Tutorial: Configurar o BIG-IP Easy Button da F5 para SSO no SAP ERP
Neste artigo, aprenda a proteger o ERP (Planejamento de Recurso da Empresa) SAP usando o Microsoft Entra ID, com a configuração guiada 16.1 do BIG-IP Easy Button da F5. A integração de um BIG-IP com o Microsoft Entra ID tem muitos benefícios:
- Estrutura de Confiança Zero para permitir o trabalho remoto
- O que é Acesso Condicional?
- Logon único (SSO) entre os serviços publicados do Microsoft Entra ID e do BIG-IP
- Gerenciar as identidades e o acesso no centro de administração do Microsoft Entra
Saiba mais:
Descrição do cenário
Este cenário inclui o aplicativo SAP ERP clássico usando a autenticação Kerberos para gerenciar o acesso ao conteúdo protegido.
Os aplicativos herdados não têm protocolos modernos para dar suporte à integração com o Microsoft Entra ID. A modernização é onerosa, requer planejamento e apresenta risco potencial de tempo de inatividade. Como alternativa, use um Controlador de Entrega de Aplicativos (ADC) do F5 BIG-IP para preencher a lacuna entre o aplicativo herdado e o plano de controle de ID moderno, por meio da transição de protocolo.
Um BIG-IP na frente do aplicativo permite a sobreposição do serviço com a pré-autenticação do Microsoft Entra e SSO baseado em cabeçalhos. Essa configuração melhora a postura geral de segurança do aplicativo.
Arquitetura de cenário
A solução de SHA (acesso híbrido seguro) tem os seguintes componentes:
- Aplicativo SAP ERP – Serviço publicado pelo BIG-IP protegido por Microsoft Entra SHA
- Microsoft Entra ID - Provedor de identidade (IdP) Security Assertion Markup Language (SAML) que verifica as credenciais do usuário, o Acesso Condicional e o SSO baseado em SAML para o BIG-IP
- BIG-IP – proxy reverso e provedor de serviços (SP) de SAML para o aplicativo. O BIG-IP delega a autenticação ao IdP do SAML executa o SSO baseado em cabeçalho para o serviço SAP
O SHA dá suporte a fluxos iniciados pelo IdP e SP. A imagem a seguir ilustra o fluxo iniciado pelo SP.
- O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
- A política de acesso do APM (Gerenciador de Política de Acesso) do BIG-IP redireciona o usuário para o Microsoft Entra ID (IdP do SAML).
- O Microsoft Entra ID pré-autentica o usuário e aplica as políticas de Acesso Condicional impostas.
- O usuário é redirecionado para o BIG-IP (SP SAML) e o SSO ocorre com o token SAML emitido.
- O BIG-IP solicita o tíquete Kerberos do KDC (centro de distribuição de chaves).
- O BIG-IP envia a solicitação para o aplicativo de back-end, com o tíquete Kerberos para SSO.
- O aplicativo autoriza a solicitação e retorna o conteúdo.
Pré-requisitos
- Uma conta gratuita do Microsoft Entra ID ou superior
- Se não tiver uma, obtenha uma conta gratuita do Azure
- Um BIG-IP ou uma VE (Virtual Edition) do BIG-IP no Azure
- Qualquer uma das seguintes licenças do F5 BIG-IP:
- Pacote F5 BIG-IP® Best
- Licença autônoma do F5 BIG-IP APM
- Licença de complemento do APM do F5 BIG-IP em um LTM (Local Traffic Manager™) do BIG-IP F5 BIG-IP® já existente
- Licença de avaliação completa de 90 dias do BIG-IP
- Identidades de usuário sincronizadas de um diretório local com o Microsoft Entra ID ou criadas no Microsoft Entra ID e retornadas para o diretório local
- Uma das seguintes funções: Administrador de Aplicativos de Nuvem ou Administrador de Aplicativos.
- Um certificado Web SSL é necessário para publicar serviços em HTTPS, ou você pode usar os certificados BIG-IP padrão para testes
- Um ambiente SAP ERP configurado para autenticação Kerberos
Métodos de configuração BIG-IP
Este tutorial usa a Configuração Guiada 16.1 com um modelo do botão fácil. Com o Easy Button, os administradores não ficam entre o Microsoft Entra ID e um BIG-IP para habilitar serviços do SHA. O Assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de política. A integração garante que os aplicativos suportem a federação de identidade, SSO e Acesso Condicional.
Observação
Substitua as cadeias de caracteres ou os valores de exemplo deste guia pelos do ambiente.
Registrar botão fácil
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Antes que um cliente ou serviço acesse o Microsoft Graph, a plataforma de identidade da Microsoft precisa confiar nele.
Confira, Início Rápido: registrar um aplicativo na plataforma de identidade da Microsoft
Registre o cliente do Easy Button no Microsoft Entra ID para que ele estabeleça uma relação de confiança entre as instâncias do SP do SAML de um aplicativo publicado do BIG-IP e o Microsoft Entra ID como o IdP do SAML.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Registros de aplicativo>Novo registro.
Insira um Nome para o novo aplicativo.
Em Contas apenas neste diretório organizacional, especifique quem pode usar o aplicativo.
Selecione Registrar.
Navegue até Permissões de API.
Autorize as seguintes Permissões de aplicativo do Microsoft Graph:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy. Read. All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Dar consentimento do administrador para sua organização.
Em Certificados e Segredos, gere um novo segredo do cliente.
Anote o segredo.
Em Visão geral, anote a ID do Cliente e a ID do Locatário.
Configurar o botão fácil
- Inicie a Configuração Guiada do APM.
- Inicie o modelo do Easy Button.
- Em um navegador, entre no console de gerenciamento BIG-IP do F5.
- Navegue até Acessar > Configuração Guiada > Integração com a Microsoft.
- Selecione Aplicativo do Microsoft Entra.
- Examine a lista de configuração.
- Selecione Avançar.
- Siga a sequência de configuração em Configuração de Aplicativo do Microsoft Entra.
Configuration Properties
A guia Propriedades de Configuração tem propriedades de conta de serviço e cria uma configuração de aplicativo BIG-IP e um objeto de SSO. A seção Detalhes da Conta de Serviço do Azure representa o cliente que você registrou como um aplicativo, no locatário do Microsoft Entra. Use as configurações do cliente OAuth BIG-IP para registrar individualmente um SP do SAML em seu locatário, com as propriedades SSO. O Easy Button executa essa ação para serviços BIG-IP publicados e habilitados para SHA.
Observação
Algumas configurações são globais e podem ser reutilizadas para publicar mais aplicativos.
- Insira o Nome da Configuração. Nomes exclusivos diferenciam as configurações do Easy Button.
- Para SSO (Logon Único) e Cabeçalhos HTTP, selecione Ativado.
- Para ID do Locatário, ID do Cliente e Segredo do Cliente, insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou durante o registro do locatário.
- Selecione Testar Conexão. Essa ação confirma que o BIG-IP se conecta ao seu locatário.
- Selecione Avançar.
Provedor de serviços
Use as configurações do Provedor de Serviços para definir as propriedades da instância SAML SP do aplicativo protegido por SHA.
Para Host, insira o nome de domínio totalmente qualificado (FQDN) público do aplicativo que está sendo protegido.
Na ID da Entidade, insira o identificador que o Microsoft Entra ID usa para identificar o SP do SAML solicitando um token.
(Opcional) Use as Configurações de Segurança para indicar que o Microsoft Entra ID criptografa declarações SAML emitidas. As declarações criptografadas entre o Microsoft Entra ID e o BIG-IP APM aumentam a garantia de que os tokens de conteúdo não são interceptados nem os dados comprometidos.
Na Chave Privada de Descriptografia da Declaração, selecione Criar Nova.
Selecione OK.
A caixa de diálogo Importar Certificado SSL e Chaves abre em uma nova guia.
Para importar o certificado e a chave privada, selecione PKCS 12 (IIS).
Feche a guia do navegador para retornar à guia principal.
Para Habilitar a Declaração Criptografada, marque a caixa.
Se você habilitou a criptografia, na lista Chave Privada de Descriptografia de Declaração, selecione a chave privada do certificado que o BIG-IP APM usa para descriptografar as declarações do Microsoft Entra.
Se você habilitou a criptografia, na lista Certificado de Descriptografia de Declaração, selecione o certificado que o BIG-IP carrega para o Microsoft Entra ID para criptografar as declarações SAML emitidas.
Microsoft Entra ID
O Easy Button tem modelos de aplicativos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico.
Para iniciar a configuração do Azure, selecione Componente Central do SAP ERP > Adicionar.
Observação
Você pode usar as informações nas seções a seguir ao configurar manualmente um novo aplicativo SAML BIG-IP em um locatário do Microsoft Entra.
Configuração do Azure
Em Nome de exibição, insira o aplicativo que o BIG-IP cria no locatário do Microsoft Entra. O nome aparece no ícone no portal Meus Aplicativos.
(Opcional) deixe a URL de Logon (opcional) em branco.
Ao lado de Chave de Assinatura, selecione atualizar.
Selecione Certificado de Autenticação. Essa ação localiza o certificado que você inseriu.
Em Senha da Chave de Autenticação, insira a senha de certificado.
Habilite a Opção de Autenticação (opcional). Essa opção garante que o BIG-IP aceite tokens e declarações assinados pelo Microsoft Entra ID
Os Usuários e Grupos de Usuários são consultados dinamicamente no locatário do Microsoft Entra. Os grupos ajudam a autorizar o acesso ao aplicativo.
Adicionar um usuário ou grupo para teste, caso contrário, o acesso é negado.
Declarações e Atributos do Usuário
Quando os usuários se autenticam no Microsoft Entra ID, ele emite um token SAML com declarações e atributos padrão que identificam o usuário. A guia Atributos e Declarações do Usuário mostra as declarações padrão a serem emitidas para o novo aplicativo. Use-o para configurar mais declarações.
Esse tutorial é baseado em um sufixo de domínio .com usado interna e externamente. Nenhum outro atributo é necessário para obter uma implementação SSO funcional de KCD (delegação restrita de Kerberos).
Você pode incluir mais atributos do Microsoft Entra. Para este tutorial, o SAP ERP requer os atributos padrão.
Saiba mais: Tutorial: configurar o Gerenciador de Política de Acesso F5 Big-IP para autenticação Kerberos. Confira as instruções sobre vários domínios ou logon do usuário com sufixos alternativos.
Atributos de usuário adicionais
A guia Atributos de Usuário Adicionais dá suporte a sistemas distribuídos que exigem atributos armazenados em outros diretórios para o aumento da sessão. Assim, atributos obtidos de uma fonte LDAP (Protocolo LDAP) podem ser injetados como cabeçalhos SSO para ajudar a controlar o acesso com base em funções, IDs de parceiros, e assim por diante.
Observação
Esse recurso não tem correlação com o Microsoft Entra ID, mas é outra fonte de atributo.
Política de Acesso Condicional
As políticas de Acesso Condicional são impostas após a pré-autenticação do Microsoft Entra. Essa ação controla o acesso com base no dispositivo, aplicativo, localização e sinais de risco.
A exibição Políticas Disponíveis lista as políticas de Acesso Condicional sem ações baseadas no usuário.
A exibição Políticas Selecionadas lista as políticas direcionadas aos aplicativos na nuvem. Não é possível desmarcar políticas impostas no nível do locatário nem movê-las para a lista de Políticas disponíveis.
Para selecionar uma política para o aplicativo que está sendo publicado:
- Na lista Políticas Disponíveis, selecione a política.
- Selecione a seta à direita.
- Mova a política para a lista de Políticas Selecionadas.
As políticas selecionadas têm uma opção Incluir ou Excluir marcada. Se ambas as opções estiverem marcadas, a política selecionada não será imposta.
Observação
A lista de políticas aparece quando você selecione inicialmente essa guia. Use o botão atualizar para consultar o locatário. A atualização aparece quando o aplicativo é implantado.
Propriedades do Servidor Virtual
Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual. Esse servidor escuta solicitações do cliente para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil de acesso do APM associado ao servidor virtual. O tráfego é direcionado de acordo com a política.
- Inserir um Endereço de Destino. Use o endereço IPv4/IPv6 que o BIG-IP usa para receber o tráfego do cliente. Um registro correspondente no DNS (servidor de nomes de domínio) que permita aos clientes resolver o URL externo, do aplicativo publicado pelo BIG-IP, para esse IP. Você pode usar um DNS localhost do computador de teste para teste.
- Em Porta de serviço, insira 443.
- Selecione HTTPS.
- Para Habilitar Porta de Redirecionamento, marque a caixa.
- Para Porta de Redirecionamento, insira um número e selecione HTTP. Essa opção redireciona o tráfego do cliente HTTP de entrada para HTTPS.
- Selecione o Perfil SSL do Cliente que você criou. Ou deixe o padrão para testar. O Perfil de SSL do Cliente habilita o servidor virtual para HTTPS, portanto, as conexões do cliente são criptografadas pelo protocolo TLS.
Propriedades de Pool
A guia Pool de Aplicativos possui serviços por trás de um BIG-IP, representados como um pool com servidores de aplicativos.
Para Selecionar um Pool, selecione Criar Novo ou selecione um pool.
Para o Método de Balanceamento de Carga, selecione Round Robin.
Para Servidores de Pool, selecione um nó de servidor ou insira um IP e uma porta para o nó de back-end que hospeda o aplicativo baseado em cabeçalho.
SSO (Logon Único) e Cabeçalhos HTTP
Use o SSO para permitir o acesso aos serviços publicados do BIG-IP sem inserir credenciais. O assistente de Botão Fácil oferece suporte a cabeçalhos de autorização Kerberos, Portador OAuth e HTTP para SSO. Para obter as instruções a seguir, você precisa da conta de delegação Kerberos criada.
Em Logon Único e Cabeçalhos HTTP, para Configurações Avançadas, selecione Ativado.
Para Tipo de Logon Único Selecionado, selecione Kerberos.
Para Origem do Nome de Usuário, insira uma variável de sessão como a origem da ID de usuário.
session.saml.last.identity
contém a declaração do Microsoft Entra com a ID de usuário conectado.A opção Origem do Realm do Usuário: é necessária se o domínio do usuário for diferente para o realm do BIG-IP kerberos. Portanto, a variável de sessão do APM contém o domínio de usuário conectado. Por exemplo,
session.saml.last.attr.name.domain
.Para KDC, insira um IP do controlador de domínio ou FQDN se o DNS estiver configurado.
Para Suporte a UPN, marque a caixa. O APM usa o nome principal de segurança (UPN) para a emissão de tíquetes do kerberos.
Para Padrão SPN, insira HTTP/%h. Essa ação informa o APM para usar o cabeçalho de host de solicitação do cliente e compilar o SPN (nome da entidade de serviço) para o qual está solicitando um token kerberos.
Para Enviar Autorização, desabilite a opção para aplicativos que negociam a autenticação. Por exemplo, Tomcat.
Gerenciamento da sessão
Use as configurações de gerenciamento de sessão do BIG-IP para definir as condições de encerramento ou continuação das sessões de usuário. As condições incluem limites para usuários e endereços IP, além das informações correspondentes de usuário.
Para saber mais, acesse my.f5.com para K18390492: Segurança | Guia de operações do APM do BIG-IP
O guia de operações não abrange o SLO (Logoff Único). Esse recurso garante que as sessões entre o IdP, o BIG-IP e o agente do usuário terminem quando os usuários se desconectarem. O Easy Button implanta um aplicativo SAML no locatário do Microsoft Entra. O recurso preenche a URL de Logoff com o ponto de extremidade SLO do APM. A saída iniciada pelo IdP do portal nos Meus Aplicativos encerra a sessão entre o BIG-IP e o cliente.
Durante a implantação, os metadados da federação SAML do aplicativo publicado são importados do locatário. Essa ação fornece ao APM o ponto de extremidade de saída do SAML para Microsoft Entra ID e ajuda a saúda iniciada pelo SP a encerrar o cliente e a sessão do Microsoft Entra.
Implantação
- Selecione Implantar.
- Verifique se o aplicativo está na lista de aplicativos empresariais do locatário.
- Com um navegador, conecte-se ao URL externo do aplicativo ou selecione o ícone do aplicativo em Meus Aplicativos.
- Autentique-se no Microsoft Entra ID.
- O redirecionamento leva você para o servidor virtual BIG-IP e conectado por meio do SSO.
Para aumentar a segurança, você pode bloquear o acesso direto ao aplicativo e impor um caminho pelo BIG-IP.
Implantação avançada
Às vezes, os modelos de Configuração Guiada não têm flexibilidade.
Saiba mais: Tutorial: configurar o Gerenciador de Política de Acesso F5 Big-IP para autenticação Kerberos.
Desabilitar o modo de gerenciamento estrito
Como alternativa, no BIG-IP, você pode desabilitar o modo de gerenciamento estrito de Configuração Guiada. Você pode alterar suas configurações manualmente, embora a maioria das configurações seja automatizada com modelos de assistente.
Navegue até Acesso > Configuração Guiada.
No final da linha para a configuração do aplicativo, selecione o cadeado.
Os objetos BIG-IP associados ao aplicativo publicado são desbloqueados para gerenciamento. Não é possível fazer alterações por meio a IU do assistente.
Observação
Para habilitar novamente o modo de gerenciamento estrito e implantar uma configuração que substitui as configurações fora da interface do usuário da Configuração Guiada, recomendamos o método de configuração avançada para os serviços de produção.
Solução de problemas
Se você não conseguir acessar o aplicativo protegido por SHA, confira as seguintes diretrizes de solução de problemas.
- O Kerberos é sensível ao tempo. Certifique-se de que os servidores e clientes sejam configurados com a hora correta e sincronizados com uma fonte de tempo confiável.
- Verifique se o nome do host do controlador de domínio e do aplicativo web sejam resolvidos no DNS.
- Confirme se não há SPNs duplicados no ambiente.
- Em um computador de domínio, na linha de comando, use a consulta:
setspn -q HTTP/my_target_SPN
- Em um computador de domínio, na linha de comando, use a consulta:
Para validar uma configuração de KCD do aplicativo de IIS (Serviços de Informações da Internet), confira Solucionar problemas de configurações de KCD para Proxy de Aplicativo
Acesse techdocs.f5.com para obter o método de logon único do Kerberos
Análise de Log
Detalhamento do log
O registro em log do BIG-IP isola problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis configurados incorretamente. Para iniciar a solução de problemas, aumente o detalhamento do log.
- Navegue até Política de Acesso Visão Geral>.
- Selecione Logs de Eventos.
- Selecione Configurações.
- Selecione a linha do aplicativo publicado.
- Selecione Editar.
- Selecione Acessar Logs do Sistema
- Na lista de SSO, selecione Depurar.
- Selecione OK.
- Reproduza o problema.
- Inspecionar os logs.
Quando a inspeção for concluída, reverta o detalhamento do log porque esse modo gera dados excessivos.
Mensagem de erro do BIG-IP
Se uma mensagem de erro do BIG-IP for exibida após a pré-autenticação do Microsoft Entra, o problema poderá estar relacionado ao SSO do Microsoft Entra ID para o BIG-IP.
- Navegue até Acesso > Visão Geral.
- Selecione Acessar relatórios.
- Execute o relatório da última hora.
- Inspecionar os logs.
Use o link Exibir variáveis da sessão da sessão atual para ver se o APM recebe as declarações esperadas do Microsoft Entra.
Nenhuma mensagem de erro do BIG-IP
Se nenhuma mensagem de erro do BIG-IP aparecer, o problema poderá estar relacionado à solicitação de back-end ou do BIG-IP para SSO de aplicativo.
- Navegue até Política de Acesso > Visão Geral.
- Selecione Sessões Ativas.
- Selecione o link para a sessão atual.
- Use o link Exibir Variáveis para identificar problemas de KCD, especialmente se o BIG-IP APM não obtiver identificadores de usuário e domínio corretos das variáveis de sessão.
Saiba mais:
- Vá para devcentral.f5.com para Exemplos de atribuição de variável do APM
- Acesse techdocs.f5.com para obter as Variáveis de sessão