Freigeben über


Tutorial: Konfigurieren Sie SSO zwischen Microsoft Entra ID und BIG-IP Easy Button von F5 für Header-basiertes SSO

In diesem Tutorial erfahren Sie, wie Sie F5 mit Microsoft Entra ID integrieren. Die Integration von F5 mit Microsoft Entra ID ermöglicht Folgendes:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf F5 hat.
  • Sie können es Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei F5 anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Hinweis

F5 BIG-IP APM Jetzt kaufen

Beschreibung des Szenarios

In diesem Szenario wird eine klassische Legacyanwendung behandelt, die HTTP-Autorisierungsheader zum Verwalten des Zugriffs auf geschützte Inhalte verwendet.

Da es sich um eine Legacyanwendung handelt, fehlen moderne Protokolle, um eine direkte Integration in Microsoft Entra ID zu unterstützen. Die Anwendung lässt sich modernisieren, was aber kostspielig ist, eine sorgfältige Planung erfordert und Risiken für potenzielle Ausfallzeiten birgt. Stattdessen wird ein F5-BIG-IP-Anwendungsbereitstellungscontroller verwendet, um die Lücke zwischen der Legacyanwendung und der modernen ID-Steuerungsebene durch Protokollübergang zu schließen.

Mit einer BIG-IP-Instanz vor der App können wir den Dienst mit Microsoft Entra-Vorauthentifizierung und headerbasiertem einmaligem Anmelden überlagern und so den Gesamtsicherheitsstatus der Anwendung erheblich verbessern.

Hinweis

Organisationen können auch mit einem Microsoft Entra-Anwendungsproxy Remotezugriff auf diese Art von Anwendung erhalten.

Szenarioarchitektur

Die SHA-Lösung für dieses Szenario umfasst Folgendes:

Anwendung: Von BIG-IP veröffentlichter Dienst, der durch SHA von Microsoft Entra geschützt werden soll.

Microsoft Entra ID: SAML (Security Assertion Markup Language)-Identitätsanbieter (Identity Provider, IdP), der für die Überprüfung von Benutzeranmeldeinformationen, den bedingten Zugriff und das SAML-basierte einmalige Anmelden bei der BIG-IP zuständig ist. Mithilfe der SSO-Funktionalität stellt Microsoft Entra ID BIG-IP die erforderlichen Sitzungsattribute bereit.

BIG-IP: Reverse Proxy und SAML Service Provider (SP) für die Anwendung, wobei die Authentifizierung an den SAML IdP delegiert wird, bevor ein formularbasiertes einmaliges Anmelden für die Backend-Anwendung durchgeführt wird.

SHA für dieses Szenario unterstützt sowohl SP-initiierte als auch IdP-initiierte Flows. Die folgende Abbildung veranschaulicht den SP-initiierten Flow.

Screenshot: Sicherer Hybridzugriff – SP-initiierter Flow.

Schritte Beschreibung
1 Benutzer verbindet sich mit Anwendungsendpunkt (BIG-IP)
2 BIG-IP APM-Zugriffsrichtlinie leitet den Benutzer oder die Benutzerin an Microsoft Entra ID (SAML IdP) um.
3 Microsoft Entra ID führt eine Vorabauthentifizierung der Benutzer durch und wendet die jeweiligen erzwungene Richtlinien für bedingten Zugriff an.
4 Der Benutzer wird an BIG-IP (SAML SP) weitergeleitet und SSO wird mit einem ausgestellten SAML-Token durchgeführt.
5 BIG-IP fügt Microsoft Entra-Attribute als Header in die Anforderungen an die Anwendung ein.
6 Die Anwendung autorisiert die Anforderung und sendet die Nutzdaten zurück

Voraussetzungen

Vorherige Erfahrungen mit BIG-IP sind nicht erforderlich, Sie benötigen aber Folgendes:

  • Ein Microsoft Entra ID Free-Abonnement oder höher.

  • Eine vorhandene BIG-IP-Instanz oder Bereitstellen einer BIG-IP Virtual Edition (VE) in Azure.

  • Eine der folgenden F5 BIG-IP-Lizenz-SKUs.

    • F5 BIG-IP® Best Bundle.

    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM).

    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine bereits vorhandene Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)

    • 90-Tage-Testlizenz für sämtliche Features von BIG-IP

  • Benutzeridentitäten werden aus einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert.

  • Ein Konto mit Berechtigungen für die Rolle „Microsoft Entra-Anwendungsadministrator“

  • Ein SSL-Webzertifikat zur Veröffentlichung von Diensten über HTTPS oder Standardzertifikate von BIG-IP für Testzwecke.

  • Eine vorhandene headerbasierte Anwendung oder Einrichten einer IIS-Head-App für Testzwecke.

BIG-IP-Konfigurationsmethoden

Es gibt viele Methoden, BIG-IP für dieses Szenario zu konfigurieren, darunter zwei vorlagenbasierte Optionen und eine erweiterte Konfiguration. In diesem Tutorial wird die neueste geführte Konfiguration (Version 16.1) mit Easy Button-Vorlage behandelt. Mit Easy Button müssen Administratoren nicht länger zwischen Microsoft Entra ID und BIG-IP hin und her wechseln, um Dienste für SHA zu aktivieren. Die Bereitstellung und Richtlinienverwaltung erfolgt direkt zwischen dem Assistenten für die geführte Konfiguration von APM und Microsoft Graph. Diese umfassende Integration zwischen BIG-IP APM und Microsoft Entra sorgt dafür, dass Anwendungen schnell und einfach Identitätsverbund, SSO und bedingten Zugriff mit Microsoft Entra unterstützen können, wodurch sich der Verwaltungsaufwand reduziert.

Hinweis

Alle Beispielzeichenfolgen und -werte in diesem Leitfaden sollten durch die tatsächlichen Werte für Ihre Umgebung ersetzt werden.

Registrieren von “Easy Button“

Bevor ein Client oder Dienst auf Microsoft Graph zugreifen kann, muss er von der Microsoft Identity Platform als vertrauenswürdig eingestuft werden.

In diesem ersten Schritt wird die Registrierung einer Mandanten-App erstellt, die zum Autorisieren des Easy Button-Zugriffs auf Graph verwendet wird. Durch diese Berechtigungen kann BIG-IP die Konfigurationen, die zum Einrichten einer Vertrauensstellung zwischen einer SAML-SP-Instanz für eine veröffentlichte Anwendung und Microsoft Entra als SAML-Identitätsprovider erforderlich sind, per Push übertragen.

  1. Melden Sie sich beim Azure-Portal mit einem Konto mit Administratorrechten für die Anwendung an.

  2. Wählen Sie im linken Navigationsbereich den Microsoft Entra ID-Dienst aus.

  3. Wählen Sie unter „Verwalten“ App-Registrierungen>Neue Registrierung.

  4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein wie z. B. F5 BIG-IP Easy Button.

  5. Geben Sie an, wer die Anwendung verwenden darf >Nur Konten in diesem Organisationsverzeichnis.

  6. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.

  7. Navigieren Sie zu API-Berechtigungen, und autorisieren Sie die folgenden Anwendungsberechtigungen für Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Application.ReadWrite.OwnedBy
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Erteilen Sie die Administratoreinwilligung für Ihre Organisation.

  9. Generieren Sie auf dem Blatt Zertifikate und Geheimnisse ein neues Client-Geheimnis und notieren Sie es.

  10. Notieren Sie auf dem Blatt Übersicht die Client-ID und die Mandanten-ID.

Konfigurieren von “Easy Button“

Initiieren Sie die gesteuerte APM-Konfiguration, um die Easy Button-Vorlage zu starten.

  1. Navigieren Sie zu Zugang > Geführte Konfiguration > Microsoft-Integration und wählen Sie Microsoft Entra-Anwendung aus.

  2. Überprüfen Sie unter Beim Konfigurieren der Lösung mithilfe der folgenden Schritte werden die erforderlichen Objekte erstellt die Liste der Konfigurationsschritte, und wählen Sie Weiter aus.

  3. Führen Sie unter Interaktive Konfiguration die Abfolge der erforderlichen Schritte zum Veröffentlichen Ihrer Anwendung aus.

Konfigurationseigenschaften

Auf der Registerkarte Konfigurationseigenschaften werden eine BIG-IP-Anwendungskonfiguration und ein neues SSO-Objekt erstellt. Im Abschnitt Details zum Azure-Dienstkonto wird der Client, den Sie zuvor in Ihrem Microsoft Entra-Mandanten registriert haben, als Anwendung dargestellt. Diese Einstellungen ermöglichen es dem OAuth-Client von BIG-IP, einzelne SAML-SPs direkt in Ihrem Mandanten zu registrieren – zusammen mit den SSO-Eigenschaften, die Sie normalerweise manuell konfigurieren würden. Dies wird von Easy Button für jeden BIG-IP-Dienst durchgeführt, der veröffentlicht und für SHA aktiviert wird.

Einige dieser Einstellungen sind globale Einstellungen, die wiederverwendet werden können, um weitere Anwendungen zu veröffentlichen, was die Bereitstellungszeit und den Aufwand weiter reduziert.

  1. Geben Sie unter Configuration Name (Konfigurationsname) einen eindeutigen Konfigurationsnamen ein, damit Administratoren Easy Button-Konfigurationen mühelos unterscheiden können.

  2. Ermöglichen Sie einmaliges Anmelden Single Sign-On, SSO) und HTTP-Headers

  3. Geben Sie die Mandanten-ID, die Client-ID und den geheimen Clientschlüssel ein, die Sie beim Registrieren des Easy Button-Clients in Ihrem Mandanten notiert haben.

  4. Vergewissern Sie sich, dass BIG-IP erfolgreich eine Verbindung mit Ihrem Mandanten herstellen kann, und wählen Sie dann Weiter aus.

    Screenshot: allgemeine Konfigurationseigenschaften und Dienstkontoeigenschaften.

Dienstanbieter

Die Dienstanbietereinstellungen definieren die Eigenschaften der SAML-SP-Instanz der durch SHA geschützten Anwendung.

  1. Host eingeben. Dies ist der öffentliche FQDN der zu sichernden Anwendung.

  2. Entität eingeben Diesen Bezeichner verwendet Microsoft Entra ID, um den SAML-SP zu identifizieren, der ein Token anfordert.

    Screenshot: Dienstanbietereinstellungen.

    Geben Sie als Nächstes unter optionale Sicherheitseinstellungen an, ob Microsoft Entra ID ausgestellte SAML-Assertionen verschlüsseln soll. Das Verschlüsseln von Assertionen zwischen Microsoft Entra ID und dem BIG-IP APM bietet die zusätzliche Sicherheit, dass Inhaltstoken nicht abgefangen und personenbezogene Daten oder Unternehmensdaten nicht kompromittiert werden können.

  3. Wählen Sie in der Liste Privater Schlüssel zur Assertion-Entschlüsselung die Option Neu erstellen aus.

    Screenshot für „Konfigurieren von ‚Easy Button‘“: Neuen Import erstellen.

  4. Klicken Sie auf OK. Daraufhin wird das Dialogfeld SSL-Zertifikat und Schlüssel importieren auf einer neuen Registerkarte geöffnet.

  5. Wählen Sie PKCS 12 (IIS) aus, um Ihr Zertifikat und Ihren privaten Schlüssel zu importieren. Schließen Sie nach der Bereitstellung den Browsertab, um zum Haupttab zurückzukehren.

    Screenshot für „Konfigurieren von ‚Easy Button‘“: Neue Zertifizierung erstellen.

  6. Aktivieren Sie das Kontrollkästchen Enable Encrypted Assertion (Verschlüsselte Assertionen aktivieren).

  7. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie Ihr Zertifikat aus der Liste Assertion Decryption Private Key (Privater Schlüssel zur Assertion-Entschlüsselung) aus. Dies ist der private Schlüssel für das Zertifikat, das BIG-IP APM zur Entschlüsselung von Microsoft Entra-Assertions verwenden wird.

  8. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie Ihr Zertifikat aus der Liste Assertion Decryption Certificate (Zertifikat zur Assertion-Entschlüsselung) aus. Dies ist das Zertifikat, das BIG-IP an Microsoft Entra ID hochlädt, um die ausgestellten SAML-Assertions zu verschlüsseln.

Screenshot: Sicherheitseinstellungen des Dienstanbieters.

Microsoft Entra ID

In diesem Abschnitt werden alle Eigenschaften definiert, die Sie normalerweise zum manuellen Konfigurieren einer neuen BIG-IP-SAML-Anwendung in Ihrem Microsoft Entra-Mandanten verwenden. Easy Button bietet vordefinierte Anwendungsvorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP sowie eine generische SHA-Vorlage für alle anderen Apps.

Wählen Sie für dieses Szenario auf der Seite Azure-Konfiguration die Option F5 BIG-IP APM-Azure AD-Integration>Hinzufügen aus.

Azure-Konfiguration

Führen Sie auf der Seite Azure-Konfiguration die folgenden Schritte aus:

  1. Geben Sie unter Konfigurationseigenschaften den Anzeigenamen der App, die BIG-IP in Ihrem Microsoft Entra-Mandanten erstellt, und das Symbol ein, das Benutzern im MyApps-Portal angezeigt wird.

  2. Geben Sie nichts in Anmelde-URL (optional) ein, um die vom IdP initiierte Anmeldung zu aktivieren.

  3. Wählen Sie das Aktualisierungssymbol neben dem Signaturschlüssel und dem Signaturzertifikat aus, um das zuvor importierte Zertifikat aufzufinden.

  4. Geben Sie unter Passphrase für Signaturschlüssel das Kennwort des Zertifikats ein.

  5. Aktivieren Sie Signing Option (Signaturoption) (optional). Dadurch wird sichergestellt, dass BIG-IP nur Token und Ansprüche akzeptiert, die von Microsoft Entra ID signiert wurden.

    Screenshot für Azure-Konfiguration: Informationen des Signaturzertifikats hinzufügen.

  6. Benutzer und Benutzergruppen werden von Ihrem Microsoft Entra-Mandanten dynamisch abgefragt und zum Autorisieren des Zugriffs auf die Anwendung verwendet. Fügen Sie einen Benutzer oder eine Gruppe hinzu, den bzw. die Sie später zum Testen verwenden können. Andernfalls wird der gesamte Zugriff verweigert.

    Screenshot für Azure-Konfiguration: Benutzer und Gruppen hinzufügen.

Benutzerattribute und Ansprüche

Wenn Benutzer sich erfolgreich authentifizieren, gibt Microsoft Entra ID ein SAML-Token mit einem Standardsatz von Ansprüchen und Attributen aus, das den Benutzer eindeutig identifiziert. Auf der Registerkarte Benutzerattribute und Ansprüche werden die Standardansprüche angezeigt, die für die neue Anwendung ausgestellt werden sollen. Außerdem können Sie mehr Ansprüche konfigurieren.

In diesem Beispiel können Sie ein weiteres Attribut einschließen:

  1. Geben Sie unter Headername die Zeichenfolge „employeeid“ ein.

  2. Geben Sie unter Quellattribut die Zeichenfolge „user.employeeid“ ein.

    Screenshot: Benutzerattribute und -ansprüche.

Zusätzliche Benutzerattribute

Auf der Registerkarte Additional User Attributes (Zusätzliche Benutzerattribute) können Sie die Sitzungserweiterung aktivieren, die für verschiedene verteilte Systeme wie Oracle, SAP und andere JAVA-basierte Implementierungen benötigt wird, die Attribute erfordern, die in anderen Verzeichnissen gespeichert sind. Attribute, die aus einer LDAP-Quelle abgerufen werden, können dann als zusätzliche SSO-Header eingefügt werden, um den Zugriff basierend auf Rollen, Partner-IDs usw. genauer zu steuern.

Hinweis

Dieses Feature hängt nicht mit Microsoft Entra ID zusammen, ist eine andere Quelle von Attributen. 

Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff werden nach der Microsoft Entra-Vorabauthentifizierung erzwungen, um den Zugriff basierend auf Gerät, Anwendung, Standort und Risikosignalen zu steuern.

In der Ansicht Verfügbare Richtlinien werden standardmäßig alle Richtlinien für bedingten Zugriff aufgeführt, die keine benutzerbasierten Aktionen enthalten.

In der Ansicht Ausgewählte Richtlinien werden standardmäßig alle Richtlinien angezeigt, die auf alle Ressourcen ausgerichtet sind. Diese Richtlinien können nicht deaktiviert oder in die Liste „Available Policies“ (Verfügbare Richtlinien) verschoben werden, da sie auf Mandantenebene erzwungen werden.

So wählen Sie eine Richtlinie aus, die auf die zu veröffentlichende Anwendung angewendet werden soll:

  1. Wählen Sie in der Liste Available Policies (Verfügbare Richtlinien) die gewünschte Richtlinie aus.
  2. Wählen Sie den Pfeil nach rechts aus, und verschieben Sie die Richtlinie in die Liste Selected Policies (Ausgewählte Richtlinien).

Bei den ausgewählten Richtlinien sollte entweder die Option Einschließen oder Ausschließen aktiviert sein. Wenn beide Optionen aktiviert sind, wird die ausgewählte Richtlinie nicht erzwungen.

Screenshot der Richtlinien für bedingten Zugriff.

Hinweis

Die Richtlinienliste wird beim ersten Wechsel zu dieser Registerkarte nur einmal aufzählt. Eine Aktualisierungsschaltfläche ist verfügbar, um den Assistenten zum Abfragen Ihres Mandanten manuell zu zwingen. Diese Schaltfläche wird jedoch nur angezeigt, wenn die Anwendung bereitgestellt wurde.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse repräsentiert wird und auf Client-Anfragen an die Anwendung wartet. Jeder empfangene Datenverkehr wird verarbeitet und anhand des APM-Zugriffsprofils ausgewertet, das dem virtuellen Server zugeordnet ist, bevor er gemäß den Richtlinienergebnissen und -einstellungen weitergeleitet wird.

  1. Geben Sie Zieladresse ein. Dies ist eine beliebige verfügbare IPv4/IPv6-Adresse, die BIG-IP zum Empfangen von Clientdatenverkehr verwenden kann. Ein entsprechender Eintrag sollte auch im DNS vorhanden sein, damit Clients anstelle der Anwendung selbst die externe URL Ihrer veröffentlichten BIG-IP-Anwendung in diese IP-Adresse auflösen können. Zum Testen ist es in Ordnung, das Localhost-DNS des Test-PCs zu verwenden.

  2. Geben Sie als Dienstport für HTTPS 443 ein.

  3. Aktivieren Sie Umleitungsport aktivieren und geben Sie dann Umleitungsport ein. Eingehender HTTP-Clientdatenverkehr wird an HTTPS umgeleitet.

  4. Das Client-SSL-Profil aktiviert den virtuellen Server für HTTPS, damit Clientverbindungen über TLS verschlüsselt werden. Wählen Sie zum Testen das Client-SSL-Profil aus, das Sie im Rahmen der Vorbereitung erstellt haben, oder übernehmen Sie die Standardeinstellung.

    Screenshot: virtueller Server.

Pooleigenschaften

Auf der Registerkarte Anwendungspool werden die Dienste hinter einer BIG-IP aufgeführt sind, die einen oder mehrere Anwendungsserver enthalten, als Pool dargestellt.

  1. Wählen Sie von Pool auswählen aus. Erstellen Sie einen neuen Pool, oder wählen Sie einen vorhandenen Pool aus.

  2. Wählen Sie Round Robin als Lastenausgleichsmethode aus.

  3. Wählen Sie für Poolserver einen vorhandenen Knoten aus, oder geben Sie eine IP-Adresse und einen Port für den Server an, auf dem die headerbasierte Anwendung gehostet wird.

    Screenshot: Anwendungspool.

Unsere Back-End-Anwendung befindet sich an HTTP-Port 80, wechselt aber offensichtlich zu 443, wenn Sie HTTPS verwenden.

Einmaliges Anmelden und HTTP-Header

Durch aktivieren von SSO können Benutzer auf veröffentlichte BIG-IP-Dienste zugreifen, ohne Anmeldeinformationen eingeben zu müssen. Der Easy Button-Assistent unterstützt Kerberos-, OAuth Bearer-, und HTTP-Autorisierungsheader für SSO, wobei wir letztere aktivieren, um Folgendes zu konfigurieren.

  • Headervorgang: Insert

  • Headername: upn

  • Headerwert: %{session.saml.last.identity}

  • Headervorgang: Insert

  • Headername: employeeid

  • Headerwert: %{session.saml.last.attr.name.employeeid}

    Screenshot: SSO und HTTP-Header.

Hinweis

Bei APM-Sitzungsvariablen, die in geschweiften Klammern definiert sind, wird zwischen Groß-/Kleinschreibung unterschieden. Wenn Sie beispielsweise OrclGUID eingeben, der Microsoft Entra-Attributname jedoch als „orclguid“ definiert ist, tritt ein Attributzuordnungsfehler auf.

Sitzungsverwaltung

Die Sitzungsverwaltungseinstellungen von BIG-IPs werden verwendet, um die Bedingungen zu definieren, unter denen Benutzersitzungen beendet oder fortgesetzt werden dürfen, Beschränkungen für Benutzer und IP-Adressen sowie entsprechende Benutzerinformationen. Weitere Informationen zu diesen Einstellungen finden Sie in der F5-Dokumentation.

Was hier jedoch nicht behandelt wird, ist die Funktionalität für einmaliges Abmelden (Single Log-Out, SLO), die sicherstellt, dass alle Sitzungen zwischen dem IdP, BIG-IP und dem Benutzer-Agent beendet werden, wenn sich Benutzer*innen abmelden. Wenn der Easy Button eine SAML-Anwendung in Ihrem Microsoft Entra-Mandanten instanziiert, wird auch die Abmelde-URL mit dem SLO-Endpunkt von APM aufgefüllt. Auf diese Weise führen auch IdP-initiierte Abmeldungen vom „Meine Apps“-Portal von Microsoft Entra zur Beendigung der Sitzung zwischen BIG-IP und einem Client.

Außerdem werden auch die SAML-Verbundmetadaten für die veröffentlichte Anwendung aus Ihrem Mandanten importiert, wodurch APM der SAML-Abmeldeendpunkt für Microsoft Entra ID bereitgestellt wird. Dadurch wird sichergestellt, dass SP-initiierte Abmeldungen die Sitzung zwischen einem Client und Microsoft Entra ID beenden. Damit dies wirklich effektiv ist, muss APM jedoch genau wissen, wann sich Benutzer*innen von einer Anwendung abmelden.

Wenn das Webtop-Portal von BIG-IP für den Zugriff auf veröffentlichte Anwendungen verwendet wird, wird eine Abmeldung von dort von der APM-Instanz so verarbeitet, dass auch der Microsoft Entra-Abmeldeendpunkt aufgerufen wird. Stellen Sie sich jedoch ein Szenario vor, bei dem das BIG-IP-Webtopportal nicht verwendet wird und Benutzer*innen APM nicht anweisen können, sie abzumelden. Selbst wenn sich Benutzer*innen von der Anwendung selbst abmelden, bemerkt BIG-IP dies technisch nicht. Aus diesem Grund muss die vom SP initiierte Abmeldung sorgfältig geprüft werden, um sicherzustellen, dass die Sitzungen sicher beendet werden, wenn sie nicht mehr benötigt werden. Eine Möglichkeit hierfür ist das Hinzufügen einer SLO-Funktion zur Abmeldeschaltfläche Ihrer Anwendungen, damit Ihr Client entweder an den Microsoft Entra-SAML- oder den BIG-IP-Abmeldeendpunkt umgeleitet werden kann. Die URL für den SAML-Abmeldeendpunkt für Ihren Mandanten finden Sie unter App-Registrierungen > Endpunkte.

Wenn eine Änderung der Anwendung nicht möglich ist, sollte BIG-IP auf den Abmeldeaufruf der Anwendung lauschen und beim Erkennen der Anforderung das SLO auslösen. Informationen zur Verwendung von BIG-IP iRules finden Sie in unserer Anleitung zur SLO bei Oracle PeopleSoft. Weitere Details zur Verwendung von BIG-IP iRules, um dies zu erreichen, finden Sie im F5-Wissensartikel Konfigurieren der automatischen Sitzungsbeendigung (Abmeldung) basierend auf einem URI-referenzierten Dateinamen und Übersicht über die Option zum Abmelden von der URI Include Option.

Zusammenfassung

Dieser letzte Schritt liefert eine Aufschlüsselung Ihrer Konfigurationen. Wählen Sie Deploy (Bereitstellen) aus, um alle Einstellungen zu committen, und vergewissern Sie sich, dass die Anwendung jetzt in Ihrer Mandantenliste mit Unternehmensanwendungen enthalten ist.

Ihre Anwendung sollte nun veröffentlicht und über SHA zugänglich sein, entweder direkt über ihre URL oder über die Anwendungsportale von Microsoft.

Nächste Schritte

Stellen Sie in einem Browser eine Verbindung zur externen URL der Anwendung her, oder wählen Sie das Symbol der Anwendung im Microsoft MyApps-Portal aus. Nach der Authentifizierung bei Microsoft Entra ID werden Sie zum virtuellen BIG-IP-Server für die Anwendung weitergeleitet und durch SSO (einmaliges Anmelden) automatisch angemeldet.

Dies zeigt die Ausgabe der eingefügten Header, die von unserer headerbasierten Anwendung angezeigt werden.

Screenshot: App-Ansichten.

Um die Sicherheit zu erhöhen, könnten Organisationen, die dieses Muster verwenden, auch erwägen, den direkten Zugriff auf die Anwendung zu blockieren, damit ein strikter Pfad über BIG-IP erzwungen wird.

Erweiterte Bereitstellung

Es kann Fälle geben, in denen die Vorlagen für die geführte Konfiguration nicht flexibel genug sind, um spezifischere Anforderungen zu erfüllen. Informationen zu diesen Szenarien finden Sie unter Erweiterte Konfiguration für headerbasiertes einmaliges Anmelden.

Alternativ bietet BIG-IP die Möglichkeit, den strikten Verwaltungsmodus der geführten Konfiguration zu deaktivieren. Dadurch können Sie Ihre Konfigurationen manuell optimieren, auch wenn der Großteil Ihrer Konfigurationen mithilfe der assistentenbasierten Vorlagen automatisiert wird.

Sie können dann zu Access > Guided Configuration (Zugriff > Geführte Konfiguration) navigieren und ganz rechts in der Zeile für Ihre Anwendungskonfigurationen das kleine Vorhängeschlosssymbol auswählen.

Screenshot für „Konfigurieren von ‚Easy Button‘“: strikte Verwaltung.

An diesem Punkt sind Änderungen über die Benutzeroberfläche des Assistenten nicht mehr möglich, aber alle BIG-IP-Objekte, die der veröffentlichten Instanz der Anwendung zugeordnet sind, werden für die direkte Verwaltung entsperrt.

Hinweis

Wenn Sie den strikten Modus erneut aktivieren und eine Konfiguration bereitstellen, werden alle Einstellungen überschrieben, die außerhalb der Benutzeroberfläche für die geführte Konfiguration vorgenommen wurden. Für Produktionsdienste empfiehlt sich daher die erweiterte Konfigurationsmethode.

Problembehandlung

Fehler beim Zugriff auf eine durch einen SHA geschützte Anwendung können auf eine Vielzahl von Faktoren zurückzuführen sein. Die BIG-IP-Protokollierung kann dabei helfen, eine Vielzahl von Problemen mit Konnektivität, SSO, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen schnell herauszufiltern. Beginnen Sie mit der Problembehandlung, indem Sie den Ausführlichkeitsgrad des Protokolls erhöhen.

  1. Navigieren Sie zu Zugangsrichtlinie > Übersicht > Ereignisprotokolle > Einstellungen.

  2. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung und dann Bearbeiten > Zugriff auf Systemprotokolle aus.

  3. Wählen Sie Debug (Debuggen) in der SSO-Liste und dann OK aus.

Reproduzieren Sie Ihr Problem, und überprüfen Sie dann die Protokolle, aber denken Sie daran, dies wieder zurückzuändern, wenn Sie fertig sind, da der ausführliche Modus viele Daten generiert.

Wenn Sie unmittelbar nach einer erfolgreichen Microsoft Entra-Vorauthentifizierung einen BIG-IP-Fehler sehen, ist es möglich, dass das Problem mit dem einmaligen Anmelden von Microsoft Entra ID zu BIG-IP zusammenhängt.

  1. Navigieren Sie zu Zugriff > Übersicht > Zugriff auf Berichte.

  2. Führen Sie den Bericht für die letzte Stunde aus, um herauszufinden, ob die Protokolle Hinweise enthalten. Der Link Sitzungsvariablen anzeigen für Ihre Sitzung hilft auch zu verstehen, ob APM die erwarteten Ansprüche von Microsoft Entra ID empfängt.

Wenn keine BIG-IP-Fehlerseite angezeigt wird, hängt das Problem wahrscheinlich eher mit der Back-End-Anforderung oder dem einmaligen Anmelden von BIG-IP bei der Anwendung zusammen.

  1. Navigieren Sie in diesem Fall zu Zugriffsrichtlinien > Übersicht > Aktive Sitzungen, und wählen Sie den Link für Ihre aktive Sitzung aus.

  2. Der Link Variablen anzeigen kann auch beim Ermitteln der Grundursache der SSO-Probleme hilfreich sein, insbesondere wenn die APM-Instanz von BIG-IP die richtigen Attribute nicht von Microsoft Entra ID oder einer anderen Quelle abrufen kann.

Weitere Informationen finden Sie in diesem F5-Wissensartikel Konfigurieren der LDAP-Remoteauthentifizierung für Active Directory. In diesem F5-Wissensartikel zur LDAP-Abfrage finden Sie auch eine hervorragende BIG-IP-Referenztabelle zum Diagnostizieren von LDAP-bezogenen Problemen.