Dela via

Självstudie: Konfigurera F5 BIG-IP-åtkomstprinciphanteraren för Kerberos-autentisering

  • Artikel

I den här självstudien lär du dig att implementera säker hybridåtkomst (SHA) med enkel inloggning (SSO) till Kerberos-program med hjälp av avancerad F5 BIG-IP-konfiguration. Att aktivera BIG-IP-publicerade tjänster för Microsoft Entra SSO ger många fördelar, bland annat:

  • Förbättrad Nolltillit styrning via Microsoft Entra-förautentisering och användning av säkerhetsprincipen för villkorlig åtkomst.
  • Fullständig enkel inloggning mellan Microsoft Entra-ID och BIG-IP-publicerade tjänster
  • Identitetshantering och åtkomst från ett enda kontrollplan, administrationscentret för Microsoft Entra

Mer information om fördelar finns i Integrera F5 BIG-IP med Microsoft Entra-ID.

Beskrivning av scenario

I det här scenariot konfigurerar du ett verksamhetsspecifikt program för Kerberos-autentisering, även kallat Integrerad Windows-autentisering.

För att integrera programmet med Microsoft Entra-ID krävs stöd från ett federationsbaserat protokoll, till exempel SAML (Security Assertion Markup Language). Eftersom modernisering av programmet medför risk för potentiell stilleståndstid finns det andra alternativ.

När du använder Kerberos-begränsad delegering (KCD) för enkel inloggning kan du använda Microsoft Entra-programproxy för att få fjärråtkomst till programmet. Du kan uppnå protokollövergången för att överbrygga det äldre programmet till det moderna identitetskontrollplanet.

En annan metod är att använda en F5 BIG-IP-programleveranskontrollant. Den här metoden möjliggör överlägg av programmet med Microsoft Entra-förautentisering och KCD SSO. Det förbättrar programmets övergripande Nolltillit hållning.

Scenariots arkitektur

SHA-lösningen för det här scenariot har följande element:

  • Program: Backend Kerberos-baserad tjänst externt publicerad av BIG-IP och skyddad av SHA

  • BIG-IP: Funktioner för omvänd proxy för publicering av serverdelsprogram. Access Policy Manager (APM) överlagrar publicerade program med SAML-tjänstprovider (SP) och SSO-funktioner.

  • Microsoft Entra-ID: Identitetsprovider (IdP) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst i Microsoft Entra och enkel inloggning till BIG-IP APM via SAML

  • KDC: Nyckeldistributionscenterroll på en domänkontrollant (DC) som utfärdar Kerberos-biljetter

Följande bild illustrerar det SAML SP-initierade flödet för det här scenariot, men IdP-initierat flöde stöds också.

Diagram över scenarioarkitekturen.

Användarflöde

  1. Användaren ansluter till programslutpunkten (BIG-IP)
  2. BIG-IP-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP)
  3. Microsoft Entra-ID förautentiserar användaren och tillämpar framtvingade principer för villkorlig åtkomst
  4. Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning utförs via den utfärdade SAML-token
  5. BIG-IP autentiserar användaren och begär en Kerberos-biljett från KDC
  6. BIG-IP skickar begäran till serverdelsprogrammet med Kerberos-biljetten för enkel inloggning
  7. Programmet auktoriserar begäran och returnerar nyttolasten

Förutsättningar

Tidigare BIG-IP-upplevelse är inte nödvändig. Du måste:

  • Ett kostnadsfritt Azure-konto eller en prenumeration på högre nivå.
  • En BIG-IP eller distribuera BIG-IP Virtual Edition i Azure.
  • Någon av följande F5 BIG-IP-licenser:
    • F5 BIG-IP Bästa paket
    • Fristående F5 BIG-IP APM-licens
    • F5 BIG-IP APM-tilläggslicens på en BIG IP Local Traffic Manager (LTM)
    • 90 dagars kostnadsfri utvärderingslicens för BIG-IP
  • Användaridentiteter synkroniserade från en lokal katalog till Microsoft Entra-ID eller skapade i Microsoft Entra-ID och flödade tillbaka till din lokala katalog.
  • En av följande roller i Microsoft Entra-klientorganisationen: Molnprogramadministratör eller programadministratör.
  • Ett webbservercertifikat för publicering av tjänster via HTTPS eller använd big-IP-standardcertifikat vid testning.
  • Ett Kerberos-program eller gå till active-directory-wp.com för att lära dig att konfigurera enkel inloggning med IIS i Windows.

BIG-IP-konfigurationsmetoder

Den här artikeln beskriver den avancerade konfigurationen, en flexibel SHA-implementering som skapar BIG-IP-konfigurationsobjekt. Du kan använda den här metoden för scenarier som mallar för guidad konfiguration inte omfattar.

Kommentar

Ersätt alla exempelsträngar eller värden i den här artikeln med dem för din faktiska miljö.

Registrera F5 BIG-IP i Microsoft Entra-ID

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Innan BIG-IP kan lämna ut förautentisering till Microsoft Entra-ID registrerar du det i din klientorganisation. Den här processen initierar enkel inloggning mellan båda entiteterna. Appen som du skapar från F5 BIG-IP-gallerimallen är den förlitande parten som representerar SAML SP för det BIG-IP-publicerade programmet.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Alla program och välj sedan Nytt program.

  3. Fönstret Bläddra i Microsoft Entra-galleriet visas med paneler för molnplattformar, lokala program och aktuella program. Program i avsnittet Aktuella program har ikoner som anger om de stöder federerad enkel inloggning och etablering.

  4. I Azure-galleriet söker du efter F5 och väljer F5 BIG-IP APM Microsoft Entra ID-integrering.

  5. Ange ett namn för det nya programmet för att identifiera programinstansen.

  6. Välj Lägg till/skapa för att lägga till det i din klientorganisation.

Aktivera enkel inloggning till F5 BIG-IP

Konfigurera BIG-IP-registreringen för att uppfylla SAML-token som BIG-IP APM begär.

  1. I avsnittet Hantera på den vänstra menyn väljer du Enkel inloggning. Fönstret Enkel inloggning visas.
  2. På sidan Välj en enkel inloggningsmetod väljer du SAML. Välj Nej, jag sparar senare för att hoppa över kommandotolken.
  3. I fönstret Konfigurera enkel inloggning med SAML väljer du pennikonen för att redigera Grundläggande SAML-konfiguration.
  4. Ersätt det fördefinierade identifierarvärdet med den fullständiga URL:en för det BIG-IP-publicerade programmet.
  5. Ersätt värdet svars-URL, men behåll sökvägen för programmets SAML SP-slutpunkt.

Kommentar

I den här konfigurationen fungerar SAML-flödet i IdP-initierat läge. Microsoft Entra ID utfärdar en SAML-försäkran innan användaren omdirigeras till BIG-IP-slutpunkten för programmet.

  1. Om du vill använda SP-initierat läge anger du programmets URL i Inloggnings-URL.

  2. För Utloggnings-URL anger du SLO-slutpunkten (BIG-IP APM single logout) som förbereds av värdhuvudet för den tjänst som publiceras. Den här åtgärden säkerställer att användarens BIG-IP APM-session upphör när användaren loggar ut från Microsoft Entra-ID.

    Skärmbild av URL-poster i Grundläggande SAML-konfiguration.

Kommentar

Från BIG-IP-trafikhanteringsoperativsystemet (TMOS) v16 har SAML SLO-slutpunkten ändrats till /saml/sp/profile/redirect/slo.

  1. Innan du stänger SAML-konfigurationen väljer du Spara.
  2. Hoppa över SSO-testprompten.
  3. Observera egenskaperna för avsnittet Användarattribut och anspråk . Microsoft Entra ID utfärdar egenskaper för användare för BIG-IP APM-autentisering och för enkel inloggning till serverdelsprogrammet.
  4. Om du vill spara XML-filen för federationsmetadata på datorn går du till fönstret SAML-signeringscertifikat och väljer Ladda ned.

Kommentar

SAML-signeringscertifikat som Microsoft Entra ID skapar har en livslängd på tre år. Mer information finns i Hanterade certifikat för federerad enkel inloggning.

Bevilja åtkomst till användare och grupper

Som standard utfärdar Microsoft Entra-ID token för användare som beviljats åtkomst till ett program. Så här ger du användare och grupper åtkomst till programmet:

  1. I översiktsfönstret för F5 BIG-IP-programmet väljer du Tilldela användare och grupper.

  2. Välj + Lägg till användare/grupp.

    Skärmbild av alternativet Lägg till användare eller grupp i Användare och grupper.

  3. Välj användare och grupper och välj sedan Tilldela.

Konfigurera Active Directory Kerberos-begränsad delegering

För att BIG-IP APM ska utföra enkel inloggning till serverdelsprogrammet för användarnas räkning konfigurerar du KCD i måldomänen active directory (AD). Om du delegerar autentisering måste du etablera BIG-IP APM med ett domäntjänstkonto.

I det här scenariot finns programmet på servern APP-VM-01 och körs i kontexten för ett tjänstkonto med namnet web_svc_account, inte datoridentiteten. Det delegerande tjänstkontot som tilldelats APM är F5-BIG-IP.

Skapa ett BIG-IP APM-delegeringskonto

BIG-IP stöder inte grupphanterade tjänstkonton (gMSA) och skapar därför ett standardanvändarkonto för APM-tjänstkontot.

  1. Ange följande PowerShell-kommando. Ersätt värdena UserPrincipalName och SamAccountName med dina miljövärden. För bättre säkerhet använder du ett dedikerat tjänsthuvudnamn (SPN) som matchar programmets värdhuvud.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = värd/f5-big-ip.contoso.com@contoso.com

    Kommentar

    När värden används delegerar alla program som körs på värden kontot, medan https endast tillåter HTTP-protokollrelaterade åtgärder när HTTPS används.

  2. Skapa ett SPN (Service Principal Name) för APM-tjänstkontot som ska användas under delegeringen till webbprogramtjänstkontot:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    Kommentar

    Det är obligatoriskt att inkludera värd/del i formatet UserPrincipleName (värd/name.domain@domain) eller ServicePrincipleName (värd/namn.domän).

  3. Innan du anger mål-SPN kan du visa dess SPN-konfiguration. Se till att SPN visas mot APM-tjänstkontot. APM-tjänstkontot delegerar för webbprogrammet:

    • Bekräfta att webbprogrammet körs i datorkontexten eller ett dedikerat tjänstkonto.

    • För datorkontexten använder du följande kommando för att fråga kontoobjektet i Active Directory för att se dess definierade SPN. Ersätt <name_of_account> med kontot för din miljö.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Exempel: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • För det dedikerade tjänstkontot använder du följande kommando för att fråga kontoobjektet i Active Directory för att se dess definierade SPN. Ersätt <name_of_account> med kontot för din miljö.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Exempel: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Om programmet kördes i datorkontexten lägger du till SPN i objektet för datorkontot i Active Directory:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

När SPN har definierats upprättar du förtroende för APM-tjänstkontots ombud för den tjänsten. Konfigurationen varierar beroende på topologin för din BIG-IP-instans och programserver.

Konfigurera BIG-IP och målprogrammet i samma domän

  1. Ange förtroende för APM-tjänstkontot för att delegera autentisering:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. APM-tjänstkontot måste känna till det mål-SPN som det är betrott att delegera till. Ange mål-SPN till tjänstkontot som kör webbappen:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    Kommentar

    Du kan utföra dessa uppgifter med snapin-modulen Active Directory - användare och datorer, Microsoft Management Console (MMC) på en domänkontrollant.

Konfigurera BIG-IP och målprogrammet i olika domäner

I Windows Server 2012-versionen och senare använder KCD mellan domäner resursbaserad begränsad delegering (RBCD). Begränsningarna för en tjänst överförs från domänadministratören till tjänstadministratören. Med den här delegeringen kan serverdelstjänstadministratören tillåta eller neka enkel inloggning. Den här situationen skapar en annan metod vid konfigurationsdelegering, vilket är möjligt när du använder PowerShell eller Active Directory Service Interfaces Editor (ADSI Edit).

Du kan använda egenskapen PrincipalsAllowedToDelegateToAccount för programtjänstkontot (dator eller dedikerat tjänstkonto) för att bevilja delegering från BIG-IP. I det här scenariot använder du följande PowerShell-kommando på en domänkontrollant (Windows Server 2012 R2 eller senare) i samma domän som programmet.

Använd ett SPN som definierats mot ett webbprogramtjänstkonto. För bättre säkerhet använder du ett dedikerat SPN som matchar programmets värdhuvud. Eftersom värdhuvudet för webbprogrammet i det här exemplet till exempel är myexpenses.contoso.com lägger du till HTTP/myexpenses.contoso.com till programtjänstkontoobjektet i Active Directory (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Observera kontexten för följande kommandon.

Om web_svc_account-tjänsten körs i kontexten för ett användarkonto använder du följande kommandon:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Om web_svc_account-tjänsten körs i kontexten för ett datorkonto använder du följande kommandon:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Mer information finns i Kerberos-begränsad delegering mellan domäner.

Avancerad konfiguration för BIG-IP

Använd följande avsnitt för att fortsätta konfigurera BIG-IP-konfigurationerna.

Konfigurera INSTÄLLNINGAR för SAML-tjänstprovider

Inställningar för SAML-tjänstprovider definierar de SAML SP-egenskaper som APM använder för att lägga över det äldre programmet med SAML-förautentisering. Så här konfigurerar du dem:

  1. Logga in på F5 BIG-IP-hanteringskonsolen från en webbläsare.

  2. Välj Access>Federation>SAML Service Provider>Local SP Services>Create.

    Skärmbild av alternativet Skapa under SAML-tjänstprovider på lokala SP-tjänster.

  3. Ange de namn- och entitets-ID-värden som du sparade när du konfigurerade enkel inloggning för Microsoft Entra-ID.

    Skärmbild av namn- och entitets-ID-poster i Skapa ny SAML SP-tjänst.

  4. Om SAML-entitets-ID:t är en exakt matchning av URL:en för det publicerade programmet kan du hoppa över SP-namninställningar. Om t.ex. entitets-ID:t är urn:myexpenses:contosoonline är schemavärdet https. Värdvärdet är myexpenses.contoso.com. Om entitets-ID:t är "https://myexpenses.contoso.com", behöver du inte ange den här informationen.

Konfigurera en extern IdP-anslutning

En SAML IdP-anslutningsapp definierar inställningarna för BIG-IP APM för att lita på Microsoft Entra ID som dess SAML-IdP. De här inställningarna mappar SAML SP till en SAML IdP och upprättar federationsförtroendet mellan APM och Microsoft Entra ID. Så här konfigurerar du anslutningsappen:

  1. Rulla nedåt för att välja det nya SAML SP-objektet och välj sedan Bind/Koppla från IdP-kopplingar.

    Skärmbild av alternativet Bind unbind IdP Connectors på SAML-tjänstprovidern på lokala SP-tjänster.

  2. Välj Skapa ny IdP-anslutning från>metadata.

    Skärmbild av alternativet Från metadata under Skapa ny IdP-anslutning på Redigera SAML-IP-adresser

  3. Bläddra till XML-filen för federationsmetadata som du laddade ned och ange ett identitetsprovidernamn för APM-objektet som representerar den externa SAML-IdP:n. I följande exempel visas MyExpenses_AzureAD.

    Skärmbild av Välj namnposter för fil- och identitetsprovider under Välj fil vid Skapa ny SAML IdP-anslutningsapp.

  4. Välj Lägg till ny rad för att välja det nya SAML IdP Connectors-värdet och välj sedan Uppdatera.

    Skärmbild av alternativet Uppdatera för posten SAML IdP Connector.

  5. Välj OK.

Konfigurera enkel inloggning med Kerberos

Skapa ett APM SSO-objekt för KCD SSO till serverdelsprogram. Använd det APM-delegeringskonto som du skapade.

  1. Välj Åtkomst>enkel>inloggning Kerberos>Skapa och ange följande information:

  • Namn: När du har skapat det kan andra publicerade program använda Kerberos SSO APM-objektet. Använd till exempel Contoso_KCD_sso för flera publicerade program för Contoso-domänen. Använd MyExpenses_KCD_sso för ett enda program.

  • Användarnamnskälla: Ange användar-ID-källan. Använd en APM-sessionsvariabel som källa. Användning av session.saml.last.identity rekommenderas eftersom det innehåller det inloggade användar-ID:t från Microsoft Entra-anspråket.

  • User Realm-källa: Krävs när användardomänen skiljer sig från Kerberos-sfären för KCD. Om användarna finns i en separat betrodd domän gör du APM medveten genom att ange APM-sessionsvariabeln med den inloggade användardomänen. Ett exempel är session.saml.last.attr.name.domain. Du gör den här åtgärden i scenarier när användarens huvudnamn (UPN) baseras på ett alternativt suffix.

  • Kerberos-sfär: Suffix för användardomäner i versaler

  • KDC: IP-adress för domänkontrollant. Eller ange ett fullständigt domännamn om DNS är konfigurerat och effektivt.

  • UPN-support: Markera den här kryssrutan om källan för användarnamnet är i UPN-format, till exempel variabeln session.saml.last.identity.

  • Kontonamn och kontolösenord: Autentiseringsuppgifter för APM-tjänstkonto för att utföra KCD

  • SPN-mönster: Om du använder HTTP/%h använder APM värdhuvudet för klientbegäran för att skapa det SPN som den begär en Kerberos-token för.

  • Skicka auktorisering: Inaktivera det här alternativet för program som föredrar att förhandla om autentisering i stället för att ta emot Kerberos-token i den första begäran (till exempel Tomcat).

    Skärmbild av poster för namn, användarnamnskälla och SSO-metodkonfiguration i allmänna egenskaper.

Du kan lämna KDC odefinierat om användarsfären skiljer sig från serversfären för serverdelen. Den här regeln gäller för scenarier med flera domäner. Om du lämnar KDC odefinierat försöker BIG-IP identifiera en Kerberos-sfär via en DNS-sökning av SRV-poster för serverdomänen för serverdelen. Den förväntar sig att domännamnet ska vara detsamma som sfärnamnet. Om domännamnet skiljer sig åt anger du det i filen /, och så vidare/krb5.conf .

Kerberos SSO-bearbetning går snabbare när en IP-adress anger en KDC. Kerberos SSO-bearbetningen går långsammare om ett värdnamn anger en KDC. På grund av fler DNS-frågor går bearbetningen långsammare när en KDC är odefinierad. Se till att DNS fungerar optimalt innan du flyttar ett konceptbevis till produktion.

Kommentar

Om serverdelsservrar finns i flera områden skapar du ett separat SSO-konfigurationsobjekt för varje sfär.

Du kan mata in rubriker som en del av SSO-begäran till serverdelsprogrammet. Ändra inställningen Allmänna egenskaper från Basic till Avancerat.

Mer information om hur du konfigurerar en APM för KCD SSO finns i F5-artikeln K17976428: Översikt över Kerberos-begränsad delegering.

Konfigurera en åtkomstprofil

En åtkomstprofil binder APM-element som hanterar åtkomst till virtuella BIG-IP-servrar. Dessa element omfattar åtkomstprinciper, SSO-konfiguration och användargränssnittsinställningar.

  1. Välj Åtkomstprofiler>/Principer>Åtkomstprofiler (principer per session)>Skapa och ange följande egenskaper:

    • Namn: Ange till exempel MyExpenses

    • Profiltyp: Välj alla

    • SSO-konfiguration: Välj det KCD SSO-konfigurationsobjekt som du skapade

    • Accepterade språk: Lägg till minst ett språk

    Skärmbild av poster för allmänna egenskaper, enkel inloggning mellan autentiseringsdomäner och språkinställningar.

  2. För profilen per session som du skapade väljer du Redigera.

    Skärmbild av alternativet Redigera under Per sessionspolcy.

  3. Redigeraren för visuell princip öppnas. Välj plustecknet bredvid återställningen.

    Skärmbild av knappen plyschsignering i Tillämpa åtkomstprincip.

  4. I dialogrutan väljer du Autentisering>SAML Auth>Lägg till objekt.

    Skärmbild av alternativet SAML Auth på fliken Autentisering.

  5. I SP-konfigurationen för SAML-autentisering anger du alternativet AAA Server för att använda SAML SP-objektet som du skapade.

    Skärmbild av posten AAA Server på fliken Egenskaper.

  6. Om du vill ändra grenen Lyckad till Tillåt väljer du länken i den övre rutan Neka.

  7. Välj Spara.

    Skärmbild av alternativet Neka i åtkomstprincip.

Konfigurera attributmappningar

Även om det är valfritt kan du lägga till en LogonID_Mapping konfiguration för att aktivera listan big-IP-aktiva sessioner för att visa UPN för den inloggade användaren i stället för ett sessionsnummer. Den här informationen är användbar för att analysera loggar eller felsökning.

  1. För grenen SAML Auth Lyckades väljer du plustecknet.

  2. I dialogrutan väljer du Tilldelningsvariabel>Tilldela>lägg till objekt.

    Skärmbild av alternativet Variabeltilldelning på fliken Tilldelning.

  3. Ange ett Namn.

  4. I fönstret Variabeltilldela väljer du Lägg till ny poständring>. I följande exempel visas LogonID_Mapping i rutan Namn.

    Skärmbild av alternativen Lägg till ny post och ändring.

  5. Ange båda variablerna:

    • Anpassad variabel: Ange session.logon.last.username
    • Sessionsvariabel: Ange session.saml.last.identity

  6. Välj Slutförd>spara.

  7. Välj neka-terminalen för åtkomstprincipen Lyckad gren. Ändra den till Tillåt.

  8. Välj Spara.

  9. Välj Tillämpa åtkomstprincip och stäng redigeraren.

    Skärmbild av alternativet Tillämpa åtkomstprincip.

Konfigurera serverdelspoolen

För att BIG-IP ska vidarebefordra klienttrafik korrekt skapar du ett BIG-IP-nodobjekt som representerar serverdelsservern som är värd för ditt program. Placera sedan noden i en BIG-IP-serverpool.

  1. Välj Poollista>för lokal trafikPool>>Skapa och ange ett namn för ett serverpoolobjekt. Ange till exempel MyApps_VMs.

    Skärmbild av posten Namn under Konfiguration på ny pool.

  2. Lägg till ett poolmedlemsobjekt med följande resursinformation:

    • Nodnamn: Visningsnamn för servern som är värd för serverdelswebbprogrammet
    • Adress: IP-adressen för servern som är värd för programmet
    • Tjänstport: HTTP/S-port som programmet lyssnar på

    Skärmbild av nodnamn, adress och tjänstportposter och alternativet Lägg till.

Kommentar

Den här artikeln beskriver inte de ytterligare konfigurationshälsoövervakare som krävs. Se K13397: Översikt över HTTP-hälsoövervakarens begärandeformatering för BIG-IP DNS-systemet.

Konfigurera den virtuella servern

En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress som lyssnar efter klientbegäranden till programmet. Mottagen trafik bearbetas och utvärderas mot den APM-åtkomstprofil som är associerad med den virtuella servern innan den dirigeras enligt principen.

Så här konfigurerar du en virtuell server:

  1. Välj Skapa lista över> virtuella servrar för lokal>trafik>virtuell server.

  2. Ange ett namn och en IPv4/IPv6-adress som inte allokerats till ett BIG-IP-objekt eller en enhet i det anslutna nätverket. IP-adressen är dedikerad för att ta emot klienttrafik för det publicerade serverdelsprogrammet.

  3. Ange Tjänstport till 443.

    Skärmbild av poster för namn, måladress/mask och tjänstport under Allmänna egenskaper.

  4. Ange HTTP-profil (klient) till http.

  5. Aktivera en virtuell server för Transport Layer Security (TLS) för att tillåta att tjänster publiceras via HTTPS.

  6. För SSL-profil (klient) väljer du den profil som du skapade för förhandskraven. Eller använd standardvärdet om du testar.

    Skärmbild av HTTP-profil- och SSL-profilposter för klienten.

  7. Ändra källadressöversättning till Automatisk mappning.

    Skärmbild av posten Källadressöversättning.

  8. Under Åtkomstprincip anger du Åtkomstprofil baserat på den profil som du skapade. Det här valet binder Microsoft Entra SAML-förautentiseringsprofilen och KCD SSO-principen till den virtuella servern.

    Skärmbild av posten Åtkomstprofil under Åtkomstprincip.

  9. Ange Standardpool för att använda de serverdelspoolobjekt som du skapade i föregående avsnitt.

  10. Välj Slutförd.

    Skärmbild av posten Standardpool för resurser.

Konfigurera inställningar för sessionshantering

Inställningar för hantering av BIG-IP-sessioner definierar villkoren för vilka användarsessioner avslutas eller tillåts fortsätta, begränsningar för användare och IP-adresser samt felsidor. Du kan skapa en princip här.

Gå till Åtkomstprofil för åtkomstprofiler för åtkomstprinciper>>och välj ett program i listan.

Om du har definierat ett URI-värde för enkel utloggning i Microsoft Entra-ID säkerställer det att en IdP-initierad utloggning från MyApps-portalen avslutar sessionen mellan klienten och BIG-IP APM. Xml-filen för importerade programfederationsmetadata tillhandahåller APM med Microsoft Entra SAML-utloggningsslutpunkten för SP-initierad utloggning. För effektiva resultat måste APM veta när en användare loggar ut.

Tänk dig ett scenario när en BIG-IP-webbportal inte används. Användaren kan inte instruera APM att logga ut. Även om användaren loggar ut från programmet är BIG-IP omedvetet, så programsessionen kan återställas via enkel inloggning. SP-initierad utloggning måste övervägas för att säkerställa att sessionerna avslutas på ett säkert sätt.

Kommentar

Du kan lägga till en SLO-funktion i programmets utloggningsknapp. Den här funktionen omdirigerar klienten till Microsoft Entra SAML-utloggningsslutpunkten. Hitta slutpunkten för SAML-utloggning vid slutpunkter för>appregistreringar.

Om du inte kan ändra appen kan du överväga att låta BIG-IP lyssna efter utloggningssamtalet för appen. När den identifierar begäran utlöser den SLO.

Mer information finns i F5-artiklarna:

Sammanfattning

Ditt program publiceras och är tillgängligt via SHA, via dess URL eller via Microsofts programportaler. Programmet visas som en målresurs i Villkorsstyrd åtkomst i Microsoft Entra.

För ökad säkerhet kan organisationer som använder det här mönstret blockera direkt åtkomst till programmet, vilket tvingar fram en strikt sökväg via BIG-IP.

Nästa steg

Som användare öppnar du en webbläsare och ansluter till programmets externa URL. Du kan välja programikonen i Microsoft MyApps-portalen. När du har autentiserat dig mot din Microsoft Entra-klientorganisation omdirigeras du till BIG-IP-slutpunkten för programmet och loggas in via enkel inloggning.

Bild av exempelprogrammets webbplats.

Microsoft Entra B2B-gäståtkomst

SHA stöder Microsoft Entra B2B-gäståtkomst. Gästidentiteter synkroniseras från din Microsoft Entra-klientorganisation till din Kerberos-måldomän. Ha en lokal representation av gästobjekt för BIG-IP för att utföra KCD SSO till serverdelsprogrammet.

Felsökning

Tänk på följande när du felsöker:

  • Kerberos är tidskänsligt. Det kräver att servrar och klienter ställs in på rätt tid och, när det är möjligt, synkroniseras till en tillförlitlig tidskälla.
  • Kontrollera att värdnamnen för domänkontrollanten och webbprogrammet kan matchas i DNS
  • Kontrollera att det inte finns några duplicerade SPN:er i din miljö. Kör följande fråga på kommandoraden: setspn -q HTTP/my_target_SPN.

Kommentar

Information om hur du verifierar att ett IIS-program har konfigurerats för KCD finns i Felsöka Kerberos-begränsade delegeringskonfigurationer för Programproxy. Se även AskF5-artikeln Kerberos-metoden för enkel inloggning.

Öka loggverositeten

BIG-IP-loggar är en tillförlitlig informationskälla. Så här ökar du loggveroalitetsnivån:

  1. Gå till Översikt över>inställningar för händelseloggar> för åtkomstprincip.>
  2. Välj raden för det publicerade programmet.
  3. Välj Redigera>åtkomstsystemloggar.
  4. Välj Felsök i listan med enkel inloggning.
  5. Välj OK.

Återskapa problemet innan du tittar på loggarna. Återställ sedan den här funktionen när den är klar. Annars är verbositeten betydande.

BIG-IP-fel

Om ett BIG-IP-fel visas efter Microsoft Entra-förautentisering kan problemet bero på enkel inloggning, från Microsoft Entra-ID till BIG-IP.

  1. Gå till Access Overview>>Access-rapporter.
  2. Om du vill se om loggarna har några ledtrådar kör du rapporten för den senaste timmen.
  3. Använd länken Visa sessionsvariabler för sessionen för att förstå om APM tar emot de förväntade anspråken från Microsoft Entra-ID.

Serverdelsbegäran

Om inget BIG-IP-fel visas är problemet förmodligen relaterat till serverdelsbegäran eller relaterat till enkel inloggning från BIG-IP till programmet.

  1. Gå till Översikt över>åtkomstprincip>Aktiva sessioner.
  2. Välj länken för den aktiva sessionen.
  3. Använd länken Visa variabler för att fastställa rotorsaken till KCD-problem, särskilt om BIG-IP APM inte hämtar rätt användar- och domänidentifierare.

Mer information om hur du diagnostiserar KCD-relaterade problem finns i arkiverade F5 BIG-IP-distributionsguiden Konfigurera Kerberos-begränsad delegering.

Resurser