Zelfstudie: F5 BIG-IP Easy Button configureren voor eenmalige aanmelding op basis van headers

Leer hoe u toepassingen op basis van headers beveiligt met Microsoft Entra ID, met F5 BIG-IP Easy Button Guided Configuration v16.1.

Het integreren van een BIG-IP met Microsoft Entra ID biedt veel voordelen, waaronder:

• Verbeterde Zero Trust-governance via preauthenticatie en voorwaardelijke toegang van Microsoft Entra
  • Wat is voorwaardelijke toegang?
  • Zie, Zero Trust-beveiliging
• Volledige eenmalige aanmelding tussen microsoft Entra-id en gepubliceerde BIG-IP-services
• Beheerde identiteiten en toegang vanaf één besturingsvlak
  • Zie het Microsoft Entra-beheercentrum

Meer informatie:

• F5 BIG-IP integreren met Microsoft Entra ID
• Eenmalige aanmelding inschakelen voor een bedrijfstoepassing

Beschrijving van scenario

In dit scenario wordt de verouderde toepassing behandeld met BEHULP van HTTP-autorisatieheaders om de toegang tot beveiligde inhoud te beheren. Verouderde ontbreken moderne protocollen ter ondersteuning van directe integratie met Microsoft Entra ID. Modernisering is kostbaar, tijdrovend en introduceert downtimerisico's. Gebruik in plaats daarvan een F5 BIG-IP Application Delivery Controller (ADC) om de kloof tussen de verouderde toepassing en het moderne id-besturingsvlak te overbruggen, met protocolovergang.

Een BIG-IP vóór de toepassing maakt overlay van de service mogelijk met vooraf verificatie en SSO op basis van headers van Microsoft Entra. Deze configuratie verbetert het algehele beveiligingspostuur van toepassingen.

Notitie

Organisaties kunnen externe toegang hebben tot dit toepassingstype met Microsoft Entra-toepassingsproxy. Meer informatie: Externe toegang tot on-premises toepassingen via Microsoft Entra-toepassingsproxy

Scenario-architectuur

De SHA-oplossing bevat:

• Toepassing - BIG-IP gepubliceerde service beveiligd door Microsoft Entra SHA
• Microsoft Entra ID - IdP (Security Assertion Markup Language) waarmee gebruikersreferenties, voorwaardelijke toegang en eenmalige aanmelding op basis van SAML worden gecontroleerd op big-IP. Met eenmalige aanmelding biedt Microsoft Entra ID de BIG-IP met sessiekenmerken.
• BIG-IP : reverse-proxy en SAML-serviceprovider (SP) naar de toepassing, waarbij verificatie wordt gedelegeerd aan de SAML IdP voordat eenmalige aanmelding op basis van headers naar de back-endtoepassing wordt uitgevoerd.

Voor dit scenario ondersteunt SHA door SP- en IdP geïnitieerde stromen. In het volgende diagram ziet u de door SP geïnitieerde stroom.

1. De gebruiker maakt verbinding met het eindpunt van de toepassing (BIG-IP).
2. Big-IP APM-toegangsbeleid leidt de gebruiker om naar Microsoft Entra ID (SAML IdP).
3. Microsoft Entra voert vooraf verificatie uit voor de gebruiker en past beleid voor voorwaardelijke toegang toe.
4. De gebruiker wordt omgeleid naar BIG-IP (SAML SP) en eenmalige aanmelding vindt plaats met een uitgegeven SAML-token.
5. BIG-IP injecteert Microsoft Entra-kenmerken als headers in de toepassingsaanvraag.
6. Toepassing autoriseert aanvraag en retourneert nettolading.

Vereisten

Voor het scenario hebt u het volgende nodig:

• Een Azure-abonnement
  • Als u nog geen account hebt, kunt u een gratis Azure-account krijgen
• Een van de volgende rollen: Cloudtoepassingsbeheerder of Toepassingsbeheerder
• Een BIG-IP of een BIG-IP Virtual Edition (VE) implementeren in Azure
  • Zie F5 BIG-IP Virtual Edition Virtual Machine implementeren in Azure
• Een van de volgende F5 BIG-IP-licenties:
  • F5 BIG-IP® Best bundle
  • Zelfstandige licentie voor F5 BIG-IP Access Policy Manager™ (APM)
  • F5 BIG-IP Access Policy Manager™ (APM) uitbreidingslicentie op een BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Proefversie van 90 dagen voor volledige BIG-IP-functionaliteit. Zie, gratis proefversies
• Gebruikersidentiteiten gesynchroniseerd vanuit een on-premises directory naar Microsoft Entra-id
  • Zie Microsoft Entra Connect Sync: Synchronisatie begrijpen en aanpassen
• Een SSL-webcertificaat voor het publiceren van services via HTTPS of het gebruik van standaard BIG-IP-certificaten voor testen
  • Zie, SSL-profiel
• Een toepassing op basis van headers of een IIS-header-app instellen voor testen
  • Een IIS-header-app instellen

BIG-IP-configuratie

In deze zelfstudie wordt gebruikgemaakt van Begeleide configuratie v16.1 met een eenvoudige knopsjabloon. Met de Easy Button gaan beheerders niet meer heen en weer om SHA-services in te schakelen. De wizard Begeleide configuratie en Microsoft Graph verwerken implementatie en beleidsbeheer. De integratie van BIG-IP APM en Microsoft Entra zorgt ervoor dat toepassingen identiteitsfederatie, eenmalige aanmelding en voorwaardelijke toegang ondersteunen.

Notitie

Vervang voorbeeldtekenreeksen of -waarden door de tekenreeksen of waarden in uw omgeving.

Easy Button registreren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Voordat een client of service toegang heeft tot Microsoft Graph, moet het Microsoft Identity Platform dit vertrouwen.

Meer informatie: Quickstart: Een toepassing registreren bij het Microsoft Identity Platform.

Maak een tenant-app-registratie om de Easy Button-toegang tot Graph te autoriseren. Met deze machtigingen pusht het BIG-IP de configuraties om een vertrouwensrelatie tot stand te brengen tussen een SAML SP-exemplaar voor gepubliceerde toepassing en Microsoft Entra-id als de SAML IdP.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identiteitstoepassingen>> App-registraties> Nieuwe registratie.

3. Selecteer onder Beheren App-registraties > Nieuwe registratie.

4. Voer een toepassingsnaam in.

5. Geef op wie de toepassing gebruikt.

6. Selecteer Alleen accounts in deze organisatiemap.

7. Selecteer Registreren.

8. Navigeer naar API-machtigingen.

9. Autoriseren van de volgende Microsoft Graph-toepassingsmachtigingen:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

10. Beheerderstoestemming verlenen voor uw organisatie.

11. Genereer in certificaten en geheimen een nieuw clientgeheim. Noteer het clientgeheim.

12. Noteer in overzicht de client-id en tenant-id.

Easy Button configureren

1. Start de begeleide configuratie van APM.

2. Start de sjabloon Easy Button .

3. Navigeer naar de begeleide toegangsconfiguratie>.

4. Microsoft-integratie selecteren

5. Selecteer Microsoft Entra Application.

6. Controleer de configuratiestappen.

7. Selecteer Volgende.

8. Gebruik de geïllustreerde stappenreeks om uw toepassing te publiceren.

   

Configuratie-eigenschappen

Gebruik het tabblad Configuratie-eigenschappen om een BIG-IP-toepassingsconfiguratie en SSO-object te maken. Azure-serviceaccountgegevens vertegenwoordigen de client die u hebt geregistreerd in de Microsoft Entra-tenant. Gebruik de instellingen voor de BIG-IP OAuth-client om een SAML SP te registreren in uw tenant, met SSO-eigenschappen. Easy Button voert deze actie uit voor BIG-IP-services die zijn gepubliceerd en ingeschakeld voor SHA.

U kunt instellingen opnieuw gebruiken om meer toepassingen te publiceren.

1. Voer een configuratienaam in.
2. Voor eenmalige aanmelding (SSO) en HTTP-headers selecteert u Aan.
3. Voer voor tenant-id, client-id en clientgeheim in wat u hebt genoteerd.
4. Bevestig dat het BIG-IP-adres verbinding maakt met uw tenant.
5. Selecteer Volgende

Serviceprovider

Definieer in de instellingen van de serviceprovider de INSTELLINGEN van het SAML SP-exemplaar voor de met SHA beveiligde toepassing.

1. Voer een host in, de openbare FQDN van de toepassing.

2. Voer een entiteits-id in, de id die microsoft Entra-id gebruikt om de SAML SP te identificeren die een token aanvraagt.

3. (Optioneel) Selecteer In Beveiligingsinstellingen de optie Versleutelingsverklaring inschakelen om Microsoft Entra-id in te schakelen voor het versleutelen van uitgegeven SAML-asserties. Microsoft Entra ID en BIG-IP APM-versleutelingsverklaringen helpen ervoor te zorgen dat inhoudstokens niet worden onderschept, noch persoonlijke of bedrijfsgegevens die zijn aangetast.

4. Selecteer in Beveiligingsinstellingen in de lijst met persoonlijke sleutel voor Assertion Decryption de optie Nieuwe maken.

   

5. Selecteer OK.

6. Het dialoogvenster SSL-certificaat en -sleutels importeren wordt weergegeven.

7. Selecteer PKCS 12 (IIS) als importtype. Met deze actie importeert u het certificaat en de persoonlijke sleutel.

8. Selecteer Nieuw voor certificaat- en sleutelnaam en voer de invoer in.

9. Voer het wachtwoord in.

10. Selecteer Importeren.

11. Sluit het browsertabblad om terug te keren naar het hoofdtabblad.

12. Schakel het selectievakje in voor Versleutelde assertie inschakelen.
13. Als u versleuteling hebt ingeschakeld, selecteert u het certificaat in de lijst met persoonlijke sleutels van Assertion Decryption. BIG-IP APM gebruikt deze persoonlijke certificaatsleutel om Microsoft Entra-asserties te ontsleutelen.
14. Als u versleuteling hebt ingeschakeld, selecteert u het certificaat in de lijst met Assertion Decryption Certificate . BIG-IP uploadt dit certificaat naar Microsoft Entra ID om de uitgegeven SAML-asserties te versleutelen.

Microsoft Entra ID

Gebruik de volgende instructies om een nieuwe BIG-IP SAML-toepassing te configureren in uw Microsoft Entra-tenant. Easy Button heeft toepassingssjablonen voor Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP en een algemene SHA-sjabloon.

1. Selecteer in Azure Configuration, onder Configuratie-eigenschappen, F5 BIG-IP APM Microsoft Entra ID-integratie.
2. Selecteer Toevoegen.

Azure-configuratie

1. Voer in de Microsoft Entra-tenant een weergavenaam big-IP in. Gebruikers zien de naam, met een pictogram, op Microsoft Mijn apps.

2. Aanmeldings-URL overslaan (optioneel).

3. Selecteer vernieuwen naast handtekeningsleutel en handtekeningcertificaat om het certificaat te vinden dat u hebt geïmporteerd.

4. Voer bij de wachtwoordzin voor ondertekeningssleutel het certificaatwachtwoord in.

5. (Optioneel) Schakel ondertekeningsoptie in om ervoor te zorgen dat BIG-IP tokens en claims accepteert die zijn ondertekend door Microsoft Entra ID.

   

6. Invoer voor gebruikers- en gebruikersgroepen wordt dynamisch opgevraagd.

   Belangrijk

   Voeg een gebruiker of groep toe om te testen, anders wordt alle toegang geweigerd. Selecteer + Toevoegen in gebruikers- en gebruikersgroepen.

   

Gebruikerskenmerken en claims

Wanneer een gebruiker wordt geverifieerd, geeft Microsoft Entra ID een SAML-token uit met claims en kenmerken waarmee de gebruiker wordt geïdentificeerd. Het tabblad Gebruikerskenmerken en -claims bevat standaardclaims voor de toepassing. Gebruik het tabblad om meer claims te configureren.

Voeg nog een kenmerk toe:

1. Voer voor koptekstnaam employeeid in.

2. Voer voor bronkenmerk user.employeeid in.

   

Aanvullende gebruikerskenmerken

Schakel op het tabblad Aanvullende gebruikerskenmerken sessie-uitbreiding in. Gebruik deze functie voor gedistribueerde systemen zoals Oracle, SAP en andere JAVA-implementaties waarvoor kenmerken moeten worden opgeslagen in andere mappen. Kenmerken die zijn opgehaald uit een LDAP-bron (Lightweight Directory Access Protocol) worden toegevoegd als meer SSO-headers. Met deze actie kunt u de toegang beheren op basis van rollen, partner-id's, enzovoort.

Notitie

Deze functie heeft geen correlatie met Microsoft Entra-id. Het is een kenmerkbron. 

Beleid voor voorwaardelijke toegang

Beleid voor voorwaardelijke toegang bepaalt de toegang op basis van apparaat-, toepassings-, locatie- en risicosignalen.

• Zoek in Beschikbaar beleid beleid voor voorwaardelijke toegang zonder gebruikersacties
• Zoek in Geselecteerd beleid naar cloud-app-beleid
  • U kunt deze beleidsregels niet deselecteren of verplaatsen naar Beschikbaar beleid omdat ze worden afgedwongen op tenantniveau

Een beleid selecteren dat moet worden toegepast op de toepassing die wordt gepubliceerd:

1. Selecteer een beleid op het tabblad Beleid voor voorwaardelijke toegang in de lijst Beschikbare beleidsregels .
2. Selecteer de pijl-rechts en verplaats deze naar de lijst Geselecteerde beleidsregels .

Notitie

U kunt de optie Opnemen of Uitsluiten voor een beleid selecteren. Als beide opties zijn geselecteerd, wordt het beleid niet afgedwongen.

Notitie

De beleidslijst wordt weergegeven wanneer u het tabblad Beleid voor voorwaardelijke toegang selecteert. Selecteer Vernieuwen en de wizard voert een query uit op de tenant. Vernieuwen wordt weergegeven nadat een toepassing is geïmplementeerd.

Eigenschappen van virtuele server

Een virtuele server is een BIG-IP-gegevensvlakobject, vertegenwoordigd door een virtueel IP-adres. De server luistert naar aanvragen van clients naar de toepassing. Ontvangen verkeer wordt verwerkt en geëvalueerd op basis van het APM-profiel dat is gekoppeld aan de virtuele server. Verkeer wordt omgeleid volgens het beleid.

1. Voer voor doeladres een IPv4- of IPv6-adres in dat door BIG-IP wordt gebruikt om clientverkeer te ontvangen. Zorg ervoor dat een overeenkomstige record in DNS (Domain Name Server) waarmee clients de externe URL, van de gepubliceerde BIG-IP-toepassing, kunnen omzetten in dit IP-adres. U kunt de localhost-DNS van de computer gebruiken om te testen.

2. Voer voor servicepoort 443 in en selecteer HTTPS.

3. Schakel het selectievakje in voor Omleidingspoort inschakelen.

4. Voer een waarde in voor de omleidingspoort. Met deze optie wordt binnenkomend HTTP-clientverkeer omgeleid naar HTTPS.

5. Selecteer het client-SSL-profiel dat u hebt gemaakt of laat de standaardwaarde voor testen staan. Met het CLIENT SSL-profiel kan de virtuele server voor HTTPS worden ingeschakeld, zodat clientverbindingen worden versleuteld via TLS.

   

Groepseigenschappen

Het tabblad Groep van toepassingen bevat services achter een BIG-IP, weergegeven als een groep, met een of meer toepassingsservers.

1. Als u een pool selecteert, selecteert u Nieuw maken of selecteert u een andere groep.

2. Selecteer Round Robin voor taakverdelingsmethode.

3. Voor poolservers selecteert u een knooppunt of selecteert u een IP-adres en poort voor de server die als host fungeert voor de headertoepassing.

   

   Notitie

   De Microsoft-back-endtoepassing bevindt zich op HTTP-poort 80. Als u HTTPS selecteert, gebruikt u 443.

Eenmalige aanmelding en HTTP-headers

Met eenmalige aanmelding hebben gebruikers toegang tot gepubliceerde BIG-IP-services zonder referenties in te voeren. De wizard Easy Button ondersteunt Kerberos-, OAuth Bearer- en HTTP-autorisatieheaders voor eenmalige aanmelding.

1. Bij eenmalige aanmelding en HTTP-headers, in SSO-headers, selecteert u invoegen voor headerbewerking

2. Gebruik upn voor headernaam.

3. Gebruik %{session.saml.last.identity} voor headerwaarde.

4. Selecteer invoegen voor koptekstbewerking.

5. Gebruik employeeid voor headernaam.

6. Gebruik %{session.saml.last.attr.name.employeeid} voor headerwaarde.

   

   Notitie

   APM-sessievariabelen in accolades zijn hoofdlettergevoelig. Inconsistenties veroorzaken kenmerktoewijzingsfouten.

Sessiebeheer

Gebruik instellingen voor BIG-IP-sessiebeheer om voorwaarden te definiëren voor beëindiging of voortzetting van gebruikerssessies.

Ga voor meer informatie naar support.f5.com voor K18390492: Beveiliging | Handleiding voor BIG-IP APM-bewerkingen

Eenmalige afmelding (SLO) zorgt ervoor dat idP-, BIG-IP- en gebruikersagentsessies worden beëindigd wanneer gebruikers zich afmelden. Wanneer met de Easy Button een SAML-toepassing wordt geïnstitueert in uw Microsoft Entra-tenant, wordt de afmeldings-URL gevuld met het APM SLO-eindpunt. Door IdP geïnitieerde afmelding bij Mijn apps beëindigt BIG-IP- en clientsessies.

Meer informatie: zie, Mijn apps

De SAML-federatiemetagegevens voor de gepubliceerde toepassing worden geïmporteerd vanuit uw tenant. De import biedt de APM het saml-afmeldingseindpunt voor Microsoft Entra-id. Deze actie zorgt ervoor dat door SP geïnitieerde afmelding de client- en Microsoft Entra-sessies beëindigt. Zorg ervoor dat de APM weet wanneer de gebruiker zich afmeldt.

Als de BIG-IP-webtopportal toegang heeft tot gepubliceerde toepassingen, verwerkt eAPM het afmelden om het microsoft Entra-afmeldingseindpunt aan te roepen. Als de BIG-IP-webtopportal niet wordt gebruikt, kunnen gebruikers de APM niet instrueren zich af te melden. Als gebruikers zich afmelden bij de toepassing, is het BIG-IP-adres vergeteld. Zorg er dus voor dat door SP geïnitieerde afmelding veilig sessies beëindigt. U kunt een SLO-functie toevoegen aan een afmeldingsknop van een toepassing. Clients worden vervolgens omgeleid naar het eindpunt voor afmelden bij Microsoft Entra SAML of BIG-IP. Als u de EINDPUNT-URL voor SAML-afmelding voor uw tenant wilt vinden, gaat u naar Eindpunten voor app-registraties>.

Als u de app niet kunt wijzigen, schakelt u het BIG-IP-adres in om te luisteren naar de aanroep afmelding van de toepassing en slo te activeren.

Meer informatie:

• PeopleSoft Single Logout
• Ga naar support.f5.com voor:
  • K42052145: automatische sessiebeëindiging configureren (afmelden) op basis van een URI-bestandsnaam
  • K12056: Overzicht van de optie Afmeldings-URI Opnemen.

Implementeren

Implementatie biedt een uitsplitsing van uw configuraties.

1. Als u instellingen voor doorvoeren wilt doorvoeren, selecteert u Implementeren.
2. Controleer de toepassing in uw tenantlijst met bedrijfstoepassingen.
3. De toepassing wordt gepubliceerd en toegankelijk via SHA, met de BIJBEHORENDE URL of in microsoft-toepassingsportals.

Testen

1. Maak in een browser verbinding met de externe URL van de toepassing of selecteer het toepassingspictogram op Mijn apps.
2. Verifiëren bij Microsoft Entra-id.
3. Er wordt een omleiding uitgevoerd naar de virtuele BIG-IP-server voor de toepassing en aangemeld met eenmalige aanmelding.

De volgende schermopname bevat de uitvoer van headers van de toepassing op basis van headers.

Notitie

U kunt directe toegang tot de toepassing blokkeren, waardoor een pad wordt afgedwongen via het BIG-IP-adres.

Geavanceerde implementatie

Voor sommige scenario's beschikken begeleide configuratiesjablonen niet over flexibiliteit.

Meer informatie: Zelfstudie: F5 BIG-IP Access Policy Manager configureren voor eenmalige aanmelding op basis van headers.

In BIG-IP kunt u de begeleide configuratie strikt beheermodus uitschakelen. Wijzig vervolgens handmatig configuraties, maar de meeste configuraties worden geautomatiseerd met wizardsjablonen.

1. Als u de strikte modus wilt uitschakelen, gaat u naar De begeleide toegangsconfiguratie>.

2. Selecteer in de rij voor de toepassingsconfiguratie het hangslotpictogram .

3. BIG-IP-objecten die zijn gekoppeld aan het gepubliceerde exemplaar van de toepassing, worden ontgrendeld voor beheer. Wijzigingen met de wizard zijn niet meer mogelijk.

   

   Notitie

   Als u de strikte modus opnieuw inschakelt en een configuratie implementeert, overschrijft de actie instellingen niet in de begeleide configuratie. We raden de geavanceerde configuratie voor productieservices aan.

Probleemoplossing

Gebruik de volgende richtlijnen bij het oplossen van problemen.

Uitgebreidheid van logboeken

BIG-IP-logboeken helpen bij het isoleren van problemen met connectiviteit, SSO, beleid of onjuist geconfigureerde variabeletoewijzingen. Als u problemen wilt oplossen, verhoogt u de uitgebreidheid van het logboek.

1. Navigeer naar Overzicht van toegangsbeleid>.
2. Selecteer gebeurtenislogboeken.
3. Selecteer Instellingen.
4. Selecteer de rij van uw gepubliceerde toepassing
5. Selecteer Bewerken.
6. Selecteer Systeemlogboeken van Access.
7. Selecteer Fouten opsporen in de lijst met eenmalige aanmelding.
8. Selecteer OK.
9. Reproduceer het probleem.
10. Inspecteer de logboeken.

Notitie

Deze functie herstellen wanneer u klaar bent. Uitgebreide modus genereert overmatige gegevens.

BIG-IP-foutbericht

Als er een BIG-IP-foutbericht wordt weergegeven na verificatie vooraf door Microsoft Entra, kan het probleem betrekking hebben op eenmalige aanmelding van Microsoft Entra ID-to-BIG-IP.

1. Navigeer naar Overzicht van toegangsbeleid>.
2. Selecteer Access-rapporten.
3. Voer het rapport uit voor het afgelopen uur.
4. Bekijk de logboeken voor aanwijzingen.

Gebruik de koppeling Sessievariabelen weergeven, voor de sessie, om te begrijpen of de APM verwachte Microsoft Entra-claims ontvangt.

Geen BIG-IP-foutbericht

Als er geen BIG-IP-foutbericht wordt weergegeven, kan het probleem betrekking hebben op de back-endaanvraag of big-IP-to-application SSO.

1. Navigeer naar Overzicht van toegangsbeleid>.
2. Selecteer Actieve sessies.
3. Selecteer de actieve sessiekoppeling.

Gebruik de koppeling Variabelen weergeven om problemen met eenmalige aanmelding vast te stellen, met name als de BIG-IP APM geen juiste kenmerken krijgt.

Meer informatie:

• Externe LDAP-verificatie configureren voor Active Directory
• Ga naar techdocs.f5.com voor handmatig hoofdstuk: LDAP-query