Freigeben über


Tutorial: Konfigurieren von BIG-IP Easy Button von F5 für Single Sign-On bei SAP ERP

In diesem Artikel erfahren Sie, wie Sie mithilfe der geführten Konfiguration für F5 BIG-IP Easy Button 16.1 SAP Enterprise Resource Planning (ERP) mit Microsoft Entra ID sichern. Die Integration einer BIG-IP in Microsoft Entra ID hat viele Vorteile:

Weitere Informationen:

Beschreibung des Szenarios

Dieses Szenario umfasst die klassische SAP ERP-Anwendung mit Kerberos-Authentifizierung zum Verwalten des Zugriffs auf geschützte Inhalte.

Legacyanwendungen fehlt es an modernen Protokollen zur Unterstützung der Integration in Microsoft Entra ID. Die Modernisierung ist teuer, erfordert Planung und birgt das Risiko eines potenziellen Ausfalls. Verwenden Sie stattdessen einen F5 BIG-IP Application Delivery Controller (ADC), um die Lücke zwischen der Legacyanwendung und der modernen ID-Steuerungsebene durch einen Protokollübergang zu schließen.

Ein der Anwendung vorgeschaltetes BIG-IP ermöglicht es, den Dienst mit Microsoft Entra-Vorab-Authentifizierung und headerbasiertem SSO zu überlagern. Diese Konfiguration verbessert den gesamten Sicherheitsstatus der Anwendung.

Szenarioarchitektur

Die Lösung für sicheren Hybridzugriff (Secure Hybrid Access, SHA) besteht aus den folgenden Komponenten:

  • SAP ERP-Anwendung: Ein veröffentlichter BIG-IP-Dienst, der durch SHA von Microsoft Entra geschützt werden soll
  • Microsoft Entra ID: SAML-Identitätsanbieter (Security Assertion Markup Language), der Benutzeranmeldeinformationen, bedingten Zugriff und SAML-basiertes einmaliges Anmelden für den BIG-IP-Dienst überprüft
  • BIG-IP: Reverseproxy und SAML-Dienstanbieter (SP) für die Anwendung. BIG-IP delegiert die Authentifizierung an den SAML-IdP und führt dann headerbasiertes einmaliges Anmelden beim SAP-Dienst aus.

SHA unterstützt vom SP und IdP initiierte Flows. Die folgende Abbildung veranschaulicht den SP-initiierten Flow.

Diagramm des sicheren Hybridzugriffs, Flow wurde vom SP initiiert.

  1. Der Benutzer stellt eine Verbindung mit dem Anwendungsendpunkt (BIG-IP) her.
  2. Die Zugriffsrichtlinie für den BIG-IP Access Policy Manager (APM) leitet Benutzer an Microsoft Entra ID (SAML IdP) um.
  3. Microsoft Entra führt eine Vorauthentifizierung der Benutzer durch und wendet erzwungene Richtlinien für bedingten Zugriff an.
  4. Benutzer*innen werden zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das Single Sign-On erfolgt unter Verwendung des ausgestellten SAML-Tokens.
  5. BIG-IP fordert ein Kerberos-Ticket vom Schlüsselverteilungscenter (KDC) an.
  6. BIG-IP sendet die Anforderung mit dem Kerberos-Ticket für das Single Sign-On an die Back-End-Anwendung.
  7. Die Anwendung autorisiert die Anforderung und gibt Nutzdaten zurück.

Voraussetzungen

  • Ein Microsoft Entra ID Free-Konto oder höher
  • Eine BIG-IP-Instanz oder BIG-IP Virtual Edition (VE) in Azure
  • Eine der folgenden F5 BIG-IP-Lizenzen:
    • F5 BIG-IP® Best Bundle
    • F5 BIG-IP APM eigenständige Lizenz
    • F5 BIG-IP APM Zusatzlizenz für eine vorhandene BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 Tage gültige Testlizenz für sämtliche Features von BIG-IP.
  • Benutzeridentitäten, die von einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden oder in Microsoft Entra ID erstellt und an das lokale Verzeichnis weitergegeben werden
  • Eine der folgenden Rollen: Cloudanwendungsadministrator oder Anwendungsadministrator.
  • Ein SSL-Webzertifikat zur Veröffentlichung von Diensten über HTTPS oder BIG-IP-Standardzertifikate für Testzwecke
  • Eine vorhandene SAP ERP-Umgebung, die für die Kerberos-Authentifizierung konfiguriert ist

BIG-IP-Konfigurationsmethoden

In diesem Tutorial wird die Verwendung der Guided Configuration 16.1 mit Easy Button-Vorlage behandelt. Mit Easy Button müssen Administrator*innen nicht mehr zwischen Microsoft Entra ID und BIG-IP wechseln, um Dienste für SHA zu aktivieren. Bereitstellung und Richtlinienverwaltung erfolgen durch den APM-Assistenten für Guided Configuration und Microsoft Graph. Diese Integration stellt sicher, dass Anwendungen Identitätsverbund, einmaliges Anmelden (Single Sign-On, SSO) und bedingten Zugriff unterstützen.

Hinweis

Ersetzen Sie die Beispielzeichenfolgen oder -werte in dieser Anleitung durch die Zeichenfolgen oder Werte für Ihre Umgebung.

Registrieren von “Easy Button“

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Bevor ein Client oder Dienst auf Microsoft Graph zugreift, muss die Microsoft Identity Platform diesem vertrauen.

Siehe Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform.

Der Easy Button-Client muss auch in Microsoft Entra ID registriert werden, der dann eine Vertrauensstellung zwischen den SAML-SP-Instanzen einer veröffentlichten BIG-IP-Anwendung und Microsoft Entra ID als SAML-IdP einrichtet.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen>Neue Registrierung.

  3. Geben Sie einen Namen für die neue Anwendung ein.

  4. Geben Sie unter Nur Konten in diesem Organisationsverzeichnis an, wer die Anwendung verwenden darf.

  5. Wählen Sie Registrieren.

  6. Navigieren Sie zu API-Berechtigungen.

  7. Autorisieren Sie die folgenden Microsoft Graph-Anwendungsberechtigungen:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Application.ReadWrite.OwnedBy
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Erteilen Sie die Administratoreinwilligung für Ihre Organisation.

  9. Generieren Sie unter Zertifikate & Geheimnisse einen neuen geheimen Clientschlüssel.

  10. Notieren Sie sich das Geheimnis.

  11. Wechseln Sie zu Übersicht, und notieren Sie sich die Client-ID und die Mandanten-ID.

Konfigurieren von Easy Button

  1. Leiten Sie in APM die Guided Configuration (Geführte Konfiguration) ein.
  2. Starten Sie die Easy Button-Vorlage.
  3. Melden Sie sich über einen Browser bei der F5 BIG-IP-Verwaltungskonsole an.
  4. Navigieren Sie zu Access > Guided Configuration > Microsoft Integration (Zugriff > Geführte Konfiguration > Microsoft-Integration).
  5. Wählen Sie Microsoft Entra-Anwendungsproxy aus.
  6. Überprüfen Sie die Konfigurationsliste.
  7. Wählen Sie Weiter aus.
  8. Befolgen Sie die Konfigurationsschritte unter Microsoft Entra Application Configuration (Konfiguration der Microsoft Entra-Anwendung).

Screenshot der Konfigurationsschritte.

Configuration Properties

Auf der Registerkarte Configuration Properties (Konfigurationseigenschaften) werden die Dienstkontoeigenschaften angezeigt, und es werden eine BIG-IP-Anwendungskonfiguration und ein SSO-Objekt erstellt. Im Abschnitt Details zum Azure-Dienstkonto wird der Client, den Sie im Microsoft Entra-Mandanten registriert haben, als Anwendung dargestellt. Verwenden Sie die Einstellungen für den BIG-IP-OAuth-Client, um jeweils einen SAML-Dienstanbieter mit SSO-Eigenschaften im Mandanten zu registrieren. Easy Button führt diese Aktion für von BIG-IP veröffentlichte und für SHA aktivierte Dienste aus.

Hinweis

Einige Einstellungen sind global und können erneut verwendet werden, um weitere Anwendungen zu veröffentlichen.

  1. Geben Sie einen Configuration Name (Konfigurationsnamen) ein. Easy Button-Konfigurationen werden durch eindeutige Namen unterschieden.
  2. Wählen Sie für Einmaliges Anmelden (SSO) und HTTP-Headers die Option Ein aus.
  3. Geben Sie unter Tenant ID, Client ID und Client Secret (Mandanten-ID, Client-ID und geheimer Clientschlüssel) die Mandanten-ID, Client-ID und den geheimen Clientschlüssel ein, die Sie sich bei Mandantenregistrierung notiert haben.
  4. Wählen Sie Verbindung testen aus. Diese Aktion bestätigt, dass BIG-IP eine Verbindung mit Ihrem Mandanten herstellt.
  5. Wählen Sie Weiter aus.

Dienstanbieter

Verwenden Sie die Einstellungen unter „Service Provider“ (Dienstanbietereinstellungen), um SAML-SP-Instanzeigenschaften der durch SHA gesicherten Anwendung zu definieren.

  1. Geben Sie unter Host den öffentlichen vollqualifizierten Domänennamen (FQDN) der zu sichernden Anwendung ein.

  2. Geben Sie für Entitäts-ID den Bezeichner ein, den Microsoft Entra ID zum Identifizieren des SAML-Dienstanbieters verwendet, der ein Token anfordert.

    Screenshot mit Optionen und Auswahlmöglichkeiten für den Dienstanbieter.

  3. (Optional) Nutzen Sie die Sicherheitseinstellungen um anzugeben, ob ausgestellte SAML-Assertionen von Microsoft Entra ID verschlüsselt werden sollen. Assertionen, die zwischen Microsoft Entra ID und BIG-IP APM verschlüsselt werden, erhöhen die Sicherheit, dass Inhaltstoken nicht abgefangen oder Daten kompromittiert werden.

  4. Wählen Sie in der Liste Assertion Decryption Private Key (Privater Schlüssel zur Assertion-Entschlüsselung) die Option Create New (Neu erstellen) aus.

    Screenshot der Option „Create New“ (Neu erstellen) in der Liste „Assertion Decryption Private Key“ (Privater Schlüssel zur Assertion-Entschlüsselung).

  5. Klicken Sie auf OK.

  6. Das Dialogfeld Import SSL Certificate and Keys (SSL-Zertifikat und Schlüssel importieren) wird auf einer neuen Registerkarte geöffnet.

  7. Wählen Sie PKCS 12 (IIS) aus, um das Zertifikat und den privaten Schlüssel zu importieren.

  8. Schließen Sie die Browserregisterkarte, um zur Hauptregisterkarte zurückzukehren.

    Screenshot der Optionen und Auswahlmöglichkeiten für das Importieren von SSL-Zertifikaten und Schlüsseln.

  9. Aktivieren Sie das Kontrollkästchen Enable Encrypted Assertion (Verschlüsselte Assertion aktivieren).

  10. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie in der Liste Assertion Decryption Private Key (Privater Schlüssel zur Entschlüsselung von Assertionen) den privaten Schlüssel für das Zertifikat aus, mit dem BIG-IP APM Microsoft Entra-Assertionen entschlüsselt.

  11. Bei aktivierter Verschlüsselung wählen Sie in der Liste Assertion Decryption Certificate (Zertifikat zum Entschlüsseln von Assertionen) das Zertifikat aus, das BIG-IP in Microsoft Entra ID hochlädt, um die ausgestellten SAML-Assertionen zu verschlüsseln.

Screenshot mit Optionen und Auswahlmöglichkeiten für den Dienstanbieter.

Microsoft Entra ID

Easy Button umfasst Anwendungsvorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP sowie eine allgemeine SHA-Vorlage.

  1. Um die Azure-Konfiguration zu starten, wählen Sie SAP ERP Central Component > Add (SAP ERP Central Component > Hinzufügen) aus.

    Screenshot der Option „SAP ERP Central Component“ in der Azure-Konfiguration mit der Schaltfläche „Add“ (Hinzufügen).

    Hinweis

    Sie können die Informationen in den folgenden Abschnitten verwenden, wenn Sie manuell eine neue BIG-IP-SAML-Anwendung in einem Microsoft Entra-Mandanten konfigurieren.

Azure-Konfiguration

  1. Geben Sie unter Display Name (Anzeigename) die Anwendung ein, die BIG-IP im Microsoft Entra-Mandanten erstellt. Der Name wird auf dem Symbol im Portal Meine Apps angezeigt.

  2. (Optional) Lassen Sie Sign On URL (optional) (Anmelde-URL (optional)) leer.

    Screenshot der Einträge für Anzeigename und Anmelde-URL.

  3. Wählen Sie neben Signing Key (Signaturschlüssel) die Schaltfläche Refresh (Aktualisieren) aus.

  4. Wählen Sie Signing Certificate (Signaturzertifikat) aus. Mit dieser Aktion wird das von Ihnen eingegebene Zertifikat gesucht.

  5. Geben Sie unter Signing Key Passphrase (Passphrase für Signaturschlüssel) das Zertifikatkennwort ein.

  6. (Optional) Aktivieren Sie Signing Option (Signaturoption). Durch diese Option wird sichergestellt, dass BIG-IP von Microsoft Entra ID signierte Token und Ansprüche akzeptiert

    Screenshot der Einträge für Signaturschlüssel, Signaturzertifikat und Signaturschlüsselpassphrase.

  7. Benutzer und Benutzergruppen werden vom Ihrem Microsoft Entra ID-Mandanten dynamisch abgefragt. Mithilfe von Gruppen kann der Anwendungszugriff autorisiert werden.

  8. Fügen Sie zum Testen einzelne Benutzer*innen oder eine Gruppe hinzu. Andernfalls wird der Zugriff verweigert.

    Screenshot der Schaltfläche „Add“ (Hinzufügen) für „User And User Groups“ (Benutzer und Benutzergruppen).

Benutzerattribute und Ansprüche

Wenn sich ein Benutzer in Microsoft Entra ID authentifiziert, wird ein SAML-Token mit Standardansprüchen und -attributen zum Identifizieren des Benutzers ausgestellt. Auf der Registerkarte Benutzerattribute & Ansprüche werden die Standardansprüche angezeigt, die für die neue Anwendung ausgestellt werden sollen. Verwenden Sie diese, um weitere Ansprüche zu konfigurieren.

Dieses Tutorial basiert auf dem Domänensuffix „.com“, das intern und extern verwendet wird. Es sind keine anderen Attribute erforderlich, um eine funktionale SSO-Implementierung für die eingeschränkte Kerberos-Delegierung (KCD) zu erreichen.

Screenshot der Registerkarte „Benutzerattribute und Ansprüche“.

Sie können weitere Microsoft Entra-Attribute einschließen. Für dieses Tutorial erfordert SAP ERP die Standardattribute.

Weitere Informationen: Tutorial: Konfigurieren von F5 BIG-IP Access Policy Manager für die Kerberos-Authentifizierung. Hier finden Sie weitere Informationen zu mehreren Domänen und zur Anmeldung des Benutzers mit alternativen Suffixen.

Zusätzliche Benutzerattribute

Die Registerkarte Weitere Benutzerattribute unterstützt verteilte Systeme, die in anderen Verzeichnissen gespeicherte Attribute für die Sitzungserweiterung erfordern. Attribute aus einer LDAP-Quelle (Lightweight Directory Access Protocol) werden daher als weitere SSO-Header eingefügt, um den rollenbasierten Zugriff, Partner-IDs usw. zu steuern.

Hinweis

Dieses Feature hängt nicht mit Microsoft Entra ID zusammen, aber es handelt sich dabei um eine andere Attributquelle.

Richtlinie für bedingten Zugriff

Richtlinien für den bedingten Zugriff werden nach der Microsoft Entra-Vorauthentifizierung erzwungen. Diese Aktion steuert den Zugriff basierend auf Gerät, Anwendung, Standort und Risikosignalen.

In der Ansicht Available Policies (Verfügbare Richtlinien) werden Richtlinien für den bedingten Zugriff ohne benutzerbasierte Aktionen aufgelistet.

In der Ansicht Ausgewählte Richtlinien werden Richtlinien für Cloud-Apps angezeigt. Auf Mandantenebene erzwungene Richtlinien können Sie nicht abwählen oder in die Liste der verfügbaren Richtlinien verschieben.

So wählen Sie eine Richtlinie für die zu veröffentlichende Anwendung aus:

  1. Wählen Sie in der Liste Available Policies (Verfügbare Richtlinien) die Richtlinie aus.
  2. Wählen Sie den nach rechts zeigenden Pfeil aus.
  3. Verschieben Sie die Richtlinie in Selected Policies (Ausgewählte Richtlinien).

Bei den ausgewählten Richtlinien ist entweder die Option Einschließen oder Ausschließen aktiviert. Wenn beide Optionen aktiviert sind, wird die ausgewählte Richtlinie nicht durchgesetzt.

Screenshot der ausgeschlossenen Richtlinien unter „Selected Policies“ (Ausgewählte Richtlinien).

Hinweis

Die Richtlinienliste wird bei der ersten Auswahl der Registerkarte angezeigt. mit der Schaltfläche Refresh (Aktualisieren) können Sie Ihren Mandanten abfragen. Die Schaltfläche zum Aktualisieren wird angezeigt, wenn die Anwendung bereitgestellt wird.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird. Der Server lauscht auf Clientanforderungen an die Anwendung. Empfangener Datenverkehr wird verarbeitet und anhand des APM-Profils ausgewertet, das dem virtuellen Server zugeordnet ist. Der Datenverkehr wird anschließend entsprechend der Richtlinie weitergeleitet.

  1. Geben Sie unter Destination Address (Zieladresse) eine Zieladresse ein. Verwenden Sie die IPv4/IPv6-Adresse, über die BIG-IP Clientdatenverkehr empfängt. Es gibt einen entsprechenden Eintrag auf dem Domänennamenserver (DNS), über den Clients die externe URL der veröffentlichten BIG-IP-Anwendung in diese IP-Adresse auflösen können. Sie können zu Testzwecken den localhost-DNS des Computers verwenden.
  2. Geben Sie für Service Port (Dienstport) den Wert 443 ein.
  3. Wählen Sie HTTPS aus.
  4. Aktivieren Sie das Kontrollkästchen Enable Redirect Port (Umleitungsport aktivieren).
  5. Geben Sie unter Redirect Port (Umleitungsport) eine Zahl ein, und wählen Sie HTTP aus. Diese Option leitet eingehenden HTTP-Clientdatenverkehr an HTTPS um.
  6. Wählen Sie unter Client SSL Profile (Client-SSL-Profil) das von Ihnen erstellte Profil aus. Sie können zum Testen auch den Standardwert übernehmen. Mit dem Client-SSL-Profil wird der virtuelle Server für HTTPS aktiviert, sodass Clientverbindungen über Transport Layer Security (TLS) verschlüsselt werden.

Screenshot mit Optionen und Auswahlmöglichkeiten für die Eigenschaften des virtuellen Servers.

Pooleigenschaften

Auf der Registerkarte Application Pool (Anwendungspool) werden die Dienste hinter einer BIG-IP-Instanz aufgeführt, dargestellt als Pool mit Anwendungsservern.

  1. Wählen Sie unter Select a Pool (Pool auswählen) Create New (Neu erstellen) aus, oder wählen Sie einen Pool aus.

  2. Wählen Sie als Load Balancing Method (Lastenausgleichsmethode) Roundrobin aus.

  3. Wählen Sie unter Pool Servers (Poolserver) einen Serverknoten aus, oder geben Sie eine IP-Adresse und einen Port für den Back-End-Knoten an, der die headerbasierte Anwendung hostet.

    Screenshot mit Optionen und Auswahlmöglichkeiten für den Anwendungspool.

Single Sign-On & HTTP-Header

Ermöglichen Sie mit einmaligem Anmelden den Zugriff auf BIG-IP-Dienste, ohne Anmeldeinformationen eingeben zu müssen. Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO. Für die folgenden Schritte benötigen Sie das Kerberos-Delegierungskonto, das Sie erstellt haben.

  1. Wählen Sie unter Einmaliges Anmelden & HTTP-Header für Erweiterte Einstellungen die Option Ein aus.

  2. Wählen Sie unter Selected Single Sign-On Type (Ausgewählter SSO-Typ) die Option Kerberos aus.

  3. Geben Sie unter Username Source (Quelle des Benutzernamens) eine Sitzungsvariable als Quelle der Benutzer-ID ein. session.saml.last.identity enthält den Microsoft Entra-Anspruch mit der angemeldeten Benutzer-ID.

  4. Die Option User Realm Source (Quelle des Benutzerbereichs) muss angegeben werden, wenn sich die Benutzerdomäne vom Kerberos-Bereich von BIG-IP unterscheidet. Auf diese Weise enthält die APM-Sitzungsvariable die angemeldete Benutzerdomäne. Beispiel: session.saml.last.attr.name.domain.

    Screenshot der Optionen und Auswahlmöglichkeiten für „Single Sign-On und HTTP-Header“.

  5. Geben Sie für KDC eine Domänencontroller-IP oder einen vollqualifizierten Domänenname ein, wenn DNS konfiguriert ist.

  6. Aktivieren Sie das Kontrollkästchen UPN-Unterstützung. APM verwendet den Benutzerprinzipalnamen (UPN) für das Kerberos-Ticketing.

  7. Geben Sie unter SPN-Muster den Wert HTTP/%h ein. Hierdurch wird APM angewiesen, den Hostheader der Clientanforderung zu verwenden und den Dienstprinzipalnamen (SPN) zu erstellen, für den ein Kerberos-Token angefordert wird.

  8. Deaktivieren Sie unter Autorisierung senden die Option für Anwendungen, die die Authentifizierung aushandeln. Zum Beispiel, Tomcat.

    Screenshot der Optionen und Auswahlmöglichkeiten für die Konfiguration der SSO-Methode.

Sitzungsverwaltung

Mit den BIG-IP-Einstellungen für die Sitzungsverwaltung können Sie Bedingungen für die Beendigung und Fortsetzung von Benutzersitzungen definieren. Zu den Bedingungen gehören Grenzwerte für Benutzer und IP-Adressen sowie entsprechende Benutzerinformationen.

Weitere Informationen finden Sie auf my.f5.com unter K18390492: Security | BIG-IP APM operations guide.

Der Betriebsleitfaden behandelt nicht das einmalige Abmelden (Single Log-Out, SLO). Dieses Feature stellt sicher, dass Sitzungen zwischen dem IdP, BIG-IP und dem Benutzer-Agent beendet werden, wenn sich Benutzer abmelden. Easy Button stellt eine SAML-Anwendung im Microsoft Entra-Mandanten bereit. Die Abmelde-URL wird mit dem APM-SLO-Endpunkt aufgefüllt. Eine vom IdP initiierte Abmeldung im Meine Apps-Portal beendet die Sitzung zwischen BIG-IP und dem Client.

Die SAML-Verbundmetadaten für die veröffentlichte Anwendung werden während der Bereitstellung aus dem Mandanten importiert. Dies stellt APM den SAML-Abmeldeendpunkt für Microsoft Entra ID bereit und hilft beim vom SP initiierten Abmelden, die Sitzung zwischen dem Client und Microsoft Entra ID zu beenden.

Bereitstellung

  1. Klicken Sie auf Bereitstellen.
  2. Vergewissern Sie sich, dass die Anwendung in der Liste Unternehmensanwendungen des Mandanten aufgeführt ist.
  3. Stellen Sie in einem Browser eine Verbindung mit der externen URL der Anwendung her, oder wählen Sie in Meine Apps das Symbol der Anwendung aus.
  4. Authentifizieren Sie sich bei Microsoft Entra ID.
  5. Sie werden zum virtuellen BIG-IP-Server umgeleitet und über SSO angemeldet.

Zum Erhöhen der Sicherheit können Sie den direkten Zugriff auf die Anwendung blockieren und einen Pfad über BIG-IP erzwingen.

Erweiterte Bereitstellung

In einigen Fällen sind die Vorlagen für die geführte Konfiguration nicht flexibel genug.

Weitere Informationen: Tutorial: Konfigurieren von F5 BIG-IP Access Policy Manager für die Kerberos-Authentifizierung.

Deaktivieren des strikten Verwaltungsmodus

Alternativ können Sie in BIG-IP den strikten Verwaltungsmodus der geführten Konfiguration deaktivieren. Sie können Ihre Konfigurationen manuell ändern, auch wenn die meisten Konfigurationen mit Assistentenvorlagen automatisiert sind.

  1. Navigieren Sie zu Access > Guided Configuration (Zugriff > Geführte Konfiguration).

  2. Wählen Sie am rechten Ende der Zeile Ihrer Anwendungskonfiguration das Schlosssymbol aus.

  3. BIG-IP-Objekte, die der veröffentlichten Anwendung zugeordnet sind, werden für die Verwaltung entsperrt. Änderungen über die Benutzeroberfläche des Assistenten sind nicht mehr möglich.

    Screenshot: Symbol „Vorhängeschloss“.

    Hinweis

    Um den strikten Verwaltungsmodus erneut zu aktivieren und eine Konfiguration bereitzustellen, welche alle Einstellungen überschreibt, die außerhalb der Benutzeroberfläche für die geführte Konfiguration vorgenommen wurden, empfehlen wir für Produktionsdienste die erweiterte Konfigurationsmethode.

Problembehandlung

Wenn Sie nicht auf die SHA-gesicherte Anwendung zugreifen können, lesen Sie die folgenden Anleitungen zur Problembehandlung.

  • Kerberos ist zeitabhängig. Stellen Sie sicher, dass für Server und Clients die korrekte Zeit festgelegt ist und dass sie nach Möglichkeit mit einer zuverlässigen Zeitquelle synchronisiert werden.
  • Stellen Sie sicher, dass der Domänencontroller und der Hostname der Web-App in DNS aufgelöst werden können.
  • Vergewissern Sie sich, dass keine doppelten SPNs in der Umgebung vorhanden sind.
    • Verwenden Sie auf einem Domänencomputer in der Befehlszeile die folgende Abfrage: setspn -q HTTP/my_target_SPN

Informationen zum Überprüfen der KCD-Konfiguration einer Anwendung der Internetinformationsdienste (IIS) finden Sie unter Problembehandlung von Konfigurationen der eingeschränkten Kerberos-Delegierung für den Anwendungsproxy.

Auf techdocs.f5.com finden Sie Informationen zur Kerberos-SSO-Methode.

Protokollanalyse

Ausführlichkeit des Protokolls

Mithilfe der BIG-IP-Protokollierung können Sie Probleme mit der Konnektivität, SSO, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen isolieren. Um mit der Problembehandlung zu beginnen, erhöhen Sie die Ausführlichkeit der Protokolle.

  1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht.
  2. Wählen Sie Ereignisprotokolle aus.
  3. Wählen Sie Settingsaus.
  4. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung aus.
  5. Wählen Sie Bearbeiten aus.
  6. Wählen Sie Access System Logs (Auf Systemprotokolle zugreifen) aus.
  7. Wählen Sie in der Liste „SSO“ die Option Debug (Debuggen) aus.
  8. Klicken Sie auf OK.
  9. Reproduzieren Sie Ihr Problem.
  10. Untersuchen Sie die Protokolle.

Wenn die Überprüfung abgeschlossen ist, setzen Sie die Ausführlichkeit des Protokolls wieder zurück, da dieser Modus übermäßig viele Daten generiert.

BIG-IP-Fehlermeldung

Wenn nach Microsoft Entra Vorauthentifizierung eine BIG-IP-Fehlermeldung angezeigt wird, kann sich das Problem auf Microsoft Entra einmaliges ANMELDEN von ID-zu-BIG-IP beziehen.

  1. Navigieren Sie zu Access > Overview (Zugriff > Übersicht).
  2. Wählen Sie Access reports (Auf Berichte zugreifen) aus.
  3. Führen Sie den Bericht für die letzte Stunde aus.
  4. Untersuchen Sie die Protokolle.

Verwenden Sie den Link View session variables (Sitzungsvariablen anzeigen) für Ihre Sitzung, um zu ermitteln, ob APM die erwarteten Microsoft Entra-Ansprüche empfängt.

Keine BIG-IP-Fehlermeldung

Wenn keine BIG-IP-Fehlermeldung angezeigt wird, hängt das Problem möglicherweise mit der Back-End-Anforderung oder dem einmaligen Anmelden von BIG-IP bei der Anwendung zusammen.

  1. Navigieren Sie zu Access Policy > Overview (Zugriffsrichtlinie > Übersicht).
  2. Wählen Sie Active Sessions (Aktive Sitzungen) aus.
  3. Wählen Sie den Link für die aktuelle Sitzung aus.
  4. Verwenden Sie den Link View Variables (Variablen anzeigen), um KCD-Probleme zu identifizieren, insbesondere ob BIG-IP-APM keine richtigen Benutzer- und Domänenbezeichner aus Sitzungsvariablen abruft.

Weitere Informationen: