Dela via


Integrera F5 BIG-IP med Microsoft Entra-ID

Med ökade hotlandskap och användning av flera mobila enheter tänker organisationer om resursåtkomst och styrning. En del av moderniseringsprogram omfattar att utvärdera beredskapen för identiteter, enheter, appar, infrastruktur, nätverk och data. Du kan lära dig mer om Nolltillit ramverket för att aktivera distansarbete och verktyget Nolltillit Assessment.

Digital omvandling är en långsiktig resa och potentiellt kritiska resurser exponeras tills de moderniseras. Målet med F5 BIG-IP och Microsoft Entra ID säker hybridåtkomst (SHA) är att förbättra fjärråtkomsten till lokala program och stärka säkerhetsstatusen för sårbara äldre tjänster.

Forskning uppskattar att 60–80 % av de lokala programmen är äldre eller oförmögna att integreras med Microsoft Entra-ID. Samma studie visar att en stor del av liknande system körs på tidigare versioner av SAP, Oracle, SAGE och andra välkända arbetsbelastningar för kritiska tjänster.

SHA gör det möjligt för organisationer att fortsätta använda investeringar i F5-nätverk och programleverans. Med Microsoft Entra-ID överbryggar SHA klyftan med identitetskontrollplanet.

Förmåner

När Microsoft Entra ID förautentiserar åtkomst till BIG-IP-publicerade tjänster finns det många fördelar:

Andra fördelar är:

Beskrivning av scenario

Som programleveranskontrollant (ADC) och ett virtuellt privat SSL-VPN (Secure Socket Layer) ger ett BIG-IP-system lokal och fjärråtkomst till tjänster, inklusive:

  • Moderna och äldre webbprogram
  • Icke-webbaserade program
  • Rest-tjänster (Representational State Transfer) och SOAP(Simple Object Access Protocol) api-tjänster (Web Application Programming Interface)

BIG-IP Local Traffic Manager (LTM) är för säker tjänstpublicering, medan en Access Policy Manager (APM) utökar BIG-IP-funktioner som möjliggör identitetsfederation och enkel inloggning (SSO).

Med integrering uppnår du protokollövergången för att skydda äldre eller andra integrerade tjänster med kontroller som:

I scenariot är en BIG-IP en omvänd proxy som lämnar över tjänstens förautentisering och auktorisering till Microsoft Entra-ID. Integreringen baseras på ett standardfederationsförtroende mellan APM och Microsoft Entra ID. Det här scenariot är vanligt med SHA. Läs mer: Konfigurera F5 BIG-IP SSL-VPN för Microsoft Entra SSO. Med SHA kan du skydda SAML-resurser (Security Assertion Markup Language), Open Authorization (OAuth) och OpenID Connect (OIDC).

Kommentar

När den används för lokal åtkomst och fjärråtkomst kan en BIG-IP vara en kvävningspunkt för Nolltillit åtkomst till tjänster, inklusive SaaS-appar (programvara som en tjänst).

Följande diagram illustrerar förautentiseringsutbytet i klientdelen mellan en användare, en BIG-IP och Microsoft Entra-ID i ett sp-initierat flöde. Därefter visas efterföljande APM-sessionsberikning och enkel inloggning för enskilda serverdelstjänster.

Diagram över integrationsarkitektur.

  1. Användare väljer en programikon i portalen som matchar URL:en till SAML SP (BIG-IP)
  2. BIG-IP omdirigerar användaren till SAML-identitetsprovidern (IdP), Microsoft Entra-ID för förautentisering
  3. Microsoft Entra ID bearbetar principer för villkorsstyrd åtkomst och sessionskontroller för auktorisering
  4. Användare återgår till BIG-IP och presenterar SAML-anspråk som utfärdats av Microsoft Entra ID
  5. BIG-IP begär sessionsinformation för enkel inloggning och rollbaserad åtkomstkontroll (RBAC) till den publicerade tjänsten
  6. BIG-IP vidarebefordrar klientbegäran till serverdelstjänsten

Användarupplevelse

Oavsett om de är anställda, dotterbolag eller konsumenter är de flesta användare bekanta med office 365-inloggningen. Åtkomst till BIG-IP-tjänster är liknande.

Användare kan hitta sina BIG-IP-publicerade tjänster i Mina appar-portalen eller Microsoft 365-appstartaren med självbetjäningsfunktioner, oavsett enhet eller plats. Användare kan fortsätta att komma åt publicerade tjänster med BIG-IP Webtop-portalen. När användarna loggar ut ser SHA till att sessionen avslutas för BIG-IP- och Microsoft Entra-ID, vilket hjälper tjänster att förbli skyddade mot obehörig åtkomst.

Användare får åtkomst till Mina appar-portalen för att hitta BIG-IP-publicerade tjänster och för att hantera sina kontoegenskaper. Se galleriet och sidan i följande bild.

Skärmbild av sidan woodgrove mina appar.

Insikter och analys

Du kan övervaka distribuerade BIG-IP-instanser för att säkerställa att publicerade tjänster är mycket tillgängliga, på SHA-nivå och i drift.

Det finns flera alternativ för att logga händelser lokalt eller via fjärranslutning via en SIEM-lösning (Security Information and Event Management), som möjliggör lagrings- och telemetribearbetning. Om du vill övervaka Microsoft Entra-ID och SHA-aktivitet kan du använda Azure Monitor och Microsoft Sentinel tillsammans:

  • Översikt över din organisation, potentiellt över flera moln och lokala platser, inklusive BIG-IP-infrastruktur

  • Ett kontrollplan med vy över signaler, som undviker beroende av komplexa och olika verktyg

    Diagram över övervakningsflödet.

Integrationskrav

Ingen tidigare erfarenhet, eller F5 BIG-IP-kunskap, krävs för att implementera SHA, men vi rekommenderar att du lär dig lite F5 BIG-IP-terminologi. Se F5-tjänstens ordlista.

Integreringen av en F5 BIG-IP med Microsoft Entra ID för SHA har följande förutsättningar:

  • En F5 BIG-IP-instans som körs på:

    • Fysisk installation
    • Hypervisor Virtual Edition som Microsoft Hyper-V, VMware ESXi, Linux kernel-baserad virtuell dator (KVM) och Citrix Hypervisor
    • Cloud Virtual Edition som Azure, VMware, KVM, Community Xen, MS Hyper-V, AWS, OpenStack och Google Cloud

    Kommentar

    BIG-IP-instansens plats kan vara lokal eller en molnplattform som stöds, inklusive Azure. Instansen har internetanslutning, resurser som publiceras och andra tjänster.

  • En aktiv F5 BIG-IP APM-licens:

    • F5 BIG-IP® Bästa paket
    • Fristående licens för F5 BIG-IP Access Policy Manager™
    • F5 APM-tilläggslicens (BIG-IP Access Policy Manager™) på en befintlig BIG IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • En 90-dagars utvärderingslicens för BIG-IP Access Policy Manager™ (APM)
  • Microsoft Entra ID-licensiering:

Konfigurationsscenarier

Du kan konfigurera en BIG-IP för SHA med mallbaserade alternativ eller en manuell konfiguration. Följande självstudier innehåller vägledning om hur du implementerar BIG-IP och Microsoft Entra ID säker hybridåtkomst.

Avancerad konfiguration

Den avancerade metoden är ett flexibelt sätt att implementera SHA. Du skapar alla BIG-IP-konfigurationsobjekt manuellt. Använd den här metoden för scenarier som inte finns i guidade konfigurationsmallar.

Avancerade konfigurationssjälvstudier:

Mallar för guidad konfiguration och enkel knapp

Guiden BIG-IP version 13.1 Guidad konfiguration minimerar tid och arbete för att implementera vanliga scenarier för BIG-IP-publicering. Arbetsflödesramverket ger en intuitiv distributionsupplevelse för specifika åtkomsttopologier.

Den guidade konfigurationsversionen 16.x har funktionen Enkel knapp. Administratörer går inte fram och tillbaka mellan Microsoft Entra-ID och en BIG-IP för att aktivera tjänster för SHA. Guiden APM Guidad konfiguration och Microsoft Graph hanterar distribution och principhantering. Den här integreringen mellan BIG-IP APM och Microsoft Entra ID säkerställer att program stöder identitetsfederation, enkel inloggning och villkorsstyrd åtkomst för Microsoft Entra, utan hanteringskostnader för varje app.

Självstudier för att använda enkla knappmallar, enkel F5 BIG-IP-knapp för enkel inloggning för att:

Microsoft Entra B2B-gäståtkomst

Microsoft Entra B2B-gäståtkomst till SHA-skyddade program är möjlig, men kan kräva steg som inte finns i självstudierna. Ett exempel är Kerberos SSO, när en BIG-IP utför kerberos-begränsad delegering (KCD) för att hämta en tjänstbiljett från domänkontrollanter. Utan en lokal representation av en lokal gästanvändare uppfyller inte en domänkontrollant begäran eftersom det inte finns någon användare. För att stödja det här scenariot kontrollerar du att externa identiteter flödas ned från din Microsoft Entra-klientorganisation till den katalog som används av programmet.

Läs mer: Ge B2B-användare i Microsoft Entra ID åtkomst till dina lokala program

Nästa steg

Du kan utföra ett konceptbevis (POC) för SHA med hjälp av din BIG-IP-infrastruktur eller genom att distribuera en virtuell big-IP Virtual Edition-dator till Azure. Det tar cirka 30 minuter att distribuera en virtuell dator (VM) i Azure. Resultatet är:

  • En säker plattform för att modellera en pilot för SHA
  • En förproduktionsinstans för att testa nya BIG-IP-systemuppdateringar och snabbkorrigeringar

Identifiera ett eller två program som ska publiceras med BIG-IP och skyddas med SHA.

Vår rekommendation är att börja med ett program som inte publiceras via en BIG-IP. Den här åtgärden undviker potentiella avbrott i produktionstjänsterna. Riktlinjerna i den här artikeln kan hjälpa dig att lära dig mer om proceduren för att skapa BIG-IP-konfigurationsobjekt och konfigurera SHA. Du kan sedan konvertera BIG-IP-publicerade tjänster till SHA.

Resurser