Руководство по настройке простого входа F5 BIG-IP для единого входа в SAP ERP

Из этой статьи вы узнаете, как защитить sap Enterprise Resource Planning (ERP) с помощью идентификатора Microsoft Entra с помощью клавиши F5 BIG-IP Easy Configuration 16.1. Интеграция BIG-IP с идентификатором Microsoft Entra ID имеет множество преимуществ:

• Модель "Никому не доверяй" для удаленной работы
• Что такое условный доступ?
• Единый вход между опубликованными службами Microsoft Entra ID и BIG-IP
• Управление удостоверениями и доступом из Центра администрирования Microsoft Entra

Подробнее:

• Интеграция F5 BIG-IP с идентификатором Microsoft Entra
• Включите единый вход для корпоративного приложения.

Описание сценария

Этот сценарий включает приложение SAP ERP с помощью проверки подлинности Kerberos для управления доступом к защищенному содержимому.

Устаревшие приложения не имеют современных протоколов для поддержки интеграции с идентификатором Microsoft Entra. Модернизация является дорогостоящим, требует планирования и приводит к потенциальному риску простоя. Вместо этого используйте контроллер доставки приложений F5 BIG-IP (ADC), чтобы преодолеть разрыв между устаревшим приложением и современной плоскостей управления идентификаторами путем перехода протокола.

Big-IP перед приложением включает наложение службы с помощью предварительной проверки подлинности Microsoft Entra и единого входа на основе заголовков. Эта конфигурация улучшает общую безопасность приложений.

Архитектура сценария

Решение для безопасного гибридного доступа (SHA) содержит следующие компоненты:

• Приложение SAP ERP — опубликованная служба BIG-IP, защищенная Microsoft Entra SHA
• Идентификатор Microsoft Entra — поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход на основе SAML в BIG-IP
• BIG-IP — обратный прокси-сервер и поставщик служб SAML (SP) в приложение. Делегирование проверки подлинности BIG-IP для поставщика удостоверений SAML затем выполняет единый вход на основе заголовков в службу SAP.

SHA поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующем рисунке показан поток, инициированный поставщиком службы.

1. Пользователь подключается к конечной точке приложения (BIG-IP).
2. Политика доступа диспетчера политик доступа BIG-IP (APM) перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP).
3. Идентификатор Microsoft Entra ID предварительно выполняет проверку подлинности пользователя и применяет примененные политики условного доступа.
4. Пользователь перенаправляется на BIG-IP (SAML SP), а единый вход возникает с выданным токеном SAML.
5. Big-IP запрашивает билет Kerberos из центра распространения ключей (KDC).
6. BIG-IP отправляет запрос в серверное приложение с билетом Kerberos для единого входа.
7. Приложение авторизует запрос и возвращает полезные данные.

Необходимые компоненты

• Бесплатная учетная запись Microsoft Entra ID Free или более поздняя
  • Если у вас нет учетной записи Azure, получите бесплатную учетную запись Azure.
• Большой IP-адрес или виртуальный выпуск BIG-IP (VE) в Azure
  • См. раздел " Развертывание виртуальной машины F5 BIG-IP Virtual Edition" в Azure
• Любая из следующих лицензий F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • Отдельная лицензия F5 BIG-IP APM
  • Дополнительная лицензия F5 BIG-IP APM на имеющийся BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • 90-дневная лицензия на полную пробную версию BIG-IP.
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra ID, или созданные в идентификаторе Microsoft Entra и перетекаются обратно в локальный каталог.
  • См. синхронизацию Microsoft Entra Connect: общие сведения и настройка синхронизации
• Одна из следующих ролей: администратор облачных приложений или администратор приложений.
• Ssl-веб-сертификат для публикации служб по протоколу HTTPS или использования сертификатов BIG-IP по умолчанию для тестирования
  • См. сведения о развертывании виртуальной машины F5 BIG-IP Virtual Edition в Azure
• Среда SAP ERP, настроенная для проверки подлинности Kerberos

Методы настройки BIG-IP

В этом руководстве используется интерактивная конфигурация 16.1 с шаблоном easy Button. С помощью кнопки Easy администраторы не переходят между идентификатором Microsoft Entra и BIG-IP, чтобы включить службы для SHA. Мастер интерактивной настройки APM и Microsoft Graph обрабатывают развертывание и управление политиками. Эта интеграция гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ.

Примечание.

Замените примеры строк или значений в этом руководстве этими строками в вашей среде.

Регистрация Easy Button

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Прежде чем клиент или служба обращается к Microsoft Graph, платформа удостоверений Майкрософт должен доверять ему.

См. краткое руководство. Регистрация приложения с помощью платформа удостоверений Майкрософт

Зарегистрируйте клиент Easy Button в идентификаторе Microsoft Entra ID, а затем устанавливает доверие между экземплярами SAML SP опубликованного приложения BIG-IP и идентификатором Microsoft Entra в качестве поставщика удостоверений SAML.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к регистрации приложений> удостоверений>Регистрация приложений> New.

3. Введите имя нового приложения.

4. В учетных записях в этом каталоге организации укажите, кто может использовать приложение.

5. Выберите Зарегистрировать.

6. Перейдите к разрешениям API.

7. Авторизуйте следующие разрешения приложения Microsoft Graph:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Предоставьте согласие администратора для вашей организации.

9. В сертификатах и секретах создайте новый секрет клиента.

10. Запишите секрет.

11. В обзоре обратите внимание на идентификатор клиента и идентификатор клиента.

Настройка простой кнопки

1. Инициируйте интерактивную конфигурацию APM.
2. Запустите шаблон Easy Button.
3. В браузере войдите в консоль управления F5 BIG-IP.
4. Перейдите к интеграции Microsoft с помощью интерактивной конфигурации>.>
5. Выберите приложение Microsoft Entra.
6. Просмотрите список конфигураций.
7. Выберите Далее.
8. Следуйте последовательности конфигурации в разделе "Конфигурация приложения Microsoft Entra".

Свойства конфигурации

Вкладка "Свойства конфигурации" содержит свойства учетной записи службы и создает конфигурацию приложения BIG-IP и объект единого входа. Раздел сведений о учетной записи службы Azure представляет клиент, зарегистрированный в качестве приложения, в клиенте Microsoft Entra. Используйте параметры клиента OAuth BIG-IP для отдельной регистрации samL SP в клиенте со свойствами единого входа. Easy Button делает это действие для служб BIG-IP, опубликованных и включенных для SHA.

Примечание.

Некоторые параметры являются глобальными и могут использоваться повторно для публикации дополнительных приложений.

1. Введите имя конфигурации. Уникальные имена отличают конфигурации Easy Button.
2. Для заголовков единого входа и HTTP нажмите кнопку "Вкл.".
3. Для идентификатора клиента, идентификатора клиента и секрета клиента введите идентификатор клиента, идентификатор клиента и секрет клиента, который вы указали во время регистрации клиента.
4. Выберите Проверить подключение. Это действие подтверждает подключение BIG-IP к клиенту.
5. Выберите Далее.

Поставщик услуг

Используйте параметры поставщика услуг, чтобы определить свойства экземпляра SAML SP приложения, защищенного SHA.

1. Для узла введите полное доменное имя (FQDN) приложения, защищенного.

2. Для идентификатора сущности введите идентификатор Microsoft Entra ID, который используется для идентификации samL SP, запрашивающей токен.

   

3. (Необязательно) Используйте параметры безопасности, чтобы указать, что идентификатор Microsoft Entra id шифрует утверждения SAML. Утверждения, зашифрованные между идентификатором Microsoft Entra ID и APM BIG-IP, повышают уверенность в том, что маркеры содержимого не перехватываются и не скомпрометированы.

4. В закрытом ключе расшифровки утверждений выберите "Создать".

   

5. Нажмите ОК.

6. Диалоговое окно импорта SSL-сертификата и ключей отображается на новой вкладке.

7. Чтобы импортировать сертификат и закрытый ключ, выберите PKCS 12 (IIS).

8. Закройте вкладку браузера, чтобы вернуться на главную вкладку.

   

9. Для включения зашифрованного утверждения установите флажок.

10. Если вы включили шифрование, в списке закрытых ключей утверждения расшифровки выберите закрытый ключ для сертификата BIG-IP APM, который используется для расшифровки утверждений Microsoft Entra.

11. Если вы включили шифрование, в списке сертификатов расшифровки утверждений выберите сертификат BIG-IP, отправленный в идентификатор Microsoft Entra, чтобы зашифровать выданные утверждения SAML.

Microsoft Entra ID

Easy Button содержит шаблоны приложений для Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP и универсальный шаблон SHA.

1. Чтобы начать настройку Azure, выберите "Добавить компонент > SAP ERP Central".

   

   Примечание.

   Сведения в следующих разделах можно использовать при настройке нового приложения BIG-IP SAML в клиенте Microsoft Entra.

Конфигурация Azure

1. Для отображаемого имени введите приложение BIG-IP, создаваемое в клиенте Microsoft Entra. Имя отображается на значке на портале Мои приложения.

2. (Необязательно) оставьте URL-адрес входа (необязательно) пустым.

   

3. Рядом с ключом подписывания выберите обновление.

4. Выберите сертификат подписи. Это действие находит введенный сертификат.

5. Для парольной фразы ключа подписи введите пароль сертификата.

6. (Необязательно) Включите параметр подписывания. Этот параметр гарантирует, что BIG-IP принимает маркеры и утверждения, подписанные идентификатором Microsoft Entra

   

7. Группы пользователей и пользователей динамически запрашиваются из клиента Microsoft Entra. Группы помогают авторизовать доступ к приложению.

8. Добавьте пользователя или группу для тестирования, в противном случае доступ запрещен.

   

Утверждения и атрибуты пользователя

Когда пользователи проходят проверку подлинности в идентификаторе Microsoft Entra, он выдает токен SAML с утверждениями и атрибутами по умолчанию, определяющими пользователя. На вкладке "Атрибуты пользователя" и "Утверждения" отображаются утверждения по умолчанию, которые будут выдаваться для нового приложения. Используйте его для настройки дополнительных утверждений.

Это руководство основано на суффиксе домена .com, используемом внутри и вне страны. Для реализации функционального единого входа Kerberos (KCD) не требуются другие атрибуты.

Вы можете включить дополнительные атрибуты Microsoft Entra. В этом руководстве sap ERP требуются атрибуты по умолчанию.

Дополнительные сведения. Руководство. Настройка диспетчера политик доступа F5 BIG-IP для проверки подлинности Kerberos. См. инструкции по нескольким доменам или входу пользователя с помощью альтернативных суффиксов.

Дополнительные атрибуты пользователя

Вкладка "Дополнительные атрибуты пользователя" поддерживает распределенные системы, требующие атрибутов, хранящихся в других каталогах, для расширения сеанса. Таким образом, атрибуты из источника протокола LDAP внедряются в качестве дополнительных заголовков единого входа для управления доступом на основе ролей, идентификаторами партнеров и т. д.

Примечание.

Эта функция не имеет корреляции с идентификатором Microsoft Entra, но является другим источником атрибутов.

Политика условного доступа

Политики условного доступа применяются после предварительной проверки подлинности Microsoft Entra. Это действие управляет доступом на основе устройств, приложений, расположений и сигналов риска.

В представлении "Доступные политики" перечислены политики условного доступа без действий на основе пользователей.

В представлении "Выбранные политики" перечислены политики , предназначенные для облачных приложений. Политики, применяемые на уровне клиента, не могут быть удалены и не перемещены в список доступных политик.

Чтобы выбрать политику для опубликованного приложения, выполните следующие действия.

1. В списке доступных политик выберите политику.
2. Щелкните стрелку вправо.
3. Переместите политику в список выбранных политик .

Выбранные политики имеют флажок "Включить " или "Исключить ". Если оба параметра проверяются, выбранная политика не применяется.

Примечание.

При первоначальном выборе этой вкладки отображается список политик. Используйте кнопку обновления для запроса клиента. Обновление появляется при развертывании приложения.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом. Этот сервер прослушивает клиентские запросы к приложению. Полученный трафик обрабатывается и оценивается в профиле APM, связанном с виртуальным сервером. Затем трафик направляется в соответствии с политикой.

1. Введите адрес назначения. Используйте IPv4/IPv6-адрес BIG-IP, используемый для получения трафика клиента. Соответствующая запись находится на сервере доменных имен (DNS), что позволяет клиентам разрешать внешний URL-адрес опубликованного приложения BIG-IP для этого IP-адреса. Для тестирования можно использовать DNS локального узла компьютера тестирования.
2. Для порта службы введите 443.
3. Выберите HTTPS.
4. Для включения порта перенаправления установите флажок.
5. Для порта перенаправления введите номер и выберите HTTP. Этот параметр перенаправляет входящий трафик КЛИЕНТА HTTP на HTTPS.
6. Выберите созданный профиль SSL клиента. Или оставьте значение по умолчанию для тестирования. Профиль SSL клиента включает виртуальный сервер для HTTPS, поэтому клиентские подключения шифруются по протоколу TLS.

Свойства пула

На вкладке "Пул приложений" есть службы за BIG-IP, представленные в виде пула с серверами приложений.

1. Для выбора пула нажмите кнопку "Создать" или выберите пул.

2. Для метода балансировки нагрузки выберите циклический робин.

3. Для серверов пула выберите узел сервера или введите IP-адрес и порт для внутреннего узла, в котором размещено приложение на основе заголовков.

   

Заголовки единого входа и HTTP

Используйте единый вход, чтобы включить доступ к опубликованным службам BIG-IP без ввода учетных данных. Мастер Easy Button поддерживает Kerberos, носитель OAuth и заголовки авторизации HTTP для единого входа. Для выполнения следующих инструкций требуется созданная учетная запись делегирования Kerberos.

1. В заголовках единого входа и HTTP для дополнительных параметров нажмите кнопку "Вкл.".

2. Для выбранного типа единого входа выберите Kerberos.

3. В качестве источника имени пользователя введите переменную сеанса в качестве источника идентификатора пользователя. session.saml.last.identity содержит утверждение Microsoft Entra с идентификатором пользователя, выполнившего вход.

4. Параметр источника пользовательской области необходим, если домен пользователя отличается от области kerberos BIG-IP. Таким образом, переменная сеанса APM содержит вошедшего в систему домена пользователя. Например, session.saml.last.attr.name.domain.

   

5. Для KDC введите IP-адрес контроллера домена или полное доменное имя, если dns настроен.

6. Для поддержки имени участника-участника-участника установите флажок. APM использует имя участника-пользователя (UPN) для запроса kerberos.

7. Для шаблона имени участника-службы введите HTTP/%h. Это действие сообщает APM об использовании заголовка узла запроса клиента и сборке имени субъекта-службы ( SPN), для которого он запрашивает токен kerberos.

8. Для авторизации отправки отключите параметр для приложений, которые согласовывают проверку подлинности. Например, Tomcat.

   

Управление сеансом

Используйте параметры управления сеансами BIG-IP, чтобы определить условия, когда сеансы пользователей завершаются или продолжаются. Условия включают ограничения для пользователей и IP-адресов, а также соответствующие сведения о пользователе.

Дополнительные сведения см. в my.f5.com для K18390492: безопасность | Руководство по операциям APM BIG-IP

Руководство по операциям не охватывает единый выход (SLO). Эта функция гарантирует, что сеансы между idP, BIG-IP и агентом пользователя завершаются при выходе пользователей. Кнопка Easy Button развертывает приложение SAML в клиенте Microsoft Entra. Он заполняет URL-адрес выхода конечной точкой APM SLO. Выход, инициированный поставщиком удостоверений, на портале Мои приложения завершает сеанс BIG-IP и клиентский сеанс.

Во время развертывания метаданные федерации SAML из опубликованного приложения импортируются из клиента. Это действие предоставляет APM конечную точку выхода SAML для идентификатора Microsoft Entra ID и помогает выйти, инициированный поставщиком служб, завершает работу клиента и сеанса Microsoft Entra.

Развертывание

1. Выберите Развернуть.
2. Убедитесь, что приложение находится в списке приложений Enterprise клиента.
3. В браузере подключитесь к внешнему URL-адресу приложения или выберите значок приложения в Мои приложения.
4. Проверка подлинности в идентификаторе Microsoft Entra.
5. Перенаправление позволяет перейти на виртуальный сервер BIG-IP и войти через единый вход.

Для повышения безопасности можно заблокировать прямой доступ к приложению и применить путь через BIG-IP.

Расширенное развертывание

Шаблоны управляемой конфигурации иногда не имеют гибкости.

Дополнительные сведения. Руководство. Настройка диспетчера политик доступа F5 BIG-IP для проверки подлинности Kerberos.

Отключение строгого режима управления

Кроме того, в BIG-IP можно отключить строгий режим управления управляемой конфигурацией. Конфигурации можно изменить вручную, хотя большинство конфигураций автоматизированы с помощью шаблонов мастера.

1. Перейдите к интерактивной конфигурации.>

2. В конце строки конфигурации приложения выберите блокировку.

3. Объекты BIG-IP, связанные с опубликованным приложением, разблокируются для управления. Изменения с помощью пользовательского интерфейса мастера больше не возможны.

   

   Примечание.

   Чтобы повторно включить строгий режим управления и развернуть конфигурацию, которая перезаписывает параметры за пределами пользовательского интерфейса управляемой конфигурации, рекомендуется использовать расширенный метод конфигурации для рабочих служб.

Устранение неполадок

Если вам не удается получить доступ к защищенному SHA-приложению, ознакомьтесь со следующим руководством по устранению неполадок.

• Kerberos зависит от времени, Убедитесь, что серверы и клиенты задают правильное время и синхронизируются с надежным источником времени.
• Убедитесь, что контроллер домена и имя узла веб-приложения разрешаются в DNS.
• Убедитесь, что в среде нет повторяющихся имен субъектов-служб.
  • На компьютере домена в командной строке используйте запрос: setspn -q HTTP/my_target_SPN

Сведения о проверке конфигурации KCD приложения службы IIS (IIS) см. в статье "Устранение неполадок конфигураций KCD для прокси приложения"

Перейдите к techdocs.f5.com для метода единого входа Kerberos

Анализ журнала

Детализация журнала

Ведение журнала BIG-IP изолирует проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных. Чтобы начать устранение неполадок, увеличьте детализацию журнала.

1. Перейдите к обзору политики > доступа.
2. Выберите журналы событий.
3. Выберите Параметры.
4. Выберите строку опубликованного приложения.
5. Выберите Изменить.
6. Выбор журналов системы доступа
7. В списке единого входа выберите "Отладка".
8. Нажмите ОК.
9. Воспроизведите условия, при которых возникает проблема.
10. Проверьте журналы.

После завершения проверки переверните детализацию журнала, так как этот режим создает чрезмерные данные.

Сообщение об ошибке BIG-IP

Если сообщение об ошибке BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с идентификатором Microsoft Entra и единым входом BIG-IP.

1. Перейдите к обзору access>.
2. Выберите отчеты Access.
3. Запустите отчет за последний час.
4. Проверьте журналы.

Используйте ссылку для просмотра переменных сеанса текущего сеанса, чтобы узнать, получает ли APM ожидаемые утверждения Microsoft Entra.

Нет сообщения об ошибке BIG-IP

Если сообщение об ошибке BIG-IP не появилось, проблема может быть связана с серверным запросом или BIG-IP для единого входа в приложение.

1. Перейдите к обзору политики > доступа.
2. Выберите активные сеансы.
3. Выберите ссылку для текущего сеанса.
4. Используйте ссылку "Переменные представления" для выявления проблем KCD, особенно если APM BIG-IP не получает правильные идентификаторы пользователя и домена из переменных сеанса.

Подробнее:

• Перейдите к devcentral.f5.com для переменной APM, чтобы назначить примеры
• Перейти к techdocs.f5.com для переменных сеанса