共用方式為

教學課程:針對 Kerberos 單一登入設定 F5 BIG-IP 簡單按鈕

  • 發行項

瞭解如何透過 F5 BIG-IP 簡易按鈕引導式設定 16.1,使用 Microsoft Entra ID 來保護 Kerberos 型應用程式。

將 BIG-IP 與 Microsoft Entra ID 整合可提供許多優點,包括:

若要深入了解優點,請參閱 F5 BIG-IP 和 Microsoft Entra 整合一文。

案例描述

此案例為使用 Kerberos 驗證的繼承應用程式 (也稱為整合式 Windows 驗證 (IWA)),其可閘道存取受保護的內容。

由於該應用程式為舊版,所以缺少可支援與 Microsoft Entra ID 直接整合的新式通訊協定。 您可以將應用程式現代化,但其成本很高、需要規劃,並會帶來潛在停機的風險。 相反地,透過通訊協定轉換,F5 BIG-IP 應用程式傳遞控制器 (ADC) 會橋接舊版應用程式與新式識別碼控制平面之間的差距。

應用程式前面的 BIG-IP,支援使用 Microsoft Entra 預先驗證和標頭型 SSO 來重疊服務,以改善應用程式的安全性狀態。

注意

組織可透過 Microsoft Entra 應用程式 Proxy 遠端存取這種類型的應用程式

案例架構

此案例的安全混合式存取 (SHA) 解決方案具有下列元件:

  • 應用程式:由 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務。 應用程式主機已加入網域。
  • Microsoft Entra ID: 安全性聲明標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取,以及對 BIG-IP 的 SAML 型 SSO。 Microsoft Entra ID 透過 SSO 向 BIG-IP 提供必要的工作階段屬性。
  • KDC:網域控制站 (DC) 上的金鑰發佈中心 (KDC) 角色,會發出 Kerberos 票證
  • BIG-IP:反向 Proxy 和 SAML 服務提供者 (SP) 至應用程式,並將驗證委派給 SAML IdP,再對後端應用程式執行 Kerberos 式 SSO。

此案例的 SHA 支援 SP 和 IdP 起始的流程。 下方為該 SP 流程的圖解。

案例服務提供者流程的圖表。

  1. 使用者會連線到應用程式端點 (BIG-IP)
  2. BIG-IP 存取原則管理員 (APM) 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)
  3. Microsoft Entra ID 預先對使用者進行驗證,並套用任何強制執行的條件式存取原則
  4. 使用者會重新導向至 BIG-IP (SAML SP),並使用已發行的 SAML 權杖來執行 SSO
  5. BIG-IP 要求來自 KDC 的 Kerberos 票證
  6. BIG-IP 會將要求連同用於 SSO 的 Kerberos 票證傳送至後端應用程式
  7. 應用程式會授權要求並傳回承載

必要條件

不需要事先具備 BIG-IP 經驗,但您需要:

BIG-IP 設定方法

此教學課程涵蓋具有簡單按鈕範本的引導式設定 16.1。 使用「簡易按鈕」時,系統管理員不會在 Microsoft Entra ID 與 BIG-IP 之間切換,啟用 SHA 服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 BIG-IP APM 與 Microsoft Entra ID 之間的整合可確保應用程式支援身分識別同盟、SSO 和 Microsoft Entra 條件式存取,以減少系統管理額外負荷。

注意

將本文中的範例字串或值取代為您環境的字串或值。

註冊簡單按鈕

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

Microsoft 身分識別平台會信任用戶端或服務,且兩者皆可存取 Microsoft Graph。 此動作會建立租用戶應用程式註冊,以授權 [簡單按鈕] 存取 Graph。 透過這些權限,BIG-IP 會推送組態,以建立SAML SP 實例與已發行應用程式的之間的信任,並將 Microsoft Entra ID 作為 SAML IdP。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[應用程式]>[應用程式註冊] > [新增註冊]

  3. 輸入應用程式的顯示名稱。 例如,F5 BIG-IP 簡單按鈕。

  4. 指定誰可以使用應用程式 > [僅此組織目錄中的帳戶]

  5. 選取註冊

  6. 瀏覽至 [API 權限],然後授權下列 Microsoft Graph 應用程式權限

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. 為您的組織授與管理員同意。

  8. 在 [憑證與祕密] 上,產生新的用戶端密碼。 記下此祕密。

  9. 從 [概觀] 中,記下 [用戶端識別碼] 和 [租用戶識別碼]。

設定簡單按鈕

起始 APM 的「引導式設定」,以啟動「簡易按鈕範本」。

  1. 瀏覽至 [存取]>[引導式設定]>[Microsoft整合],然後選取 [Microsoft Entra 應用程式]

  2. 檢閱設定步驟,然後選取 [下一步]

  3. 若要發佈您的應用程式,請遵循後續步驟。

    在 [引導式設定] 上設定流程的螢幕擷取畫面。

組態屬性

[設定屬性] 索引標籤會建立 BIG-IP 應用程式設定和 SSO 物件。 Azure 服務帳戶詳細資料 區段可以代表您稍早在 Microsoft entra 租用戶中註冊的應用程式型用戶端。 這些設定允許 BIG-IP OAuth 用戶端在您的租用戶中,與您一般會手動設定的 SSO 屬性註冊 SAML SP。 簡單按鈕會為每個針對 SHA 發佈並啟用的 BIG-IP 服務執行此動作。

其中有些設定為全域,可以重複使用以發佈更多應用程式,減少部署時間和精力。

  1. 提供唯一的 [設定名稱]
  2. 啟用單一登入 (SSO) 與 HTTP 標頭
  3. 輸入您在租用戶中註冊簡單按鈕用戶端時所記錄的 [租用戶識別碼]、[用戶端識別碼] 和 [用戶端密碼]
  4. 確認 BIG-IP 連線至您的租用戶。
  5. 選取 [下一步]。

服務提供者

服務提供者設定為透過受 SHA 保護的應用程式 SAML SP 執行個體屬性。

  1. 針對主機,輸入要保護的應用程式的公用完整網域名稱 (FQDN)。

  2. 針對實體識別碼,輸入 Microsoft Entra ID 使用此識別碼來識別要求權杖的 SAML SP。

    [服務提供者] 上 [主機和實體識別碼] 項目的螢幕擷取畫面。

選擇性 [安全性設定] 來指定 Microsoft Entra ID 是否將發行的 SAML 判斷提示加密。 加密 Microsoft Entra ID 與 BIG-IP APM 之間的判斷提示,可更確保內容權杖無法攔截,也無法危害個人或公司資料。

  1. 從 [判斷提示解密私密金鑰] 清單中,選取 [新建]

[安全性設定] 上 [新建] 選項的螢幕擷取畫面。

  1. 選取 [確定]。 [匯入 SSL 憑證和金鑰] 對話方塊隨即出現。
  2. 選取 [PKCS 12 (IIS)] 以入您的憑證和私密金鑰。
  3. 佈建之後,關閉瀏覽器索引標籤以返回主要索引標籤。

[匯入類型]、[憑證和金鑰名稱]、[憑證和金鑰來源] 及 [密碼] 項目的螢幕擷取畫面。

  1. 核取 [啟用加密的判斷提示]
  2. 如果您已啟用加密,從 [判斷提示解密私密金鑰] 清單中選取您的憑證。 這是 BIG-IP APM 用來解密 Microsoft Entra 判斷提示的憑證私密金鑰。
  3. 如果您已啟用加密,從 [判斷提示解密憑證] 清單中選取您的憑證。 BIG-IP 會將此憑證上傳至 Microsoft Entra ID,將發行的 SAML 判斷提示加密。

[判斷提示解密私密金鑰和判斷提示解密憑證] 項目的螢幕擷取畫面。

Microsoft Entra ID

本節會定義屬性,以在 Microsoft Entra 租用戶中手動設定新的 BIG-IP SAML 應用程式。 簡單按鈕具有適用於 Oracle PeopleSoft、Oracle E-Business Suite、Oracle JD Edwards、SAP 企業資源計劃 (ERP) 的應用程式範本,以及適用於其他應用程式的 SHA 範本。

在此案例中,選取 [F5 BIG-IP APM Microsoft Entra ID 整合 > 新增]

Azure 設定

  1. 輸入 BIG-IP 在您 Microsoft Entra 租用戶中所建立應用程式的 [顯示名稱],以及在 MyApps 入口網站上的圖示。

  2. 將 [登入 URL (選用)] 保留空白,以啟動 IdP 起始的登入。

  3. 選取 [簽署金鑰] 和 [簽署憑證] 旁邊的 [重新整理] 圖示,以找出您匯入的憑證。

  4. 簽署金鑰複雜密碼中,請輸入憑證密碼。

  5. 啟用簽署選項 (選擇性) 以確保 BIG-IP 接受由 Microsoft Entra ID 簽署的權杖和宣告。

    [SAML 簽署憑證] 上 [簽署金鑰]、[簽署憑證] 和 [簽署金鑰複雜密碼] 的螢幕擷取畫面。

  6. 使用者和使用者群組會從您的 Microsoft Entra 租用戶動態查詢,並授權對應用程式的存取權限。 新增用於測試的使用者或群組,否則所有存取會被拒絕。

    [使用者和使用者群組] 上 [新增] 選項的螢幕擷取畫面。

使用者屬性與宣告

使用者通過驗證時,Microsoft Entra ID 會使用可識別使用者的一組預設宣告和屬性來發出 SAML 權杖。 [使用者屬性與宣告] 索引標籤會顯示要對新應用程式發出的預設宣告。 使用其來設定更多宣告。

基礎結構是以內部和外部使用的 .com 網域尾碼為基礎。 不需要更多屬性,才能達成功能 Kerberos 限制委派單一登入 (KCD SSO) 實作。 請參閱進階教學課程,以了解多個網域或使用者使用替代後置詞登入的案例。

使用者屬性與宣告的螢幕擷取畫面。

其他使用者屬性

[其他使用者屬性] 索引標籤會支援各種分散式系統,而這些系統需要其他目錄中所儲存的屬性來進行工作階段增強。 從輕量型目錄存取通訊協定 (LDAP) 來源擷取的屬性可以插入為 SSO 標頭,以協助根據角色、合作夥伴識別碼等來控制存取權。

注意

這項功能與 Microsoft Entra ID 沒有關聯,而是屬性的另一個來源。

條件式存取原則

條件式存取原則會在 Microsoft Entra 預先驗證後強制執行,以根據裝置、應用程式、位置和風險訊號來控制存取。

可用原則檢視會顯示條件式存取原則,而不需以使用者為基礎的動作。

[選取的原則] 檢視會顯示以雲端應用程式為目標的原則。 您無法取消選取在租用戶層級強制執行的原則,也無法將它們移至 [可用的原則] 列表。

選取要套用至所發佈應用程式的原則:

  1. 從 [可用原則] 清單中選取原則。
  2. 選取 [向右箭號],然後將其移至 [選取的原則] 清單。

選取的原則需要核取 [包含] 或 [排除] 選項。 如果同時核取這兩個選項,則不會強制執行選取的原則。

[條件式存取原則] 上 [選取的原則] 下 [已排除條件式存取原則]的螢幕擷取畫面。

注意

切換至此索引標籤之後,原則清單會出現一次。您可以使用 [重新整理] 按鈕,手動強制精靈查詢您的租用戶,但此按鈕會出現在部署應用程式之後。

虛擬伺服器屬性

虛擬伺服器是一種 BIG-IP 資料平面物件,由接聽用戶端對應用程式要求的虛擬 IP 位址來表示。 收到的流量都會根據與虛擬伺服器相關聯的 APM 設定檔進行處理和評估。 流量會根據原則進行導向。

  1. 輸入 [目的地位址],這是 BIG-IP 可用來接收用戶端流量的可用 IPv4/IPv6 位址。 網域名稱伺服器 (DNS) 中有對應的記錄,讓用戶端能夠將 BIG-IP 已發佈應用程式的外部 URL 解析為此 IP,而非應用程式。 使用測試 PC localhost DNS 進行測試是可接受的。

  2. 針對 [服務連接埠] 輸入 HTTPS 的 443。

  3. 核取 [啟用重新導向連接埠],然後輸入 [重新導向連接埠],以將傳入的 HTTP 用戶端流量重新導向至 HTTPS。

  4. 用戶端 SSL 設定檔會啟用 HTTPS 的虛擬伺服器,因此用戶端連線會透過傳輸層安全性 (TLS) 加密。 選取您在必要條件期間建立的 [用戶端 SSL 設定檔],或在測試時保留預設值。

    [虛擬伺服器屬性] 上 [目的地位址]、[服務埠] 及 [通用] 項目的螢幕擷取畫面。

集區屬性

[應用程式集區] 索引標籤會顯示受 BIG-IP 保護的服務,而這些服務以應用程式伺服器的集區表示。

  1. 針對 [選取集區],建立新的集區,或選取集區。

  2. 選擇 [負載平衡方法],例如循環配置資源。

  3. 針對 [集區伺服器] 選取伺服器節點,或為裝載標頭型應用程式的後端節點指定 IP 和連接埠。

    [集區屬性] 上 [IP 位址/節點名稱和連接埠] 項目的螢幕擷取畫面。

後端應用程式會在 HTTP 連接埠 80 上執行。 如果您的應用程式是在 HTTPS 上執行,您可以將連接埠切換為 443。

單一登入和 HTTP 標頭

啟用 SSO 可讓使用者存取 BIG-IP 已發佈的服務,而不需要輸入認證。 [簡單按鈕精靈] 支援 Kerberos、OAuth 持有人和 HTTP 授權標頭以進行 SSO。 如需這些指示,請使用您建立的 Kerberos 委派帳戶。

啟用 [Kerberos] 並 [顯示進階設定],以輸入下列內容:

  • 使用者名稱來源:快取以進行 SSO 的慣用使用者名稱。 您可以提供工作階段變數作為使用者識別碼的來源,但 session.saml.last.identity 效果最佳,因為其會保留包含已登入使用者識別碼的 Microsoft Entra 宣告。

  • 使用者領域來源:如果使用者網域與 BIG-IP 的 Kerberos 領域不同,則為必要項目。 在此情況下,APM 工作階段變數包含已登入的使用者網域。 例如,session.saml.last.attr.name.domain

    單一登入和 HTTP 標頭上 [使用者名稱來源] 項目的螢幕擷取畫面。

  • KDC:如果 DNS 已設定且有效率,網域控制站 IP 或 FQDN

  • UPN 支援:針對 APM 啟用此選項以使用使用者主體名稱 UPN 進行 Kerberos 票證

  • SPN 模式:使用 HTTP/%h 來通知 APM 使用用戶端要求的主機標頭,並建置要求其 Kerberos 權杖的服務主體名稱 (SPN)

  • 傳送授權:針對協商驗證的應用程式停用,而非在第一個要求中接收 Kerberos 權杖。 例如,Tomcat。

    SSO 方法設定項目螢幕擷取畫面

工作階段管理

BIG-IP 的工作階段管理設定會定義使用者工作階段終止或繼續的條件、使用者和 IP 位址的限制,以及對應的使用者資訊。 請參閱 AskF5 文章 K18390492: 安全性 | BIG-IP APM 作業指南,以取得設定詳細資料。

未涵蓋的內容是單一登出 (SLO) 功能,可確保在使用者登出時終止 IdP、BIG-IP 及使用者代理程式之間的工作階段。當您的 [簡易] 按鈕在您的 Microsoft Entra 租用戶中具現化 SAML 應用程式時,它會將 APM SLO 端點填入登出 URL。 從 Microsoft Entra 我的應用程式入口網站起始的 IdP 起始登出會終止 BIG-IP 與用戶端之間的工作階段。

從您的租用戶匯入已發佈應用程式的 SAML 同盟中繼資料,以將 Microsoft Entra ID 的 SAML 登出端點提供給 APM。 此動作可確保 SP 起始的登出會終止用戶端與 Microsoft Entra ID 之間的工作階段。 APM 需要知道使用者何時登出應用程式。

如果 BIG-IP Webtop 入口網站存取已發佈的應用程式,則 eAPM 會處理登出以呼叫 Microsoft Entra 登出端點。 但當考慮到未使用 BIG-IP webtop 入口網站的案例時,使用者無法指示 APM 登出。即使使用者登出應用程式,BIG-IP 也毫無警示。 因此,請考慮由 SP 起始的登出,以確保工作階段安全地終止。 您可以將 SLO 函式新增至應用程式的 [登出] 按鈕,以便將用戶端重新導向至 Microsoft Entra SAML 或 BIG-IP 登出端點。

您可以在 [應用程式註冊 > 端點] 中找到您租用戶的 SAML 登出端點 URL。

如果您無法變更應用程式,請考慮讓 BIG-IP 接聽應用程式登出呼叫,並在偵測到要求時觸發 SLO。 請參閱 Oracle PeopleSoft SLO 指導,以瞭解 BIG-IP iRules。 如需使用 BIG-IP iRules 的詳細資訊,請參閱:

摘要

本節是設定的明細。

選取 [部署] 以認可設定,並確認應用程式位於企業應用程式的租用戶清單中。

KDC 組態

若要 BIG-IP APM 代表使用者執行後端應用程式的單一登入,請在目標網域中設定金鑰發佈中心 (KCD)。 委派驗證需要您使用網域服務帳戶佈建 BIG-IP APM。

如果您的 APM 服務帳戶和委派已設定,請略過本節。 否則,請使用系統管理員帳戶登入網域控制站。

在此案例中,應用程式託管於伺服器 APP-VM-01,並以名為 web_svc_account 的服務帳戶執行,而非電腦的身分識別。 指派給 APM 的委派服務帳戶是 F5-BIG IP。

建立 BIG-IP APM 委派帳戶

BIG-IP 不支援群組受管理的服務帳戶 (gMSA),因此,請建立 APM 服務帳戶的標準使用者帳戶。

  1. 輸入下列 PowerShell 命令。 將 UserPrincipalNameSamAccountName 值取代為您環境的值。 如需更高的安全性,請使用符合應用程式主機標頭的專用服務主體名稱 (SPN)。

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    注意

    使用主機時,主機上執行的任何應用程式都會委派帳戶,而當使用 HTTPS 時,它只允許 HTTP 通訊協定相關作業。

  2. 為 APM 服務帳戶建立一個服務主體名稱 (SPN),以便在委派至 Web 應用程式服務帳戶時使用:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{ Add="host/f5-big-ip.contoso.com" }

    注意

    須以 UserPrincipleName (host/name.domain@domain) 或 ServicePrincipleName (host/name.domain) 的格式包含主機/元件。

  3. 指定目標 SPN 之前,請先檢視其 SPN 設定。 請確保 SPN 顯示在 APM 服務帳戶上。 Web 應用程式的 APM 服務帳戶委派:

    • 請確認您的 Web 應用程式在電腦內容或專用服務帳戶中執行。

    • 針對電腦內容,使用下列命令來查詢帳戶物件,以查看其定義的服務主體名稱。 將 <name_of_account> 取代為您環境的帳戶。

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      例如:Get-User -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • 針對專用的服務帳戶,使用下列命令來查詢帳戶物件,以查看其定義的服務主體名稱。 將 <name_of_account> 取代為您環境的帳戶。

      Get-User -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      例如:

      Get-Computer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. 如果應用程式是在機器內容中執行,請新增服務主體名稱 (SPN) 至電腦帳戶物件:

    Set-Computer -Identity APP-VM-01 -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

定義服務主體名稱 (SPN) 後,請在該服務建立 APM 服務帳戶委派的信任。 設定會因 BIG-IP 執行個體和應用程式伺服器的拓撲而有所不同。

在相同網域中設定 BIG-IP 和目標應用程式

  1. 設定 APM 服務帳戶的信任以委派驗證:

    Get-User -Identity f5-big-ip | Set-AccountControl -TrustedToAuthForDelegation $true

  2. APM 服務帳戶必須知道其委託的目標服務主體名稱 (SPN)。 將目標服務主體名稱 (SPN) 設為執行 Web 應用程式的服務帳戶:

    Set-User -Identity f5-big-ip -Add @{ 'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com') }

    注意

    您可以透過嵌入網域控制站的使用者和電腦、Microsoft 管理主控台 (MMC) 來完成這些工作。

在不同網域中的 BIG-IP 和應用程式

在 Windows Server 2012 版本和更新版本中,跨網域 KCD 會使用以資源為基礎的限制委派 (RBCD)。 服務的限制已從網域管理員移轉給服務管理員。 此委派可讓後端服務管理員允許或拒絕 SSO。 這種情況會在組態委派中建立不同的方法,可由 PowerShell 進行。

您可以應用程式服務帳戶 (電腦或專用服務帳戶) 的 PrincipalsAllowedToDelegateToAccount 屬性來授與 BIG-IP 的委派。 在此案例中,請在與應用程式相同網域中的網域控制站 (Windows Server 2012 R2 或更新版本) 上,使用下列 PowerShell 命令。

使用針對 Web 應用程式服務帳戶定義的服務主體名稱 (SPN)。 如需更高的安全性,請使用符合應用程式主機標頭的專用服務主體名稱 (SPN)。 例如,此範例的 Web 應用程式主機標頭是 myexpenses.contoso.com,所以您要新增 HTTP/myexpenses.contoso.com 至應用程式服務帳戶物件:

Set-User -Identity web_svc_account -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

針對下列命令,請注意內容。

如果 web_svc_account 服務在使用者帳戶的內容中執行,請使用下列命令:

$big-ip= Get-Computer -Identity f5-big-ip -server dc.contoso.com

``Set-User -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount`

$big-ip Get-User web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

如果 web_svc_account 服務在電腦帳戶的內容中執行,請使用下列命令:

$big-ip= Get-Computer -Identity f5-big-ip -server dc.contoso.com

Set-Computer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount

$big-ip Get-Computer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

如需詳細資訊,請參閱跨網域的 Kerberos 限制委派

應用程式檢視

從瀏覽器中,連線至應用程式的外部 URL,或在 Microsoft MyApps 入口網站中選取 [應用程式] 的圖示。 向 Microsoft Entra ID 進行驗證之後,系統會將您重新導向至應用程式的 BIG-IP 虛擬伺服器,並以 SSO 登入。

應用程式外部 URL 的螢幕擷取畫面

若要提高安全性,使用此模式的組織可以封鎖對應用程式的直接存取,強制透過 BIG-IP 的絕對路徑。

Microsoft Entra B2B 來賓存取

透過將來賓身分識別從您的 Microsoft Entra 租用戶流動至應用程式的授權用目錄,此案例會支援 Microsoft Entra B2B 來賓存取。 如果沒有 AD 中來賓物件的本機表示法,BIG-IP 無法收到 KCD SSO 到後端應用程式的 Kerberos 票證。

進階部署

引導式設定範本缺乏達成某些需求的彈性。 針對這些案例,請參閱 Kerberos SSO 的進階設定

或者,在 BIG-IP 中,您可以停用引導式設定嚴格管理模式。 雖然大部分的設定都是透過精靈型範本自動化,但您可以手動變更您的設定。

您可以導覽至 [存取] > [引導式設定],然後在您應用程式設定的資料列最右側選取小型 [掛鎖] 圖示。

掛鎖選項的螢幕擷取畫面。

此時,無法使用精靈 UI 進行變更,但會解除鎖定與應用程式已發佈執行個體相關聯的所有 BIG-IP 物件,以進行管理。

注意

重新啟用 strict 模式和部署設定會覆寫引導式設定 UI 之外執行的設定。 因此,我們建議用於生產服務的進階設定方法。

疑難排解

如果要針對 Kerberos SSO 問題進行疑難排解,請注意下列概念。

  • Kerberos 具有時效性,因此其會要求伺服器和用戶端設定為正確的時間,並在可能的情況下,會與可靠的時間來源同步
  • 確保網域控制站和 Web 應用程式的主機名稱可在 DNS 中解析
  • 確定您 AD 環境中沒有重複的 SPN:在網域 PC 的命令列執行下列查詢:setspn -q HTTP/my_target_SPN

您可以參考我們的應用程式 Proxy 指引,驗證是否已針對 KCD 設定 IIS 應用程式。 並請參閱 AskF5 文章 Kerberos 單一登入方法

記錄分析:增加詳細程度

使用 BIG-IP 記錄來隔離與連線能力、SSO、原則違規或變數對應設定錯誤的問題。 增加記錄詳細程度層級來開始疑難排解。

  1. 導覽至 [存取原則] > [概觀] > [事件記錄檔] > [設定]
  2. 選取已發佈應用程式的資料列,然後 [編輯] > [存取系統記錄檔]
  3. 從 SSO 清單中選取 [偵錯],然後選取 [確定]

重現問題並檢查記錄。 完成時,請還原功能,因為詳細資訊模式會產生大量資料。

BIG-IP 錯誤頁面

如果 BIG-IP 錯誤出現在 Microsoft Entra 預先驗證之後,問題可能與從 Microsoft Entra ID 到 BIG-IP 的 SSO 有關。

  1. 導覽至 [存取] > [概觀] > [存取報告]
  2. 若要查看線索的記錄,請執行過去一小時的報告。
  3. 使用 [檢視工作階段變數] 連結有助於了解 APM 是否收到 Microsoft Entra ID 的預期宣告。

後端要求

如果未出現錯誤頁面,則問題可能與後端要求有關,或與從 BIG-IP 到應用程式的 SSO 有關。

  1. 瀏覽至 [存取原則] > [概觀] > [作用中的工作階段]
  2. 選取作用中工作階段的連結。 此位置中的 [檢視變數] 連結有助於判斷根本原因 KCD 問題,特別是 BIG-IP APM 無法從工作階段變數取得正確的使用者和網域識別碼時。

如需詳細資訊,請參閱