Självstudie: Konfigurera enkel F5 BIG-IP-knapp för enkel inloggning med Kerberos

Lär dig att skydda Kerberos-baserade program med Microsoft Entra-ID, via enkel konfiguration 16.1 med enkel F5 BIG-IP-knapp.

Att integrera en BIG-IP med Microsoft Entra-ID ger många fördelar, bland annat:

• Förbättrad styrning: Se Nolltillit ramverk för att aktivera distansarbete och lär dig mer om Microsoft Entra-förautentisering.
• Framtvinga organisationsprinciper. Se Vad är villkorlig åtkomst?.
• Fullständig enkel inloggning mellan Microsoft Entra-ID och BIG-IP-publicerade tjänster
• Hantera identiteter och åtkomst från ett enda kontrollplan, administrationscentret för Microsoft Entra.

Mer information om fördelar finns i artikeln om F5 BIG-IP- och Microsoft Entra-integrering.

Beskrivning av scenario

Det här scenariot är ett äldre program som använder Kerberos-autentisering, även kallat Integrerad Windows-autentisering (IWA), för att ge åtkomst till skyddat innehåll.

Eftersom det är äldre saknar programmet moderna protokoll för direkt integrering med Microsoft Entra-ID. Du kan modernisera programmet, men det är kostsamt, kräver planering och medför risk för potentiell stilleståndstid. I stället överbryggar en F5 BIG-IP Application Delivery Controller (ADC) klyftan mellan det äldre programmet och det moderna ID-kontrollplanet genom protokollövergång.

En BIG-IP framför programmet möjliggör överlägg av tjänsten med Microsoft Entra-förautentisering och huvudbaserad enkel inloggning, vilket förbättrar programmets säkerhetsstatus.

Kommentar

Organisationer får fjärråtkomst till den här typen av program med Microsoft Entra-programproxy

Scenariots arkitektur

Lösningen för säker hybridåtkomst (SHA) för det här scenariot har följande komponenter:

• Program: BIG-IP-publicerad tjänst som ska skyddas av Microsoft Entra SHA. Programvärden är domänansluten.
• Microsoft Entra-ID: SAML-identitetsprovider (Security Assertion Markup Language) som verifierar användarautentiseringsuppgifter, villkorsstyrd åtkomst och SAML-baserad enkel inloggning till BIG-IP. Via enkel inloggning tillhandahåller Microsoft Entra ID BIG-IP med nödvändiga sessionsattribut.
• KDC: Nyckeldistributionscenter (KDC) roll på en domänkontrollant (DC), utfärda Kerberos biljetter
• BIG-IP: Omvänd proxy och SAML-tjänstprovider (SP) till programmet, delegera autentisering till SAML IdP innan du utför Kerberos-baserad enkel inloggning till serverdelsprogrammet.

SHA för det här scenariot stöder SP- och IdP-initierade flöden. Följande bild illustrerar SP-flödet.

1. Användaren ansluter till programslutpunkten (BIG-IP)
2. Åtkomstprincipen BIG-IP Access Policy Manager (APM) omdirigerar användaren till Microsoft Entra ID (SAML IdP)
3. Microsoft Entra ID förautentiserar användaren och tillämpar eventuella framtvingade principer för villkorlig åtkomst
4. Användaren omdirigeras till BIG-IP (SAML SP) och enkel inloggning utförs med en utfärdad SAML-token
5. BIG-IP-begäranden Kerberos-biljett från KDC
6. BIG-IP skickar begäran till serverdelsprogrammet, tillsammans med Kerberos-biljett för enkel inloggning
7. Programmet auktoriserar begäran och returnerar nyttolast

Förutsättningar

Tidigare BIG-IP-upplevelse är inte nödvändig, men du behöver:

• Ett kostnadsfritt Azure-konto eller senare
• En BIG-IP eller distribuera en BIG-IP Virtual Edition (VE) i Azure
• Någon av följande F5 BIG-IP-licenser:
  • F5 BIG-IP® Bästa paket
  • F5 BIG-IP APM fristående
  • F5 BIG-IP APM-tilläggslicens på en BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • 90 dagars kostnadsfri utvärderingslicens för BIG-IP
• Användaridentiteter synkroniserade från en lokal katalog till Microsoft Entra-ID, eller skapade i Microsoft Entra-ID och flödade tillbaka till din lokala katalog
• En av följande roller: Molnprogramadministratör eller programadministratör.
• Ett SSL-webbcertifikat för publicering av tjänster via HTTPS eller använd big-IP-standardcertifikaten vid testning
• Ett Kerberos-program eller lär dig att konfigurera enkel inloggning med Internet Information Services (IIS) i Windows.

BIG-IP-konfigurationsmetoder

Den här självstudien beskriver guidad konfiguration 16.1 med en mall för Enkel knapp. Med enkel knapp går administratörer inte fram och tillbaka mellan Microsoft Entra-ID och en BIG-IP för att aktivera tjänster för SHA. Guiden APM Guidad konfiguration och Microsoft Graph hanterar distributions- och principhantering. Integreringen mellan BIG-IP APM och Microsoft Entra ID säkerställer att program stöder identitetsfederation, enkel inloggning och villkorsstyrd åtkomst i Microsoft Entra, vilket minskar de administrativa kostnaderna.

Kommentar

Ersätt exempelsträngar eller värden i den här artikeln med dem för din miljö.

Registrera enkel knapp

Microsofts identitetsplattform litar på en tjänst eller klient och kan sedan komma åt Microsoft Graph. Den här åtgärden skapar en registrering av klientappen för att auktorisera enkel knappåtkomst till Graph. Med dessa behörigheter push-överför BIG-IP konfigurationerna för att upprätta ett förtroende mellan en SAML SP-instans för publicerat program och Microsoft Entra-ID som SAML-IdP.

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identitetsprogram>> Appregistreringar > Ny registrering.

3. Ange ett visningsnamn för programmet. Till exempel enkel F5 BIG-IP-knapp.

4. Ange vem som endast kan använda programkontona >i den här organisationskatalogen.

5. Välj Registrera.

6. Gå till API-behörigheter och auktorisera följande Microsoft Graph-programbehörigheter:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

7. Bevilja administratörsmedgivande för din organisation.

8. Generera en ny klienthemlighet på Certifikat och hemligheter. Anteckna den här hemligheten.

9. Observera klient-ID och klient-ID från Översikt.

Konfigurera enkel knapp

Starta den guidade APM-konfigurationen för att starta mallen Enkel knapp.

1. Gå till Åtkomst > till interaktiv konfiguration > Microsoft-integrering och välj Microsoft Entra-program.

2. Granska konfigurationsstegen och välj Nästa

3. Följ nästa steg för att publicera ditt program.

   

Konfigurationsegenskaper

Fliken Konfigurationsegenskaper skapar ett BIG-IP-programkonfigurations- och SSO-objekt. Avsnittet Information om Azure-tjänstkonto kan representera klienten som du registrerade i din Microsoft Entra-klientorganisation tidigare, som ett program. Med de här inställningarna kan en BIG-IP OAuth-klient registrera en SAML SP i din klientorganisation med de SSO-egenskaper som du konfigurerar manuellt. Easy Button gör den här åtgärden för varje BIG-IP-tjänst som publiceras och aktiveras för SHA.

Vissa inställningar är globala, som kan återanvändas för att publicera fler program, vilket minskar distributionstiden och arbetet.

1. Ange ett unikt konfigurationsnamn.
2. Aktivera enkel inloggning (SSO) och HTTP-huvuden.
3. Ange klientorganisations-ID, klient-ID och klienthemlighet som du antecknade när du registrerade Easy Button-klienten i din klientorganisation.
4. Bekräfta att BIG-IP ansluter till din klientorganisation.
5. Välj Nästa.

Tjänstleverantör

Inställningarna för tjänstprovidern är egenskaperna för SAML SP-instansen av programmet som skyddas via SHA.

1. Som Värd anger du det offentliga fullständigt kvalificerade domännamnet (FQDN) för programmet som skyddas.

2. För Entitets-ID anger du den identifierare som Microsoft Entra-ID använder för att identifiera SAML SP som begär en token.

   

De valfria säkerhetsinställningarna anger om Microsoft Entra ID krypterar utfärdade SAML-intyg. Krypteringskontroller mellan Microsoft Entra-ID och BIG-IP APM ger större säkerhet för att innehållstoken inte kan fångas upp och att personliga data eller företagsdata inte kan komprometteras.

3. I listan Med privata nycklar för försäkran väljer du Skapa ny.

4. Välj OK. Dialogrutan Importera SSL-certifikat och nycklar visas.
5. Välj PKCS 12 (IIS) för att importera certifikatet och den privata nyckeln.
6. När du har etablerat stänger du webbläsarfliken för att återgå till huvudfliken.

7. Kontrollera Aktivera krypterad försäkran.
8. Om du har aktiverat kryptering väljer du ditt certifikat i listan Med privata nycklar för försäkrandekryptering. Den här privata nyckeln är för certifikatet som BIG-IP APM använder för att dekryptera Microsoft Entra-försäkran.
9. Om du har aktiverat kryptering väljer du ditt certifikat i listan Certifikat för dekryptering av försäkran. BIG-IP laddar upp det här certifikatet till Microsoft Entra-ID för att kryptera de utfärdade SAML-försäkran.

Microsoft Entra ID

Det här avsnittet definierar egenskaper för att manuellt konfigurera ett nytt BIG-IP SAML-program i din Microsoft Entra-klientorganisation. Easy Button har programmallar för Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP Enterprise Resource Planning (ERP) och en SHA-mall för andra appar.

I det här scenariot väljer du F5 BIG-IP APM Microsoft Entra ID Integration > Add.

Azure-konfiguration

1. Ange ett visningsnamn för appen som BIG-IP skapar i din Microsoft Entra-klientorganisation och ikonen i MyApps-portalen.

2. Lämna inloggnings-URL :en (valfritt) tom för att aktivera IdP-initierad inloggning.

3. Välj uppdateringsikonen bredvid signeringsnyckeln och signeringscertifikatet för att hitta certifikatet som du importerade.

4. I Lösenfras för signeringsnyckel anger du certifikatlösenordet.

5. Aktivera signeringsalternativ (valfritt) för att säkerställa att BIG-IP accepterar token och anspråk som signerats av Microsoft Entra-ID.

   

6. Användar- och användargrupper efterfrågas dynamiskt från din Microsoft Entra-klientorganisation och ger åtkomst till programmet. Lägg till en användare eller grupp för testning, annars nekas all åtkomst.

   

Användarattribut och anspråk

När en användare autentiserar till Microsoft Entra-ID utfärdar den en SAML-token med en standarduppsättning anspråk och attribut som identifierar användaren. Fliken Användarattribut och anspråk visar standardanspråken som ska utfärdas för det nya programmet. Använd den för att konfigurera fler anspråk.

Infrastrukturen baseras på ett .com domänsuffix som används internt och externt. Fler attribut krävs inte för att uppnå en funktionell Kerberos-begränsad delegering med enkel inloggning (KCD SSO). Se den avancerade självstudien för flera domäner eller användarinloggning med ett alternativt suffix.

Ytterligare användarattribut

Fliken Ytterligare användarattribut stöder olika distribuerade system som kräver attribut som lagras i andra kataloger för sessionsförstoring. Attribut som hämtas från en LDAP-källa (Lightweight Directory Access Protocol) kan matas in som SSO-huvuden för att styra åtkomsten baserat på roller, partner-ID:n och så vidare.

Kommentar

Den här funktionen har ingen korrelation till Microsoft Entra-ID men är en annan källa till attribut.

Princip för villkorsstyrd åtkomst

Principer för villkorsstyrd åtkomst framtvingas efter Microsoft Entra-förautentisering för att styra åtkomst baserat på enheter, program, platser och risksignaler.

Vyn Tillgängliga principer visar principer för villkorsstyrd åtkomst utan användarbaserade åtgärder.

Vyn Valda principer visar principer som riktar sig till molnappar. Du kan inte avmarkera principer som tillämpas på klientorganisationsnivå eller flytta dem till listan Tillgängliga principer.

Så här väljer du en princip som ska tillämpas på programmet som publiceras:

1. Välj en princip i listan Tillgängliga principer .
2. Välj högerpilen och flytta den till listan Valda principer.

Valda principer behöver alternativet Inkludera eller Exkludera markerat. Om båda alternativen är markerade tillämpas inte den valda principen.

Kommentar

Principlistan visas en gång efter att du har växlat till den här fliken. Du kan använda uppdateringsknappen för att manuellt tvinga guiden att fråga din klientorganisation, men den här knappen visas när programmet har distribuerats.

Egenskaper för virtuell server

En virtuell server är ett BIG IP-dataplansobjekt som representeras av en virtuell IP-adress som lyssnar efter klientbegäranden till programmet. Mottagen trafik bearbetas och utvärderas mot den APM-profil som är associerad med den virtuella servern. Trafiken dirigeras enligt principen.

1. Ange en måladress, en tillgänglig IPv4/IPv6-adress som BIG-IP kan använda för att ta emot klienttrafik. Det finns en motsvarande post i domännamnsservern (DNS) som gör det möjligt för klienter att matcha den externa URL:en för ditt BIG IP-publicerade program till den här IP-adressen i stället för programmet. Det är acceptabelt att använda en lokal värd-DNS för testdatorer för testning.

2. För Tjänstport anger du 443 för HTTPS.

3. Kontrollera Aktivera omdirigeringsport och ange sedan Omdirigeringsport, som omdirigerar inkommande HTTP-klienttrafik till HTTPS.

4. Klient-SSL-profilen aktiverar den virtuella servern för HTTPS, så klientanslutningar krypteras via TLS (Transport Layer Security). Välj den klient-SSL-profil som du skapade för förutsättningar eller lämna standardvärdet om du testar.

   

Poolegenskaper

Fliken Programpool visar tjänsterna bakom en BIG-IP, som representeras som en pool med programservrar.

1. För Välj en pool skapar du en ny pool eller väljer en.

2. Välj en belastningsutjämningsmetod, till exempel Resursallokering.

3. För Poolservrar väljer du en servernod eller anger en IP-adress och port för serverdelsnoden som är värd för det huvudbaserade programmet.

   

Serverdelsprogrammet körs på HTTP-port 80. Du kan växla porten till 443 om programmet körs på HTTPS.

Enkel inloggning och HTTP-huvuden

Genom att aktivera enkel inloggning kan användare komma åt BIG IP-publicerade tjänster utan att behöva ange autentiseringsuppgifter. Guiden Enkel knapp stöder Kerberos-, OAuth Bearer- och HTTP-auktoriseringshuvuden för enkel inloggning. För dessa instruktioner använder du kerberos-delegeringskontot som du skapade.

Aktivera Kerberos och Visa avancerad inställning för att ange följande:

• Användarnamnkälla: Det användarnamn som ska cachelagrats för enkel inloggning. Du kan ange en sessionsvariabel som källa för användar-ID:t, men session.saml.last.identity fungerar bättre eftersom den innehåller Microsoft Entra-anspråket som innehåller det inloggade användar-ID:t.

• User Realm-källa: Krävs om användardomänen skiljer sig från BIG-IP Kerberos-sfären. I så fall innehåller APM-sessionsvariabeln den inloggade användardomänen. Till exempel session.saml.last.attr.name.domain

  

• KDC: Domänkontrollantens IP-adress eller FQDN om DNS är konfigurerat och effektivt

• UPN-support: Aktivera det här alternativet för att APM ska använda UPN (Universal Principal Name) för Kerberos-biljetthantering

• SPN-mönster: Använd HTTP/%h för att informera APM om att använda värdhuvudet för klientbegäran och skapa tjänstens huvudnamn (SPN) som den begär en Kerberos-token för

• Skicka auktorisering: Inaktivera för program som förhandlar om autentisering i stället för att ta emot kerberos-token i den första begäran. Till exempel Tomcat.

  

Sessionshantering

Sessionshanteringsinställningarna för BIG-IPs definierar under vilka villkor användarsessioner avslutas eller fortsätter, begränsningar för användare och IP-adresser samt motsvarande användarinformation. Se AskF5-artikeln K18390492: Security | APM-driftguide för BIG-IP för information om inställningar.

Det som inte omfattas är SLO-funktioner (Single Log Out), som säkerställer att sessioner mellan IdP, BIG-IP och användaragenten avslutas när en användare loggar ut. När Enkel knapp instansierar ett SAML-program i din Microsoft Entra-klientorganisation fyller den utloggnings-URL:en med APM SLO-slutpunkten. En IdP-initierad utloggning från Microsoft Entra-Mina appar-portalen avslutar sessionen mellan BIG-IP och en klient.

SAML-federationsmetadata för det publicerade programmet importeras från din klientorganisation, vilket ger APM-slutpunkten saml-utloggning för Microsoft Entra-ID. Den här åtgärden säkerställer att en SP-initierad utloggning avslutar sessionen mellan en klient och Microsoft Entra-ID. APM måste veta när en användare loggar ut från programmet.

Om BIG-IP-webbportalen har åtkomst till publicerade program bearbetar APM en utloggning för att anropa Microsoft Entra-slutpunkten för utloggning. Men tänk på ett scenario när BIG-IP-webbportalen inte används, då kan användaren inte instruera APM att logga ut. Även om användaren loggar ut från programmet är BIG-IP omedveten. Därför bör du överväga SP-initierad utloggning för att säkerställa att sessionerna avslutas på ett säkert sätt. Du kan lägga till en SLO-funktion i programmets utloggningsknapp, så att klienten omdirigeras till Microsoft Entra SAML eller slutpunkten big-IP-utloggning.

URL:en för SAML-utloggningsslutpunkten för din klient finns i slutpunkter för > appregistreringar.

Om du inte kan ändra appen kan du överväga att låta BIG-IP-lyssna efter utloggningsanropet för programmet, och när du upptäcker begäran utlöses SLO. Mer information om BIG-IP iRules finns i Oracle PeopleSoft SLO-vägledning. Mer information om hur du använder BIG-IP iRules finns i:

• K42052145: Konfigurera automatisk sessionsavslut (logga ut) baserat på ett URI-refererat filnamn
• K12056: Översikt över alternativet Inkludera utloggnings-URI.

Sammanfattning

Det här avsnittet är en uppdelning av dina konfigurationer.

Välj Distribuera för att checka in inställningar och kontrollera att programmet finns i klientlistan över Företagsprogram.

KCD-konfigurationer

Konfigurera key distribution center (KCD) i måldomänen för att BIG-IP APM ska utföra enkel inloggning till serverdelsprogrammet för användarnas räkning. Om du delegerar autentisering måste du etablera BIG-IP APM med ett domäntjänstkonto.

Hoppa över det här avsnittet om ditt APM-tjänstkonto och delegering har konfigurerats. Annars loggar du in på en domänkontrollant med ett administratörskonto.

I det här scenariot finns programmet på servern APP-VM-01 och körs i kontexten för ett tjänstkonto med namnet web_svc_account, inte datoridentiteten. Det delegerande tjänstkontot som tilldelats APM är F5-BIG-IP.

Skapa ett BIG-IP APM-delegeringskonto

BIG-IP stöder inte grupphanterade tjänstkonton (gMSA) och skapar därför ett standardanvändarkonto för APM-tjänstkontot.

1. Ange följande PowerShell-kommando. Ersätt värdena UserPrincipalName och SamAccountName med dina miljövärden. För bättre säkerhet använder du ett dedikerat SPN som matchar programmets värdhuvud.

   New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

   HOST_SPN = värd/f5-big-ip.contoso.com@contoso.com

   Kommentar

   När värden används delegerar alla program som körs på värden kontot, medan https endast tillåter HTTP-protokollrelaterade åtgärder när HTTPS används.

2. Skapa ett SPN (Service Principal Name) för APM-tjänstkontot som ska användas under delegeringen till webbprogramtjänstkontot:

   Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{ Add="host/f5-big-ip.contoso.com" }

   Kommentar

   Det är obligatoriskt att inkludera värddelen i formatet UserPrincipleName (värd/name.domain@domain) eller ServicePrincipleName (värd/namn.domän).

3. Innan du anger mål-SPN kan du visa dess SPN-konfiguration. Se till att SPN visas mot APM-tjänstkontot. APM-tjänstkontot delegerar för webbprogrammet:

   • Bekräfta att webbprogrammet körs i datorkontexten eller ett dedikerat tjänstkonto.

   • För datorkontexten använder du följande kommando för att fråga kontoobjektet för att se dess definierade SPN. Ersätt <name_of_account> med kontot för din miljö.

     Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Exempel: Get-User -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

   • För det dedikerade tjänstkontot använder du följande kommando för att fråga kontoobjektet för att se dess definierade SPN. Ersätt <name_of_account> med kontot för din miljö.

     Get-User -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Till exempel:

     Get-Computer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

4. Om programmet kördes i datorkontexten lägger du till SPN i objektet för datorkontot:

   Set-Computer -Identity APP-VM-01 -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

När SPN har definierats upprättar du förtroende för APM-tjänstkontots ombud för den tjänsten. Konfigurationen varierar beroende på topologin för din BIG-IP-instans och programserver.

Konfigurera BIG-IP- och målprogram i samma domän

1. Ange förtroende för APM-tjänstkontot för att delegera autentisering:

   Get-User -Identity f5-big-ip | Set-AccountControl -TrustedToAuthForDelegation $true

2. APM-tjänstkontot måste känna till mål-SPN att delegera till. Ange mål-SPN till tjänstkontot som kör webbappen:

   Set-User -Identity f5-big-ip -Add @{ 'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com') }

   Kommentar

   Du kan utföra dessa uppgifter med snapin-modulen Användare och datorer, Microsoft Management Console (MMC) på en domänkontrollant.

BIG-IP och program i olika domäner

I Windows Server 2012-versionen och senare använder KCD mellan domäner resursbaserad begränsad delegering (RBCD). Begränsningarna för en tjänst överförs från domänadministratören till tjänstadministratören. Med den här delegeringen kan serverdelstjänstadministratören tillåta eller neka enkel inloggning. Den här situationen skapar en annan metod vid konfigurationsdelegering, vilket är möjligt med PowerShell.

Du kan använda egenskapen PrincipalsAllowedToDelegateToAccount för programtjänstkontot (dator eller dedikerat tjänstkonto) för att bevilja delegering från BIG-IP. I det här scenariot använder du följande PowerShell-kommando på en domänkontrollant (Windows Server 2012 R2 eller senare) i samma domän som programmet.

Använd ett SPN som definierats mot ett webbprogramtjänstkonto. För bättre säkerhet använder du ett dedikerat SPN som matchar programmets värdhuvud. Eftersom värdhuvudet för webbprogrammet i det här exemplet till exempel är myexpenses.contoso.comlägger du till HTTP/myexpenses.contoso.com i programtjänstkontoobjektet:

Set-User -Identity web_svc_account -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Observera kontexten för följande kommandon.

Om web_svc_account-tjänsten körs i kontexten för ett användarkonto använder du följande kommandon:

$big-ip= Get-Computer -Identity f5-big-ip -server dc.contoso.com

''Set-User -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount'

$big-ip Get-User web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Om web_svc_account-tjänsten körs i kontexten för ett datorkonto använder du följande kommandon:

$big-ip= Get-Computer -Identity f5-big-ip -server dc.contoso.com

Set-Computer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount

$big-ip Get-Computer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Mer information finns i Kerberos-begränsad delegering mellan domäner.

Appvy

Från en webbläsare ansluter du till programmets externa URL eller väljer programikonen i Microsoft MyApps-portalen. När du har autentiserat till Microsoft Entra-ID tar omdirigeringen dig till den virtuella BIG-IP-servern för programmet och loggas in med enkel inloggning.

För ökad säkerhet kan organisationer som använder det här mönstret blockera direkt åtkomst till programmet, vilket tvingar fram en strikt sökväg via BIG-IP.

Microsoft Entra B2B-gäståtkomst

Microsoft Entra B2B-gäståtkomst stöds för det här scenariot, med gästidentiteter som flödar ned från din Microsoft Entra-klientorganisation till den katalog som programmet använder för auktorisering. Utan en lokal representation av ett gästobjekt i AD kan BIG-IP inte ta emot en kerberos-biljett för KCD SSO till serverdelsprogrammet.

Avancerad distribution

Mallarna för guidad konfiguration kan sakna flexibilitet för att uppnå vissa krav. Mer information om dessa scenarier finns i Avancerad konfiguration för kerberos-baserad enkel inloggning.

I BIG-IP kan du också inaktivera strikt hanteringsläge för den guidade konfigurationen. Du kan ändra dina konfigurationer manuellt, även om huvuddelen av konfigurationerna automatiseras via de guidebaserade mallarna.

Du kan navigera till Åtkomst > till guidad konfiguration och välja den lilla hänglåsikonen längst till höger på raden för programkonfigurationerna.

I det här läget är det inte möjligt att ändra guidens användargränssnitt, men alla BIG-IP-objekt som är associerade med den publicerade instansen av programmet är olåst för hantering.

Kommentar

Återaktivera strikt läge och distribuera en konfiguration skriver över inställningar som utförs utanför det guidade konfigurationsgränssnittet. Därför rekommenderar vi den avancerade konfigurationsmetoden för produktionstjänster.

Felsökning

Om du felsöker problem med enkel inloggning med Kerberos bör du vara medveten om följande begrepp.

• Kerberos är tidskänsligt, så det kräver att servrar och klienter ställs in på rätt tid, och om möjligt synkroniseras till en tillförlitlig tidskälla
• Kontrollera att värdnamnet för domänkontrollanten och webbprogrammet kan matchas i DNS
• Kontrollera att det inte finns några duplicerade SPN:er i AD-miljön: Kör följande fråga på kommandoraden på en domändator: setspn -q HTTP/my_target_SPN

Du kan läsa vår vägledning för programproxy för att verifiera att ett IIS-program har konfigurerats för KCD. Se även AskF5-artikeln Kerberos enkel inloggningsmetod.

Logganalys: öka verbositeten

Använd BIG-IP-loggning för att isolera problem med anslutning, enkel inloggning, principöverträdelser eller felkonfigurerade variabelmappningar. Börja felsöka genom att öka loggveroalitetsnivån.

1. Gå till Inställningar för åtkomstprincipöversikt > för > händelseloggar>.
2. Välj raden för det publicerade programmet och redigera > sedan Åtkomstsystemloggar.
3. Välj Felsök i listan med enkel inloggning och välj sedan OK.

Återskapa problemet och granska loggarna. När du är klar återställer du funktionen eftersom utförligt läge genererar mycket data.

BIG-IP-felsida

Om ett BIG-IP-fel visas efter Microsoft Entra-förautentisering kan problemet gälla enkel inloggning från Microsoft Entra-ID till BIG-IP.

1. Gå till Access Overview >> Access-rapporter.
2. Om du vill se loggar för ledtrådar kör du rapporten för den senaste timmen.
3. Använd länken Visa sessionsvariabler för att förstå om APM tar emot de förväntade anspråken från Microsoft Entra ID.

Serverdelsbegäran

Om ingen felsida visas är problemet förmodligen relaterat till serverdelsbegäran eller enkel inloggning från BIG-IP-adressen till programmet.

1. Gå till Översikt över > åtkomstprincip > Aktiva sessioner.
2. Välj länken för den aktiva sessionen. Länken Visa variabler på den här platsen kan hjälpa dig att fastställa rotorsaken till KCD-problem, särskilt om BIG-IP APM inte hämtar rätt användar- och domänidentifierare från sessionsvariabler.

Mer information finns i:

• dev/central: Exempel på tilldelning av APM-variabel
• MyF5: Sessionsvariabler