Tutorial: Configuración de Easy Button de F5 BIG-IP para el SSO LDAP y basado en encabezados
En este artículo, puede aprender a proteger las aplicaciones basadas en el encabezado y LDAP mediante Microsoft Entra ID, al usar la configuración guiada de guiada por botones de BIG-IP de F5 16.1. La integración de BIG-IP con Microsoft Entra ID tiene muchas ventajas:
- Gobernanza mejorada: consulte Marco de confianza cero para habilitar el trabajo remoto y obtenga más información sobre la autenticación previa de Microsoft Entra
- Consulte también ¿Qué es el acceso condicional? para obtener información sobre cómo ayuda a aplicar directivas organizativas.
- Inicio de sesión único (SSO) completo entre Microsoft Entra ID y los servicios publicados de BIG-IP
- Administración de identidades y acceso desde un plano de control, el centro de administración de Microsoft Entra
Para obtener información sobre más ventajas, consulte integración de F5 BIG-IP y Microsoft Entra.
Descripción del escenario
En este escenario, se centra en la aplicación heredad clásica que usa los encabezados de autorización HTTP procedentes de atributos del directorio LDAP para administrar el acceso al contenido protegido.
Al ser heredada, la aplicación carece de protocolos actuales que admitan una integración directa con Microsoft Entra ID. Puede modernizar la aplicación, pero eso es costoso, requiere una planeación y conlleva el riesgo de un posible tiempo de inactividad. En su lugar, puede usar un controlador de entrega de aplicaciones (ADC) BIG-IP de F5 para salvar la distancia entre la aplicación heredada y el plano de control de identidad moderno con la transición de protocolo.
Tener un dispositivo BIG-IP delante de la aplicación permite superponer el servicio con la autenticación previa de Microsoft Entra y el inicio de sesión único basado en encabezados, lo que mejora la posición de seguridad general de la aplicación.
Arquitectura del escenario
La solución de acceso híbrido seguro para este escenario es:
- Aplicación: servicio publicado de BIG-IP que se va a proteger mediante el acceso híbrido seguro (SHA) de Microsoft Entra ID
- Microsoft Entra ID: el proveedor de identidades (IdP) de Lenguaje de marcado de aserción de seguridad (SAML), que verifica las credenciales de usuario, el acceso condicional y el SSO basado en SAML en BIG-IP. Con el inicio de sesión único, Microsoft Entra ID proporciona a BIG-IP los atributos de sesión necesarios.
- Sistema de RR. HH.: base de datos de empleados basada en LDAP que actúa como origen de confianza para permisos de aplicación.
- BIG-IP: proxy inverso y proveedor de servicios SAML (SP) en la aplicación, que delega la autenticación al IdP de SAML antes de realizar el SSO basado en encabezados en la aplicación back-end.
El acceso híbrido seguro (SHA) para este escenario admite flujos iniciados por SP e IdP. En la imagen siguiente se muestra el flujo iniciado por SP.
- El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
- La directiva de acceso de APM de BIG-IP redirige al usuario a Microsoft Entra ID (IdP de SAML)
- Microsoft Entra ID autentica previamente al usuario y aplica las directivas de acceso condicional exigidas
- Se redirige al usuario a BIG-IP (SP de SAML) y el inicio de sesión único se realiza mediante el token SAML emitido.
- BIG-IP solicita más atributos del sistema de RR. HH. basado en LDAP.
- BIG-IP inserta Microsoft Entra ID y los atributos del sistema de RR. HH. como encabezados en la solicitud a la aplicación
- La aplicación autoriza el acceso con permisos de sesión enriquecidos.
Requisitos previos
No es necesario tener experiencia previa en BIG-IP, pero necesitará lo siguiente:
- Una cuenta gratuita de Azure o una suscripción de un nivel superior
- Una instancia de BIG-IP o la implementación de una instancia de BIG-IP Virtual Edition (VE) en Azure
- Cualquiera de las siguientes licencias de F5 BIG-IP:
- F5 BIG-IP® Best bundle
- Licencia independiente de F5 BIG-IP Access Policy Manager™ (APM).
- Licencia del complemento F5 BIG-IP Access Policy Manager™ (APM) en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM)
- Evaluación gratuita del producto BIG-IP de 90 días
- Identidades de usuario sincronizadas desde un directorio local en Microsoft Entra ID
- Uno de los siguientes roles: administrador de aplicaciones en la nube o Administrador de aplicaciones.
- Un certificado de web de SSL para publicar servicios a través de HTTPS o usar certificados predeterminados de BIG-IP durante las pruebas
- Una aplicación basada en encabezados o configurar una aplicación de encabezados de IIS sencilla para pruebas
- Un directorio de usuario que admite LDAP, como Active Directory Lightweight Directory Services (AD LDS) de Windows, OpenLDAP, etc.
Configuración de BIG-IP
En este tutorial se utiliza Guided Configuration 16.1 con una plantilla de Easy Button. Con Easy Button, los administradores no tienen que ir y venir entre Microsoft Entra ID y BIG-IP para permitir servicios de SHA. La implementación y la administración de directivas se controlan entre el asistente de configuración guiada de APM y Microsoft Graph. Esta integración entre APM de BIG-IP y Microsoft Entra ID garantiza que las aplicaciones puedan admitir la federación de identidades, el inicio de sesión único y el acceso condicional de Microsoft Entra, lo que reduce la sobrecarga administrativa.
Nota:
Reemplace las cadenas o valores de ejemplo de esta guía por los de su entorno.
Registro de Easy Button
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Para que un cliente o servicio pueda acceder a Microsoft Graph, la plataforma de identidad de Microsoft debe confiar en él.
En este primer paso, se crea un registro de aplicación de inquilino para autorizar el acceso de Easy Button a Graph. Con estos permisos, BIG-IP puede insertar las configuraciones para establecer una confianza entre una instancia de proveedor de servicio de SAML para la aplicación publicada y Microsoft Entra ID como el proveedor de identidades de SAML.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya aIdentidad>Aplicaciones>Registros de aplicaciones>Nuevo registro.
Escriba un nombre para mostrar para la aplicación. Por ejemplo, F5 BIG-IP Easy Button.
Especifique quién puede usar la aplicación >Solo cuentas de este directorio de la organización.
Seleccione Registrar.
Vaya a Permisos de API y autorice los permisos de aplicación siguientes de Microsoft Graph:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Concesión de consentimiento del administrador para su organización.
En Certificados y secretos, genere un nuevo secreto de cliente. Anote este secreto.
En Información general y anote el Id. de cliente y el Id. de inquilino.
Configuración de Easy Button
Inicie la configuración guiada de APM para abrir la plantilla Easy Button.
Vaya a Acceso > Configuración guiada > Integración con el software de Microsoft y seleccione Aplicación de Microsoft Entra.
Revise la lista de pasos y seleccione Siguiente
Para publicar la aplicación, siga los pasos.
Configuration Properties
La pestaña Configuration Properties (Propiedades de configuración) crea una configuración de la aplicación de BIG-IP y un objeto de inicio de sesión único. La sección de detalles de la cuenta de servicio de Azure representa para el cliente que registró en el inquilino de Microsoft Entra antes como una aplicación. Esta configuración permite que un cliente de OAuth de BIG-IP registre un SPA de SAML en el inquilino con las propiedades de SSO que configuraría de manera manual. Easy Button hace esta acción para cada servicio BIG-IP que se publica y habilita para SHA.
Algunas de los valores son globales, así que pueden reutilizarse para publicar más aplicaciones, lo que reduce el tiempo y el esfuerzo de implementación.
- Escriba un nombre de configuración único para que los administradores puedan distinguir entre las configuraciones de Easy Button.
- Habilite Encabezados de inicio de sesión único y HTTP
- Escriba los valores de Tenant ID (Id. de inquilino), Client ID (Id. de cliente) y Client Secret (Secreto de cliente) que anotó al registrar el cliente de Easy Button en el inquilino.
- Confirmar que el BIG-IP puede conectarse a tu inquilino.
- Seleccione Siguiente.
Proveedor de servicios
La configuración del proveedor de servicios define las propiedades de la instancia del SP de SAML de la aplicación protegida mediante SHA.
Escriba el Host, el nombre de dominio completo (FQDN) público de la aplicación que se va a proteger.
Escriba Id. de entidad, el identificador que usa Microsoft Entra ID para identificar el proveedor de servicios de SAML que solicita un token. Use la Configuración de seguridad opcional para especificar si Microsoft Entra ID cifra las aserciones de SAML emitidas. El cifrado de aserciones entre Microsoft Entra ID y BIG-IP APM proporciona una garantía de que no se podrán interceptar los tokens de contenido y de que no se pondrá en peligro la seguridad de los datos personales o corporativos.
En la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones), seleccione Create New (Crear nueva).
Seleccione Aceptar. El cuadro de diálogo Import SSL Certificate and Keys (Importar certificado SSL y claves) se abre en una nueva pestaña.
Seleccione PKCS 12 (IIS) para importar el certificado y la clave privada. Después del aprovisionamiento, cierre la pestaña del explorador para volver a la pestaña principal.
Seleccione Enable Encrypted Assertion (Habilitar aserciones cifradas).
Si ha habilitado el cifrado, seleccione el certificado en la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones). BIG-IP APM usa esta clave privada de certificado para descifrar las aserciones de Microsoft Entra.
Si ha habilitado el cifrado, seleccione el certificado en la lista Assertion Decryption Certificate (Certificado de descifrado de aserciones). BIG-IP carga este certificado en Microsoft Entra ID para cifrar las aserciones de SAML emitidas.
Microsoft Entra ID
Esta sección contiene todas las propiedades para configurar manualmente una nueva aplicación SAML BIG-IP dentro del inquilino de Microsoft Entra. Easy Button tiene plantillas de aplicación para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP y una plantilla de acceso híbrido seguro para las demás aplicaciones.
Para este escenario, seleccione Integración de Microsoft Entra ID con F5 BIG-IP APM > Agregar.
Configuración de Azure
Especifique el nombre para mostrar de la aplicación que crea BIG-IP en el inquilino de Microsoft Entra y el icono que verán los usuarios en el portal Aplicaciones.
No haga ninguna entrada para Dirección URL de inicio de sesión (opcional).
Para buscar el certificado que importó, seleccione el icono Actualizar situado junto a Clave de firma y Certificado de firma.
Escriba la contraseña del certificado en Frase de contraseña de firma.
Habilite la opción de firma (opcional) para asegurarse de que BIG-IP acepta tokens y notificaciones firmados por Microsoft Entra ID.
Los usuarios y grupos de usuarios se consultan dinámicamente desde el inquilino de Microsoft Entra y autorizan el acceso a la aplicación. Agregue un usuario o grupo para las pruebas; de lo contrario, se deniega el acceso.
Atributos y notificaciones de usuario
Cuando un usuario se autentica, Microsoft Entra ID emite un token SAML con un conjunto predeterminado de notificaciones y atributos que identifican de forma única al usuario. La pestaña Atributos y notificaciones del usuario muestra las notificaciones predeterminadas que se emitirán para la nueva aplicación. También permite configurar más notificaciones.
En este ejemplo, incluye un atributo más:
En Nombre de notificación, escriba employeeid.
En Atributo de origen, escriba user.employeeid.
Atributos de usuario adicionales
En la pestaña Additional User Attributes (Atributos de usuario adicionales), puede habilitar el aumento de sesión para sistemas distribuidos, como Oracle, SAP y otras implementaciones basadas en JAVA que requieren atributos almacenados en otros directorios. Los atributos obtenidos de un origen LDAP se pueden insertar como encabezados de más inicios de sesión único para controlar el acceso en función de los roles, los identificadores de asociado, etc.
Habilite la opción Configuración avanzada.
Active la casilla Atributos de LDAP.
En Elegir servidor de autenticación, seleccione Crear nuevo.
En función de la configuración, seleccione Usar grupo o el modo de conexión al servidor Directa para proporcionar la dirección de servidor del servicio LDAP de destino. Si usa un único servidor LDAP, seleccione Directa.
En Puerto de servicio, escriba 389, 636 (Seguro), o cualquier otro puerto que use el servicio LDAP.
En DN de búsqueda base escriba el nombre distintivo de la ubicación que contiene la cuenta con la que se autentica APM para las consultas del servicio LDAP.
En DN de búsqueda, ingrese el nombre distintivo de la ubicación que contiene los objetos de cuenta de usuario que APM consulta a través de LDAP.
Establezca ambas opciones de pertenencia en Ninguno y agregue el nombre del atributo de objeto de usuario que se debe devolver desde el directorio LDAP. Para este escenario: eventroles.
Directiva de acceso condicional
Las directivas de acceso condicional se aplican después de la autenticación previa de Microsoft Entra, para controlar el acceso en función de las señales de dispositivo, aplicación, ubicación y riesgo.
Las listas de vista de directivas de acceso condicional de las Directivas disponibles no incluyen las acciones de los usuarios.
En la vista Directivas seleccionadas se muestran las directivas destinadas a todos los recursos. No se puede anular la selección de estas directivas ni moverse a la lista Directivas disponibles, ya que se aplican en un nivel de inquilino.
Para seleccionar una directiva que se aplicará a la aplicación que se va a publicar:
En la lista Directivas disponibles, seleccione una directiva.
Seleccione la flecha derecha y muévala a la lista Selected Policies (Directivas seleccionadas).
Nota:
Las directivas seleccionadas deben tener activada la opción Incluir o Excluir. Si ambas opciones están activadas, no se aplica la directiva seleccionada.
Nota:
La lista de directivas se enumera una vez al seleccionar inicialmente esta pestaña. Use el botón Actualizar para forzar manualmente al asistente a consultar el inquilino. Este botón aparece cuando se implementa la aplicación.
Propiedades del servidor virtual
Un servidor virtual es un objeto del plano de datos de BIG-IP representado por una dirección IP virtual que escucha las solicitudes de los clientes a la aplicación. El tráfico recibido se procesa y evalúa con el perfil de APM asociado al servidor virtual, antes de dirigirse según la directiva.
Escriba la dirección de destino y cualquier dirección IPv4/IPv6 disponible que BIG-IP pueda usar para recibir tráfico del cliente. También debería existir un registro correspondiente en el servidor de nombres de dominio (DNS), que permita a los clientes resolver la dirección URL externa de la aplicación publicada de BIG-IP en esta dirección IP, en lugar de la aplicación. El uso del DNS de localhost de un equipo de prueba que sea apto para las pruebas.
En Service Port (Puerto de servicio), escriba 443 y HTTPS.
Active Habilitar puerto de redireccionamiento y escriba Puerto de redirección para redirigir el tráfico de cliente HTTP entrante a HTTPS.
El perfil SSL de cliente habilita el servidor virtual para HTTPS, para que las conexiones de cliente se cifren a través de Seguridad de la capa de transporte (TLS). Seleccione el perfil SSL del cliente que creó o deje el valor predeterminado durante las pruebas.
Propiedades del grupo
En la pestaña Grupo de aplicaciones se tiene los servicios detrás de BIG-IP que se representan como un grupo con uno o varios servidores de aplicaciones.
En Seleccione un grupo, realice su selección. Cree un grupo o seleccione uno.
En Método de equilibrio de carga, elija, por ejemplo, Round Robin.
Para los servidores de grupo, seleccione un nodo o especifique una dirección IP y un puerto para el servidor que hospeda la aplicación basada en encabezados.
Nota:
Nuestra aplicación back-end se ubica en el puerto HTTP 80. Cambie a 443 si el suyo es HTTPS.
Encabezados de inicio de sesión único y HTTP
La habilitación del inicio de sesión único permite a los usuarios acceder a los servicios publicados de BIG-IP sin especificar credenciales. El asistente de Easy Button admite encabezados de autorización de Kerberos, portador de OAuth y HTTP para el inicio de sesión único.
Use la lista siguiente para configurar las opciones.
Header Operation (Operación de encabezado): Insertar
Nombre de encabezado: upn
Valor de encabezado: %{session.saml.last.attr.name.Identity}
Header Operation (Operación de encabezado): Insertar
Nombre de encabezado: employeeid
Valor de encabezado: %{session.saml.last.attr.name.employeeid}
Header Operation (Operación de encabezado): Insertar
Nombre de encabezado: eventroles
Valor de encabezado: %{session.ldap.last.attr.eventroles}
Nota:
Las variables de sesión de APM entre llaves distinguen entre mayúsculas y minúsculas. Por ejemplo, si escribe OrclGUID y cuando el nombre de atributo de Microsoft Entra es orclguid, se producirá un error de asignación de atributos.
Parámetros de la administración de sesiones
La configuración de administración de sesiones de BIG-IP definen las condiciones en las que se terminan o se permite que continúen las sesiones de usuario, los límites de usuarios y direcciones IP, y la correspondiente información del usuario. Consulte el artículo de F5 K18390492: Security | Guía de operaciones de APM de BIG-IP para obtener más información sobre esta configuración.
Lo que no se trata es la funcionalidad de cierre de sesión único (SLO), lo que garantiza que las sesiones entre el IdP, BIG-IP y el agente de usuario finalicen cuando los usuarios cierren la sesión. Cuando el botón fácil crea una instancia de una aplicación SAML en el inquilino de Microsoft Entra, rellena la dirección URL de cierre de sesión con el punto de conexión de SLO de APM. Un cierre de sesión iniciado por IdP desde el portal Aplicaciones de Microsoft Entra finaliza la sesión entre BIG-IP y un cliente.
Los metadatos de federación de SAML de la aplicación publicada se importan desde el inquilino, lo que proporciona a APM el punto de conexión de cierre de sesión de SAML para Microsoft Entra ID. Esta acción garantiza que un cierre de sesión iniciado por SP finaliza la sesión entre un cliente y Microsoft Entra ID. El APM debe saber cuándo un usuario cierra la sesión de la aplicación.
Si el portal de webtops de BIG-IP se usa para acceder a aplicaciones publicadas, los procesos de APM cierran sesión para llamar al punto de conexión de cierre de sesión de Microsoft Entra. Pero considere un escenario en el que no se usa el portal webtop de BIG-IP. El usuario no puede indicar al APM que cierre la sesión. Incluso si el usuario cierra la sesión de la aplicación, BIG-IP es oblivioso. Por lo tanto, tenga en cuenta el cierre de sesión iniciado por SP para garantizar que las sesiones finalicen de forma segura. Puede agregar una función SLO al botón Cerrar sesión de una aplicación, por lo que puede redirigir el cliente al punto de conexión de cierre de sesión de SAML o BIG-IP de Microsoft Entra. La dirección URL del punto de conexión de cierre de sesión de SAML para el inquilino está en Registros de aplicaciones > Puntos de conexión.
Si no es posible realizar un cambio en la aplicación, considere la posibilidad de que BIG-IP escuche la llamada de cierre de sesión de las aplicaciones y, al detectar la solicitud, desencadene el cierre de sesión único. Consulte la guía de SLO de Oracle PeopleSoft para obtener información sobre BIG-IP iRules. Para obtener más información sobre el uso de iRules de BIG-IP, consulte:
- K42052145: Configuración de la terminación automática de sesión basada en un nombre de archivo al que se hace referencia mediante un identificador URI
- K12056: Información general de la opción de inclusión de un identificador URI de cierre de sesión
Resumen
Este último paso proporciona un desglose de las configuraciones.
Seleccione Implementar para confirmar la configuración y comprobar que la aplicación está en la lista de inquilinos de las aplicaciones empresariales.
La aplicación se publica y es accesible a través de SHA, ya sea con su URL o los portales de aplicaciones de Microsoft. Para aumentar la seguridad, las organizaciones que usan este patrón pueden bloquear el acceso directo a la aplicación. Esta acción obliga a una ruta estricta a través de BIG-IP.
Pasos siguientes
Desde un explorador, en el portal MyApps de Microsoft conéctese a la dirección URL externa de la aplicación o seleccione el icono de la aplicación. Después de autenticarse en Microsoft Entra ID, se le redirige al servidor virtual de BIG-IP de la aplicación y se inicia sesión a través del inicio de sesión único.
Consulte la captura de pantalla siguiente para obtener la salida de los encabezados insertados en nuestra aplicación basada en encabezados.
Para aumentar la seguridad, las organizaciones que usan este patrón pueden bloquear el acceso directo a la aplicación. Esta acción obliga a una ruta estricta a través de BIG-IP.
Implementación avanzada
Las plantillas de configuración guiada pueden carecer de flexibilidad para lograr requisitos específicos.
En BIG-IP, puede deshabilitar el modo de administración estricta de Guided Configuration. A continuación, puede cambiar manualmente las configuraciones, aunque la mayor parte de las configuraciones se automatizan a través de las plantillas basadas en asistentes.
Para la configuración de las aplicaciones, puede ir a Acceso > Guided Configuration y seleccionar el icono de candado pequeño situado en el extremo derecho de la fila.
En este momento, los cambios con la interfaz de usuario del asistente ya no son posibles, pero todos los objetos de BIG-IP asociados a la instancia publicada de la aplicación se desbloquean para la administración directa.
Nota:
Al volver a habilitar el modo strict e implementar una configuración, se sobrescriben las opciones realizadas fuera de la interfaz de usuario de la configuración guiada. Se recomienda el método de configuración avanzada para los servicios de producción.
Solución de problemas
Registro de BIG-IP
El registro de BIG-IP puede ayudar a aislar problemas con la conectividad, el inicio de sesión único, infracciones de directivas o asignaciones de variables mal configuradas.
Para solucionar problemas, puede aumentar el nivel de detalle del registro.
- Vaya a Directiva de acceso > Información general > Registros de eventos > Configuración.
- Seleccione la fila de la aplicación publicada y, luego, Edit > Access System Logs (Editar > Registros del sistema de acceso).
- En la lista de SSO, seleccione Depurar y, luego, Aceptar.
Reproduzca el problema y, a continuación, inspeccione los registros, pero revierta esta configuración cuando haya finalizado. El modo detallado genera cantidades significativas de datos.
Página de error de BIG-IP
Si aparece un error de BIG-IP después de una autenticación previa de Microsoft Entra, es posible que el problema esté relacionado con el inicio de sesión único de Microsoft Entra ID en BIG-IP.
- Vaya a Access > Overview > Access reports (Acceso > Información general > Informes de acceso).
- Ejecute el informe de la última hora para ver si los registros proporcionan alguna pista.
- Use el vínculo View variables (Ver variables) de la sesión para saber si APM recibe las notificaciones esperadas de Microsoft Entra ID.
Solicitud back-end
Si no hay página de error, entonces es probable que el problema esté relacionado con la solicitud de back-end o con el inicio de sesión único desde BIG-IP a la aplicación.
- Vaya a Directiva de acceso > Información general > Sesiones activas y seleccione el vínculo de la sesión activa.
- Para ayudar a determinar la causa principal del problema, use el vínculo View Variables (Ver variables), especialmente si BIG-IP APM no puede obtener los atributos correctos de Microsoft Entra ID u otro origen.
Validación de la cuenta de servicio de APM
Para validar la cuenta de servicio de APM para las consultas LDAP, use el siguiente comando desde el shell Bash de BIG-IP. Confirme la autenticación y la consulta de un objeto de usuario.
ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"
Para más información, vea el artículo de F5 K11072: Configuración de la autenticación remota de LDAP para Active Directory. Puede usar una tabla de referencia de BIG-IP para ayudar a diagnosticar problemas relacionados con LDAP en el documento AskF5, consulta LDAP.