Tutorial: Konfigurieren von F5 BIG-IP Easy Button für header- und LDAP-basiertes einmaliges Anmelden

  • Artikel

In diesem Artikel erfahren Sie, wie Sie header- und LDAP-basierte Anwendungen mithilfe von Microsoft Entra ID und der F5 BIG-IP Easy Button Guided Configuration 16.1 schützen. Die Integration einer BIG-IP in Microsoft Entra ID bietet viele Vorteile:

  • Verbesserte Governance: Lesen Sie hierzu Zero Trust-Framework zum Ermöglichen von Remotearbeit, und erfahren Sie mehr über die Microsoft Entra-Vorabauthentifizierung
    • Lesen Sie außerdem Was ist bedingter Zugriff?, und erfahren Sie, welche Rolle er bei der Durchsetzung organisationsbezogener Richtlinien spielt.
  • Vollständiges einmaliges Anmelden (Single Sign-On, SSO) zwischen in Microsoft Entra ID und BIG-IP veröffentlichten Diensten
  • Verwalten Sie Identitäten und den Zugriff über eine Steuerungsebene, das Microsoft Entra Admin Center

Weitere Vorteile sind unter F5 BIG-IP und die Integration in Microsoft Entra beschrieben.

Beschreibung des Szenarios

Dieses Szenario konzentriert sich auf die klassische Legacyanwendung mit HTTP-Autorisierungsheaders, die aus LDAP-Verzeichnisattributen erstellt werden und mit denen der Zugriff auf geschützte Inhalte verwaltet wird.

Da es sich um eine Legacyanwendung handelt, fehlen moderne Protokolle, um eine direkte Integration in Microsoft Entra ID zu unterstützen. Sie können die App modernisieren. Dies ist jedoch kostspielig, erfordert eine sorgfältige Planung und birgt das Risiko potenzieller Downtime. Stattdessen können Sie einen F5 BIG-IP Application Delivery Controller (APC) verwenden, um die Lücke zwischen Legacyanwendung und moderner ID-Steuerungsebene (mit Protokollübergang) zu schließen.

Eine BIG-IP vor der App ermöglicht die Überlagerung des Diensts mit der Microsoft Entra-Vorabauthentifizierung und dem headerbasierten einmaligen Anmelden, was den allgemeinen Sicherheitsstatus der Anwendung erhöht.

Szenarioarchitektur

Die Lösung mit sicherem Hybridzugriff für dieses Szenario besteht aus den folgenden Komponenten:

  • Anwendung: Veröffentlichter BIG-IP-Dienst, der durch den sicheren Hybridzugriff (Secure Hybrid Access, SHA) von Microsoft Entra ID geschützt werden soll
  • Microsoft Entra ID: SAML-Identitätsanbieter (Security Assertion Markup Language), der Benutzeranmeldeinformationen, bedingten Zugriff und SAML-basiertes einmaliges Anmelden für den BIG-IP-Dienst überprüft. Durch die SSO-Funktionalität stellt Microsoft Entra ID BIG-IP die erforderlichen Sitzungsattribute bereit.
  • HR-System: LDAP-basierte Mitarbeiterdatenbank als Wahrheitsinstanz für Anwendungsberechtigungen
  • BIG-IP: Reverseproxy und SAML-Dienstanbieter (Service Provider, SP) für die Anwendung, der die Authentifizierung an den SAML-Identitätsanbieter (IdP) delegiert, bevor headerbasiertes einmaliges Anmelden bei der Back-End-Anwendung durchgeführt wird

SHA für dieses Szenario unterstützt SP- und IdP-initiierte Flows. Die folgende Abbildung veranschaulicht den SP-initiierten Flow.

Abbildung des sicheren Hybridzugriffs mit SP-initiiertem Flow

  1. Benutzer verbindet sich mit Anwendungsendpunkt (BIG-IP)
  2. BIG-IP APM-Zugriffsrichtlinie leitet den Benutzer oder die Benutzerin an Microsoft Entra ID (SAML IdP) um.
  3. Microsoft Entra ID führt eine Vorabauthentifizierung der Benutzer*innen durch und wendet erzwungene Richtlinien für bedingten Zugriff an
  4. Der Benutzer wird an BIG-IP (SAML SP) weitergeleitet und SSO wird mit einem ausgestellten SAML-Token durchgeführt.
  5. BIG-IP fordert weitere Attribute vom LDAP-basierten HR-System an.
  6. BIG-IP fügt Microsoft Entra ID- und HR-Systemattribute als Header in die Anforderung an die Anwendung ein.
  7. Die Anwendung autorisiert den Zugriff mit erweiterten Sitzungsberechtigungen.

Voraussetzungen

Vorherige Erfahrungen mit BIG-IP sind nicht erforderlich, Sie benötigen aber Folgendes:

  • Ein kostenloses Azure-Konto oder ein höherwertiges Abonnement
  • Eine BIG-IP-Instanz oder Bereitstellen einer BIG-IP Virtual Edition (VE) in Azure
  • Eine der folgenden F5 BIG-IP-Lizenzen:
    • F5 BIG-IP® Best Bundle
    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM)
    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Kostenlose Testlizenz für 90 Tage für das BIG-IP-Produkt
  • Benutzeridentitäten werden aus einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert.
  • Eine der folgenden Rollen: Globaler Administrator, Cloudanwendungsadministrator oder Anwendungsadministrator
  • Ein SSL-Webzertifikat für die Veröffentlichung von Diensten über HTTPS (oder verwenden Sie beim Testen BIG-IP-Standardzertifikate)
  • Eine headerbasierte Anwendung oder Einrichten einer einfachen IIS-Header-App für Testzwecke
  • Ein Benutzerverzeichnis, das LDAP unterstützt, beispielsweise Windows Active Directory Lightweight Directory Services (AD LDS), OpenLDAP oder Ähnliches

BIG-IP-Konfiguration

In diesem Tutorial wird die Verwendung der Guided Configuration 16.1 mit Easy Button-Vorlage behandelt. Mit Easy Button müssen Administrator*innen nicht mehr zwischen Microsoft Entra ID und BIG-IP hin und her wechseln, um Dienste für SHA zu aktivieren. Die Bereitstellung und Richtlinienverwaltung erfolgt zwischen dem APM-Assistenten der geführten Konfiguration und Microsoft Graph. Durch diese Integration zwischen BIG-IP APM und Microsoft Entra ID wird sichergestellt, dass Anwendungen einen Identitätsverbund, das einmalige Anmelden (Single Sign-On, SSO) und den bedingten Zugriff von Microsoft Entra unterstützen, wodurch sich der Verwaltungsaufwand reduziert.

Hinweis

Ersetzen Sie die Beispielzeichenfolgen oder -werte in diesem Leitfaden durch die Zeichenfolgen oder Werte für Ihre Umgebung.

Registrieren von “Easy Button“

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Bevor ein Client oder Dienst auf Microsoft Graph zugreifen kann, wird er von Microsoft Identity Platform als vertrauenswürdig eingestuft.

In diesem ersten Schritt wird die Registrierung einer Mandanten-App erstellt, um den Easy Button-Zugriff auf Microsoft Graph zu autorisieren. Durch diese Berechtigungen kann BIG-IP die Konfigurationen zum Einrichten einer Vertrauensstellung zwischen einer SAML-Dienstanbieterinstanz für eine veröffentlichte Anwendung und Microsoft Entra ID als SAML-Identitätsanbieter (IdP) pushen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen>Neue Registrierung.

  3. Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Zum Beispiel „F5 BIG-IP Easy Button“.

  4. Geben Sie an, wer die Anwendung verwenden darf >Nur Konten in diesem Organisationsverzeichnis.

  5. Wählen Sie Registrieren.

  6. Navigieren Sie zu API-Berechtigungen, und autorisieren Sie die folgenden Anwendungsberechtigungen für Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Application.ReadWrite.OwnedBy
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. Erteilen Sie die Administratoreinwilligung für Ihre Organisation.

  8. Generieren Sie unter Zertifikate & Geheimnisse einen neuen geheimen Clientschlüssel. Notieren Sie sich dieses Geheimnis.

  9. Wechseln Sie zu Übersicht, und notieren Sie die Client-ID und die Mandanten-ID.

Konfigurieren von Easy Button

Initiieren Sie die geführte APM-Konfiguration Guided Configuration, um die Vorlage Easy Button zu starten.

  1. Navigieren Sie zu Zugang > Geführte Konfiguration > Microsoft-Integration und wählen Sie Microsoft Entra-Anwendung aus.

  2. Sehen Sie sich die Liste der Schritte an, und wählen Sie Weiter aus.

  3. Führen Sie die Schritte aus, um Ihre Anwendung zu veröffentlichen.

    Screenshot des Konfigurationsflows für Guided Configuration

Configuration Properties

Auf der Registerkarte Konfigurationseigenschaften werden eine BIG-IP-Anwendungskonfiguration und ein neues SSO-Objekt erstellt. Im Abschnitt Details zum Azure-Dienstkonto wird der Client, den Sie zuvor in Ihrem Microsoft Entra-Mandanten registriert haben, als Anwendung dargestellt. Diese Einstellungen ermöglichen einem OAuth-Client von BIG-IP, einen SAML-Dienstanbieter in Ihrem Mandanten zu registrieren, und zwar zusammen mit den SSO-Eigenschaften, die Sie sonst manuell konfigurieren würden. Easy Button führt diese Aktion für jeden BIG-IP-Dienst durch, der veröffentlicht und für SHA aktiviert ist.

Einige dieser Einstellungen sind globale Einstellungen, die daher zum Veröffentlichen weiterer Anwendungen wiederverwendet werden können, was die Bereitstellungszeit und den Aufwand reduziert.

  1. Geben Sie unter Konfigurationsname einen eindeutigen Namen ein, damit Administratoren Easy Button-Konfigurationen unterscheiden können.

  2. Aktivieren Sie Single Sign-On, SSO & HTTP Headers

  3. Geben Sie die Werte für Mandanten-ID, Client-ID und den geheimen Clientschlüssel ein, die Sie beim Registrieren des Easy Button-Clients in Ihrem Mandanten notiert haben.

  4. Stellen Sie sicher, dass BIG-IP eine Verbindung zu Ihrem Mandanten herstellen kann.

  5. Klicken Sie auf Weiter.

    Screenshot der Einträge für allgemeine Eigenschaften und Azure-Dienstkontodetails unter den Konfigurationseigenschaften

Dienstanbieter

Die Dienstanbietereinstellungen definieren die Eigenschaften der SAML-SP-Instanz der durch SHA geschützten Anwendung.

  1. Geben Sie unter Host den öffentlichen vollqualifizierten Domänennamen (FQDN) der zu sichernden Anwendung ein.

  2. Geben Sie unter Entitäts-ID den Bezeichner ein, den Microsoft Entra ID zum Identifizieren des SAML-Dienstanbieters verwendet, der ein Token anfordert.

    Screenshot der Host- und Entitäts-ID-Einträge für den Dienstanbieter

Mit den optionalen Sicherheitseinstellungen können Sie angeben, ob ausgestellte SAML-Assertionen von Microsoft Entra ID verschlüsselt werden sollen. Das Verschlüsseln von Assertionen zwischen Microsoft Entra ID und dem BIG-IP APM bietet die Sicherheit, dass Inhaltstoken nicht abgefangen und persönliche Daten oder Unternehmensdaten nicht kompromittiert werden können.

  1. Wählen Sie in der Liste Privater Schlüssel zur Assertion-Entschlüsselung die Option Neu erstellen aus.

    Screenshot der Option „Neu erstellen“ unter „Privater Schlüssel zur Assertion-Entschlüsselung“ in den Sicherheitseinstellungen

  2. Klicken Sie auf OK. Das Dialogfeld SSL-Zertifikat und Schlüssel importieren wird auf einer neuen Registerkarte geöffnet.

  3. Wählen Sie PKCS 12 (IIS) aus, um Ihr Zertifikat und Ihren privaten Schlüssel zu importieren. Schließen Sie nach der Bereitstellung die Browserregisterkarte, um zur Hauptregisterkarte zurückzukehren.

    Screenshot von Importtyp, Zertifikat und Schlüsselname, Zertifikatschlüsselquelle und Kennworteinträgen

  4. Aktivieren Sie das Kontrollkästchen Enable Encrypted Assertion (Verschlüsselte Assertionen aktivieren).

  5. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie Ihr Zertifikat in der Liste Privater Schlüssel zum Entschlüsseln von Assertionen aus. BIG-IP APM verwendet diesen privaten Zertifikatschlüssel, um Microsoft Entra-Assertionen zu entschlüsseln.

  6. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie Ihr Zertifikat in der Liste Zertifikat zum Entschlüsseln von Assertionen aus. BIG-IP lädt dieses Zertifikat in Microsoft Entra ID hoch, um die ausgestellten SAML-Assertionen zu verschlüsseln.

    Screenshot der Einträge für „Privater Schlüssel zur Assertion-Entschlüsselung“ und „Assertionsentschlüsselungszertifikat“ in den Sicherheitseinstellungen

Microsoft Entra ID

Dieser Abschnitt enthält die Eigenschaften zum manuellen Konfigurieren einer neuen BIG-IP-SAML-Anwendung in Ihrem Microsoft Entra-Mandanten. Easy Button verfügt über Anwendungsvorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP und eine SHA-Vorlage für andere Apps.

Wählen Sie in diesem Szenario die Optionen F5 BIG-IP APM Microsoft Entra ID-Integration > Hinzufügen aus.

Azure-Konfiguration

  1. Geben Sie den Anzeigenamen der App, die BIG-IP in Ihrem Microsoft Entra-Mandanten erstellt, und das Symbol ein, das Benutzer*innen im MyApps-Portal angezeigt wird.

  2. Geben Sie keinen Eintrag für Anmelde-URL (optional) ein.

  3. Wählen Sie neben Signaturschlüssel und Signaturzertifikat das Symbol zum Aktualisieren aus, um nach dem zuvor importierten Zertifikat zu suchen.

  4. Geben Sie unter Passphrase für Signaturschlüssel das Zertifikatkennwort ein.

  5. Aktivieren Sie Signaturoption (optional), um sicherzustellen, dass BIG-IP von Microsoft Entra ID signierte Token und Ansprüche akzeptiert.

    Screenshot der Einträge für Signaturschlüssel, Signaturzertifikat und Signaturschlüsselpassphrase im SAML-Signaturzertifikat

  6. Benutzer*innen und Benutzergruppen werden von Ihrem Microsoft Entra-Mandanten dynamisch abgefragt und zum Autorisieren des Zugriffs auf die Anwendung verwendet. Fügen Sie zum Testen einzelne Benutzer*innen oder eine Gruppe hinzu. Andernfalls wird der Zugriff verweigert.

    Screenshot der Option „Hinzufügen“ für Benutzer*innen und Benutzergruppen

Benutzerattribute und Ansprüche

Wenn Benutzer*innen sich authentifizieren, gibt Microsoft Entra ID ein SAML-Token mit einem Standardsatz von Ansprüchen und Attributen aus, das den Benutzer bzw. die Benutzerin eindeutig identifiziert. Auf der Registerkarte Benutzerattribute & Ansprüche werden die Standardansprüche angezeigt, die für die neue Anwendung ausgestellt werden sollen. Außerdem können Sie mehr Ansprüche konfigurieren.

In diesem Beispiel schließen Sie ein weiteres Attribut ein:

  1. Geben Sie unter Anspruchsname die Zeichenfolge employeeid ein.

  2. Geben Sie unter Quellattribut die Zeichenfolge user.employeeid ein.

    Screenshot des employeeid-Werts unter „Zusätzliche Ansprüche“ für Benutzerattribute und Ansprüche

Zusätzliche Benutzerattribute

Auf der Registerkarte Zusätzliche Benutzerattribute können Sie die Sitzungserweiterung für verteilte Systeme (z. B. Oracle, SAP und andere JAVA-basierte Implementierungen), für die in anderen Verzeichnissen gespeicherte Attribute erforderlich sind, aktivieren. Attribute, die von einer LDAP-Quelle abgerufen werden, können dann als zusätzliche SSO-Header eingefügt werden, um den Zugriff anhand von Rollen, Partner-IDs usw. zu steuern.

  1. Aktivieren Sie die Option Erweiterte Einstellungen.

  2. Aktivieren Sie das Kontrollkästchen LDAP-Attribute.

  3. Wählen Sie Neu erstellen in „Authentifizierungsserver auswählen“ aus.

  4. Wählen Sie je nach Konfiguration entweder den Modus Pool verwenden oder Direkte Serververbindung aus, um die Serveradresse des Ziel-LDAP-Dienstes bereitzustellen. Wenn Sie einen einzelnen LDAP-Server verwenden, wählen Sie Direkt aus.

  5. Geben Sie unter Dienstport den Port 389, 636 (sicher) oder einen anderen Port ein, den Ihr LDAP-Dienst verwendet.

  6. Geben Sie unter DN für die Basissuche den DN (Distinguished Name) des Standorts ein, der das Konto enthält, mit dem sich APM für LDAP-Dienstabfragen authentifiziert.

    Screenshot der Einträge für LDAP-Servereigenschaften in den zusätzlichen Benutzerattributen

  7. Geben Sie als DN für die Suche den DN (Distinguished Name) des Standorts ein, der die Benutzerkontoobjekte enthält, die APM über LDAP abfragt.

  8. Stellen Sie beide Mitgliedschaftsoptionen auf Keine ein, und fügen Sie den Namen des Benutzerobjektattributs hinzu, das aus dem LDAP-Verzeichnis zurückgegeben werden soll. In diesem Szenario lautet es eventroles.

    Screenshot der Einträge für LDAP-Abfrageeigenschaften

Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff werden nach der Microsoft Entra-Vorabauthentifizierung erzwungen, um den Zugriff basierend auf Gerät, Anwendung, Standort und Risikosignalen zu steuern.

In der Ansicht Verfügbare Richtlinien sind Richtlinien für bedingten Zugriff aufgeführt, die keine Benutzeraktionen enthalten.

In der Ansicht Ausgewählte Richtlinien werden Richtlinien angezeigt, die auf alle Cloud-Apps ausgerichtet sind. Diese Richtlinien können nicht deaktiviert oder in die Liste „Verfügbare Richtlinien“ verschoben werden, da sie auf Mandantenebene erzwungen werden.

So wählen Sie eine Richtlinie aus, die auf die zu veröffentlichende Anwendung angewendet werden soll:

  1. Wählen Sie in der Liste Verfügbare Richtlinien eine Richtlinie aus.

  2. Wählen Sie den Pfeil nach rechts aus, und verschieben Sie die Richtlinie in die Liste Selected Policies (Ausgewählte Richtlinien).

    Hinweis

    Bei den ausgewählten Richtlinien ist entweder die Option Einschließen oder Ausschließen aktiviert. Wenn beide Optionen aktiviert sind, wird die ausgewählte Richtlinie nicht erzwungen.

    Screenshot ausgeschlossener Richtlinien unter „Ausgewählte Richtlinien“ in der Richtlinie für bedingten Zugriff

    Hinweis

    Die Richtlinienliste wird einmal bei der ersten Auswahl der Registerkarte enumeriert. Mit der Schaltfläche Aktualisieren können Sie den Assistenten manuell auffordern, Ihren Mandanten abzufragen. Diese Schaltfläche wird angezeigt, wenn die Anwendung bereitgestellt wird.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird, die auf Clientanforderungen für die Anwendung lauscht. Empfangener Datenverkehr wird verarbeitet und anhand des APM-Zugriffsprofils, das dem virtuellen Server zugeordnet ist, ausgewertet, bevor er gemäß der Richtlinie weitergeleitet wird.

  1. Geben Sie eine Zieladresse ein. Dies ist eine verfügbare IPv4-/IPv6-Adresse, die von BIG-IP zum Empfangen von Clientdatenverkehr verwendet werden kann. Ein entsprechender Eintrag sollte auch im Domänennamenserver (DNS) vorhanden sein, damit anstelle der Anwendung die Clients die externe URL Ihrer veröffentlichten BIG-IP-Anwendung in diese IP-Adresse auflösen können. Für Testzwecke ist die Verwendung des Localhost-DNS eines Test-PCs akzeptabel.

  2. Geben Sie „443“ und „HTTPS“ für Dienstport ein.

  3. Aktivieren Sie Umleitungsport aktivieren, und geben Sie dann den Umleitungsport ein, um eingehenden HTTP-Clientdatenverkehr an HTTPS umzuleiten.

  4. Mit dem Client-SSL-Profil wird der virtuelle Server für HTTPS aktiviert, sodass Clientverbindungen über Transport Layer Security (TLS) verschlüsselt werden. Wählen Sie das Client-SSL-Profil aus, das Sie erstellt haben, oder übernehmen Sie zum Testen die Standardeinstellung.

    Screenshot der Einträge für Zieladresse, Dienstport und allgemeine Einträge unter „Allgemeine Eigenschaften“ in den Eigenschaften des virtuellen Servers.

Pooleigenschaften

Auf der Registerkarte Anwendungspool werden die Dienste hinter einer BIG-IP-Instanz aufgeführt und als Pool, mit einem oder mehreren Anwendungsservern, dargestellt.

  1. Wählen Sie von Pool auswählen aus. Erstellen Sie einen neuen Pool, oder wählen Sie einen Pool aus.

  2. Wählen Sie die Lastenausgleichsmethode (z. B. „Round Robin“) aus.

  3. Wählen Sie als Poolserver einen Knoten aus, oder geben Sie eine IP-Adresse und einen Port für den Server an, der die headerbasierte Anwendung hostet.

    Screenshot der Einträge für IP-Adresse/Knotenname und Port unter „Anwendungspool“ in den Pooleigenschaften.

Hinweis

Unsere Back-End-Anwendung befindet sich an HTTP-Port 80. Wechseln Sie zu Port 443, wenn HTTPS vorhanden ist.

Einmaliges Anmelden und HTTP-Header

Durch das Aktivieren des einmaligen Anmeldens (SSO) können Benutzer auf veröffentlichte BIG-IP-Dienste zugreifen, ohne Anmeldeinformationen eingeben zu müssen. Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO.

Verwenden Sie die folgenden Liste, um Optionen zu konfigurieren.

  • Header Operation: Einfügen

  • Header Name: upn

  • Header Value: %{session.saml.last.identity}

  • Header Operation: Einfügen

  • Header Name: employeeid

  • Header Value: %{session.saml.last.attr.name.employeeid}

  • Header Operation: Einfügen

  • Header Name: eventroles

  • Header Value: %{session.ldap.last.attr.eventroles}

    Screenshot der SSO-Headereinträge unter „SSO-Header“ für SSO- und HTTP-Header

Hinweis

Bei APM-Sitzungsvariablen in geschweiften Klammern wird die Groß- und Kleinschreibung unterschieden. Wenn Sie beispielsweise „OrclGUID“ eingeben, der Microsoft Entra-Attributname jedoch „orclguid“ lautet, tritt ein Attributzuordnungsfehler auf.

Einstellungen für die Sitzungsverwaltung

Mit den Einstellungen für die BIG-IP-Sitzungsverwaltung werden die Bedingungen definiert, unter denen Benutzersitzungen beendet werden oder fortgesetzt werden dürfen, sowie Limits für Benutzer und IP-Adressen und die entsprechenden Benutzerinformationen. Im F5-Artikel K18390492: Sicherheit | Big-IP APM-Betriebshandbuch finden Sie Einzelheiten zu diesen Einstellungen.

Nicht abgedeckt ist die SLO-Funktionalität (einmaliges Abmelden, Single Log-Out), die sicherstellt, dass Sitzungen zwischen IdP, BIG-IP und dem Benutzer-Agent beendet werden, wenn sich Benutzer*innen abmelden. Wenn Easy Button eine SAML-Anwendung in Ihrem Microsoft Entra-Mandanten instanziiert, wird diese Abmelde-URL mit dem APM-SLO-Endpunkt aufgefüllt. Eine vom IdP initiierte Abmeldung im Microsoft Entra-Portal „MyApps“ beendet die Sitzung zwischen BIG-IP und einem Client.

Die SAML-Verbundmetadaten für die veröffentlichte Anwendung werden aus Ihrem Mandanten importiert, wodurch dem APM der SAML-Abmeldeendpunkt für Microsoft Entra ID bereitgestellt wird. Diese Aktion sorgt dafür, dass eine vom Dienstanbieter initiierte Abmeldung die Sitzung zwischen einem Client und Microsoft Entra ID beendet. Der APM muss wissen, wenn sich ein Benutzer von der Anwendung abmeldet.

Wenn das Webtop-Portal von BIG-IP für den Zugriff auf veröffentlichte Anwendungen verwendet wird, verarbeitet APM einen Abmeldevorgang, um den Microsoft Entra-Abmeldeendpunkt aufzurufen. Stellen Sie sich jedoch ein Szenario vor, in dem das BIG-IP-Webtop-Portal nicht verwendet wird. Der Benutzer kann den APM nicht anweisen, ihn abzumelden. Auch wenn sich der Benutzer von der Anwendung abmeldet, ist das BIG-IP nicht bekannt. Deshalb müssen Sie bei einer SP-initiierten Abmeldung sicherstellen, dass die Sitzungen sicher beendet werden. Sie können der Abmeldeschaltfläche einer Anwendung eine SLO-Funktion hinzufügen, damit Ihr Client an den Microsoft Entra-SAML- oder BIG-IP-Abmeldeendpunkt umgeleitet werden kann. Die URL für den SAML-Abmeldeendpunkt für Ihren Mandanten finden Sie unter App-Registrierungen > Endpunkte.

Ist eine Änderung der Anwendung nicht möglich, sollte BIG-IP auf den Abmeldeaufruf der Anwendung lauschen und beim Erkennen der Anforderung das einmalige Abmelden (SLO) auslösen. Weitere Informationen zu BIG-IP iRules finden Sie in der Anleitung Oracle PeopleSoft SLO guidance. Weitere Informationen zur Verwendung von BIG-IP iRules finden Sie in den folgenden Artikeln:

Zusammenfassung

Dieser letzte Schritt liefert eine Aufschlüsselung Ihrer Konfigurationen.

Wählen Sie Bereitstellen aus, um die Einstellungen zu committen, und vergewissern Sie sich, dass die Anwendung in Ihrer Mandantenliste mit Unternehmensanwendungen enthalten ist.

Ihre Anwendung wird veröffentlicht und ist über SHA zugänglich – entweder über die URL oder die Anwendungsportale von Microsoft. Für mehr Sicherheit können Organisationen, die dieses Muster verwenden, den direkten Zugriff auf die Anwendung blockieren. Diese Aktion erzwingt einen strengen Pfad durch die BIG-IP.

Nächste Schritte

Stellen Sie im MyApps-Portal von Microsoft in einem Browser eine Verbindung zur externen URL der Anwendung her, oder wählen Sie das Anwendungssymbol aus. Nach der Authentifizierung bei Microsoft Entra ID werden Sie zum virtuellen BIG-IP-Server für die Anwendung umgeleitet und über per einmaligem Anmelden (SSO) angemeldet.

Im folgenden Screenshot wird die Ausgabe der eingefügten Header in die Anwendung gezeigt.

Screenshot der Ausgabewerte unter „Servervariablen“ in „Meine Ereignisse“

Für mehr Sicherheit können Organisationen, die dieses Muster verwenden, den direkten Zugriff auf die Anwendung blockieren. Diese Aktion erzwingt einen strengen Pfad durch die BIG-IP.

Erweiterte Bereitstellung

Die Vorlagen der geführten Konfiguration (Guided Configuration) sind möglicherweise nicht flexibel genug, um spezielle Anforderungen zu erfüllen.

In BIG-IP können Sie den strikten Verwaltungsmodus für Guided Configuration deaktivieren. Anschließend können Sie Ihre Konfigurationen manuell ändern, auch wenn die meisten Konfigurationen über die assistentengestützten Vorlagen automatisiert werden.

Sie können dann zu Zugriff > Guided Configuration navigieren und ganz rechts in der Zeile für Ihre Anwendungskonfigurationen das kleine Vorhängeschlosssymbol auswählen.

Screenshot der Vorhängeschlossoption

An diesem Punkt sind Änderungen über die Benutzeroberfläche des Assistenten nicht mehr möglich, aber alle BIG-IP-Objekte, die der veröffentlichten Instanz der Anwendung zugeordnet sind, werden für die direkte Verwaltung entsperrt.

Hinweis

Wenn Sie den strikten Modus erneut aktivieren und eine Konfiguration bereitstellen, werden alle Einstellungen überschrieben, die außerhalb der Benutzeroberfläche der geführten Konfiguration vorgenommen wurden. Für Produktionsdienste wird die erweiterte Konfigurationsmethode empfohlen.

Problembehandlung

BIG-IP-Protokollierung

Die BIG-IP-Protokollierung kann dazu beitragen, Probleme mit Konnektivität, einmaligem Anmelden, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen zu isolieren.

Zur Problembehandlung können Sie den Ausführlichkeitsgrad des Protokolls erhöhen.

  1. Navigieren Sie zu Zugangsrichtlinie > Übersicht > Ereignisprotokolle > Einstellungen.
  2. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung und dann Bearbeiten > Zugriff auf Systemprotokolle aus.
  3. Wählen Sie Debuggen in der SSO-Liste und dann OK aus.

Reproduzieren Sie Ihr Problem, überprüfen Sie dann die Protokolle, aber stellen Sie abschließend diese Einstellung wieder her. Im ausführlichen Modus werden erhebliche Datenmengen erzeugt.

BIG-IP-Fehlerseite

Wenn nach einer Microsoft Entra ID-Vorabauthentifizierung ein BIG-IP-Fehler angezeigt wird, ist es möglich, dass sich das Problem mit dem SSO-Vorgang von Microsoft Entra ID zum Anmelden bei BIG-IP zusammenhängt.

  1. Navigieren Sie zu Zugriff > Übersicht > Zugriff auf Berichte.
  2. Führen Sie den Bericht für die letzte Stunde aus, um herauszufinden, ob die Protokolle Hinweise enthalten.
  3. Verwenden Sie den Link Variablen anzeigen für Ihre Sitzung, um nachzuvollziehen, ob APM die erwarteten Ansprüche von Microsoft Entra ID empfängt.

Back-End-Anforderung

Wenn keine Fehlerseite angezeigt wird, hängt das Problem wahrscheinlich eher mit der Back-End-Anforderung oder dem einmaligen Anmelden von BIG-IP bei der Anwendung zusammen.

  1. Navigieren Sie zu Zugriffsrichtlinien > Übersicht > Aktive Sitzungen, und wählen Sie den Link für Ihre aktive Sitzung aus.
  2. Der Link Variablen anzeigen kann auch beim Ermitteln der Grundursache der SSO-Probleme hilfreich sein, insbesondere wenn die APM-Instanz von BIG-IP nicht die richtigen Attribute von Microsoft Entra ID oder einer anderen Quelle abrufen kann.

Überprüfen des APM-Dienstkontos

Verwenden Sie den folgenden Befehl der BIG-IP-Bash-Shell, um das APM-Dienstkonto für LDAP-Abfragen zu überprüfen. Bestätigen Sie die Authentifizierung und Abfrage eines Benutzerobjekts.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Weitere Informationen finden Sie in diesem F5-Artikel K11072: Konfigurieren der LDAP-Remoteauthentifizierung für Active Directory. Sie können eine BIG-IP-Referenztabelle verwenden, um LDAP-bezogene Probleme im AskF5-Dokument LDAP-Abfrage zu diagnostizieren.