Compartir vía

Tutorial: Configuración de F5 BIG-IP Access Policy Manager para la autenticación Kerberos

  • Artículo

En este tutorial, aprenderá a implementar el acceso híbrido seguro (SHA) con inicio de sesión único (SSO) en aplicaciones Kerberos mediante la configuración avanzada de Big-IP de F5. Habilitar los servicios publicados de BIG-IP para SSO de Microsoft Entra ofrece muchas ventajas, entre las que se incluyen las siguientes:

Para más información sobre las ventajas, consulte Integración de F5 BIG-IP con Microsoft Entra ID.

Descripción del escenario

En este escenario, configurará una aplicación de línea de negocio (LOB) para la autenticación Kerberos, también conocida como Autenticación integrada de Windows.

Para integrar la aplicación con Microsoft Entra ID se requiere el soporte de un protocolo basado en la federación, como Lenguaje de marcado de aserción de seguridad (SAML). Dado que la modernización de la aplicación presenta el riesgo de un posible tiempo de inactividad, hay otras opciones.

Al usar la delegación limitada de Kerberos (KCD) para el inicio de sesión único, puede utilizar proxy de aplicación de Microsoft Entra para acceder a la aplicación de forma remota. Puede lograr la transición del protocolo para unir la aplicación heredada con el plano de control de identidades moderno.

Otro enfoque es utilizar un F5 BIG-IP controlador de entrega de aplicaciones. Este enfoque permite la superposición de la aplicación con la preautenticación de Microsoft Entra y el inicio de sesión único de KCD. Mejora la posición de Confianza cero general de la aplicación.

Arquitectura del escenario

La solución SHA para este escenario tiene los siguientes elementos:

  • Aplicación: servicio back-end basado en Kerberos publicado externamente por BIG-IP y protegido por SHA

  • BIG-IP: funcionalidad de proxy inverso para publicar aplicaciones de back-end. A continuación, Access Policy Manager (APM) superpone las aplicaciones publicadas con la funcionalidad de proveedor de servicios (SP) de SAML y de inicio de sesión único.

  • Microsoft Entra ID: proveedor de identidades (IdP) que verifica las credenciales del usuario, el acceso condicional de Microsoft Entra y el inicio de sesión único al BIG-IP APM a través de SAML

  • KDC: rol del centro de distribución de claves en un controlador de dominio (DC) que emite vales de Kerberos

En la imagen siguiente se muestra el flujo iniciado por el SP de SAML para este escenario, pero también se admite el flujo iniciado por el IdP.

Diagrama de la arquitectura del escenario

Flujo de usuario

  1. El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
  2. La directiva de acceso de BIG-IP redirige al usuario a Microsoft Entra ID (IdP de SAML)
  3. Microsoft Entra ID autentica previamente al usuario y aplica las directivas de acceso condicional exigidas
  4. Se redirige al usuario a BIG-IP (SAML SP) y el inicio de sesión único se realiza a través del token de SAML emitido
  5. BIG-IP autentica al usuario y solicita un vale Kerberos a KDC.
  6. BIG-IP envía la solicitud a la aplicación back-end con el vale de Kerberos para el SSO
  7. La aplicación autoriza la solicitud y devuelve la carga útil.

Requisitos previos

No es necesario tener experiencia previa en BIG-IP. Necesitas:

  • Una cuenta gratuita de Azure o una suscripción de un nivel superior.
  • Una instancia de BIG-IP o implementar una instancia de BIG-IP Virtual Edition (VE) en Azure.
  • Cualquiera de las siguientes licencias de F5 BIG-IP:
    • pack F5 BIG-IP Best
    • Licencia independiente de F5 BIG-IP APM
    • Licencia de complemento de APM de BIG-IP de F5 en una instancia local de Traffic Manager (LTM) de BIG-IP
    • Licencia de prueba gratuita de BIG-IP de 90 días
  • Identidades de usuario sincronizadas desde un directorio local a Microsoft Entra ID, o creadas en Microsoft Entra ID y devueltas a su directorio local.
  • Uno de los siguientes roles en el entorno de Microsoft Entra: Administrador de aplicaciones en la nube o Administrador de aplicaciones.
  • Certificado de servidor web para publicar servicios a través de HTTPS o usar certificados predeterminados de BIG-IP durante las pruebas.
  • Una aplicación Kerberos o vaya a active-directory-wp.com para aprender a configurar el inicio de sesión único con IIS en Windows.

Métodos de configuración BIG-IP

En este artículo se describe la configuración avanzada, que implementa un SHA flexible para crear objetos de configuración BIG-IP. Puede usar este enfoque para escenarios que las plantillas de configuración guiada no cubren.

Nota:

Reemplace todas las cadenas o valores de ejemplo en este artículo con los de su entorno real.

Registre F5 BIG-IP en Microsoft Entra ID

Antes de que BIG-IP pueda entregar la preautenticación a Microsoft Entra ID, regístrelo en su inquilino. Este proceso inicia el SSO entre ambas entidades. La aplicación que crea desde la plantilla de galería de F5 BIG-IP es la parte de confianza que representa el SP de SAML para la aplicación publicada de BIG-IP.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como mínimo un Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Todas las aplicaciones y, a continuación, seleccione Nueva aplicación.

  3. El panel Examinar la galería de Microsoft Entra aparece con mosaicos para plataformas en la nube, aplicaciones locales y aplicaciones destacadas. Las aplicaciones de Aplicaciones destacadas incluyen iconos que indican si admiten el SSO único y el aprovisionamiento federados.

  4. En la galería de Azure, busque F5 y seleccione F5 BIG-IP APM integración de Microsoft Entra ID.

  5. Ingrese un nombre para la nueva aplicación para reconocer la instancia de la aplicación.

  6. Seleccione Añadir/Crear para agregarlo al arrendatario.

Habilitación del SSO en F5 BIG-IP

Configure el registro de BIG-IP para satisfacer los tokens SAML que BIG-IP APM solicita.

  1. En la sección Administrar del menú de la izquierda, seleccione Inicio de sesión único. Aparece el panel Inicio de sesión único.
  2. En la página Seleccione un método de inicio de sesión único, elija SAML. Seleccione No, lo guardaré más tarde para omitir la solicitud.
  3. En el panel Configurar el inicio de sesión único con SAML, seleccione el icono del lápiz para editar la Configuración básica de SAML.
  4. Reemplace el valor de Identificador predefinido por la dirección URL completa para la aplicación publicada de BIG-IP.
  5. Reemplace el valor de URL de respuesta, pero conserve la ruta de acceso del punto de conexión del SP de SAML de la aplicación.

Nota:

En esta configuración, el flujo SAML funciona en modo iniciado por el IdP. Microsoft Entra ID emite una aserción SAML antes de redirigir al usuario al punto de conexión de BIG-IP de la aplicación.

  1. Para usar el modo iniciado por SP, ingrese la dirección URL de la aplicación en URL de inicio de sesión.

  2. Para la URL de cierre de sesión, ingrese el punto de conexión de cierre de sesión único (SLO) de BIG-IP APM precedido por el encabezado de host del servicio que se está publicando. Esta acción garantiza que la sesión de BIG-IP APM del usuario finalice después de que el usuario cierre la sesión de Microsoft Entra ID.

    Captura de pantalla de las entradas de URL en Configuración básica de SAML.

Nota:

Desde el sistema operativo de administración del tráfico de BIG-IP (TMOS) v16, el punto de conexión de SLO de SAML ha cambiado a /saml/sp/profile/redirect/slo.

  1. Antes de cerrar la configuración de SAML, seleccione Guardar.
  2. Omitir el mensaje de prueba de SSO.
  3. Observe las propiedades de la sección Atributos y notificaciones del usuario. Microsoft Entra ID emite propiedades a los usuarios para la autenticación de BIG-IP APM y para el SSO a la aplicación back-end.
  4. Para guardar el archivo XML de metadatos de federación en el equipo, en el panel Certificado de firma de SAML, seleccione Descargar.

Nota:

Los certificados de firma de SAML que genera Microsoft Entra ID tienen una duración de tres años. Para obtener más información, consulte Certificados administrados para inicio de sesión único federado.

Conceder acceso a usuarios y grupos

De manera predeterminada, Microsoft Entra ID emite tokens para los usuarios a los que se concede acceso a una aplicación. Para conceder a los usuarios y grupos el acceso a la aplicación

  1. En el panel F5 BIG-IP application's overview, selecciona Asignar usuarios y grupos.

  2. Seleccione + Agregar usuario o grupo.

    Captura de pantalla de la opción Agregar usuario o grupo en Usuarios y grupos.

  3. Seleccione los usuarios y grupos y, a continuación, seleccione Asignar.

Configuración de la delegación limitada de Kerberos de Active Directory

Para que el BIG-IP APM realice el SSO a la aplicación back-end en nombre de los usuarios, configure KCD en el dominio de Active Directory (AD) de destino. La delegación de la autenticación requiere que aprovisione el BIG-IP APM con una cuenta de servicio de dominio.

Para este escenario, la aplicación está alojada en el servidor APP-VM-01 y se ejecuta en el contexto de una cuenta de servicio llamada web_svc_account, no la identidad del equipo. La cuenta de servicio de delegación asignada a APM es F5-BIG-IP.

Creación de una cuenta de delegación de BIG-IP APM

El BIG-IP no admite cuentas de servicio administradas de grupo (gMSA). Así pues, cree una cuenta de usuario estándar para la cuenta de servicio de APM.

  1. Escriba el siguiente comando de PowerShell. Reemplace los valores UserPrincipalName y SamAccountName por los de su entorno. Para mayor seguridad, use un nombre principal de servicio (SPN) dedicado que coincida con el encabezado del host de la aplicación.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    Nota:

    Cuando se usa el host, cualquier aplicación que se ejecute en él delegará la cuenta, mientras que cuando se usa HTTPS, solo se permitirán operaciones relacionadas con el protocolo HTTP.

  2. Cree un nombre de entidad de seguridad de servicio (SPN) para la cuenta de servicio de APM que se utilizará durante la delegación a la cuenta de servicio de aplicación web:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    Nota:

    Es obligatorio incluir el host/ parte en el formato UserPrincipleName (host/name.domain@domain) o ServicePrincipleName (host/name.domain).

  3. Antes de especificar el SPN de destino, consulte la configuración de su SPN. Asegúrese de que el SPN se muestre con la cuenta de servicio de APM. La cuenta de servicio de APM delega para la aplicación web:

    • Confirme que su aplicación web se está ejecutando en el contexto del equipo o en una cuenta de servicio dedicada.

    • Para el contexto de equipo, use el comando siguiente para consultar el objeto de cuenta en Active Directory y ver sus SPN definidos. Sustituya <name_of_account> por la cuenta de su entorno.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Por ejemplo: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • ** Para la cuenta de servicio dedicada, use el siguiente comando para consultar el objeto de cuenta en Active Directory, para ver sus SPNs definidos. Sustituya <name_of_account> por la cuenta de su entorno.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Por ejemplo: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Si la aplicación se ejecuta en el contexto de la máquina, agregue el SPN al objeto de la cuenta del ordenador en Active Directory:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Con los SPN definidos, establezca la confianza para el delegado de la cuenta del servicio APM en ese servicio. La configuración varía en función de la topología de su instancia BIG-IP y del servidor de aplicaciones.

Configuración de BIG-IP y la aplicación de destino en el mismo dominio

  1. Configure la confianza de la cuenta de servicio de APM para delegar la autenticación:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. La cuenta de servicio de APM necesita conocer el SPN de destino en el que se confía para poder delegar. Establezca el SPN de destino en la cuenta de servicio que ejecuta la aplicación web:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    Nota:

    Puede realizar estas tareas con el snap-in Usuarios y equipos de Active Directory, Microsoft Management Console (MMC) en un controlador de dominio.

Configuración de BIG-IP y la aplicación de destino en dominios diferentes

En la versión de Windows Server de 2012 y posteriores, KCD entre dominios usa la Delegación restringida basada en recursos (RBCD). Las restricciones de un servicio se transfieren del administrador del dominio al administrador del servicio. Esta delegación hace posible que el administrador del servicio back-end permita o deniegue el inicio de sesión único. Esta situación introduce un enfoque diferente en la delegación de la configuración, que es posible cuando se utiliza PowerShell o el editor de interfaces de servicio de Active Directory (ADSI Edit).

Puede usar la propiedad PrincipalsAllowedToDelegateToAccount de la cuenta de servicio de la aplicación (cuenta de equipo o de servicio dedicada) para conceder la delegación desde BIG-IP. Para este escenario, use el siguiente comando de PowerShell en un controlador de dominio (Windows Server 2012 R2 o posterior) en el mismo dominio que la aplicación.

Use un SPN definido en una cuenta de servicio de aplicación web. Para mayor seguridad, use un SPN dedicado que coincida con el encabezado del host de la aplicación. Por ejemplo, como el encabezado del host de la aplicación web en este ejemplo es myexpenses.contoso.com, agregue HTTP/myexpenses.contoso.com al objeto de cuenta de servicio de la aplicación en Active Directory (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Para los siguientes comandos, tenga en cuenta el contexto.

Si el servicio web_svc_account se ejecuta en el contexto de una cuenta de usuario, use estos comandos:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Si el servicio web_svc_account se ejecuta en el contexto de una cuenta de usuario, utilice estos comandos:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Para obtener más información, consulte Delegación restringida de Kerberos entre dominios.

Configuración avanzada de BIG-IP

Use la sección siguiente para seguir configurando las configuraciones de BIG-IP.

Configuración de los parámetros del proveedor de servicios de SAML

La configuración del proveedor de servicios SAML define las propiedades del SP de SAML que APM utiliza para superponer la aplicación heredada con la preautenticación de SAML. Para configurarlos:

  1. Desde un explorador, inicie sesión en la consola de administración de BIG-IP de F5.

  2. Seleccione Acceso>Federación>Proveedor de Servicios SAML>Servicios SP Locales>Crear.

    Recorte de pantalla de la opción (Create) Crear en SAML Service Provider (Proveedor de servicios SAML) en Local SP Services (Servicios SP locales).

  3. Proporcione los valores de Name (Nombre) e Entity ID (Id. de entidad) guardados al configurar el SSO para Microsoft Entra ID.

    Captura de pantalla de los campos Nombre y ID de entidad en Create New SAML SP Service.

  4. Si el ID de entidad de SAML coincide exactamente con la dirección URL de la aplicación publicada, puede omitir la configuración de nombre del SP. Por ejemplo, si el identificador de entidad es urn:myexpenses:contosoonline, el valor scheme es https; el valor host es myexpenses.contoso.com. Si el ID de la entidad es https://myexpenses.contoso.com", no es necesario proporcionar esta información.

Configuración de un conector de IdP externo

Un conector IdP SAML define la configuración para que el BIG-IP APM confíe en Microsoft Entra ID como su IdP SAML. Estos ajustes asignan el SP SAML a un IdP SAML, lo que establece la confianza de la federación entre el APM y Microsoft Entra ID. Para configurar el conector:

  1. Desplácese hacia abajo para seleccionar el nuevo objeto de SP de SAML y elija Bind/UnBind IDP Connectors (Enlazar/Desenlazar conectores de IDP).

    Captura de pantalla de la opción de enlazar y desenlazar conectores de IdP en el Proveedor de servicios SAML en los servicios SP locales.

  2. Seleccione Create New IdP Connector (Crear conector de IdP) y elija >From Metadata (A partir de los metadatos).

    Recorte de pantalla de la opción From Metadata (Desde metadatos) en Create New IdP Connector (Crear nuevo conector de IdP) en Edit SAML IdPs (Editar IdP de SAML)

  3. Busque el archivo XML de metadatos de la federación que ha descargado y proporcione un nombre de proveedor de identidad para el objeto APM que representa el IdP SAML externo. En el ejemplo siguiente se muestra MyExpenses_AzureAD.

    Recorte de pantalla de las entradas Select File (Seleccionar archivo) e Identity Provider Name (Nombre de proveedor de identidades) bajo Select File (Seleccionar archivo) en Create New SAML IdP Connector (Crear nuevo conector de IdP de SAML).

  4. Seleccione Add New Row (Agregar nueva fila) para elegir el nuevo valor de SAML IdP Connectors (Conectores de IdP de SAML) y, luego, elija Update (Actualizar).

    Recorte de pantalla de la opción Update (Actualizar) para la entrada SAML IdP Connector (Conector de IdP de SAML).

  5. Seleccione Aceptar.

Configuración del inicio de sesión único de Kerberos

Cree un objeto SSO de APM para el SSO de KCD en las aplicaciones de back-end. Use la cuenta de delegación de APM que ha creado.

  1. Seleccione Access>Single Sign-on>Kerberos>Create (Acceso > Inicio de sesión único > Kerberos > Crear) y proporcione la siguiente información:

  • Nombre: después de crearlo, otras aplicaciones publicadas pueden usar el objeto APM de Kerberos SSO. Por ejemplo, use Contoso_KCD_sso para varias aplicaciones publicadas para el dominio de Contoso. Usa MyExpenses_KCD_sso para una sola aplicación.

  • Origen de nombre de usuario: especifique el origen del identificador de usuario. Use una variable de sesión de APM como origen. Se aconseja usar session.saml.last.identity porque contiene el id. de usuario conectado de la solicitud de Microsoft Entra.

  • User Realm Source (Origen del dominio del usuario): se requiere cuando el dominio del usuario difiere del dominio kerberos para KCD. Si los usuarios están en un dominio de confianza separado, haga que el APM sea consciente especificando la variable de sesión de APM con el dominio del usuario conectado. Por ejemplo, session.saml.last.attr.name.domain. Esta acción se realiza en escenarios en los que el nombre principal de usuario (UPN) se basa en un sufijo alternativo.

  • Dominio kerberos: sufijo del dominio del usuario en mayúsculas

  • KDC: dirección IP del controlador de dominio. (O bien, escriba un nombre de dominio completo si está configurado DNS y es eficaz).

  • Soporte UPN: seleccione esta casilla si el origen del nombre de usuario está en formato UPN, por ejemplo la variable session.saml.last.identity.

  • Nombre de cuenta y contraseña de cuenta: credenciales de la cuenta de servicio de APM para realizar KCD.

  • Patrón SPN: si usa HTTP/%h, APM utiliza el encabezado del host de la solicitud del cliente para construir el SPN para el cual está solicitando un token de Kerberos.

  • Send Authorization (Enviar autorización): deshabilite esta opción en el caso de aplicaciones que prefieren negociar la autenticación, en lugar de recibir el token de Kerberos en la primera solicitud (por ejemplo, Tomcat).

    Captura de pantalla de las entradas Name (Nombre), Username Source (Origen de nombre de usuario) y SSO Method Configuration (Configuración de método de SSO) en General Properties (Propiedades generales).

Puede dejar KDC sin definir si el dominio Kerberos del usuario es diferente del dominio Kerberos del servidor back-end. Esta regla se aplica a los escenarios de dominios múltiples. Si deja KDC sin definir, BIG-IP intenta detectar un dominio Kerberos mediante una búsqueda DNS de registros SRV para el dominio del servidor back-end. Espera que el nombre de dominio sea el mismo que el nombre del ámbito. Si el nombre de dominio difiere, especifíquelo en el archivo /etc/krb5.conf.

El procesamiento de SSO de Kerberos es más rápido cuando una dirección IP especifica un KDC. El procesamiento del inicio de sesión único de Kerberos es más lento si un nombre de host especifica un KDC. Debido a más consultas de DNS, el procesamiento es más lento cuando un KDC no está definido. Asegúrese de que el DNS funciona de manera óptima antes de pasar una prueba de concepto a producción.

Nota:

Si los servidores back-end están en múltiples ámbitos, cree un objeto de configuración de inicio de sesión único independiente para cada ámbito.

Puede insertar encabezados como parte de la solicitud de inicio de sesión único a la aplicación back-end. Cambie el valor de Propiedades generales de Básicas a Avanzadas.

Para más información sobre cómo configurar un APM para el inicio de sesión único de KCD, consulte el artículo de F5 K17976428: Información general de la delegación limitada de Kerberos.

Configuración de un perfil de acceso

Un perfil de acceso vincula los elementos de APM que administran el acceso a los servidores virtuales BIG-IP. Estos elementos incluyen directivas de acceso, configuración de inicio de sesión único y configuración de la interfaz de usuario.

  1. Seleccione Acceso>Perfiles/Directivas >Perfiles de acceso (Directivas por sesión)>Crear e introduzca las siguientes propiedades:

    • Name (Nombre): por ejemplo, escriba MyExpenses.

    • Profile Type (Tipo de perfil): seleccione All (Todos).

    • SSO Configuration (Configuración de SSO): seleccione el objeto de configuración de SSO de KCD que ha creado.

    • Accepted Languages (Idiomas aceptados): agregue al menos un idioma.

    Captura de pantalla de las entradas General Properties (Propiedades generales), SSO Across Authentication Domains (SSO en dominios de autenticación) y Language Settings (Configuración de idioma).

  2. Seleccione Edit (Editar) en el perfil por sesión que creó.

    Recorte de pantalla de la opción Edit (Editar) en Per Session Policy (Directiva por sesión).

  3. Se abre el editor visual de políticas. Seleccione el signo más que aparece junto a la directiva de retirada.

    Recorte de pantalla del botón del signo de más en Apply Access Policy (Aplicar directiva de acceso).

  4. En el cuadro de dialogo, seleccione Autenticación>Autenticación SAML >Agregar elemento.

    Captura de pantalla de la opción SAML Auth (Autenticación de SAML) en la pestaña Authentication (Autenticación).

  5. En la configuración del proveedor de servicios de la autenticación SAML, seleccione la opción AAA Server (Servidor AAA) para usar el objeto SAML SP que creó.

    Captura de pantalla de la entrada AAA Server (Servidor AAA) en la pestaña Properties (Propiedades).

  6. Para cambiar la rama Exitosa a Permiso, seleccione el vínculo en el cuadro superior de Denegar.

  7. Seleccione Guardar.

    Captura de pantalla de la opción Deny (Denegar) en Access Policy (Directiva de acceso).

Configuración de las asignaciones de atributos

Aunque es opcional, puede agregar una configuración LogonID_Mapping para permitir que la lista de sesiones activas de BIG-IP muestre el UPN del usuario conectado, en lugar de un número de sesión. Esta información es útil para analizar los registros o solucionar problemas.

  1. En la rama SAML Auth Successful (Autenticación correcta de SAML), seleccione el signo más.

  2. En el cuadro de diálogo, seleccione Asignación>Asignación de variables>Agregar elemento.

    Captura de pantalla de la opción Asignación de variable en la pestaña Asignación.

  3. Escriba un nombre.

  4. En el panel Variable Assign (Asignación de variables), seleccione Add new entry>change (Agregar nueva entrada > Cambiar). En el ejemplo siguiente se muestra LogonID_Mapping en el cuadro Name.

    Captura de pantalla de las opciones Add new entry (Agregar nueva entrada) y Change (Cambiar).

  5. Establezca ambas variables:

    • Variable personalizada: escriba session.logon.last.username
    • Variable de sesión: escriba session.saml.last.identity

  6. Seleccione Finalizado>Guardar.

  7. Seleccione el terminal Deny (Denegar) de la directiva de acceso de la rama Successful (Correcta). Cámbielo a Allow (Permitir).

  8. Seleccione Guardar.

  9. Seleccione Aplicar directiva de acceso y cierre el editor.

    Captura de pantalla de la opción Apply Access Policy (Aplicar directiva de acceso).

Configuración del grupo back-end

Para que BIG-IP reenvíe el tráfico del cliente con precisión, cree un objeto de nodo BIG-IP que represente el servidor back-end que hospeda su aplicación. A continuación, coloque ese nodo en un grupo de servidores de BIG-IP.

  1. Seleccione Local Traffic (Tráfico local) >Pools (Grupos) >Pool List (Lista de grupos) >Crear y proporcione un nombre para un objeto de grupo de servidores. Por ejemplo, escriba MyApps_VMs.

    Recorte de pantalla de la entrada Name (Nombre) en Configuration (Configuración) en New Pool (Nuevo grupo).

  2. Agregue un objeto miembro de grupo con los siguientes detalles de recursos:

    • Nombre del nodo: nombre para mostrar del servidor que aloja la aplicación web back-end
    • Dirección: dirección IP del servidor que hospeda la aplicación
    • Puerto de servicio: puerto HTTP/S en el que escucha la aplicación

    Captura de pantalla de las entradas Node Name (Nombre del nodo), Address (Dirección) y Service Port (Puerto de servicio) y la opción Add (Agregar).

Nota:

Este artículo no cubre la configuración adicional que requieren los monitores de estado. Consulte K13397: Introducción al formato de solicitud de supervisión de estado HTTP para el sistema DNS de BIG-IP.

Configuración del servidor virtual

Un servidor virtual es un objeto del plano de datos de BIG-IP representado por una dirección IP virtual que escucha las solicitudes de los clientes a la aplicación. El tráfico recibido es procesado y evaluado contra el perfil de acceso de APM asociado con el servidor virtual, antes de ser dirigido de acuerdo a la directiva.

Para configurar un servidor virtual:

  1. Seleccione Local Traffic (Tráfico local) >Virtual Servers (Servidores virtuales) >Virtual Server List (Lista de servidores virtuales) >Crear.

  2. Escriba un nombre y una dirección IPv4/IPv6 no asignada a un objeto o dispositivo BIG-IP en la red conectada. La dirección IP se dedica a recibir el tráfico de clientes para la aplicación back-end publicada.

  3. Establezca el puerto de servicio en 443.

    Captura de pantalla de las entradas Name (Nombre), Destination Address/Mask (Dirección o máscara de destino) y Service Port (Puerto de servicio) en General Properties (Propiedades generales).

  4. Establezca HTTP Profile (Client) (Perfil HTTP [cliente]) en http.

  5. Habilite un servidor virtual para la seguridad de la capa de transporte (TLS) para permitir que los servicios se publiquen a través de HTTPS.

  6. Para el Perfil SSL (Cliente), seleccione el perfil que creó como requisito previo. También puede usar el valor predeterminado si está haciendo pruebas.

    Captura de pantalla de las entradas de Perfil HTTP y Perfil SSL para el cliente.

  7. Cambie Source Address Translation (Traducción de direcciones de origen) a Auto Map (Asignación automática).

    Captura de pantalla de la entrada Source Address Translation (Traducción de direcciones de origen).

  8. En Directiva de acceso, establezca Perfil de acceso según el perfil que creó. Esta selección enlaza el perfil de preautenticación SAML de Microsoft Entra y la directiva de SSO de KCD al servidor virtual.

    Captura de pantalla de la entrada Access Profile (Perfil de acceso) en Access Policy (Directiva de acceso).

  9. Establezca Grupo predeterminado para usar los objetos del grupo de back-end creados en la sección anterior.

  10. Seleccione Finished (Finalizado).

    Recorte de pantalla de la entrada Default Pool (Grupo predeterminado) para Resources (Recursos).

Configuración de los parámetros de la administración de sesiones

La configuración de administración de sesión de BIG-IP define las condiciones para las cuales las sesiones de usuario se finalizan o se les permite continuar, así como para definir los límites para usuarios y direcciones IP y las páginas de error. Puede crear la política aquí.

Vaya a Directiva de acceso>Perfiles de acceso>Perfil de acceso y seleccione una aplicación de la lista.

Si definiste un URI de cierre de sesión único en Microsoft Entra ID, se garantiza que una desconexión iniciada por el IdP desde el portal de MyApps finalice la sesión entre el cliente y el BIG-IP APM. El archivo XML importado de metadatos de federación de la aplicación proporciona a APM el punto de conexión de cierre de sesión SAML de Azure AD para cierres de sesión iniciados por SP. Para obtener resultados efectivos, APM debe saber cuándo un usuario cierra la sesión.

Considere un escenario en el que no se utilice un portal web BIG-IP. El usuario no puede indicar al APM que cierre la sesión. Incluso si el usuario cierra la sesión de la aplicación, BIG-IP es ajeno ("oblivious"), por lo que la sesión de la aplicación podría restablecerse a través del inicio de sesión único. El cierre de sesión iniciado por SP requiere consideración para garantizar que las sesiones finalicen de forma segura.

Nota:

Puede agregar una función SLO al botón de cierre de sesión de la aplicación. Esta función redirige al cliente al punto de conexión de cierre de sesión SAML de Microsoft Entra. Encuentre el punto de conexión SAML para cerrar sesión en Registros de aplicaciones>Puntos de conexión.

Si no puede cambiar la aplicación, considere la posibilidad de que BIG-IP escuche la llamada de cierre de sesión de la aplicación. Cuando detecta la solicitud, activa el SLO.

Para más información, consulte los artículos de F5:

Resumen

La aplicación se publica y es accesible a través de SHA, por su URL o a través de los portales de aplicaciones de Microsoft. La aplicación es visible como recurso de destino en el acceso condicional de Microsoft Entra.

Para aumentar la seguridad, las organizaciones que usan este patrón pueden bloquear el acceso directo a la aplicación, lo que fuerza una ruta estricta a través de BIG-IP.

Pasos siguientes

Como usuario, abra un explorador y conéctese a la dirección URL externa de la aplicación. Puede seleccionar el icono de la aplicación en el portal Microsoft MyApps. Después de autenticarse con su inquilino de Microsoft Entra, se le redirige al punto de conexión de BIG-IP para la aplicación y se inicia la sesión a través del inicio de sesión único.

Imagen del sitio web de la aplicación de ejemplo.

Acceso B2B para invitados de Microsoft Entra

El SHA es compatible con el acceso de invitado B2B de Microsoft Entra. Las identidades de los invitados se sincronizan desde su entidad de Microsoft Entra a su dominio Kerberos de destino. Tener una representación local de objetos invitados para que BIG-IP realice el inicio de sesión único de KCD en la aplicación back-end.

Solución de problemas

Al solucionar problemas, tenga en cuenta los siguientes puntos:

  • Kerberos es sensible al tiempo. Requiere que los servidores y los clientes estén configurados con la hora correcta y, cuando sea posible, sincronizados con una fuente de tiempo confiable.
  • Asegúrese de que los nombres de host para el controlador de dominio y la aplicación web se puedan resolver en DNS.
  • Asegúrese de que no haya ningún SPN duplicado en su entorno. Ejecute la siguiente consulta en la línea de comandos: setspn -q HTTP/my_target_SPN.

Nota:

Para validar que una aplicación IIS está configurada para KCD, consulte Solución de problemas de configuraciones de delegación restringida de Kerberos para Application Proxy. Consulte también el artículo AskF5, Inicio de sesión único de Kerberos.

Aumentar el nivel de detalle del registro

Los registros de BIG-IP son una fuente confiable de información. Para aumentar el nivel de detalle del registro:

  1. Vaya a Directiva de acceso>Información general>Event Logs (Registros de eventos)>Configuración.
  2. Seleccione la fila de la aplicación publicada.
  3. Seleccione Editar> Acceder a los registros del sistema.
  4. Seleccione Depurar en la lista de inicio de sesión único.
  5. Seleccione Aceptar.

Repita el problema antes de examinar los registros. Revierta esta funcionalidad cuando haya terminado. De lo contrario, el nivel de detalle es significativo.

Error de BIG-IP

Si aparece un error de BIG-IP después de una preautenticación de Microsoft Entra, el problema podría estar relacionado con el inicio de sesión único de Microsoft Entra ID en BIG-IP.

  1. Vaya a Access>Overview>Access reports (Acceso > Información general > Informes de acceso).
  2. Para ver si los registros tienen alguna pista, ejecute el informe durante la última hora.
  3. Use el vínculo Ver variables de sesión para su sesión para entender si el APM recibe las reclamaciones esperadas de Microsoft Entra ID.

Solicitud back-end

Si no aparece ningún error de BIG-IP, el problema está probablemente relacionado con la solicitud del back-end, o relacionado con el SSO de BIG-IP a la aplicación.

  1. Go to Directiva de acceso>Información general>Active Sessions (Sesiones activas).
  2. Seleccione el vínculo de la sesión activa.
  3. Use el vínculo Ver Variables para determinar la causa raíz de los problemas de KCD, particularmente si el BIG-IP APM no logra obtener los identificadores de usuario y dominio correctos.

Para obtener ayuda con el diagnóstico de problemas relacionados con KCD, consulte la guía de implementación archivada de BIG-IP de F5 Configuración de la delegación limitada de Kerberos.

Recursos