Tutorial: Konfigurieren von Access Policy Manager von F5 BIG-IP für headerbasiertes einmaliges Anmelden

In diesem Artikel erfahren Sie, wie Sie sicheren Hybridzugriff (Secure Hybrid Access, SHA) mit einmaligem Anmelden (Single Sign-On, SSO) für headerbasierte Anwendungen mithilfe der erweiterten BIG-IP-Konfiguration von F5 implementieren.

Das Konfigurieren veröffentlichter BIG-IP-Anwendungen in Azure AD bietet zahlreiche Vorteile:

  • Verbesserte Zero Trust-Governance durch die Vorauthentifizierung in Azure AD und bedingten Zugriff

  • Vollständiges einmaliges Anmelden (Single Sign-On, SSO) zwischen Azure AD und veröffentlichten BIG-IP-Diensten

  • Verwalten der Identitäten und des Zugriffs über eine zentrale Steuerungsebene: das Azure-Portal

Informationen zu allen Vorteilen finden Sie im Abschnitt F5-BIG-IP- und Azure-AD-Integration und Was bedeutet ein anwendungsbasierter Zugriff und einmaliges Anmelden bei Azure AD.

Beschreibung des Szenarios

In diesem Szenario verwenden wir eine Legacyanwendung, die HTTP-Autorisierungsheader verwendet, um den Zugriff auf geschützte Inhalte zu steuern.

Im Idealfall sollte der Anwendungszugriff direkt von Azure AD verwaltet werden. Da es sich aber um eine Legacyanwendung handelt, steht kein modernes Authentifizierungsprotokoll zur Verfügung. Die Modernisierung wäre mit erheblichem Arbeits- und Zeitaufwand verbunden und würde unvermeidbare Kosten und potenzielle Downtime nach sich ziehen. Stattdessen wird eine zwischen dem öffentlichen Internet und der internen Anwendung bereitgestellte BIG-IP-Instanz verwendet, um den eingehenden Zugriff auf die Anwendung zu steuern.

Mit einer BIG-IP-Instanz vor der Anwendung können wir den Dienst mit Azure AD-Vorauthentifizierung und headerbasiertem einmaligem Anmelden überlagern und so die Gesamtsicherheit der Anwendung erheblich verbessern.

Szenarioarchitektur

Die sichere Hybridzugriffslösung für dieses Szenario besteht aus den folgenden Komponenten:

  • Anwendung: Veröffentlichter BIG-IP-Dienst, der durch SHA von Azure AD geschützt werden soll.

  • Azure AD: SAML-IdP (Security Assertion Markup Language, Identity Provider), der für die Überprüfung der Benutzeranmeldeinformationen, für den bedingten Zugriff (Conditional Access, CA) und für das einmalige Anmelden (Single Sign-On, SSO) bei BIG-IP zuständig ist. Über SSO werden BIG-IP von Azure AD alle erforderlichen Sitzungsattribute zur Verfügung gestellt – einschließlich Benutzer-IDs.

  • BIG-IP: Reverse Proxy und SAML Service Provider (SP) für die Anwendung, wobei die Authentifizierung an den SAML IdP delegiert wird, bevor ein headerbasiertes einmaliges Anmelden für die Backend-Anwendung durchgeführt wird.

Screenshot shows the architecture flow diagram

Schritt BESCHREIBUNG
1. Der Benutzer stellt eine Verbindung mit dem SAML-Dienstanbieterendpunkt (BIG-IP) der Anwendung her.
2. Die BIG-IP APM-Zugriffsrichtlinie leitet den Benutzer zu Azure AD (SAML-Identitätsanbieter) um.
3. Azure AD führt die Vorauthentifizierung des Benutzers durch und wendet ggf. erzwungene ZS-Richtlinien an.
4. Der Benutzer wird zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das einmalige Anmelden wird unter Verwendung des ausgestellten SAML-Tokens durchgeführt.
5. BIG-IP fügt Azure AD-Attribute als Header in die Anforderung für die Anwendung ein.
6. Die Anwendung autorisiert die Anforderung und gibt Nutzdaten zurück.

Voraussetzungen

Vorherige Erfahrungen mit BIG-IP sind nicht erforderlich, aber Sie benötigen:

  • Eine kostenloses Abonnement (oder höher) von Azure AD

  • Eine vorhandene BIG-IP-Adresse oder Bereitstellen einer BIG-IP Virtual Edition (VE) in Azure

  • Eine der folgenden F5 BIG-IP-Lizenz-SKUs

    • F5 BIG-IP® Best Bundle

    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM)

    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine bereits vorhandene Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)

    • 90-Tage-Testlizenz für sämtliche Features von BIG-IP

  • Benutzeridentitäten, die aus dem lokalen Verzeichnis mit Azure AD synchronisiert wurden

  • Ein Konto mit den Berechtigungen eines Azure AD-Anwendungsadministrators

  • SSL-Zertifikat zum Veröffentlichen von Diensten über HTTPS oder Verwenden von Standardzertifikaten für Testzwecke

  • Eine vorhandene headerbasierte Anwendung oder Einrichten einer IIS-Head-App für Testzwecke

BIG-IP-Konfigurationsmethoden

Es gibt viele Methoden, BIG-IP für dieses Szenario zu konfigurieren, darunter zwei vorlagenbasierte Optionen und eine erweiterte Konfiguration. In diesem Artikel wird der fortgeschrittene Ansatz behandelt, der eine flexiblere Methode zur Implementierung von SHA bietet, indem alle BIG-IP-Konfigurationsobjekte manuell erstellt werden. Dieser Ansatz kann auch für Szenarien verwendet werden, die nicht von den Vorlagen für die geführte Konfiguration abgedeckt sind.

Hinweis

Alle Beispielzeichenfolgen oder -werte in diesem Artikel müssen durch Angaben aus Ihrer tatsächlichen Umgebung ersetzt werden.

Das Einrichten einer SAML-Verbundvertrauensstellung zwischen BIG-IP APM und Azure AD ist einer der ersten Schritte bei der Implementierung von SHA. Es legt die Integration fest, die für BIG-IP erforderlich ist, um die Vorab-Authentifizierung und bedingten Zugriff an Azure AD zu übergeben, bevor Zugriff auf den veröffentlichten Dienst gewährt wird.

  1. Melden Sie sich beim Azure-AD-Portal mit einem Konto mit Administratorrechten für die Anwendung an.

  2. Wählen Sie im linken Navigationsbereich den Dienst Azure Active Directory aus.

  3. Navigieren Sie zu Unternehmensanwendungen, und wählen Sie auf dem oberen Menüband + Neue Anwendung aus.

  4. Suchen Sie im Katalog nach F5, und wählen Sie die Azure AD-Integration für F5 BIG-IP APM aus.

  5. Geben Sie einen Namen für die Anwendung an, und wählen Sie dann Hinzufügen/Erstellen aus, um sie Ihrem Mandanten hinzuzufügen. Der Name sollte den jeweiligen Dienst widerspiegeln,

Konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) von Azure AD

  1. Navigieren Sie in der Ansicht der Eigenschaften der neuen F5-Anwendung zu Manage>Single sign-on (Verwalten > Einmaliges Anmelden).

  2. Wählen Sie auf der Seite Methode für einmaliges Anmelden auswählen die Option SAML aus und überspringen Sie die Aufforderung zum Speichern der Einstellungen für einmaliges Anmelden, indem Sie Nein, ich speichere es später auswählen.

  3. Wählen Sie im Menü Einmaliges Anmelden (SSO) mit SAML einrichten das Stiftsymbol für Grundlegende SAML-Konfiguration aus, um die folgenden Informationen anzugeben:

    a. Ersetzen Sie die vordefinierte Bezeichner-URL durch die URL für Ihren veröffentlichten BIG-IP-Dienst. Zum Beispiel, https://mytravel.contoso.com

    b. Gehen Sie mit der Antwort-URL genauso vor, aber geben Sie den Pfad für den SAML-Endpunkt von APM an. Zum Beispiel, https://mytravel.contoso.com/saml/sp/profile/post/acs

    Hinweis

    In dieser Konfiguration würde der SAML-Fluss im IdP-initiierten Modus arbeiten, in dem Azure AD dem Benutzer eine SAML-Assertion ausstellt, bevor er an den BIG-IP-Serviceendpunkt für die Anwendung weitergeleitet wird. Big-IP APM unterstützt sowohl den IdP- als auch den SP-initiierten Modus.

    c. Geben Sie für Logout URI den SLO-Endpunkt (Single Logout, einmaliges Abmelden) des BIG-IP APM ein, der durch den Hostheader des veröffentlichten Diensts vorangestellt wird. Durch die Bereitstellung eines SLO-URI wird sichergestellt, dass die BIG-IP-APM-Sitzung des Benutzers beendet wurde, nachdem er sich von Azure AD abgemeldet hat. Zum Beispiel, https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Screenshot shows the basic saml configuration

    Hinweis

    Von TMOS v16 wurde der SAML-SLO-Endpunkt in /saml/sp/profile/redirect/slo geändert.

  4. Wählen Sie vor dem Beenden der SAML-Konfigurations-Karte Speichern aus und überspringen Sie die SSO-Testaufforderung.

  5. Wählen Sie das Stiftsymbol aus, um Benutzerattribute & Ansprüche > + Neuen Anspruch hinzufügen zu bearbeiten.

  6. Legen Sie die Anspruchseigenschaften wie folgt fest, und wählen Sie dann Speichern aus.

    Eigenschaft BESCHREIBUNG
    Name Employeeid
    Quellattribut user.employeeid

    Screenshot shows manage claims configuration

  7. Wählen Sie + Gruppenanspruch hinzufügen und dann der Anwendung zugewiesene Gruppen>Quellattribut>sAMAccountName (sAMAKontoname) aus.

    Screenshot shows group claims configuration

  8. Speichern Sie die Konfiguration und schließen Sie die Karte.

    Beachten Sie die Eigenschaften des Abschnitts Benutzerattribute & Ansprüche. Azure AD gibt Benutzern diese Eigenschaften für die BIG-IP-APM-Authentifizierung und das einmalige Anmelden für die Back-End-Anwendung aus:

    Screenshot shows user attributes and claims configuration

    Sie können auch andere spezifische Ansprüche hinzufügen, die Ihre veröffentlichte BIG-IP-Anwendung möglicherweise als Header erwartet. Ansprüche, die zusätzlich zum Standardsatz definiert werden, werden nur ausgegeben, wenn sie in Azure AD vorhanden sind. Ebenso müssen Mitgliedschaften von Rollen oder Gruppen im Verzeichnis auch für ein Benutzerobjekt in Azure AD definiert werden, bevor sie als Anspruch ausgestellt werden können.

  9. Wählen Sie im Abschnitt SAML-Signaturzertifikat die Schaltfläche Downloadaus, um die Datei Verbund-XML-Metadaten auf Ihrem Computer zu speichern.

    Screenshot shows saml signing certificate

Von Azure AD erstellte SAML-Signaturzertifikate haben eine Lebensdauer von 3 Jahren und sollten mithilfe des veröffentlichten Leitfadens verwaltet werden.

Azure AD-Autorisierung

Standardmäßig gibt Azure AD nur Token für Benutzer aus, denen der Zugriff auf eine Anwendung gewährt wurde.

  1. Wählen Sie in der Konfigurationsansicht der Anwendung die Option Benutzer und Gruppen aus.

  2. Wählen Sie +Benutzer hinzufügen und anschließend auf dem Blatt Zuweisung hinzufügen die Option Benutzer und Gruppen aus.

  3. Fügen Sie im Dialogfeld Benutzer und Gruppen die Gruppen von Benutzern hinzu, die für den Zugriff auf die interne headerbasierte Anwendung autorisiert sind. Wählen Sie danach Auswählen>Zuweisen aus.

Damit ist der Teil der SAML-Verbundvertrauensstellung in Azure AD abgeschlossen. Der BIG-IP APM kann nun so eingerichtet werden, dass die interne Webanwendung veröffentlicht und mit den entsprechenden Eigenschaften konfiguriert wird, um die Vertrauensstellung für die SAML-Vorabauthentifizierung abzuschließen.

Erweiterte Konfiguration

SAML-Konfiguration

In den folgenden Schritten werden der BIG-IP-SAML-Dienstanbieter und die entsprechenden SAML-IdP-Objekte erstellt, die zum Abschließen des Verbunds der veröffentlichten Anwendung mit Azure AD erforderlich sind.

  1. Wählen Sie Access>Federation>SAML Service Provider>Local SP Services>Create aus.

    Screenshot shows saml service provider create

  2. Geben Sie einen Namen und genau dieselbe Entitäts-ID an, die in Azure AD zuvor definiert wurde.

    Screenshot shows new saml service provider service

    Die Einstellungen für den SP-Namen sind nur erforderlich, wenn die Entitäts-ID nicht exakt mit dem Teil des Hostnamens der veröffentlichten URL übereinstimmt oder wenn kein reguläres Format für die Hostnamen-URL verwendet wird. Geben Sie das externe Schema und den Hostnamen der zu veröffentlichenden Anwendung an, wenn die Entitäts-ID urn:mytravel:contosoonline ist.

  3. Scrollen Sie nach unten zum neuen SAML-SP-Objekt und wählen Sie IDP-Connectors binden/trennen (Bind/UnBind IDP Connectors) aus.

    Screenshot shows new saml service provider object connectors

  4. Wählen Sie Create New IDP Connector (Neuen IDP-Connector erstellen) und dann im Dropdownmenü den Eintrag From Metadata (Aus Metadaten) aus.

    Screenshot shows edit new saml service idp

  5. Navigieren Sie zur XML-Datei der Verbundmetadaten, die Sie zuvor heruntergeladen haben, und geben Sie für das APM-Objekt, das den externen SAML-IdP darstellt, einen Identitätsanbieternamen (Identity Provider Name) an. Zum Beispiel, MyTravel_AzureAD

    Screenshot shows new idp connector

  6. Wählen Sie Neue Zeile hinzufügen aus, um den neuen SAML IdP-Connectorund dann Update auszuwählen.

    Screenshot shows how to update idp connector

  7. Wählen Sie OK, um die Einstellungen zu speichern.

    Screenshot shows saving the settings

Konfiguration der Header-SSO

Erstellen Sie ein APM-SSO-Objekt zum Durchführen des einmaligen Anmeldens von Headern für die Back-End-Anwendung.

  1. Wählen Sie Zugriff>Zugriffsprofile/Richtlinien>pro Anforderungsrichtlinien>Erstellen aus.

  2. Geben Sie einen eindeutigen Profilnamen an, fügen Sie unter Akzeptierte Sprache mindestens eine Sprache hinzu, und wählen Sie dann Fertigstellen aus. Beispiel: SSO_Headers

    Screenshot shows header configuration

  3. Wählen Sie den Link Bearbeiten für die neue Richtlinie pro Anforderung aus, die Sie soeben erstellt haben.

    Screenshot shows edit per-request policy

  4. Nachdem der Editor für visuelle Richtlinien gestartet wurde, wählen Sie das Symbol + neben dem Fallback aus.

    Screenshot shows visual policy editor

  5. Wechseln Sie im Popup-Fenster zur Registerkarte Universell, um HTTP-Header>Element hinzufügen auszuwählen.

    Screenshot shows Http header add item

  6. Wählen Sie Neuen Eintrag hinzufügen aus, um drei separate Einträge HTTP-Header-Änderung zu erstellen, indem Sie Folgendes verwenden:

    Eigenschaft Beschreibung
    Headername upn
    Headerwert %{session.saml.last.identity}
    Headername employeeid
    Headerwert %{session.saml.last.attr.name.employeeid}
    Headername group_authz
    Headerwert %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}

    Hinweis

    Bei APM-Sitzungsvariablen, die in geschweiften Klammern definiert sind, wird zwischen Groß- und Kleinschreibung unterschieden. So führt die Eingabe „EmployeeID“ zu einem Attributs-Zuordnungsfehler, wenn der Azure AD-Attributsname als „employeeid“ gesendet wird. Sofern nicht erforderlich, wird empfohlen, alle Attribute in Kleinbuchstaben zu definieren.

    Screenshot shows Http header modify

  7. Wählen Sie anschließend Speichern aus und schließen Sie den Editor für visuelle Richtlinien.

    Screenshot shows per request policy done and save

Konfigurieren von Zugriffsprofilen

Ein Zugriffsprofil bindet viele APM-Elemente, die den Zugriff auf virtuelle BIG-IP-Server verwalten, einschließlich Zugriffsrichtlinien, SSO-Konfiguration und Benutzeroberflächeneinstellungen.

  1. Navigieren Sie zu Zugriff>Zugriffsprofile / Richtlinien>Zugriffsprofile (Pro-Sitzungs-Richtlinien)>Erstellen aus, um die folgenden Informationen anzugeben, und wählen Sie anschließend Fertiggestellt aus:

    Eigenschaft BESCHREIBUNG
    Name MyTravel
    Profiltyp Alle
    Akzeptierte Sprache Fügen Sie mindestens eine Sprache hinzu

    Screenshot shows access profile configuration

  2. Wählen Sie den Link Bearbeiten für das Pro-Sitzungs-Profil aus, das Sie gerade erstellt haben.

    Screenshot shows editing per session profile

  3. Nachdem der Editor für visuelle Richtlinien gestartet wurde, wählen Sie das Symbol + neben dem Fallback aus.

    Screenshot shows how to launch the visual policy editor

  4. Wählen Sie im Popup Authentifizierung>SAML-Authentifizierung>Element hinzufügen (Add item) aus.

    Screenshot shows adding saml authentication

  5. Wählen Sie für die Konfiguration des SAML-Authentifizierungs-SP die Option AAA-Server, um das zuvor von Ihnen erstellte SAML-SP-Objekt zu verwenden, und wählen Sie dann Speichern aus.

    Screenshot shows use aaa server for saml authentication sp

Attributzuordnung

Das Hinzufügen einer LogonID_Mapping-Konfiguration ist zwar optional, ermöglicht aber, dass in der BIG-IP-Liste der aktiven Sitzungen der UPN des angemeldeten Benutzers anstelle einer Sitzungsnummer angezeigt wird Dies ist nützlich für die Analyse von Protokollen oder die Problembehandlung.

  1. Wählen Sie das Symbol + für die Verzweigung SAML Auth Successful (SAML-Authentifizierung erfolgreich) aus.

    Screenshot shows how to create a saml authentication branch

  2. Wählen Sie im Popupfenster Zuweisung>Variable zuweisen>Element hinzufügen aus.

    Screenshot shows how to assign a variable

  3. Geben Sie einen beschreibenden Namen an und wählen Sie im Abschnitt Variable zuweisen die Option Neuen Eintrag hinzufügen>ändern aus. Beispiel: LogonID_Mapping.

    Screenshot shows how to add a new entry

  4. Legen Sie die beiden Variablen so fest, dass Folgendes verwendet wird, und wählen Sie dann Fertiggestellt>Speichern aus:

    Eigenschaft BESCHREIBUNG
    Benutzerdefinierte Variable session.saml.last.identity
    Sitzungsvariable session.logon.last.username
  5. Wählen Sie das Terminal Verweigern des Zugriffsrichtlinien-Zweigs Erfolgreich aus und ändern Sie ihn in Zulassen ab, anschließend Speichern.

  6. Bestätigen Sie diese Einstellungen, indem Sie Zugriffsrichtlinie anwenden (Apply Access Policy) auswählen, und schließen Sie dann die Registerkarte des Editors für visuelle Richtlinien.

Konfiguration des Back-End-Pools

Damit BIG-IP weiß, wohin der Clientdatenverkehr weitergeleitet werden soll, müssen Sie ein APM-Knotenobjekt erstellen, das den Back-End-Server darstellt, der Ihre Anwendung hosten soll, und dann müssen Sie diesen Knoten in einem APM-Pool platzieren.

  1. Wählen Sie Lokaler Datenverkehr > Pools > Poolliste > Erstellen aus, und geben Sie einen Namen für ein Serverpoolobjekt an. Beispiel: MyApps_VMs

    Screenshot shows how apply access policy

  2. Fügen Sie ein Poolmitgliedsobjekt mit den folgenden Angaben hinzu:

    Eigenschaft BESCHREIBUNG
    Node Name (Knotenname) Optionaler Anzeigename für den Server, der die Back-End-Webanwendung hostet
    Adresse IP-Adresse des Servers, der die Anwendung hostet
    Service Port (Dienstport) Der HTTP/S-Port, den die Anwendung abhört

    Screenshot shows how to add pool member object

Hinweis

Integritätsmonitore erfordern eine zusätzliche Konfiguration, die in diesem Tutorial nicht behandelt wird.

Konfiguration des virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse repräsentiert wird und auf Client-Anfragen an die Anwendung wartet. Jeder empfangene Datenverkehr wird verarbeitet und anhand des APM-Zugriffsprofils ausgewertet, das dem virtuellen Server zugeordnet ist, bevor er gemäß den Richtlinienergebnissen und -einstellungen weitergeleitet wird.

  1. Wählen Sie Lokaler Datenverkehr>Virtuelle Server>Liste der virtuellen Server>Erstellen (Local Traffic > Virtual Servers > Virtual Server List > Create) aus.

  2. Geben Sie dem virtuellen Server einen Namen, eine nicht verwendete IP-Adresse IPv4 / IPv6, die der BIG-IP zugewiesen werden kann, um Clientdatenverkehr zu empfangen, und legen Sie denDienstport auf 443 fest.

    Screenshot shows how to add new virtual server

  3. HTTP-Profil: Legen Sie dieses auf http fest.

  4. SSL-Profil (Client) : Aktiviert Transport Layer Security (TLS) und ermöglicht die Veröffentlichung von Diensten über HTTPS. Wählen Sie das Client-SSL-Profil aus, das Sie als Teil der Vorbedingungen erstellt haben, oder belassen Sie die Standardeinstellung, wenn Sie testen.

    Screenshot shows the ssl profile client

  5. Ändern Sie die Option Quelladressenübersetzung in Automatische Zuordnung.

    Screenshot shows the auto map option

  6. Legen Sie unterZugriffsrichtlinie das zuvor erstellte Zugriffsprofil fest. Dadurch werden das Azure AD-SAML-Vorabauthentifizierungsprofil und die Header-SSO-Richtlinie an den virtuellen Server gebunden.

    Screenshot shows how to set the access profile

  7. Legen Sie abschließend den Standardpool auf das Back-End-Poolobjekt fest, das sie im vorherigen Abschnitt erstellt haben, dann wählen Sie Fertiggestellt aus.

    Screenshot shows how to set default pool

Sitzungsverwaltung

Eine BIG-IP-Sitzungsverwaltungseinstellung wird verwendet, um die Bedingungen zu definieren, unter denen Benutzersitzungen beendet oder fortgesetzt werden dürfen, sowie Grenzwerte für Benutzer und IP-Adressen sowie Fehlerseiten festzulegen. Sie können Ihre eigene Richtlinie erstellen, indem Sie auf Zugriffsrichtlinie>Zugriffsprofile klicken und Ihre Anwendung aus der Liste auswählen.

Im Hinblick auf die SLO-Funktionalität wird durch die Definition einer URI für einmaliges Abmelden (Single Log-Out) in Azure AD sichergestellt, dass eine vom IdP initiierte Abmeldung vom MyApps-Portal auch die Sitzung zwischen dem Client und dem BIG-IP-APM beendet. Nach dem Import der Federation-Metadaten der Anwendung stellt xml dem APM den Azure AD SAML-Logout-Endpunkt für SP-initiierte Sign-Outs zur Verfügung. Damit dies wirklich effektiv ist, muss der APM genau wissen, wann sich ein Benutzer abmeldet.

Nehmen wir ein Szenario, in dem ein BIG-IP-Webportal nicht verwendet wird und der Benutzer keine Möglichkeit hat, den APM anzuweisen, sich abzumelden. Selbst wenn sich der Benutzer von der Anwendung selbst abmeldet, ist dies für BIG-IP technisch nicht erkennbar, sodass die Anwendungssitzung problemlos über SSO wiederhergestellt werden kann. Aus diesem Grund muss die SP-initiierte Abmeldesitzung sorgfältig überdingt werden, um sicherzustellen, dass Sitzungen sicher beendet werden, wenn sie nicht mehr benötigt werden.

Eine Möglichkeit, dies zu erreichen, ist das Hinzufügen einer SLO-Funktion zu Ihrer Abmeldeschaltfläche für Anwendungen, damit ihr Client an den Azure AD SAML-Abmeldeendpunkt umgeleitet werden kann. Den SAML-Abmeldeendpunkt für Ihren Mandanten finden Sie unter App Registrations>Endpoints.

Wenn eine Änderung der Anwendung nicht möglich ist, sollte die BIG-IP auf den Abmeldeaufruf der Anwendung warten und bei Erkennung der Anforderung SLO auslösen. Weitere Informationen zur Verwendung von BIG-IP-iRules finden Sie im Abschnitt K42052145 und im Abschnitt K12056.

Zusammenfassung

In diesem letzten Schritt werden alle angewendeten Einstellungen vor Ihrer Bestätigung unterbrochen. Wählen Sie Bereitstellen aus, um alle Einstellungen zu bestätigen, und überprüfen Sie, ob die Anwendung in Ihrem Mandanten erschienen ist.

Ihre Anwendung ist nun veröffentlicht und über SHA zugänglich – entweder direkt über die URL oder über die Anwendungsportale von Microsoft.

Nächste Schritte

Starten Sie als Benutzer einen Browser und stellen Sie eine Verbindung mit der externen URL der Anwendung her oder wählen Sie im Microsoft MyApps-Portal das Symbol der Anwendung aus. Nach der Authentifizierung bei Azure AD werden Sie zum virtuellen BIG-IP-Server für die Anwendung weitergeleitet und durch SSO (einmaliges Anmelden) automatisch angemeldet. Die Ausgabe der eingefügten Header, die von unserer headerbasierten Anwendung angezeigt werden, wird gezeigt.

Screenshot shows the output

Um die Sicherheit zu erhöhen, könnten Organisationen, die dieses Muster verwenden, auch erwägen, den direkten Zugriff auf die Anwendung zu blockieren, sodass ein strikter Pfad über BIG-IP erzwungen wird.

Problembehandlung

Wenn der Zugriff auf die SHA-geschützte Anwendung nicht möglich ist, kann das an verschiedenen Faktoren liegen, z. B. an einer falschen Konfiguration.

  • BIG-IP-Protokolle sind eine hervorragende Informationsquelle zum Filtern aller Authentifizierungs- und SSO-Probleme. Bei der Problembehandlung sollten Sie die Ausführlichkeitsstufe des Protokolls hochsetzen, indem Sie zu Zugriffsrichtlinie>Übersicht>Ereignis-Protokolle>Einstellungen navigieren. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung und dann Edit>Access System Logs (Bearbeiten > Auf Systemprotokolle zugreifen) aus. Wählen Sie Debug (Debuggen) in der SSO-Liste und dann OK aus. Sie können ihr Problem jetzt reproduzieren, bevor Sie sich die Protokolle ansehen. Denken Sie jedoch daran, dies nach Abschluss wieder rückgängig zu machen.

  • Wenn unmittelbar nach der erfolgreichen Azure AD-Vorabauthentifizierung ein mit BIG-IP gekennzeichneter Fehler angezeigt wird, ist es möglich, dass sich das Problem auf das einmalige Anmelden aus Azure AD bei BIG-IP zurückzuführen ist. Navigieren Sie zu Access>Overview>Access reports (Zugriff, Übersicht, Zugriffsberichte) aus und führen Sie den Bericht für die letzte Stunde aus, um Protokolle mit hinweisenden Informationen zu sehen. Der Link View session variables (Sitzungsvariablen anzeigen) für Ihre Sitzung hilft auch zu verstehen, ob APM die erwarteten Ansprüche von Azure AD empfängt.

  • Wenn keine BIG-IP-Fehlerseite angezeigt wird, hängt das Problem wahrscheinlich eher mit dem einmaligen Anmelden aus BIG-IP bei der Back-End-Anwendung zusammen. Navigieren Sie in diesem Fall zu Zugriffslichtlinie>Übersicht>Aktive Sitzungen (Access Policy > Overview > Active Sessions) und wählen Sie den Link für Ihre aktive Sitzung aus. Der Link Variablen anzeigen (View Variables) an dieser Stelle kann auch bei der Ermittlung der eigentlichen Ursache der Probleme beim einmaligen Anmelden helfen, insbesondere dann, wenn die BIG-IP-APM die richtige Benutzer- und Domänen-Kennung nicht abrufen kann.

Weitere Informationen finden Sie unter Beispiele für Zuweisungen von BIG-IP-APM-Variablen und unter Empfehlung für F5-BIG-IP-Sitzungsvariablen.

Zusätzliche Ressourcen

Für weiterführende Informationen lesen Sie bitte diese Artikel: