將 F5 BIG-IP 與 Azure Active Directory 整合

在 Microsoft 和 F5,我們瞭解您的數位轉型是長期旅程,在現代化之前,可能會公開重要的資源。 F5 BIG-IP 和 Azure Active Directory (Azure AD) 安全混合式存取 (SHA) 的目標是要改善對內部部署應用程式的遠端存取,並強化易受攻擊舊版服務的安全性狀態。














隨著威脅環境增加和使用多個行動裝置,組織會重新思考資源存取和治理。 現代化計畫的一部分包括評估身分識別、裝置、應用程式、基礎結構、網路和資料之間的整備程度。 您可以瞭解零信任架構,以啟用遠端工作和零信任評定工具。

在 Microsoft 和 F5,我們瞭解您的數位轉型是長期旅程,在現代化之前,可能會公開重要的資源。 F5 BIG-IP 和 Azure Active Directory (Azure AD) 安全混合式存取 (SHA) 的目標是要改善對內部部署應用程式的遠端存取,並強化易受攻擊舊版服務的安全性狀態。

研究估計 60%-80% 的內部部署應用程式是舊版,或無法與 Azure AD 整合。 相同的研究指出在舊版 SAP、Oracle、SAGE 和其他重要服務的已知工作負載上執行的類似系統比例很大。

SHA 可讓組織繼續使用 F5 網路和應用程式傳遞的投資。 使用 Azure AD 時,SHA 會利用身分識別控制平面來橋接間距。

優點

當 Azure AD 預先驗證 BIG-IP 已發佈服務的存取權時,有許多優點:

其他優點包括:

案例描述

身為應用程式傳遞控制器 (ADC) 和安全通訊端層虛擬私人網路 (SSL-VPN) ,BIG-IP 系統可提供本機和遠端存取服務,包括:

  • 新式和舊版 Web 應用程式
  • 非 Web 型應用程式
  • 表示狀態傳輸 (REST) 和簡單物件存取通訊協定 (SOAP) Web 應用程式程式設計介面 (API) 服務

BIG-IP 本機流量管理員 (LTM) 適用于安全服務發佈,而存取原則管理員 (APM) 會擴充 BIG-IP 函式,以啟用身分識別同盟和單一登入 (SSO) 。

透過整合,您可以透過下列控制項達成通訊協定轉換,以保護舊版或非 Azure AD 整合的服務:

在此案例中,BIG-IP 是反向 Proxy,可交握服務預先驗證和授權給 Azure AD。 整合是以 APM 與 Azure AD 之間的標準同盟信任為基礎。 此案例與 SHA 很常見。 深入瞭解: 設定 F5 BIG-IP SSL-VPN for Azure AD SSO。 使用 SHA,您可以保護 SAML) 、開啟授權 ( (OAuth) 和 Open ID Connect (OIDC) 資源的安全性判斷提示標記語言。

 注意
當用於本機和遠端存取時,BIG-IP 可以是零信任服務的存取點,包括軟體即服務 (SaaS) 應用程式。

下圖說明服務提供者中使用者、BIG-IP 和 Azure AD 之間的前端預先驗證交換, (SP) 起始流程。 然後會顯示後續的 APM 會話擴充,以及個別後端服務的 SSO。

integration-flow-diagram
  1. 在入口網站中,使用者選取應用程式圖示,解析 SAML SP (BIG-IP) 
  2. BIG-IP 會將使用者重新導向至 SAML 識別提供者, (IdP) 、Azure AD 以進行預先驗證
  3. Azure AD 處理條件式存取原則和工作階段控制項以獲得授權
  4. 使用者回到 BIG-IP,並呈現 Azure AD 所發出的 SAML 宣告
  5. SSO和角色型存取控制的 BIG-IP 要求會話資訊, (RBAC) 已發佈的服務
  6. BIG-IP 會將用戶端要求轉送至後端服務

使用者體驗

無論是員工、聯盟或取用者,大部分的使用者都熟悉Office 365登入體驗。 存取 BIG-IP 服務很類似。

無論裝置或位置為何,使用者都可以在我的應用程式入口網站或Microsoft 365 應用程式啟動器中找到其 BIG-IP 已發佈服務。 使用者可以使用 BIG-IP Webtop 入口網站繼續存取已發佈的服務。 當使用者登出時,SHA 可確保 BIG-IP 和 Azure AD 的會話終止,協助服務受到保護,免于未經授權的存取。

使用者存取我的應用程式入口網站,以尋找 BIG-IP 已發佈的服務,以及管理其帳戶屬性。 請參閱下圖中的資源庫和自助頁面。

woodgrove-app-gallery
woodgrove-myaccount

深入解析與分析

您可以監視已部署的 BIG-IP 實例,以確保已發佈的服務在 SHA 層級具有高可用性且可運作。

有數個選項可在本機記錄事件,或透過安全性資訊和事件管理遠端 (SIEM) 解決方案,以啟用儲存體和遙測處理。 若要監視 Azure AD 和 SHA 活動,您可以同時使用 Azure 監視器 和 Microsoft Sentinel

  • 組織概觀,可能跨多個雲端和內部部署位置,包括 BIG-IP 基礎結構
  • 具有訊號檢視的一個控制平面,避免依賴複雜且不同的工具
azure-sentinel

整合必要條件

實作 SHA 不需要先前的經驗或 F5 BIG-IP 知識,但建議您瞭解一些 F5 BIG-IP 術語。 請參閱 F5 服務 詞彙

將 F5 BIG-IP 與適用于 SHA 的 Azure AD 整合具有下列必要條件:

  • 在下列位置執行的 F5 BIG-IP 實例:
    • 實體設備
    • Hypervisor 虛擬版本,例如 Microsoft Hyper-V、VMware ESXi、Linux KVM 和 Citrix Hypervisor
    • 雲端虛擬版本,例如 Azure、VMware、KVM、Community Xen、MS Hyper-V、AWS、OpenStack 和 Google Cloud

 注意
BIG-IP 實例位置可以是內部部署或支援的雲端平臺,包括 Azure。 實例具有網際網路連線能力、正在發佈的資源,以及 Active Directory 之類的任何服務。

設定案例

您可以使用範本型選項或手動設定 SHA 的 BIG-IP。 下列教學課程提供實作 BIG-IP 和 Azure AD 安全混合式存取的指引。

進階組態

進階方法是實作 SHA 的彈性方式。 您可以手動建立所有 BIG-IP 組態物件。 針對不在引導式組態範本中的案例,請使用此方法。

進階設定教學課程:

引導式設定和簡單按鈕範本

BIG-IP 13.1 版引導式設定精靈,可將實作常見 BIG-IP 發佈案例的時間和精力降到最低。 其工作流程架構會針對特定存取拓撲提供直覺式部署體驗。

引導式設定 16.x 版具有簡易按鈕功能:系統管理員不再往返于 Azure AD 與 BIG-IP 之間,以啟用 SHA 的服務。 端對端部署和原則管理是由 APM 引導式設定精靈和 Microsoft Graph 處理。 BIG-IP APM 與 Azure AD 之間的這項整合可確保應用程式支援身分識別同盟、SSO 和 Azure AD 條件式存取,而不需要管理每個應用程式的額外負荷。

使用簡易按鈕範本的教學課程, F5 BIG-IP Easy Button for SSO 以

Azure AD B2B 來賓存取

您可以存取 SHA 保護應用程式的 Azure AD B2B 來賓存取權,但可能需要不需要教學課程中的步驟。 其中一個範例是 Kerberos SSO,當 BIG-IP 執行 kerberos 限制委派 (KCD) ,以從網域控制站取得服務票證時。 如果沒有本機來賓使用者的本機標記法,網域控制站將不會接受要求,因為沒有任何使用者。 若要支援此案例,請確定外部身分識別會從您的 Azure AD 租使用者向下流向應用程式所使用的目錄。

深入瞭解: 在 Azure AD 中授與 B2B 使用者對內部部署應用程式的存取權

下一步

您可以使用 BIG-IP 基礎結構或將 BIG-IP Virtual Edition (VE) VM 部署至 Azure,來進行 SHA 的概念證明。 若要在 Azure 中部署 VM 大約需要 30 分鐘,則您會有:

  • 建立 SHA 試驗模型的安全平臺
  • 用於測試全新 BIG-IP 系統更新和修正程式的預備生產階段執行個體

識別要與 BIG-IP 一起發佈的一或兩個應用程式,並使用 SHA 保護。

我們建議從未透過 BIG-IP 發佈的應用程式開始。 此動作可避免對生產服務造成潛在中斷。 本文中的指導方針可協助您瞭解建立 BIG-IP 設定物件和設定 SHA 的程式。 然後,您可以最少地將 BIG-IP 已發佈的服務轉換為 SHA。

下列互動式指南說明如何使用範本和使用者體驗來實作 SHA。

文章來源:Microsoft

標籤