通过 Azure Active Directory 轻松配置对所有应用的安全访问

F5 BIG-IP APM 与 Microsoft Azure AD 可以无缝配合，可联合访问所有应用，甚至是传统和自定义应用。

虽然目前正在不断地将工作负载迁移到云端，并开发新的云原生应用，但在可预见的未来，企业的大部分关键任务应用可能会继续驻留在企业内部。在 2020 年 F5 应用服务状况报告中，仅有 27% 的受访者表示，到2020年底，其一半以上的应用将进入云端。

部署和维护云和本地应用的混合并不是全新挑战，但随着移动和远程工作人员数量的急剧增长，启用零信任安全架构的一个方面已变得尤为紧迫。F5 和 Microsoft 提供了一个最佳的集成解决方案，可用于在企业的所有应用中采用零信任，包括企业内部的“传统”应用以及部署在云中的企业应用，F5 可以为管理员提供大幅简化这些应用访问权限管理和配置的工具。

采用“零信任”安全模式是整个企业的优先事项，由于规模所限，这种模式更倾向于采用全面、低接触的解决方案。由于 F5 和 Microsoft 的紧密合作，得以让此类解决方案付诸实际应用，确保部署在云或软件即服务 (SaaS) 中的企业应用安全和效率，同时还能让企业内部应用通过 F5 BIG-IP Access Policy Manager (APM) 利用 Microsoft Azure Active Directory (Azure AD) 的特性和功能。BIG-IP APM 还包括 Access Guided Configuration (AGC)，该功能能够将应用访问配置的复杂性降低 75%。这对 NetOps 和 SecOps 工作负载有着重要的影响，而且更重要的是，该功能可自动化通常是琐碎但却很重要的任务，在准确性至关重要的情况下，还可以降低人为错误风险。

一个典型的企业可能有几十个、几百个，有时甚至几千个“传统”或自定义应用（其中许多开发于公有云成为主要考虑事项之前），这些应用仍然用于日常用途，其中不乏包含如 Oracle 和 SAP 等知名供应商的受信赖应用的所有内容，还有维持个别公司销售、库存、物流或其他关键任务功能的高度定制应用。至关重要的是，用户可以从任何地点快速方便地访问这些应用，并且没有任何应用会因异地访问难度太大而使使用频率下降。

在云中，Azure AD 提供了值得信赖的企业身份服务，还提供单点登录 (SSO) 和多因素身份验证 (MFA)，以帮助保护用户免受 99.9% 的网络安全攻击。Azure AD 支持 2800 多个预集成的 SaaS 应用，包括 Office 365、Google Apps 和 Salesforce。对于许多企业来说，Azure AD 已经成为值得信赖的身份来源，让企业可以连接员工、合作伙伴和客户。

BIG-IP APM 可确保、简化和保护用户对应用、数据和应用可编程接口 (API) 的访问，同时提供市场上最具扩展性的访问网关。BIG-IP APM 已经部署于大多数财富 500 强企业之中，是 F5 BIG-IP Local Traffic Manager (F5 BIG-IP LTM) 和 F5 Advanced WAF(API安全-新一代WAF)等其他解决方案的重要组成部分。

BIG-IP APM 是企业传统和自定义应用的访问网关。在支持现代身份验证（如安全断言标记语言 (SAML)、开放身份连接 (OIDC) 和开放身份验证 (OAuth)）的公有云和 SaaS 应用与支持传统身份验证（如 Kerberos、标头型和 RADIUS）的企业内部和私有云应用之间，F5 和 Azure AD 的集成弥合了身份验证层面的差距。

BIG-IP APM 和 Azure AD 无缝协作，可以将用户身份联合起来，简化企业应用的用户身份验证和授权，不受限于应用的托管位置。企业可以应用 Azure AD Conditional Access 策略，并利用 Azure Identity Protection 引擎来检测用户登录风险，管理和监控访问情况，为用户提供 SSO、MFA 和对传统应用的无密码身份验证。

对于熟悉这些技术的企业来说，可从 Microsoft 和 F5 获得关于设置和部署的指南和说明，根据每个企业对传统应用使用的不同，这些指南和说明也会有所不同。

BIG-IP APM 和 Azure AD 可以共同简化应用访问，并通过集中应用访问提供更好的用户体验。组合后的解决方案使用户只需登录一次，即可从单一位置访问其有权访问的所有适当应用（不受限于托管位置）。然而，改善用户体验只是此种组合解决方面的诸多好处之一。从企业角度而言，还有一系列额外的好处，包括能够大幅简化设置和部署、减少管理费用，并改善整体管理体验。

一般而言，管理员会使用已发布的配置指南和教程中提供的全方位的步骤说明，来完成 BIG-IP APM 和 Azure AD 的集成流程；但如今，BIG-IP APM 的 Access Guided Configuration (AGC) 可以通过单一界面对所有应用进行策略控制，让身份验证得以集中化，使应用访问的部署和管理得到简化，同时令管理体验更加轻松自如。

AGC 可以引导管理员逐步完成设置和部署 BIG-IP APM 的整个过程。这种指导性的设置比传统的方法更加高效，并且对管理员的工作量和部署成本有着深远的影响。

AGC 还可以为 Azure AD 管理员提供快速掌握和管理如 SAP ERP 和 Oracle PeopleSoft 等传统关键任务型应用的能力。由于这些传统应用全部都需要自有访问配置，管理员在之前必须分别配置对 SAP 应用、Oracle 应用以及其他各个传统或自定义应用的访问（通常甚至要在一个版本之间创建独特的配置）。整个过程不仅耗时且繁琐，还极其容易发生人为错误。换句话说，自动化才是最完美的解决方案。

使用 AGC，管理员可以在一系列简单、易于浏览的输入中提供基本信息。与 BIG-IP APM 和 Azure AD 的通用引导式配置相比，AGC 中的这一功能可将配置复杂性降低 75%。一旦引导过程结束，管理员单击“部署”按钮，相应用户即可使用应用。只需单击一个按钮，管理员就可以免去以前部署 BIG-IP APM 和 Azure AD 时所需的众多步骤，从而弥合 Oracle PeopleSoft 和 SAP ERP 的访问差距。

集成的解决方案将所有经批准的传统和自定义应用、公有云应用和 SaaS 应用的用户身份进行联合。这包括通过 SSO 增强用户体验和凭据安全性，并通过 MFA 提高应用安全性，对于以前不能或不支持的传统和自定义应用，尤为如此。

将用户身份验证集中到应用中，可以缓解企业受到威胁的情况，提高可用性，并显著降低管理成本。BIG-IP APM 与 Microsoft Azure AD 的集成可以实现此种集中化，显著改善用户和管理员的体验。

用户可以通过单一用户登录获得丰富的体验，无论应用的位置或采用哪种身份验证方式，这类登录可提供对所有应用的无缝、安全访问。同时，借助大幅简化不支持现代身份验证的传统和自定义应用设置，管理费用和成本得以削减。

由于应用当今位于企业内部以及私有云和公有云之间，企业需要一个解决方案来保护、简化和集中访问所有应用（云原生、SaaS、传统和自定义），并且还需要将访问扩展到无法支持当今 SSO 协议和 MFA 的应用，同时提供零信任应用访问和轻松的用户体验。联用 BIG-IP APM 和 Azure AD，企业可以确保以受信任的方式对所有应用进行无缝访问，从而显著改善用户和管理员的体验。

如要了解更多信息，请参见 Microsoft Azure 的 F5 网页。