Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'accesso SSO basato su intestazione

Informazioni su come implementare l'accesso ibrido sicuro (SHA) con Single Sign-On (SSO) alle applicazioni basate su intestazioni usando la configurazione avanzata di F5 BIG-IP. Applicazioni pubblicate BIG-IP e vantaggi della configurazione di Microsoft Entra:

• Miglioramento della governance Zero Trust grazie alla preautenticazione e all'accesso condizionale di Microsoft Entra
  • Vedere Informazioni sull'accesso condizionale
  • Vedere Sicurezza Zero Trust
• Accesso SSO completo tra Microsoft Entra ID e i servizi pubblicati BIG-IP
• Identità gestite e accesso da un unico piano di controllo
  • Vedere Interfaccia di amministrazione di Microsoft Entra

Altre informazioni:

• Integrare F5 BIG-IP con Microsoft Entra ID
• Abilitare l'accesso SSO per un'applicazione aziendale

Descrizione dello scenario

Per questo scenario, c'è un'applicazione legacy che usa le intestazioni di autorizzazione HTTP per controllare l'accesso al contenuto protetto. Idealmente, Microsoft Entra ID gestisce l'accesso all'applicazione. Tuttavia, l'app legacy non dispone di un protocollo di autenticazione moderno. La modernizzazione richiede impegno e tempo, oltre a comportare rischi e costi legati ai tempi di inattività. È consigliabile, piuttosto, implementare un BIG-IP tra la rete Internet pubblica e l'applicazione interna per bloccare l'accesso in ingresso all'applicazione.

Con un BIG-IP davanti all'applicazione, è possibile sovrapporre il servizio con la preautenticazione e l'accesso SSO basato su intestazioni di Microsoft Entra. Tale configurazione migliora il comportamento di sicurezza delle applicazioni.

Architettura dello scenario

La soluzione di accesso ibrido sicuro per questo scenario è costituita da:

• Applicazione: servizio pubblicato di BIG-IP da proteggere con SHA di Microsoft Entra.
• Microsoft Entra ID: provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO al BIG-IP.
  • Con l'accesso SSO, Microsoft Entra ID fornisce gli attributi di sessione necessari per BIG-IP, inclusi gli identificatori utente
• BIG-IP: proxy inverso e provider di servizi (SP) SAML per l'applicazione, che delega l'autenticazione al provider di identità SAML prima dell'accesso SSO basato su intestazione all'applicazione back-end

Il diagramma seguente illustra il flusso utente con Microsoft Entra ID, BIG-IP, APM e un'applicazione.

1. L'utente si connette all'endpoint del provider di servizi SAML dell'applicazione (BIG-IP).
2. Il criterio di accesso BIG-IP APM reindirizza l'utente a Microsoft Entra ID (provider di identità SAML).
3. Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale.
4. L'utente viene reindirizzato a BIG-IP (provider di servizi SAML) e l'accesso SSO viene eseguito usando il token SAML rilasciato.
5. BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta inviata all'applicazione.
6. L'applicazione autorizza la richiesta e restituisce il payload.

Prerequisiti

Per questo scenario, sono necessari:

• Una sottoscrizione di Azure.
  • Se non si ha una sottoscrizione, è possibile creare un account Azure gratuito
• Uno dei ruoli seguenti: amministratore applicazione cloud o amministratore applicazione
• Un BIG-IP o distribuire un BIG-IP Virtual Edition (VE) in Azure
  • Vedere Distribuire F5 BIG-IP Virtual Edition Virtual Machine in Azure
• Una delle licenze F5 BIG-IP seguenti:
  • Bundle F5 BIG-IP® Best
  • Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
  • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) su un'istanza di BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Versione di valutazione completa delle funzionalità BIG-IP di 90 giorni. Vedere Versioni di valutazione gratuite.
• Identità utente sincronizzate da una directory locale a Microsoft Entra ID
  • Servizio di sincronizzazione di Microsoft Entra Connect: comprendere e personalizzare la sincronizzazione
• Un certificato SSL per pubblicare i servizi tramite HTTPS o usare i certificati predefiniti durante i test
  • Vedere Profilo SSL
• Un'applicazione basata su intestazione o, in alternativa, un'app di intestazione IIS per il test

Metodo di configurazione BIG-IP

Le istruzioni seguenti sono un metodo di configurazione avanzato, un modo flessibile per implementare SHA. Creare manualmente oggetti di configurazione BIG-IP. Usare questo metodo per scenari non inclusi nei modelli di configurazione guidati.

Nota

Sostituire le stringhe o i valori di esempio con quelli dell'ambiente in uso.

Aggiungere F5 BIG-IP dalla raccolta di Microsoft Entra

Per implementare SHA, il primo passaggio consiste nel configurare un trust federativo SAML tra BIG-IP APM e Microsoft Entra ID. Il trust stabilisce l'integrazione per BIG-IP per distribuire la preautenticazione e l'accesso condizionale all'ID Microsoft Entra, prima di concedere l'accesso al servizio pubblicato.

Altre informazioni: informazioni sull'accesso condizionale

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.

3. Nella barra multifunzione superiore selezionare + Nuova applicazione.

4. Nella raccolta, cercare F5.

5. Selezionare Integrazione di Microsoft Entra ID con F5 BIG-IP APM.

6. Immettere un Nome per l'applicazione.

7. Selezionare Aggiungi/Crea.

8. Il nome riflette il servizio.

Configurare l'accesso Single Sign-On di Microsoft Entra

1. Verrà visualizzata la nuova pagina delle proprietà dell'applicazione F5

2. Selezionare Gestisci>Single Sign-On

3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

4. Ignorare il prompt per salvare le impostazioni di Single Sign-On.

5. Selezionare No, il salvataggio verrà eseguito più tardi.

6. In Configura l'accesso Single Sign-On con SAML, selezionare l'icona della penna per Configurazione SAML di base.

7. Sostituire l'URL dell'identificatore con l'URL del servizio pubblicato di BIG-IP. Ad esempio, https://mytravel.contoso.com

8. Ripetere per l'URLdi risposta e includere il percorso dell'endpoint SAML di APM. Ad esempio, https://mytravel.contoso.com/saml/sp/profile/post/acs

   Nota

   In questa configurazione, il flusso SAML agisce in modalità IdP: Microsoft Entra ID genera un'asserzione SAML prima che l'utente venga reindirizzato all'endpoint di servizio BIG-IP per l'applicazione. Big-IP APM supporta le modalità IdP e SP.

9. Perl' URI di disconnessione immettere l'endpoint SLO (Single Log-Out) di BIG-IP APM, preceduto dall'intestazione host del servizio. L'URI SLO garantisce che le sessioni APM BIG-IP dell'utente terminino dopo la disconnessione di Microsoft Entra. Per esempio https://mytravel.contoso.com/saml/sp/profile/redirect/slr

   

   Nota

   A partire da Traffic Management Operating System (TMOS) v16, l'endpoint SLO SAML è cambiato in /saml/sp/profile/redirect/slo.

10. Seleziona Salva.

11. Uscire dalla configurazione SAML.

12. Ignorare il prompt di test di SSO.

13. Per modificare Attributi utente e attestazioni > + Aggiungi nuova attestazione, selezionare l'icona della penna .

14. In Nome selezionare Employeeid.

15. In Attributo di origine, selezionare user.employeeid.

16. Seleziona Salva

17. Selezionare + Aggiungi un'attestazione di gruppo.
18. Selezionare Gruppi assegnati all'applicazione>Attributo di origine>sAMAccountName.

19. Selezionare Salva configurazione.
20. Chiudere la vista.
21. Considerare le proprietà della sezione Attributi utente e attestazioni. Microsoft Entra ID rilascia le proprietà degli utenti per l'autenticazione BIG-IP APM e l'accesso Single Sign-On all'applicazione back-end.

Nota

Aggiungere ulteriori attestazioni previste come intestazioni dall'applicazione pubblicata su BIG-IP. Vengono pubblicate attestazioni più definite se contenute in Microsoft Entra ID. Definire le appartenenze alla directory e gli oggetti utente in Microsoft Entra ID prima di poter pubblicare attestazioni. Consultare Configurare le attestazioni di gruppo per le applicazioni usando Microsoft Entra ID.

22. Nella sezione Certificato di firma SAML, selezionare Scarica.
23. Il file XML dei metadati della federazione viene salvato nel computer.

I certificati di firma SAML creati da Microsoft Entra ID hanno una durata di tre anni.

Autorizzazione Microsoft Entra

Per impostazione predefinita, Microsoft Entra ID rilascia i token per gli utenti a cui viene concesso l'accesso a un'applicazione.

1. Nella vista di configurazione dell'applicazione, selezionare Utenti e gruppi.
2. Selezionare + Aggiungi utente e in Aggiungi assegnazione, selezionare Utenti e gruppi.
3. Nella finestra di dialogo Utenti e gruppi, aggiungere i gruppi di utenti autorizzati ad accedere all'applicazione basata sull'intestazione.
4. Seleziona Seleziona.
5. Seleziona Assegna.

Il trust federativo SAML di Microsoft Entra è completo. Quindi, configurare BIG-IP APM per pubblicare l'applicazione Web, configurata con le proprietà per completare il trust di preautenticazione SAML.

Configurazione avanzata

Usare le sezioni seguenti per configurare SAML, SSO intestazione, profilo di accesso e altro.

Configurazione SAML

Per completare la federazione dell'applicazione pubblicata con Microsoft Entra ID, creare il provider di servizi SAML BIG-IP e gli oggetti IdP SAML corrispondenti.

1. Selezionare Accesso>Federazione>Fornitore di servizi SAML>Servizi SP locali>Crea.

   

2. Immettere un valore per Nome.

3. Immettere l'ID entità definito in Microsoft Entra ID.

   

4. Per SP Name Settings (Impostazioni nome SP), effettuare le selezioni nel caso in cui l'ID entità non corrisponda al nome host dell'URL pubblicato oppure se non è in un formato URL basato su un nome host standard. Fornire lo schema esterno e il nome host dell'applicazione se l'ID entità è urn:mytravel:contosoonline.

5. Scorrere verso il basso per selezionare il nuovo oggetto SAML SP.

6. Selezionare Associa/dissocia connettori IdP.

   

7. Selezionare Crea nuovo connettore IdP.

8. Dal menu a discesa, selezionare Da metadati.

   

9. Passare al file XML dei metadati della federazione scaricato.

10. Immettere un Nome del provider di identità per l'oggetto APM per l'IdP SAML esterno. Ad esempio, MyTravel_EntraID

11. Selezionare Aggiungi nuova riga.
12. Selezionare il nuovo Connettore del provider di identità SAML.
13. Selezionare Aggiorna.

14. Seleziona OK.

Configurazione SSO intestazione

Creare un oggetto SSO APM.

1. Selezionare Accesso>Profili/criteri>Criteri per richiesta>Crea.

2. Immettere un valore per Nome.

3. Aggiungere almeno una Lingua accettata.

4. Selezionare Completato.

   

5. Per i nuovi criteri per richiesta, selezionare Modifica.

   

6. Viene aperto l'editor criteri visivi.

7. In fallback, selezionare il simbolo +.

   

8. Nella scheda Utilizzo generico, selezionare Intestazioni HTTP>Aggiungi elemento.

   

9. Selezionare Aggiungi nuova voce.

10. Creare tre voci di modifica HTTP e Intestazione.

11. Per Nome intestazione, immettere upn.

12. Per Valore intestazione, immettere %{session.saml.last.identity}.

13. In Nome intestazione, immettere employeeid.

14. Per Valore intestazione, enter %{session.saml.last.attr.name.employeeid}.

15. Per Nome intestazione, immettere group_authz.

16. Per Valore intestazione, immettere %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Nota

Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. È consigliabile definire gli attributi in minuscolo.

17. Seleziona Salva.
18. Chiudere l'editor criteri visivi.

Configurazione del profilo di accesso

Un profilo di accesso associa molti elementi APM che gestiscono l'accesso ai server virtuali BIG-IP, compresi i criteri di accesso, la configurazione SSO e le impostazioni dell'interfaccia utente.

1. Selezionare Accesso>Profilo/criteri>Profili di accesso (Criteri per sessione)>Crea.

2. Per Nome, immettere MyTravel.

3. Per Tipo di profilo selezionare Tutti.

4. Per Lingua accettata, selezionare almeno una lingua.

5. Selezionare Completato.

   

6. Per il profilo per sessione creato, selezionare Modifica.

   

7. Viene aperto l'editor criteri visivi.

8. In fallback, selezionare il simbolo +.

   

9. Selezionare Autenticazione>Autenticazione SAML>Aggiungi elemento.

   

10. Per la configurazione Provider di servizi di autenticazione SAML, dall'elenco a discesa Server AAA, selezionare l'oggetto Provider di servizi SAML creato.

11. Seleziona Salva.

Mapping attributi

Le istruzioni seguenti sono facoltative. Con una configurazione LogonID_Mapping, l'elenco delle sessioni attive BIG-IP contiene il nome dell'entità utente (UPN) connesso, non un numero di sessione. Usare questi dati per analizzare i log o per la risoluzione dei problemi.

1. Per il ramo Autenticazione SAML riuscita, selezionare il simbolo +.

   

2. Nel popup, selezionare Assegnazione>Assegnazione variabile>Aggiungi elemento.

   

3. Immetti un valore per Nome

4. Nella sezione Assegnazione variabile, selezionare Aggiungi nuova voce>modifica. Ad esempio, LogonID_Mapping.

   

5. Per Variabile personalizzata, impostare session.saml.last.identity.

6. Per Variabile di sessione, impostare session.logon.last.username.

7. Selezionare Completato.

8. Seleziona Salva.

9. Nel ramo Criterio di accesso riuscito, selezionare il terminale Rifiuta.

10. Seleziona Consenti.

11. Seleziona Salva.

12. Selezionare Applica criteri di accesso.

13. Chiudere l'editor criteri visivi.

Configurazione del pool back-end

Per consentire a BIG-IP di inoltrare correttamente il traffico client, creare un oggetto nodo APM che rappresenti il server back-end che ospita l'applicazione. Posizionare il nodo in un pool APM.

1. Selezionare Traffico locale > Pool > Elenco di pool > Crea.

2. Per un oggetto pool di server, immettere un nome. Ad esempio, MyApps_VMs.

   

3. Aggiungere un oggetto membro del pool.

4. Per Nome nodo, immettere un nome per il server che ospita l'applicazione Web di back-end.

5. Per Indirizzo, inserire l'indirizzo IP del server che ospita l'applicazione.

6. Per Porta servizio, immettere la porta HTTP/S su cui l'applicazione è in ascolto.

7. Selezionare Aggiungi.

   

   Nota

   Per ulteriori informazioni, consultare my.f5.com per K13397: panoramica della formattazione delle richieste di monitoraggio dello stato di integrità HTTP per il sistema DNS BIG-IP.

Configurazione del server virtuale

Un server virtuale è un oggetto del piano dati BIG-IP rappresentato da un indirizzo IP virtuale in attesa delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato con il profilo di accesso APM associato al server virtuale. Il traffico viene indirizzato in base ai criteri.

1. Selezionare Local Traffic>Virtual Servers>Virtual Server List>Crea.

2. Immettere un Nome del server virtuale.

3. Per Indirizzo di destinazione/maschera, selezionare Host

4. Inserire un IP non utilizzato IPv4 o IPv6 da assegnare a BIG-IP per ricevere il traffico dei client.

5. Per Porta servizio, selezionare Porta, 443 e selezionare HTTPS.

   

6. Per Profilo HTTP (client), selezionare http.

7. Per profilo SSL (client), selezionare il profilo SSL client creato o lasciare quello predefinito per i test.

   

8. Per Conversione indirizzo di origine, selezionare Mapping automatico.

   

9. Per Criterio di accesso, selezionare il Profilo di accesso creato in precedenza. Questa azione associa il profilo di preautenticazione SAML di Microsoft Entra e il criterio SSO delle intestazioni al server virtuale.

10. Per Criteri di prerichiesta, selezionare SSO_Headers.

11. Per Pool predefinito, selezionare gli oggetti pool back-end creati.
12. Selezionare Completato.

Gestione della sessione

Usare l'impostazione di gestione delle sessioni BIG-IPs per definire le condizioni per la terminazione o la continuazione della sessione utente. Creare un criterio con Criteri di accesso>Profili di accesso. Seleziona un'applicazione dall'elenco.

Riguardo alla funzionalità SLO, un URI SLO in Microsoft Entra ID assicura che una disconnessione avviata dall'IdP dal portale MyApps termini la sessione tra il client e BIG-IP APM. Il file XML dei metadati di federazione dell'applicazione importato fornisce all'APM l'endpoint di disconnessione SAML di Microsoft Entra, per la disconnessione avviata dall'SP. Pertanto, è necessario consentire all'APM di controllare quando un utente si disconnette.

Se non è presente un portale web BIG-IP, l'utente non può indicare ad APM di disconnettersi. Se l'utente si disconnette dall'applicazione, il BIG-IP ignorerà l'azione. La sessione dell'applicazione può essere ripristinata tramite l'accesso SSO. Pertanto, la disconnessione avviata dall'SP richiede un'attenta considerazione.

Per assicurarsi che le sessioni terminino in modo sicuro, aggiungere una funzione SLO al pulsante Disconnetti dell'applicazione. Abilitarla per reindirizzare il client all'endpoint di disconnessione SAML di Microsoft Entra. Per l'endpoint di disconnessione SAML del tenant, passare a Registrazioni app>Endpoint.

Se non è possibile modificare l'app, abilitare BIG-IP in modo che resti in ascolto della chiamata di disconnessione dell'app e attivi la funzione SLO. Per altre informazioni, vedere:

• Andare a support.f5.com per K42052145: configurazione della terminazione automatica della sessione (disconnessione) in base a un nome file con riferimento a un URI
• Andare a my.f5.com per K12056: panoramica dell'opzione di inclusione dell'URI di disconnessione

Distribuzione

1. Selezionare Distribuisci per eseguire il commit delle impostazioni.
2. Verificare che l'applicazione sia presente nel tenant.
3. L'applicazione viene pubblicata ed è accessibile tramite SHA, con il relativo URL o nei portali Microsoft.

  Test

Eseguire il test seguente in qualità di utente.

1. Selezionare l'URL esterno dell'applicazione oppure, nel portale App personali, selezionare l'icona dell'applicazione.
2. Eseguire l'autenticazione in Microsoft Entra ID.
3. Si viene reindirizzati al server virtuale BIG-IP per l'applicazione e viene effettuato l'accesso tramite SSO.
4. L'output dell'intestazione inserita viene visualizzato dall'applicazione basata su intestazione.

Per una maggiore sicurezza, bloccare l'accesso casuale all'applicazione, applicando un percorso tramite BIG-IP.

Risoluzione dei problemi

Usare le indicazioni seguenti per la risoluzione dei problemi.

Livello di dettaglio del log

I log BIG-IP contengono informazioni per isolare i problemi di autenticazione e di accesso SSO. Aumentare il livello di dettaglio del log:

1. Andare a Criterio di accesso>Panoramica>Log eventi.
2. Seleziona Impostazioni.
3. Selezionare la riga dell'applicazione pubblicata.
4. Selezionare Modifica >Log di sistema di accesso.
5. Dall'elenco SSO, selezionare Debug.
6. Seleziona OK.
7. Riprodurre il problema.
8. Esaminare i log.
9. Al termine, ripristinare le impostazioni.

Messaggio di errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo il reindirizzamento, il problema è probabilmente correlato all'accesso SSO da Microsoft Entra ID a BIG-IP.

1. Andare a Criteri di accesso>Panoramica.
2. Selezionare Report di accesso.
3. Eseguire il report per l'ultima ora.
4. Esaminare i log per individuare gli indizi.
5. Per la sessione selezionare il collegamento Visualizza variabili di sessione.
6. Verificare che APM riceva le attestazioni previste da Microsoft Entra ID.

Nessun messaggio di errore BIG-IP

Se non viene visualizzato alcun messaggio di errore BIG-IP, allora è più probabile che il problema sia correlato all'accesso SSO da BIG-IP all'applicazione back-end.

1. Andare a Criteri di accesso>Panoramica.
2. Selezionare Sessioni attive.
3. Selezionare il collegamento per la sessione attiva.
4. Selezionare il collegamento Visualizza variabili per determinare eventuali problemi di accesso SSO.
5. Verificare se BIG-IP APM riesce o meno a ottenere gli identificatori di dominio e utente corretti.

Altre informazioni:

• Andare a devcentral.f5.com per esempi di assegnazione delle variabili APM
• Passare a techdocs.f5.com per informazioni su BIG-IP Access Policy Manager: Editor dei criteri visivi

Risorse

• Autenticazione senza password
• Informazioni sull'accesso condizionale
• Framework Zero Trust per abilitare il lavoro remoto