整合 F5 BIG-IP 與 Microsoft Entra ID

隨著威脅環境的增加和使用多個行動裝置,組織正在重新思考資源存取和治理。 現代化計畫的一部分包括評估身分識別、裝置、應用程式、基礎結構、網路和資料之間的整備程度。 您可以瞭解 零信任架構,以啟用遠端工作 和零信任評定工具。

隨著威脅環境的增加和使用多個行動裝置,組織正在重新思考資源存取和治理。 現代化計畫的一部分包括評估身分識別、裝置、應用程式、基礎結構、網路和資料之間的整備程度。 您可以瞭解 零信任架構,以啟用遠端工作 和零信任評定工具。

在 Microsoft 和 F5,我們意識到您的數位轉型是一個長期旅程,潛在的關鍵資源會公開到現代化為止。 F5 BIG-IP 和 Microsoft Entra ID 安全混合式存取 (SHA) 的目標是改善對內部部署應用程式的遠端存取,並強化易受攻擊舊版服務的安全性狀態。

研究估計 60%-80% 的內部部署應用程式是繼承應用程式,或無法與 Microsoft Entra ID 整合。 同一項研究指出,在舊版 SAP、Oracle、SAGE 和其他重要服務的已知工作負載上執行的大量類似系統。

SHA 可讓組織繼續使用對 F5 網路和應用程式傳遞的投資。 使用 Microsoft Entra ID,SHA 會利用身分識別控制平面來橋接間距。

福利

當 Microsoft Entra ID 預先驗證 BIG-IP 已發佈服務的存取權時,有許多優點:

其他優點包括:

案例描述

作為應用程式傳遞控制器(ADC)和安全通訊端層虛擬私人網路(SSL-VPN),BIG-IP 系統提供服務的本機和遠端存取,包括:

  • 新式和舊版 Web 應用程式
  • 非 Web 應用程式
  • 具象狀態傳輸 (REST) 和簡單物件存取通訊協定 (SOAP) Web 應用程式開發介面 (API) 服務

BIG-IP 本機流量管理員 (LTM) 適用于安全服務發佈,而存取原則管理員 (APM) 會擴充 BIG-IP 函式,以啟用身分識別同盟和單一登入 (SSO)。

透過整合,您可以達成通訊協定轉換,以保護舊版或非 Azure AD 整合式服務,以及下列控制項:

在此案例中,BIG-IP 是反向 Proxy,可交出服務預先驗證和授權給 Microsoft Entra ID。 整合是以 APM 與 Microsoft Entra 識別碼之間的標準同盟信任為基礎。 此案例與 SHA 很常見。 深入瞭解: 設定 F5 BIG-IP SSL-VPN for Microsoft Entra SSO 。 使用 SHA,您可以保護安全性聲明標記語言 (SAML)、開放授權 (OAuth) 和 OpenID 連線 (OIDC) 資源。

 ⚠︎注意
當用於本機和遠端存取時,BIG-IP 可以是零信任服務存取的窒息點,包括軟體即服務 (SaaS) 應用程式。

下圖說明服務提供者 (SP) 起始流程中使用者、BIG-IP 和 Microsoft Entra ID 之間的前端預先驗證交換。 接著會顯示後續的 APM 會話擴充,以及 SSO 到個別後端服務。

Diagram of integration architecture.
  1. 在入口網站中,使用者選取應用程式圖示,解析 SAML SP 的 URL(BIG-IP)
  2. BIG-IP 會將使用者重新導向至 SAML 識別提供者(IdP)、Microsoft Entra ID,以進行預先驗證
  3. Microsoft Entra ID 會處理條件式存取原則和 會話控制項 以進行授權
  4. 使用者回到 BIG-IP,並呈現 Microsoft Entra ID 所發出的 SAML 宣告
  5. BIG-IP 要求 SSO 和 角色型存取控制 (RBAC) 的會話資訊 給已發佈的服務
  6. BIG-IP 會將用戶端要求轉送至後端服務

使用者體驗

無論是員工、聯盟或取用者,大部分的使用者都熟悉 Office 365 登入體驗。 存取 BIG-IP 服務很類似。

無論裝置或位置為何,使用者都可以在 我的應用程式 入口網站或 Microsoft 365 應用程式啟動器 中找到 其 BIG-IP 已發佈的服務。 使用者可以使用 BIG-IP Webtop 入口網站繼續存取已發佈的服務。 當使用者登出時,SHA 可確保 BIG-IP 和 Microsoft Entra 識別碼的會話終止,協助服務不受未經授權的存取保護。

使用者存取我的應用程式入口網站,以尋找 BIG-IP 已發佈的服務,以及管理其帳戶屬性。 請參閱下圖中的資源庫和自助頁面。

Screenshot of woodgrove my apps page.
Screenshot of woodgrove my account page.

深入解析和分析

您可以監視已部署的 BIG-IP 實例,以確保已發行的服務在 SHA 層級且可運作上具有高可用性。

有數個選項可在本機記錄事件,或透過安全性資訊和事件管理 (SIEM) 解決方案從遠端記錄事件,以啟用儲存體和遙測處理。 若要監視 Microsoft Entra ID 和 SHA 活動,您可以搭配使用 Azure 監視器 和 Microsoft Sentinel 

  • 組織概觀,可能跨多個雲端和內部部署位置,包括 BIG-IP 基礎結構
  • 具有訊號檢視的一個控制平面,避免依賴複雜且不同的工具Diagram of the monitoring flow.

整合必要條件

不需要先前的經驗或 F5 BIG-IP 知識才能實作 SHA,但建議您學習一些 F5 BIG-IP 術語。 請參閱 F5 服務 詞彙 

將 F5 BIG-IP 與適用于 SHA 的 Microsoft Entra ID 整合具有下列必要條件:

  • 在下列專案上執行的 F5 BIG-IP 實例:
    • 實體設備
    • Hypervisor 虛擬版本,例如 Microsoft Hyper-V、VMware ESXi、Linux KVM 和 Citrix Hypervisor
    • 雲端虛擬版本,例如 Azure、VMware、KVM、Community Xen、MS Hyper-V、AWS、OpenStack 和 Google Cloud

 ⚠︎注意
BIG-IP 實例位置可以是內部部署或支援的雲端平臺,包括 Azure。 實例具有網際網路連線能力、正在發行的資源,以及 Active Directory 等任何服務。

設定案例

您可以使用範本型選項或手動設定來設定 SHA 的 BIG-IP。 下列教學課程提供實作 BIG-IP 和 Microsoft Entra ID 安全混合式存取的指引。

進階設定

進階方法是實作 SHA 的彈性方式。 您手動建立所有 BIG-IP 組態物件。 針對不在引導式組態範本中的案例,請使用此方法。

進階設定教學課程:

引導式設定和簡易按鈕範本

BIG-IP 13.1 版引導式設定精靈,可將實作常見 BIG-IP 發佈案例的時間和精力降到最低。 其工作流程架構提供直覺式部署體驗,適用于特定存取拓撲。

引導式設定 16.x 版具有簡易按鈕功能:系統管理員不再在 Microsoft Entra ID 與 BIG-IP 之間來回切換,以啟用 SHA 的服務。 端對端部署和原則管理是由 APM 引導式設定精靈和 Microsoft Graph 處理。 BIG-IP APM 與 Microsoft Entra ID 之間的這項整合可確保應用程式支援身分識別同盟、SSO 和 Microsoft Entra 條件式存取,而不需要管理每個應用程式的額外負荷。

使用簡易按鈕範本的教學課程、 適用于 SSO 的 F5 BIG-IP Easy Button 來 

Microsoft Entra B2B 來賓存取

Microsoft Entra B2B 來賓存取 SHA 保護的應用程式是可行的,但可能需要不需要教學課程中的步驟。 其中一個範例是 Kerberos SSO,當 BIG-IP 執行 kerberos 限制委派 (KCD) 以從網域控制站取得服務票證時。 如果沒有本機來賓使用者的本機標記法,網域控制站將無法接受要求,因為沒有任何使用者。 若要支援此案例,請確定外部身分識別會從您的 Microsoft Entra 租使用者流向應用程式所使用的目錄。

深入瞭解: 授與 Microsoft Entra ID 中 B2B 使用者對內部部署應用程式的存取權

下一步

您可以使用 BIG-IP 基礎結構或將 BIG-IP 虛擬版本 (VE) VM 部署至 Azure ,對 SHA 進行概念證明。 若要在 Azure 中部署 VM 大約需要 30 分鐘,您將擁有:

  • 建立 SHA 試驗模型的安全平臺
  • 測試新 BIG-IP 系統更新和 Hotfix 的生產階段前實例

識別要以 BIG-IP 發佈的一或兩個應用程式,並受到 SHA 保護。

我們建議從未透過 BIG-IP 發佈的應用程式開始。 此動作可避免生產服務的潛在中斷。 本文中的指導方針可協助您瞭解建立 BIG-IP 組態物件及設定 SHA 的程式。 然後,您可以最少地將 BIG-IP 已發佈的服務轉換為 SHA。

下列互動式指南說明如何使用範本和使用者體驗來實作 SHA。

文章來源:Microsoft