Sdílet prostřednictvím

Kurz: Konfigurace snadného tlačítka F5 BIG-IP pro jednotné přihlašování k SAP ERP

  • Článek

V tomto článku se naučíte zabezpečit sap Enterprise Resource Planning (ERP) pomocí Microsoft Entra ID s F5 BIG-IP Easy Button Guided Configuration 16.1. Integrace BIG-IP se službou Microsoft Entra ID má mnoho výhod:

Další informace:

Popis scénáře

Tento scénář zahrnuje aplikaci SAP ERP, která používá ověřování Kerberos ke správě přístupu k chráněnému obsahu.

Starší verze aplikací nemají moderní protokoly pro podporu integrace s Microsoft Entra ID. Modernizace je nákladná, vyžaduje plánování a představuje potenciální riziko výpadků. Místo toho použijte F5 BIG-IP Application Delivery Controller (ADC) k přemístit mezeru mezi starší aplikací a moderní řídicí rovinou ID prostřednictvím přechodu protokolu.

Big-IP před aplikací umožňuje překryvnou službu pomocí předběžného ověřování Microsoft Entra a jednotného přihlašování založeného na hlavičkách. Tato konfigurace zlepšuje celkový stav zabezpečení aplikace.

Architektura scénáře

Řešení zabezpečeného hybridního přístupu (SHA) má následující komponenty:

  • Aplikace SAP ERP – publikovaná služba BIG-IP chráněná microsoftem Entra SHA
  • Microsoft Entra ID – zprostředkovatel identity SAML (Security Assertion Markup Language), který ověřuje přihlašovací údaje uživatele, podmíněný přístup a jednotné přihlašování založené na SAML na BIG-IP
  • BIG-IP – reverzní proxy server a poskytovatel služeb SAML (SP) do aplikace. Big-IP deleguje ověřování na zprostředkovatele identity SAML a pak provede jednotné přihlašování založené na hlavičce ke službě SAP.

SHA podporuje toky iniciované sadou SP a IdP. Následující obrázek znázorňuje tok iniciovaný aktualizací SP.

Diagram zabezpečeného hybridního přístupu, tok iniciovaný aktualizací SP

  1. Uživatel se připojí ke koncovému bodu aplikace (BIG-IP).
  2. Zásady přístupu BIG-IP Access Manager (APM) přesměrují uživatele na Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra ID předem neověřuje uživatele a používá vynucené zásady podmíněného přístupu.
  4. Uživatel se přesměruje na BIG-IP (SAML SP) a k jednotnému přihlašování dochází s vydaným tokenem SAML.
  5. Protokol KERBEROS vyžaduje lístek Protokolu KERBEROS s velkými IP adresami z distribučního centra klíčů (KDC).
  6. BIG-IP odesílá požadavek do back-endové aplikace s lístkem Kerberos pro jednotné přihlašování.
  7. Aplikace autorizuje požadavek a vrací datovou část.

Požadavky

  • Bezplatný účet Microsoft Entra ID nebo vyšší
  • VELKÁ IP adresa nebo virtuální edice BIG-IP (VE) v Azure
  • Některé z následujících licencí F5 BIG-IP:
    • F5 BIG-IP® Best bundle
    • Samostatná licence F5 BIG-IP APM
    • Licence doplňku F5 BIG-IP APM na stávajícím místním Traffic Manageru™ PRO BIG-IP F5 BIG-IP® (LTM)
    • 90denní úplná zkušební licence na big-IP adresu
  • Identity uživatelů synchronizované z místního adresáře do Microsoft Entra ID nebo vytvořené v Microsoft Entra ID a tok zpět do místního adresáře
  • Jedna z následujících rolí: Správce cloudových aplikací nebo Správce aplikací.
  • Webový certifikát SSL pro publikování služeb přes PROTOKOL HTTPS nebo použití výchozích certifikátů BIG-IP pro testování
  • Prostředí SAP ERP nakonfigurované pro ověřování protokolem Kerberos

Metody konfigurace BIG-IP

Tento kurz používá konfiguraci s asistencí 16.1 se šablonou Snadné tlačítko. Díky snadnému tlačítku správci nejdou mezi Microsoft Entra ID a BIG-IP povolit služby pro SHA. Průvodce konfigurací s asistencí APM a Microsoft Graph zpracovává nasazení a správu zásad. Tato integrace zajišťuje, že aplikace podporují federaci identit, jednotné přihlašování a podmíněný přístup.

Poznámka:

Nahraďte ukázkové řetězce nebo hodnoty v tomto průvodci hodnotami ve vašem prostředí.

Tlačítko Registrovat snadné

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Než klient nebo služba přistupuje k Microsoft Graphu, musí mu platforma Microsoft Identity Platform důvěřovat.

Viz rychlý start: Registrace aplikace na platformě Microsoft Identity Platform

Zaregistrujte klienta Easy Button v Microsoft Entra ID a pak vytvoří vztah důvěryhodnosti mezi instancemi SAML SP publikované aplikace BIG-IP a Microsoft Entra ID jako SAML IdP.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte do aplikace> identit>Registrace aplikací> Nová registrace.

  3. Zadejte název nové aplikace.

  4. V části Účty v tomto organizačním adresáři zadejte, kdo může aplikaci používat.

  5. Vyberte Zaregistrovat.

  6. Přejděte na oprávnění rozhraní API.

  7. Autorizovat následující oprávnění aplikace Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Udělte správci souhlas pro vaši organizaci.

  9. V certifikátech a tajných klíčích vygenerujte nový tajný klíč klienta.

  10. Poznamenejte si tajný kód.

  11. V přehledu si poznamenejte ID klienta a ID tenanta.

Konfigurovat tlačítko Snadné

  1. Zahajte konfiguraci APM s asistencí.
  2. Spusťte šablonu Snadné tlačítko.
  3. Z prohlížeče se přihlaste ke konzole pro správu F5 BIG-IP.
  4. Přejděte do části Integrace Microsoftu s asistencí > pro přístup>.
  5. Vyberte aplikaci Microsoft Entra.
  6. Zkontrolujte seznam konfigurace.
  7. Vyberte Další.
  8. Postupujte podle pořadí konfigurace v části Konfigurace aplikace Microsoft Entra.

Snímek obrazovky s pořadím konfigurace

Vlastnosti konfigurace

Karta Vlastnosti konfigurace obsahuje vlastnosti účtu služby a vytvoří konfiguraci aplikace BIG-IP a objekt jednotného přihlašování. Část Podrobnosti účtu služby Azure představuje klienta, který jste zaregistrovali jako aplikaci v tenantovi Microsoft Entra. Pomocí nastavení pro klienta BIG-IP OAuth můžete v tenantovi zaregistrovat službu SAML SP s vlastnostmi jednotného přihlašování. Snadné tlačítko provede tuto akci u publikovaných a povolených služeb BIG-IP pro SHA.

Poznámka:

Některá nastavení jsou globální a je možné je znovu použít k publikování dalších aplikací.

  1. Zadejte název konfigurace. Jedinečné názvy odlišují konfigurace snadného tlačítka.
  2. V části Hlavičky jednotného přihlašování a HTTP vyberte Zapnuto.
  3. Jako ID tenanta, ID klienta a tajný klíč klienta zadejte ID tenanta, ID klienta a tajný klíč klienta, které jste si poznamenali během registrace tenanta.
  4. Vyberte Testovat připojení. Tato akce potvrdí připojení BIG-IP k vašemu tenantovi.
  5. Vyberte Další.

Poskytovatel služeb

Pomocí nastavení zprostředkovatele služeb definujte vlastnosti instance SAML SP aplikace zabezpečené pomocí SHA.

  1. V případě hostitele zadejte veřejný plně kvalifikovaný název domény (FQDN) aplikace, která je zabezpečená.

  2. Jako ID entity zadejte identifikátor Microsoft Entra ID, který používá k identifikaci SAML SP žádajícího o token.

    Možnosti a možnosti snímku obrazovky pro poskytovatele služeb

  3. (Volitelné) Pomocí nastavení zabezpečení můžete označit, že Microsoft Entra ID šifruje vydané kontrolní výrazy SAML. Kontrolní výrazy šifrované mezi Microsoft Entra ID a BIG-IP APM zvyšují záruku, že tokeny obsahu nejsou zachyceny, ani data ohrožena.

  4. V části Privátní klíč pro dešifrování kontrolního výrazu vyberte Vytvořit nový.

    Snímek obrazovky s možností Vytvořit nový ze seznamu privátních klíčů pro dešifrování kontrolního výrazu

  5. Vyberte OK.

  6. Dialogové okno Importovat certifikát SSL a klíče se zobrazí na nové kartě.

  7. Pokud chcete importovat certifikát a privátní klíč, vyberte PKCS 12 (IIS).

  8. Zavřete kartu prohlížeče a vraťte se na hlavní kartu.

    Snímek obrazovky s možnostmi a výběry pro import certifikátů a klíčů SSL

  9. Pro povolení šifrovaného kontrolního výrazu zaškrtněte políčko.

  10. Pokud jste povolili šifrování, v seznamu privátních klíčů kontrolního dešifrování vyberte privátní klíč certifikátu BIG-IP APM, který používá k dešifrování kontrolních výrazů Microsoft Entra.

  11. Pokud jste povolili šifrování, vyberte v seznamu certifikátu kontrolního dešifrování certifikát BIG-IP nahraný na Microsoft Entra ID a zašifrujte vystavené kontrolní výrazy SAML.

Snímek obrazovky s možnostmi a výběry pro poskytovatele služeb

Microsoft Entra ID

Easy Button obsahuje šablony aplikací pro Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP a obecnou šablonu SHA.

  1. Pokud chcete spustit konfiguraci Azure, vyberte přidat centrální komponentu > SAP ERP.

    Snímek obrazovky s možností Centrální komponenta SAP ERP v konfiguraci Azure a tlačítkem Přidat

    Poznámka:

    Informace v následujících částech můžete použít při ruční konfiguraci nové aplikace SAML BIG-IP v tenantovi Microsoft Entra.

Konfigurace Azure

  1. Do pole Zobrazovaný název zadejte aplikaci BIG-IP, která se vytvoří v tenantovi Microsoft Entra. Název se zobrazí na ikoně na portálu Moje aplikace.

  2. (Volitelné) Ponechte přihlašovací adresu URL (volitelné) prázdnou.

    Snímek obrazovky s položkami pro zobrazované jméno a přihlašovací adresu URL

  3. Vedle položky Podpisový klíč vyberte aktualizovat.

  4. Vyberte Podpisový certifikát. Tato akce vyhledá zadaný certifikát.

  5. Pro heslo podpisového klíče zadejte heslo certifikátu.

  6. (Volitelné) Povolte možnost podepisování. Tato možnost zajišťuje, že BIG-IP přijímá tokeny a deklarace identity podepsané id Microsoft Entra

    Snímek obrazovky s položkami pro podpisový klíč, podpisový certifikát a heslo podpisového klíče

  7. Skupiny uživatelů a uživatelů se dynamicky dotazují z vašeho tenanta Microsoft Entra. Skupiny pomáhají autorizovat přístup k aplikacím.

  8. Přidejte uživatele nebo skupinu pro testování, jinak se přístup odepře.

    Snímek obrazovky s tlačítkem Přidat u skupin uživatelů a uživatelů

Atributy a deklarace identity uživatelů

Když se uživatelé ověřují v Microsoft Entra ID, vydá token SAML s výchozími deklaracemi identity a atributy identifikující uživatele. Na kartě Atributy uživatele a deklarace identity se zobrazují výchozí deklarace identity , které se mají v nové aplikaci vydat. Slouží ke konfiguraci dalších deklarací identity.

Tento kurz vychází z .com přípony domény používané interně a externě. K dosažení implementace jednotného přihlašování s omezením funkčního protokolu Kerberos (KCD) nejsou potřeba žádné další atributy.

Snímek obrazovky s kartou Atributy a deklarace identity uživatele

Můžete zahrnout více atributů Microsoft Entra. Pro účely tohoto kurzu vyžaduje SAP ERP výchozí atributy.

Další informace: Kurz: Konfigurace Správce zásad přístupu F5 BIG-IP pro ověřování protokolem Kerberos. Přečtěte si pokyny pro více domén nebo přihlašování uživatelů s alternativními příponami.

Další atributy uživatele

Karta Další atributy uživatele podporuje distribuované systémy vyžadující atributy uložené v jiných adresářích pro rozšiřování relací. Atributy ze zdroje PROTOKOLU LDAP (Lightweight Directory Access Protocol) se proto vloží jako další hlavičky jednotného přihlašování pro řízení přístupu na základě role, ID partnerů atd.

Poznámka:

Tato funkce nemá žádnou korelaci s ID Microsoft Entra, ale je dalším zdrojem atributů.

Zásady podmíněného přístupu

Zásady podmíněného přístupu se vynucují po předběžném ověření Microsoft Entra. Tato akce řídí přístup na základě zařízení, aplikace, polohy a rizikových signálů.

Zobrazení Dostupných zásad uvádí zásady podmíněného přístupu bez akcí založených na uživatelích.

Zobrazení vybraných zásad uvádí zásady zaměřené na cloudové aplikace. Nemůžete zrušit výběr zásad vynucených na úrovni tenanta ani je přesunout do seznamu Dostupných zásad.

Výběr zásady pro publikovanou aplikaci:

  1. V seznamu Dostupné zásady vyberte zásadu.
  2. Vyberte šipku doprava.
  3. Přesuňte zásadu do seznamu Vybraných zásad .

Vybrané zásady mají zaškrtnutou možnost Zahrnout nebo Vyloučit . Pokud jsou zaškrtnuté obě možnosti, nevynutí se vybraná zásada.

Snímek obrazovky vyloučených zásad ve vybraných zásadách

Poznámka:

Seznam zásad se zobrazí, když na začátku vyberete tuto kartu. Pomocí tlačítka aktualizovat se dotazujte na tenanta. Po nasazení aplikace se zobrazí aktualizace.

Vlastnosti virtuálního serveru

Virtuální server je objekt roviny dat BIG-IP reprezentovaný virtuální IP adresou. Tento server naslouchá klientským požadavkům aplikace. Přijatý provoz se zpracovává a vyhodnocuje vůči profilu APM přidruženému k virtuálnímu serveru. Provoz se pak směruje podle zásad.

  1. Zadejte cílovou adresu. Pro příjem provozu klienta použijte IPv4/IPv6 adresu BIG-IP. Odpovídající záznam je na serveru DNS (Domain Name Server), který umožňuje klientům přeložit externí adresu URL publikované aplikace BIG-IP na tuto IP adresu. K testování můžete použít DNS místního hostitele testovacího počítače.
  2. Jako port služby zadejte 443.
  3. Vyberte HTTPS.
  4. U možnosti Povolit port přesměrování zaškrtněte políčko.
  5. V části Přesměrovat port zadejte číslo a vyberte HTTP. Tato možnost přesměruje příchozí provoz klienta HTTP na HTTPS.
  6. Vyberte profil SSL klienta, který jste vytvořili. Nebo ponechte výchozí nastavení pro testování. Profil SSL klienta povolí virtuální server pro protokol HTTPS, takže připojení klientů jsou šifrovaná přes protokol TLS (Transport Layer Security).

Snímek obrazovky s možnostmi a možnostmi pro vlastnosti virtuálního serveru

Vlastnosti fondu

Karta Fond aplikací má služby za BIG-IP, které jsou reprezentované jako fond s aplikačními servery.

  1. Vyberte fond, vyberte Vytvořit nový nebo vyberte fond.

  2. V případě metody vyrovnávání zatížení vyberte Kruhové dotazování.

  3. U serverů fondu vyberte uzel serveru nebo zadejte IP adresu a port back-endového uzlu, který je hostitelem aplikace založené na hlavičce.

    Snímek obrazovky s možnostmi a výběry pro fond aplikací

Hlavičky jednotného přihlašování a HTTP

Jednotné přihlašování slouží k povolení přístupu ke publikovaným službám BIG-IP bez zadání přihlašovacích údajů. Průvodce snadného tlačítka podporuje autorizační hlavičky Kerberos, OAuth Bearer a HTTP pro jednotné přihlašování. Pro následující pokyny potřebujete účet delegování Kerberos, který jste vytvořili.

  1. V hlavičce jednotného přihlašování a PROTOKOLU HTTP v části Upřesnit nastavení vyberte Zapnuto.

  2. U vybraného typu jednotného přihlašování vyberte Kerberos.

  3. Jako zdroj ID uživatele zadejte proměnnou relace. session.saml.last.identity obsahuje deklaraci identity Microsoft Entra s ID přihlášeného uživatele.

  4. Možnost Zdroj sféry uživatele je nutná, pokud se doména uživatele liší od sféry kerberos BIG-IP. Proměnná relace APM proto obsahuje podepsanou doménu uživatele. Například session.saml.last.attr.name.domain.

    Snímek obrazovky s možnostmi a výběry pro jednotné přihlašování a hlavičky HTTP

  5. V případě služby KDC zadejte IP adresu řadiče domény nebo plně kvalifikovaný název domény, pokud je dns nakonfigurovaný.

  6. U podpory hlavního názvu uživatele (UPN) zaškrtněte políčko. APM používá pro lístky kerberos hlavní název uživatele (UPN).

  7. Jako vzor hlavního názvu služby (SPN) zadejte HTTP/%h. Tato akce informuje APM, aby používal hlavičku hostitele požadavku klienta a sestavil hlavní název služby (SPN), pro který požaduje token Kerberos.

  8. Pokud chcete odeslat autorizaci, zakažte možnost pro aplikace, které vyjednávají ověřování. Například Tomcat.

    Snímek obrazovky s možnostmi a výběry pro konfiguraci metody jednotného přihlašování

Správa relací

Nastavení správy relací BIG-IP slouží k definování podmínek, kdy se relace uživatelů ukončí nebo budou pokračovat. Podmínky zahrnují omezení pro uživatele a IP adresy a odpovídající informace o uživateli.

Další informace najdete v tématu my.f5.com pro K18390492: Zabezpečení | Průvodce provozem APM pro BIG-IP

Provozní příručka nepokrývá jednoúčelové odhlášení (SLO). Tato funkce zajišťuje relace mezi zprostředkovatelem identity, BIG-IP a uživatelským agentem se ukončí, když se uživatelé odhlásí. Tlačítko Easy nasadí aplikaci SAML do tenanta Microsoft Entra. Naplní adresu URL odhlášení koncovým bodem SLO APM. Zprostředkovatele identity iniciované odhlášením z portálu Moje aplikace ukončí relaci BIG-IP a klienta.

Během nasazování se publikovaná aplikace federační metadata SAML importují z tenanta. Tato akce poskytuje koncovému bodu pro odhlášení SAML pro ID Microsoft Entra a pomáhá odhlašování iniciované aktualizací SP ukončit klienta a relaci Microsoft Entra.

Nasazení

  1. Vyberte Nasadit.
  2. Ověřte, že je aplikace v seznamu podnikových aplikací tenanta.
  3. V prohlížeči se připojte k externí adrese URL aplikace nebo vyberte ikonu aplikace v Moje aplikace.
  4. Ověřte se v Microsoft Entra ID.
  5. Přesměrování vás přesměruje na virtuální server BIG-IP a přihlásí se přes jednotné přihlašování.

Pokud chcete zvýšit zabezpečení, můžete zablokovat přímý přístup k aplikaci a vynutit cestu prostřednictvím big-IP adresy.

Pokročilé nasazení

Šablony konfigurace s asistencí někdy nemají flexibilitu.

Další informace: Kurz: Konfigurace Správce zásad přístupu F5 BIG-IP pro ověřování protokolem Kerberos.

Zakázání přísného režimu správy

Případně můžete v big-IP adrese zakázat režim striktní správy konfigurace s asistencí. Konfigurace můžete změnit ručně, i když většina konfigurací je automatizovaná pomocí šablon průvodce.

  1. Přejděte do konfigurace s asistencí pro Access>.

  2. Na konci řádku konfigurace aplikace vyberte zámek.

  3. Objekty BIG-IP přidružené k publikované aplikaci jsou odemknuté pro správu. Změny v uživatelském rozhraní průvodce už nejsou možné.

    Snímek obrazovky s ikonou visacího zámku

    Poznámka:

    Pokud chcete znovu povolit striktní režim správy a nasadit konfiguraci, která přepíše nastavení mimo uživatelské rozhraní konfigurace s asistencí, doporučujeme pokročilou metodu konfigurace pro produkční služby.

Řešení problému

Pokud nemůžete získat přístup k aplikaci zabezpečené sha, prohlédni si následující doprovodné materiály k řešení potíží.

  • Protokol Kerberos je citlivý na čas. Ujistěte se, že servery a klienti jsou nastavené na správný čas a synchronizují se se spolehlivým zdrojem času.
  • Ujistěte se, že se řadič domény a název hostitele webové aplikace přeloží v DNS.
  • Potvrďte v prostředí žádné duplicitní hlavní názvy služeb.
    • V počítači domény na příkazovém řádku použijte dotaz: setspn -q HTTP/my_target_SPN

Pokud chcete ověřit konfiguraci KCD aplikace Internetová informační služba (IIS), přečtěte si téma Řešení potíží s konfiguracemi služby KCD pro proxy aplikací

Přejděte na techdocs.f5.com pro metodu jednotného přihlašování kerberos.

Analýza protokolů

Úroveň podrobností protokolu

Protokolování BIG-IP izoluje problémy s připojením, jednotným přihlašováním, porušeními zásad nebo mapováním chybně nakonfigurovaných proměnných. Pokud chcete začít řešit potíže, zvyšte úroveň podrobností protokolu.

  1. Přejděte na Přehled zásad > přístupu.
  2. Vyberte protokoly událostí.
  3. Vyberte Nastavení.
  4. Vyberte řádek publikované aplikace.
  5. Vyberte položku Upravit.
  6. Výběr přístupových systémových protokolů
  7. V seznamu jednotného přihlašování vyberte Ladit.
  8. Vyberte OK.
  9. Reprodukujte příslušný problém.
  10. Zkontrolujte protokoly.

Po dokončení kontroly vraťte podrobnosti protokolu, protože tento režim generuje nadměrná data.

Chybová zpráva BIG-IP

Pokud se po předběžném ověření Microsoft Entra zobrazí chybová zpráva BIG-IP, může problém souviset s MICROSOFT Entra ID s jednotným přihlašováním BIG-IP.

  1. Přejděte na Přehled aplikace Access>.
  2. Vyberte sestavy Accessu.
  3. Spusťte sestavu za poslední hodinu.
  4. Zkontrolujte protokoly.

Pomocí odkazu Zobrazit proměnné relace aktuální relace zjistěte, jestli APM obdrží očekávané deklarace identity Microsoft Entra.

Žádná chybová zpráva BIG-IP

Pokud se nezobrazí žádná chybová zpráva BIG-IP, může problém souviset s back-endovým požadavkem nebo big-IP sso aplikace.

  1. Přejděte na Přehled zásad > přístupu.
  2. Vyberte aktivní relace.
  3. Vyberte odkaz pro aktuální relaci.
  4. Pomocí odkazu Zobrazit proměnné identifikujte problémy s KCD, zejména pokud APM BIG-IP nezísobuje správné identifikátory uživatele a domény z proměnných relace.

Další informace: