Tutorial: Configurar o botão F5 BIG-IP Easy para SSO baseado em cabeçalho

Aprenda a proteger aplicativos baseados em cabeçalho com o Microsoft Entra ID, com F5 BIG-IP Easy Button Guided Configuration v16.1.

A integração de um BIG-IP com o Microsoft Entra ID oferece muitos benefícios, incluindo:

• Governança Zero Trust aprimorada por meio da pré-autenticação e acesso condicional do Microsoft Entra
  • Consulte O que é Acesso Condicional?
  • Veja, Segurança Zero Trust
• SSO completo entre o Microsoft Entra ID e os serviços publicados pelo BIG-IP
• Identidades gerenciadas e acesso a partir de um plano de controle
  • Consulte o centro de administração do Microsoft Entra

Saiba mais:

• Integre o F5 BIG-IP com o Microsoft Entra ID
• Habilitar o SSO para um aplicativo corporativo

Descrição do cenário

Este cenário abrange o aplicativo herdado usando cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido. O Legacy carece de protocolos modernos para suportar a integração direta com o Microsoft Entra ID. A modernização é cara, demorada e introduz risco de tempo de inatividade. Em vez disso, use um F5 BIG-IP Application Delivery Controller (ADC) para preencher a lacuna entre o aplicativo herdado e o plano de controle de ID moderno, com transição de protocolo.

Um big-IP na frente do aplicativo permite a sobreposição do serviço com pré-autenticação do Microsoft Entra e SSO baseado em cabeçalhos. Essa configuração melhora a postura geral de segurança do aplicativo.

Nota

As organizações podem ter acesso remoto a esse tipo de aplicativo com o proxy de aplicativo Microsoft Entra. Saiba mais: Acesso remoto a aplicativos locais por meio do proxy de aplicativo Microsoft Entra

Arquitetura do cenário

A solução SHA contém:

• Aplicação - Serviço publicado BIG-IP protegido pelo Microsoft Entra SHA
• Microsoft Entra ID - Provedor de identidade (IdP) SAML (Security Assertion Markup Language) que verifica as credenciais do usuário, Acesso Condicional e SSO baseado em SAML para o BIG-IP. Com o SSO, o Microsoft Entra ID fornece ao BIG-IP atributos de sessão.
• BIG-IP - proxy reverso e provedor de serviços SAML (SP) para o aplicativo, delegando autenticação ao IdP SAML antes de executar o SSO baseado em cabeçalho para o aplicativo back-end.

Para esse cenário, o SHA oferece suporte a fluxos iniciados por SP e IdP. O diagrama a seguir ilustra o fluxo iniciado pelo SP.

1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP).
2. A política de acesso BIG-IP APM redireciona o usuário para o Microsoft Entra ID (SAML IdP).
3. O Microsoft Entra pré-autentica o usuário e aplica políticas de Acesso Condicional.
4. O usuário é redirecionado para BIG-IP (SAML SP) e o SSO ocorre usando o token SAML emitido.
5. O BIG-IP injeta atributos do Microsoft Entra como cabeçalhos na solicitação do aplicativo.
6. O aplicativo autoriza a solicitação e retorna a carga útil.

Pré-requisitos

Para o cenário que você precisa:

• Uma assinatura do Azure
  • Se não tiver uma, obtenha uma conta gratuita do Azure
• Uma das seguintes funções: Administrador de aplicativos na nuvem ou Administrador de aplicativos
• Um BIG-IP ou implantar um BIG-IP Virtual Edition (VE) no Azure
  • Consulte Implantar a máquina virtual F5 BIG-IP Virtual Edition no Azure
• Qualquer uma das seguintes licenças F5 BIG-IP:
  • F5 BIG-IP® Melhor pacote
  • Licença autónoma F5 BIG-IP Access Policy Manager™ (APM)
  • F5 BIG-IP Access Policy Manager™ (APM) licença complementar em um BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Versão experimental completa de 90 dias do BIG-IP. Veja, Versões Experimentais Gratuitas
• Identidades de usuário sincronizadas de um diretório local para o ID do Microsoft Entra
  • Consulte Microsoft Entra Connect Sync: Compreender e personalizar a sincronização
• Um certificado da Web SSL para publicar serviços por HTTPS ou usar certificados BIG-IP padrão para teste
  • Veja, perfil SSL
• Um aplicativo baseado em cabeçalho ou configurar um aplicativo de cabeçalho do IIS para teste
  • Consulte Configurar um aplicativo de cabeçalho do IIS

Configuração BIG-IP

Este tutorial usa a Configuração Guiada v16.1 com um modelo de botão Fácil. Com o Botão Fácil, os administradores não vão mais para frente e para trás para ativar os serviços SHA. O assistente de Configuração Guiada e o Microsoft Graph lidam com a implantação e o gerenciamento de políticas. A integração do BIG-IP APM e do Microsoft Entra garante que os aplicativos suportem federação de identidade, SSO e Acesso Condicional.

Nota

Substitua cadeias de caracteres ou valores de exemplo por aqueles em seu ambiente.

Botão Registar Fácil

Antes de um cliente ou serviço acessar o Microsoft Graph, a plataforma de identidade da Microsoft deve confiar nele.

Saiba mais: Guia de início rápido: registre um aplicativo com a plataforma de identidade da Microsoft.

Crie um registro de aplicativo de locatário para autorizar o acesso do Botão Fácil ao Graph. Com essas permissões, o BIG-IP envia por push as configurações para estabelecer uma relação de confiança entre uma instância do SP SAML para o aplicativo publicado e o ID do Microsoft Entra como o IdP SAML.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Aplicativos de identidade>>

3. Em Gerir, selecione Registos de > aplicações Novo registo.

4. Insira um nome de aplicativo.

5. Especifique quem usa o aplicativo.

6. Selecione Contas somente neste diretório organizacional.

7. Selecione Registar.

8. Navegue até Permissões de API.

9. Autorize as seguintes permissões do Aplicativo Microsoft Graph:

   • Aplicação.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Grupo.Read.All
   • IdentityRiskyUser.Read.All
   • Política.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

10. Conceda consentimento de administrador para sua organização.

11. Em Certificados & Segredos, gere um novo Segredo do Cliente. Anote o Segredo do Cliente.

12. Em Visão geral, observe a ID do Cliente e a ID do Locatário.

Configurar o botão Fácil

1. Inicie a configuração guiada pelo APM.

2. Inicie o modelo Botão Fácil .

3. Navegue até Configuração guiada>acesso.

4. Selecione Integração Microsoft

5. Selecione Aplicativo Microsoft Entra.

6. Revise as etapas de configuração.

7. Selecione Seguinte.

8. Use a sequência de etapas ilustrada para publicar seu aplicativo.

   

Propriedades de Configuração

Use a guia Propriedades de configuração para criar uma configuração de aplicativo BIG-IP e um objeto SSO. Os Detalhes da Conta de Serviço do Azure representam o cliente que você registrou no locatário do Microsoft Entra. Use as configurações do cliente BIG-IP OAuth para registrar uma controladora de armazenamento SAML em seu locatário, com propriedades SSO. O Easy Button executa esta ação para serviços BIG-IP publicados e ativados para SHA.

Você pode reutilizar as configurações para publicar mais aplicativos.

1. Insira um Nome de Configuração.
2. Para Single Sign-On (SSO) & HTTP Headers, selecione On.
3. Em ID do Inquilino, ID do Cliente e Segredo do Cliente, insira o que você anotou.
4. Confirme se o BIG-IP se conecta ao seu locatário.
5. Selecione Seguinte

Fornecedor de Serviços

Em Configurações do provedor de serviços, defina as configurações de instância do SP SAML para o aplicativo protegido por SHA.

1. Insira um Host, o FQDN público do aplicativo.

2. Insira um ID de entidade, o identificador que o Microsoft Entra ID usa para identificar a controladora de armazenamento SAML que solicita um token.

3. (Opcional) Em Configurações de Segurança, selecione Habilitar Declaração de Criptografia para permitir que o Microsoft Entra ID criptografe asserções SAML emitidas. As asserções de criptografia Microsoft Entra ID e BIG-IP APM ajudam a garantir que os tokens de conteúdo não sejam intercetados, nem dados pessoais ou corporativos comprometidos.

4. Em Configurações de Segurança, na lista Chave Privada de Descriptografia de Asserção, selecione Criar Novo.

   

5. Selecione OK.

6. A caixa de diálogo Importar Certificado SSL e Chaves é exibida.

7. Em Tipo de importação, selecione PKCS 12 (IIS). Esta ação importa o certificado e a chave privada.

8. Em Nome do certificado e da chave, selecione Novo e insira a entrada.

9. Introduza a palavra-passe.

10. Selecione Importar.

11. Feche a guia do navegador para retornar à guia principal.

12. Marque a caixa para Ativar declaração criptografada.
13. Se tiver ativado a encriptação, na lista Chave Privada de Desencriptação de Asserção, selecione o certificado. O BIG-IP APM usa essa chave privada de certificado para descriptografar as asserções do Microsoft Entra.
14. Se tiver ativado a encriptação, na lista Certificado de Desencriptação de Asserção , selecione o certificado. O BIG-IP carrega este certificado para o Microsoft Entra ID para criptografar as asserções SAML emitidas.

Microsoft Entra ID

Use as instruções a seguir para configurar um novo aplicativo BIG-IP SAML em seu locatário do Microsoft Entra. O Easy Button tem modelos de aplicativos para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e um modelo SHA genérico.

1. Em Configuração do Azure, em Propriedades de Configuração, selecione F5 BIG-IP APM Microsoft Entra ID Integration.
2. Selecione Adicionar.

Configuração do Azure

1. Insira um nome de exibição do aplicativo que o BIG-IP cria no locatário do Microsoft Entra. Os usuários veem o nome, com um ícone, no Microsoft My Apps.

2. Ignorar URL de início de sessão (opcional).

3. Ao lado de Chave de Assinatura e Certificado de Assinatura, selecione Atualizar para localizar o certificado importado.

4. Em Senha da chave de assinatura, insira a senha do certificado.

5. (Opcional) Habilite a opção de assinatura para garantir que o BIG-IP aceite tokens e declarações assinadas pela ID do Microsoft Entra.

   

6. A entrada para usuários e grupos de usuários é consultada dinamicamente.

   Importante

   Adicione um usuário ou grupo para teste, caso contrário, todo o acesso será negado. Em Usuários e Grupos de Usuários, selecione + Adicionar.

   

Atributos do usuário & Declarações

Quando um usuário se autentica, o Microsoft Entra ID emite um token SAML com declarações e atributos que identificam o usuário. A guia Atributos do Usuário & Declarações tem declarações padrão para o aplicativo. Use a guia para configurar mais declarações.

Inclua mais um atributo:

1. Em Nome do cabeçalho, insira employeeid.

2. Em Source Attribute, insira user.employeeid.

   

Atributos de usuário adicionais

Na guia Atributos de Usuário Adicionais, habilite o aumento da sessão. Use esse recurso para sistemas distribuídos, como Oracle, SAP e outras implementações JAVA que exigem atributos para serem armazenados em outros diretórios. Os atributos obtidos de uma fonte LDAP (Lightweight Directory Access Protocol) são injetados como mais cabeçalhos SSO. Essa ação ajuda a controlar o acesso com base em funções, IDs de parceiros e assim por diante.

Nota

Este recurso não tem correlação com o Microsoft Entra ID. É uma fonte de atributos. 

Política de Acesso Condicional

As políticas de Acesso Condicional controlam o acesso com base no dispositivo, aplicativo, localização e sinais de risco.

• Em Políticas Disponíveis, localize Políticas de Acesso Condicional sem ações do usuário
• Em Políticas selecionadas, encontre a política de aplicativos na nuvem
  • Não é possível desmarcar essas políticas ou movê-las para Políticas Disponíveis porque elas são impostas em um nível de locatário

Para selecionar uma política a ser aplicada ao aplicativo que está sendo publicado:

1. Na guia Política de Acesso Condicional, na lista Políticas Disponíveis, selecione uma política.
2. Selecione a seta para a direita e mova-a para a lista Políticas selecionadas.

Nota

Você pode selecionar a opção Incluir ou Excluir para uma política. Se ambas as opções forem selecionadas, a política não será aplicada.

Nota

A lista de políticas aparece quando você seleciona a guia Política de Acesso Condicional. Selecione atualizar e o assistente consulta o locatário. A atualização aparece depois que um aplicativo é implantado.

Propriedades do Virtual Server

Um servidor virtual é um objeto de plano de dados BIG-IP, representado por um endereço IP virtual. O servidor escuta as solicitações dos clientes para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil APM associado ao servidor virtual. O tráfego é direcionado de acordo com a política.

1. Em Endereço de destino, insira um endereço IPv4 ou IPv6 que o BIG-IP usa para receber o tráfego do cliente. Certifique-se de um registro correspondente no servidor de nomes de domínio (DNS) que permita aos clientes resolver a URL externa, do aplicativo publicado BIG-IP, para esse IP. Você pode usar o DNS do host local do computador para teste.

2. Em Porta de serviço, digite 443 e selecione HTTPS.

3. Marque a caixa Ativar porta de redirecionamento.

4. Insira um valor para Porta de redirecionamento. Esta opção redireciona o tráfego de entrada do cliente HTTP para HTTPS.

5. Selecione o Perfil SSL do Cliente que você criou ou deixe o padrão para teste. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, para que as conexões do cliente sejam criptografadas por TLS.

   

Propriedades da piscina

A guia Pool de Aplicativos tem serviços por trás de um BIG-IP, representado como um pool, com um ou mais servidores de aplicativos.

1. Em Selecionar um pool, selecione Criar novo ou selecione outro.

2. Para Método de Balanceamento de Carga, selecione Round Robin.

3. Para Servidores de Pool, selecione um nó ou um endereço IP e uma porta para o servidor que hospeda o aplicativo baseado em cabeçalho.

   

   Nota

   O aplicativo back-end da Microsoft está na porta HTTP 80. Se você selecionar HTTPS, use 443.

Logon único & cabeçalhos HTTP

Com o SSO, os usuários acessam os serviços publicados pelo BIG-IP sem inserir credenciais. O assistente Easy Button suporta Kerberos, OAuth Bearer e cabeçalhos de autorização HTTP para SSO.

1. Em Logon Único & Cabeçalhos HTTP, em Cabeçalhos SSO, para Operação de Cabeçalho, selecione Inserir

2. Para Nome do cabeçalho, use upn.

3. Para Valor do Cabeçalho, use %{session.saml.last.identity}.

4. Em Operação de cabeçalho, selecione inserir.

5. Para Nome do cabeçalho, use employeeid.

6. Para Valor do Cabeçalho, use %{session.saml.last.attr.name.employeeid}.

   

   Nota

   As variáveis de sessão APM entre colchetes diferenciam maiúsculas de minúsculas. Inconsistências causam falhas no mapeamento de atributos.

Gestão de Sessões

Use as configurações de gerenciamento de sessão BIG-IP para definir condições para o término ou a continuação das sessões do usuário.

Para saber mais, acesse support.f5.com para K18390492: Segurança | Guia de operações do BIG-IP APM

O log-out único (SLO) garante que as sessões de IdP, BIG-IP e agente do usuário sejam encerradas quando os usuários saírem. Quando o Botão Fácil instancia um aplicativo SAML em seu locatário do Microsoft Entra, ele preenche a URL de saída com o ponto de extremidade SLO do APM. A saída iniciada pelo IdP de Meus Aplicativos encerra sessões de BIG-IP e cliente.

Saiba mais: consulte, Meus aplicativos

Os metadados de federação SAML para o aplicativo publicado são importados do seu locatário. A importação fornece ao APM o ponto de extremidade de saída SAML para o Microsoft Entra ID. Essa ação garante que a saída iniciada pelo SP encerre as sessões do cliente e do Microsoft Entra. Verifique se o APM sabe quando ocorre o logout do usuário.

Se o portal do webtop BIG-IP acessar aplicativos publicados, o eAPM processará o logout para chamar o ponto de extremidade de saída do Microsoft Entra. Se o portal do webtop BIG-IP não for usado, os usuários não poderão instruir o APM a sair. Se os usuários saírem do aplicativo, o BIG-IP será esquecido. Assim, certifique-se de que a saída iniciada pelo SP encerre as sessões com segurança. Você pode adicionar uma função SLO a um aplicativo Botão Sair , Em seguida, os clientes são redirecionados para o ponto de extremidade de saída do Microsoft Entra SAML ou BIG-IP. Para localizar a URL do ponto de extremidade de saída do SAML para seu locatário, vá para > de extremidade de registros de aplicativos.

Se não for possível alterar o aplicativo, habilite o BIG-IP para ouvir a chamada de saída do aplicativo e acionar o SLO.

Saiba mais:

• Logout único PeopleSoft
• Ir para support.f5.com para:
  • K42052145: Configurando o encerramento automático da sessão (logout) com base em um nome de arquivo referenciado por URI
  • K12056: Visão geral da opção Incluir URI de logout.

Implementar

A implantação fornece um detalhamento de suas configurações.

1. Para confirmar as configurações, selecione Implantar.
2. Verifique o aplicativo em sua lista de locatários de aplicativos Enterprise.
3. O aplicativo é publicado e acessível via SHA, com sua URL, ou em portais de aplicativos da Microsoft.

Teste

1. Em um navegador, conecte-se à URL externa do aplicativo ou selecione o ícone do aplicativo em Meus Aplicativos.
2. Autentique-se no Microsoft Entra ID.
3. Ocorre um redirecionamento para o servidor virtual BIG-IP do aplicativo e conectado com SSO.

A captura de tela a seguir é a saída de cabeçalhos injetados do aplicativo baseado em cabeçalho.

Nota

Você pode bloquear o acesso direto ao aplicativo, impondo assim um caminho através do BIG-IP.

Implementação avançada

Para alguns cenários, os modelos de Configuração Guiada carecem de flexibilidade.

Saiba mais: Tutorial: Configurar o F5 BIG-IP Access Policy Manager para SSO baseado em cabeçalho.

No BIG-IP, você pode desativar o modo de gerenciamento estrito Configuração Guiada. Em seguida, altere manualmente as configurações, no entanto, a maioria das configurações é automatizada com modelos de assistente.

1. Para desativar o modo estrito, navegue até Configuração guiada>Access.

2. Na linha da configuração do aplicativo, selecione o ícone de cadeado .

3. Os objetos BIG-IP associados à instância publicada do aplicativo são desbloqueados para gerenciamento. Alterações com o assistente não são mais possíveis.

   

   Nota

   Se você reativar o modo estrito e implantar uma configuração, a ação substituirá as configurações que não estão na Configuração guiada. Recomendamos a configuração avançada para serviços de produção.

Resolução de Problemas

Use as orientações a seguir ao solucionar problemas.

Verborrácia do log

Os logs BIG-IP ajudam a isolar problemas com conectividade, SSO, política ou mapeamentos de variáveis mal configurados. Para solucionar problemas, aumente a verbosidade do log.

1. Navegue até Visão geral da política > de acesso.
2. Selecione Logs de eventos.
3. Selecione Definições.
4. Selecione a linha do seu aplicativo publicado
5. Selecione Editar.
6. Selecione Acessar logs do sistema.
7. Na lista SSO, selecione Depurar.
8. Selecione OK.
9. Reproduza o problema.
10. Inspecione os registros.

Nota

Reverta esse recurso quando terminar. O modo detalhado gera dados excessivos.

Mensagem de erro BIG-IP

Se uma mensagem de erro BIG-IP aparecer após a pré-autenticação do Microsoft Entra, o problema pode estar relacionado ao Microsoft Entra ID-to-BIG-IP SSO.

1. Navegue até Visão geral da política > de acesso.
2. Selecione Acessar relatórios.
3. Execute o relatório na última hora.
4. Revise os logs para obter pistas.

Use o link Exibir variáveis de sessão , para a sessão, para ajudar a entender se o APM recebe declarações esperadas do Microsoft Entra.

Nenhuma mensagem de erro BIG-IP

Se nenhuma mensagem de erro BIG-IP for exibida, o problema pode estar relacionado à solicitação de back-end ou ao SSO BIG-IP para aplicativo.

1. Navegue até Visão geral da política > de acesso.
2. Selecione Sessões ativas.
3. Selecione o link da sessão ativa.

Use o link Exibir variáveis para ajudar a determinar problemas de SSO, especialmente se o BIG-IP APM não obtiver os atributos corretos.

Saiba mais:

• Configurando a autenticação remota LDAP para o Ative Directory
• Ir para techdocs.f5.com para o Capítulo Manual: Consulta LDAP