F5 APM – Clientless Mode

De temps en temps, je rencontre des clients qui disposent de services derrière un APM F5 et qui souhaitent accéder aux ressources depuis une application client. Je veux dire, il s’agit d’un service machine à machine via F5 APM. Par exemple, ils disposent de MS Exchange ou Citrix Storefront derrière F5 APM et souhaitent accéder aux applications Citrix ou par email à partir d'une application client qui n'est pas un navigateur. Ce type de déploiements peut être facile à réaliser si vous connaissez la fonctionnalité « Clientless Mode », mais cela peut être un désastre si vous ne la connaissez pas.

 

Flux de protocole en mode sans client

Il existe principalement trois « Clientless Mode ». Le premier est celui « par défaut », où les en-têtes de requête d'origine sont transmis à APM. Il n'y a pas de redirection vers /my.policy et aucune entrée n'est collectée auprès de l'utilisateur final. Vous avez également besoin d'une iRule pour traiter les entrées et les placer dans l'en-tête HTTP. De plus, les agents de politique d'accès nécessitant les entrées de l'utilisateur s'exécutent silencieusement, comme Logon Page ou Message Box.

Le deuxième « Clientless Mode » est capable de transmettre la demande et les en-têtes d'origine à Logon Page Agent, similaire au « Clientless Mode » 1, sauf que l'agent de page de connexion analyse le corps HTTP POST. Ce mode est utile pour authentifier les utilisateurs, notamment pour « espionner » les identifiants qui sont inclus dans le corps HTTP POST. Un cas d’utilisateur consiste à disposer d’un déploiement de connexion sans page de connexion. Par exemple, les utilisateurs travaillant sur un autre site Web et ce site Web redirigent les utilisateurs vers APM avec JavaScript et l'utilisateur se reconnecte automatiquement à APM avec les informations d'identification fournies.

Le troisième « Clientless Mode » est similaire au deuxième mais le troisième a plus d'extensions que le « Clientless Mode » 2 car, par exemple, il prend en charge l'authentification à deux facteurs avec Citrix. De plus, contrairement aux modes 1 et 2, en mode 3, les agents AAA peuvent demander une authentification supplémentaire telle qu'une nouvelle tentative de connexion, le prochain jeton RSA, etc. Par conséquent, il est utilisé par des clients tels que VMware ou Citrix. Il est peu probable que vous utilisiez ce mode.

Pour résumer, vous disposez de trois modes pour « contourner » le Logon Page Agent de connexion pour les communications machine à machine. C'est à vous de choisir lequel choisir. Cette fonctionnalité avancée peut vous aider beaucoup dans de nombreux projets.

Avez-vous déjà utilisé la fonctionnalité « Clientless Mode »?