F5 BIG-IP APM 与 Microsoft Azure AD 可以无缝配合,可联合访问所有应用,甚至是传统和自定义应用。
虽然目前正在不断地将工作负载迁移到云端,并开发新的云原生应用,但在可预见的未来,企业的大部分关键任务应用可能会继续驻留在企业内部。在 2020 年 F5 应用服务状况报告中,仅有 27% 的受访者表示,到2020年底,其一半以上的应用将进入云端。
部署和维护云和本地应用的混合并不是全新挑战,但随着移动和远程工作人员数量的急剧增长,启用零信任安全架构的一个方面已变得尤为紧迫。F5 和 Microsoft 提供了一个最佳的集成解决方案,可用于在企业的所有应用中采用零信任,包括企业内部的“传统”应用以及部署在云中的企业应用,F5 可以为管理员提供大幅简化这些应用访问权限管理和配置的工具。
采用“零信任”安全模式是整个企业的优先事项,由于规模所限,这种模式更倾向于采用全面、低接触的解决方案。由于 F5 和 Microsoft 的紧密合作,得以让此类解决方案付诸实际应用,确保部署在云或软件即服务 (SaaS) 中的企业应用安全和效率,同时还能让企业内部应用通过 F5 BIG-IP Access Policy Manager (APM) 利用 Microsoft Azure Active Directory (Azure AD) 的特性和功能。BIG-IP APM 还包括 Access Guided Configuration (AGC),该功能能够将应用访问配置的复杂性降低 75%。这对 NetOps 和 SecOps 工作负载有着重要的影响,而且更重要的是,该功能可自动化通常是琐碎但却很重要的任务,在准确性至关重要的情况下,还可以降低人为错误风险。
一个典型的企业可能有几十个、几百个,有时甚至几千个“传统”或自定义应用(其中许多开发于公有云成为主要考虑事项之前),这些应用仍然用于日常用途,其中不乏包含如 Oracle 和 SAP 等知名供应商的受信赖应用的所有内容,还有维持个别公司销售、库存、物流或其他关键任务功能的高度定制应用。至关重要的是,用户可以从任何地点快速方便地访问这些应用,并且没有任何应用会因异地访问难度太大而使使用频率下降。
在云中,Azure AD 提供了值得信赖的企业身份服务,还提供单点登录 (SSO) 和多因素身份验证 (MFA),以帮助保护用户免受 99.9% 的网络安全攻击。Azure AD 支持 2800 多个预集成的 SaaS 应用,包括 Office 365、Google Apps 和 Salesforce。对于许多企业来说,Azure AD 已经成为值得信赖的身份来源,让企业可以连接员工、合作伙伴和客户。
BIG-IP APM 可确保、简化和保护用户对应用、数据和应用可编程接口 (API) 的访问,同时提供市场上最具扩展性的访问网关。BIG-IP APM 已经部署于大多数财富 500 强企业之中,是 F5 BIG-IP Local Traffic Manager (F5 BIG-IP LTM) 和 F5 Advanced WAF(API安全-新一代WAF)等其他解决方案的重要组成部分。
BIG-IP APM 是企业传统和自定义应用的访问网关。在支持现代身份验证(如安全断言标记语言 (SAML)、开放身份连接 (OIDC) 和开放身份验证 (OAuth))的公有云和 SaaS 应用与支持传统身份验证(如 Kerberos、标头型和 RADIUS)的企业内部和私有云应用之间,F5 和 Azure AD 的集成弥合了身份验证层面的差距。
BIG-IP APM 和 Azure AD 无缝协作,可以将用户身份联合起来,简化企业应用的用户身份验证和授权,不受限于应用的托管位置。企业可以应用 Azure AD Conditional Access 策略,并利用 Azure Identity Protection 引擎来检测用户登录风险,管理和监控访问情况,为用户提供 SSO、MFA 和对传统应用的无密码身份验证。
对于熟悉这些技术的企业来说,可从 Microsoft 和 F5 获得关于设置和部署的指南和说明,根据每个企业对传统应用使用的不同,这些指南和说明也会有所不同。
BIG-IP APM 和 Azure AD 可以共同简化应用访问,并通过集中应用访问提供更好的用户体验。组合后的解决方案使用户只需登录一次,即可从单一位置访问其有权访问的所有适当应用(不受限于托管位置)。然而,改善用户体验只是此种组合解决方面的诸多好处之一。从企业角度而言,还有一系列额外的好处,包括能够大幅简化设置和部署、减少管理费用,并改善整体管理体验。
一般而言,管理员会使用已发布的配置指南和教程中提供的全方位的步骤说明,来完成 BIG-IP APM 和 Azure AD 的集成流程;但如今,BIG-IP APM 的 Access Guided Configuration (AGC) 可以通过单一界面对所有应用进行策略控制,让身份验证得以集中化,使应用访问的部署和管理得到简化,同时令管理体验更加轻松自如。
AGC 可以引导管理员逐步完成设置和部署 BIG-IP APM 的整个过程。这种指导性的设置比传统的方法更加高效,并且对管理员的工作量和部署成本有着深远的影响。
AGC 还可以为 Azure AD 管理员提供快速掌握和管理如 SAP ERP 和 Oracle PeopleSoft 等传统关键任务型应用的能力。由于这些传统应用全部都需要自有访问配置,管理员在之前必须分别配置对 SAP 应用、Oracle 应用以及其他各个传统或自定义应用的访问(通常甚至要在一个版本之间创建独特的配置)。整个过程不仅耗时且繁琐,还极其容易发生人为错误。换句话说,自动化才是最完美的解决方案。
使用 AGC,管理员可以在一系列简单、易于浏览的输入中提供基本信息。与 BIG-IP APM 和 Azure AD 的通用引导式配置相比,AGC 中的这一功能可将配置复杂性降低 75%。一旦引导过程结束,管理员单击“部署”按钮,相应用户即可使用应用。只需单击一个按钮,管理员就可以免去以前部署 BIG-IP APM 和 Azure AD 时所需的众多步骤,从而弥合 Oracle PeopleSoft 和 SAP ERP 的访问差距。
集成的解决方案将所有经批准的传统和自定义应用、公有云应用和 SaaS 应用的用户身份进行联合。这包括通过 SSO 增强用户体验和凭据安全性,并通过 MFA 提高应用安全性,对于以前不能或不支持的传统和自定义应用,尤为如此。
将用户身份验证集中到应用中,可以缓解企业受到威胁的情况,提高可用性,并显著降低管理成本。BIG-IP APM 与 Microsoft Azure AD 的集成可以实现此种集中化,显著改善用户和管理员的体验。
用户可以通过单一用户登录获得丰富的体验,无论应用的位置或采用哪种身份验证方式,这类登录可提供对所有应用的无缝、安全访问。同时,借助大幅简化不支持现代身份验证的传统和自定义应用设置,管理费用和成本得以削减。
由于应用当今位于企业内部以及私有云和公有云之间,企业需要一个解决方案来保护、简化和集中访问所有应用(云原生、SaaS、传统和自定义),并且还需要将访问扩展到无法支持当今 SSO 协议和 MFA 的应用,同时提供零信任应用访问和轻松的用户体验。联用 BIG-IP APM 和 Azure AD,企业可以确保以受信任的方式对所有应用进行无缝访问,从而显著改善用户和管理员的体验。
如要了解更多信息,请参见 Microsoft Azure 的 F5 网页。