Dela via

Självstudie: Konfigurera F5 BIG-IP Access Policy Manager för Kerberos-autentisering

  • Artikel

I den här självstudien lär du dig att implementera säker hybridåtkomst (SHA) med enkel inloggning (SSO) till Kerberos-program med hjälp av avancerad F5 BIG-IP-konfiguration. Att aktivera BIG-IP-publicerade tjänster för Microsoft Entra SSO ger många fördelar, bland annat:

  • Förbättrad Nolltillit styrning via Microsoft Entra-förautentisering och användning av säkerhetsprincipen för villkorlig åtkomst.
  • Fullständig SSO mellan Microsoft Entra ID och BIG-IP publicerade tjänster
  • Identitetshantering och åtkomst från ett enda kontrollplan, administrationscentret för Microsoft Entra

Mer information om fördelar finns i Integrera F5 BIG-IP med Microsoft Entra-ID.

Beskrivning av scenario

I det här scenariot konfigurerar du ett verksamhetsspecifikt program för Kerberos-autentisering, även kallat Integrerad Windows-autentisering.

För att integrera programmet med Microsoft Entra-ID krävs stöd från ett federationsbaserat protokoll, till exempel SAML (Security Assertion Markup Language). Eftersom modernisering av programmet medför risk för potentiell stilleståndstid finns det andra alternativ.

När du använder Kerberos-begränsad delegering (KCD) för enkel inloggning kan du använda Microsoft Entra-programproxy för att få fjärråtkomst till programmet. Du kan uppnå protokollövergången för att överbrygga det äldre programmet till det moderna identitetskontrollplanet.

En annan metod är att använda en F5 BIG-IP-programleveranskontrollant. Den här metoden möjliggör överlägg av programmet med Microsoft Entra-förautentisering och KCD SSO. Det förbättrar programmets övergripande Nolltillit hållning.

Scenariots arkitektur

SHA-lösningen för det här scenariot har följande element:

  • Program: Backend Kerberos-baserad tjänst externt publicerad av BIG-IP och skyddad av SHA

  • BIG-IP: Funktioner för omvänd proxy för publicering av backend-applikationer. Access Policy Manager (APM) överlagrar publicerade program med SAML-tjänstprovider (SP) och SSO-funktioner.

  • Microsoft Entra-ID: Identitetsprovider (IdP) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst i Microsoft Entra och enkel inloggning till BIG-IP APM via SAML

  • KDC: Nyckeldistributionscenterroll på en domänkontrollant (DC) som utfärdar Kerberos-biljetter

Följande bild illustrerar det SAML SP-initierade flödet för det här scenariot, men IdP-initierat flöde stöds också.

Diagram över scenarioarkitekturen.

Användarflöde

  1. Användaren ansluter till programslutpunkten (BIG-IP)
  2. BIG-IP-åtkomstprincip omdirigerar användaren till Microsoft Entra ID (SAML IdP)
  3. Microsoft Entra-ID förautentiserar användaren och tillämpar framtvingade principer för villkorlig åtkomst
  4. Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning utförs via den utfärdade SAML-token
  5. BIG-IP autentiserar användaren och begär en Kerberos-biljett från KDC
  6. BIG-IP skickar begäran till bakgrundsprogrammet med Kerberos-biljetten för enkel inloggning
  7. Applikationen auktoriserar begäran och returnerar nyttolasten

Förutsättningar

Tidigare BIG-IP-upplevelse är inte nödvändig. Du måste:

  • Ett kostnadsfritt Azure-konto eller en prenumeration på högre nivå.
  • BIG-IP eller att distribuera BIG-IP Virtual Edition i Azure.
  • Någon av följande F5 BIG-IP-licenser:
    • F5 BIG-IP Bästa paket
    • Fristående F5 BIG-IP APM-licens
    • F5 BIG-IP APM-tilläggslicens på en BIG IP Local Traffic Manager (LTM)
    • 90 dagars kostnadsfri utvärderingslicens för BIG-IP
  • Användaridentiteter synkroniserade från en lokal katalog till Microsoft Entra-ID eller skapade i Microsoft Entra-ID och flödade tillbaka till din lokala katalog.
  • En av följande roller i Microsoft Entra-klientorganisationen: Molnprogramadministratör eller programadministratör.
  • Ett webbservercertifikat för publicering av tjänster via HTTPS eller använd big-IP-standardcertifikat vid testning.
  • En Kerberos-applikation eller gå till active-directory-wp.com för att lära dig att konfigurera enkel inloggning med IIS på Windows.

BIG-IP-konfigurationsmetoder

Den här artikeln beskriver den avancerade konfigurationen, en flexibel SHA-implementering som skapar BIG-IP-konfigurationsobjekt. Du kan använda den här metoden för scenarier som mallar för guidad konfiguration inte omfattar.

Anmärkning

Ersätt alla exempelsträngar eller värden i den här artikeln med dem för din faktiska miljö.

Registrera F5 BIG-IP i Microsoft Entra-ID

Innan BIG-IP kan lämna ut förautentisering till Microsoft Entra-ID registrerar du det i din klientorganisation. Den här processen initierar SSO mellan båda entiteterna. Appen som du skapar från F5 BIG-IP-gallerimallen är den förlitande parten som representerar SAML SP för det BIG-IP-publicerade programmet.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>Alla program och välj >

  3. Fönstret Bläddra i Microsoft Entra-galleriet visas med paneler för molnplattformar, lokala program och aktuella program. Program i avsnittet Utvalda program har ikoner som anger om de stöder federerad enkel inloggning och provisionering.

  4. I Azure-galleriet söker du efter F5 och väljer F5 BIG-IP APM Microsoft Entra ID-integrering.

  5. Ange ett namn för det nya programmet för att identifiera programinstansen.

  6. Välj Lägg till/skapa för att lägga till det i din klientorganisation.

Aktivera SSO till F5 BIG-IP

Konfigurera BIG-IP-registreringen för att uppfylla SAML-token som BIG-IP APM begär.

  1. I avsnittet Hantera på den vänstra menyn väljer du Enkel inloggning. Panelen för Enkel inloggning visas.
  2. På sidan Välj en enkel inloggningsmetod väljer du SAML. Välj Nej, spara senare för att hoppa över uppmaningen.
  3. I fönstret Konfigurera enkel inloggning med SAML väljer du pennikonen för att redigera Grundläggande SAML-konfiguration.
  4. Ersätt det fördefinierade identifierarvärdet med den fullständiga URL:en för det BIG-IP-publicerade programmet.
  5. Ersätt värdet svars-URL, men behåll sökvägen för programmets SAML SP-slutpunkt.

Kommentar

I den här konfigurationen fungerar SAML-flödet i IdP-initierat läge. Microsoft Entra ID utfärdar en SAML-försäkran innan användaren omdirigeras till BIG-IP-slutpunkten för programmet.

  1. Om du vill använda SP-initierat läge anger du programmets URL i Inloggnings-URL.

  2. För Utloggnings-URL anger du SLO-slutpunkten (BIG-IP APM single logout) som förbereds av värdhuvudet för den tjänst som publiceras. Den här åtgärden säkerställer att användarens BIG-IP APM-session upphör när användaren loggar ut från Microsoft Entra-ID.

    Skärmbild av URL-poster i Grundläggande SAML-konfiguration.

Kommentar

Från BIG-IP-trafikhanteringsoperativsystemet (TMOS) v16 har SAML SLO-slutpunkten ändrats till /saml/sp/profile/redirect/slo.

  1. Innan du stänger SAML-konfigurationen väljer du Spara.
  2. Hoppa över SSO-testprompten.
  3. Observera egenskaperna för avsnittet Användarattribut och anspråk . Microsoft Entra ID utfärdar egenskaper till användare för BIG-IP APM-autentisering och för enkel inloggning till backend-applikationen.
  4. Om du vill spara XML-filen för federationsmetadata på datorn går du till fönstret SAML-signeringscertifikat och väljer Ladda ned.

Anteckning

SAML-signeringscertifikat som Microsoft Entra ID skapar har en livslängd på tre år. Mer information finns i Hanterade certifikat för federerad enkel inloggning.

Bevilja åtkomst till användare och grupper

Som standard utfärdar Microsoft Entra-ID token för användare som beviljats åtkomst till ett program. Så här ger du användare och grupper åtkomst till programmet:

  1. I översiktsfönstret för F5 BIG-IP-programmet väljer du Tilldela användare och grupper.

  2. Välj + Lägg till användare/grupp.

    Skärmbild av alternativet Lägg till användare eller grupp i Användare och grupper.

  3. Välj användare och grupper och välj sedan Tilldela.

Konfigurera Active Directory Kerberos-begränsad delegering

För att BIG-IP APM ska utföra SSO (Single Sign-On) till bakgrundsapplikationen för användarnas räkning, konfigurerar du KCD i måldomänen Active Directory (AD). Om du delegerar autentisering måste du etablera BIG-IP APM med ett domäntjänstkonto.

I det här scenariot finns programmet på servern APP-VM-01 och körs i kontexten för ett tjänstkonto med namnet web_svc_account, inte datoridentiteten. Det delegerande tjänstkontot som tilldelats APM är F5-BIG-IP.

Skapa ett BIG-IP APM-delegeringskonto

BIG-IP stöder inte grupphanterade tjänstkonton (gMSA) och skapar därför ett standardanvändarkonto för APM-tjänstkontot.

  1. Ange följande PowerShell-kommando. Ersätt värdena UserPrincipalName och SamAccountName med dina miljövärden. För bättre säkerhet använder du ett dedikerat tjänsthuvudnamn (SPN) som matchar programmets värdhuvud.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = värd/f5-big-ip.contoso.com@contoso.com

    Kommentar

    När Host används delegerar alla program som körs på värden kontot, medan endast HTTP-protokollrelaterade åtgärder tillåts när HTTPS används.

  2. Skapa ett SPN (Service Principal Name) för APM-tjänstkontot som ska användas under delegeringen till webbprogramtjänstkontot:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    Kommentar

    Det är obligatoriskt att inkludera värd/del i formatet UserPrincipleName (värd/name.domain@domain) eller ServicePrincipleName (värd/namn.domän).

  3. Visa SPN-konfigurationen innan du anger mål-SPN. Se till att SPN visas mot APM-tjänstkontot. APM-tjänstkontot delegerar för webbprogrammet:

    • Bekräfta att webbprogrammet körs i datorkontexten eller ett dedikerat tjänstkonto.

    • För datorkontexten använder du följande kommando för att fråga kontoobjektet i Active Directory för att se dess definierade SPN. Ersätt <name_of_account> med kontot för din miljö.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Exempel: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • För det dedikerade tjänstkontot använder du följande kommando för att fråga kontoobjektet i Active Directory för att se dess definierade SPN. Ersätt <name_of_account> med kontot för din miljö.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Exempel: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Om programmet kördes i datorkontexten lägger du till SPN i objektet för datorkontot i Active Directory:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

När SPN har definierats upprättar du förtroende för APM-tjänstkontots ombud för den tjänsten. Konfigurationen varierar beroende på topologin för din BIG-IP-instans och programserver.

Konfigurera BIG-IP och målprogrammet i samma domän

  1. Ange förtroende för APM-tjänstkontot för att delegera autentisering:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. APM-tjänstkontot måste känna till det mål-SPN som det är betrott att delegera till. Ange mål-SPN till tjänstkontot som kör din webbapplikation:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    Anteckning

    Du kan utföra dessa uppgifter med snapin-modulen Active Directory - användare och datorer, Microsoft Management Console (MMC) på en domänkontrollant.

Konfigurera BIG-IP och målprogrammet i olika domäner

I Windows Server 2012-versionen och senare använder KCD mellan domäner resursbaserad begränsad delegering (RBCD). Begränsningarna för en tjänst överförs från domänadministratören till tjänstadministratören. Med den här delegeringen kan administratören för bakgrundstjänsten tillåta eller neka SSO. Den här situationen skapar en annan metod vid konfigurationsdelegering, vilket är möjligt när du använder PowerShell eller Active Directory Service Interfaces Editor (ADSI Edit).

Du kan använda egenskapen PrincipalsAllowedToDelegateToAccount för programtjänstkontot (dator eller dedikerat tjänstkonto) för att bevilja delegering från BIG-IP. I det här scenariot använder du följande PowerShell-kommando på en domänkontrollant (Windows Server 2012 R2 eller senare) i samma domän som programmet.

Använd ett SPN som definierats mot ett webbprogramtjänstkonto. För bättre säkerhet använder du ett dedikerat SPN som matchar programmets värdhuvud. Eftersom värdhuvudet för webbprogrammet i det här exemplet till exempel är myexpenses.contoso.com lägger du till HTTP/myexpenses.contoso.com till programtjänstkontoobjektet i Active Directory (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Observera kontexten för följande kommandon.

Om web_svc_account-tjänsten körs i kontexten för ett användarkonto använder du följande kommandon:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Om web_svc_account-tjänsten körs i kontexten för ett datorkonto använder du följande kommandon:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Mer information finns i Kerberos-begränsad delegering mellan domäner.

Avancerad konfiguration för BIG-IP

Använd följande avsnitt för att fortsätta konfigurera BIG-IP-konfigurationerna.

Konfigurera INSTÄLLNINGAR för SAML-tjänstprovider

Inställningar för SAML-tjänstprovider definierar de SAML SP-egenskaper som APM använder för att lägga över det äldre programmet med SAML-förautentisering. Så här konfigurerar du dem:

  1. Logga in på F5 BIG-IP-hanteringskonsolen från en webbläsare.

  2. Välj Access>Federation>SAML Service Provider>Local SP Services>Create

    Skärmbild av alternativet Skapa under SAML-tjänstprovider på lokala SP-tjänster.

  3. Ange de namn- och entitets-ID-värden som du sparade när du konfigurerade enkel inloggning för Microsoft Entra-ID.

    Skärmbild av namn- och entitets-ID-poster i Skapa ny SAML SP-tjänst.

  4. Om SAML-entitets-ID:t är en exakt matchning av URL:en för det publicerade programmet kan du hoppa över SP-namninställningar. Om enhets-ID:t är urn:myexpenses:contosoonline, då är schemavärdethttps; värdvärdet är värdmyexpenses.contoso.com. Om entitets-ID:t är "https://myexpenses.contoso.com", behöver du inte ange den här informationen.

Konfigurera en extern IdP-anslutning

En SAML IdP-anslutning definierar inställningarna för BIG-IP APM för att använda Microsoft Entra ID som SAML IdP. De här inställningarna mappar SAML SP till en SAML IdP och upprättar federationsförtroendet mellan APM och Microsoft Entra ID. Så här konfigurerar du anslutningsappen:

  1. Rulla nedåt för att välja det nya SAML SP-objektet och välj sedan Bind/Koppla från IdP-kopplingar.

    Skärmbild av alternativet

  2. Välj Skapa ny IdP-anslutning från>metadata.

    Skärmbild av alternativet Från metadata under Skapa ny IdP-anslutning på Redigera SAML-IP-adresser

  3. Bläddra till XML-filen för federationsmetadata som du laddade ned och ange ett identitetsprovidernamn för APM-objektet som representerar den externa SAML-IdP:n. I följande exempel visas MyExpenses_AzureAD.

    Skärmbild av alternativ för Välj fil och identitetsprovidernamn under Välj fil vid skapandet av en ny SAML IdP-koppling.

  4. Välj Lägg till ny rad för att välja det nya SAML IdP Connectors-värdet och välj sedan Uppdatera.

    Skärmbild av alternativet Uppdatera för posten SAML IdP Connector.

  5. Välj OK.

Konfigurera enkel inloggning med Kerberos

Skapa ett APM SSO-objekt för KCD SSO till bakändesapplikationer. Använd det APM-delegeringskonto som du skapade.

  1. Välj Åtkomst>Single Sign-on>Kerberos>Skapa och ange följande information:

  • Namn: När du har skapat det kan andra publicerade program använda Kerberos SSO APM-objektet. Använd till exempel Contoso_KCD_sso för flera publicerade program för Contoso-domänen. Använd MyExpenses_KCD_sso för ett enda program.

  • Användarnamnskälla: Ange användar-ID-källan. Använd en APM-sessionsvariabel som källa. Användning av session.saml.last.identity rekommenderas eftersom det innehåller det inloggade användar-ID:t från Microsoft Entra-anspråket.

  • User Realm-källa: Krävs när användardomänen skiljer sig från Kerberos-sfären för KCD. Om användarna finns i en separat betrodd domän gör du APM medveten genom att ange APM-sessionsvariabeln med den inloggade användardomänen. Ett exempel är session.saml.last.attr.name.domain. Du gör den här åtgärden i scenarier när användarens huvudnamn (UPN) baseras på ett alternativt suffix.

  • Kerberos-sfär: Suffix för användardomäner i versaler

  • KDC: IP-adress för domänkontrollant. Eller ange ett fullständigt domännamn om DNS är konfigurerat och driftsäkert.

  • UPN-support: Markera den här kryssrutan om källan för användarnamnet är i UPN-format, till exempel variabeln session.saml.last.identity.

  • Kontonamn och kontolösenord: Autentiseringsuppgifter för APM-tjänstkonto för att utföra KCD

  • SPN-mönster: Om du använder HTTP/%h använder APM värdhuvudet för klientbegäran för att skapa det SPN som den begär en Kerberos-token för.

  • Skicka auktorisering: Inaktivera det här alternativet för program som föredrar att förhandla om autentisering i stället för att ta emot Kerberos-token i den första begäran (till exempel Tomcat).

    Skärmbild av poster för namn, användarnamnskälla och SSO-metodkonfiguration i allmänna egenskaper.

Du kan lämna KDC odefinierat om användarens område skiljer sig från bakgrundsserverns område. Den här regeln gäller för scenarier med flera domäner. Om du lämnar KDC odefinierat försöker BIG-IP identifiera en Kerberos-sfär via en DNS-sökning av SRV-poster för domänen för serverns bakände. Den förväntar sig att domännamnet ska vara detsamma som områdesnamnet. Om domännamnet skiljer sig åt anger du det i filen /etc/krb5.conf.

Kerberos SSO-bearbetning går snabbare när en IP-adress anger en KDC. Kerberos SSO-bearbetningen går långsammare om ett värdnamn anger en KDC. På grund av fler DNS-frågor går bearbetningen långsammare när en KDC är odefinierad. Säkerställ att din DNS fungerar optimalt innan du flyttar en proof of concept till produktion.

Kommentar

Om bakre servrar finns i flera områden skall du skapa ett separat SSO-konfigurationsobjekt för varje område.

Du kan infoga rubriker som en del av SSO-begäran till backend-applikationen. Ändra inställningen Allmänna egenskaper från Basic till Avancerat.

Mer information om hur du konfigurerar en APM för KCD SSO finns i F5-artikeln K17976428: Översikt över Kerberos-begränsad delegering.

Konfigurera en åtkomstprofil

En åtkomstprofil binder APM-element som hanterar åtkomst till virtuella BIG-IP-servrar. Dessa element omfattar åtkomstprinciper, SSO-konfiguration och användargränssnittsinställningar.

  1. Välj Åtkomst>Profiler / Principer>Åtkomstprofiler (Per-sessionprinciper)>Skapa och ange följande egenskaper:

    • Namn: Ange till exempel MyExpenses

    • Profiltyp: Välj alla

    • SSO-konfiguration: Välj det KCD SSO-konfigurationsobjekt som du skapade

    • Accepterade språk: Lägg till minst ett språk

    Skärmbild av posterna för allmänna egenskaper, SSO mellan autentiseringsdomäner och språkinställningar.

  2. För profilen per session som du skapade väljer du Redigera.

    Skärmbild av alternativet Redigera under Per session-policy.

  3. Den visuella policyredigeraren öppnas. Välj plustecknet bredvid reservlösningen.

    Skärmbild av knappen för 'Plush-sign' i avsnittet

  4. I dialogrutan väljer du Autentisering>SAML-autentisering>Lägg till objekt.

    Skärmbild av alternativet SAML Auth på fliken Autentisering.

  5. I SP-konfigurationen för SAML-autentisering anger du alternativet AAA Server för att använda SAML SP-objektet som du skapade.

    Skärmbild av posten AAA Server på fliken Egenskaper.

  6. Om du vill ändra grenen Successful till Allow, väljer du länken i den övre Deny-rutan.

  7. Välj Spara.

    Skärmbild av alternativet Neka i åtkomstprincip.

Konfigurera attributmappningar

Även om det är valfritt kan du lägga till en LogonID_Mapping konfiguration för att aktivera listan big-IP-aktiva sessioner för att visa UPN för den inloggade användaren i stället för ett sessionsnummer. Den här informationen är användbar för att analysera loggar eller felsökning.

  1. För grenen SAML Auth Lyckades väljer du plustecknet.

  2. I dialogrutan väljer du Tilldelningsvariabel>>

    Skärmbild av alternativet Variabeltilldelning på fliken Tilldelning.

  3. Ange ett Namn.

  4. I fönstret Variabeltilldelning väljer du Lägg till ny post>ändra. I följande exempel visas LogonID_Mapping i rutan Namn.

    Skärmbild av alternativen Lägg till ny post och ändring.

  5. Ange båda variablerna:

    • Anpassad variabel: Ange session.logon.last.username
    • Sessionsvariabel: Skriv in session.saml.last.identity

  6. Välj Slutförd>Spara.

  7. Välj neka-terminalen för åtkomstprincipen Lyckad gren. Ändra den till Tillåt.

  8. Välj Spara.

  9. Välj Tillämpa åtkomstprincip och stäng redigeraren.

    Skärmbild av alternativet Tillämpa åtkomstprincip.

Konfigurera bakändspoolen

För att BIG-IP ska vidarebefordra klienttrafik korrekt skapar du ett BIG-IP-nodobjekt som representerar serverdelsservern som är värd för ditt program. Placera sedan noden i en BIG-IP-serverpool.

  1. Välj Lokal Trafik>Pooler>Poollista>Skapa och ange ett namn för ett serverpoolobjekt. Ange till exempel MyApps_VMs.

    Skärmbild av posten Namn under Konfigurering av Ny pool.

  2. Lägg till ett poolmedlemsobjekt med följande resursinformation:

    • Nodnamn: Visningsnamn för servern som är värd för serverdelswebbprogrammet
    • Adress: IP-adressen för servern som är värd för programmet
    • Tjänstport: HTTP/S-port som programmet lyssnar på

    Skärmbild av nodnamn, adress och tjänstportposter och alternativet Lägg till.

Kommentar

Den här artikeln täcker inte den ytterligare konfiguration som hälsoövervakare kräver. Se K13397: Översikt över begärandeformatering för HTTP-hälsokontroll i BIG-IP DNS-systemet

Konfigurera den virtuella servern

En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress som lyssnar efter klientbegäranden till programmet. Mottagen trafik bearbetas och utvärderas mot den APM-åtkomstprofil som är associerad med den virtuella servern innan den dirigeras enligt principen.

Så här konfigurerar du en virtuell server:

  1. Välj Lokal trafik>Virtuella servrar>Lista över virtuella servrar>Skapa.

  2. Ange ett namn och en IPv4/IPv6-adress som inte allokerats till ett BIG-IP-objekt eller en enhet i det anslutna nätverket. IP-adressen är dedikerad för att ta emot klienttrafik för det publicerade serverdelsprogrammet.

  3. Ange Tjänstport till 443.

    Skärmbild av poster för namn, måladress/mask och tjänsteport i Allmänna egenskaper.

  4. Ange HTTP-profil (klient) till http.

  5. Aktivera en virtuell server för Transport Layer Security (TLS) för att tillåta att tjänster publiceras via HTTPS.

  6. För SSL-profil (klient) väljer du den profil som du skapade för förhandskraven. Eller använd standardvärdet om du testar.

    Skärmbild av HTTP-profil- och SSL-profilposter för klienten.

  7. Ändra källadressöversättning till Automatisk mappning.

    Skärmbild av posten Källadressöversättning.

  8. Under Åtkomstprincip anger du Åtkomstprofil baserat på den profil som du skapade. Det här valet binder Microsoft Entra SAML-förautentiseringsprofilen och KCD SSO-principen till den virtuella servern.

    Skärmbild av posten Åtkomstprofil under Åtkomstprincip.

  9. Ange Standardpool för att använda de serverdelspoolobjekt som du skapade i föregående avsnitt.

  10. Välj Slutförd.

    Skärmbild av posten Standardpool för resurser.

Konfigurera inställningar för sessionshantering

Inställningar för hantering av BIG-IP-sessioner definierar villkoren för vilka användarsessioner avslutas eller tillåts fortsätta, begränsningar för användare och IP-adresser samt felsidor. Du kan skapa en policy här.

Gå till Åtkomstprinciper>Åtkomstprofiler>Åtkomstprofil och välj en applikation från listan.

Om du har definierat ett URI-värde för enkel utloggning i Microsoft Entra-ID säkerställer det att en IdP-initierad utloggning från MyApps-portalen avslutar sessionen mellan klienten och BIG-IP APM. Xml-filen för importerade programfederationsmetadata tillhandahåller APM med Microsoft Entra SAML-utloggningsslutpunkten för SP-initierad utloggning. För effektiva resultat måste APM veta när en användare loggar ut.

Tänk dig ett scenario när en BIG-IP-webbportal inte används. Användaren kan inte instruera APM att logga ut. Även om användaren loggar ut från programmet är BIG-IP omedvetet, så programsessionen kan återställas via enkel inloggning. SP-initierad utloggning måste övervägas för att säkerställa att sessionerna avslutas på ett säkert sätt.

Kommentar

Du kan lägga till en SLO-funktion i programmets utloggningsknapp. Den här funktionen omdirigerar klienten till Microsoft Entra SAML-utloggningsslutpunkten. Hitta SAML-utloggningsslutpunkten vid appregistreringar>slutpunkter.

Om du inte kan ändra appen kan du överväga att låta BIG-IP lyssna efter utloggningssamtalet för appen. När den identifierar begäran utlöser den SLO.

Mer information finns i F5-artiklarna:

Sammanfattning

Ditt program publiceras och är tillgängligt via SHA, via dess URL eller via Microsofts programportaler. Programmet visas som en målresurs i Villkorsstyrd åtkomst i Microsoft Entra.

För ökad säkerhet kan organisationer som använder det här mönstret blockera direkt åtkomst till programmet, vilket tvingar fram en strikt sökväg via BIG-IP.

Nästa steg

Som användare öppnar du en webbläsare och ansluter till programmets externa URL. Du kan välja programikonen i Microsoft MyApps-portalen. När du har autentiserat dig mot din Microsoft Entra-klientorganisation omdirigeras du till BIG-IP-slutpunkten för programmet och loggas in via enkel inloggning.

Bild av exempelprogrammets webbplats.

Microsoft Entra B2B-gäståtkomst

SHA stöder Microsoft Entra B2B-gäståtkomst. Gästidentiteter synkroniseras från din Microsoft Entra-klientorganisation till din Kerberos-måldomän. Ha en lokal representation av gästobjekt för BIG-IP för att utföra KCD SSO till bakgrundsapplikationen.

Felsökning

Tänk på följande när du felsöker:

  • Kerberos är tidskänsligt. Det kräver att servrar och klienter ställs in på rätt tid och, när det är möjligt, synkroniseras till en tillförlitlig tidskälla.
  • Kontrollera att värdnamnen för domänkontrollanten och webbprogrammet kan matchas i DNS
  • Kontrollera att det inte finns några duplicerade SPN:er i din miljö. Kör följande fråga på kommandoraden: setspn -q HTTP/my_target_SPN.

Kommentar

Information om hur du verifierar att ett IIS-program har konfigurerats för KCD finns i Felsöka Kerberos-begränsade delegeringskonfigurationer för Programproxy. Se även AskF5-artikeln Kerberos-metoden för enkel inloggning.

Öka loggdetaljrikedomen

BIG-IP-loggar är en tillförlitlig informationskälla. För att öka loggverbalitetsnivån:

  1. Gå till Åtkomstprincip Översikt Händelselogg Inställningar.
  2. Välj raden för ditt publicerade program.
  3. Välj Redigera>åtkomstsystemloggar.
  4. Välj Felsök från SSO-listan.
  5. Välj OK.

Återskapa problemet innan du tittar på loggarna. Återställ sedan den här funktionen när den är klar. Annars är verbositeten betydande.

BIG-IP-fel

Om ett BIG-IP-fel visas efter Microsoft Entra-förautentisering kan problemet bero på enkel inloggning (Single Sign-On), från Microsoft Entra-ID till BIG-IP.

  1. Gå till Access>Översikt>Access-rapporter.
  2. Om du vill se om loggarna har några ledtrådar kör du rapporten för den senaste timmen.
  3. Använd länken Visa sessionsvariabler för sessionen för att förstå om APM tar emot de förväntade anspråken från Microsoft Entra-ID.

Back-end-begäran

Om inget BIG-IP-fel visas är problemet förmodligen relaterat till en backend-begäran eller till enkel inloggning (SSO) från BIG-IP till applikationen.

  1. Gå till Åtkomstpolicy>Översikt>Aktiva sessioner.
  2. Välj länken för den aktiva sessionen.
  3. Använd länken Visa variabler för att fastställa rotorsaken till KCD-problem, särskilt om BIG-IP APM inte hämtar rätt användar- och domänidentifierare.

Mer information om hur du diagnostiserar KCD-relaterade problem finns i arkiverade F5 BIG-IP-distributionsguiden Konfigurera Kerberos-begränsad delegering.

Resurser