共用方式為


教學課程:為 Kerberos 驗證設定 F5 BIG-IP 存取原則管理員

在本教學課程中,您將了解如何使用 F5 BIG-IP 進階設定,實作安全混合式存取 (SHA),以提供 Kerberos 應用程式的單一登入 (SSO)。 針對 Microsoft Entra SSO 啟用 BIG-IP 已發佈服務可提供許多好處,包括:

若要深入了解相關益處,請參閱整合 F5 BIG-IP 與 Microsoft Entra ID

案例描述

在此案例中,您要設定企業營運應用程式的 Kerberos 驗證,亦即「整合式 Windows 驗證」。

整合應用程式與 Microsoft Entra ID 需要同盟通訊協定的支援,例如安全性聲明標記語言 (SAML)。 但由於將應用程式現代化會帶來潛在的停機風險,因此還有其他選擇。

當您為 SSO 使用 Kerberos 限制委派 (KCD) 時,您可以使用 Microsoft Entra 應用程式 Proxy 以遠端存取應用程式。 您可以達成通訊協定轉換,將舊版應用程式橋接至新式身分識別控制平面。

另一種方法是使用 F5 BIG-IP 應用程式傳遞控制器。 此方法可讓應用程式與 Microsoft Entra 預先驗證和 KCD SSO 重疊。 這會大幅改善應用程式的整體零信任狀態。

案例架構

此案例的 SHA 解決方案包含下列元素:

  • 應用程式:後端 Kerberos 型服務是由 BIG-IP 外部發佈,並受到 SHA 保護

  • BIG-IP:反向 Proxy 功能,可發佈後端應用程式。 存取原則管理員 (APM) 會將已發佈的應用程式與 SAML 服務提供者 (SP) 和 SSO 功能重疊。

  • Microsoft Entra ID:識別提供者 (IdP) 可驗證使用者認證、Microsoft Entra ID 條件式存取,及透過 SAML 單一登入 BIG-IP APM

  • KDC:網域控制站 (DC) 上的金鑰發佈中心角色,會發出 Kerberos 票證

下圖說明此案例的 SAML SP 起始流程,但也支援 IdP 啟動流程。

案例結構的圖表。

使用者流程

  1. 使用者會連線到應用程式端點 (BIG-IP)
  2. BIG-IP 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)
  3. Microsoft Entra ID 預先對使用者進行驗證,並套用強制執行的條件式存取原則
  4. 使用者會重新導向至 BIG-IP (SAML SP),並透過已發行的 SAML 權杖來執行 SSO
  5. BIG-IP 會驗證使用者,並向 KDC 要求 Kerberos 票證
  6. BIG-IP 會使用 SSO 的 Kerberos 票證,將要求傳送至後端應用程式
  7. 應用程式會授權要求並傳回承載

必要條件

不需要事先具備 BIG-IP 相關經驗。 您需要:

  • Azure 免費帳戶或更高層級的訂用帳戶。
  • BIG-IP 或在 Azure 中部署 BIG-IP 虛擬版本
  • 下列任一個 F5 BIG-IP 授權:
    • F5 BIG-IP 最佳搭售方案
    • F5 BIG-IP APM 獨立授權
    • BIG-IP 本機流量管理員的 F5 BIG-IP APM 附加元件授權 (LTM)
    • 90 天 BIG-IP 免費試用授權
  • 從內部部署目錄同步至 Microsoft Entra ID 的使用者身分識別,或在 Microsoft Entra ID 中建立並流回內部部署目錄的使用者身分識別。
  • Microsoft Entra 租用戶中的下列其中一個角色:雲端應用程式管理員或應用程式管理員。
  • 用來透過 HTTPS 發佈服務的 Web 伺服器憑證,或在測試時使用預設的 BIG-IP 憑證。
  • Kerberos 應用程式,或移至 active-directory-wp.com 了解如何在 Windows 上使用 IIS 設定 SSO

BIG-IP 設定方法

本文涵蓋進階設定,這是一種彈性的 SHA 實作,可建立 BIG-IP 設定物件。 您可以使用此方法處理引導式設定範本中未涵蓋的案例。

注意

以實際環境的字串或值,取代本文所有的範例字串或值。

在 Microsoft Entra ID 中註冊 F5 BIG-IP

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

請先在租用戶註冊 BIG-IP,才能提交給 Microsoft Entra ID 預先驗證遞。 此流程會起始兩個實體間的 SSO。 您從 F5 BIG-IP 資源庫範本建立的應用程式是信賴憑證者,代表 BIG-IP 發佈應用程式的 SAML SP。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[所有應用程式],然後選取 [新增應用程式]

  3. 隨即開啟的 [瀏覽 Microsoft Entra 資源庫] 窗格會出現雲端平台、內部部署應用程式和精選應用程式的圖格。 [精選應用程式] 區段中的應用程式會顯示圖示,表示應用程式是否支援同盟 SSO 與佈建。

  4. 在 Azure 資源庫中,搜尋 F5,然後選取 [F5 BIG-IP APM Microsoft Entra ID 整合]

  5. 輸入新應用程式的名稱,以辨識應用程式執行個體。

  6. 選取 [新增/建立],以將其新增至您的租用戶。

啟用單一登入至 F5 BIG-IP

設定 BIG-IP 註冊以滿足 BIG-IP APM 要求的 SAML 權杖。

  1. 在左側功能表的 [管理] 區段中,選取 [單一登入]。 [單一登入] 窗格隨即出現。
  2. 在 [選取單一登入方法] 頁面上,選取 [SAML]。 選取 [否,稍後我會儲存] 略過提示。
  3. 在 [以 SAML 設定單一登入] 窗格上,選取畫筆圖示來編輯 [基本 SAML 設定]。
  4. 將預先定義的 [識別碼] 值取代為 BIG-IP 已發佈應用程式的完整 URL。
  5. 取代 [回覆 URL] 值,但保留應用程式 SAML SP 端點的路徑。

注意

在此設定中,SAML 流程會以 IdP 起始模式運作。 Microsoft Entra ID 會在使用者重新導向至應用程式的 BIG-IP 端點之前,發出 SAML 判斷提示。

  1. 若要使用 SP 起始模式,請在登入 URL 中輸入應用程式 URL。

  2. 如果是 [登出 Url],請輸入 BIG-IP APM 單一登出 (SLO) 端點,前面加上要發佈的服務主機標頭。 此動作可確保在使用者登出 Microsoft Entra ID 後即結束使用者的 BIG-IP APM 工作階段。

    基本 SAML 設定中 URL 項目的螢幕擷取畫面。

注意

從 BIG-IP 流量管理作業系統 (TMOS) v16,SAML SLO 端點已變更為 /saml/sp/profile/redirect/slo

  1. 關閉 SAML 設定之前,請選取 [儲存]
  2. 跳過 SSO 測試提示。
  3. 請留意 [使用者屬性和宣告] 區段的屬性。 Microsoft Entra ID 會將屬性發佈給使用者,以進行 BIG-IP APM 驗證和單一登入至後端應用程式。
  4. 若要將同盟中繼資料 XML 檔案儲存到您的電腦,請在 [SAML 簽署憑證] 窗格中,選取 [下載]

注意

Microsoft Entra ID 建立的 SAML 簽署憑證有三年的使用期限。 如需詳細資訊,請參閱管理同盟單一登入的憑證

授與使用者和群組存取權

根據預設,Microsoft Entra ID 會為已獲得應用程式存取權的使用者發出權杖。 若要授與使用者和群組應用程式的存取權:

  1. 在 [F5 BIG-IP 應用程式概觀] 窗格上,選取 [指派使用者與群組]

  2. 選取 [+ 新增使用者/群組]

    [使用者和群組] 上 [新增使用者或群組] 選項的螢幕擷取畫面。

  3. 選取使用者和群組,然後選取 [指派]。

設定 Azure Active Directory Kerberos 限制委派

若要 BIG-IP APM 代表使用者執行後端應用程式的單一登入,請在目標 Active Directory (AD) 網域中設定 KCD。 委派驗證需要您使用網域服務帳戶佈建 BIG-IP APM。

在此案例中,應用程式託管於伺服器 APP-VM-01,並以名為 web_svc_account 的服務帳戶執行,而非電腦的身分識別。 指派給 APM 的委派服務帳戶是 F5-BIG IP。

建立 BIG-IP APM 委派帳戶

BIG-IP 不支援群組受管理的服務帳戶 (gMSA),因此,請建立 APM 服務帳戶的標準使用者帳戶。

  1. 輸入下列 PowerShell 命令。 將 UserPrincipalNameSamAccountName 值取代為您環境的值。 如需更高的安全性,請使用符合應用程式主機標頭的專用服務主體名稱 (SPN)。

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    注意

    使用主機時,主機上執行的任何應用程式都會委派帳戶,而當使用 HTTPS 時,它只允許 HTTP 通訊協定相關作業。

  2. 為 APM 服務帳戶建立一個服務主體名稱 (SPN),以便在委派至 Web 應用程式服務帳戶時使用:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    注意

    必須以 UserPrincipleName (host/name.domain@domain) 或 ServicePrincipleName (host/name.domain) 的格式包含主機/元件。

  3. 指定目標 SPN 之前,請先檢視其 SPN 設定。 請確保 SPN 顯示在 APM 服務帳戶上。 Web 應用程式的 APM 服務帳戶委派:

    • 請確認您的 Web 應用程式在電腦內容或專用服務帳戶中執行。

    • 針對電腦內容,使用下列命令來查詢 Active Directory 中的帳戶物件,以查看其定義的服務主體名稱。 將 <name_of_account> 取代為您環境的帳戶。

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      例如:Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • 針對專用的服務帳戶,使用下列命令來查詢 Active Directory 中的帳戶物件,以查看其定義的服務主體名稱。 將 <name_of_account> 取代為您環境的帳戶。

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      例如:Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. 如果應用程式是在機器內容中執行,請新增服務主體名稱 (SPN) 至 Active Directory 中的電腦帳戶物件:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

定義服務主體名稱 (SPN) 後,請在該服務建立 APM 服務帳戶委派的信任。 設定會因 BIG-IP 執行個體和應用程式伺服器的拓撲而有所不同。

在相同網域中設定 BIG-IP 和目標應用程式

  1. 設定 APM 服務帳戶的信任以委派驗證:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. APM 服務帳戶必須知道其可信任委託的目標 SPN。 將目標服務主體名稱 (SPN) 設為執行 Web 應用程式的服務帳戶:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    注意

    您可以透過嵌入網域控制站的 Active Directory 使用者和電腦、Microsoft 管理主控台 (MMC) 來完成這些工作。

在不同網域中設定 BIG-IP 和目標應用程式

在 Windows Server 2012 版本和更新版本中,跨網域 KCD 會使用以資源為基礎的限制委派 (RBCD)。 服務的限制已從網域管理員移轉給服務管理員。 此委派可讓後端服務管理員允許或拒絕 SSO。 這種情況會在設定委派時建立不同的方法,當您使用 PowerShell 或 Active Directory 服務介面編輯器 (ADSI 編輯) 時,可能會發生這種情況。

您可以應用程式服務帳戶 (電腦或專用服務帳戶) 的 PrincipalsAllowedToDelegateToAccount 屬性來授與 BIG-IP 的委派。 在此案例中,請在與應用程式相同網域中的網域控制站 (Windows Server 2012 R2 或更新版本) 上,使用下列 PowerShell 命令。

使用針對 Web 應用程式服務帳戶定義的服務主體名稱 (SPN)。 如需更高的安全性,請使用符合應用程式主機標頭的專用服務主體名稱 (SPN)。 例如,因為此範例中的 Web 應用程式主機標頭是 myexpenses.contoso.com,請將 HTTP/myexpenses.contoso.com 新增至 Active Directory 中的應用程式服務帳戶物件 (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

針對下列命令,請注意內容。

如果 web_svc_account 服務在使用者帳戶的內容中執行,請使用下列命令:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

如果 web_svc_account 服務在電腦帳戶的內容中執行,請使用下列命令:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

如需詳細資訊,請參閱跨網域的 Kerberos 限制委派

BIG-IP 進階設定

使用下一節,繼續進行 BIG-IP 設定。

設定 SAML 服務提供者設定

SAML 服務提供者設定定義 SAML SP 屬性,APM 使用這些屬性來重疊舊版應用程式與 SAML 預先驗證。 若要進行設定:

  1. 從瀏覽器登入 F5 BIG IP 管理主控台。

  2. 選取 [存取]>[同盟]>[SAML 服務提供者]>[本機 SP 服務]>[建立]

    [本機 SP 服務上 SAML 服務提供者] 下方的 [建立] 選項螢幕擷取畫面。

  3. 提供設定 Microsoft Entra ID 的 SSO 時儲存的 [名稱] 和 [實體識別碼] 值。

    [建立新的 SAML SP 服務] 上 [名稱] 和 [實體識別碼] 項目的螢幕擷取畫面。

  4. 如果 SAML 實體識別碼與發佈的應用程式 URL 完全相符,即可跳過 [SP 名稱設定]。 例如,如果實體識別碼為 urn:myexpenses:contosoonline,配置值為 https主機值為 myexpenses.contoso.com。 如果實體識別碼是 "https://myexpenses.contoso.com"",您就不需要提供此資訊。

設定外部 IdP 連接器

SAML IdP 連接器會定義 BIG-IP APM 設定,以信任 Microsoft Entra ID 作為其 SAML IdP。 這些設定會對應 SAML SP 至 SAML IdP,並建立 APM 與 Microsoft Entra ID 間的同盟信任。 若要設定連接器:

  1. 向下捲動以選取新的 SAML SP 物件,然後選取 [繫結/取消繫結 IdP 連接器]

    [本機 SP 服務上的 SAML 服務提供者] 上 [繫結/取消繫結 IdP 連接器] 選項的螢幕擷取畫面。

  2. 選取 [建立新的 IdP 連接器]>[從中繼資料]

    [編輯 SAML IdP] 上 [建立新 IdP 連接器] 下 [從中繼資料] 選項的螢幕擷取畫面

  3. 瀏覽至之前下載的同盟中繼資料 XML 檔案,然後針對代表外部 SAML IdP 的 APM 物件,提供 [識別提供者名稱]。 下列範例顯示 MyExpenses_AzureAD

    在 [建立新的 SAML IdP 連接器] 上的 [選取檔案] 底下的 [選取檔案] 和 [識別提供者名稱] 項目的螢幕擷取畫面。

  4. 選取 [新增資料列],以選擇新的 [SAML IdP 連接器] 值,然後選取 [更新]

    [SAML IdP 連接器] 項目的 [更新] 選項螢幕擷取畫面。

  5. 選取 [確定]。

設定 Kerberos SSO

建立 APM SSO 物件,以便對後端應用程式進行 KCD SSO。 使用之前建立的 APM 委派帳戶。

  1. 選取 [存取]>[單一登入]>[Kerberos]>[建立],並提供下列資訊:
  • 名稱:建立帳戶後,其他已發佈的應用程式即可使用 Kerberos SSO APM 物件。 例如,Contoso_KCD_sso 可用於 Contoso 網域的多個已發佈的應用程式。 針對單一應用程式,使用 MyExpenses_KCD_sso。

  • 使用者名稱來源:指定使用者識別碼來源。 使用 APM 工作階段變數作為來源。 建議您使用 session.saml.last.identity ,因為它包含來自 Microsoft Entra 宣告的登入使用者識別碼。

  • 用戶領域來源:當使用者網域與 KCD 的 Kerberos 領域不同時,則為必要項目。 如果使用者位於不同的受信任網域,您可以指定包含已登入使用者網域的 APM 工作階段變數,讓 APM 可以感知。 例如,session.saml.last.attr.name.domain。 在使用者主體名稱 (UPN) 以替代尾碼為基礎時,您會執行此動作。

  • Kerberos 領域:大寫的使用者網域尾碼

  • KDC:網域控制站 IP 位址。 或在 DNS 已設定且有效的情況下,輸入完整網域名稱。

  • UPN 支援:如果使用者名稱的來源是 UPN 格式 (例如 session.saml.last.identity 變數),請選取此核取方塊。

  • 帳戶名稱帳戶密碼:執行 KCD 的 APM 服務帳戶認證

  • 服務主體名稱 (SPN) 模式:如果使用 HTTP/%h,APM 會使用用戶端要求的主機標頭,來建立其所要求 Kerberos 權杖的服務主體名稱。

  • 傳送授權:針對偏好協商驗證的應用程式停用此選項,而非在第一個要求中接收 Kerberos 權杖 (例如,Tomcat)。

    [一般屬性] 上 [名稱]、[使用者名稱來源] 和 [SSO 方法設定] 項目的螢幕擷取畫面。

如果使用者領域與後端伺服器領域不同,您可以讓 KDC 保持未定義。 此規則適用於多網域領域案例。 如果您未定義 KDC,BIG-IP 會嘗試透過 DNS 查詢後端伺服器網域的 SRV 記錄來探索 Kerberos 領域。 BIG-IP 預期網域名稱與領域名稱相同。 如果網域名稱不同,請在 /, and so on/krb5.conf 檔案中指定網域名稱。

當 IP 位址指定 KDC 時,Kerberos SSO 處理會更快。 如果主機名指定 KDC,Kerberos SSO 處理速度會變慢。 由於有較多的 DNS 查詢,當 KDC 未定義時,處理速度會較慢。 將概念證明移至實際執行環境前,請確保 DNS 是以最佳的方式執行。

注意

如果後端伺服器位於多個領域,請針對每個領域建立個別的 SSO 設定物件。

您可以將標頭插入對於後端應用程式的 SSO 要求中。 將 [一般屬性] 設定從 [基本] 變更為 [進階]

如需適用於 KCD SSO 的 APM 設定詳細資訊,請參閱 F5 文章「K17976428:Kerberos 限制委派的概觀」。

設定存取設定檔

存取設定檔會繫結管理 BIG-IP 虛擬伺服器存取權的 APM 元素。 這些元素包括存取原則、SSO 設定和 UI 設定。

  1. 選取 [存取]>[設定檔/原則]>[存取設定檔 (每個工作階段原則)]>[建立],然後輸入下列屬性:

    • 名稱:例如,輸入 MyExpenses

    • 設定檔類型:選取 [全部]

    • SSO 設定:選取之前建立的 KCD SSO 設定物件

    • 接受的語言:新增至少一個語言

    [一般屬性]、[跨驗證網域 SSO] 及 [語言設定] 的項目螢幕擷取畫面。

  2. 對於之前建立的每個工作階段設定檔,選取 [編輯]

    [每一會話 Polcy] 下方的 [編輯] 選項螢幕擷取畫面。

  3. 視覺效果原則編輯器會開啟。 選取後援 (fallback) 旁的加號

    [套用存取策略] 上按鈕的螢幕擷取畫面。

  4. 在對話方塊中,選取 [驗證]>[SAML 驗證]>[新增項目]

    螢幕擷取畫面:[驗證] 索引標籤上的 [SAML 驗證] 選項。

  5. 在 [SAML 驗證 SP] 設定中,將 [AAA 伺服器] 選項設為使用之前建立的 SAML SP 物件。

    [屬性] 索引標籤上 AAA 伺服器項目的螢幕擷取畫面。

  6. 若要將 [成功] 分支變更為 [允許],請選取上方 [拒絕] 方塊中的連結。

  7. 選取 [儲存]。

    [存取原則] 上 [拒絕] 選項的螢幕擷取畫面。

設定屬性對應

雖然以下為選用,但您可以新增 LogonID_Mapping 設定,讓 BIG-IP 作用中工作階段清單顯示已登入使用者的 UPN,而非工作階段號碼。 此資訊可用於分析記錄或疑難排解。

  1. 針對 [SAML 驗證成功] 分支,選取 [加號]

  2. 在對話方塊中,選取 [指派]>[變數指派]>[新增項目]

    螢幕擷取畫面:[指派] 索引標籤上的 [變數指派] 選項。

  3. 輸入名稱

  4. 在 [變數指派] 窗格上,選取 [新增項目]>[變更]。 下列範例會在 [名稱] 方塊中顯示 LogonID_Mapping。

    螢幕擷取畫面:[新增項目] 和 [變更] 選項。

  5. 設定這兩個變數:

    • 自訂變數:輸入 session.logon.last.username
    • 工作階段變數:輸入 session.saml.last.identity
  6. 選取 [完成]>[儲存]

  7. 選取存取原則 [成功] 分支 [拒絕] 終端機。 將變更為 [允許]

  8. 選取 [儲存]。

  9. 選取 [套用存取原則],然後關閉編輯器。

    [套用存取原則] 選項的螢幕擷取畫面。

設定後端集區

若要 BIG-IP 正確轉接用戶端流量,請建立代表裝載應用程式後端伺服器的 BIG-IP 節點物件。 然後,將節點放置在 BIG-IP 伺服器集區中。

  1. 選取 [本機流量]>[集區]>[集區清單]>[建立],並提供伺服器集區物件的名稱。 例如,輸入 MyApps_VMs。

    [新增集區設定] 下方 [名稱] 項目的螢幕擷取畫面。

  2. 新增包含下列資源詳細資料的集區成員物件:

    • 節點名稱:裝載後端 Web 應用程式的伺服器顯示名稱
    • 位址:裝載應用程式的伺服器 IP 位址
    • 服務連接埠:應用程式目前接聽的 HTTP/S 連接埠

    節點名稱、地址及服務連接埠項目的螢幕擷取畫面,以及 [新增] 選項。

注意

本文未涵蓋其他設定健康情況監視器所需的內容。 請參閱 K13397:BIG-IP DNS 系統的 HTTP 健康情況監視要求格式概覽

設定虛擬伺服器

虛擬伺服器是一種 BIG-IP 資料平面物件,由接聽用戶端對應用程式要求的虛擬 IP 位址來表示。 收到的流量是根據與虛擬伺服器相關的 APM 存取設定檔處理和評估,然後再根據原則進行導向。

若要設定虛擬伺服器:

  1. 選取 [本機流量]>[虛擬伺服器]>[虛擬伺服器清單]>[建立]

  2. 輸入名稱,及一個未配置給 BIG-IP 物件或在連線網路上裝置的 IPv4/IPv6 位址。 IP 位址會專門用來接收已發佈後端應用程式的用戶端流量。

  3. 將 [服務連接埠] 設為 443

    [一般屬性] 下方的 [名稱]、[目的地位址/遮罩] 和服務連接埠項目的螢幕擷取畫面。

  4. 將 [HTTP 設定檔 (用戶端)] 設為 http

  5. 啟用傳輸層安全性 (TLS )的虛擬伺服器,允許透過 HTTPS 發佈服務。

  6. 如需 [SSL 設定檔 (用戶端)],請選取您在必要條件中所建立的設定檔。 或者,如果您要測試,請使用預設值。

    用戶端 HTTP 設定檔和 SSL 設定檔項目的螢幕擷取畫面。

  7. 將 [來源位址轉換] 變更為 [自動對應]

    螢幕擷取畫面:[來源位址轉換] 項目。

  8. 在 [存取原則] 下,根據之前建立的設定檔,設定 [存取設定檔]。 此選項會將 Microsoft Entra SAML 預先驗證設定檔和 KCD SSO 原則繫結至虛擬伺服器。

    螢幕擷取畫面:[存取原則] 底下的 [存取設定檔] 項目。

  9. 設定 [預設集區],使用上一節中所建立的後端集區物件。

  10. 選取 [完成]

    資源的預設集區項目螢幕擷取畫面。

設定工作階段管理設定

BIG-IP 工作階段管理設定會定義使用者工作階段終止或允許繼續的條件、使用者和 IP 位址的限制,及錯誤頁面。 您可以在此建立原則。

移至 [存取原則]>[存取設定檔]>[存取設定檔],然後從清單選取應用程式。

如果您已在 Microsoft Entra ID 中定義單一登出 URI 值,此值可確保 IdP 起始的 MyApps 入口網站登出會結束用戶端與 BIG-IP APM 間的工作階段。 匯入的應用程式同盟中繼資料 XML 會為 APM 提供適用於 SP 啟始登出的 Microsoft Entra SAML 登出端點。為了取得有效結果,APM 必須知道使用者登出的時間。

請考慮不使用 BIG-IP Web 入口網站的案例。 使用者無法指示 APM 進行登出。即使使用者登出應用程式,BIG-IP 也會予以忽視,所以應用程式工作階段可能會透過 SSO 恢復。 SP 起始的登出需要考量是否能確保工作階段安全終止。

注意

您可以新增 SLO 函式至應用程式登出按鈕。 此功能會將用戶端重新導向至 Microsoft Entra SAML 登出端點。 在 [應用程式註冊]>[端點]找到 SAML 登出端點。

如果應用程式無法變更,請考慮讓 BIG-IP 接聽應用程式登出呼叫。 偵測到要求後,BIG-IP 會觸發 SLO。

如需詳細資訊,請參閱 F5 文章:

摘要

您的應用程式會透過 SHA、應用程式 URL 或 Microsoft 應用程式入口網站發佈和存取。 應用程式在 Microsoft Entra 條件式存取中顯示為目標資源。

若要提高安全性,使用此模式的組織可以封鎖對應用程式的直接存取,強制透過 BIG-IP 的絕對路徑。

下一步

以使用者的身分開啟瀏覽器,並連線至應用程式的外部 URL。 您可以在 Microsoft MyApps 入口網站選取應用程式圖示。 驗證 Microsoft Entra 租用戶後,系統會將您重新導向至應用程式的 BIG-IP 端點,並透過 SSO 登入。

範例應用程式網站的影像。

Microsoft Entra B2B 來賓存取

SHA 支援 Microsoft Entra B2B 來賓存取。 來賓身分識別會從您的 Microsoft Entra 租用戶同步處理到您的目標 Kerberos 網域。 使用 BIG-IP 來賓物件的本機表示法,執行後端應用程式的 KCD SSO。

疑難排解

疑難排解時,請考慮下列幾點:

  • Kerberos 對時間很敏感。 伺服器和用戶端必須設為正確的時間,並盡量與可靠的時間來源同步。
  • 請確保 DNS 可以解析網域控制站和 Web 應用程式的主機名稱
  • 請確保您的環境沒有重複的服務主體名稱 (SPN)。 在命令列執行下列查詢:setspn -q HTTP/my_target_SPN

注意

若要驗證是否已針對 KCD 設定 IIS 應用程式,請參閱針對應用程式 Proxy 的 Kerberos 限制委派設定進行疑難排解。 並請參閱 AskF5 文章 Kerberos 單一登入方法

增加記錄詳細程度

BIG-IP 記錄是可靠的資訊來源。 若要提高記錄詳細程度層級:

  1. 移至 [存取原則]>[概觀]>[事件記錄]>[設定]
  2. 選取已發佈應用程式的資料列。
  3. 選取 [編輯]>[存取系統記錄]
  4. 從 SSO 清單選取 [偵錯]。
  5. 選取 [確定]。

請先重現您的問題再查看記錄前。 然後在完成後還原這項功能。 否則,詳細程度很重要。

BIG-IP 錯誤

如果 BIG-IP 錯誤出現在 Microsoft Entra 預先驗證之後,問題可能與從 Microsoft Entra ID 到 BIG-IP 的 SSO 有關。

  1. 移至 [存取]>[概觀]>[存取報告]
  2. 若要查看記錄是否能提供任何線索,請執行過去一小時的報告。
  3. 針對工作階段使用 [檢視工作階段變數] 連結有助了解 APM 是否收到 Microsoft Entra ID 的預期宣告。

後端要求

如果 BIG-IP 未顯示錯誤,問題則可能與後端要求,或 BIG-IP 至應用程式的 SSO 有關。

  1. 移至 [存取原則] > [概觀] > [作用中工作階段]
  2. 選取作用中工作階段的連結。
  3. 使用 [檢視變數] 連結判斷 KCD 問題的根本原因,尤其是 BIG-IP APM 無法取得正確的使用者和網域識別碼時。

如需診斷 KCD 相關問題的說明,請參閱封存 F5 BIG-IP 部署指南設定 Kerberos 限制委派

資源