Руководство по настройке диспетчера политик доступа F5 BIG-IP для единого входа на основе заголовков

Узнайте, как реализовать безопасный гибридный доступ (SHA) с единым входом в приложения на основе заголовков с помощью расширенной конфигурации F5 BIG-IP. Опубликованные приложения BIG-IP и преимущества конфигурации Microsoft Entra:

• Улучшено управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и условного доступа
  • Смотрите, что такое условный доступ?
  • См. безопасность нулевого доверия
• Полный единый вход между идентификатором Microsoft Entra ID и опубликованными службами BIG-IP
• Управляемые удостоверения и доступ из одной плоскости управления
  • См. Центр администрирования Microsoft Entra

Подробнее:

• Интеграция F5 BIG-IP с идентификатором Microsoft Entra
• Включение единого входа для корпоративного приложения

Описание сценария

В этом сценарии существует устаревшее приложение, использующее заголовки авторизации HTTP для управления доступом к защищенному содержимому. В идеале идентификатор Microsoft Entra управляет доступом к приложению. Однако устаревшие версии не имеют современного протокола проверки подлинности. Модернизация требует усилий и времени, а также введение затрат и рисков простоя. Вместо этого разверните BIG-IP между общедоступным Интернетом и внутренним приложением для шлюза входящего доступа к приложению.

Big-IP перед приложением включает наложение службы с предварительной проверку подлинности Microsoft Entra и единый вход на основе заголовков. Конфигурация улучшает состояние безопасности приложения.

Архитектура сценария

Решение безопасного гибридного доступа для этого сценария состоит из следующих элементов:

• Приложение — опубликованная служба BIG-IP для защиты microsoft Entra SHA
• Идентификатор Microsoft Entra — поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход в BIG-IP
  • С помощью единого входа Идентификатор Microsoft Entra предоставляет атрибуты сеанса BIG-IP, включая идентификаторы пользователей.
• BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение, делегируя проверку подлинности в поставщике удостоверений SAML перед единым входом на основе заголовков в серверное приложение.

На следующей схеме показан поток пользователя с идентификатором Microsoft Entra ID, BIG-IP, APM и приложением.

1. Пользователь подключается к конечной точке SAML SP приложения (BIG-IP).
2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
3. Пользователь Microsoft Entra предварительно выполняет проверку подлинности и применяет политики УсловнойAccess.
4. Пользователь перенаправляется в BIG-IP (SAML SP) и выполняется единый вход с использованием выданного токена SAML.
5. BIG-IP внедряет атрибуты Microsoft Entra в качестве заголовков в запросе к приложению.
6. Приложение авторизует запрос и возвращает полезные данные.

Необходимые компоненты

Для сценария, который требуется:

• Подписка Azure
  • Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• Одна из следующих ролей: администратор облачных приложений или администратор приложений
• BIG-IP или развертывание виртуального выпуска BIG-IP (VE) в Azure
  • См. статью " Развертывание виртуальной машины F5 BIG-IP Virtual Edition" в Azure
• Любая из следующих лицензий F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • отдельная лицензия F5 BIG-IP Access Policy Manager™ (APM).
  • Надстройка F5 BIG-IP Access Policy Manager™ (APM) на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
  • 90-дневная пробная версия BIG-IP. См. бесплатные пробные версии.
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra
  • Синхронизация Microsoft Entra Connect: общие сведения и настройка синхронизации
• SSL-сертификат для публикации служб по протоколу HTTPS или использования сертификатов по умолчанию во время тестирования
  • См. профиль SSL
• Приложение на основе заголовков или приложение заголовка IIS для тестирования

Метод конфигурации BIG-IP

Следующие инструкции — это расширенный метод конфигурации, гибкий способ реализации SHA. Вручную создайте объекты конфигурации BIG-IP. Используйте этот метод для сценариев, не включенных в шаблоны управляемой конфигурации.

Примечание.

Замените примеры строк или значений этими строками из вашей среды.

Добавление F5 BIG-IP из коллекции Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы реализовать SHA, первым шагом является настройка доверия федерации SAML между BIG-IP APM и Идентификатором Microsoft Entra. Доверие устанавливает интеграцию ДЛЯ BIG-IP для передачи предварительной проверки подлинности и условного доступа к идентификатору Microsoft Entra ID перед предоставлением доступа к опубликованной службе.

Дополнительные сведения: Что такое условный доступ?

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к приложениям>

3. На верхней ленте нажмите кнопку +Создать приложение.

4. В коллекции найдите F5.

5. Выберите F5 BIG-IP APM Microsoft Entra ID integration.

6. Введите имя приложения.

7. Нажмите кнопку "Добавить/создать".

8. Имя отражает службу.

Настройка единого входа Microsoft Entra

1. Отображаются новые свойства приложения F5

2. Выберите " Управление единым>входом"

3. На странице Выбрать метод единого входа выберите SAML.

4. Пропустите запрос, чтобы сохранить параметры единого входа.

5. Нажмите кнопку "Нет", я сохраните позже.

6. Настроив единый вход в SAML, для базовой конфигурации SAML щелкните значок пера.

7. Замените URL-адрес идентификатора URL-адресом опубликованной службы BIG-IP. Например: https://mytravel.contoso.com

8. Повторите для URL-адреса ответа и включите путь конечной точки APM SAML. Например: https://mytravel.contoso.com/saml/sp/profile/post/acs

   Примечание.

   В этой конфигурации поток SAML работает в режиме поставщика удостоверений: идентификатор Microsoft Entra выдает пользователю утверждение SAML перед перенаправлением в конечную точку службы BIG-IP для приложения. APM BIG-IP поддерживает режимы поставщика удостоверений и sp.

9. Для URI выхода введите конечную точку единого выхода APM BIG-IP (SLO), предустановленную заголовком узла службы. Универсальный код ресурса (URI) SLO гарантирует завершение сеансов APM для пользователей BIG-IP после выхода Microsoft Entra. Например https://mytravel.contoso.com/saml/sp/profile/redirect/slr

   

   Примечание.

   Начиная с операционной системы управления трафиком (TMOS) версии 16, конечная точка SAML SLO изменилась на /saml/sp/profile/redirect/slo.

10. Выберите Сохранить.

11. Выйти из конфигурации SAML.

12. Пропустите запрос на тестирование единого входа.

13. Чтобы изменить атрибуты пользователя и утверждения > и добавить новое утверждение, щелкните значок пера.

14. Для параметра "Имя" выберите Employeeid.

15. Для атрибута источника выберите user.employeeid.

16. Выберите Сохранить

17. Выбор и добавление утверждения группы
18. Выберите группы, назначенные атрибуту>sAMAccountName.

19. Нажмите кнопку "Сохранить конфигурацию".
20. Закройте представление.
21. Просмотрите свойства раздела "Атрибуты пользователя" и "Утверждения ". Идентификатор Microsoft Entra выдает свойства пользователей для проверки подлинности BIG-IP APM и единого входа в серверное приложение.

Примечание.

Добавьте другие утверждения, опубликованное приложение BIG-IP, ожидается в качестве заголовков. Более определенные утверждения выдаются, если они находятся в идентификаторе Microsoft Entra. Определите членство в каталоге и объекты пользователей в идентификаторе Microsoft Entra перед выдачой утверждений. См. инструкции по настройке утверждений группы для приложений с помощью идентификатора Microsoft Entra.

22. В разделе сертификата подписи SAML выберите "Скачать".
23. XML-файл метаданных федерации сохраняется на компьютере.

Сертификаты подписывания SAML, созданные идентификатором Microsoft Entra, имеют срок действия трех лет.

Авторизация Microsoft Entra

По умолчанию идентификатор Microsoft Entra выдает маркеры для пользователей, которым предоставлен доступ к приложению.

1. В представлении конфигурации приложения выберите Пользователи и группы.
2. Выберите +Добавить пользователя и в разделе "Добавить назначение", выберите "Пользователи" и "Группы".
3. В диалоговом окне "Пользователи и группы" добавьте группы пользователей, авторизованные для доступа к приложению на основе заголовков.
4. Выберите Выбрать.
5. Выберите Назначить.

Доверие федерации Microsoft Entra SAML завершено. Затем настройте BIG-IP APM для публикации веб-приложения, настроенного с помощью свойств для завершения доверия предварительной проверки подлинности SAML.

Расширенная конфигурация

Используйте следующие разделы, чтобы настроить SAML, единый вход заголовка, профиль доступа и многое другое.

Настройка SAML

Чтобы настроить опубликованное приложение с идентификатором Microsoft Entra, создайте поставщик услуг SAML BIG-IP и соответствующие объекты поставщика удостоверений SAML.

1. Выберите Access>Federation>SAML Service Provider>Local SP Services>Create (Доступ > Федерация > Поставщик службы SAML > Локальные службы поставщика службы > Создать).

   

2. Введите Имя.

3. Введите идентификатор сущности, определенный в идентификаторе Microsoft Entra.

   

4. Для параметров имени субъекта-службы сделайте выбор, если идентификатор сущности не соответствует имени узла опубликованного URL-адреса или делает выбор, если он не имеет регулярного формата URL-адреса на основе имени узла. Укажите внешнюю схему и имя узла приложения, если идентификатор сущности.urn:mytravel:contosoonline

5. Прокрутите вниз, чтобы выбрать новый объект SAML SP.

6. Выберите ).

   

7. Выберите "Создать соединитель поставщика удостоверений".

8. В раскрывающемся списке выберите "Из метаданных".

   

9. Перейдите к скачанной XML-файлу метаданных федерации.

10. Введите имя поставщика удостоверений для объекта APM для внешнего поставщика удостоверений SAML IdP. Например: MyTravel_EntraID

11. Выберите " Добавить новую строку".
12. Выберите новый соединитель поставщика удостоверений SAML.
13. Выберите Обновить.

14. Нажмите ОК.

Настройка единого входа на основе заголовков

Создайте объект единого входа APM.

1. Выберите >" или "Политики>для каждого запроса".>

2. Введите Имя.

3. Добавьте хотя бы один принятый язык.

4. Щелкните Готово.

   

5. Для новой политики для каждого запроса нажмите кнопку "Изменить".

   

6. Запускается редактор визуальных политик.

7. В резервном списке+ выберите символ.

   

8. На вкладке "Общего назначения" выберите "Добавить элемент" заголовков>HTTP.

   

9. Выберите " Добавить новую запись".

10. Создайте три записи изменения HTTP и заголовка.

11. В поле "Имя заголовка" введите upn.

12. Для значения заголовка введите %{session.saml.last.identity}.

13. В поле "Имя заголовка" введите employeeid.

14. В поле "Значение заголовка" введите %{session.saml.last.attr.name.employeeid}.

15. В поле "Имя заголовка" введите group_authz.

16. Для значения заголовка введите %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Примечание.

Переменные сеанса APM в фигурных скобках чувствительны к регистру. Мы рекомендуем определить атрибуты в нижнем регистре.

17. Выберите Сохранить.
18. Закройте редактор визуальной политики.

Конфигурация профиля доступа

Профиль доступа связывает многие элементы APM, управляющие доступом к виртуальным серверам BIG-IP, включая политики доступа, конфигурацию единого входа и параметры пользовательского интерфейса.

1. Выберите профили доступа>и профили доступа политик (политики>Создать.

2. В поле "Имя" введите MyTravel.

3. Для типа профиля выберите "Все".

4. Для принятого языка выберите по крайней мере один язык.

5. нажмите кнопку "Готово".

   

6. Для созданного профиля для каждого сеанса нажмите кнопку "Изменить".

   

7. Запускается редактор визуальных политик.

8. В резервном списке + выберите символ.

   

9. Выберите элемент проверки подлинности>SAML Auth.>

   

10. Для конфигурации службы проверки подлинности SAML в раскрывающемся списке сервера AAA выберите созданный объект SAML SP.

11. Выберите Сохранить.

Сопоставление атрибутов

Следующие инструкции являются необязательными. При настройке LogonID_Mapping список активных сеансов BIG-IP содержит имя участника-пользователя (UPN), а не номер сеанса. Используйте эти данные при анализе журналов или устранении неполадок.

1. Для ветви проверки подлинности SAML Успешно выберите + символ.

   

2. Во всплывающем итоге выберите >>элемент добавления.

   

3. Введите Имя.

4. В разделе "Назначение переменной" выберите >". Например, LogonID_Mapping.

   

5. Для пользовательской переменной задайте значение session.saml.last.identity.

6. Для переменной сеанса задайте имя пользователя session.logon.last.username.

7. Щелкните Готово.

8. Выберите Сохранить.

9. В ветви "Политика доступа" выберите терминал "Запретить ".

10. Выберите Разрешить.

11. Выберите Сохранить.

12. Выберите " Применить политику доступа".

13. Закройте редактор визуальной политики.

Конфигурация внутреннего пула

Чтобы обеспечить правильную пересылку трафика клиента BIG-IP, создайте объект узла APM, представляющий серверный сервер, на котором размещено приложение. Поместите узел в пул APM.

1. Выберите > списка > пулов локальных пулов > трафика.

2. Для объекта пула серверов введите имя. Например, MyApps_VMs.

   

3. Добавьте объект члена пула.

4. В поле "Имя узла" введите имя сервера, на котором размещено серверное веб-приложение.

5. В поле "Адрес" введите IP-адрес сервера, на котором размещено приложение.

6. Для порта службы введите порт HTTP/S, который приложение прослушивает.

7. Выберите Добавить.

   

   Примечание.

   Дополнительные сведения см. в статье my.f5.com для K13397: обзор форматирования запросов монитора работоспособности HTTP для системы DNS BIG-IP.

Конфигурация виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом, который прослушивает клиентские запросы в приложении. Полученный трафик обрабатывается и оценивается с помощью профиля доступа APM, связанного с виртуальным сервером. Трафик направляется в соответствии с политикой.

1. Выберите Local Traffic (Локальный трафик) >Virtual Servers (Виртуальные серверы) >Virtual Server List (Список виртуальных серверов) >Создать.

2. Введите имя виртуального сервера.

3. Для адреса назначения или маски выберите узел

4. Введите неиспользуемый IP-адрес IPv4 или IPv6, который будет назначен BIG-IP для получения трафика клиента.

5. Для порта службы выберите порт, 443 и HTTPS.

   

6. Для профиля HTTP (клиент) выберите http.

7. Для профиля SSL (клиента) выберите созданный профиль SSL клиента или оставьте значение по умолчанию для тестирования.

   

8. Для перевода исходных адресов выберите "Автоматическая карта".

   

9. Для политики доступа выберите профиль доступа, созданный ранее. Это действие привязывает профиль предварительной проверки подлинности Microsoft Entra SAML и политики единого входа к виртуальному серверу.

10. Для политики каждого запроса выберите SSO_Headers.

11. Для пула по умолчанию выберите созданные объекты внутреннего пула.
12. Щелкните Готово.

Управление сеансом

Используйте параметр управления сеансами BIG-IP, чтобы определить условия прекращения сеанса пользователя или продолжения сеанса. Создайте политику с профилями доступа к политике>доступа. Выберите приложение из списка.

В отношении функциональных возможностей SLO URI в идентификаторе Microsoft Entra id гарантирует выход, инициированный поставщиком удостоверений на портале MyApps, завершает сеанс между клиентом и APM BIG-IP. Импортированная федерация приложений metadata.xml предоставляет APM с конечной точкой выхода Microsoft Entra SAML для выхода, инициированного поставщиком служб. Таким образом, включите APM, чтобы узнать, когда пользователь выходит из сети.

Если веб-портал BIG-IP отсутствует, пользователь не может указать APM выйти. Если пользователь выходит из приложения, BIG-IP не соответствует действию. Сеанс приложения можно восстановить с помощью единого входа. Поэтому выход, инициированный поставщиком службы, требует тщательного рассмотрения.

Чтобы обеспечить безопасное завершение сеансов, добавьте функцию SLO в кнопку выхода приложения. Включите его для перенаправления клиента в конечную точку выхода Microsoft Entra SAML. Для конечной точки выхода SAML для клиента перейдите к конечным точкам регистрации приложений>.

Если вы не можете изменить приложение, включите BIG-IP для прослушивания вызова выхода приложения и активации SLO. Чтобы получить дополнительные сведения, обратитесь к разделу

• Перейдите к support.f5.com для K42052145: настройка автоматического завершения сеанса (выход) на основе имени файла, на который ссылается URI
• Перейдите к my.f5.com для K12056: обзор параметра "Включить URI выхода"

Развернуть

1. Выберите "Развернуть " для фиксации параметров.
2. Убедитесь, что приложение отображается в клиенте.
3. Приложение публикуется и доступно с помощью SHA с его URL-адресом или порталами Майкрософт.

Тест

Выполните следующий тест от имени пользователя.

1. Выберите внешний URL-адрес приложения или на портале MyApps щелкните значок приложения.
2. Проверка подлинности в идентификаторе Microsoft Entra.
3. Перенаправление происходит на виртуальный сервер BIG-IP для приложения и вход с помощью единого входа.
4. Выходные данные внедренного заголовка отображаются приложением на основе заголовков.

Для повышения безопасности блокируйте прямой доступ к приложению, применяя путь через BIG-IP.

Устранение неполадок

Используйте следующие рекомендации по устранению неполадок.

Детализация журнала

Журналы BIG-IP содержат сведения, помогающие изолировать проверку подлинности и проблемы единого входа. Увеличьте уровень детализации журнала:

1. Перейдите в журналы>политики>доступа.
2. Выберите Параметры.
3. Выберите строку опубликованного приложения.
4. Выберите "Изменить>журналы системы доступа".
5. В списке единого входа выберите "Отладка".
6. Нажмите ОК.
7. Воспроизведите проблему.
8. Просмотрите журналы.
9. По завершении верните параметры.

Сообщение об ошибке BIG-IP

Если ошибка BIG-IP появляется после перенаправления, проблема, скорее всего, связана с единым входом из идентификатора Microsoft Entra к BIG-IP.

1. Перейдите к обзору политики>доступа.
2. Выберите отчеты Access.
3. Запустите отчет за последний час.
4. Просмотрите журналы для получения подсказок.
5. Для сеанса выберите ссылку "Просмотр переменных сеанса ".
6. Убедитесь, что APM получает ожидаемые утверждения от идентификатора Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если сообщение об ошибке BIG-IP не отображается, проблема, вероятно, больше связана с единым входом из BIG-IP в серверное приложение.

1. Перейдите к обзору политики>доступа.
2. Выберите активные сеансы.
3. Щелкните ссылку для активного сеанса.
4. Выберите ссылку "Просмотр переменных", чтобы определить все проблемы единого входа.
5. Убедитесь, что APM BIG-IP завершается ошибкой или успешно получает правильные идентификаторы пользователя и домена.

Подробнее:

• Перейдите к devcentral.f5.com для переменной APM, чтобы назначить примеры
• Перейдите к techdocs.f5.com диспетчеру политик доступа BIG-IP: редактор визуальных политик

Ресурсы

• Проверка подлинности без пароля
• Что такое условный доступ?
• Модель "Никому не доверяй" для удаленной работы