Tutorial: Configuración de Easy Button de BIG-IP de F5 para el inicio de sesión único LDAP y basado en encabezados

Obtenga información sobre cómo proteger las aplicaciones basadas en encabezados con Microsoft Entra ID, con Guided Configuration v16.1 de Easy Button BIG-IP de F5.

La integración de BIG-IP con Microsoft Entra ID tiene muchas ventajas, entre las que se incluyen:

• Mejora de la gobernanza de confianza cero a través de la autenticación previa y el acceso condicional de Microsoft Entra
  • Consulte ¿Qué es el acceso condicional?
  • Consulte Seguridad de Confianza cero
• Inicio de sesión único completo entre Microsoft Entra ID y los servicios publicados de BIG-IP
• Identidades administradas y acceso desde un plano de control
  • Consulte el Centro de administración de Microsoft Entra

Más información:

• Integración de F5 BIG-IP con Microsoft Entra ID
• Habilitar el SSO para una aplicación empresarial

Descripción del escenario

Este caso cubre la aplicación heredada clásica que usa encabezados de autorización HTTP para administrar el acceso al contenido protegido. Lea todas las propiedades (incluidas las propiedades privilegiadas) en los informes de inicio de sesión en Microsoft Entra ID. La modernización es costosa, requiere mucho tiempo e implica riesgo de tiempo de inactividad. En su lugar, use un controlador de entrega de aplicaciones (ADC) BIG-IP de F5 para salvar la distancia entre la aplicación heredada y el plano de control de identidad moderno con la transición de protocolo.

Un BIG-IP delante de la aplicación permite superponer el servicio con la autenticación previa y el inicio de sesión único basado en encabezados de Microsoft Entra. Esta configuración mejora la posición de seguridad de la información general de la aplicación.

Nota:

Las organizaciones pueden tener acceso remoto a este tipo de aplicación con Microsoft Entra proxy de aplicación. Más información: Acceso remoto a aplicaciones locales a través del proxy de aplicación de Microsoft Entra

Arquitectura del escenario

La solución SHA contiene:

• Aplicación: servicio publicado de BIG-IP que se va a proteger mediante el SHA de Microsoft Entra
• Microsoft Entra ID: el proveedor de identidades (IdP) de Lenguaje de marcado de aserción de seguridad (SAML), que verifica las credenciales de usuario, el acceso condicional y el SSO basado en SAML en BIG-IP. Con el inicio de sesión único, Microsoft Entra ID proporciona a BIG-IP los atributos de sesión.
• BIG-IP: proxy inverso y proveedor de servicios SAML (SP) en la aplicación, que delega la autenticación al IdP de SAML antes de realizar el SSO basado en encabezados en la aplicación back-end.

El este caso, de acceso híbrido seguro (SHA), para este escenario admite flujos iniciados por SP e IdP. En el diagrama siguiente se muestra el flujo iniciado por SP.

1. El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
2. La directiva de acceso de APM de BIG-IP redirige al usuario a Microsoft Entra ID (IdP de SAML).
3. Microsoft Entra autentica previamente al usuario y aplica directivas de acceso condicional.
4. Se redirige al usuario a BIG-IP (SP de SAML) y el inicio de sesión único se realiza mediante el token SAML emitido.
5. BIG-IP inserta los atributos de Microsoft Entra como encabezados en la solicitud de la aplicación.
6. La aplicación autoriza la solicitud y devuelve la carga.

Requisitos previos

Para esto, necesita:

• Una suscripción a Azure
  • Si no tiene una, obtenga una cuenta gratuita de Azure.
• Uno de los roles siguientes: Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones
• Una BIG-IP o la implementación de una instancia de BIG-IP Virtual Edition (VE) en Azure
  • Consulte Implementación de una máquina virtual Virtual Edition de F5 BIG-IP en Azure
• Cualquiera de las siguientes licencias de F5 BIG-IP:
  • F5 BIG-IP® Best bundle
  • Licencia independiente de F5 BIG-IP Access Policy Manager™ (APM).
  • Licencia del complemento F5 BIG-IP Access Policy Manager™ (APM) en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Evaluación gratuita completa de 90 días de BIG-IP. Consulte: Evaluaciones gratuitas
• Identidades de usuario sincronizadas desde un directorio local en Microsoft Entra ID
  • Consulte Sincronización de Microsoft Entra Connect: Comprender y personalizar la sincronización
• Un certificado web de SSL para publicar servicios a través de HTTPS o usar certificados predeterminados de BIG-IP durante las pruebas
  • Consulte Perfil de SSL
• Una aplicación basada en encabezados o configurar una aplicación de encabezados de IIS para pruebas
  • Consulte: Configuración de una aplicación de encabezado IIS

Configuración de BIG-IP

En este tutorial se utiliza Guided Configuration v16.1 con una plantilla de Easy Button. Con Easy Button, los administradores ya no tienen que ir y venir para permitir servicios de SHA. La implementación y la administración de directivas se controlan con el asistente de configuración guiada y Microsoft Graph. La integración de APM de BIG-IP y Microsoft Entra garantiza que las aplicaciones puedan admitir la federación de identidades, SSO y el acceso condicional.

Nota:

Reemplace las cadenas o valores de ejemplo por los de su entorno.

Registro de Easy Button

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Antes de que un cliente o servicio acceda a Microsoft Graph, la plataforma de identidad de Microsoft debe confiar en él.

Más información: Inicio rápido: Registro de una aplicación con la plataforma de identidad de Microsoft.

Cree un registro de aplicación de inquilino para autorizar el acceso de Easy Button a Graph. Con estos permisos, BIG-IP inserta las configuraciones para establecer una confianza entre una instancia de proveedor de servicio de SAML para la aplicación publicada y Microsoft Entra ID como el proveedor de identidades de SAML.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

2. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones>Nuevo registro.

3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.

4. Escriba un nombre para la aplicación.

5. Especifique quién usa la aplicación.

6. Seleccione Solo las cuentas de este directorio organizativo.

7. Seleccione Registrar.

8. Vaya a Permisos de la API.

9. Autorice los siguientes permisos de aplicación de Microsoft Graph:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

10. Concesión de consentimiento del administrador para su organización.

11. En Certificados y secretos, genere un nuevo secreto de cliente. Anote el secreto de cliente.

12. En Información general y anote el Id. de cliente y el Id. de inquilino.

Configuración de Easy Button

1. Inicie la configuración guiada de APM.

2. Inicie la plantilla Easy Button.

3. Vaya a Acceso > Configuración guiada.

4. Seleccione Integración de Microsoft

5. Seleccione Aplicación Microsoft Entra.

6. Revise los pasos de configuración.

7. Seleccione Siguiente.

8. Use la secuencia de pasos ilustradas para publicar la aplicación.

   

Configuration Properties

Use la pestaña Propiedades de configuración para crear una configuración de la aplicación de BIG-IP y un objeto de inicio de sesión único. Los detalles de la cuenta de servicio de Azure representa el cliente que ha registrado en el inquilino de Microsoft Entra. Use esta configuración para un cliente OAuth BIG-IP para registrar un SP de SAML en el inquilino, con propiedades de SSO. Easy Button personaliza esta acción para los servicios BIG-IP que se publican y habilitan para SHA.

Puede reutilizar la configuración para publicar más aplicaciones.

1. Escriba el nombre de la configuración.

2. Para Inicio de sesión único (SSO) y Encabezados HTTP, seleccione Activado.

3. En Id. de inquilino, Id. de cliente y Secreto de cliente, escriba lo que anotó.

4. Confirmar que el BIG-IP se conecta a su inquilino.

5. Seleccione Siguiente.

   

Proveedor de servicios

En Configuración del proveedor de servicios, defina la configuración de la instancia de SAML SP para la aplicación protegida con SHA.

1. Escriba un Host, el nombre de dominio completo público de la aplicación.

2. Escriba una Id. de entidad, el identificador que usa Microsoft Entra ID para identificar el proveedor de servicios de SAML que solicita un token.

   

3. (Opcional) En Configuración de seguridad, seleccione Habilitar aserción de cifrado para permitir que Microsoft Entra ID cifre las aserciones de SAML emitidas. Las aserciones de cifrado de Microsoft Entra y BIG-IP APM ayudan a garantizar que los tokens de contenido no se interceptan ni los datos personales o corporativos están en peligro.

4. En Configuración de seguridad, desde la lista Clave privada de descifrado de aserciones, seleccione Crear una nueva.

   

5. Seleccione Aceptar.

6. Aparece el cuadro de diálogo Importar certificado SSL y claves.

7. En Tipo de importación, seleccione PKCS 12 (IIS). Esta acción importa el certificado y la clave privada.

8. En Certificado y nombre de clave, seleccione Nuevo y escriba la entrada.

9. Escriba la Contraseña.

10. Seleccione Import (Importar).

11. Cierre la pestaña del explorador para volver a la pestaña principal.

12. Marque la casilla Habilitar aserción cifrada.
13. Si ha habilitado el cifrado, seleccione el certificado en la lista Clave privada de descifrado de aserciones. BIG-IP APM usa esta clave privada de certificado para descifrar las aserciones de Microsoft Entra.
14. Si ha habilitado el cifrado, seleccione el certificado en la lista Certificado de descifrado de aserciones. BIG-IP carga este certificado en Microsoft Entra ID para cifrar las aserciones de SAML emitidas.

Microsoft Entra ID

Siga las instrucciones siguientes para configurar una nueva aplicación SAML de BIG-IP en el inquilino de Microsoft Entra. Easy Button tiene plantillas de aplicación para Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP y una plantilla de acceso híbrido seguro genérica.

1. En Configuración de Azure, en Propiedades de configuración, seleccione Integración de Microsoft Entra ID del APM de F5 BIG-IP.
2. Seleccione Agregar.

Configuración de Azure

1. Entre en nombre para mostrar, de la aplicación BIG-IP en el inquilino de Microsoft Entra. Los usuarios ven el nombre, con un icono, en Aplicaciones de Microsoft.

2. Dirección URL de inicio de sesión (opcional).

3. Junto a Clave de firma y Certificado de firma, seleccione actualizar para buscar el certificado que importó.

4. En Frase de contraseña de clave de firma, escriba la contraseña del certificado.

5. (Opcional) Habilite la Opción de firma para asegurarse de que BIG-IP acepta tokens y notificaciones firmados por Microsoft Entra ID.

   

6. La entrada de Usuarios y Grupos de usuarios se consulta dinámicamente.

   Importante

   Agregue un usuario o grupo para las pruebas; de lo contrario, se deniega todo el acceso. En Usuarios y Grupos de usuarios, seleccione + Agregar.

   

Atributos y notificaciones de usuario

Cuando un usuario se autentica, Microsoft Entra ID emite un token SAML con notificaciones y atributos que identifican al usuario. La pestaña Atributos y notificaciones del usuario tiene las notificaciones predeterminadas para la aplicación. Use la pestaña para configurar más notificaciones.

Incluya un atributo más:

1. En Nombre de encabezado, escriba employeeid.

2. En Atributo de origen, escriba user.employeeid.

   

Atributos de usuario adicionales

En la pestaña Atributos de usuario adicionales, habilite el aumento de sesión. Use esta característica para sistemas distribuidos como Oracle, SAP y otras implementaciones de JAVA que requieren que los atributos se almacenen en otros directorios. Los atributos capturados de un origen de Protocolo ligero de acceso a directorios (LDAP) se insertan como más encabezados de SSO. Esta acción ayuda a controlar el acceso en función de los roles, los identificadores de asociado, etc.

Nota:

Esta característica no tiene correlación con el identificador de Microsoft Entra. Es un origen de atributo. 

Directiva de acceso condicional

Las directivas de acceso condicional controlan el acceso en función de las señales de dispositivo, aplicación, ubicación y riesgo.

• En Directivas disponibles, encuentre directivas de acceso condicional sin acciones del usuario
• En Directivas seleccionadas, encuentre la directiva de aplicación en la nube
  • No puede anular la selección de estas directivas ni moverlas a Directivas disponibles, ya que se aplican en un nivel de inquilino

Para seleccionar una directiva que se aplicará a la aplicación que se va a publicar:

1. En la pestaña Directiva de acceso condicional, en la lista Directivas disponibles, seleccione una directiva.
2. Seleccione la flecha derecha y muévala a la lista Selected Policies (Directivas seleccionadas).

Nota

Puede seleccionar la opción Incluir o Excluir para una directiva. Si ambas opciones están seleccionadas, no se aplica la directiva.

Nota

La lista de directivas aparece al seleccionar la pestaña Directiva de acceso condicional. Seleccione Actualizar y el asistente consulta al inquilino. La actualización aparece después de implementar una aplicación.

Propiedades del servidor virtual

Un servidor virtual es un objeto del plano de datos de BIG-IP, representado por una dirección IP virtual. El servidor escucha las solicitudes de los clientes a la aplicación. El tráfico recibido se procesa y evalúa con relación al perfil APM asociado al servidor virtual. El tráfico se dirige según la directiva.

1. En la dirección de destino, escriba una dirección IPv4 o IPv6 que use BIG-IP para recibir el tráfico de cliente. Asegúrese de que existe un registro correspondiente en el servidor de nombres de dominio (DNS) que permite a los clientes resolver la dirección URL externa de la aplicación publicada de BIG-IP en su IP. Puede usar el DNS de localhost del equipo para realizar las pruebas.

2. En Puerto de servicio, escriba 443 y seleccione HTTPS.

3. Active la casilla Habilitar puerto de redirección.

4. Escriba un valor para Puerto de redirección. Esta opción redirige el tráfico de cliente HTTP entrante a HTTPS.

5. Seleccione el perfil SSL del cliente que creó o deje el valor predeterminado durante las pruebas. El perfil SSL de cliente habilita el servidor virtual para HTTPS, para que las conexiones de cliente se cifren con TLS.

   

Propiedades del grupo

En la pestaña Grupo de aplicaciones se tiene servicios detrás de BIG-IP que se representan como un grupo con uno o varios servidores de aplicaciones.

1. Para Seleccionar un grupo, seleccione Crear nuevo o seleccione otra opción.

2. Para Método de equilibrio de carga, seleccione Round Robin.

3. Para los servidores de grupo, seleccione un nodo o seleccione una dirección IP y un puerto para el servidor que hospeda la aplicación basada en encabezados.

   

   Nota:

   La aplicación back-end de Microsoft está en el puerto HTTP 80. Si selecciona HTTPS, use 443.

Encabezados de inicio de sesión único y HTTP

Con el inicio de sesión único, los usuarios acceden a los servicios publicados de BIG-IP sin especificar credenciales. El asistente de Easy Button admite encabezados de autorización de Kerberos, portador de OAuth y HTTP para el inicio de sesión único.

1. En Inicio de sesión único y encabezados HTTP, en Encabezados de inicio de sesión únicos, para Operación de encabezado, seleccione insertar

2. En Nombre de encabezado, use upn.

3. Para Valor de encabezado, use %{session.saml.last.identity}.

4. En Operación de encabezado, seleccione insertar.

5. En Nombre de encabezado, use employeeid.

6. En Valor de encabezado, use %{session.saml.last.attr.name.employeeid}.

   

   Nota:

   Las variables de sesión de APM entre llaves distinguen entre mayúsculas y minúsculas. Las incoherencias provocan errores de asignación de atributos.

Administración de sesiones

Use la configuración de administración de sesión de BIG-IP para definir las condiciones para cerrar o continuar las sesiones de los usuarios.

Para obtener más información, vaya a support.f5.com y consulte K18390492: Seguridad | Guía de operaciones de APM de BIG-IP

La funcionalidad de cierre de sesión único (SLO) garantiza que las sesiones entre el IdP, BIG-IP y el agente de usuario finalicen cuando los usuarios cierren la sesión. Cuando Easy Button crea una aplicación SAML en el inquilino de Microsoft Entra, rellena la dirección URL de cierre de sesión con el punto de conexión de SLO de APM. El cierre de sesión iniciado por IdP de Aplicaciones finaliza las sesiones de cliente y BIG-IP.

Más información: consulte Aplicaciones

Los metadatos de federación SAML para la aplicación publicada se importan desde el inquilino. La importación proporciona al APM el punto de conexión de cierre de sesión de SAML para Microsoft Entra ID. Esta acción garantiza que el cierre de sesión iniciado por SP finaliza el cliente y la sesión de Microsoft Entra. Asegúrese de que APM sabe cuándo se produce el cierre de sesión del usuario.

Si el portal de webtop de BIG-IP accede a aplicaciones publicadas, el APM procesa el cierre de sesión para llamar al punto de conexión de cierre de sesión de Microsoft Entra. Si no se usa el portal de webtops de BIG-IP, el usuario no puede indicar al APM que cierre la sesión. Si el usuario cierra la sesión de la aplicación, BIG-IP omite la acción. Por lo tanto, asegúrese de que el cierre de sesión iniciado por SP finaliza de forma segura las sesiones. Puede agregar una función SLO a un botón Cerrar sesión de la aplicación y, a continuación, los clientes se redirigen al punto de conexión de cierre de sesión de SAML o BIG-IP de Microsoft Entra. Para localizar la dirección URL del punto de conexión de cierre de sesión de SAML para el inquilino, vaya a Registros de aplicaciones > Puntos de conexión.

Si no puede cambiar la aplicación, habilite BIG-IP para escuchar la llamada de cierre de sesión de la aplicación y desencadenar el SLO.

Más información:

• Cierre de sesión único de PeopleSoft
• Vaya a support.f5.com para consultar:
  • K42052145: Configuración de la terminación automática de sesión (cierre de sesión) basada en un nombre de archivo al que se hace referencia mediante un identificador URI
  • K12056: Información general de la opción de inclusión de un identificador URI de cierre de sesión.

Implementar

La implementación proporciona un desglose de las configuraciones.

1. Para confirmar la configuración, seleccione Implementar.
2. Compruebe la aplicación en la lista de inquilinos de aplicaciones empresariales.
3. La aplicación se publica y es accesible a través de SHA, con su URL o en los portales de aplicaciones de Microsoft.

Prueba

1. En un explorador, conéctese a la dirección URL externa de la aplicación o seleccione el icono de la aplicación en Mis aplicaciones.
2. Autentíquese en Microsoft Entra ID.
3. Se produce un redireccionamiento al servidor virtual BIG-IP para la aplicación y se inicia sesión con SSO.

La captura de pantalla siguiente es la salida de encabezados insertados de la aplicación basada en encabezados.

Nota

Puede bloquear el acceso directo a la aplicación, forzando así una ruta a través de BIG-IP.

Implementación avanzada

En algunos escenarios, las plantillas de configuración guiadas carecen de flexibilidad.

Más información. Tutorial: Configuración de BIG-IP Access Policy Manager de F5 para inicio de sesión único basado en encabezados.

En BIG-IP, puede deshabilitar el modo de administración estricta de Guided Configuration. A continuación, cambie manualmente las configuraciones, pero la mayoría de las configuraciones se automatizan con plantillas de asistente.

1. Para deshabilitar el modo estricto, vaya a Acceso > Configuración guiada.

2. En la fila de la configuración de la aplicación, seleccione el icono de candado.

3. Los objetos BIG-IP asociados a la instancia publicada de la aplicación se desbloquean para la administración. Los cambios con el asistente ya no son posibles.

   

   Nota

   Si vuelve a habilitar el modo estricto e implementa una configuración, la acción sobrescribe la configuración no en la configuración guiada. Se recomienda la configuración avanzada para los servicios de producción.

Solución de problemas

Use estas instrucciones cuando solucione problemas.

Nivel de detalle del registro

El registro de BIG-IP puede ayudar a aislar problemas con la conectividad, el inicio de sesión único, las directivas o las asignaciones de variables mal configuradas. Para solucionar problemas, aumente el detalle del registro.

1. Vaya a Directiva de acceso > Información general.
2. Seleccione Registro de eventos.
3. Haga clic en Configuración.
4. Seleccione la fila de la aplicación publicada
5. Seleccione Editar.
6. Seleccione Acceder a los registros del sistema.
7. Seleccione Depurar en la lista de inicio de sesión único.
8. Selecciona Aceptar.
9. Reproduzca el problema.
10. Inspección de los registros.

Nota:

Revierta esta característica cuando termine. El modo detallado genera datos excesivos.

Mensaje de error de BIG-IP

Si aparece un mensaje de error de BIG-IP después de Microsoft Entra autenticación previa, el problema podría estar relacionado con Microsoft Entra SSO de ID a BIG-IP.

1. Vaya a Directiva de acceso > Información general.
2. Seleccione Informes de acceso.
3. Ejecute el informe durante la última hora.
4. Revise los registros para encontrar pistas.

Use el vínculo de las variables Ver sesión para determinar que APM recibe las notificaciones de Microsoft Entra esperadas.

No hay ningún mensaje de error de BIG-IP

Si no aparece ningún mensaje de error de BIG-IP, el problema podría estar relacionado con la solicitud de back-end o BIG-IP para el inicio de sesión único de la aplicación.

1. Vaya a Directiva de acceso > Información general.
2. Seleccionar Sesiones activas.
3. Seleccione el vínculo de sesión activa.

Use el vínculo Ver variables para ayudar a determinar los problemas de SSO, especialmente si BIG-IP APM no obtiene los atributos correctos.

Más información:

• Configuración de la autenticación remota LDAP para Active Directory
• Vaya a techdocs.f5.com para consultar Capítulo manual: Consulta LDAP