博客

利用 Microsoft Azure Active Directory 的条件访问和 BIG-IP APM 实现零信任

F5 缩略图
F5
2021 年 5 月 17 日发布

甚至在疫情爆发之前,许多员工就已经在家里、咖啡店和路上使用公司发放的或个人设备访问应用和数据资源。 如今,许多组织都允许员工在任何地方工作(WFA),以减少通勤时间,实现工作与生活的平衡,并使他们能够居住在任何地方。 组织之所以采用 WFA,是因为它可以通过合并甚至关闭一些物理位置来节省成本。 此外,他们现在认识到他们的员工可以在任何地方提高工作效率。

虽然 WFA 确实有好处,但这种趋势增加了公司的压力,要求他们对远程用户访问采取最严格的安全措施,同时确保应用和数据访问的无缝用户体验。 此外,应用及其访问将在一段时间内保持混合状态,一些应用程序位于公共云中(例如原生云或 SaaS 应用程序),而其他应用程序位于本地、数据中心或私有云中。 这使得用户和组织对应用的访问变得更加复杂,并且安全性也变得更加困难。 这也给试图在其所有应用中部署零信任架构的组织带来了更大的压力,无论它们位于何处。

大多数关键任务应用(如经典应用程序和自定义应用)无法迁移到云中。 经典应用(例如 Oracle 和 SAP 开发的应用程序)和自定义应用程序通常不支持或无法支持现代身份验证标准和协议(例如 SAML 和 OIDC)。通常也不支持身份联合和单点登录 (SSO)。 许多也无法支持多因素身份验证 (MFA)。 这意味着您的组织必须管理多个用户身份验证点和方法,而用户必须管理不同应用的不同凭据和各种形式的身份验证和访问。 这会给员工和承包商带来复杂、混乱的体验,增加管理员的工作量,并提高 IT 支持成本。

组织必须允许用户简单、安全地访问所有应用,无论它们托管在何处。 这有助于改善用户体验,无论用户身在何处,同时也使管理员的工作更轻松。

BIG-IP 访问策略管理器 (APM)是 F5 的安全、高度可扩展的访问权限管理代理解决方案,可实现对用户、设备、应用和 API 的集中全局访问控制。 Microsoft Azure Active Directory (AD)是 Microsoft 全面的基于云的身份和访问权限管理平台。

BIG-IP APM 与 Azure AD 协同工作,实现对所有应用的无缝、安全访问,无论它们托管在何处 - 在公共云、作为原生云或 SaaS应用、在本地、在数据中心还是在私有云中。 该集成解决方案简化了员工的应用访问,大大改善了他们的体验,同时显著降低了企业的应用访问安全风险。 它允许员工安全地访问所有授权应用,无论这些应用支持现代身份验证标准和协议还是经典身份验证方法,例如 Kerberos 或基于标头的方法。

随着 BIG-IP v16.1 的发布,BIG-IP APM 和 Microsoft Azure AD 通过在 BIG-IP APM 用户界面中集成 Azure AD 条件访问功能来扩展应用访问安全性。

Azure AD 条件访问是 Azure AD 用于汇集信号、做出决策和执行组织策略的工具。 最简单的政策是“如果-那么”语句: 如果用户想要访问资源,那么他们必须满足或遵守现有的政策。 通过使用条件访问策略,您可以在需要时应用正确的访问控制以确保组织的安全。

Microsoft Azure AD 条件访问在制定策略决策时可以考虑的常见信号包括:

  • 用户或组成员身份
  • IP 位置信息
  • 设备运行状况
  • application类型
  • 用户和会话风险

然后,根据这些信号,决定允许、授予或阻止用户访问。 Azure AD 条件访问充当进行实时评估的策略引擎,并与 BIG-IP APM 协作进行强制执行。

您可以在下面看到这一新体验的屏幕截图:

通过这种新的集成,BIG-IP APM 和 Azure AD:

  • 为您的应用程序提供单一且易于使用的界面: 通过 BIG-IP APM 的访问引导配置 (AGC),管理员可以使用单一界面配置和管理所有应用程序(包括自定义应用程序和经典应用程序,例如 Oracle E-Business Suite (EBS)、Oracle JD Edwards 和 SAP ERP)的策略控制,以获得轻松的入职体验。
  • 让您的用户随时随地提高工作效率: 通过 Azure AD 条件访问和 BIG-IP APM 的集成,如果用户满足管理员设置的条件,他们就可以轻松无缝地访问基于云的应用程序和自定义/经典应用程序。
  • 集中用户身份验证: 管理员不必管理基于云的应用程序的单独的身份验证方法和经典/自定义应用的其他方法。
  • 保护您组织的资产: 通过集成 Azure AD 和 BIG-IP APM,可以在需要时应用额外的适当访问控制来确保应用程序和数据的安全。 BIG-IP APM 通过根据每个应用程序请求向用户授予访问权限,进一步提供保护。

F5 和 Microsoft 将继续提供一流的集成解决方案,以便在您的所有应用中采用和调整零信任,同时 F5 将继续为管理员提供工具,以大大简化您应用程序的访问权限管理和配置。

您可以在此处找到有关 BIG-IP APM 和 Microsoft Azure AD 联合解决方案的更多详细信息。