Tutorial: Konfigurieren von F5 BIG-IP Access Policy Manager für die Kerberos-Authentifizierung

In diesem Tutorial erfahren Sie, wie Sie mithilfe der erweiterten BIG-IP-Konfiguration von F5 sicheren Hybridzugriff (Secure Hybrid Access, SHA) mit einmaligem Anmelden (Single Sign-On, SSO) für Kerberos-Anwendungen implementieren. Das Aktivieren veröffentlichter BIG-IP-Dienste für einmaliges Anmelden mit Microsoft Entra-SSO bietet zahlreiche Vorteile, einschließlich:

• Optimierte Zero Trust-Governance durch die Microsoft Entra-Vorauthentifizierung und Nutzung der Lösung zum Erzwingen der Sicherheitsrichtlinien für bedingten Zugriff.
  • Siehe Was ist Conditional Access?
• Vollständiges einmaliges Anmelden zwischen Microsoft Entra ID und per BIG-IP veröffentlichten Diensten
• Identitätsverwaltung und Zugriff über eine einzige Kontrollebene, das Microsoft Entra Admin Center

Weitere Informationen zu den Vorteilen finden Sie unter Integrieren von F5 BIG-IP mit Microsoft Entra ID.

Beschreibung des Szenarios

In diesem Szenario konfigurieren Sie eine Branchenanwendung für die Kerberos-Authentifizierung (auch als Integrierte Windows-Authentifizierung bekannt).

Um die Anwendung mit Microsoft Entra ID zu integrieren, ist eine Unterstützung durch ein verbundbasiertes Protokoll erforderlich, z. B. Security Assertion Markup Language (SAML). Da eine Modernisierung der Anwendung das Risiko möglicher Ausfallzeiten birgt, sind andere Optionen verfügbar.

Während Sie kerberos-eingeschränkte Delegierung (KCD) für SSO verwenden, können Sie den Microsoft Entra-Anwendungsproxy verwenden, um remote auf die Anwendung zuzugreifen. Durch die Protokollumstellung können Sie die Legacy-Anwendung mit der modernen Identitätssteuerungsebene verbinden.

Ein anderer Ansatz ist die Verwendung einer Application Delivery Controller-Instanz von F5 BIG-IP. Dieser Ansatz ermöglicht die Überlagerung der Anwendung mit Microsoft Entra-Vorauthentifizierung und KCD-SSO. Dadurch wird der allgemeine Zero Trust-Status der Anwendung optimiert.

Szenarioarchitektur

Die SHA-Lösung für dieses Szenario besteht aus folgenden Elementen:

• Anwendung: Back-End-Kerberos-basierter Dienst extern von BIG-IP veröffentlicht und durch SHA geschützt

• BIG-IP: Reverse-Proxy-Funktionalität für die Veröffentlichung von Back-End-Anwendungen. Der Zugriffsrichtlinien-Manager (Access Policy Manager, APM) überlagert veröffentlichte Anwendungen mit SAML-Dienstanbieter (SP)- und SSO-Funktionalität.

• Microsoft Entra ID: Identitätsanbieter (IdP), der Benutzeranmeldeinformationen, Microsoft Entra Conditional Access und SSO zum BIG-IP APM über SAML überprüft

• KDC: Schlüsselverteilungscenter-Rolle auf einem Domänencontroller (DC), der Kerberos-Tickets ausgibt

Die folgende Abbildung veranschaulicht den vom SAML-Dienstanbieter initiierten Fluss für dieses Szenario. Ein vom Identitätsanbieter initiierter Fluss wird allerdings ebenfalls unterstützt.

Benutzerflow

1. Der Benutzer stellt eine Verbindung mit dem Anwendungsendpunkt (BIG-IP) her.
2. BIG-IP APM-Zugriffsrichtlinie leitet den Benutzer an Microsoft Entra ID (SAML IdP) um.
3. Microsoft Entra ID führt eine Vorabauthentifizierung der Benutzer durch und wendet erzwungene Richtlinien für bedingten Zugriff an.
4. Der Benutzer wird zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das einmalige Anmelden wird unter Verwendung des ausgestellten SAML-Tokens durchgeführt.
5. BIG-IP authentifiziert den Benutzer und fordert ein Kerberos-Ticket vom KDC an.
6. BIG-IP sendet die Anforderung mit dem Kerberos-Ticket für das einmalige Anmelden an die Back-End-Anwendung.
7. Die Anwendung autorisiert die Anforderung und gibt die Nutzdaten zurück.

Voraussetzungen

Vorherige Erfahrungen mit BIG-IP sind nicht erforderlich. Erforderlich:

• Ein kostenloses Azure-Konto oder ein Abonnement mit höherer Ebene.
• Eine BIG-IP-Instanz oder Bereitstellen einer BIG-IP Virtual Edition-Instanz in Azure
• Eine der folgenden F5 BIG-IP-Lizenzen:
  • F5 BIG-IP Bestes Paket
  • F5 BIG-IP APM eigenständige Lizenz
  • Add-On-Lizenz für F5 BIG-IP APM für eine Instanz von BIG-IP Local Traffic Manager (LTM)
  • 90-tägige BIG-IP Kostenlose Testlizenz
• Benutzeridentitäten, die aus einem lokalen Verzeichnis mit Microsoft Entra-ID synchronisiert wurden oder in Microsoft Entra-ID erstellt und in Ihr lokales Verzeichnis zurückübermittelt wurden.
• Eine der folgenden Rollen im Microsoft Entra-Mandanten: Cloudanwendungsadministrator oder Anwendungsadministrator.
• Ein Webserverzertifikat für die Veröffentlichung von Diensten über HTTPS oder standardbasierte BIG-IP Zertifikate beim Testen verwenden.
• Eine Kerberos-Anwendung oder wechseln Sie zu active-directory-wp.com, um SSO mit IIS unter Windows zu konfigurieren.

BIG-IP-Konfigurationsmethoden

In diesem Artikel wird die erweiterte Konfiguration behandelt, eine flexible SHA-Implementierung, die BIG-IP-Konfigurationsobjekte erstellt. Sie können diesen Ansatz auch für Szenarien verwenden, die in den Vorlagen der geführten Konfiguration (Guided Configuration) nicht behandelt werden.

Hinweis

Ersetzen Sie alle Beispielzeichenfolgen oder -werte in diesem Artikel durch die Zeichenfolgen oder Werte für Ihre tatsächliche Umgebung.

Registrieren von F5 BIG-IP in Microsoft Entra ID

Sie müssen BIG-IP zuerst in Ihrem Mandanten registrieren, bevor BIG-IP die Vorauthentifizierung an Microsoft Entra ID übergeben kann. Mit diesem Prozess wird einmaliges Anmelden zwischen beiden Entitäten initiiert. Die App, die Sie anhand der F5 BIG-IP-Katalogvorlage erstellen, ist die vertrauende Seite, die den SAML-Dienstanbieter für die von BIG-IP veröffentlichte Anwendung darstellt.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Alle Anwendungen, und wählen Sie dann "Neue Anwendung" aus.

3. Der Bereich "Microsoft Entra-Katalog durchsuchen" wird mit Kacheln für Cloudplattformen, lokale Anwendungen und empfohlene Anwendungen angezeigt. Anwendungen im Abschnitt "Empfohlene Anwendungen " weisen Symbole auf, die angeben, ob sie Verbund-SSO und Bereitstellung unterstützen.

4. Suchen Sie in der Azure-Galerie nach F5, und wählen Sie F5 BIG-IP APM Microsoft Entra ID-Integration aus.

5. Geben Sie einen Namen für die neue Anwendung ein, damit die Instanz der Anwendung erkannt werden kann.

6. Wählen Sie Hinzufügen/Erstellen, um es zu Ihrem Mieter hinzuzufügen.

Aktivieren von SSO für F5 BIG-IP

Konfigurieren Sie die BIG-IP-Registrierung für die Erfüllung der von BIG-IP APM angeforderten SAML-Token.

1. Wählen Sie im Abschnitt "Verwalten" im linken Menü " Einmaliges Anmelden" aus. Der Bereich für einmaliges Anmelden wird angezeigt.
2. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus. Wählen Sie "Nein" aus, ich speichere später, um die Eingabeaufforderung zu überspringen.
3. Wählen Sie im Bereich " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol aus, um die grundlegende SAML-Konfiguration zu bearbeiten.
4. Ersetzen Sie den vordefinierten Bezeichnerwert durch die vollständige URL für die veröffentlichte BIG-IP Anwendung.
5. Ersetzen Sie den Antwort-URL-Wert , behalten Sie jedoch den Pfad für den SAML-SP-Endpunkt der Anwendung bei.

Hinweis

In dieser Konfiguration wird der SAML-Flow im IdP-initiierten Modus ausgeführt. Microsoft Entra ID gibt eine SAML-Assertion aus, bevor der Benutzer an den BIG-IP-Endpunkt für die Anwendung umgeleitet wird.

6. Um den SP-initiierten Modus zu verwenden, geben Sie die Anwendungs-URL in die Anmelde-URL ein.

7. Geben Sie für die Abmelde-URL den BIG-IP APM Single Logout (SLO)-Endpunkt ein, der dem Host-Header des veröffentlichten Dienstes vorangestellt ist. Mit dieser Aktion wird sichergestellt, dass die BIG-IP APM-Sitzung des Benutzers nach dessen Abmeldung von Microsoft Entra ID beendet wird.

   

Hinweis

Ab BIG-IP Traffic Management Operating System (TMOS) v16 ist der SAML-SLO-Endpunkt in /saml/sp/profile/redirect/slo geändert.

8. Bevor Sie die SAML-Konfiguration schließen, wählen Sie "Speichern" aus.
9. Überspringen Sie die Eingabeaufforderung zum Testen des einmaligen Anmeldens.
10. Beachten Sie die Eigenschaften des Abschnitts " User Attributes & Claims ". Microsoft Entra ID gibt Eigenschaften für die BIG-IP APM-Authentifizierung und das einmalige Anmelden für Benutzer bei der Back-End-Anwendung aus.
11. Um die XML-Datei der Verbundmetadaten auf Ihrem Computer zu speichern, wählen Sie im SAML-Signaturzertifikat-Bereich Herunterladen aus.

Hinweis

Von Microsoft Entra ID erstellte SAML-Signaturzertifikate haben eine Lebensdauer von drei Jahren. Weitere Informationen finden Sie unter Verwaltete Zertifikate für einmaliges Anmelden im Verbund.

Gewähren des Zugriffs für Benutzer und Gruppen

Standardmäßig gibt Microsoft Entra ID Token für die Benutzer aus, denen der Zugriff auf eine Anwendung gewährt wurde. So gewähren Sie Benutzern und Gruppen Zugriff auf die Anwendung

1. Wählen Sie im Übersichtsbereich der F5-BIG-IP Anwendung die Option "Benutzer und Gruppen zuweisen" aus.

2. Wählen Sie +Benutzer/Gruppe hinzufügen.

   

3. Wählen Sie Benutzer und Gruppen und dann " Zuweisen" aus.

Konfigurieren der eingeschränkten Kerberos-Delegierung in Active Directory

Damit BIG-IP APM das einmalige Anmelden bei der Back-End-Anwendung im Namen von Benutzern durchführen kann, muss die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) in der Active Directory (AD)-Zieldomäne konfiguriert werden. Zum Delegieren der Authentifizierung müssen Sie ein Domänendienstkonto für die BIG-IP APM-Instanz bereitstellen.

In diesem Szenario wird die Anwendung auf dem Server „APP-VM-01“ gehostet und im Kontext eines Dienstkontos mit dem Namen „web_svc_account“ und nicht im Kontext der Computeridentität ausgeführt. Das APM zugewiesene delegierende Dienstkonto ist F5-BIG-IP.

Erstellen eines BIG-IP APM-Delegationskontos

BIG-IP unterstützt keine gruppenverwalteten Dienstkonten (group Managed Service Accounts, gMSA). Daher müssen Sie für das APM-Dienstkonto ein Standardbenutzerkonto erstellen.

1. Geben Sie den folgenden PowerShell-Befehl ein. Ersetzen Sie die Werte "UserPrincipalName " und "SamAccountName " durch Ihre Umgebungswerte. Aus Sicherheitsgründen sollten Sie einen dedizierten Dienstprinzipalnamen (SPN, Service Principal Name) verwenden, der dem Hostheader der Anwendung entspricht.

   New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

   HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

   Hinweis

   Wenn der Host verwendet wird, delegiert jede Anwendung, die auf dem Host ausgeführt wird, das Konto, während bei Verwendung von HTTPS nur Vorgänge im Zusammenhang mit dem HTTP-Protokoll zugelassen werden.

2. Erstellen Sie einen Dienstprinzipalnamen (Service Principal Name, SPN) für das APM-Dienstkonto, das während der Delegierung an das Webanwendungsdienstkonto verwendet werden soll:

   Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

   Hinweis

   Es ist obligatorisch, den Host/Teil im Format UserPrincipleName (host/name.domain@domain) oder ServicePrincipleName (host/name.domain) einzuschließen.

3. Bevor Sie den Ziel-SPN angeben, zeigen Sie dessen SPN-Konfiguration an. Stellen Sie sicher, dass der SPN für das APM-Dienstkonto angezeigt wird. Das APM-Dienstkonto delegiert für die Webanwendung:

   • Überprüfen Sie, ob Ihre Webanwendung im Computerkontext oder im Kontext eines dedizierten Dienstkontos ausgeführt wird.

   • Im Computer-Kontext verwenden Sie den folgenden Befehl, um das Kontoobjekt in Active Directory abzufragen und die definierten Benutzerprinzipalnamen anzuzeigen. Ersetzen Sie <Name_des_Kontos> durch das Konto für Ihre Umgebung.

     Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Beispiel: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

   • Verwenden Sie für das dedizierte Dienstkonto den folgenden Befehl, um das Kontoobjekt in Active Directory abzufragen und die definierten Benutzerprinzipalnamen anzuzeigen. Ersetzen Sie <Name_des_Kontos> durch das Konto für Ihre Umgebung.

     Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Beispiel: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

4. Würde die Anwendung im Computerkontext ausgeführt, würden Sie den Dienstprinzipalnamen dem Objekt des Computerkontos in Active Directory hinzufügen:

   Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Nach der Definition der Dienstprinzipalnamen richten Sie eine Vertrauensstellung für den APM-Dienstkontodelegaten für diesen Dienst ein. Die Konfiguration hängt von der Topologie Ihrer BIG-IP-Instanz und Ihres Anwendungsservers ab.

Konfigurieren von BIG-IP und Zielanwendung in der gleichen Domäne

1. Legen Sie die Vertrauensstellung für das APM-Dienstkonto fest, um die Authentifizierung zu delegieren:

   Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

2. Das APM-Dienstkonto muss wissen, an welchen Ziel-Dienstprinzipalnamen vertrauenswürdig delegiert werden kann. Legen Sie das Dienstkonto, mit dem Ihre Webanwendung ausgeführt wird, als Ziel-Dienstprinzipalnamen fest:

   Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

   Hinweis

   Sie können diese Aufgaben über das MMC-Snap-In (Microsoft Management Console) „Active Directory-Benutzer und -Computer“ auf einem Domänencontroller ausführen.

Konfigurieren von BIG-IP und Zielanwendung in unterschiedlichen Domänen

In der Windows Server 2012-Version und höher verwendet die domänenübergreifende KCD die ressourcenbasierte eingeschränkte Delegierung (Resource-Based Constrained Delegation, RCD). Die Beschränkungen für einen Dienst wurden vom Domänenadministrator an den Dienstadministrator übertragen. Diese Delegierung ermöglicht es dem Administrator des Back-End-Diensts, SSO zuzulassen oder zu verweigern. Diese Situation führt zu einem anderen Ansatz für die Konfigurationsdelegierung, der bei Verwendung von PowerShell oder Active Directory Service Interfaces Editor (ADSI Edit) möglich ist.

Sie können die Eigenschaft „PrincipalsAllowedToDelegateToAccount“ des Anwendungsdienstkontos (Computerkonto oder dediziertes Dienstkonto) verwenden, um die Delegierung von BIG-IP zu gewähren. Verwenden Sie in diesem Szenario den folgenden PowerShell-Befehl auf einem Domänencontroller (ab Windows Server 2012 R2) in derselben Domäne, in der sich auch die Anwendung befindet.

Verwenden Sie einen Dienstprinzipalnamen, der für das Dienstkonto einer Webanwendung definiert ist. Aus Sicherheitsgründen sollten Sie einen dedizierten Dienstprinzipalnamen verwenden, der dem Hostheader der Anwendung entspricht. Da der Hostheader der Webanwendung in diesem Beispiel „myexpenses.contoso.com“ lautet, fügen Sie „HTTP/myexpenses.contoso.com“ dem Dienstkontoobjekt der Anwendung in Active Directory (AD) hinzu:

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Beachten Sie für die folgenden Befehle den Kontext.

Verwenden Sie die folgenden Befehle, wenn der Dienst „web_svc_account“ im Kontext eines Benutzerkontos ausgeführt wird:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Verwenden Sie die folgenden Befehle, wenn der Dienst „web_svc_account“ im Kontext eines Computerkontos ausgeführt wird:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Weitere Informationen finden Sie unter Eingeschränkte Kerberos-Delegierung über Domänen hinweg.

Erweiterte BIG-IP-Konfiguration

Verwenden Sie den folgenden Abschnitt, um die BIG-IP-Konfigurationen fortzusetzen.

Konfigurieren der Einstellungen des SAML-Dienstanbieters

Durch die Einstellungen für den SAML-Dienstanbieter werden die Eigenschaften definiert, die das APM für die Überlagerung der Legacyanwendung mit der SAML-Vorauthentifizierung verwendet. Gehen Sie zum Konfigurieren wie folgt vor:

1. Melden Sie sich über einen Browser bei der F5 BIG-IP-Verwaltungskonsole an.

2. Wählen Sie Access>Federation>SAML Service Provider>Local SP Services>Create aus.

   

3. Geben Sie die Werte für Name und Entitäts-ID an, die Sie gespeichert haben, wenn Sie SSO für Microsoft Entra ID konfiguriert haben.

   

4. Wenn die SAML-Entitäts-ID genau mit der URL der veröffentlichten Anwendung übereinstimmt, können Sie SP-Namenseinstellungen überspringen. Wenn die Entitäts-ID beispielsweise "urn:myexpenses:contosoonline" lautet, lautet der Schemawert"https"; Der Hostwert ist myexpenses.contoso.com. Wenn die Entitäts-ID https://myexpenses.contoso.com" lautet, brauchen Sie diese Informationen nicht anzugeben.

Konfigurieren eines externen IdP-Connectors

Ein SAML-IdP-Connector definiert die Einstellungen, die erforderlich sind, damit BIG-IP APM Microsoft Entra ID als SAML-Identitätsanbieter vertraut. Diese Einstellungen ordnen den SAML-Dienstanbieter einem SAML-Identitätsanbieter zu und etablieren so die Verbundvertrauensstellung zwischen dem APM und Microsoft Entra ID. Gehen Sie zum Konfigurieren des Connectors wie folgt vor:

1. Scrollen Sie nach unten, um das neue SAML SP-Objekt auszuwählen, und wählen Sie dann Bind/Unbind IdP Connectors aus.

   

2. Wählen Sie "Neuen IDP-Connector>aus Metadaten erstellen" aus.

   

3. Navigieren Sie zu der heruntergeladenen XML-Verbundmetadatendatei, und geben Sie einen Identitätsanbieternamen für das APM-Objekt an, das den externen SAML-IdP darstellt. Das folgende Beispiel zeigt MyExpenses_AzureAD.

   

4. Wählen Sie "Neue Zeile hinzufügen " aus, um den neuen SAML IdP Connectors-Wert auszuwählen, und wählen Sie dann "Aktualisieren" aus.

   

5. Wählen Sie "OK" aus.

Kerberos SSO konfigurieren

Erstellen Sie ein APM-SSO-Objekt für KCD-SSO für Back-End-Anwendungen. Verwenden Sie das zuvor erstellte APM-Delegierungskonto.

1. Wählen Sie Access>Single Sign-on>Kerberos>Create aus, und geben Sie folgende Informationen an:

• Name: Nach dem Erstellen können andere veröffentlichte Anwendungen das Kerberos SSO APM-Objekt verwenden. „Contoso_KCD_sso“ kann beispielsweise für mehrere veröffentlichte Anwendungen für die Contoso-Domäne verwendet werden. Verwenden Sie „MyExpenses_KCD_sso“ für eine einzelne Anwendung.

• Benutzernamenquelle: Geben Sie die Benutzer-ID-Quelle an. Verwenden Sie eine APM-Sitzungsvariable als Quelle. Die Verwendung von session.saml.last.identity wird empfohlen, da sie die angemeldete Benutzer-ID aus dem Microsoft Entra-Anspruch enthält.

• Benutzerbereichsquelle: Erforderlich, wenn sich die Benutzerdomäne vom Kerberos-Bereich für KCD unterscheidet. Wenn sich Benutzer in einer separaten vertrauenswürdigen Domäne befinden, machen Sie APM darauf aufmerksam, indem Sie die APM-Sitzungsvariable mit der angemeldeten Benutzerdomäne angeben. Ein Beispiel wäre etwa „session.saml.last.attr.name.domain”. Diese Aktion wird in Szenarios verwendet, in denen der Benutzerprinzipalname (UPN) auf einem alternativen Suffix basiert.

• Kerberos-Bereich: Benutzerdomänensuffix in Großbuchstaben

• KDC: IP-Adresse des Domänencontrollers. Alternativ können Sie auch einen vollqualifizierten Domänennamen eingeben, wenn DNS konfiguriert und effizient ist.

• UPN-Unterstützung: Aktivieren Sie dieses Kontrollkästchen, wenn sich die Quelle für den Benutzernamen im UPN-Format befindet, z. B. die Variable "session.saml.last.identity".

• Kontoname und Kontokennwort: APM-Dienstkontoanmeldeinformationen zum Ausführen von KCD

• SPN-Muster: Wenn Sie HTTP/%hverwenden, verwendet APM den Hostheader der Clientanforderung, um den SPN zu erstellen, für den es ein Kerberos-Token anfordert.

• Autorisierung senden: Deaktivieren Sie diese Option für Anwendungen, die die Aushandlung der Authentifizierung bevorzugen, anstatt das Kerberos-Token in der ersten Anfrage zu empfangen (z. B. Tomcat).

  

Sie können „KDC“ undefiniert lassen, wenn der Benutzerbereich nicht dem Bereich des Back-End-Servers entspricht. Diese Regel gilt auch für Szenarien mit mehreren Domänenbereichen. Wenn Sie KDC nicht definieren, versucht BIG-IP, einen Kerberos-Bereich über ein DNS-Lookup nach SRV-Einträgen für die Domäne des Back-End-Servers zu ermitteln. Es wird erwartet, dass der Domänenname mit dem Bereichsnamen identisch ist. Wenn sich der Domänenname unterscheidet, geben Sie ihn in der Datei "/etc/krb5.conf " an.

Die Kerberos-SSO-Verarbeitung ist schneller, wenn eine KDC per IP-Adresse angegeben wird. Die Kerberos-SSO-Verarbeitung ist langsamer, wenn eine KDC von einem Hostnamen angegeben wird. Wenn keine KDC definiert wird, ist die Verarbeitung aufgrund zusätzlicher DNS-Abfragen langsamer. Stellen Sie sicher, dass Ihr DNS optimal funktioniert, bevor Sie vom Proof of Concept zur Produktion übergehen.

Hinweis

Wenn sich Back-End-Server in mehreren Bereichen befinden, müssen Sie für jeden Bereich ein separates SSO-Konfigurationsobjekt erstellen.

Sie können Header als Teil der SSO-Anforderung an die Back-End-Anwendung integrieren. Ändern Sie die Einstellung "Allgemeine Eigenschaften " von "Basic" in "Erweitert".

Weitere Informationen zum Konfigurieren eines APM für KCD-SSO finden Sie im F5-Artikel K17976428: Übersicht über die eingeschränkte Kerberos-Delegierung.

Konfigurieren eines Zugriffsprofils

Ein Zugriffsprofil bindet APM-Elemente, die den Zugriff auf virtuelle BIG-IP-Server verwalten. Zu diesen Elementen zählen unter anderem Zugriffsrichtlinien, SSO-Konfiguration und Benutzeroberflächeneinstellungen.

1. Wählen Sie Access>Profiles / Policies>Access Profiles (Per-Session Policies)>Erstellen Sie die folgenden Eigenschaften, und geben Sie die folgenden Eigenschaften ein:

   • Name: Geben Sie beispielsweise "MyExpenses" ein.

   • Profiltyp: Alle auswählen

   • SSO-Konfiguration: Wählen Sie das von Ihnen erstellte KCD SSO-Konfigurationsobjekt aus.

   • Akzeptierte Sprachen: Hinzufügen von mindestens einer Sprache

   

2. Wählen Sie für das von Ihnen erstellte Sitzungsprofil "Bearbeiten" aus.

   

3. Der visuelle Richtlinien-Editor wird geöffnet. Wählen Sie das Pluszeichen neben dem Fallback aus.

   

4. Wählen Sie im Dialogfeld Authentifizierung>SAML-Authentifizierung>Element hinzufügen aus.

   

5. Legen Sie in der KONFIGURATION der SAML-Authentifizierungs-SP die AAA-Serveroption fest, um das von Ihnen erstellte SAML SP-Objekt zu verwenden.

   

6. Um den Branch Erfolgreich in Zulassen zu ändern, wählen Sie den Link im oberen Feld Verweigern aus.

7. Wählen Sie "Speichern" aus.

   

Konfigurieren von Attributzuordnungen

Obwohl es optional ist, können Sie eine LogonID_Mapping Konfiguration hinzufügen, um die BIG-IP aktive Sitzungsliste zu aktivieren, um den UPN des angemeldeten Benutzers anstelle einer Sitzungsnummer anzuzeigen. Diese Informationen sind hilfreich, wenn Sie Protokolle analysieren oder Probleme behandeln.

1. Wählen Sie für den Branch SAML-Authentifizierung erfolgreich das Pluszeichen aus.

2. Im Dialogfeld wählen Sie Zuweisung>Variable zuweisen>Element hinzufügen aus.

   

3. Geben Sie einen Namen ein.

4. Wählen Sie im Bereich Variable Zuweisen die Option Neuen Eintrag hinzufügen>ändern aus. Im folgenden Beispiel enthält das Feld Name den Namen LogonID_Mapping.

   

5. Legen Sie beide Variablen fest:

   • Benutzerdefinierte Variable: Geben Sie "session.logon.last.username" ein.
   • Sitzungsvariable: Geben Sie "session.saml.last.identity" ein.

6. Wählen Sie Abgeschlossen>Speichern aus.

7. Wählen Sie das Terminal "Verweigern" im Ast "Erfolgreich" der Zugriffsrichtlinie aus. Ändern Sie sie auf "Zulassen".

8. Wählen Sie "Speichern" aus.

9. Wählen Sie "Zugriffsrichtlinie übernehmen" aus, und schließen Sie den Editor.

   

Konfigurieren des Back-End-Pools

Damit BIG-IP den Clientdatenverkehr exakt weiterleiten kann, erstellen Sie ein BIG-IP-Knotenobjekt, das den Back-End-Server darstellt, der Ihre Anwendung hostet. Platzieren Sie diesen Knoten anschließend in einem BIG-IP-Serverpool.

1. Wählen Sie Local Traffic>Pools>Pool List>Create aus, und geben Sie einen Namen für ein Serverpoolobjekt an. Geben Sie beispielsweise MyApps_VMs ein.

   

2. Fügen Sie ein Poolmitglied-Objekt mit den folgenden Ressourcendetails hinzu:

   • Knotenname: Anzeigename für den Server, auf dem die Back-End-Webanwendung gehostet wird
   • Adresse: IP-Adresse des Servers, auf dem die Anwendung gehostet wird
   • Dienstport: HTTP/S-Port, auf den die Anwendung lauscht

   

Hinweis

In diesem Artikel wird die zusätzliche Konfiguration, die Integritätsmonitore benötigen, nicht behandelt. Lesen Sie hierzu K13397: Übersicht über die Formatierung von HTTP-Integritätsmonitoranforderungen für das BIG-IP-DNS-System.

Konfigurieren des virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird, die auf Clientanforderungen für die Anwendung lauscht. Empfangener Datenverkehr wird verarbeitet und anhand des APM-Zugriffsprofils, das dem virtuellen Server zugeordnet ist, ausgewertet, bevor er entsprechend der Richtlinie weitergeleitet wird.

So konfigurieren Sie einen virtuellen Server

1. Wählen Sie Lokaler Datenverkehr>Virtuelle Server>Virtuelle Server-Liste>Erstellen aus.

2. Geben Sie einen Namen und eine IPv4/IPv6-Adresse ein, die keinem BIG-IP Objekt oder Gerät im verbundenen Netzwerk zugeordnet ist. Die IP-Adresse ist dediziert für den Empfang von Clientdatenverkehr für die veröffentlichte Back-End-Anwendung bestimmt.

3. Legen Sie den Dienstport auf 443 fest.

   

4. Legen Sie HTTP-Profil (Client) auf http fest.

5. Aktivieren Sie die Verwendung von Transport Layer Security (TLS) für einen virtuellen Server, damit Dienste über HTTPS veröffentlicht werden können.

6. Wählen Sie für SSL-Profil (Client) das Profil aus, das Sie für die Voraussetzungen erstellt haben. Übernehmen Sie alternativ zum Testen den Standardwert.

   

7. Ändern Sie Quelladressenübersetzung in Auto Map.

   

8. Legen Sie unter "Zugriffsrichtlinie" das Zugriffsprofil basierend auf dem von Ihnen erstellten Profil fest. Durch diese Auswahl werden das Microsoft Entra-SAML-Vorauthentifizierungsprofil und die KCD-SSO-Richtlinie an den virtuellen Server gebunden.

   

9. Legen Sie den Standardpool fest, um die Back-End-Poolobjekte zu verwenden, die Sie im vorherigen Abschnitt erstellt haben.

10. Wählen Sie "Fertig" aus.

    

Konfigurieren der Einstellungen für die Sitzungsverwaltung

Mit den Einstellungen für die Sitzungsverwaltung von BIG-IP werden die Bedingungen definiert, unter denen Benutzersitzungen beendet werden oder fortgesetzt werden dürfen. Außerdem werden Grenzwerte für Benutzer und IP-Adressen sowie Fehlerseiten festgelegt. Sie können hier eine Richtlinie erstellen.

Wechseln Sie zu Access Policy>Access Profiles> Access Profile, und wählen Sie eine Anwendung aus der Liste aus.

Wenn Sie in Microsoft Entra ID einen URI für einmaliges Abmelden definiert haben, wird sichergestellt, dass durch eine IdP-initiierte Abmeldung vom MyApps-Portal die Sitzung zwischen Client und BIG-IP APM beendet wird. Die importierte XML-Datei mit Anwendungsverbundmetadaten stellt dem APM den Microsoft Entra-SAML-Abmeldeendpunkt für die SP-initiierte Abmeldung bereit. Um effektive Ergebnisse zu erzielen, muss das APM wissen, wann sich ein Benutzer abmeldet.

Stellen Sie sich ein Szenario vor, in dem kein BIG-IP-Webportal verwendet wird. Der Benutzer hat keine Möglichkeit, dem APM eine Abmeldeanweisung zu übermitteln. Selbst wenn sich der Benutzer von der Anwendung abmeldet, ist dies für BIG-IP nicht erkennbar, sodass die Anwendungssitzung über einmaliges Anmelden wiederhergestellt werden könnte. Bei einer SP-initiierten Abmeldung muss bedacht werden, wie das sichere Beenden von Sitzungen gewährleistet werden kann.

Hinweis

Sie können der Schaltfläche zum Abmelden von der Anwendung eine Funktion für einmaliges Abmelden (Single Log-Out, SLO) hinzufügen. Über diese Funktion wird Ihr Client zum Microsoft Entra-SAML-Abmeldeendpunkt umgeleitet. Suchen Sie den SAML-Abmeldeendpunkt bei App-Registrierungsendpunkten>.

Wenn Sie die App nicht ändern können, empfiehlt es sich gegebenenfalls, Big-IP auf den Abmeldeaufruf der App lauschen zu lassen. Wenn Big-IP die Anforderung erkennt, wird das einmalige Abmelden (SLO) ausgelöst.

Weitere Informationen finden Sie in folgenden F5-Artikeln:

• K42052145: Konfigurieren der automatischen Sitzungsbeendigung (Abmelden) basierend auf einem URI-Referenzdateinamen
• K12056: Übersicht über die Option 'Abmelden-URI einschließen'.

Zusammenfassung

Ihre Anwendung wird veröffentlicht und ist über SHA (entweder über die URL oder die Microsoft-Anwendungsportale) zugänglich. Die Anwendung ist als Zielressource in Microsoft Entra Conditional Access sichtbar.

Um die Sicherheit zu erhöhen, können Organisationen, die dieses Muster verwenden, den direkten Zugriff auf die Anwendung blockieren und einen strikten Pfad über BIG-IP erzwingen.

Nächste Schritte

Sie als Benutzer öffnen einen Browser und stellen eine Verbindung mit der externen URL der Anwendung her. Sie können das Anwendungssymbol im Microsoft MyApps-Portal auswählen. Nachdem Sie sich bei Ihrem Microsoft Entra-Mandanten authentifiziert haben, werden Sie zum BIG-IP-Endpunkt für die Anwendung umgeleitet und per einmaligem Anmelden (SSO) angemeldet.

Microsoft Entra B2B-Gastzugriff

SHA unterstützt den Gastzugriff von Microsoft Entra B2B. Gastidentitäten werden von Ihrem Microsoft Entra-Tenant mit Ihrer Kerberos-Zieldomäne synchronisiert. Eine lokale Darstellung von Gastobjekten ist für BIG-IP erforderlich, um KCD-SSO für die Back-End-Anwendung durchzuführen.

Problembehandlung

Beachten Sie bei der Problembehandlung die folgenden Punkte:

• Kerberos ist zeitabhängig. Für Server und Clients muss die richtige Zeit eingestellt sein, und nach Möglichkeit sollte eine Synchronisierung mit einer zuverlässigen Zeitquelle erfolgen.
• Stellen Sie sicher, dass die Hostnamen für den Domänencontroller und die Webanwendung im DNS auflösbar sind.
• Stellen Sie sicher, dass in Ihrer Umgebung keine doppelten SPNs vorhanden sind. Führen Sie an der Befehlszeile den Befehl setspn -q HTTP/my_target_SPN aus.

Hinweis

Informationen zum Überprüfen einer für KCD konfigurierten IIS-Anwendung finden Sie unter „Problembehandlung bei eingeschränkten Kerberos-Delegierungskonfigurationen für Anwendungsproxys“. Siehe auch den AskF5-Artikel Kerberos Single Sign-On-Methode.

Erhöhen der Ausführlichkeit des Protokolls

BIG-IP-Protokolle sind eine zuverlässige Informationsquelle. So erhöhen Sie die Ausführlichkeit des Protokolls:

1. Wechseln Sie zu Zugriffsrichtlinie>Übersicht>Ereignisprotokolle>Einstellungen.
2. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung aus.
3. Wählen Sie"Zugriffssystemprotokolle> aus.
4. Wählen Sie "Debuggen " aus der SSO-Liste aus.
5. Wählen Sie "OK" aus.

Reproduzieren Sie Ihr Problem, bevor Sie sich die Protokolle anschauen. Stellen Sie abschließend dieses Feature wieder her. Andernfalls ist die Ausführlichkeit wichtig.

BIG-IP Fehler

Wenn nach der Microsoft Entra-Vorauthentifizierung ein BIG-IP-Fehler auftritt, bezieht sich das Problem möglicherweise auf den SSO-Vorgang von Microsoft Entra ID bei BIG-IP.

1. Wechseln Sie zu Access>Übersicht>Access-Berichte.
2. Um in den Protokollen nach Hinweisen zu suchen, führen Sie den Bericht für die letzte Stunde aus.
3. Verwenden Sie den Link "Sitzungsvariablen anzeigen " für Ihre Sitzung, um zu verstehen, ob die APM die erwarteten Ansprüche von Microsoft Entra ID empfängt.

Back-End-Anforderung

Wenn kein BIG-IP-Fehler angezeigt wird, liegt das Problem wahrscheinlich bei dern Back-End-Anforderung oder dem einmaligen Anmelden von BIG-IP bei der Anwendung.

1. Wechseln Sie zu Zugriffsrichtlinie>Übersicht>Aktive Sitzungen.
2. Wählen Sie den Link für Ihre aktive Sitzung aus.
3. Um die Ursachen für KCD-Probleme zu ermitteln, verwenden Sie den Link Variablen anzeigen, insbesondere, wenn die BIG-IP APM die richtigen Benutzer- und Domänen-Kennungen nicht ermitteln kann.

Hilfreiche Informationen zur Diagnose KCD-bezogener Probleme finden Sie im F5 BIG-IP-Bereitstellungsleitfaden unter Konfigurieren der eingeschränkten Kerberos-Delegierung.

Ressourcen

• Mein F5-Artikel, Active Directory-Authentifizierung

• Vergessen Sie Kennwörter, gehen Sie kennwortlos

• Was ist bedingter Zugriff?

• Zero Trust Framework zum Aktivieren der Remotearbeit