Tutorial: Configurar o SSO entre o Microsoft Entra ID e o BIG-IP Easy Button da F5 para SSO baseado em cabeçalho
Neste tutorial, você aprenderá a integrar o F5 ao Microsoft Entra ID. Ao integrar o F5 ao Microsoft Entra ID, você poderá:
- Controlar no Microsoft Entra ID quem tem acesso ao F5.
- Permitir que os usuários entrem automaticamente no F5 com as respectivas contas do Microsoft Entra.
- Gerencie suas contas em um local central.
Observação
F5 BIG-IP APM Comprar agora.
Descrição do cenário
Esse cenário analisa o aplicativo herdado clássico usando cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido.
Sendo herdado, o aplicativo não tem protocolos modernos para dar suporte a uma integração direta com o Microsoft Entra ID. O aplicativo pode ser modernizado, mas isso é caro, exige planejamento cuidadoso e introduz um risco potencial de tempo de inatividade. Nesse caso, um BIG-IP ADC (Application Delivery Controller) da F5 é usado para fazer a ponte entre o aplicativo herdado e o painel de controle de ID moderno, por meio da transição de protocolo.
Ter um BIG-IP na frente do aplicativo nos permite sobrepor o serviço com o SSO baseado em cabeçalhos e pré-autenticação do Microsoft Entra, melhorando significativamente a postura de segurança geral do aplicativo.
Observação
As organizações também podem obter acesso remoto a esse tipo de aplicativo com o proxy de aplicativo do Microsoft Entra.
Arquitetura de cenário
A solução de SHA para esse cenário é composta de:
Aplicativo – serviço publicado do BIG-IP a ser protegido pelo SHA do Microsoft Entra.
ID do Microsoft Entra: Security Assertion Markup Language (IdP) Identity Provider (IdP) responsável pela verificação de credenciais de usuário, Acesso Condicional e SSO baseado em SAML para o BIG-IP. Por meio do SSO, o ID do Microsoft Entra fornece ao BIG-IP todos os atributos de sessão necessários.
BIG-IP: proxy reverso e SP (provedor de serviços) SAML para o aplicativo, delegando a autenticação ao IdP SAML, antes de executar o SSO baseado em cabeçalho para o aplicativo de back-end.
O SHA para esse cenário dá suporte a fluxos iniciados pelo SP e pelo IdP. A imagem a seguir ilustra o fluxo iniciado pelo SP.
Etapas | Descrição |
---|---|
1 | O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP) |
2 | A política de acesso do BIG-IP APM redireciona o usuário para o Microsoft Entra ID (IdP do SAML) |
3 | Microsoft Entra ID pré-autentica o usuário e aplica quaisquer políticas de Acesso Condicional impostas |
4 | O usuário é redirecionado para o BIG-IP (SP no SAML) e o SSO é executado usando o token SAML emitido |
5 | O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos na solicitação ao aplicativo |
6 | O aplicativo autoriza a solicitação e retorna o conteúdo |
Pré-requisitos
Não é necessário já ter experiência com o BIG-IP, mas você precisará do seguinte:
Uma assinatura do Microsoft Entra ID Gratuito ou superior.
Um BIG-IP existente ou implantar uma VE (Virtual Edition) do BIG-IP no Azure.
Qualquer um dos seguintes SKUs de licença de F5 BIG-IP.
Pacote F5 BIG-IP® Best.
Licença autônoma do BIG-IP Access Policy Manager™ (APM) da F5.
Licença de complemento do BIG-IP Access Policy Manager™ (APM) da F5 em um BIG-IP® Local Traffic Manager™ (LTM) da F5.
Licença de avaliação completa de 90 dias do BIG-IP.
Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID.
Uma conta com permissões de administrador de aplicativos Microsoft Entra.
Um certificado SSL Web para serviços de publicação em HTTPS, ou use certificados BIG-IP padrão durante o teste.
Um aplicativo existente baseado em cabeçalho ou configurar um aplicativo de cabeçalho simples do IIS para teste.
Métodos de configuração BIG-IP
Há muitos métodos para configurar BIG-IP para esse cenário, incluindo duas opções baseadas em modelo e uma configuração avançada. Este tutorial aborda a última Configuração Guiada 16.1 que oferece um modelo de botão fácil. Com o Easy Button, os administradores não alternam mais entre o Microsoft Entra ID e um BIG-IP para habilitar serviços para SHA. A implantação e o gerenciamento de políticas são tratados diretamente entre o assistente da Configuração Guiada do APM e o Microsoft Graph. Essa integração avançada entre o APM do BIG-IP e o Microsoft Entra ID garante que os aplicativos possam oferecer suporte rápido e fácil à federação de identidades, SSO e Acesso Condicional do Microsoft Entra, reduzindo a sobrecarga administrativa.
Observação
Todos os exemplos de cadeias de caracteres ou valores referenciados em todo este guia devem ser substituídos pelos do seu ambiente real.
Registrar botão fácil
Antes que um cliente ou serviço possa acessar o Microsoft Graph, ele deverá ser confiável para a plataforma de identidade da Microsoft.
Essa primeira etapa cria um registro de aplicativo do locatário que será usado para autorizar o acesso do Botão Fácil ao Graph. Por meio dessas permissões, o BIG-IP terá permissão para enviar por push as configurações necessárias para estabelecer uma relação de confiança entre uma instância de SP SAML para aplicativo publicado e o ID do Microsoft Entra como o IdP SAML.
Entre no portal do Azure usando uma conta com direitos administrativos do aplicativo.
No painel de navegação esquerdo, selecione o serviço Microsoft Entra ID.
Em Gerenciar, selecione Registros de aplicativo>Novo registro.
Insira um nome de exibição para seu aplicativo, como
F5 BIG-IP Easy Button
.Especifique quem pode usar as contas > aplicativo apenas neste diretório organizacional.
Selecione Registrar para concluir o registro inicial do aplicativo.
Navegue até as Permissões de API e autorize as seguintesPermissões de aplicativos do Microsoft Graph:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy. Read. All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Dar consentimento do administrador para sua organização.
Na folha Certificados & Segredos, gere um novo segredo do cliente e anote-o
Na folha visão geral, anote a ID do cliente e a ID do locatário.
Configurar botão fácil
Inicie a Configuração Guiada do APM para o iniciar o Modelo de Botão Fácil.
Navegue até Acessar > Configuração Guiada > Integração à Microsoft e selecione Aplicativo Microsoft Entra.
Em Configurar a solução usando as etapas abaixo, criará os objetos necessários, examinará a lista de etapas de configuração e selecionará Avançar.
Em Configuração Guiada, siga a sequência de etapas necessárias para publicar o aplicativo.
Propriedades de configuração
A guia Propriedades de Configuração cria uma configuração de aplicativo BIG-IP e um objeto de SSO. Considere a seção Detalhes da Conta de Serviço do Azure para representar o cliente que você registrou em seu locatário do Microsoft Entra anteriormente, como um aplicativo. Essas configurações permitem que o cliente OAuth de um BIG-IP registre individualmente um SP no SAML diretamente em seu locatário, junto com as propriedades de SSO que você configura manualmente como de costume. O Botão Fácil faz isso para cada serviço BIG-IP publicado e habilitado para SHA.
Algumas delas são configurações globais, portanto, podem ser reutilizadas para publicar mais aplicativos, reduzindo ainda mais o tempo e o esforço de implantação.
Insira um nome de configuração exclusivo para que os administradores possam distinguir facilmente as configurações do Easy Button.
Habilitar SSO (Logon Único) e Cabeçalhos HTTP.
Insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou ao registrar o cliente do Easy Button em seu locatário.
Confirme se Big-IP pode se conectar com êxito ao seu locatário e, em seguida, selecione Avançar.
Provedor de serviços
As configurações do Provedor de Serviços definem as propriedades para a instância de SP no SAML do aplicativo protegido por SHA.
Insira o host. Esse é o FQDN público do aplicativo que está sendo protegido.
Inserir ID de entidade. Esse é o identificador que o Microsoft Entra ID usará para identificar o SP do SAML que está solicitando um token.
As Configurações de Segurança opcionais especificam se o Microsoft Entra ID deve criptografar as declarações SAML emitidas. Criptografar as declarações entre o Microsoft Entra ID e o BIG-IP APM fornece uma garantia adicional de que o conteúdo do tokens não pode ser interceptado e os dados pessoais ou corporativos ser comprometidos.
Na lista Chave Privada de Descriptografia da Declaração, selecione Criar.
Selecione OK. A caixa de diálogo Importar Certificado SSL e Chaves é aberta em uma nova guia.
Selecione PKCS 12 (IIS) para importar o certificado e a chave privada. Após o provisionamento, feche a guia do navegador para retornar à guia principal.
Marque a opção Habilitar Declaração Criptografada.
Se você habilitou a criptografia, selecione o certificado na lista Chave Privada de Descriptografia da Declaração. Essa é a chave privada do certificado que o APM do BIG-IP usará para descriptografar as declarações do Microsoft Entra.
Se você habilitou a criptografia, selecione o certificado na lista Certificado de Descriptografia da Declaração. Esse é o certificado que o BIG-IP carregará no Microsoft Entra ID para criptografar as declarações SAML emitidas.
Microsoft Entra ID
Esta seção define todas as propriedades que você normalmente usaria para configurar manualmente um novo aplicativo SAML de BIG-IP dentro de seu locatário do Microsoft Entra ID. O Botão Fácil fornece um conjunto de modelos de aplicativos predefinidos para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP, bem como um modelo de SHA genérico para todos os outros aplicativos.
Para esse cenário, na página Configuração do Azure, selecione Integração do APM do F5 BIG-IP do Azure AD>Adicionar.
Configuração do Azure
Na página Configuração do Azure, siga estas etapas:
Em Propriedades de configuração, insira Nome de Exibição do aplicativo que o BIG-IP cria no locatário do Microsoft Entra e o ícone que os usuários veem no portal Meus Aplicativos.
Não insira nada na URL de logon (opcional) para habilitar o logon iniciado pelo IDP.
Escolha o ícone de atualização ao lado de Chave de Autenticação e de Certificado de Autenticação para localizar o certificado importado anteriormente.
Insira a senha do certificado em Frase Secreta da Chave de Autenticação.
Habilite a Opção de Autenticação (opcional). Isso garante que o BIG-IP só aceite tokens e declarações assinados pelo Microsoft Entra ID.
Os usuários e grupos de usuários são consultados dinamicamente no locatário do Microsoft Entra e usados para autorizar o acesso ao aplicativo. Adicione um usuário ou grupo que você possa usar posteriormente para teste; caso contrário, todo o acesso será negado.
Declarações e Atributos do Usuário
Quando um usuário se autentica com êxito, o ID do Microsoft Entra emite um token SAML com um conjunto padrão de declarações e atributos que identificam exclusivamente o usuário. A guia Atributos e Declarações de Usuário mostra as declarações padrão a serem emitidas para o novo aplicativo. Ele também permite que você configure mais declarações.
Para este exemplo, você pode incluir mais um atributo:
Insira o nome do cabeçalho como employeeid.
Insira o atributo de origem como user.employeeid.
Atributos de usuário adicionais
Na guia atributos de usuário adicionais, você pode habilitar o aumento de sessão exigido por uma variedade de sistemas distribuídos, como Oracle, SAP e outras implementações baseadas em Java que exigem atributos armazenados em outros diretórios. Os atributos obtidos de uma origem LDAP podem então ser injetados como cabeçalhos SSO adicionais para controlar ainda mais o acesso com base em funções, IDs de parceiros e assim por diante.
Observação
Esse recurso não tem correlação com o Microsoft Entra ID, mas é outra fonte de atributo.
Política de Acesso Condicional
As políticas de acesso condicional são impostas após a autenticação prévia do Microsoft Entra para controlar o acesso baseado no dispositivo, no aplicativo, na localização e nos sinais de risco.
A exibição Políticas Disponíveis, por padrão, listará todas as políticas de acesso condicional que não incluem ações baseadas no usuário.
A exibição Políticas Selecionadas, por padrão, mostra todas as políticas direcionadas a Todos os recursos. Essas políticas não podem ser desmarcadas nem movidas para a lista Políticas Disponíveis, pois são impostas no nível do locatário.
Para selecionar uma política a ser aplicada ao aplicativo que está sendo publicado:
- Selecione a política desejada na lista Políticas Disponíveis.
- Escolha a seta para a direita e mova-a para a lista Políticas Selecionadas.
As políticas selecionadas devem ter uma opção de inclusão ou exclusão marcada. Se ambas as opções estiverem marcadas, a política selecionada não será imposta.
Observação
A lista de políticas é enumerada apenas uma vez quando a primeira mudança para essa guia. Um botão Atualizar está disponível para forçar manualmente o assistente a consultar seu locatário, mas esse botão só será exibido quando o aplicativo tiver sido implantado.
Propriedades do Servidor Virtual
Servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual que escuta solicitações de clientes para o aplicativo. Todo tráfego recebido é processado e avaliado em relação ao perfil de APM associado ao servidor virtual, antes de ser direcionado de acordo com os resultados e as configurações da política.
Inserir endereço de destino Esse endereço é qualquer IPv4 ou IPv6 disponível que o BIG-IP possa usar para receber o tráfego do cliente. Um registro correspondente também deve existir no DNS, permitindo que os clientes resolvam a URL externa do seu aplicativo publicado BIG-IP para este IP, em vez do próprio aplicativo. Usar o DNS de localhost de um PC de teste é adequado para testar.
Insira a Porta de serviço como 443 para HTTPS.
Marque habilitar redirecionar porta e, em seguida, digite porta de redirecionamento. Ele redireciona o tráfego do cliente HTTP de entrada para HTTPS.
O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, para que as conexões do cliente sejam criptografadas por TLS. Selecione o Perfil SSL do Cliente que você criou como parte dos pré-requisitos ou mantenha o padrão durante o teste.
Propriedades de Pool
A guia pool de aplicativos detalha os serviços por trás de um Big IP que são representados como um pool, contendo um ou mais servidores de aplicativos.
Escolha entre selecionar um pool. Crie um novo pool ou selecione um existente.
Escolha o Método de Balanceamento de Carga como
Round Robin
.Para Servidores de Pool selecione um nó existente ou especifique um IP e uma porta para o servidor que hospeda o aplicativo baseado em cabeçalho.
Nosso aplicativo de back-end fica na porta HTTP 80, mas, obviamente, muda para 443 se o seu for HTTPS.
Logon Único e Cabeçalhos HTTP
Habilitar o SSO permite que os usuários acessem serviços publicados de BIG-IP sem precisar inserir credenciais. O Assistente de botão fácil oferece suporte a cabeçalhos de autorização Kerberos, portador OAuth e http para SSO, o último que Habilitaremos para configurar o seguinte.
Operação de Cabeçalho:
Insert
Nome do cabeçalho:
upn
Valor do Cabeçalho:
%{session.saml.last.identity}
Operação de Cabeçalho:
Insert
Nome do cabeçalho:
employeeid
Valor do Cabeçalho:
%{session.saml.last.attr.name.employeeid}
Observação
As variáveis de sessão do APM definidas entre colchetes diferenciam maiúsculas e minúsculas. Por exemplo, se você inserir OrclGUID quando o nome do atributo do Microsoft Entra estiver sendo definido como orclguid, isso causará uma falha no mapeamento do atributo.
Gerenciamento da sessão
As configurações de gerenciamento de sessão dos BIG-IPs são usadas para definir as condições nas quais as sessões de usuário são encerradas ou têm permissão para continuar, além de limites para usuários e endereços IP e as informações de usuário correspondentes. Consulte os documentos da F5 para obter detalhes sobre essas configurações.
No entanto, o que não foi aqui tratado é a funcionalidade de SLO (logoff único), que garante que todas as sessões entre o IdP, o BIG-IP e o agente do usuário sejam encerradas à medida que os usuários se desconectam. Quando o Easy Button instancia um aplicativo SAML em seu locatário do Microsoft Entra, ele também preenche a URL de Logout com o ponto de extremidade SLO do APM. Dessa forma, as saídas iniciadas pelo IdP do portal Microsoft Entra My Apps também encerram a sessão entre o BIG-IP e um cliente.
Com isso, os metadados de federação SAML para o aplicativo publicado também são importados do locatário, fornecendo ao APM o ponto de extremidade de logout SAML para o ID do Microsoft Entra. Isso garante que as saídas iniciadas pelo SP encerrem a sessão entre um cliente e o ID do Microsoft Entra. Mas, para que isso funcione, o APM precisa saber exatamente quando um usuário sai do aplicativo.
Se o portal webtop BIG-IP for usado para acessar aplicativos publicados, uma saída de lá será processada pelo APM para também chamar o ponto de extremidade de saída do Microsoft Entra. Mas considere um cenário em que o portal da Webtop do BIG-IP não é usado, então o usuário não tem como instruir o APM a sair. Mesmo que o usuário saia do aplicativo, o BIG-IP é tecnicamente alheio a isso. Então, por esta razão, a saída iniciada pelo SP precisa de cuidado para que as sessões sejam encerradas com segurança quando não forem mais necessárias. Uma maneira de conseguir isso seria adicionar uma função SLO ao botão de saída de seus aplicativos, para que ele possa redirecionar seu cliente para o ponto de extremidade de saída SAML ou BIG-IP do Microsoft Entra. A URL do ponto de extremidade de saída SAML para o locatário pode ser encontrada em Pontos de Extremidade de > Registros de Aplicativos.
Se não for possível fazer uma alteração no aplicativo, considere fazer com que o BIG-IP escute a chamada de saída do aplicativo e, ao detectar a solicitação, dispare o SLO. Consulte nossas Diretrizes de SLO do Oracle Peoplesoft para usar as regras BIG-IP para conseguir fazer isso. Mais detalhes sobre como usar iRules de BIG-IP para fazer isso está disponível no artigo de conhecimento F5 Configurando o encerramento automático da sessão (logout) com base em um nome de arquivo referenciado por URI e visão geral da opção incluir URI de logout.
Resumo
Esta última etapa fornece uma análise das configurações. Selecione Implantar para confirmar todas as configurações e verificar se agora o aplicativo aparecer na lista de locatários dos aplicativos empresariais.
Agora o seu aplicativo deve estar publicado e acessível com o SHA, seja diretamente por meio da URL ou por meio de portais de aplicativo da Microsoft.
Próximas etapas
Em um navegador, conecte-se à URL externa do aplicativo ou selecione o ícone do aplicativo no portal do Microsoft MyApps. Depois de se autenticar no Microsoft Entra ID, você será redirecionado para o servidor virtual do BIG-IP do aplicativo e será conectado automaticamente por SSO.
Isso mostra a saída dos cabeçalhos injetados exibidos por nosso aplicativo baseado em cabeçalhos.
Para aumentar a segurança, as organizações que usam esse padrão também podem considerar o bloqueio de todo o acesso direto ao aplicativo, forçando, assim, um caminho estrito por meio do BIG-IP.
Implantação avançada
Pode haver casos em que os modelos da Configuração Guiada não têm a flexibilidade para alcançar requisitos mais específicos. Para esses cenários, confira Configuração avançada para o SSO baseado em cabeçalhos.
Como alternativa, o BIG-IP oferece a opção de desabilitar o modo de gerenciamento estrito da Configuração Guiada. Isso permite que você ajuste manualmente as configurações, mesmo que a maior parte delas seja automatizada por meio dos modelos baseados em assistente.
Navegue até Acesso > Configuração Guiada e selecione o pequeno ícone de cadeado na extremidade direita da linha para ver as configurações dos aplicativos.
Nesse ponto, as alterações por meio da interface do usuário do assistente não são mais possíveis, mas todos os objetos BIG-IP associados à instância publicada do aplicativo serão desbloqueados para gerenciamento direto.
Observação
Se você habilitar novamente o modo estrito e implantar uma configuração, serão substituídas as configurações feitas fora da interface do usuário da Configuração Guiada. Portanto, recomendamos o método de configuração avançada para os serviços de produção.
Solução de problemas
A falha em acessar um aplicativo protegido por SHA pode ser devido a vários fatores. O log do BIG-IP pode ajudar a isolar rapidamente todos os tipos de problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis configurados incorretamente. Comece a solucionar problemas aumentando o nível de detalhes do log.
Navegue até política de acesso > visão geral > Logs de eventos > Configurações.
Selecione a linha do seu aplicativo publicado e, em seguida, Editar> Acessar Logs do Sistema.
Selecione Depurar na lista de SSO e, em seguida, OK.
Reproduza o problema e inspecione os logs, mas lembre-se de alternar isso novamente quando terminar, pois o modo detalhado gera muitos dados.
Caso você veja um erro com a marca BIG-IP imediatamente após uma autenticação de sucesso do Azure Active Directory, o problema pode estar relacionado ao SSO do Microsoft Entra para o BIG-IP.
Navegue até Acessar > Visão geral > Acessar relatórios.
Execute o relatório da última hora para verificar se os logs fornecem alguma pista. O link Exibir variáveis da sessão da sessão também ajudará a entender se o APM está recebendo as declarações esperadas do Microsoft Entra ID.
Se você não vir uma página de erro do BIG-IP, o problema provavelmente estará mais relacionado à solicitação de back-end ou ao SSO do BIG-IP para o aplicativo.
Nesse caso, acesse a Política de Acesso > Visão Geral> Sessões Ativas e selecione o link da sua sessão ativa.
O link Exibir Variáveis nesse local também pode ajudar a encontrar a causa raiz dos problemas de SSO, especialmente se o APM do BIG-IP não conseguir obter os atributos corretos do Microsoft Entra ID ou de outra fonte.
Para obter mais informações, visite este artigo de conhecimento do F5 Configurando a autenticação remota LDAP para Active Directory. Há também uma ótima tabela de referência do BIG-IP para ajudar a diagnosticar problemas relacionados ao LDAP neste artigo de conhecimento da F5 sobre a consulta LDAP.