• Aplikace založená na hlavičce nebo aplikace hlavičky IIS pro testování

Metoda konfigurace BIG-IP

Následující pokyny představují pokročilou metodu konfigurace, flexibilní způsob implementace SHA. Ručně vytvořte objekty konfigurace BIG-IP. Tuto metodu použijte pro scénáře, které nejsou součástí šablon konfigurace s asistencí.

Poznámka:

Nahraďte ukázkové řetězce nebo hodnoty hodnotami z vašeho prostředí.

Přidání F5 BIG-IP z galerie Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Prvním krokem k implementaci SHA je nastavení vztahu důvěryhodnosti federace SAML mezi BIG-IP APM a Microsoft Entra ID. Vztah důvěryhodnosti vytvoří integraci pro BIG-IP adresu, která před udělením přístupu k publikované službě předá předběžné ověření a podmíněný přístup k ID Microsoft Entra.

Další informace: Co je podmíněný přístup?

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.

3. Na horním pásu karet vyberte + Nová aplikace.

4. V galerii vyhledejte F5.

5. Vyberte F5 BIG-IP APM Integrace Microsoft Entra ID.

6. Zadejte název aplikace.

7. Vyberte Přidat nebo vytvořit.

8. Název odpovídá službě.

Konfigurace jednotného přihlašování Microsoft Entra

1. Zobrazí se nové vlastnosti aplikace F5 .

2. Výběr možnosti Spravovat>jednotné přihlašování

3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

4. Přeskočte výzvu k uložení nastavení jednotného přihlašování.

5. Vyberte Ne, uložím ho později.

6. Při nastavení jednotného přihlašování pomocí SAML vyberte pro základní konfiguraci SAML ikonu pera.

7. Nahraďte adresu URL identifikátoru adresou URL publikované služby BIG-IP. Například https://mytravel.contoso.com

8. Opakujte pro adresu URL odpovědi a zahrňte cestu ke koncovému bodu SAML APM. Například https://mytravel.contoso.com/saml/sp/profile/post/acs

   Poznámka:

   V této konfiguraci tok SAML funguje v režimu zprostředkovatele identity: Microsoft Entra ID vydá uživateli kontrolní výraz SAML před přesměrováním na koncový bod služby BIG-IP pro aplikaci. Big-IP APM podporuje režimy zprostředkovatele identity a sp.

9. Pro identifikátor URI odhlášení zadejte koncový bod SLO (Big-IP APM Single Logout) před hlavičkou hostitele služby. Identifikátor URI SLO zajišťuje ukončení relací APM pro uživatele BIG-IP po odhlášení Microsoft Entra. Například https://mytravel.contoso.com/saml/sp/profile/redirect/slr

   

   Poznámka:

   Od operačního systému Řízení provozu (TMOS) v16 se koncový bod SLO SAML změnil na /saml/sp/profile/redirect/slo.

10. Zvolte Uložit.

11. Ukončete konfiguraci SAML.

12. Přeskočte výzvu testu jednotného přihlašování.

13. Pokud chcete upravit atributy uživatele a přidat > novou deklaraci identity, vyberte ikonu pera.

14. Jako jméno vyberte Id zaměstnance.

15. Pro atribut Source vyberte user.employeeid.

16. Zvolte Uložit.

17. Vyberte a přidejte deklaraci identity skupiny.
18. Vyberte Skupiny přiřazené ke zdrojovému atributu>aplikace>sAMAccountName.

19. Vyberte Uložit konfiguraci.
20. Zavřete zobrazení.
21. Prohlédněte si vlastnosti oddílu Atributy a deklarace identity uživatele. Id Microsoft Entra vydává vlastnosti uživatelů pro ověřování BIG-IP APM a jednotné přihlašování k back-endové aplikaci.

Poznámka:

Přidejte další deklarace identity, které publikovaná aplikace BIG-IP očekává jako hlavičky. Více definované deklarace identity se vystavují, pokud jsou v MICROSOFT Entra ID. Před vydáním deklarací identity definujte členství v adresáři a objekty uživatele v MICROSOFT Entra ID. Viz konfigurace deklarací identity skupin pro aplikace pomocí Microsoft Entra ID.

22. V části Podpisový certifikát SAML vyberte Stáhnout.
23. Soubor XML federačních metadat se uloží do počítače.

Podpisové certifikáty SAML vytvořené microsoftem Entra ID mají životnost tří let.

Autorizace Microsoft Entra

Ve výchozím nastavení Microsoft Entra ID vydává tokeny uživatelům uděleným přístup k aplikaci.

1. V zobrazení konfigurace aplikace vyberte Uživatelé a skupiny.
2. Vyberte + Přidat uživatele a v možnosti Přidat přiřazení vyberte Uživatelé a skupiny.
3. V dialogovém okně Uživatelé a skupiny přidejte skupiny uživatelů autorizované pro přístup k aplikaci založené na hlavičce.
4. Zvolte Zvolit.
5. Vyberte Přiřadit.

Vztah důvěryhodnosti federace MICROSOFT Entra SAML je dokončený. Dále nastavte big-IP APM pro publikování webové aplikace nakonfigurované s vlastnostmi pro dokončení vztahu důvěryhodnosti předběžného ověření SAML.

Rozšířená konfigurace

Pomocí následujících částí nakonfigurujte SAML, jednotné přihlašování hlaviček, přístupový profil a další.

Konfigurace SAML

Pokud chcete publikovanou aplikaci federovat s Microsoft Entra ID, vytvořte poskytovatele služby SAML s velkými IP adresami a odpovídající objekty SAML IdP.

1. Vyberte Vytvořit >místní služby SP Services> federačního>zprostředkovatele>SAML.

   

2. Zadejte Název.

3. Zadejte ID entity definované v Microsoft Entra ID.

   

4. V případě nastavení názvu služby SP proveďte výběry, pokud ID entity neodpovídá názvu hostitele publikované adresy URL, nebo proveďte výběr, pokud není v běžném formátu adresy URL založeném na názvu hostitele. Zadejte externí schéma a název hostitele aplikace, pokud je urn:mytravel:contosoonlineID entity .

5. Posuňte se dolů a vyberte nový objekt SAML SP.

6. Vyberte vazby nebo zrušení vazby konektorů zprostředkovatele identity.

   

7. Vyberte Vytvořit nový konektor zprostředkovatele identity.

8. V rozevíracím seznamu vyberte Z metadat.

   

9. Přejděte do souboru XML federačních metadat, který jste stáhli.

10. Zadejte název zprostředkovatele identity pro objekt APM pro externí zprostředkovatele identity SAML. Například MyTravel_EntraID

11. Vyberte Přidat nový řádek.
12. Vyberte nový konektor SAML IdP.
13. Vyberte Aktualizovat.

14. Vyberte OK.

Konfigurace jednotného přihlašování hlaviček

Vytvořte objekt jednotného přihlašování APM.

1. Vyberte přístupové>profily nebo zásady, které>se vytvoří podle požadavků.>

2. Zadejte Název.

3. Přidejte alespoň jeden jazyk, který byl přijat.

4. Vyberte Dokončeno.

   

5. U nové zásady pro jednotlivé žádosti vyberte Upravit.

   

6. Spustí se editor zásad vizuálu.

7. V části Náhradní vyberte + symbol.

   

8. Na kartě Obecné účely vyberte hlavičky >HTTP Přidat položku.

   

9. Vyberte Přidat novou položku.

10. Vytvořte tři položky HTTP a Header modify.

11. Jako název záhlaví zadejte hlavní název.

12. Jako hodnotu hlavičky zadejte %{session.saml.last.identity}.

13. Jako název záhlaví zadejte employeeid.

14. Jako hodnotu záhlaví zadejte %{session.saml.last.attr.name.employeeid}.

15. Jako název záhlaví zadejte group_authz.

16. Jako hodnotu záhlaví zadejte %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Poznámka:

Proměnné relace APM ve složených závorkách rozlišují malá a velká písmena. Doporučujeme definovat atributy malými písmeny.

17. Zvolte Uložit.
18. Zavřete editor zásad vizuálu.

Konfigurace profilu přístupu

Profil přístupu spojuje mnoho prvků APM, které spravují přístup k virtuálním serverům BIG-IP, včetně zásad přístupu, konfigurace jednotného přihlašování a nastavení uživatelského rozhraní.

1. Vyberte profily přístupu>/ Profily přístupu zásad>(zásady pro jednotlivé relace)>Vytvořit.

2. Jako název zadejte MyTravel.

3. Jako typ profilu vyberte Vše.

4. V případě akceptovaných jazyků vyberte aspoň jeden jazyk.

5. vyberte Dokončeno.

   

6. Pro profil relace, který jste vytvořili, vyberte Upravit.

   

7. Spustí se editor zásad vizuálu.

8. V části Náhradní vyberte + symbol.

   

9. Vyberte Možnost Přidat>položku ověřování SAML Auth.>

   

10. V případě konfigurace sp ověřování SAML v rozevíracím seznamu AAA Server vyberte objekt SAML SP, který jste vytvořili.

11. Zvolte Uložit.

Mapování atributů

Následující pokyny jsou volitelné. Při konfiguraci LogonID_Mapping má seznam aktivních relací BIG-IP hlavní název uživatele (UPN), nikoli číslo relace. Tato data použijte při analýze protokolů nebo řešení potíží.

1. Pro úspěšnou větev ověřování SAML vyberte + symbol.

   

2. V automaticky otevírané nabídce vyberte Přiřadit proměnnou>přiřazení>přidat položku.

   

3. Zadejte Název

4. V oddílu Přiřadit proměnnou vyberte Přidat novou změnu položky>. Například LogonID_Mapping.

   

5. Pro vlastní proměnnou nastavte session.saml.last.identity.

6. Pro proměnnou relace nastavte session.logon.last.username.

7. Vyberte Dokončeno.

8. Vyberte Uložit.

9. Ve větvi Úspěšné zásady přístupu vyberte terminál Odepřít.

10. Vyberte Povolit.

11. Zvolte Uložit.

12. Vyberte Použít zásadu přístupu.

13. Zavřete editor zásad vizuálu.

Konfigurace back-endového fondu

Pokud chcete povolit správné předávání klientského provozu pomocí protokolu BIG-IP, vytvořte objekt uzlu APM představující back-endový server hostující vaši aplikaci. Umístěte uzel do fondu APM.

1. Vyberte vytvořit seznam >fondů > místních přenosů>.

2. Jako objekt fondu serveru zadejte název. Například MyApps_VMs.

   

3. Přidejte objekt člena fondu.

4. Jako název uzlu zadejte název serveru, který je hostitelem back-endové webové aplikace.

5. Do pole Adresa zadejte IP adresu serveru, který je hostitelem aplikace.

6. V případě portu služby zadejte port HTTP/S, na který aplikace naslouchá.

7. Vyberte Přidat.

   

   Poznámka:

   Další informace najdete v tématu my.f5.com pro K13397: Přehled formátování požadavků monitorování stavu HTTP pro systém DNS BIG-IP.

Konfigurace virtuálního serveru

Virtuální server je objekt roviny dat BIG-IP reprezentovaný virtuální IP adresou, která naslouchá žádostem klientů do aplikace. Přijatý provoz se zpracuje a vyhodnotí pomocí profilu přístupu APM přidruženého k virtuálnímu serveru. Provoz se směruje podle zásad.

1. Vyberte vytvořit seznam> virtuálních serverů>s místním provozem.>

2. Zadejte název virtuálního serveru.

3. Jako cílová adresa/maska vyberte Hostitel.

4. Zadejte nepoužitou IP adresu IPv4 nebo IPv6, která se má přiřadit k big-IP adrese pro příjem provozu klienta.

5. Jako port služby vyberte Port, 443 a HTTPS.

   

6. V případě profilu HTTP (klient) vyberte http.

7. Pro profil SSL (klient) vyberte profil SSL klienta, který jste vytvořili, nebo ponechte výchozí nastavení pro testování.

   

8. V případě překladu zdrojové adresy vyberte možnost Automatické mapování.

   

9. V části Zásady přístupu vyberte profil přístupu vytvořený dříve. Tato akce vytvoří vazbu profilu předběžného ověření SamL microsoft Entra SAML a zásadu jednotného přihlašování k virtuálnímu serveru.

10. V případě zásad pro jednotlivé požadavky vyberte SSO_Headers.

11. Jako výchozí fond vyberte objekty back-endového fondu, které jste vytvořili.
12. Vyberte Dokončeno.

Správa relací

Nastavení správy relací BIG-IP adres slouží k definování podmínek pro ukončení relace uživatele nebo pokračování. Vytvořte zásadu pomocí profilů přístupu k zásadám>přístupu. Vyberte aplikaci ze seznamu.

Pokud jde o funkce SLO, identifikátor SLO URI v Microsoft Entra ID zajišťuje odhlášení iniciované z portálu MyApps ukončí relaci mezi klientem a big-IP APM. Importovaná federace aplikací metadata.xml poskytuje APM koncovému bodu odhlášení Microsoft Entra SAML pro odhlašování iniciované aktualizací SP. Proto povolte službě APM vědět, kdy se uživatel odhlásí.

Pokud neexistuje žádný webový portál BIG-IP, nemůže uživatel instruovat, aby se APM odhlasil. Pokud se uživatel z aplikace odhlásí, je big-IP adresa pro akci zastaralá. Relaci aplikace je možné obnovit prostřednictvím jednotného přihlašování. Proto odhlašování iniciované aktualizací SP vyžaduje pečlivé zvážení.

Pokud chcete zajistit bezpečné ukončení relací, přidejte do tlačítka Odhlásit se z aplikace funkci SLO. Povolte ho přesměrování klienta do koncového bodu microsoft Entra SAML pro odhlášení. U koncového bodu odhlášení SAML pro vašeho tenanta přejděte do koncových bodů registrace>aplikací.

Pokud nemůžete aplikaci změnit, povolte big-IP, aby naslouchala volání odhlašování aplikace a aktivovala SLO. Další informace najdete v tématech:

• Přejděte na support.f5.com pro K42052145: Konfigurace automatického ukončení relace (odhlášení) na základě názvu souboru odkazovaného na identifikátor URI
• Přejděte na my.f5.com pro K12056: Přehled možnosti Zahrnout identifikátor URI odhlášení

Nasadit

1. Vyberte Nasadit k potvrzení nastavení.
2. Ověřte, že se aplikace zobrazí ve vašem tenantovi.
3. Aplikace je publikovaná a přístupná prostřednictvím SHA s jeho adresou URL nebo portály Microsoft.

Test

Jako uživatel proveďte následující test.

1. Vyberte externí adresu URL aplikace nebo na portálu Moje aplikace vyberte ikonu aplikace.

2. Ověřte se v Microsoft Entra ID.

3. K přesměrování dojde k virtuálnímu serveru BIG-IP pro aplikaci a přihlášení pomocí jednotného přihlašování.

4. Výstup vložené hlavičky se zobrazí aplikací založenou na hlavičce.

   

Pokud chcete zvýšit zabezpečení, zablokujte přímý přístup k aplikaci a vynucujte cestu prostřednictvím big-IP adresy.

Řešení problému

Při řešení potíží využijte následující doprovodné materiály.

Úroveň podrobností protokolu

Protokoly BIG-IP obsahují informace, které pomáhají izolovat problémy s ověřováním a jednotným přihlašováním. Zvýšení úrovně podrobností protokolu:

1. Přejděte do protokolů událostí přehledu> zásad>přístupu.
2. Vyberte Nastavení.
3. Vyberte řádek publikované aplikace.
4. Vyberte Upravit>systémové protokoly aplikace Access.
5. V seznamu jednotného přihlašování vyberte Ladit.
6. Vyberte OK.
7. Reprodukujte problém.
8. Zkontrolujte protokoly.
9. Po dokončení vraťte nastavení.

Chybová zpráva BIG-IP

Pokud se po přesměrování zobrazí chyba BIG-IP, problém pravděpodobně souvisí s jednotným přihlašováním z Microsoft Entra ID k BIG-IP.

1. Přejděte na Přehled zásad>přístupu.
2. Vyberte sestavy Accessu.
3. Spusťte sestavu za poslední hodinu.
4. Projděte si protokoly, kde najdete nápovědu.
5. Pro svoji relaci vyberte odkaz Zobrazit proměnné relace.
6. Ověřte, že APM obdrží očekávané deklarace identity z ID Microsoft Entra.

Žádná chybová zpráva BIG-IP

Pokud se nezobrazí žádná chybová zpráva BIG-IP, problém pravděpodobně souvisí s jednotným přihlašováním z BIG-IP adresy do back-endové aplikace.

1. Přejděte na Přehled zásad>přístupu.
2. Vyberte aktivní relace.
3. Vyberte odkaz pro aktivní relaci.
4. Vyberte odkaz Zobrazit proměnné a určete případné problémy s jednotným přihlašováním.
5. Ověřte, že big-IP APM selže nebo úspěšně získá správné identifikátory uživatele a domény.

Další informace:

• Přechod na devcentral.f5.com pro přiřazení příkladů proměnných APM
• Přejděte na techdocs.f5.com pro Správce zásad přístupu BIG-IP: Editor vizuálních zásad

Zdroje informací

• Ověřování bez hesla
• Co je podmíněný přístup?
• nulová důvěra (Zero Trust) framework pro povolení práce na dálku