WHITE PAPER

通过 Azure Active Directory 轻松配置对所有应用的安全访问


F5 BIG-IP APM 与 Microsoft Azure AD 可以无缝配合,可联合访问所有应用,甚至是传统和自定义应用。

虽然目前正在不断地将工作负载迁移到云端,并开发新的云原生应用,但在可预见的未来,企业的大部分关键任务应用可能会继续驻留在企业内部。在 2020 年 F5 应用服务状况报告中,仅有 27% 的受访者表示,到2020年底,其一半以上的应用将进入云端。

部署和维护云和本地应用的混合并不是全新挑战,但随着移动和远程工作人员数量的急剧增长,启用零信任安全架构的一个方面已变得尤为紧迫。F5 和 Microsoft 提供了一个最佳的集成解决方案,可用于在企业的所有应用中采用零信任,包括企业内部的“传统”应用以及部署在云中的企业应用,F5 可以为管理员提供大幅简化这些应用访问管理和配置的工具。

采用“零信任”安全模式是整个企业的优先事项,由于规模所限,这种模式更倾向于采用全面、低接触的解决方案。由于 F5 和 Microsoft 的紧密合作,得以让此类解决方案付诸实际应用,确保部署在云或软件即服务 (SaaS) 中的企业应用安全和效率,同时还能让企业内部应用通过 F5 BIG-IP Access Policy Manager (APM) 利用 Microsoft Azure Active Directory (Azure AD) 的特性和功能。BIG-IP APM 还包括 Access Guided Configuration (AGC),该功能能够将应用访问配置的复杂性降低 75%。这对 NetOps 和 SecOps 工作负载有着重要的影响,而且更重要的是,该功能可自动化通常是琐碎但却很重要的任务,在准确性至关重要的情况下,还可以降低人为错误风险。

F5 BIG-IP APM 的 Access Guided Configuration 功能已得到证实,可以降低 75% 的应用访问配置复杂性。

一个典型的企业可能有几十个、几百个,有时甚至几千个“传统”或自定义应用(其中许多开发于公有云成为主要考虑事项之前),这些应用仍然用于日常用途,其中不乏包含如 Oracle 和 SAP 等知名供应商的受信赖应用的所有内容,还有维持个别公司销售、库存、物流或其他关键任务功能的高度定制应用。至关重要的是,用户可以从任何地点快速方便地访问这些应用,并且没有任何应用会因异地访问难度太大而使使用频率下降。

跨 BIG-IP APM 和 Azure AD 的集成

在云中,Azure AD 提供了值得信赖的企业身份服务,还提供单点登录 (SSO) 和多因素身份验证 (MFA),以帮助保护用户免受 99.9% 的网络安全攻击。Azure AD 支持 2800 多个预集成的 SaaS 应用,包括 Office 365、Google Apps 和 Salesforce。对于许多企业来说,Azure AD 已经成为值得信赖的身份来源,让企业可以连接员工、合作伙伴和客户。

BIG-IP APM 可确保、简化和保护用户对应用、数据和应用可编程接口 (API) 的访问,同时提供市场上最具扩展性的访问网关。BIG-IP APM 已经部署于大多数财富 500 强企业之中,是 F5 BIG-IP Local Traffic Manager (F5 BIG-IP LTM) 和 F5 Advanced WAF(API安全-新一代WAF)等其他解决方案的重要组成部分。

BIG-IP APM 是企业传统和自定义应用的访问网关。在支持现代身份验证(如安全断言标记语言 (SAML)、开放身份连接 (OIDC) 和开放身份验证 (OAuth))的公有云和 SaaS 应用与支持传统身份验证(如 Kerberos、标头型和 RADIUS)的企业内部和私有云应用之间,F5 和 Azure AD 的集成弥合了身份验证层面的差距。

BIG-IP APM 和 Azure AD 无缝协作,可以将用户身份联合起来,简化企业应用的用户身份验证和授权,不受限于应用的托管位置。企业可以应用 Azure AD Conditional Access 策略,并利用 Azure Identity Protection 引擎来检测用户登录风险,管理和监控访问情况,为用户提供 SSO、MFA 和对传统应用的无密码身份验证。

图 1:F5 BIG-IP Access Policy Manager (APM) 和 Microsoft Azure Active Directory (AD) 联合应对当今关键任务型传统和自定义应用所带来的身份验证和安全挑战。
图 1:F5 BIG-IP Access Policy Manager (APM) 和 Microsoft Azure Active Directory (AD) 联合应对当今关键任务型传统和自定义应用所带来的身份验证和安全挑战。

对于熟悉这些技术的企业来说,可从 Microsoft F5 获得关于设置和部署的指南和说明,根据每个企业对传统应用使用的不同,这些指南和说明也会有所不同。

Access Guided Configuration 让应用安全触手可及

BIG-IP APM 和 Azure AD 可以共同简化应用访问,并通过集中应用访问提供更好的用户体验。组合后的解决方案使用户只需登录一次,即可从单一位置访问其有权访问的所有适当应用(不受限于托管位置)。然而,改善用户体验只是此种组合解决方面的诸多好处之一。从企业角度而言,还有一系列额外的好处,包括能够大幅简化设置和部署、减少管理费用,并改善整体管理体验。

一般而言,管理员会使用已发布的配置指南和教程中提供的全方位的步骤说明,来完成 BIG-IP APM 和 Azure AD 的集成流程;但如今,BIG-IP APM 的 Access Guided Configuration (AGC) 可以通过单一界面对所有应用进行策略控制,让身份验证得以集中化,使应用访问的部署和管理得到简化,同时令管理体验更加轻松自如。

BIG-IP APM 的 Access Guided Configuration 可以通过单一界面对所有应用进行策略控制,让身份验证得以集中化,简化应用访问的部署和管理,同时让管理体验更加轻松自如。

AGC 可以引导管理员逐步完成设置和部署 BIG-IP APM 的整个过程。这种指导性的设置比传统的方法更加高效,并且对管理员的工作量和部署成本有着深远的影响。

AGC 还可以为 Azure AD 管理员提供快速掌握和管理如 SAP ERP 和 Oracle PeopleSoft 等传统关键任务型应用的能力。由于这些传统应用全部都需要自有访问配置,管理员在之前必须分别配置对 SAP 应用、Oracle 应用以及其他各个传统或自定义应用的访问(通常甚至要在一个版本之间创建独特的配置)。整个过程不仅耗时且繁琐,还极其容易发生人为错误。换句话说,自动化才是最完美的解决方案。

图 2:F5 BIG-IP APM 配备 Access Guided Configuration (AGC),可以大幅简化内置和管理传统和自定义应用(包括 SAP ERP 和 Oracle PeopleSoft)的过程。
图 2:F5 BIG-IP APM 配备 Access Guided Configuration (AGC),可以大幅简化内置和管理传统和自定义应用(包括 SAP ERP 和 Oracle PeopleSoft)的过程。

使用 AGC,管理员可以在一系列简单、易于浏览的输入中提供基本信息。与 BIG-IP APM 和 Azure AD 的通用引导式配置相比,AGC 中的这一功能可将配置复杂性降低 75%。一旦引导过程结束,管理员单击“部署”按钮,相应用户即可使用应用。只需单击一个按钮,管理员就可以免去以前部署 BIG-IP APM 和 Azure AD 时所需的众多步骤,从而弥合 Oracle PeopleSoft 和 SAP ERP 的访问差距。

只需单击一个按钮,管理员就可以免去以前部署 BIG-IP APM 和 Azure AD 时所需的众多步骤,从而弥合访问差距。

集成的解决方案将所有经批准的传统和自定义应用、公有云应用和 SaaS 应用的用户身份进行联合。这包括通过 SSO 增强用户体验和凭据安全性,并通过 MFA 提高应用安全性,对于以前不能或不支持的传统和自定义应用,尤为如此。

将用户身份验证集中到应用中,可以缓解企业受到威胁的情况,提高可用性,并显著降低管理成本。BIG-IP APM 与 Microsoft Azure AD 的集成可以实现此种集中化,显著改善用户和管理员的体验。

用户可以通过单一用户登录获得丰富的体验,无论应用的位置或采用哪种身份验证方式,这类登录可提供对所有应用的无缝、安全访问。同时,借助大幅简化不支持现代身份验证的传统和自定义应用设置,管理费用和成本得以削减。

结论

由于应用当今位于企业内部以及私有云和公有云之间,企业需要一个解决方案来保护、简化和集中访问所有应用(云原生、SaaS、传统和自定义),并且还需要将访问扩展到无法支持当今 SSO 协议和 MFA 的应用,同时提供零信任应用访问和轻松的用户体验。联用 BIG-IP APM 和 Azure AD,企业可以确保以受信任的方式对所有应用进行无缝访问,从而显著改善用户和管理员的体验。

如要了解更多信息,请参见 Microsoft Azure 的 F5 网页。

 

Published October 12, 2020
  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

DevCentral

The F5 community for discussion forums and expert articles.

F5 Newsroom

News, F5 blogs, and more.