Dela via

Självstudie: Aktivera säker hybridåtkomst för program med Azure Active Directory B2C och F5 BIG-IP

  • Artikel

Lär dig att integrera Azure Active Directory B2C (Azure AD B2C) med F5 BIG-IP Access Policy Manager (APM). Du kan exponera äldre program på ett säkert sätt för Internet via BIG-IP-säkerhet, med Azure AD B2C-förautentisering, villkorsstyrd åtkomst (CA) och enkel inloggning (SSO). F5 Inc. fokuserar på leverans, säkerhet, prestanda och tillgänglighet för anslutna tjänster, inklusive databehandling, lagring och nätverksresurser. Den tillhandahåller maskinvara, modulariserad programvara och molnklara lösningar för virtuella installationer.

Distribuera F5 BIG-IP Application Delivery Controller (ADC) som en säker gateway mellan privata nätverk och Internet. Det finns funktioner för kontroll på programnivå och anpassningsbara åtkomstkontroller. Om den distribueras som en omvänd proxy använder du BIG-IP för att aktivera säker hybridåtkomst till affärsprogram, med ett federerat identitetsåtkomstlager som hanteras av APM.

Gå till f5.com resurser och faktablad för: Konfigurera enkel säker åtkomst till alla dina program via Microsoft Entra-ID

Förutsättningar

Du behöver följande för att komma igång:

Scenariobeskrivning

Följande scenario är huvudbaserat, men du kan använda dessa metoder för att uppnå enkel inloggning med Kerberos.

I det här scenariot förlitar sig åtkomsten för ett internt program på att ta emot HTTP-auktoriseringshuvuden från ett äldre asynkron meddelandekösystem. Försäljningsagenter kan dirigeras till respektive innehållsområden. Tjänsten måste utökas till en bredare konsumentbas. Programmet uppgraderas för alternativ för konsumentautentisering eller ersätts.

Helst stöder en programuppgradering direkt hantering och styrning med ett modernt kontrollplan. Tid och arbete för att modernisera medför dock kostnader och potentiell stilleståndstid. Distribuera i stället en BIG-IP Virtual Edition (VE) mellan det offentliga Internet och det interna virtuella Azure-nätverket (VNet) för att gateåtkomst med Azure AD B2C. BIG-IP framför programmet möjliggör överlägg av tjänsten med Azure AD B2C-förautentisering och huvudbaserad enkel inloggning, vilket förbättrar appens säkerhetsstatus.

Den säkra hybridåtkomstlösningen har följande komponenter:

  • Program – serverdelstjänst som skyddas av Azure AD B2C och BIG-IP säker hybridåtkomst
  • Azure AD B2C – IdP -auktoriseringsserver (IdP) och OpenID Connect (OIDC) som verifierar användarautentiseringsuppgifter, multifaktorautentisering och enkel inloggning till BIG-IP APM
  • BIG-IP – omvänd proxy för programmet. BIG-IP APM är OIDC-klienten som delegerar autentisering till OIDC-auktoriseringsservern före huvudbaserad enkel inloggning till serverdelstjänsten.

Följande diagram illustrerar det sp-initierade flödet för det här scenariot.

Skärmbild av det initierade flödet för tjänstleverantören.

  1. Användaren ansluter till programslutpunkten. BIG-IP är tjänstleverantör.
  2. BIG-IP APM OIDC-klienten omdirigerar användaren till Azure AD B2C-klientslutpunkt, OIDC-auktoriseringsservern
  3. Azure AD B2C-klientorganisationen autentiserar användaren i förväg och tillämpar principer för villkorsstyrd åtkomst
  4. Azure AD B2C omdirigerar användaren tillbaka till SP med auktoriseringskod
  5. OIDC-klienten ber auktoriseringsservern att byta auktoriseringskod mot en ID-token
  6. BIG-IP APM ger användaren åtkomst och matar in HTTP-huvudena i klientbegäran som vidarebefordras till programmet

Azure AD B2C-konfiguration

Om du vill aktivera en BIG-IP med Azure AD B2C-autentisering använder du en Azure AD B2C-klientorganisation med ett användarflöde eller en anpassad princip.

Se Självstudie: Skapa användarflöden och anpassade principer i Azure AD B2C

Skapa anpassade attribut

Hämta anpassade attribut från Azure AD B2C-användarobjekt, federerade IdP:er, API-anslutningsappar eller användarregistrering. Inkludera attribut i den token som går till programmet.

Äldre program förväntar sig specifika attribut, så inkludera dem i ditt användarflöde. Du kan ersätta dem med attribut som programmet kräver. Om du konfigurerar en testapp med hjälp av anvisningarna kan du använda alla rubriker.

  1. Logga in på Azure Portal som global administratör.
  2. I den vänstra rutan väljer du Användarattribut.
  3. Välj Lägg till för att skapa två anpassade attribut.
  4. För Agent-ID väljer du Strängdatatyp.
  5. För Agent geo väljer du Strängdatatyp.

Lägga till attribut i användarflödet

  1. I den vänstra menyn går du till Principer>Användarflöden.
  2. Välj din princip, till exempel B2C_1_SignupSignin.
  3. Välj användarattribut.
  4. Lägg till båda anpassade attributen.
  5. Lägg till attributet Visningsnamn . Dessa attribut samlas in under användarens registrering.
  6. Välj Programanspråk.
  7. Lägg till båda anpassade attributen.
  8. Lägg till visningsnamnet. Dessa attribut går till BIG-IP.
  9. Välj Kör användarflöde.
  10. Kontrollera anvisningarna för definierade attribut i det vänstra navigeringsfältet i användarflödesmenyn.

Läs mer: Självstudie: Skapa användarflöden och anpassade principer i Azure AD B2C

Azure AD B2C-federation

Federera BIG-IP och Azure AD B2C för ömsesidigt förtroende. Registrera BIG-IP i Azure AD B2C-klientorganisationen som ett OIDC-program.

  1. I portalen väljer du Appregistreringar>Ny registrering.
  2. Ange ett appnamn, till exempel HeaderApp1.
  3. Under Kontotyper som stöds väljer du Konton i valfri identitetsprovider eller organisationskatalog (för att autentisera användare med användarflöden).
  4. Under Omdirigerings-URI väljer du Webb.
  5. Ange offentlig FQDN för skyddad tjänst.
  6. Ange sökvägen.
  7. Lämna kvar de återstående valen.
  8. Välj Register (Registrera).
  9. Gå till Certifikathemligheter&>+ Ny klienthemlighet.
  10. Ange ett beskrivande namn
  11. Ange en TTL för hemligheten som används av BIG-IP.
  12. Anteckna klienthemligheten för BIG-IP-konfiguration.

Omdirigerings-URI:n är BIG-IP-slutpunkten. Efter autentiseringen skickar auktoriseringsservern (Azure AD B2C) användare till slutpunkten.

Läs mer: Självstudie: Registrera en webbapp i Azure AD B2C för Azure AD B2C.

BIG-IP-konfiguration

För BIG-IP-konfiguration använder du Guidad konfiguration v.7/8. Arbetsflödesramverket är anpassat för åtkomst till topologier och ger snabb publicering av webbtjänster.

Guidad konfigurationsversion

  1. Bekräfta versionen genom att logga in på BIG-IP-webbkonfigurationen med ett administratörskonto.
  2. Gå till Åtkomst>till guidad konfiguration.
  3. Versionen visas i det övre högra hörnet.

Om du vill uppgradera den guidade konfigurationen går du till my.f5.com för K85454683: Uppgradera F5 BIG-IP Guidad konfiguration på BIG-IP-systemet.

SSL-profiler

Använd BIG-IP som konfigurerats med en klient-SSL-profil för att skydda trafik på klientsidan över TLS. Importera ett certifikat som matchar domännamnet, som används av den offentliga URL:en för din app. Vi rekommenderar att du använder en offentlig certifikatutfärdare, men du kan använda självsignerade BIG-IP-certifikat för testning.

Om du vill lägga till och hantera certifikat i BIG-IP VE går du till techdocs.f5.com för BIG-IP-system: SSL-administration.

Guidad konfiguration

  1. Om du vill starta distributionsguiden går du till Åtkomst>till guidad konfiguration i webbkonfigurationen.
  2. Välj Federation>F5 som OAuth-klient och resursserver.
  3. Observera flödessammanfattningen för det här scenariot.
  4. Välj Nästa.
  5. Guiden startar.

OAuth-egenskaper

I följande avsnitt definierar du egenskaper för att aktivera federation mellan BIG-IP APM och OAuth-auktoriseringsservern, den Azure AD B2C-klientorganisationen. OAuth refereras till i hela BIG-IP-konfigurationen. Lösningen använder OIDC, ett identitetslager i OAuth 2.0-protokollet. OIDC-klienter verifierar användaridentiteten och hämtar annan profilinformation.

Konfigurationsnamn

Ett konfigurationsvisningsnamn hjälper till att skilja mellan distributionskonfigurationer i den guidade konfigurationen. Du kan inte ändra namnet och det visas bara i vyn Guidad konfiguration.

Läge

BIG-IP APM är en OIDC-klient och välj därför alternativet Klient.

DNS-matchare

Det angivna målet måste matcha de offentliga IP-adresserna för Azure AD B2C-slutpunkter. Välj en offentlig DNS-matchare eller skapa en ny.

Providerinställningar

Konfigurera Azure AD B2C som OAuth2 IdP. Den guidade konfigurationen har Azure AD B2C-mallar, men inte vissa omfång.

Lägg till en ny provider och konfigurera den:

Allmänna OAuth-egenskaper

Egenskaper Description
OAuth-providertyp Anpassat
Välj OAuth-provider Skapa nytt eller använd en OAuth-provider
Name Ett visningsnamn för B2C IdP. Det här namnet visas för användare som ett provideralternativ vid inloggning
Tokentyp JSON-webbtoken

OAuth-principinställningar

Egenskaper Description
Omfång Lämna tomt. OpenID-omfånget för användarinloggning läggs till automatiskt
Bevilja typ Authorization code (Auktoriseringskod)
Aktivera OpenID Connect Välj alternativet för att placera APM OAuth-klienten i OIDC-läge
Flödestyp Authorization code (Auktoriseringskod)

Inställningar för OAuth-provider

Följande OpenID-URI refererar till den metadataslutpunkt som används av OIDC-klienter för att identifiera IdP-information, till exempel signering av certifikatsöverrullning.

  1. Leta upp metadataslutpunkten för din Azure AD B2C-klientorganisation. Navigera till Appregistreringar>Slutpunkter.
  2. Kopiera Azure AD URI för B2C OpenID Connect-metadatadokumentet. Till exempel https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configuration.
  3. Uppdatera URI:n med dina egenskaper, https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configuration.
  4. Klistra in URI:n i webbläsaren.
  5. Visa OIDC-metadata för din Azure AD B2C-klientorganisation.
Egenskap Beskrivning
Målgrupp Programklient-ID:t som representerar BIG-IP i Azure AD B2C-klientorganisationen
Autentiserings-URI Auktoriseringsslutpunkten i dina B2C OIDC-metadata
Token-URI Tokenslutpunkten i din Azure AD B2C-metadata
URI för userinfo-begäran Lämna tomt. Azure AD B2C stöder inte den här funktionen
OpenID URI Slutpunkten för OpenID-URI-metadata som du skapade
Ignorera validering av utgånget certifikat Lämna alternativet omarkerat
Tillåt självsignerat JWK-konfigurationscertifikat Markera
Betrott CA-paket Välj ca-bundle.crt för att använda de betrodda F5-standardmyndigheterna
Identifieringsintervall Ange ett intervall för BIG-IP för att fråga din Azure AD B2C-klientorganisation om uppdateringar. Det minsta intervallet i AGC version 16.1 0.0.19 är 5 minuter.

OAuth-serverinställningar

För OIDC-auktoriseringsservern är din Azure AD B2C-klientorganisation.

Egenskap Beskrivningar
Klient-ID Programklient-ID:t som representerar BIG-IP i Azure AD B2C-klientorganisationen
Client Secret (Klienthemlighet) Programmets klienthemlighet
SSL-profil för klientserver Ange en SSL-profil för att säkerställa att APM kommunicerar med Azure AD B2C IdP över TLS. Välj standardserversl.

Inställningar för OAuth-begäran

BIG-IP-adressen har krävt Azure AD B2C-begäranden i den förkonfigurerade begärandeuppsättningen. Begärandena var dock felaktiga och saknade viktiga parametrar. Så vi skapade dem manuellt.

Tokenbegäran: Aktiverad

Egenskap Beskrivning
Välj OAuth-begäran Skapa ny
HTTP-metod POST
Aktivera rubriker Avmarkerat
Aktivera parametrar Markerad
Parameter Parameternamn Parametervärde
client_id client_id Ej tillämpligt
Nonce Nonce Ej tillämpligt
redirect_uri redirect_uri Ej tillämpligt
omfång omfång Ej tillämpligt
response_type response_type Ej tillämpligt
client_secret client_secret Ej tillämpligt
anpassad grant_type authorization_code

Begäran om autentiseringsomdirigering: Aktiverad

Egenskap Beskrivning
Välj OAuth-begäran Skapa ny
HTTP-metod GET
Fråga typ Ingen
Aktivera rubriker Avmarkerat
Aktivera parametrar Markerad
Parameter Parameternamn Parametervärde
client_id client_id Ej tillämpligt
redirect_uri redirect_uri Ej tillämpligt
response_type response_type Ej tillämpligt
omfång omfång Ej tillämpligt
Nonce Nonce Ej tillämpligt

Begäran om tokenuppdatering: Inaktiverad Du kan aktivera och konfigurera efter behov.

OpenID UserInfo-begäran: Inaktiverad stöds inte i globala Azure AD B2C-klienter.

Egenskaper för virtuell server

Skapa en virtuell BIG-IP-server för att fånga upp externa klientbegäranden för serverdelstjänsten som skyddas av säker hybridåtkomst. Tilldela den virtuella servern en IP-adress som är mappad till den offentliga DNS-posten för big-IP-tjänstslutpunkten som representerar programmet. Använd en virtuell server om den är tillgänglig, annars anger du följande egenskaper.

Egenskap Beskrivning
Måladress Privat eller offentlig IP-adress som blir BIG-IP-tjänstslutpunkten för serverdelsprogrammet
Tjänstport HTTPS
Aktivera omdirigeringsport Välj så att användarna omdirigeras automatiskt från http till https
Omdirigeringsport HTTP
Klient-SSL-profil Byt clientssl den fördefinierade profilen mot den som har ditt SSL-certifikat. Du kan testa med standardprofilen. men det orsakar troligen en webbläsaravisering.

Poolegenskaper

Serverdelstjänster visas i BIG-IP som en pool, med en eller flera programservrar som virtuella servrar dirigerar inkommande trafik till. Välj en pool, annars skapar du en ny.

Egenskap Beskrivning
Belastningsutjämningsmetod Välj Resursallokering
Poolserver Intern IP-adress för serverdelsprogrammet
Port Serverdelsprogrammets tjänstport

Anteckning

Kontrollera att BIG-IP har siktlinje till poolserveradressen.

Inställningar för enkel inloggning

En BIG-IP stöder alternativ för enkel inloggning, men i OAuth-klientläge är den guidade konfigurationen begränsad till Kerberos- eller HTTP-huvuden. Aktivera enkel inloggning och använd följande information för APM för att mappa definierade inkommande attribut till utgående rubriker.

Egenskap Beskrivning
Rubrikåtgärd Infogning
Rubriknamn name
Rubrikvärde %{session.oauth.client.last.id_token.name}
Rubrikåtgärd Infogning
Rubriknamn agentid
Rubrikvärde %{session.oauth.client.last.id_token.extension_AgentGeo}

Anteckning

APM-sessionsvariabler inom klammerparenteser är skiftlägeskänsliga. Om du anger agentid, när Azure AD B2C-attributnamnet skickas som AgentID, orsakas ett attributmappningsfel. Definiera attribut i gemener. I Azure AD B2C uppmanar användarflödet användaren att ange fler attribut med hjälp av attributnamnet i portalen. Använd därför meningsfall i stället för gemener.

Skärmbild av inställningar för enkel inloggning, inklusive typ och rubriker.

Anpassningsegenskaper

Anpassa språk och utseende för skärmar som användarna ser i APM-åtkomstprincipflödet. Redigera skärmmeddelanden och uppmaningar, ändra skärmlayouter, färger, bilder och lokalisera bildtexter, beskrivningar och meddelanden.

I textfältet Formulärrubrik ersätter du strängen F5 Networks med ett namn som du vill använda.

Egenskaper för sessionshantering

Använd inställningarna för hantering av BIG-IP-sessioner för att definiera villkor som avslutar sessioner eller tillåter dem att fortsätta. Ange gränser för användare och IP-adresser och felsidor. Vi rekommenderar att du implementerar enkel utloggning (SLO), som avslutar sessioner på ett säkert sätt, vilket minskar risken för obehörig åtkomst.

Distribuera inställningar

Välj Distribuera för att checka in inställningar och skapa BIG-IP- och APM-objekt som skyddar hybridåtkomsten till programmet. Programmet visas som en målresurs i villkorsstyrd åtkomst. För ökad säkerhet blockerar du direkt åtkomst till programmet och framtvingar därmed en sökväg via BIG-IP.

Läs mer: Identitetsskydd och villkorsstyrd åtkomst för Azure AD B2C

Testa inloggningsflödet

  1. Som användare går du till programmets externa URL.
  2. Inloggningssidan för OAuth-klienten i BIG-IP visas.
  3. Logga in med hjälp av beviljandet av auktoriseringskoden. Information om hur du tar bort det här steget finns i avsnittet Tilläggskonfigurationer .
  4. Registrera dig och autentisera mot din Azure AD B2C-klientorganisation.

Följande bilder är dialogrutan för användarinloggning och välkomstsidan för inloggning.

Skärmbild av dialogrutan för användarinloggning.

Skärmbild av välkomstsidan för inloggning.

För ökad säkerhet blockerar du direkt åtkomst till programmet och framtvingar därmed en sökväg via BIG-IP.

Kompletterande konfigurationer

Enkel utloggning (SLO)

Azure AD B2C stöder identitetsprovider (IdP) och utloggning av program. Se, Enkel utloggning.

För att uppnå SLO aktiverar du funktionen för utloggning av programmet för att anropa slutpunkten för Azure AD B2C-utloggning. Sedan utfärdar Azure AD B2C en slutlig omdirigering till BIG-IP. Den här åtgärden säkerställer att APM-sessionen för användarprogram avslutas.

En alternativ SLO-process är att aktivera BIG-IP för att lyssna efter begäran när du väljer knappen Logga ut för program. När begäran identifieras anropas slutpunkten Azure AD B2C-utloggning. Den här metoden utesluter att göra ändringar i programmet.

Om du vill veta mer om BIG-IP iRules går du till support.f5.com för K42052145: Konfigurera automatisk sessionsavslut (utloggning) baserat på ett URI-refererat filnamn.

Anteckning

Oavsett metod kontrollerar du att Azure AD B2C-klientorganisation känner till slutpunkten för APM-utloggning.

  1. Gå till Hantera>manifest i portalen.
  2. Leta rätt på egenskapen logoutUrl. Den läser null.
  3. Lägg till URI:n för utloggning efter APM: https://<mysite.com>/my.logout.php3

Anteckning

<mysite.com> är BIG-IP FQDN för ditt huvudbaserade program.

Optimerat inloggningsflöde

För att förbättra användarinloggningsupplevelsen kan du ignorera OAuth-användarens inloggningsprompt som visas före Microsoft Entra förautentisering.

  1. Gå till Åtkomst>till guidad konfiguration.

  2. Längst till höger på raden väljer du hänglåsikonen .

  3. Det rubrikbaserade programmet låser upp den strikta konfigurationen.

    Skärmbild av indata för Status, Namn och Typ; även hänglåsikonen.

Om du låser upp den strikta konfigurationen förhindras ändringar med guidens användargränssnitt. BIG-IP-objekt är associerade med den publicerade instansen av programmet och är öppna för direkt hantering.

  1. Gå till Åtkomstprofiler>/Principer>Åtkomstprofiler (principer per session).

  2. För programprincipobjektet går du till kolumnen Princip per session och väljer Redigera.

    Skärmbild av alternativet Redigera under Åtkomstprinciper i dialogrutan Åtkomst.

  3. Om du vill ta bort principobjektet för OAuth-inloggningssida väljer du X.

  4. Anslut till föregående nod i kommandotolken.

    Skärmbild av alternativet X i principobjektet OAuth-inloggningssida.

  5. I det övre vänstra hörnet väljer du Tillämpa åtkomstprincip.

  6. Stäng fliken visualiseringsredigerare.

När du försöker ansluta till programmet visas Azure AD B2C-inloggningssidan.

Anteckning

Om du återaktiverar strikt läge och distribuerar en konfiguration skrivs inställningar som utförs utanför användargränssnittet för guidad konfiguration över. Implementera det här scenariot genom att manuellt skapa konfigurationsobjekt för produktionstjänster.

Felsökning

Använd följande felsökningsvägledning om åtkomst till det skyddade programmet förhindras.

Loggverbalitet

BIG-IP-loggar har information för att isolera autentiserings- och SSO-problem. Öka loggveroalitetsnivån.

  1. Gå till Åtkomstprincip>– Översikt Inställningar> förhändelseloggar>.
  2. Välj raden för det publicerade programmet och sedan Redigera>åtkomstsystemloggar.
  3. I listan med enkel inloggning väljer du Felsöka.
  4. Välj OK.
  5. Återskapa problemet innan du granskar loggarna.

När du är klar återställer du de tidigare inställningarna.

BIG-IP-felmeddelande

Om du ser ett BIG-IP-felmeddelande efter Azure AD B2C-autentisering kan problemet bero på enkel inloggning från Microsoft Entra-ID till BIG-IP.

  1. Gå till Access Overview>>Access-rapporter.
  2. Kör rapporten för den senaste timmen
  3. Granska loggar för ledtrådar.
  4. Välj länken Visa sessionsvariabler .
  5. Kontrollera om APM tar emot de förväntade Microsoft Entra anspråken.

Inget BIG-IP-felmeddelande

Om inget BIG-IP-felmeddelande visas kan problemet vara relaterat till serverdelsbegäran eller enkel inloggning från BIG-IP till programmet.

  1. Gå tillÖversikt över>åtkomstprincip>Aktiva sessioner.
  2. Välj länken för den aktiva sessionen.
  3. Välj länken Visa variabler .
  4. Granska för att fastställa rotorsaken, särskilt om BIG-IP APM hämtar felaktiga sessionsattribut.
  5. Använd programloggarna för att förstå om det tog emot attributen som rubriker.

Känt problem med guidad konfiguration v8

Om du använder interaktiv konfiguration v8 genererar ett känt problem följande fel efter lyckad Azure AD B2C-autentisering. Problemet kan vara att AGC inte aktiverar inställningen Automatisk JWT under distributionen. APM kan inte hämta de aktuella tokensigneringsnycklarna. F5-teknikerna undersöker rotorsaken.

Skärmbild av felmeddelandet nekad åtkomst.

Samma åtkomstlogg innehåller information.

Skärmbild av information om loggmeddelande.

Aktivera inställningen manuellt

  1. Gå till Åtkomst>till guidad konfiguration.
  2. Välj hänglåset längst till höger på raden för ditt rubrikbaserade program.
  3. Gå till Åtkomst tillOAuth-klient->/resursserverproviders> förfederation>.
  4. Välj provider för din Azure AD B2C-konfiguration.
  5. Markera rutan Använd automatisk JWT .
  6. Välj Identifiera.
  7. Välj Spara.
  8. Fältet Nyckel (JWT) har tokensigneringscertifikatets nyckel-ID (KID) från OpenID URI-metadata.
  9. I det övre vänstra hörnet väljer du Tillämpa åtkomstprincip.
  10. Välj Använd.

Mer information finns i felsökningstips för techdocs.f5.com för OAuth-klient och resursserver