Tutorial: configurar o F5 BIG-IP Easy Button para SSO baseado em cabeçalho
Saiba como proteger os aplicativos baseados em cabeçalho com o Microsoft Entra ID, por meio da Configuração Guiada do F5 BIG-IP Easy Button v16.1.
A integração de um BIG-IP com o Microsoft Entra ID oferece muitos benefícios, incluindo:
- Melhor governança de Confiança Zero por meio da autenticação prévia e do acesso condicional do Microsoft Entra
- Consulte O que é Acesso Condicional?
- Consulte Segurança de Confiança Zero
- SSO completo entre os serviços publicados do Microsoft Entra ID e do BIG-IP
- Identidades gerenciadas e acesso de um painel de controle
- Consulte o centro de administração do Microsoft Entra
Saiba mais:
Descrição do cenário
Este cenário abrange o aplicativo herdado que usa cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido. O herdado não possui protocolos modernos para dar suporte à integração direta com o Microsoft Entra ID. A modernização tem alto custo, é demorada e apresenta risco de tempo de inatividade. Como alternativa, use um Controlador de Entrega de Aplicativos (ADC) do F5 BIG-IP para preencher a lacuna entre o aplicativo herdado e o painel de controle de ID moderno, com transição de protocolo.
Um BIG-IP na frente do aplicativo permite a sobreposição do serviço com a pré-autenticação do Microsoft Entra e SSO baseado em cabeçalhos. Essa configuração melhora a postura geral de segurança do aplicativo.
Observação
As organizações podem ter acesso remoto a esse tipo de aplicativo com o proxy de aplicativo do Microsoft Entra. Saiba mais: acesso remoto a aplicativos locais por meio do proxy de aplicativo do Microsoft Entra
Arquitetura de cenário
A solução SHA contém:
- Aplicativo - Serviço publicado pelo BIG-IP protegido por Microsoft Entra SHA
- Microsoft Entra ID - Provedor de identidade (IdP) da Security Assertion Markup Language (SAML) que verifica as credenciais do usuário, o acesso condicional e o SSO baseado em SAML para o BIG-IP. Com o SSO, o Microsoft Entra ID fornece o BIG-IP com atributos de sessão.
- BIG-IP - proxy reverso e provedor de serviços do SAML (SP) para o aplicativo, delegando autenticação ao IdP do SAML antes de executar o SSO baseado em cabeçalho para o aplicativo de back-end.
Nesse cenário, o SHA dá suporte a fluxos iniciados por SP e IdP. O diagrama a seguir ilustra o fluxo iniciado pelo SP.
- O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
- A política de acesso do APM do BIG-IP redireciona o usuário para o Microsoft Entra ID (IdP do SAML).
- O Microsoft Entra autentica o usuário previamente e aplica as políticas de acesso condicional.
- O usuário é redirecionado para o BIG-IP (SP do SAML) e o SSO ocorre usando o token SAML emitido.
- O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos na solicitação do aplicativo.
- O aplicativo autoriza a solicitação e retorna o conteúdo.
Pré-requisitos
Para o cenário você precisa:
- Uma assinatura do Azure
- Se não tiver uma, obtenha uma conta gratuita do Azure
- Uma das seguintes funções: Administrador de Aplicativos de Nuvem ou Administrador de Aplicativos
- Um BIG-IP ou implantação de uma VE (Virtual Edition) do BIG-IP no Azure
- Qualquer uma das seguintes licenças do F5 BIG-IP:
- Pacote F5 BIG-IP® Best
- Licença autônoma do F5 BIG-IP Access Policy Manager™ (APM)
- Licença de complemento do F5 BIG-IP Access Policy Manager™ (APM) em um LTM (Local Traffic Manager™) BIG-IP F5 BIG-IP®
- Avaliação completa de 90 dias do BIG-IP. Consulte Avaliações Gratuitas
- Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID
- Um certificado Web SSL é necessário para publicar serviços em HTTPS, ou você pode usar os certificados BIG-IP padrão para testes
- Consulte Perfil SSL
- Um aplicativo baseado em cabeçalho ou configurar um aplicativo de cabeçalho de IIS para teste
Configuração do BIG-IP
Este tutorial usa a Configuração Guiada v16.1 com um modelo do Easy Button. Com o Easy Button, os administradores simplificam a habilitação dos serviços SHA. O assistente de Configuração Guiada e o Microsoft Graph lidam com a implantação e o gerenciamento de políticas. A integração do BIG-IP APM e do Microsoft Entra garante que os aplicativos ofereçam suporte à federação de identidade, ao SSO e ao Acesso Condicional.
Observação
Substitua as cadeias de caracteres ou os valores de exemplo pelos do ambiente.
Registrar o Easy Button
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Antes que um cliente ou serviço acesse o Microsoft Graph, a plataforma de identidade da Microsoft precisa confiar nele.
Saiba mais: Início Rápido: registrar um aplicativo na plataforma de identidade da Microsoft.
Crie um registro do aplicativo de locatário para autorizar o acesso do Easy Button ao Graph. Com essas permissões, o BIG-IP envia as configurações por push para estabelecer uma relação de confiança entre uma instância do SP do SAML do aplicativo publicado e o Microsoft Entra ID como o IdP do SAML.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de aplicativos de nuvem.
Navegue até Identidade>Aplicativos>Registros de aplicativo>Novo registro.
Em Gerenciar, selecione Registros de aplicativo > Novo registro.
Insira um Nome de aplicativo.
Especifique quem usa o aplicativo.
Escolha Somente contas neste diretório organizacional.
Selecione Registrar.
Navegue até Permissões de API.
Autorize as seguintes Permissões de aplicativo do Microsoft Graph:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Dar consentimento do administrador para sua organização.
Em Certificados e Segredos, gere um novo segredo do cliente. Anote o Segredo do Cliente.
Em Visão geral, anote a ID do Cliente e a ID do Locatário.
Configurar o Easy Button
Inicie a Configuração Guiada do APM.
Inicie o modelo do Easy Button.
Navegue até Acessar > Configuração Guiada.
Selecione Integração da Microsoft
Selecione Aplicativo do Microsoft Entra.
Examine as etapas de configuração.
Selecione Avançar.
Use a sequência de etapas ilustradas para publicar seu aplicativo.
Propriedades de configuração
Use a guia Propriedades de configuração para criar uma configuração de aplicativo BIG-IP e um objeto SSO. Os Detalhes da Conta de Serviço do Azure representam o cliente que você registrou no locatário do Microsoft Entra. Use as configurações do cliente OAuth BIG-IP para registrar um SP do SAML em seu locatário, com propriedades SSO. O Easy Button executa essa ação para serviços BIG-IP publicados e habilitados para SHA.
É possível reutilizar as configurações para publicar mais aplicativos.
- Insira o Nome da Configuração.
- Para SSO (Logon Único) e Cabeçalhos HTTP, selecione Ativado.
- Para ID do Locatário, ID do Cliente e Segredo do Cliente, insira o que você anotou.
- Confirme se o BIG-IP se conecta ao seu locatário.
- Selecione Avançar
Provedor de serviços
Nas configurações do Provedor de Serviços, defina as configurações de instância do SP do SAML para o aplicativo protegido por SHA.
Insira um Host, o FQDN público do aplicativo.
Insira uma ID da Entidade, o identificador que o Microsoft Entra ID usa para identificar o SP do SAML ao solicitar um token.
(Opcional) Em Configurações de Segurança, selecione Habilitar Declaração de Criptografia para permitir que o Microsoft Entra ID criptografe as declarações SAML emitidas. As declarações de criptografia do Microsoft Entra ID e BIG-IP APM ajudam a garantir que os tokens de conteúdo não sejam interceptados nem os dados pessoais ou corporativos sejam comprometidos.
Em Configurações de Segurança, na lista Chave Privada da Descriptografia de Declaração, selecione Criar novo.
Selecione OK.
A caixa de diálogo Importar Certificado SSL e Chaves é exibida.
Em Importar Tipo, selecione PKCS 12 (IIS). Essa ação importa o certificado e a chave privada.
Em Certificado e Nome da Chave, selecione Novo e insira a entrada.
Insira a Senha.
Selecione Importar.
Feche a guia do navegador para retornar à guia principal.
- Marque a caixa Habilitar Declaração Criptografada.
- Se você habilitou a criptografia, na lista de Chave Privada da Descriptografia de Declaração, selecione o certificado. O APM do BIG-IP usa essa chave privada de certificado para descriptografar as declarações do Microsoft Entra.
- Se você habilitou a criptografia, na lista de Certificado da Descriptografia de Declaração, selecione o certificado. O BIG-IP carrega esse certificado no Microsoft Entra ID para criptografar as declarações SAML emitidas.
Microsoft Entra ID
Utilize as instruções a seguir para configurar um novo aplicativo SAML do BIG-IP no seu locatário do Microsoft Entra. O Easy Button tem modelos de aplicativos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico.
- Na Configuração do Azure, em Propriedades da Configuração, selecione Integração do APM do BIG-IP da F5 ao Microsoft Entra ID.
- Selecione Adicionar.
Configuração do Azure
Insira um aplicativo Nome de Exibição que o BIG-IP cria no locatário do Microsoft Entra. Os usuários veem o nome, com um ícone, em Meus Aplicativos da Microfone.
Ignore o URL de Logon (opcional).
Ao lado de Chave de Autenticação e Certificado de Autenticação, selecione atualizar para localizar o certificado que você importou.
Em Senha da Chave de Autenticação, insira a senha de certificado.
(Opcional) Habilite a Opção de Autenticação para garantir que o BIG-IP aceite tokens e declarações assinados pelo Microsoft Entra ID.
A entrada para Usuário E Grupos de Usuários é consultada dinamicamente.
Importante
Adicionar um usuário ou grupo para teste, caso contrário, todo o acesso é negado. Em Usuário E Grupos de Usuários, selecione + Adicionar.
Declarações e Atributos do Usuário
Quando um usuário é autenticado, o Microsoft Entra ID emite um token SAML com declarações e atributos que identificam o usuário. A guia Atributos e Declarações do Usuário tem declarações padrão para o aplicativo. Use a guia para configurar mais declarações.
Inclua mais um atributo:
Para Nome do Cabeçalho, insira employeeid.
Para Atributo de Origem, insira user.employeeid.
Atributos de usuário adicionais
Na guia Atributos Adicionais do Usuário, habilite o aumento da sessão. Use esse recurso para sistemas distribuídos como Oracle, SAP e outras implementações JAVA que exigem que os atributos sejam armazenados em outros diretórios. Atributos buscados de uma origem de protocolo LDAP são injetados como mais cabeçalhos de SSO. Essa ação ajuda a controlar o acesso com base em funções, IDs de Parceiro etc.
Observação
Esse recurso não tem correlação com o Microsoft Entra ID. Ele é uma fonte de atributo.
Política de Acesso Condicional
As políticas de Acesso Condicional controlam o acesso com base no dispositivo, aplicativo, localização e sinais de risco.
- Em Políticas Disponíveis, localize as políticas de Acesso Condicional sem ações do usuário
- Em Políticas Selecionadas, localize a política de aplicativo na nuvem
- Não é possível desmarcar essas políticas ou movê-las para as Políticas Disponíveis porque elas são impostas em um nível de locatário
Para selecionar uma política a ser aplicada ao aplicativo que está sendo publicado:
- Na guia Política de Acesso Condicional, na lista Políticas Disponíveis, selecione uma política.
- Escolha a seta para a direita e mova-a para a lista Políticas Selecionadas.
Observação
É possível selecionar a opção Incluir ou Excluir para uma política. Se ambas as opções estiverem selecionadas, a política não será aplicada.
Observação
A lista de políticas é exibida quando você seleciona a guia Política de Acesso Condicional. Selecione atualizar e o assistente consultará o locatário. A atualização aparecerá depois que um aplicativo for implantado.
Propriedades do Servidor Virtual
Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual. O servidor escuta solicitações de clientes para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil do APM associado ao servidor virtual. O tráfego é direcionado de acordo com a política.
Para Endereço de Destino, insira um endereço IPv4 ou IPv6 que o BIG-IP usa para receber o tráfego do cliente. Garanta um registro correspondente no DNS (servidor de nomes de domínio) que permita aos clientes resolver o URL externo, do aplicativo publicado pelo BIG-IP, para esse IP. É possível usar o DNS localhost do computador para teste.
Para Porta de Serviço, insira 443 e selecione HTTPS.
Marque a caixa Habilitar Porta de Redirecionamento.
Insira um valor para a Porta de Redirecionamento. Essa opção redireciona o tráfego do cliente HTTP de entrada para HTTPS.
Selecione o Perfil de SSL do Cliente que você criou ou mantenha o padrão durante o teste. O Perfil de SSL do Cliente habilita o servidor virtual para HTTPS, portanto, as conexões do cliente são criptografadas por TLS.
Propriedades de Pool
A guia Pool de Aplicativos tem serviços por trás de um BIG-IP representados como um pool, com um ou mais servidores de aplicativos.
Para Selecionar um Pool, selecione Criar Novo ou selecione outro.
Para o Método de Balanceamento de Carga, selecione Round Robin.
Para Servidores de Pool selecione um nó ou selecione um endereço IP e uma porta do servidor que hospeda o aplicativo baseado em cabeçalho.
Observação
O aplicativo de back-end da Microsoft está na Porta 80 HTTP. Se você selecionar HTTPS, use 443.
Logon Único e Cabeçalhos HTTP
Com o SSO, os usuários acessam os serviços publicados pelo BIG-IP sem inserir credenciais. O assistente de Easy Button oferece suporte a cabeçalhos de autorização Kerberos, Portador OAuth e HTTP para SSO.
Em Logon Único e Cabeçalhos HTTP, em Cabeçalhos de SSO, para Operação de Cabeçalho, selecione inserir
Para Nome do Cabeçalho, use upn.
Para Valor do Cabeçalho, use %{session.saml.last.identity}.
Para Operação de Cabeçalho, selecione inserir.
Para Nome do Cabeçalho, use employeeid.
Para Valor do Cabeçalho, use %{session.saml.last.attr.name.employeeid}.
Observação
As variáveis de sessão do APM entre colchetes diferenciam maiúsculas de minúsculas. Inconsistências causam falhas de mapeamento de atributo.
Gerenciamento da sessão
Use as configurações de gerenciamento de sessão do BIG-IP para definir as condições de encerramento ou continuação das sessões de usuário.
Para saber mais, acesse support.f5.com para K18390492: Segurança | Guia de operações do APM do BIG-IP
O logoff único (SLO) garante que as sessões de IdP, BIG-IP e agente do usuário sejam encerradas quando os usuários saírem. Quando o Easy Button instancia um aplicativo SAML em seu locatário do Microsoft Entra, ele preenche o URL de saída com o ponto de extremidade APM SLO. A saída iniciada por IdP em Meus Aplicativos encerra as sessões do BIG-IP e de cliente.
Saiba mais: confira, Meus Aplicativos
Os metadados da federação SAML do aplicativo publicado são importados de seu locatário. A importação fornece ao APM o ponto de extremidade de saída SAML para o Microsoft Entra ID. Essa ação garante que a saída iniciada pelo SP encerre as sessões do cliente e do Microsoft Entra. Verifique se o APM sabe quando a saída do usuário ocorre.
Se o portal webtop do BIG-IP acessar aplicativos publicados, o eAPM processará a saída para chamar o ponto de extremidade de saída do Microsoft Entra. Se o portal webtop do BIG-IP não for usado, os usuários não poderão instruir o APM a sair. Se os usuários saírem do aplicativo, o BIG-IP será indiferente. Portanto, verifique se a saída iniciada pelo SP encerra as sessões com segurança. É possível adicionar uma função SLO a um botão Desconectar do aplicativo. Em seguida, os clientes serão redirecionados para o ponto de extremidade de saída do SAML do Microsoft Entra ou do BIG-IP. Para localizar o URL do ponto de extremidade de saída SAML do seu locatário, acesse Registros de Aplicativos > Pontos de extremidade.
Se não for possível alterar o aplicativo, ative o BIG-IP para ouvir a chamada de saída do aplicativo e acionar o SLO.
Saiba mais:
- Logoff único do PeopleSoft
- Vá para support.f5.com para:
Implantar
A implantação fornece um detalhamento de suas configurações.
- Para confirmar as configurações, selecione Implantar.
- Verifique o aplicativo em sua lista de locatários de Aplicativos empresariais.
- O aplicativo é publicado e acessível via SHA, em seu URL ou nos portais de aplicativos da Microsoft.
Teste
- Em um navegador, conecte-se ao URL externo do aplicativo ou selecione o ícone do aplicativo em Meus Aplicativos.
- Autentique-se no Microsoft Entra ID.
- Ocorre um redirecionamento para o servidor virtual do BIG-IP do aplicativo e conectado por meio do SSO.
A captura de tela a seguir é a saída de cabeçalhos injetados do aplicativo baseado em cabeçalho.
Observação
É possível bloquear o acesso direto ao aplicativo, impondo assim um caminho através do BIG-IP.
Implantação avançada
Para alguns cenários, os modelos de Configuração Guiada não têm flexibilidade.
Saiba mais: tutorial: configurar o Gerenciador de Política de Acesso do F5 BIG-IP do SSO baseado em cabeçalho.
No BIG-IP, é possível desabilitar o Modo de gerenciamento estrito da Configuração Guiada. Em seguida, altere manualmente as configurações, no entanto, a maioria das configurações é automatizada com modelos de assistente.
Para desabilitar o modo estrito, navegue até Acessar > Configuração Guiada.
Na linha da configuração do aplicativo, selecione o ícone de cadeado.
Os objetos do BIG-IP associados à instância publicada do aplicativo são desbloqueados para gerenciamento. Não é possível fazer alterações usando o assistente.
Observação
Se você reabilitar o modo estrito e implantar uma configuração, a ação substituirá as configurações que não estão na Configuração Guiada. Recomendamos a configuração avançada para serviços de produção.
Solução de problemas
Use as diretrizes a seguir ao solucionar problemas.
Detalhamento do log
Os logs do BIG-IP ajudam a isolar problemas de conectividade, SSO, política ou mapeamentos de variáveis configurados incorretamente. Para solucionar problemas, aumente o detalhamento do log.
- Navegue até Política de Acesso Visão Geral>.
- Selecione Logs de Eventos.
- Selecione Configurações.
- Selecione a linha do aplicativo publicado.
- Selecione Editar.
- Selecione Logs do Sistema de Acesso.
- Na lista de SSO, selecione Depurar.
- Selecione OK.
- Reproduza o problema.
- Inspecione os logs.
Observação
Reverta esse recurso quando concluir. O modo detalhado gera dados excessivos.
Mensagem de erro do BIG-IP
Se uma mensagem de erro do BIG-IP for exibida após a pré-autenticação do Microsoft Entra, o problema poderá estar relacionado ao SSO do Microsoft Entra ID para o BIG-IP.
- Navegue até Política de Acesso Visão Geral>.
- Selecione Acessar relatórios.
- Execute o relatório da última hora.
- Analise os logs em busca de pistas.
Use o link Exibir variáveis da sessão para a sessão, para ajudar a entender se o APM recebe as declarações esperadas do Microsoft Entra.
Nenhuma mensagem de erro do BIG-IP
Se nenhuma mensagem de erro do BIG-IP for exibida, o problema poderá estar relacionado à solicitação de back-end ou do BIG-IP para SSO do aplicativo.
- Navegue até Política de Acesso Visão Geral>.
- Selecione Sessões Ativas.
- Selecione o link da sessão ativa.
Use o link Exibir Variáveis para ajudar a determinar problemas de SSO, especialmente se o BIG-IP APM não obtiver atributos corretos.
Saiba mais:
- Configurando a autenticação remota LDAP para o Active Directory
- Acesse techdocs.f5.com para Capítulo Manual: consulta LDAP