次の方法で共有

F5 BIG-IP と Microsoft Entra ID と統合する

  • [アーティクル]

脅威の状況や複数のモバイル デバイスの使用が増加するにつれ、組織はリソースアクセスとガバナンスを再考しています。 最新化プログラムの一部には、ID、デバイス、アプリ、インフラストラクチャ、ネットワーク、データの準備状況の評価が含まれます。 リモート作業を可能にするゼロ トラスト フレームワークとゼロ トラスト評価ツールについて学習できます。

デジタル変革は長期的な取り組みであり、潜在的に重要なリソースは最新化されるまで公開されます。 F5 BIG-IP と Microsoft Entra ID のセキュリティで保護されたハイブリッド アクセス (SHA) の目標は、オンプレミス アプリケーションへのリモート アクセスを改善し、脆弱なレガシ サービスのセキュリティ体制を強化することです。

調査では、オンプレミス アプリケーションの 60% から 80% がレガシであるか、Microsoft Entra ID と統合できないと推定されています。 同じ調査で、類似のシステムの大部分が、SAP、Oracle、SAGE、重要なサービス向けのその他の既知のワークロードの以前のバージョンで実行されていることが示されました。

SHA を使用すると、組織は F5 ネットワークとアプリケーション配信への投資を引き続き使用できます。 Microsoft Entra ID と共に SHA では、ID コントロール プレーンとの格差を埋めます。

メリット

Microsoft Entra ID で BIG-IP 公開サービスへのアクセスを事前認証すると、次のような多くの利点があります。

他にも次のようなメリットがあります。

シナリオの説明

アプリケーション デリバリー コントローラー (ADC) および Secure Socket Layer 仮想プライベート ネットワーク (SSL-VPN) としての BIG-IP システムでは、次に示すようなサービスへのローカルおよびリモート アクセスを提供します。

  • 最新の Web アプリケーションとレガシ Web アプリケーション
  • Web ベースではないアプリケーション
  • Representational State Transfer (REST) および簡易オブジェクト アクセス プロトコル (SOAP) Web アプリケーション プログラミング インターフェイス (API) サービス

BIG-IP Local Traffic Manager (LTM) はセキュリティで保護されたサービスの発行用ですが、Access Policy Manager (APM) では、ID フェデレーションとシングル サインオン (SSO) を有効にする BIG-IP 機能を拡張します。

統合により、次のような制御を使って、セキュリティで保護されたレガシ サービスまたは他の統合サービスへのプロトコル移行を実現します。

このシナリオでは、BIG-IP はサービスの事前認証と認可を Microsoft Entra ID に引き渡すリバース プロキシです。 統合は、APM と Microsoft Entra ID 間の標準のフェデレーション信頼に基づいています。 このシナリオは SHA で一般的です。 チュートリアル: Microsoft Entra SSO 用に F5 BIG-IP SSL-VPN を構成する。 SHA を使用すると、Security Assertion Markup Language (SAML)、Open Authorization (OAuth)、Open ID Connect (OIDC) リソースをセキュリティで保護できます。

Note

ローカルおよびリモート アクセスに使用すると、BIG-IP を、サービスとしてのソフトウェア (SaaS) アプリを含むサービスへのゼロ トラスト アクセスのチョークポイントにすることができます。

次の図は、サービス プロバイダー (SP) で開始したフローにおける、ユーザー、BIG-IP、Microsoft Entra ID 間のフロントエンドの事前認証のやり取りを示しています。 その後は、後続の APM セッション エンリッチメントと、個々のバックエンド サービスへの SSO を示しています。

統合アーキテクチャの図。

  1. ユーザーがポータルでアプリケーション アイコンを選び、URL が SAML SP (BIG IP) に解決される
  2. BIG-IP によって、事前認証のためにユーザーが SAML ID プロバイダー (IdP) である Microsoft Entra ID にリダイレクトされる
  3. Microsoft Entra ID が、承認のために条件付きアクセス ポリシーとセッション制御を処理する
  4. ユーザーが BIG-IP に戻り、Microsoft Entra ID によって発行された SAML 要求を提示する
  5. BIG-IP で、公開済みサービスへの SSO およびロールベースのアクセス制御 (RBAC) に関するセッション情報を要求する
  6. BIG-IP によって、クライアント要求がバックエンド サービスに転送される

ユーザー側の表示と操作

従業員、関係者、コンシューマーのいずれであっても、ほとんどのユーザーは Office 365 のサインイン エクスペリエンスに精通しています。 BIG-IP サービスへのアクセスも同様です。

ユーザーは、デバイスや場所に関係なく、セルフサービス機能を使用して、マイ アプリ ポータルまたは Microsoft 365 アプリ起動ツールで BIG-IP 公開サービスを見つけることができます。 ユーザーは、BIG-IP Webtop ポータルを使用して、公開されたサービスに引き続きアクセスできます。 ユーザーがサインアウトすると、SHA では BIG-IP と Microsoft Entra ID のセッション終了が確実に行われるため、サービスが認可されていないアクセスから保護されたままになります。

ユーザーは、マイ アプリ ポータルにアクセスして BIG-IP で公開されているサービスを見つけて、アカウントのプロパティを管理します。 次のグラフィックのギャラリーとページを参照してください。

woodgrove マイ アプリ ページのスクリーンショット。

分析情報と分析

デプロイされた BIG-IP インスタンスを監視して、公開されたサービスが SHA レベルと運用レベルで高可用性であることを保証できます。

ストレージとテレメトリの処理を可能にするセキュリティ情報イベント管理 (SIEM) ソリューションを使用して、イベントをローカルまたはリモートでログに記録するには、いくつかのオプションがあります。 Microsoft Entra ID と SHA のアクティビティを監視するには、Azure MonitorMicrosoft Sentinel を一緒に使用できます:

  • 組織 (複数のクラウドにまたがる可能性もあり) とオンプレミスの場所の概要 (BIG-IP インフラストラクチャを含む)

  • シグナルのビューを持つ 1 つのコントロール プレーン (複雑で多様なツールへの依存を回避)

    監視フローの図。

統合の前提条件

SHA を実装するために事前の経験や F5 BIG-IP に関する知識は必要ありませんが、F5 BIG-IP の用語を学習することをお勧めします。 F5 サービスの用語集を参照してください。

SHA 向けに F5 BIG-IP と Microsoft Entra ID を統合するには、以下の前提条件があります:

  • 次のもので実行されている F5 BIG-IP インスタンス:

    • 物理アプライアンス
    • Microsoft Hyper-V、VMware ESXi、Linux カーネルベースの仮想マシン (KVM)、Citrix Hypervisor などのハイパーバイザー仮想エディション
    • Azure、VMware、KVM、Community Xen、MS Hyper-v、AWS、OpenStack、Google Cloud などのクラウド仮想エディション

    Note

    BIG-IP インスタンスの場所は、オンプレミスまたは Azure を含むサポートされているクラウド プラットフォームにすることができます。 インスタンスにはインターネット接続があり、リソースが公開され、その他のサービスがあります。

  • アクティブな F5 BIG-IP APM ライセンス:

    • F5 BIG-IP® Best バンドル
    • F5 BIG-IP Access Policy Manager™ スタンドアロン ライセンス
    • 既存の BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) に対する F5 BIG-IP Access Policy Manager™ (APM) アドオン ライセンス
    • BIG-IP アクセス ポリシー マネージャー™ (APM) の 90 日間 試用版ライセンス

  • Microsoft Entra ID ライセンス:

構成シナリオ

テンプレート ベースのオプションまたは手動構成を使用して、SHA 用の BIG-IP を構成できます。 下記のチュートリアルでは、BIG-IP と Microsoft Entra ID のセキュリティで保護されたハイブリッド アクセスの実装に関するガイダンスがあります。

詳細な構成

高度なアプローチは、SHA を実装するための柔軟な方法です。 すべての BIG-IP 構成オブジェクトを手動で作成します。 ガイド付き構成テンプレートにないシナリオでは、このアプローチを使用します。

詳細な構成のチュートリアル:

ガイド付き構成テンプレートと Easy Button テンプレート

BIG-IP バージョン 13.1 のガイド付き構成ウィザードを使用すると、一般的な BIG-IP 公開シナリオを実装するための時間と労力を最小限に抑えることができます。 ワークフローベースのフレームワークにより、特定のアクセス トポロジ用の直感的なデプロイ エクスペリエンスを利用できます。

ガイド付き構成バージョン 16.x には、Easy Button 機能があります。 管理者は、SHA のサービスを有効にするために Microsoft Entra ID と BIG-IP の間を行ったり来たりする必要はありません。 APM のガイド付き構成ウィザードと Microsoft Graph によって、デプロイとポリシー管理が処理されます。 BIG-IP APM と Microsoft Entra ID のこの統合により、アプリケーションでは確実に ID フェデレーション、SSO、Microsoft Entra 条件付きアクセスをサポートでき、アプリごとにこれを行う管理オーバーヘッドが発生しません。

Easy Button テンプレートを使用するためのチュートリアル、次のものに対する F5 BIG-IP Easy Button for SSO:

Microsoft Entra B2B ゲスト アクセス

SHA で保護されたアプリケーションへの Microsoft Entra B2B ゲスト アクセスも可能ですが、チュートリアルにない手順が必要になる場合があります。 一例として、Kerberos SSO があります。この場合、BIG-IP では kerberos の制約付き委任 (KCD) を実行して、ドメイン コントローラーからサービス チケットを取得します。 ローカル ゲスト ユーザーのローカル表現がない場合、ユーザーが存在しないため、ドメイン コントローラーは要求を受け入れません。 このシナリオをサポートするには、外部 ID が Microsoft Entra テナントから、アプリケーションで使用されるディレクトリにフローダウンされることを確認します。

詳細情報: Microsoft Entra ID の B2B ユーザーにオンプレミスのアプリケーションへのアクセスを許可する

次のステップ

BIG-IP インフラストラクチャを使うか、BIG-IP Virtual Edition 仮想マシンを Azure にデプロイする ことで SHA の概念実証 (POC) を実施できます。 Azure に仮想マシン (VM) をデプロイするには、約 30 分かかります。 結果は次のとおりです:

  • SHA のパイロットをモデル化するための、セキュリティで保護されたプラットフォーム
  • 新しい BIG-IP システムの更新と修正プログラムをテストするための、運用前インスタンス

BIG-IP で公開され、SHA で保護される 1 つまたは 2 つのアプリケーションを特定します。

BIG-IP を介して公開されていないアプリケーションから始めることをお勧めします。 このアクションにより、実稼働サービスが中断する可能性を回避できます。 この記事のガイドラインは、BIG-IP 構成オブジェクトを作成し、SHA を設定する手順について学習するのに役立ちます。 その後、BIG-IP の公開済みサービスを SHA に変換できます。

リソース