Esercitazione: Configurare l'accesso Single Sign-On tra Microsoft Entra ID e F5 big-IP Easy Button per l'accesso Single Sign-On basato su intestazione
In questa esercitazione si apprenderà come integrare F5 con Microsoft Entra ID. L’integrazione di F5 con Microsoft Entra ID permette di:
- Controllare in Microsoft Entra ID chi può accedere a F5.
- Abilitare gli utenti per l'accesso automatico a F5 con gli account Microsoft Entra personali.
- Gestire gli account in un'unica posizione centrale.
Nota
F5 BIG-IP APM Purchase Now.F5 BIG-IP APM Purchase Now.
Descrizione dello scenario
Questo scenario esamina l'applicazione legacy classica usando le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto.
Essendo legacy, l'applicazione non dispone di protocolli moderni che supportino un'integrazione diretta con Microsoft Entra ID. L'applicazione può essere modernizzata, ma sarebbe costoso, richiederebbe un'attenta pianificazione e introdurrebbe il rischio di potenziali tempi di inattività. Viene invece usato un controller ADC F5 BIG-IP per colmare il divario tra l'applicazione legacy e il piano di controllo dell'ID moderno, tramite la transizione del protocollo.
La presenza di big-IP davanti all'applicazione consente di sovrapporre il servizio con l'accesso Single Sign-On basato su pre-autenticazione e intestazioni di Microsoft Entra, migliorando significativamente il comportamento di sicurezza complessivo dell'applicazione.
Nota
Le organizzazioni possono anche ottenere l'accesso remoto a questo tipo di applicazione con il proxy dell'applicazione Microsoft Entra.
Architettura dello scenario
La soluzione SHA per questo scenario è costituita da:
Applicazione: servizio pubblicato di BIG-IP da proteggere con SHA di Microsoft Entra.
Microsoft Entra ID: provider di identità (IdP) SAML (Security Assertion Markup Language) responsabile della verifica delle credenziali utente, dell'accesso condizionale e dell'accesso SSO basato su SAML in BIG-IP. Tramite l’accesso SSO, Microsoft Entra ID fornisce a BIG-IP gli attributi di sessione necessari.
BIG-IP: proxy inverso e provider di servizi SAML (SP) all'applicazione, delegando l'autenticazione al provider di identità SAML prima di eseguire l'accesso SSO basato su intestazione all'applicazione back-end.
In questo scenario SHA supporta sia i flussi avviati dal provider di servizi che dal provider di identità. L’immagine seguente illustra il flusso avviato dal provider di servizi.
Passaggi | Descrizione |
---|---|
1 | L'utente si connette all'endpoint dell’applicazione (BIG-IP) |
2 | Il criterio di accesso APM di BIG-IP reindirizza l'utente a Microsoft Entra ID (provider di identità SAML) |
3 | Microsoft Entra ID preautentica l'utente e impone i criteri di accesso condizionale applicati |
4 | L'utente viene reindirizzato a BIG-IP (provider di servizi SAML) e l'accesso SSO viene eseguito usando il token SAML rilasciato |
5 | BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta inviata all'applicazione |
6 | L'applicazione autorizza la richiesta e restituisce il payload |
Prerequisiti
L'esperienza BIG-IP precedente non è necessaria, ma è necessario:
Sottoscrizione gratuita di Microsoft Entra ID o versione successiva.
Un BIG-IP esistente o distribuire un'edizione virtuale BIG-IP (VE) in Azure.
Uno degli SKU di licenza F5 BIG-IP seguenti.
Bundle F5 BIG-IP® Migliore.
Licenza autonoma F5 BIG-IP Access Policy Manager™ (APM).
Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) su un'istanza esistente di BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM).
Licenza per una versione di valutazione completa di BIG-IP valida 90 giorni.
Identità utente sincronizzate da una directory locale a Microsoft Entra ID.
Un account con autorizzazioni di amministratore dell'applicazione Microsoft Entra.
Un certificato Web SSL per la pubblicazione di servizi tramite HTTPS o l'uso di certificati BIG-IP predefiniti durante il test.
Un'applicazione basata su intestazione esistente o configurare una semplice app di intestazione IIS per il test.
Metodi di configurazione BIG-IP
Esistono molti metodi per configurare BIG-IP per questo scenario, tra cui due opzioni basate su modello e una configurazione avanzata. Questa esercitazione illustra la versione più recente della configurazione guidata 16.1 che offre un modello Easy Button. Con Easy Button, gli amministratori non devono alternare tra Microsoft Entra ID e un BIG-IP per abilitare i servizi per SHA. La gestione della distribuzione e dei criteri viene gestita direttamente tra la configurazione guidata di APM e Microsoft Graph. Questa integrazione avanzata tra BIG-IP di APM e Microsoft Entra ID garantisce che le applicazioni possano supportare rapidamente la federazione delle identità, l'accesso SSO e l’accesso condizionale di Microsoft Entra, riducendo il sovraccarico amministrativo.
Nota
Tutte le stringhe o i valori di esempio a cui si fa riferimento in questa guida devono essere sostituiti con quelli dell'ambiente effettivo.
Registrare Easy Button
Prima che un client o un servizio possa accedere a Microsoft Graph, deve essere considerato attendibile da Microsoft Identity Platform.
Questo primo passaggio crea una registrazione dell'app tenant che verrà usata per autorizzare l'accesso Easy Button a Graph. Tramite queste autorizzazioni, BIG-IP potrà eseguire il push delle configurazioni necessarie per stabilire un’attendibilità tra un'istanza del provider di servizi SAML per l'applicazione pubblicata e Microsoft Entra ID come provider di identità SAML.
Accedere al portale di Azure usando un account con autorizzazioni di amministratore per l'applicazione.
Nel riquadro di spostamento a sinistra selezionare il servizio Microsoft Entra ID.
In Gestisci selezionare Registrazioni app> Nuova registrazione.
Immettere un nome visualizzato per l'applicazione, ad esempio
F5 BIG-IP Easy Button
.Specificare chi può usare gli account dell’applicazione:>Solo gli account in questa directory dell’organizzazione.
Selezionare Registra per completare la registrazione iniziale dell'app.
Passare a Autorizzazioni API e autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Concedere il consenso amministratore per l'organizzazione.
Nel pannello Certificati e segreti generare un nuovo segreto client e annotarlo.
Nel pannello Panoramica prendere nota dell'ID client e dell'ID tenant.
Configurare Easy Button
Avviare la configurazione guidata di APM per avviare il modello Easy Button.
Passare a Accesso > Configurazione guidata > Integrazione Microsoft e selezionare Applicazione Microsoft Entra.
In Configurazione della soluzione usando i passaggi seguenti verranno creati gli oggetti necessari, esaminare l'elenco dei passaggi di configurazione e selezionare Avanti.
In Configurazione guidata seguire la sequenza di passaggi necessari per pubblicare l'applicazione.
Configuration Properties
La scheda Proprietà di configurazione crea una configurazione dell'applicazione BIG-IP e un oggetto SSO. Si consideri che la sezioneDettagli account del servizio di Azure rappresenta il client registrato in precedenza come applicazione nel tenant di Microsoft Entra. Queste impostazioni consentono a un client OAuth di BIG-IP di registrare singolarmente un provider di servizi SAML direttamente nel tenant, insieme alle proprietà SSO che normalmente vengono configurate manualmente. Easy Button esegue questa operazione per ogni servizio BIG-IP pubblicato e abilitato per SHA.
Alcune di queste sono impostazioni globali, quindi possono essere riutilizzate per la pubblicazione di altre applicazioni, riducendo ulteriormente il tempo di distribuzione e il lavoro richiesto.
Immettere un nome di configurazione univoco in modo che gli amministratori possano distinguere facilmente tra le configurazioni di Easy Button.
Abilitare l'accesso Single Sign-On (SSO) e le intestazioni HTTP.
Immettere l'ID tenant, l'ID client e il segreto client annotati durante la registrazione del client Easy Button nel tenant.
Verificare che BIG-IP possa connettersi correttamente al tenant e quindi selezionare Avanti.
Provider di Servizi
Le impostazioni del provider di servizi definiscono le proprietà per l'istanza del provider di servizi SAML dell'applicazione protetta tramite SHA.
Immettere l'host. Si tratta dell'FQDN pubblico dell'applicazione protetta.
Immettere l'ID entità. Si tratta dell'identificatore che Microsoft Entra ID userà per identificare l'SP SAML che richiede un token.
Le impostazioni di sicurezza facoltative specificano se Microsoft Entra ID deve crittografare le asserzioni SAML rilasciate. La crittografia delle asserzioni tra Microsoft Entra ID e BIG-IP APM garantisce che i token di contenuto non possano essere intercettati e che i dati personali o aziendali vengano compromessi.
Nell'elenco Chiave privata di decrittografia asserzione, selezionare Crea nuova.
Seleziona OK. Verrà visualizzata la finestra di dialogo Importa certificato SSL e chiavi in una nuova scheda.
Selezionare PKCS 12 (IIS) per importare il certificato e la chiave privata. Dopo aver eseguito il provisioning, chiudere la scheda del browser per tornare alla scheda principale.
Selezionare Abilita asserzione crittografata.
Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Chiave privata per decrittografia asserzione. Si tratta della chiave privata per il certificato che verrà usato da BIG-IP APM per decrittografare le asserzioni Microsoft Entra.
Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Certificato di decrittografia asserzione. Si tratta del certificato che BIG-IP caricherà in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.
Microsoft Entra ID
Questa sezione definisce tutte le proprietà che verrebbero normalmente usate per configurare manualmente una nuova applicazione SAML BIG-IP all'interno del tenant di Microsoft Entra. Easy Button offre un set di modelli di applicazione predefiniti per Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e un modello SHA generico per qualsiasi altra app.
Per questo scenario, nella pagina Configurazione di Azure selezionare F5 BIG-IP APM Integrazione di Azure AD.>
Configurazione di Azure
Nella pagina Configurazione di Azure seguire questa procedura:
In Proprietà di configurazione immettere Nome visualizzato dell'app creata da BIG-IP nel tenant di Microsoft Entra e l'icona visualizzata dagli utenti nel portale MyApps.
Non immettere nulla nell'URL di accesso (facoltativo) per abilitare l'accesso avviato da IdP.
Selezionare l'icona di aggiornamento accanto alla chiave di firma e al certificato di firma per individuare il certificato importato in precedenza.
Immettere la password del certificato in Passphrase della chiave di firma.
Abilitare Opzione di firma (facoltativo). In questo modo, BIG-IP accetta solo token e attestazioni firmati dall'ID Microsoft Entra.
Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra e usati per autorizzare l'accesso all'applicazione. Aggiungere un utente o un gruppo che è possibile usare in un secondo momento per il test. In caso contrario, tutti gli accessi verranno negati.
Attributi utente e attestazioni
Quando un utente esegue correttamente l'autenticazione, Microsoft Entra ID rilascia un token SAML con un set predefinito di attestazioni e attributi che identificano in modo univoco l'utente. La scheda Attributi utente e attestazioni mostra le attestazioni predefinite da rilasciare per la nuova applicazione. Consente anche di configurare più attestazioni.
Per questo esempio, è possibile includere un altro attributo:
Immettere Nome intestazione come employeeid.
Immettere Source Attribute (Attributo di origine) come user.employeeid.
Attributi utente aggiuntivi
Nella scheda Attributi utente aggiuntivi è possibile abilitare l'aumento delle sessioni richiesto da un'ampia gamma di sistemi distribuiti, ad esempio Oracle, SAP e altre implementazioni basate su JAVA che richiedono attributi archiviati in altre directory. Gli attributi recuperati da un'origine LDAP possono quindi essere inseriti come intestazioni SSO aggiuntive per controllare ulteriormente l'accesso in base a ruoli, ID partner e così via.
Nota
Questa funzionalità non ha alcuna correlazione con Microsoft Entra ID, ma è un'altra origine di attributi.
Criteri di accesso condizionale
I criteri di accesso condizionale vengono applicati dopo la preautenticazione di Microsoft Entra per controllare l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio.
La visualizzazione Criteri disponibili, per impostazione predefinita, elenca tutti i criteri di accesso condizionale che non includono azioni basate sull'utente.
Per impostazione predefinita, nella visualizzazione Criteri selezionati vengono visualizzati tutti i criteri destinati a Tutte le risorse. Questi criteri non possono essere deselezionati o spostati nell'elenco Criteri disponibili perché vengono applicati a livello di tenant.
Per selezionare un criterio da applicare all'applicazione da pubblicare:
- Selezionare i criteri desiderati nell'elenco Criteri disponibili.
- Selezionare la freccia DESTRA e spostarla nell'elenco Criteri selezionati.
I criteri selezionati devono avere un'opzione Includi o Escludi selezionata. Se vengono selezionate entrambe le opzioni, i criteri selezionati non vengono applicati.
Nota
L'elenco dei criteri viene enumerato una sola volta quando si passa per la prima volta a questa scheda. È disponibile un pulsante di aggiornamento per forzare manualmente la procedura guidata per eseguire query sul tenant. Tuttavia, questo pulsante viene visualizzato solo quando l'applicazione è stata distribuita.
Proprietà del server virtuale
Un server virtuale è un oggetto del piano dati BIG-IP rappresentato da un indirizzo IP virtuale in attesa delle richieste client all'applicazione. Qualsiasi traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale, prima di essere indirizzato in base ai risultati e alle impostazioni dei criteri.
Immettere un valore in Indirizzo di destinazione. Può essere qualsiasi indirizzo IPv4/IPv6 disponibile che BIG-IP possa usare per ricevere il traffico client. Un record corrispondente deve esistere anche in DNS per consentire ai client di risolvere l'URL esterno dell'applicazione BIG-IP pubblicata in questo IP anziché l'applicazione stessa. L'uso del DNS localhost di un PC di test è corretto per i test.
Immettere Service Port (Porta del servizio) come 443 per HTTPS.
Selezionare Abilita porta di reindirizzamento e quindi immettere la porta di reindirizzamento. Reindirizza il traffico client HTTP in ingresso a HTTPS.
Il profilo SSL client abilita il server virtuale per HTTPS, in modo che le connessioni client vengano crittografate tramite TLS. Selezionare il profilo SSL client creato come parte dei prerequisiti o lasciare il valore predefinito durante il test.
Proprietà del pool
La scheda Pool di applicazioni illustra in dettaglio i servizi dietro un BIG-IP rappresentato come pool, contenente uno o più server applicazioni.
Scegliere da Selezionare un pool. Creare un nuovo pool o selezionare uno esistente.
Scegliere il metodo di bilanciamento del carico come
Round Robin
.Per Server pool selezionare un nodo esistente o specificare un indirizzo IP e una porta per il server che ospita l'applicazione basata sull'intestazione.
L'applicazione back-end si trova sulla porta HTTP 80, ma ovviamente passare a 443 se il proprio è HTTPS.
Intestazioni HTTP e Single Sign-On
L'abilitazione dell'accesso SSO consente agli utenti di accedere ai servizi pubblicati BIG-IP senza dover immettere le credenziali. La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO, che verranno abilitate per configurare quanto segue.
Operazione intestazione:
Insert
Nome intestazione:
upn
Valore intestazione:
%{session.saml.last.identity}
Operazione intestazione:
Insert
Nome intestazione:
employeeid
Valore intestazione:
%{session.saml.last.attr.name.employeeid}
Nota
Le variabili di sessione APM definite tra parentesi graffe fanno distinzione TRA maiuscole e minuscole. Ad esempio, se si immette OrclGUID quando il nome dell'attributo Microsoft Entra viene definito come orclguid, si verificherà un errore di mapping degli attributi.
Gestione delle sessioni
Le impostazioni di gestione delle sessioni BIG-IP vengono usate per definire le condizioni in base alle quali le sessioni utente vengono continuate o terminate, i limiti per gli utenti e gli indirizzi IP e le informazioni utente corrispondenti. Per informazioni dettagliate su queste impostazioni, vedere la documentazione di F5.
Ciò che non è trattato qui è tuttavia la funzionalità Single Log-Out (SLO), che garantisce che tutte le sessioni tra idP, BIG-IP e l'agente utente vengano terminate quando gli utenti si disconnettono. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola anche l'URL di disconnessione con l'endpoint SLO di APM. In questo modo, gli accessi avviati dal provider di identità dal portale MyApps di Microsoft Entra terminano anche la sessione tra BIG-IP e un client.
Oltre a questo, i metadati di federazione SAML per l'applicazione pubblicata vengono importati anche dal tenant, fornendo a APM l'endpoint di disconnessione SAML per Microsoft Entra ID. In questo modo, la disconnessione avviata dal provider di servizi termina la sessione tra un client e Microsoft Entra ID. Tuttavia, per essere veramente efficace, APM deve sapere esattamente quando un utente si disconnette dall'applicazione.
Se il portale Webtop BIG-IP viene usato per accedere alle applicazioni pubblicate, APM elaborerà anche una disconnessione per chiamare anche l'endpoint di disconnessione di Microsoft Entra. Si consideri tuttavia uno scenario in cui il portale Webtop BIG-IP non viene usato e in cui l'utente non ha modo di indicare a APM di disconnettersi. Anche se l'utente si disconnette dall'applicazione stessa, BIG-IP tecnicamente non lo sa. Per questo motivo, la disconnessione avviata dal provider di servizi deve essere valutata attentamente per assicurarsi che le sessioni vengano terminate in modo protetto quando non sono più necessarie. Un modo per ottenere questo risultato consiste nell'aggiungere una funzione SLO al pulsante di disconnessione delle applicazioni, in modo che possa reindirizzare il client all'endpoint di disconnessione SAML o BIG-IP di Microsoft Entra. L'URL dell'endpoint di disconnessione SAML per il tenant è disponibile in Registrazioni app> Endpoint.
Se apportare una modifica all'app non è possibile, valutare la possibilità di usare BIG-IP per ascoltare la chiamata di disconnessione dell'applicazione e configurarlo perché attivi SLO dopo il rilevamento della richiesta. Per ottenere questo risultato, vedere le linee guida di Oracle PeopleSoft SLO per l'uso di iRules di BIG-IP. Altre informazioni sull'uso di iRules di BIG-IP per ottenere questo risultato sono disponibili nell'articolo della Knowledge Base di F5 Configurazione della terminazione automatica della sessione (disconnessione) in base a un nome di file a cui si fa riferimento URI e Panoramica dell'opzione di inclusione dell'URI di disconnessione.
Riepilogo
Questo ultimo passaggio fornisce una suddivisione delle configurazioni. Selezionare Distribuisci per eseguire il commit di tutte le impostazioni e verificare che l'applicazione esista nell'elenco dei tenant di 'Applicazioni aziendali'.
L'applicazione dovrebbe ora essere pubblicata e accessibile tramite SHA, direttamente tramite il relativo URL o tramite i portali delle applicazioni di Microsoft.
Passaggi successivi
Da un browser connettersi all'URL esterno dell'applicazione o selezionare l'icona dell'applicazione nel portale Microsoft MyApps. Dopo l'autenticazione con Microsoft Entra ID, si verrà reindirizzati al server virtuale BIG-IP per l'applicazione e si è eseguito automaticamente l'accesso tramite SSO.
Viene visualizzato l'output delle intestazioni inserite visualizzate dall'applicazione basata sulle intestazioni.
Per una maggiore sicurezza, le organizzazioni che usano questo criterio potrebbero anche considerare di bloccare tutto l'accesso diretto all'applicazione, forzando così un percorso strict tramite BIG-IP.
Distribuzione avanzata
In alcuni casi i modelli di configurazione guidata non dispongono della flessibilità necessaria per garantire requisiti più specifici. Per questi scenari, vedere Configurazione avanzata per l'accesso SSO basato su intestazioni.
In alternativa, BIG-IP offre la possibilità di disabilitare la modalità di gestione rigorosa della configurazione guidata. Ciò consente di modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni viene automatizzata tramite i modelli basati su procedura guidata.
È possibile passare a Accesso > Configurazione guidata e selezionare l’icona a forma di lucchetto piccola all’estrema destra della riga per le configurazioni delle applicazioni.
A questo punto, non è più possibile apportare modifiche tramite l'interfaccia utente della procedura guidata, ma tutti gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione verranno sbloccati per la gestione diretta.
Nota
Riabilitare la modalità strict e distribuire una configurazione sovrascriverà tutte le impostazioni configurate all'esterno dell'interfaccia utente della configurazione guidata. Pertanto, è consigliabile usare il metodo di configurazione avanzato per i servizi di produzione.
Risoluzione dei problemi
L'accesso a un'applicazione protetta SHA può essere dovuto a un numero qualsiasi di fattori. La registrazione BIG-IP consente di isolare rapidamente tutti i tipi di problemi di connettività, SSO, violazioni dei criteri o mapping di variabili non configurati correttamente. Iniziare la risoluzione dei problemi aumentando il livello di dettaglio del log.
Passare a Criteri di accesso > Panoramica > Log eventi > Impostazioni.
Selezionare la riga corrispondente all'applicazione pubblicata e quindi Modifica > Log del sistema di accesso.
Selezionare Debug dall'elenco SSO e quindi OK.
Riprodurre il problema, quindi esaminare i log, ma ricordarsi di deselezionare l’opzione al termine perché la modalità dettagliata genera molti dati.
Se viene visualizzato un errore con marchio BIG-IP immediatamente dopo la preautenticazione di Microsoft Entra, è possibile che il problema si riferisca all'accesso SSO da Microsoft Entra ID a BIG-IP.
Passare a Accesso > Panoramica > Report sull’accesso.
Eseguire il report riferito all'ultima ora per verificare se i log forniscono indizi. Il collegamento Visualizza variabili di sessione per la sessione consentirà anche di capire se APM riceve le attestazioni previste dall'ID Microsoft Entra.
Se non viene visualizzata una pagina di errore BIG-IP, il problema è probabilmente più correlato alla richiesta back-end o all'accesso SSO da BIG-IP all'applicazione.
In questo caso passare a Sessioni attive di Panoramica > dei > criteri di accesso e selezionare il collegamento per la sessione attiva.
Il collegamento Visualizza variabili in questa posizione può anche aiutare a causare problemi di accesso SSO, in particolare se big-IP APM non riesce a ottenere gli attributi corretti da Microsoft Entra ID o da un'altra origine.
Per altre informazioni, vedere questo articolo della Knowledge Base di F5 Configurazione dell'autenticazione remota LDAP per Active Directory. È disponibile anche una tabella di riferimento BIG-IP ideale per diagnosticare i problemi correlati a LDAP in questo articolo della Knowledge Base di F5 su Query LDAP.