Tutorial: configurar o F5 BIG-IP Easy Button para logon único baseado em cabeçalho e LDAP
Neste artigo, é possível saber como proteger os aplicativos baseados em cabeçalho e LDAP usando o Microsoft Entra ID por meio da Configuração Guiada do F5 BIG-IP Easy Button 16.1. A integração de um BIG-IP com o Microsoft Entra ID oferece muitos benefícios:
- Governança aprimorada: confira Estrutura de Confiança Zero para habilitar trabalho remoto e saiba mais sobre a pré-autenticação do Microsoft Entra
- Confira também O que é o Acesso Condicional? para saber mais sobre como ele ajuda a impor políticas organizacionais
- SSO (logon único) completo entre a ID do Microsoft Entra e os serviços publicados do BIG-IP
- Gerenciar as identidades e o acesso em um painel de controle, o Centro de administração do Microsoft Entra
Para saber mais sobre os benefícios, consulte Integração de F5 BIG-IP e Microsoft Entra.
Descrição do cenário
Esse cenário se concentra no aplicativo herdado clássico usando os cabeçalhos de autorização HTTP originados de atributos de diretório LDAP para gerenciar o acesso a conteúdo protegido.
Por ser herdado, o aplicativo não tem protocolos modernos para dar suporte a uma integração direta com o Microsoft Entra ID. É possível modernizar o aplicativo, mas isso é caro, necessita de planejamento e apresenta risco de tempo de inatividade potencial. Em vez disso, é possível usar um ADC (controlador de entrega de aplicativos) do F5 BIG-IP para preencher a lacuna entre o aplicativo herdado e o plano de controle de ID moderno, com transição de protocolo.
Ter um BIG-IP na frente do aplicativo permite a sobreposição do serviço com pré-autenticação do Microsoft Entra e de SSO baseado em cabeçalho, melhorando a postura geral de segurança do aplicativo.
Arquitetura de cenário
A solução de acesso híbrido seguro para esse cenário possui:
- Aplicativo – Serviço publicado do BIG-IP a ser protegido pelo SHA (acesso híbrido seguro) do Microsoft Entra ID
- Microsoft Entra ID - Provedor de identidade (IdP) Security Assertion Markup Language (SAML) que verifica as credenciais do usuário, o Acesso Condicional e o SSO baseado em SAML para o BIG-IP. Com o SSO, o Microsoft Entra ID fornece o BIG-IP com atributos de sessão exigidos.
- sistema de RH – Banco de dados de funcionários baseado em LDAP como fonte de verdade para permissões de aplicativo
- BIG-IP – Proxy reverso e SP (provedor de serviços) SAML para o aplicativo, delegando autenticação ao IdP de SAML antes de executar o SSO baseado em cabeçalho para o aplicativo back-end
O SHA para esse cenário dá suporte a fluxos iniciados por SP e IdP. A imagem a seguir ilustra o fluxo iniciado pelo SP.
- O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP)
- A política de acesso do BIG-IP APM redireciona o usuário para o Microsoft Entra ID (IdP do SAML)
- O Microsoft Entra ID pré-autentica o usuário e aplica as políticas de Acesso Condicional impostas
- O usuário é redirecionado para o BIG-IP (SP no SAML) e o SSO é executado usando o token SAML emitido
- O BIG-IP solicita mais atributos do sistema de RH baseado em LDAP
- O BIG-IP injeta atributos do sistema de RH e do Microsoft Entra ID como cabeçalhos na solicitação ao aplicativo
- O aplicativo autoriza o acesso com permissões de sessão aprimoradas
Pré-requisitos
Você não precisa ter experiência prévia com o BIG-IP, mas é necessário:
- Uma conta gratuita do Azure ou assinatura de camada superior
- Um BIG-IP ouimplantar um BIG-IP Virtual Edition (VE) no Azure
- Qualquer uma das seguintes licenças de F5 BIG-IP:
- Pacote F5 BIG-IP® Best
- Licença autônoma do BIG-IP Access Policy Manager™ (APM) da F5
- Licença de complemento do F5 BIG-IP APM (Access Policy Manager™) em um LTM (Local Traffic Manager™) BIG-IP® do BIG-IP F5
- Avaliação Gratuita por 90 Dias do produto BIG-IP
- Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID
- Uma das seguintes funções: Administrador de Aplicativos de Nuvem ou Administrador de Aplicativos.
- Um certificado Web SSL para serviços de publicação por HTTPS ou use certificados do BIG-IP padrão durante o teste
- Um aplicativo baseado em cabeçalho ou configurar um aplicativo de cabeçalho de IIS simples para teste
- Um diretório de usuário que dá suporte a LDAP, incluindo o Windows AD LDS (Active Directory Lightweight Directory Services), o OpenLDAP etc.
Configuração do BIG-IP
Este tutorial usa a Configuração Guiada 16.1 com um modelo do botão fácil. Com o Easy Button, os administradores não ficam alternando entre a ID do Microsoft Entra e um BIG-IP para habilitar serviços do SHA. A implantação e o gerenciamento de políticas são tratados entre o assistente de Configuração Guiada do APM e o Microsoft Graph. Essa integração avançada entre o APM do BIG-IP e o Microsoft Entra ID garante que os aplicativos possam dar suporte à federação de identidade, ao SSO e ao acesso condicional do Microsoft Entra, reduzindo a sobrecarga administrativa.
Observação
Substitua as cadeias de caracteres ou os valores de exemplo neste guia pelos do ambiente.
Registrar botão fácil
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Antes que um cliente ou serviço possa acessar o Microsoft Graph, ele precisará ter confiança da plataforma de identidade da Microsoft.
Essa primeira etapa criará um registro de aplicativo de locatário para autorizar o acesso do Easy Button ao Graph. Com essas permissões, o BIG-IP envia as configurações por push para estabelecer uma relação de confiança entre uma instância do SP do SAML do aplicativo publicado e a ID do Microsoft Entra como o IdP do SAML.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Registros de aplicativo>Novo registro.
Insira um nome de exibição para o seu aplicativo. Por exemplo, F5 BIG-IP Easy Button.
Especifique quem pode usar as contas > aplicativo apenas neste diretório organizacional.
Selecione Registrar.
Navegue até as Permissões de API e autorize as seguintesPermissões de aplicativos do Microsoft Graph:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy. Read. All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Dar consentimento do administrador para sua organização.
Em Certificados e Segredos, gere um novo segredo do cliente. Anote esse segredo.
Em Visão geral, anote a ID do Cliente e a ID do Locatário.
Configurar o botão fácil
Inicie a Configuração Guiada do APM para iniciar o modelo do Easy Button.
Navegue até Acessar > Configuração Guiada > Integração à Microsoft e selecione Aplicativo Microsoft Entra.
Examine a lista de etapas e selecione Avançar.
Para publicar seu aplicativo, siga as etapas.
Configuration Properties
A guia Propriedades de Configuração cria uma configuração de aplicativo BIG-IP e um objeto de SSO. A seção Detalhes da Conta de Serviço do Azure representa o cliente que você registrou anteriormente como um aplicativo no locatário do Microsoft Entra. Essas configurações permitem que um Cliente OAuth do BIG-IP registre um SP de SAML no locatário com as propriedades de SSO que você configura manualmente. O Easy Button faz essa ação para cada serviço do BIG-IP publicado e habilitado para SHA.
Algumas dessas configurações são globais, portanto, poderão ser reutilizadas para publicar mais aplicativos, reduzindo o tempo e o esforço de implantação.
- Insira um Nome de Configuração exclusivo para que os administradores possam distinguir entre as configurações do Easy Button.
- Habilitar SSO (Logon Único) e Cabeçahos HTTP.
- Insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou ao registrar o cliente do botão fácil em seu locatário.
- Confirme se o BIG-IP pode conectar o locatário.
- Selecione Avançar.
Provedor de serviços
As configurações do Provedor de Serviços definem as propriedades para a instância de SP no SAML do aplicativo protegido por SHA.
Insira Host, o FQDN (nome de domínio totalmente qualificado) público do aplicativo que está sendo protegido.
Insira ID da Entidade, o identificador que o Microsoft Entra ID usa para identificar o SP do SAML ao solicitar um token. Use as Configurações de Segurança opcionais para especificar se o Microsoft Entra ID criptografa as declarações SAML emitidas. A criptografia de declarações entre o Microsoft Entra ID e o APM do BIG-IP fornece a garantia de que os tokens de conteúdo não possam ser interceptados e que os dados pessoais ou corporativos não possam ser comprometidos.
Na lista Chave Privada de Descriptografia da Declaração, selecione Criar
Selecione OK. A caixa de diálogo Importar Certificado SSL e Chaves abre em uma nova guia.
Selecione PKCS 12 (IIS) para importar o certificado e a chave privada. Após o provisionamento, feche a guia do navegador para retornar à guia principal.
Marque a opção Habilitar Declaração Criptografada.
Se você ativou a criptografia, selecione o certificado na lista Chave Privada de Descriptografia de Declaração. O APM do BIG-IP usa essa chave privada de certificado para descriptografar as declarações do Microsoft Entra.
Se você ativou a criptografia, selecione o certificado na lista Certificado de Descriptografia de Declaração. O BIG-IP carrega esse certificado no Microsoft Entra ID para criptografar as declarações SAML emitidas.
Microsoft Entra ID
Esta seção contém as propriedades para configurar manualmente um novo aplicativo SAML do BIG-IP no locatário do Microsoft Entra. O botão fácil possui modelos de aplicativos para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e um modelo de SHA para outros aplicativos.
Para este cenário, selecione Integração do APM do BIG-IP da F5 ao Microsoft Entra ID > Adicionar.
Configuração do Azure
Insira oNome de Exibição que o BIG-IP cria no locatário do Microsoft Entra e o ícone que os usuários veem no portal MyApps.
Não faça nenhuma entrada para URL de Logon (opcional).
Para localizar o certificado importado, selecione o ícone Atualizar próximo à Chave de Autenticação e ao Certificado de Autenticação.
Digite a senha do certificado em Senha da Chave de Autenticação.
Habilite a Opção de Autenticação (opcional) para garantir que o BIG-IP aceite tokens e declarações assinados pelo Microsoft Entra ID.
Os usuários e grupos de usuários são consultados dinamicamente no locatário do Microsoft Entra e autorizam o acesso ao aplicativo. Adicionar um usuário ou grupo para teste, caso contrário, o acesso é negado.
Declarações e Atributos do Usuário
Quando um usuário for autenticado, o Microsoft Entra emitirá um token SAML com um conjunto de declarações e atributos padrão que identificará exclusivamente o usuário. A guia Atributos e Declarações do Usuário mostra as declarações padrão a serem emitidas para o novo aplicativo. Ele também permite que você configure mais declarações.
Para este exemplo, inclua mais um atributo:
Em Nome da declaração, insira employeeid.
Para Atributo de Origem, insira user.employeeid.
Atributos de usuário adicionais
Na guia Atributos de Usuário Adicionais, é possível habilitar o aumento da sessão para sistemas distribuídos como Oracle, SAP e outras implementações baseadas em JAVA que exigem os atributos armazenados em outros diretórios. Os atributos obtidos de uma fonte LDAP podem ser injetados como mais cabeçalhos de SSO para controlar o acesso com base em funções, IDs de parceiros, etc.
Habilite a opção Configurações Avançadas.
Marque a caixa de seleção Atributos LDAP.
Em Escolher Servidor de Autenticação, selecione Criar.
Dependendo da sua configuração, selecione o modo usar pool ou conexão direta de servidor para fornecer o endereço de servidor do serviço LDAP de destino. Se estiver usando um só servidor LDAP, escolha Direto.
Em Porta de Serviço, insira 389, 636 (Segura) ou outra porta usada pelo serviço LDAP.
Para DN de Pesquisa Base insira o nome diferenciado do local que contém a conta com a qual o APM se autentica, para consultas de serviço LDAP.
Em DN de pesquisa insira o nome diferenciado do local que contém os objetos da conta de usuário que o APM consulta por meio de LDAP.
Defina ambas as opções de associação como Nenhum e inclua o nome do atributo de objeto de usuário a ser retornado do diretório LDAP. Para este cenário: eventroles.
Política de Acesso Condicional
As políticas de acesso condicional são impostas após a autenticação prévia do Microsoft Entra para controlar o acesso baseado no dispositivo, no aplicativo, na localização e nos sinais de risco.
A exibição Políticas Disponíveis lista as políticas de Acesso Condicional que não incluem as ações do usuário.
O modo de exibição Políticas selecionadas mostra políticas direcionadas a todos os recursos. Essas políticas não podem ser desmarcadas ou movidas para a lista de Políticas Disponíveis porque são impostas em um nível de locatário.
Para selecionar uma política a ser aplicada ao aplicativo que está sendo publicado:
Na lista Políticas Disponíveis, selecione uma política.
Escolha a seta para a direita e mova-a para a lista Políticas Selecionadas.
Observação
As políticas selecionadas têm uma opção Incluir ou Excluir marcada. Se ambas as opções estiverem marcadas, a política selecionada não será imposta.
Observação
A lista de políticas será enumerada uma vez, inicialmente ao selecionar essa guia. Use o botão Atualizar para forçar manualmente o assistente a consultar o locatário. Este botão aparecerá quando o aplicativo estiver implantado.
Propriedades do Servidor Virtual
Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual que escuta as solicitações do cliente para o aplicativo. O tráfego recebido será processado e avaliado em relação ao perfil do APM associado ao servidor virtual, antes de ser direcionado de acordo com a política.
Insira o Endereço de destino, um endereço IPv4/IPv6 disponível que o BIG-IP pode usar para receber o tráfego do cliente. Deve haver um registro correspondente no DNS (servidor de nomes de domínio), que permite que os clientes resolvam a URL externa do aplicativo publicado em BIG-IP para esse IP, em vez do aplicativo. Usar um DNS de localhost do PC de teste é aceitável para testar.
Para Porta de Serviço, insira 443 e HTTPS.
Marque Habilitar Porta de Redirecionamento e, em seguida, insira Porta de Redirecionamento para redirecionar o tráfego de cliente HTTP de entrada para HTTPS.
O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, de modo que as conexões de cliente são criptografadas pelo TLS (Transport Layer Security). Selecione o Perfil de SSL do Cliente que você criou ou mantenha o padrão durante o teste.
Propriedades de Pool
A guia Pool de Aplicativos tem os serviços por trás de um BIG-IP representados como um pool, com um ou mais servidores de aplicativos.
Escolha entre selecionar um pool. Crie um novo pool ou selecione um.
Escolha o Método de Balanceamento de Carga como Round Robin.
Para Servidores de Pool selecione um nó ou especifique um IP e uma porta para o servidor que hospeda o aplicativo baseado em cabeçalho.
Observação
Nosso aplicativo back-end situa-se na porta HTTP 80. Alterne para 443 se o seu for HTTPS.
Logon único e cabeçalhos HTTP
Habilitar o SSO permitirá que os usuários acessem os serviços publicados do BIG-IP sem inserir as credenciais. O assistente de Botão Fácil oferece suporte a cabeçalhos de autorização Kerberos, Portador OAuth e HTTP para SSO.
Use a lista a seguir para configurar opções.
Operação de cabeçalho: inserir
Nome do cabeçalho upn
Valor do cabeçalho: %{session.saml.last.identity}
Operação de cabeçalho: inserir
Nome do cabeçalho: EmployeeID
Valor do cabeçalho: %{session.saml.last.attr.name.employeeid}
Operação de cabeçalho: inserir
Nome do cabeçalho: eventroles
Valor do cabeçalho: % {Session. LDAP. Last. attr. eventroles}
Observação
As variáveis de sessão do APM entre colchetes diferenciam maiúsculas de minúsculas. Por exemplo, se você inserir OrclGUID e o nome do atributo do Microsoft Entra for orclguid, ocorrerá uma falha de mapeamento de atributo.
Configurações de gerenciamento de sessão
As configurações de gerenciamento de sessão do BIG-IPs definem as condições sob as quais as sessões do usuário serão encerradas ou autorizadas a continuar, os limites para usuários e endereços IP e as informações de usuário correspondentes. Consulte o artigo da F5 K18390492: Segurança | Guia de operações do APM do BIG-IP para obter detalhes sobre essas configurações.
A funcionalidade de SLO (logoff único) não é abordada e isso garante o encerramento das sessões entre o IdP, o BIG-IP e o agente do usuário quando os usuários se desconectam. Quando o botão fácil instancia um aplicativo SAML no locatário do Microsoft Entra, ele preenche a URL de saída com o ponto de extremidade de SLO do APM. Uma saída iniciada pelo IdP do portal Meus Aplicativos do Microsoft Entra encerra a sessão entre o BIG-IP e um cliente.
Os metadados de federação SAML para o aplicativo publicado são importados do locatário, que fornece ao APM o ponto de extremidade de saída SAML para o Microsoft Entra ID. Essa ação garante que uma saída iniciada pelo SP encerre a sessão entre um cliente e o Microsoft Entra ID. O APM precisará saber quando um usuário sair do aplicativo.
Se o portal webtop big-IP for usado para acessar aplicativos publicados, o APM processará a saída para chamar o ponto de extremidade de saída do Microsoft Entra. Mas, considere um cenário em que o portal webtop do BIG-IP não é utilizado. O usuário não poderá instruir o APM a sair. Mesmo se o usuário sair do aplicativo, o BIG-IP não perceberá. Portanto, considere a saída iniciada por SP para garantir que as sessões sejam encerradas com segurança. É possível adicionar uma função de SLO ao botão Sair de um aplicativo para que ele possa redirecionar o cliente ao ponto de extremidade de saída do BIG-IP ou do SAML do Microsoft Entra. A URL para o ponto de extremidade de saída do SAML para o locatário está em Registros de Aplicativo > Pontos de Extremidade.
Se não for possível fazer uma alteração no aplicativo, é recomendável fazer com que o BIG-IP realize a escuta da chamada de saída do aplicativo e, ao detectar a solicitação, dispare o SLO. Consulte as Diretrizes de SLO do Oracle PeopleSoft para saber mais sobre as iRules do BIG-IP. Para obter mais informações sobre como usar as iRules do BIG-IP, consulte:
- K42052145: configurar o encerramento automático da sessão com base em um nome de arquivo referenciado por URI
- K12056: visão geral da opção de inclusão de URI de Logoff.
Resumo
Esta última etapa fornece uma análise das configurações.
Selecione Implantar para confirmar as configurações e verificar se o aplicativo está na lista de locatários de Aplicativos Empresariais.
Seu aplicativo é publicado e acessível via SHA, com sua URL ou por meio de portais de aplicativo da Microsoft. Para aumentar a segurança, as organizações que usam esse padrão podem bloquear o acesso direto ao aplicativo. Essa ação força um caminho estrito por meio do BIG-IP.
Próximas etapas
Em um navegador, no portal MyApps da Microsoft conecte a URL externa do aplicativo ou selecione o ícone do aplicativo. Após autenticar no Microsoft Entra ID, você será redirecionado para o servidor virtual do BIG-IP do aplicativo e conectado por meio de SSO.
Confira a captura de tela a seguir para obter a saída dos cabeçalhos injetados em nosso aplicativo baseado em cabeçalhos.
Para aumentar a segurança, as organizações que usam esse padrão podem bloquear o acesso direto ao aplicativo. Essa ação força um caminho estrito por meio do BIG-IP.
Implantação avançada
Os modelos de Configuração Guiada poderão não ter flexibilidade para atender a requisitos específicos.
No BIG-IP, é possível desabilitar o Modo de gerenciamento estrito da Configuração Guiada. É possível alterar manualmente as configurações, embora a maior parte das configurações seja automatizada por meio de modelos baseados em assistente.
Nas configurações de aplicativos, é possível navegar até Acesso > Configuração Guiada e selecionar o ícone de cadeado pequeno na extremidade direita da linha.
Neste ponto, as alterações com a interface do usuário do assistente não serão mais possíveis, mas todos os objetos do BIG-IP associados à instância publicada do aplicativo serão desbloqueados para gerenciamento direto.
Observação
Reabilitar o modo estrito e a implantação de uma configuração substituirá todas as configurações executadas fora da interface do usuário da Configuração Guiada. Recomendamos o método de configuração avançada para serviços de produção.
Solução de problemas
Registro em log do BIG-IP
O registro em log do BIG-IP pode ajudar a isolar problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis configurados incorretamente.
Para solucionar problemas, você poderá aumentar o nível de detalhamento do log.
- Navegue até política de acesso > visão geral > Logs de eventos > Configurações.
- Selecione a linha do seu aplicativo publicado e, em seguida, Editar> Acessar Logs do Sistema.
- Na lista de SSO, selecione Depurar e, em seguida, OK.
Reproduza o problema e inspecione os logs, mas reverta essa configuração ao concluir. O modo detalhado gera quantidades de dados significativas.
Página de erro de BIG-IP
Se um erro do BIG-IP é exibido após a autenticação prévia do Microsoft Entra, é possível que o problema esteja relacionado ao SSO da ID do Microsoft Entra para o BIG-IP.
- Navegue até Acessar > Visão geral > Acessar relatórios.
- Execute o relatório da última hora para verificar se os logs fornecem alguma pista.
- Use o link Exibir Variáveis da sessão para reconhecer se o APM está recebendo as declarações esperadas do Microsoft Entra ID.
Solicitação de back-end
Se não houver página de erro, o problema provavelmente está relacionado à solicitação de back-end ou ao SSO do BIG-IP para o aplicativo.
- Navegue até Política de Acesso> Visão geral> Sessões Ativas e selecione o link para a sessão ativa.
- Para ajudar a causa raiz do problema, use o link Exibir variáveis, principalmente se o APM do BIG-IP não conseguir obter os atributos corretos do Microsoft Entra ID ou de outra origem.
Validar a conta de serviço do APM
Para validar a conta de serviço do APM para consultas LDAP, use o comando a seguir do shell bash big-IP. Confirme a autenticação e a consulta de um objeto de usuário.
ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"
Para obter mais informações, consulte o artigo da F5 K11072: configurar a autenticação remota LDAP para Active Directory. É possível usar uma tabela de referência do BIG-IP para ajudar a diagnosticar os problemas relacionados ao LDAP no documento da AskF5, Consulta LDAP.