F5 APM – SSO Forms – Client Initiated

Si vous envisagez de configurer une plate-forme SSO avec de nombreuses applications, il est probable que plusieurs applications auront des champs masqués requis lors de l'authentification de l'utilisateur. Autrement dit, certaines applications auront besoin d'un jeton caché, en plus d'un nom d'utilisateur et d'un mot de passe, pendant le processus d'authentification. Ces jours-ci, j'ai travaillé sur un projet SSO où il y avait ce type d'applications.

Bugzilla est une application Web qui envoie à l'utilisateur un jeton caché appelé "Bugzilla_login_token" qui doit être utilisé lors du processus d'authentification. Par conséquent, lorsque l'utilisateur saisit ses informations d'identification et clique sur soumettre, le jeton masqué est également envoyé via un en-tête HTTP. F5 APM peut SSO des applications avec des champs dynamiques masqués à l'aide de la fonctionnalité SSO Forms - Client Initiated.

 

 

Ci-dessous, vous pouvez voir une vidéo avec la configuration nécessaire pour effectuer SSO dans une application avec des champs dynamiques cachés. De plus, vous pouvez voir comment ajouter facilement des applications aux utilisateurs à l'aide d'attributs Active Directory à valeurs multiples. En fait, j'ai utilisé la configuration faite dans les phases précédentes du projet SSO où le mot de passe de l'utilisateur est également crypté pour le stocker sur le contrôleur de domaine.

 

Connaissiez-vous cette fonctionnalité ? L'avez-vous déjà utilisé ?

F5 ASM - ICAP pour la protection Anti-Virus

À mesure qu'Internet se développe, le besoin de services Internet évolutifs augmente également. Les serveurs Web populaires sont invités à fournir du contenu à des centaines de millions d'utilisateurs connectés à des bandes passantes sans cesse croissantes. Le modèle de serveurs centralisés et monolithiques qui sont responsables de tous les aspects de la demande de chaque client semble arriver en fin de vie.

Pour faire face à la croissance du nombre de clients, il y a eu une évolution vers des architectures qui évoluent mieux grâce à l'utilisation de la réplication, de la distribution et de la mise en cache. Du côté des fournisseurs de contenu, les techniques de réplication et d'équilibrage de charge permettent de répartir la charge des requêtes des clients sur une myriade de serveurs. Les fournisseurs de contenu ont également commencé à déployer des réseaux de distribution de contenu géographiquement diversifiés qui rapprochent les serveurs d'origine de la "périphérie" du réseau où les clients sont connectés. Ces réseaux de serveurs d'origine distribués ou "substituts" permettent au fournisseur de contenu de distribuer son contenu tout en gardant le contrôle sur l'intégrité de ce contenu.

ICAP, l'Internet Content Adaption Protocol, est un protocole visant à fournir une vectorisation de contenu simple basée sur des objets pour les services HTTP. ICAP est, par essence, un protocole léger pour exécuter un "appel de procédure à distance" sur des messages HTTP. Il permet aux clients ICAP de transmettre des messages HTTP aux serveurs ICAP pour une sorte de transformation ou un autre traitement ("adaptation"). Le serveur exécute son service de transformation sur les messages et renvoie les réponses au client, généralement avec des messages modifiés. Les messages adaptés peuvent être soit des requêtes HTTP, soit des réponses HTTP.

 

Serveur ICAP de TrendMicro

Vous pouvez configurer le système BIG-IP ASM pour vérifier les demandes de virus en configurant le système pour se connecter à un serveur ICAP (Internet Content Adaptation Protocol). Lorsque vous configurez la protection antivirus, le système se connecte à un serveur ICAP externe et invite le serveur à inspecter les téléchargements de fichiers et les pièces jointes à la recherche de virus avant de diffuser le contenu au membre du pool.

Protection Anti-Virus

Vous pouvez configurer le système BIG-IP pour effectuer une inspection de contenu sur des données binaires pour les types de données suivants. Téléchargements de fichiers HTTP : le système vérifie les types de contenu pour les téléchargements de fichiers en plusieurs parties auxquels aucun profil de contenu n'est associé. Pièces jointes SOAP : vous devez configurer le profil XML pour autoriser et inspecter les pièces jointes SOAP (Simple Object Access Protocol). Pièces jointes SMTP : Le profil SMTP doit avoir les options antivirus sélectionnées.

En-tête de virus

Connaissiez-vous ce genre de configuration ?

F5 BIG-IP 17.0 – Quels sont les nouveautés ?

J’aime beaucoup connaître les nouveautés des prochaines versions de BIG-IP parce que les clients me demandent de temps en temps si les dernières versions valent le coup de mettre à jour. Donc, il est nécessaire de lire, comprendre et essayer les nouveautés avant d’installer dans les appareils en production. Enfin, il y aura des clients qui ont besoin de mettre à jour rapidement leurs appareils pour utiliser quelques nouveautés et, or, il y aura aussi des clients qui peuvent attendre plus longtemps pour mettre à jour leurs appareils. Je vais vous raconter les principales nouvelles ci-dessous.

D’abord, F5 LTM a amélioré l’intégration du protocole MQTT dans BIG-IP 17.0. En effet, l’incapacité d’équilibrer la charge de trafic MQTT vers les appareils IoT, et l’impossibilité de prendre en charge les appareils IoT, réduit l’activité et la croissance globales des entreprises alors la prise en charge de MQTT permet à BIG-IP LTM de tirer parti de l’équilibrage de charge du trafic MQTT pour les appareils IoT des clients. De plus, BIG-IP équilibre principalement la charge du trafic MQTT entre les courtiers MQTT via un profil MQTT qui est ajouté à un profil de socket Web.

 

MQTT

Ensuite, alors que les entreprises s’appuient sur de plus en plus d’applications clientes publiques et mobiles pour fournir aux clients un accès à des données hautement sensibles (par exemple, financier ou médical), ils font face à des risques inhérents associés à ces types d’applications – du stockage de secrets non sécurisé au potentiel des mauvais acteurs d’intercepter les jetons d’autorisation à l’aide de schémas d’URL personnalisés. Néanmoins, F5 APM 17.0 prend en charge PKCE, un flux d’autorisation plus sécurisé basé sur OAuth 2.0 qui améliore la sécurité de tous les clients OAuth (y compris mobiles et publics) pour empêcher les attaques telles que l’interception de code d’autorisation en activant des jetons secrets dynamiques.

Flux de processus PKCE général

Quant à F5 AWAF, il y a aussi beaucoup de nouveautés. Cependant, d’après moi, il y en a une qui était obligatoire. OWASP Top 10 2021 est la norme de facto de l’industrie de la sécurité des applications Web, l’OWASP a mis à jour son top 10 des risques, et on a adapté Adv. WAF à la dernière liste, pour permettre aux utilisateurs de comprendre les dernières menaces et de les atténuer efficacement. De plus, le tableau de bord fournit un score de sécurité relatif aux OWASP Top 10 2021 (par exemple, 8 sur 10).

Tableau de bord de conformité OWASP 2021

Finalement, F5 DNS, F5 SSLO et F5 AFM ont amélioré aussi ses caractéristiques. D’une part, F5 DNS est capable de crypter et sécuriser les communications DNS avec DNS sur TLS (DoT). D’autre part, les clients peuvent désormais utiliser NETSCOUT pour effectuer une analyse du trafic déchiffré par F5 SSLO. Enfin, F5 AFM inclut une intégration avec BrightCloud qui est un leader fournisseur de renseignements sur les menaces.

Solution NETSCOUT nGeniusOne Service Assurance dans le catalogue de service de F5 SSLO

Il y a bien sûr beaucoup de nouveautés que je n’ai pas écrit dans cet article et que je vous recommande de lire sur le site web de F5.

À bientôt !

F5 APM-Attributs à valeurs multiples dans l’AD

J’aimerais continuer après l’été en écrivant sur le projet où un client voulait garder le nom d’utilisateur et le mot de passe dans attributs d’Active Directory parce qu’ils ont beaucoup d’applications qui n’utilisent pas l’AD par défaut, sinon que ces applications ont une base de données d’utilisateurs installed sur MySQL ou Postgresql. D’abord, on lui propose une solution technique où le nom d’utilisateur, le mot de passe (crypté) et l’application sont enregistrés dans une attribut d’Active Directory de chaque personne. Cependant, c’était difficile à gérer. Donc, ensuite, on lui propose l’utilisation des attributs à valeurs multiples dans l’AD.

On peut regarder dans la vidéo suivante comment j’utilise des attributs à valeurs multiples dans l’AD pour enregistrer les applications, les noms d’utilisateur et les mots de passe du compte utilisateur « testing ». De plus, les mots de passe sont cryptés. Alors, on peut ajouter facilement toutes les applications qui sont utilisées par l’utilisateur « testing » dans l’attribut à valeurs multiples. De cette manière, les gens doivent entrer seulement une fois (SSO) son identifiant et un mot de passe pour accéder à toutes les applications de l’entreprise, et peu importe si les applications utilisent AD par défaut ou une base de données utilisateur locale sur MySQL ou Postgresql.

La configuration est très simple. Le plus difficile peut-être a été de développer l’iRule bbdd-local où les données de la personne sont obtenues à partir de l’Active Directory pour les enregistrer ensuite dans de variables de l’appareil APM. Il y a autant « Portal Access » ou « Webtop Link » qu’il y a d’applications dans l’entreprise, et chaque application a son profil SSO. De plus, s’il y a des « Webtop Link », il faut en ajouter dans « SSO / Auth Domains ». Enfin, il est très utile la caisse « Advanced Resource Assign » pour choisir quelle application doit être montrée à l’utilisateur.

Comment avez-vous ajouté des applications héritées à votre portail SSO unique ?