Samouczek: konfigurowanie menedżera zasad dostępu F5 BIG-IP na potrzeby uwierzytelniania Kerberos

Z tego samouczka dowiesz się, jak zaimplementować bezpieczny dostęp hybrydowy (SHA) przy użyciu logowania jednokrotnego do aplikacji Kerberos przy użyciu zaawansowanej konfiguracji F5 BIG-IP. Włączenie opublikowanych usług BIG-IP dla usługi Microsoft Entra SSO zapewnia wiele korzyści, w tym:

• Ulepszone zarządzanie Zero Trust dzięki wstępnemu uwierzytelnianiu w Microsoft Entra oraz wymuszaniu zasad dostępu warunkowego.
  • Zobacz Co to jest dostęp warunkowy?
• Pełne SSO pomiędzy usługami opublikowanymi za pośrednictwem Microsoft Entra ID i BIG-IP
• Zarządzanie tożsamościami i dostęp z jednej płaszczyzny sterowania — centrum administracyjne firmy Microsoft Entra

Aby dowiedzieć się więcej o korzyściach, zobacz sekcję Integrowanie F5 BIG-IP z Microsoft Entra ID.

Opis scenariusza

W tym scenariuszu skonfigurujesz aplikację biznesową na potrzeby uwierzytelniania Kerberos, znaną również jako zintegrowane uwierzytelnianie systemu Windows.

Aby zintegrować aplikację z Microsoft Entra ID, wymagana jest obsługa protokołu opartego na federacji, takiego jak Security Assertion Markup Language (SAML). Ponieważ modernizacja aplikacji wprowadza ryzyko potencjalnego przestoju, istnieją inne opcje.

Podczas korzystania z ograniczonego delegowania protokołu Kerberos (KCD) na potrzeby logowania jednokrotnego możesz zdalnie uzyskać dostęp do aplikacji przy użyciu serwera proxy aplikacji Microsoft Entra. Możliwe jest przejście protokołu, aby połączyć starszą aplikację z nowoczesnym systemem zarządzania tożsamościami.

Innym podejściem jest użycie kontrolera dostarczania aplikacji F5 BIG-IP. Takie podejście umożliwia dodanie funkcji wstępnego uwierzytelniania Microsoft Entra oraz logowania jednokrotnego KCD do aplikacji. Poprawia ogólną strategię Zero Trust aplikacji.

Architektura scenariusza

Rozwiązanie SHA dla tego scenariusza ma następujące elementy:

• Aplikacja: usługa warstwa zaplecza oparta na protokole Kerberos, zewnętrznie opublikowana przez BIG-IP i zabezpieczona za pomocą SHA

• BIG-IP: Funkcjonalność zwrotnego proxy do publikowania aplikacji backendowych. Menedżer zasad dostępu (APM) nakłada na opublikowane aplikacje funkcjonalność dostawcy usług SAML (SP) oraz jednokrotnego logowania (SSO).

• Microsoft Entra ID: Dostawca tożsamości, który weryfikuje poświadczenia użytkownika, dostęp warunkowy firmy Microsoft Entra i jednokrotne logowanie do aplikacji BIG-IP APM za pośrednictwem protokołu SAML

• Centrum Dystrybucji Kluczy (KDC): rola Centrum Dystrybucji Kluczy na kontrolerze domeny (DC), który wystawia bilety Kerberos

Na poniższym obrazku przedstawiono przepływ inicjowany przez SP SAML dla tego scenariusza, ale obsługiwany jest również przepływ inicjowany przez IdP.

Przepływ użytkownika

1. Użytkownik łączy się z punktem końcowym aplikacji (BIG-IP)
2. Zasada dostępu BIG-IP przekierowuje użytkownika do Microsoft Entra ID (dostawca tożsamości SAML - IdP)
3. Identyfikator entra firmy Microsoft wstępnie uwierzytelnia użytkownika i stosuje wymuszane zasady dostępu warunkowego
4. Użytkownik jest przekierowywany do BIG-IP (SAML SP), a logowanie jednokrotne odbywa się za pomocą wystawionego tokenu SAML.
5. BIG-IP uwierzytelnia użytkownika i żąda biletu Kerberos od KDC
6. BIG-IP wysyła żądanie do aplikacji zaplecza z biletem Kerberos dla SSO
7. Aplikacja autoryzuje żądanie i zwraca ładunek

Wymagania wstępne

Wcześniejsze doświadczenie z BIG-IP nie jest konieczne. Potrzebujesz:

• Bezpłatne konto platformy Azure lub subskrypcja wyższej warstwy.
• BIG-IP lub wdrożenie Wersji Wirtualnej BIG-IP na platformie Azure.
• Dowolne z następujących licencji F5 BIG-IP:
  • F5 BIG-IP Najlepszy pakiet
  • Licencja autonomiczna F5 BIG-IP APM
  • Licencja dodatku F5 BIG-IP APM na BIG-IP Local Traffic Manager (LTM)
  • 90-dniowa licencja bezpłatnej wersji próbnej BIG-IP
• Tożsamości użytkowników synchronizowane z katalogu lokalnego do Microsoft Entra ID lub utworzone w Microsoft Entra ID i przekazywane z powrotem do katalogu lokalnego.
• Jedna z następujących ról w dzierżawie Microsoft Entra: Administrator aplikacji w chmurze lub Administrator aplikacji.
• Certyfikat serwera internetowego do publikowania usług za pośrednictwem protokołu HTTPS lub użyj domyślnych certyfikatów BIG-IP podczas testowania.
• Aplikacja Kerberos lub przejdź do active-directory-wp.com, aby dowiedzieć się, jak skonfigurować SSO z usługami IIS w systemie Windows.

Metody konfiguracji BIG-IP

W tym artykule opisano zaawansowaną konfigurację, elastyczną implementację algorytmu SHA, która tworzy obiekty konfiguracji BIG-IP. Tego podejścia można użyć w scenariuszach, których Szablony Konfiguracji z Przewodnikiem nie obejmują.

Uwaga

Zastąp wszystkie przykładowe ciągi lub wartości w tym artykule tymi dla rzeczywistego środowiska.

Zarejestruj F5 BIG-IP w usłudze Microsoft Entra ID

Zanim BIG-IP będzie mógł przekazać wstępne uwierzytelnianie do Microsoft Entra ID, zarejestruj go w swoim dzierżawcy. Ten proces inicjuje jednokrotne uwierzytelnianie między dwoma jednostkami. Aplikacja utworzona na podstawie szablonu galerii BIG-IP F5 jest stroną uzależnioną reprezentującą dostawcę usług SAML dla opublikowanej aplikacji BIG-IP.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do Identity>Applications>Aplikacje dla przedsiębiorstw>Wszystkie aplikacje, a następnie wybierz Nowa aplikacja.

3. Zostanie wyświetlone okno Przeglądaj galerię Microsoft Entra z kafelkami dla platform chmurowych, aplikacji lokalnych oraz aplikacji polecanych. Aplikacje w sekcji Polecane aplikacje zawierają ikony wskazujące, czy obsługują federacyjne logowanie jednokrotne i aprowizację.

4. W galerii platformy Azure wyszukaj F5 i wybierz integrację F5 BIG-IP APM z Microsoft Entra ID.

5. Wprowadź nazwę nowej aplikacji w celu identyfikacji instancji aplikacji.

6. Wybierz Dodaj/Utwórz, aby dodać do dzierżawy.

Włączanie logowania jednokrotnego na F5 BIG-IP

Skonfiguruj rejestrację BIG-IP, aby spełniać tokeny SAML wymagane przez BIG-IP APM.

1. W sekcji Zarządzanie w menu po lewej stronie wybierz pozycję Logowanie jednokrotne. Zostanie wyświetlone okienko Logowanie jednokrotne .
2. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML. Wybierz Nie, zapiszę później, aby pominąć monit.
3. W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę pióra, aby edytować podstawową konfigurację protokołu SAML.
4. Zastąp wstępnie zdefiniowaną wartość Identyfikator pełnym adresem URL opublikowanej aplikacji BIG-IP.
5. Zastąp wartość URL odpowiedzi, ale zachowaj ścieżkę do końcowego punktu SAML SP aplikacji.

Uwaga

W tej konfiguracji przepływ SAML działa w trybie inicjowanym przez IdP. Identyfikator Microsoft Entra wystawia asercję SAML, zanim użytkownik zostanie przekierowany do końcowego punktu BIG-IP dla aplikacji.

6. Aby użyć trybu inicjowanego przez SP, wprowadź adres URL aplikacji w Adres URL logowania.

7. W polu Adres URL wylogowywania wprowadź punkt końcowy logowania jednokrotnego (SLO) BIG-IP APM poprzedzony nagłówkiem hosta publikowanej usługi. Ta akcja gwarantuje zakończenie sesji BIG-IP APM użytkownika po wylogowaniu użytkownika z identyfikatora Entra firmy Microsoft.

   

Uwaga

Od wersji 16 systemu operacyjnego zarządzania ruchem BIG-IP (TMOS) punkt końcowy SLO SAML został zmieniony na /saml/sp/profile/redirect/slo.

8. Przed zamknięciem konfiguracji protokołu SAML wybierz pozycję Zapisz.
9. Pomiń komunikat testu SSO.
10. Zwróć uwagę na właściwości sekcji Atrybuty użytkownika i oświadczenia . Microsoft Entra ID wystawia właściwości użytkownikom dla uwierzytelniania BIG-IP APM i SSO do aplikacji back-end.
11. Aby zapisać plik XML metadanych federacji na komputerze, w okienku Certyfikat podpisywania SAML wybierz pozycję Pobierz.

Uwaga

Certyfikaty podpisywania SAML tworzone przez firmę Microsoft Entra ID mają okres istnienia wynoszący trzy lata. Aby uzyskać więcej informacji, zobacz Managed certificates for federated single sign-on (Certyfikaty zarządzane na potrzeby federacyjnego logowania jednokrotnego).

Udzielanie dostępu użytkownikom i grupom

Domyślnie identyfikator Entra firmy Microsoft wystawia tokeny dla użytkowników, którym udzielono dostępu do aplikacji. Aby udzielić użytkownikom i grupom dostępu do aplikacji:

1. W okienku przeglądu aplikacji F5 BIG-IP wybierz pozycję Przypisz użytkowników i grupy.

2. Wybierz pozycję + Dodaj użytkownika/grupę.

   

3. Wybierz użytkowników i grupy, a następnie wybierz pozycję Przypisz.

Konfigurowanie ograniczonego delegowania Kerberos w usłudze Active Directory

Aby aplikacja BIG-IP APM mogła wykonywać jednokrotne logowanie (SSO) do aplikacji zaplecza w imieniu użytkowników, skonfiguruj KCD w docelowej domenie Active Directory (AD). Delegowanie uwierzytelniania wymaga aprowizacji systemu BIG-IP APM przy użyciu konta usługi domenowej.

W tym scenariuszu aplikacja jest hostowana na serwerze APP-VM-01 i działa w kontekście konta usługi o nazwie web_svc_account, a nie tożsamości komputera. Konto usługi delegowane do APM to F5-BIG-IP.

Utwórz konto delegowania BIG-IP APM

Big-IP nie obsługuje kont usług zarządzanych przez grupę (gMSA), dlatego utwórz konto użytkownika standardowego dla konta usługi APM.

1. Wprowadź następujące polecenie programu PowerShell. Zastąp wartości UserPrincipalName i SamAccountName wartościami środowiska. Aby uzyskać lepsze zabezpieczenia, użyj dedykowanej nazwy głównej usługi (SPN), która jest zgodna z nagłówkiem hosta aplikacji.

   New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

   HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

   Uwaga

   Gdy host jest używany, każda aplikacja uruchomiona na hoście deleguje konto, natomiast gdy jest używany protokół HTTPS, będzie zezwalać tylko na operacje związane z protokołem HTTPS.

2. Utwórz nazwę główną usługi (SPN) dla konta usługi APM do użycia podczas delegowania do konta usługi aplikacji webowej.

   Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

   Uwaga

   Obowiązkowe jest uwzględnienie części host/ w formacie UserPrincipalName (host/name.domain@domain) lub ServicePrincipalName (host/name.domain).

3. Przed określeniem docelowego SPN wyświetl jego konfigurację SPN. Upewnij się, że SPN jest wyświetlany na koncie usługi APM. Delegaty konta usługi APM dla aplikacji internetowej:

   • Upewnij się, że aplikacja internetowa jest uruchomiona w kontekście komputera lub dedykowanym koncie usługi.

   • W kontekście komputera użyj następującego polecenia, aby wysłać zapytanie do obiektu konta w usłudze Active Directory, aby wyświetlić zdefiniowane nazwy SPN. Zastąp <name_of_account> kontem dla swojego środowiska.

     Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Na przykład: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

   • W przypadku dedykowanego konta usługi użyj następującego polecenia, aby wysłać zapytanie do obiektu konta w usłudze Active Directory, aby wyświetlić zdefiniowane nazwy SPN. Zastąp <name_of_account> kontem dla twojego środowiska.

     Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Na przykład: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

4. Jeśli aplikacja została uruchomiona w kontekście komputera, dodaj nazwę SPN do obiektu konta komputera w usłudze Active Directory:

   Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Po zdefiniowaniu identyfikatorów SPN, ustanów zaufanie pozwalające kontu usługi APM na delegowanie do tej usługi. Konfiguracja różni się w zależności od topologii instancji BIG-IP oraz konfiguracji serwera aplikacji.

Skonfiguruj BIG-IP i aplikację docelową w tej samej domenie.

1. Ustaw relację zaufania dla konta usługi APM (Application Performance Monitoring), aby umożliwić delegowanie uwierzytelniania:

   Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

2. Konto usługi APM musi wiedzieć, jaki jest docelowy SPN, któremu ufa się w kwestii delegacji. Ustaw docelową nazwę SPN na konto usługi, na którym działa aplikacja internetowa:

   Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

   Uwaga

   Te zadania można wykonać za pomocą przystawki Użytkownicy i komputery usługi Active Directory programu Microsoft Management Console (MMC) na kontrolerze domeny.

Konfigurowanie BIG-IP i aplikacji docelowej w różnych domenach

W wersji systemu Windows Server 2012 lub nowszej usługa KCD między domenami używa ograniczonego delegowania opartego na zasobach (RBCD). Ograniczenia usługi są przenoszone z administratora domeny do administratora usługi. To delegowanie umożliwia administratorowi systemu zaplecza zezwalanie lub odmawianie SSO. Taka sytuacja powoduje utworzenie innego podejścia w delegowaniu konfiguracji, co jest możliwe w przypadku korzystania z programu PowerShell lub Edytora interfejsów usługi Active Directory (ADSI Edit).

Możesz użyć właściwości PrincipalsAllowedToDelegateToAccount konta usługi aplikacji (komputerowego lub dedykowanego konta usługi), aby udzielić delegowania z BIG-IP. W tym scenariuszu użyj następującego polecenia programu PowerShell na kontrolerze domeny (Windows Server 2012 R2 lub nowszym) w tej samej domenie co aplikacja.

Użyj SPN zdefiniowanego na koncie usługi aplikacji sieciowej. Aby uzyskać lepsze zabezpieczenia, użyj dedykowanej nazwy SPN zgodnej z nagłówkiem hosta aplikacji. Na przykład, ponieważ nagłówek hosta aplikacji internetowej w tym przykładzie to myexpenses.contoso.com, dodaj HTTP/myexpenses.contoso.com do obiektu konta usługi aplikacji w usłudze Active Directory (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

W przypadku następujących poleceń zanotuj kontekst.

Jeśli usługa web_svc_account działa w kontekście konta użytkownika, użyj następujących poleceń:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Jeśli usługa web_svc_account jest uruchamiana w kontekście konta komputera, użyj następujących poleceń:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Więcej informacji znajdziesz w Ograniczone delegowanie protokołu Kerberos między domenami.

Zaawansowana konfiguracja big-IP

Użyj poniższej sekcji, aby kontynuować konfigurowanie BIG-IP.

Konfigurowanie ustawień dostawcy usług SAML

Ustawienia dostawcy usług SAML określają właściwości dostawcy usług SAML, które APM wykorzystuje do nakładania preautentykacji SAML na starszą aplikację. Aby je skonfigurować:

1. W przeglądarce zaloguj się do konsoli zarządzania F5 BIG-IP.

2. Wybierz Federację Dostępu>Dostawca Usług SAML>Lokalne Usługi SP>Utwórz.

   

3. Podaj wartości Nazwa i ID jednostki, które zapisałeś podczas konfigurowania SSO dla Microsoft Entra ID.

   

4. Jeśli identyfikator jednostki SAML jest dokładnym dopasowaniem adresu URL aplikacji opublikowanej, możesz pominąć Ustawienia nazwy SP. Jeśli na przykład identyfikator jednostki to urn:myexpenses:contosoonline, wartość schematu to https, a wartość hosta to myexpenses.contoso.com. Jeśli identyfikator jednostki to "https://myexpenses.contoso.com", nie musisz podawać tych informacji.

Konfigurowanie zewnętrznego łącznika IdP

Łącznik dostawcy tożsamości SAML definiuje ustawienia dla aplikacji BIG-IP APM, aby ufać identyfikatorowi Entra firmy Microsoft jako dostawcy tożsamości SAML. Te ustawienia mapują dostawcę usługi SAML na dostawcę tożsamości SAML, ustanawiając relację zaufania federacji między APM a Microsoft Entra ID. Aby skonfigurować łącznik:

1. Przewiń w dół, aby wybrać nowy obiekt SAML SP, a następnie wybierz Powiąż/Odwiąż łączniki IdP.

   

2. Wybierz Utwórz nowy łącznik dostawcy tożsamości>na podstawie metadanych.

   

3. Przejdź do pobranego pliku XML metadanych federacji i podaj nazwę dostawcy tożsamości dla obiektu APM reprezentującego zewnętrznego dostawcę tożsamości SAML. W poniższym przykładzie pokazano MyExpenses_AzureAD.

   

4. Wybierz Dodaj nowy wiersz, aby wybrać nową wartość łączników SAML IdP, a następnie wybierz Aktualizuj.

   

5. Wybierz przycisk OK.

Konfigurowanie Kerberos SSO

Utwórz obiekt APM SSO dla KCD SSO do aplikacji zaplecza. Użyj utworzonego konta delegowania APM.

1. Wybierz Dostęp>Jednokrotne logowanie>Kerberos>Utwórz i podaj następujące informacje:

• Nazwa: Po jego utworzeniu inne opublikowane aplikacje mogą używać obiektu logowania jednokrotnego APM Protokołu Kerberos. Na przykład użyj Contoso_KCD_sso dla wielu opublikowanych aplikacji dla domeny Contoso. Użyj MyExpenses_KCD_sso dla jednej aplikacji.

• Źródło nazwy użytkownika: określ źródło identyfikatora użytkownika. Użyj zmiennej sesji APM jako źródła. Korzystanie z pliku session.saml.last.identity jest zalecane, ponieważ zawiera on identyfikator zalogowanego użytkownika z oświadczenia firmy Microsoft Entra.

• Źródło obszaru użytkownika: wymagane, gdy domena użytkownika różni się od obszaru Kerberos dla KCD. Jeśli użytkownicy znajdują się w oddzielnej zaufanej domenie, należy poinformować APM, określając zmienną sesji APM z domeną zalogowanego użytkownika. Przykładem jest session.saml.last.attr.name.domain. Ta akcja jest wykonywana w scenariuszach, gdy główna nazwa użytkownika (UPN) jest oparta na alternatywnym sufiksie.

• Obszar Kerberos: sufiks domeny użytkownika w wielkich literach

• KDC: adres IP kontrolera domeny. Możesz też wprowadzić w pełni kwalifikowaną nazwę domeny, jeśli usługa DNS jest skonfigurowana i wydajna.

• Obsługa UPN: zaznacz to pole wyboru, jeśli źródło nazwy użytkownika ma format UPN, na przykład tak jak zmienna session.saml.last.identity.

• Nazwa konta i Hasło konta: poświadczenia konta usługi APM w celu przeprowadzenia KCD

• Wzorzec SPN: jeśli używasz HTTP/%h, program APM używa nagłówka hosta żądania klienta do zbudowania nazwy SPN, dla której żąda tokenu Kerberos.

• Wyślij autoryzację: wyłącz tę opcję dla aplikacji, które wolą negocjować uwierzytelnianie, zamiast otrzymywać token Kerberos w pierwszym żądaniu (na przykład Tomcat).

  

Można pozostawić KDC niezdefiniowane, jeśli domena użytkownika różni się od domeny serwera zaplecza. Ta reguła ma zastosowanie do scenariuszy obejmujących wiele domen. Jeśli pozostawisz niezdefiniowane centrum dystrybucji kluczy, BIG-IP próbuje odnaleźć obszar Kerberosa za pośrednictwem wyszukiwania DNS rekordów SRV dla domeny serwera operacyjnego. Oczekuje ona, że nazwa domeny będzie taka sama jak nazwa obszaru. Jeśli nazwa domeny się różni, określ ją w pliku /etc/krb5.conf.

Przetwarzanie SSO protokołu Kerberos jest szybsze, gdy adres IP wskazuje centrum dystrybucji kluczy (KDC). Przetwarzanie logowania jednokrotnego protokołu Kerberos jest wolniejsze, jeśli nazwa hosta określa KDC (centrum dystrybucji kluczy). Z powodu większej liczby zapytań DNS, przetwarzanie jest wolniejsze, gdy KDC jest niezdefiniowane. Przed przeniesieniem weryfikacji koncepcji do środowiska produkcyjnego upewnij się, że system DNS działa optymalnie.

Uwaga

Jeśli serwery zaplecza znajdują się w wielu obszarach, utwórz oddzielny obiekt konfiguracji logowania jednokrotnego dla każdego obszaru.

Można wprowadzić nagłówki jako część żądania SSO do aplikacji backendowej. Zmień ustawienie Właściwości ogólne z Podstawowa na Zaawansowane.

Aby uzyskać więcej informacji na temat konfigurowania usługi APM dla logowania jednokrotnego KCD, zobacz artykuł F5 K17976428: Omówienie ograniczonego delegowania protokołu Kerberos.

Konfigurowanie profilu dostępu

Profil dostępu wiąże elementy APM, które zarządzają dostępem do serwerów wirtualnych BIG-IP. Te elementy obejmują zasady dostępu, konfigurację logowania jednokrotnego i ustawienia interfejsu użytkownika.

1. Wybierz Profile dostępu>Zasady (Zasady sesji)>Profile dostępu (zasady sesji)>Utwórz i wprowadź następujące właściwości:

   • Nazwa: na przykład wprowadź MyExpenses

   • Typ profilu: wybierz pozycję Wszystkie

   • Konfiguracja logowania jednokrotnego: wybierz utworzony obiekt konfiguracji logowania jednokrotnego KCD

   • Zaakceptowane języki: dodaj co najmniej jeden język

   

2. Dla utworzonego profilu dla sesji wybierz pozycję Edytuj.

   

3. Zostanie otwarty edytor zasad wizualizacji. Wybierz znak plus obok opcji rezerwowej.

   

4. W oknie dialogowym wybierz Uwierzytelnianie>Uwierzytelnianie SAML>Dodaj element.

   

5. W konfiguracji uwierzytelniania SAML dla dostawcy usług (SP) ustaw opcję "Serwer AAA" tak, aby korzystać z utworzonego obiektu SAML SP.

   

6. Aby zmienić ścieżkę Pomyślną na Zezwalaj, wybierz link w górnym polu Odmów.

7. Wybierz pozycję Zapisz.

   

Konfigurowanie mapowań atrybutów

Mimo że jest to opcjonalne, można dodać konfigurację LogonID_Mapping , aby włączyć listę aktywnych sesji BIG-IP w celu wyświetlenia nazwy UPN zalogowanego użytkownika, zamiast numeru sesji. Te informacje są przydatne do analizowania dzienników lub rozwiązywania problemów.

1. W gałęzi, w której uwierzytelnienie SAML zakończyło się powodzeniem, wybierz znak plusa.

2. W oknie dialogowym wybierz Przypisanie>Zmienna przypisania>Dodaj element.

   

3. W polu Nazwa wprowadź nazwę.

4. Na panelu Przypisywanie zmiennej wybierz Dodaj nową pozycję>zmień. W poniższym przykładzie pokazano LogonID_Mapping w polu Nazwa.

   

5. Ustaw obie zmienne:

   • Zmienna niestandardowa: wprowadź ciąg session.logon.last.username
   • Zmienna sesji: Wprowadź session.saml.last.identity

6. Wybierz Zakończono>Zapisz.

7. Wybierz terminal 'Odmów' w gałęzi 'Powodzenie' zasad dostępu. Zmień ją na Zezwalaj.

8. Wybierz pozycję Zapisz.

9. Wybierz pozycję Zastosuj zasady dostępu i zamknij edytor.

   

Konfigurowanie puli zaplecza

Aby BIG-IP mógł dokładnie przekazywać ruch klienta, utwórz obiekt węzła BIG-IP reprezentujący serwer zaplecza hostujący aplikację. Następnie umieść ten węzeł w puli serwerów BIG-IP.

1. Wybierz Ruch lokalny>Pule>Lista pul>Utwórz i podaj nazwę obiektu puli serwerów. Na przykład wprowadź MyApps_VMs.

   

2. Dodaj obiekt członkowski puli z następującymi szczegółami zasobu:

   • Nazwa węzła: nazwa wyświetlana dla serwera, który hostuje aplikację internetową zaplecza
   • Adres: adres IP serwera hostowania aplikacji
   • Port usługi: port HTTP/S, na który nasłuchuje aplikacja

   

Uwaga

Ten artykuł nie obejmuje dodatkowej konfiguracji wymaganej przez monitory kondycji. Zobacz K13397: Omówienie formatowania żądań monitora kondycji HTTP dla systemu DNS BIG-IP.

Konfigurowanie serwera wirtualnego

Serwer wirtualny to obiekt płaszczyzny danych BIG-IP reprezentowany przez wirtualny adres IP nasłuchujący żądań klientów do aplikacji. Odebrany ruch jest przetwarzany i oceniany względem profilu dostępu APM skojarzonego z serwerem wirtualnym przed skierowaniem zgodnie z zasadami.

Aby skonfigurować serwer wirtualny:

1. Wybierz Ruch Lokalny>Serwery wirtualne>Lista serwerów wirtualnych>Utwórz.

2. Wprowadź nazwę i adres IPv4/IPv6, który nie został przydzielony do obiektu BIG-IP lub urządzenia w połączonej sieci. Adres IP jest przeznaczony do odbierania ruchu klienta dla opublikowanej aplikacji na serwerze zaplecza.

3. Ustaw port usługi na 443.

   

4. Ustaw profil HTTP (klient) na http.

5. Włącz serwer wirtualny dla protokołu Transport Layer Security (TLS), aby umożliwić publikowanie usług za pośrednictwem protokołu HTTPS.

6. W polu Profil SSL (klient) wybierz profil utworzony dla wymagań wstępnych. Możesz też użyć wartości domyślnej, jeśli testujesz.

   

7. Zmień translację adresu źródłowego na Auto Mapowanie.

   

8. W obszarze Zasady dostępu ustaw Profil dostępu na podstawie utworzonego profilu. To zaznaczenie wiąże profil wstępnego uwierzytelniania Microsoft Entra SAML i politykę SSO KCD z serwerem wirtualnym.

   

9. Ustaw domyślną pulę , aby używać obiektów puli zaplecza utworzonych w poprzedniej sekcji.

10. Wybierz pozycję Zakończono.

    

Konfigurowanie ustawień zarządzania sesjami

Ustawienia zarządzania sesjami big-IP definiują warunki, dla których sesje użytkowników są przerywane lub mogą być kontynuowane, limity dla użytkowników i adresów IP oraz strony błędów. Zasady można utworzyć tutaj.

Przejdź do Access Policy>Access Profiles>Access Profile i wybierz aplikację z listy.

Jeśli zdefiniowano wartość URI dla jednokrotnego wylogowania w ramach Microsoft Entra ID, gwarantuje to, że wylogowanie inicjowane przez IdP z portalu MyApps kończy sesję między klientem a BIG-IP APM. Zaimportowany plik XML metadanych federacji aplikacji udostępnia APM z punktem końcowym wylogowania Microsoft Entra SAML dla wylogowania inicjowanego przez SP. Aby uzyskać skuteczne wyniki, APM musi wiedzieć, kiedy użytkownik się wylogowuje.

Rozważmy scenariusz, w przypadku gdy portal internetowy BIG-IP nie jest używany. Użytkownik nie może poinstruować APM, aby się wylogował. Nawet jeśli użytkownik wyloguje się z aplikacji, BIG-IP jest nieświadomy, więc sesja aplikacji może zostać przywrócona za pomocą mechanizmu jednokrotnego logowania. Wylogowywanie inicjowane przez dostawcę usług wymaga rozważenia, aby zapewnić bezpieczne zakończenie sesji.

Uwaga

Możesz dodać funkcję SLO do przycisku wylogowania aplikacji. Ta funkcja przekierowuje Twojego klienta do punktu końcowego wylogowania SAML firmy Microsoft. Znajdź punkt końcowy wylogowania SAML w Rejestracji Aplikacji>Punkty końcowe.

Jeśli nie możesz zmienić aplikacji, rozważ nasłuchiwanie BIG-IP na wywołanie wylogowania aplikacji. Po wykryciu żądania uruchamia SLO.

Aby uzyskać więcej informacji, zobacz artykuły F5:

• K42052145: Konfigurowanie automatycznego kończenia sesji (wylogowywania) na podstawie nazwy pliku odwołującego się do identyfikatora URI
• K12056: Omówienie opcji Uwzględnienia URI wylogowania.

Podsumowanie

Aplikacja jest publikowana i dostępna za pośrednictwem algorytmu SHA za pośrednictwem adresu URL lub za pośrednictwem portali aplikacji firmy Microsoft. Aplikacja jest widoczna jako zasób docelowy w usłudze Microsoft Entra Conditional Access.

W celu zwiększenia bezpieczeństwa organizacje korzystające z tego wzorca mogą blokować bezpośredni dostęp do aplikacji, co powoduje, że dostęp musi przebiegać przez BIG-IP.

Następne kroki

Jako użytkownik otwórz przeglądarkę i połącz się z zewnętrznym adresem URL aplikacji. Możesz wybrać ikonę aplikacji w portalu Microsoft MyApps. Po uwierzytelnieniu w dzierżawie Microsoft Entra zostaniesz przekierowany do punktu końcowego aplikacji BIG-IP i zalogujesz się przy użyciu jednokrotnego logowania (SSO).

Microsoft Entra B2B — dostęp gościa

Funkcja SHA obsługuje dostęp gościa Microsoft Entra B2B. Tożsamości gościa są synchronizowane z twojej dzierżawy Microsoft Entra do docelowej domeny Kerberos. Miej lokalne reprezentacje obiektów gościa dla BIG-IP, aby umożliwić logowanie jednokrotne KCD do aplikacji backendowej.

Rozwiązywanie problemów

Podczas rozwiązywania problemów należy wziąć pod uwagę następujące kwestie:

• Protokół Kerberos jest wrażliwy na czas. Wymaga ona serwerów i klientów ustawionych na prawidłowy czas i, jeśli to możliwe, zsynchronizowane z niezawodnym źródłem czasu.
• Upewnij się, że nazwy hostów kontrolera domeny i aplikacji internetowej są rozpoznawane w systemie DNS
• Upewnij się, że w danym środowisku nie ma duplikatów SPN. Uruchom następujące zapytanie w wierszu polecenia: setspn -q HTTP/my_target_SPN.

Uwaga

Aby sprawdzić, czy aplikacja usług IIS jest skonfigurowana dla KCD, zobacz Rozwiązywanie problemów z konfiguracjami delegowania ograniczonego protokołu Kerberos dla Serwer Proxy Aplikacji. Zapoznaj się również z artykułem AskF5 „Kerberos Single Sign-On Method” (Metoda jednokrotnego logowania Kerberos).

Zwiększanie szczegółowości dziennika

Dzienniki BIG-IP są niezawodnym źródłem informacji. Aby zwiększyć poziom szczegółowości dziennika:

1. Przejdź do Zasady dostępu>Przegląd>Dzienniki zdarzeń>Ustawienia.
2. Wybierz wiersz dla opublikowanej aplikacji.
3. Wybierz Edytuj>dzienniki systemu dostępu.
4. Wybierz pozycję Debug z listy SSO.
5. Wybierz przycisk OK.

Odtwórz problem, zanim spojrzysz na dzienniki. Następnie przywróć to ustawienie, gdy skończysz. W przeciwnym razie szczegółowość jest znacząca.

Błąd BIG-IP

Jeśli po wstępnym uwierzytelnieniu Microsoft Entra pojawi się błąd BIG-IP, problem może dotyczyć logowania jednokrotnego (SSO) z Microsoft Entra ID do BIG-IP.

1. Przejdź do Dostęp>Przegląd>Raporty dostępu.
2. Aby sprawdzić, czy dzienniki mają jakiekolwiek wskazówki, uruchom raport dla ostatniej godziny.
3. Użyj linku Wyświetl zmienne sesji, aby dowiedzieć się, czy APM odbiera oczekiwane żądania z Microsoft Entra ID.

Żądanie back-endu

Jeśli nie zostanie wyświetlony błąd BIG-IP, problem prawdopodobnie jest związany z żądaniem zaplecza lub związany z logowaniem jednokrotnym z big-IP do aplikacji.

1. Przejdź do Polityka dostępu>Przegląd>Aktywne sesje.
2. Wybierz link dla aktywnej sesji.
3. Użyj linku Wyświetl zmienne, aby określić główne przyczyny problemów z KCD, szczególnie jeśli BIG-IP APM nie może uzyskać odpowiednich identyfikatorów użytkownika i domeny.

Aby uzyskać pomoc dotyczącą diagnozowania problemów związanych z KCD, zapoznaj się z przewodnikiem wdrażania F5 BIG-IP, pt. „Konfigurowanie ograniczonego delegowania protokołu Kerberos”, który jest dostępny w archiwum.

Zasoby

• Mój artykuł F5, Uwierzytelnianie usługi Active Directory
• Zapomnij o hasłach, przejdź na bezhasłowe logowanie
• Co to jest dostęp warunkowy?
• Platforma Zero Trust umożliwiająca zdalną pracę