Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie F5 mit Microsoft Entra ID integrieren. Die Integration von F5 mit Microsoft Entra ID ermöglicht Folgendes:
- Sie können in Microsoft Entra ID steuern, wer Zugriff auf F5 hat.
- Sie können es Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei F5 anzumelden.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Weitere Informationen zur SaaS-App-Integration mit Microsoft Entra ID finden Sie unter "Was ist Anwendungszugriff und Einmaliges Anmelden mit Microsoft Entra ID".
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine der folgenden Rollen:
- Ein F5-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist.
Beschreibung des Szenarios
In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
F5 unterstützt SSO, das von SP und IDP initiiert wird.
Einmaliges Anmelden von F5 kann auf drei unterschiedliche Arten konfiguriert werden:
Konfigurieren von F5 Single Sign-On für erweiterte Kerberos-Anwendung
Konfigurieren des einmaligen Anmeldens von F5 für eine headerbasierte Anwendung
Hinzufügen von F5 aus dem Katalog
Zum Konfigurieren der Integration von F5 in Microsoft Entra ID müssen Sie F5 aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Entra ID>Enterprise-Apps.
- Um eine neue Anwendung hinzuzufügen, wählen Sie "Neue Anwendung" aus.
- Geben Sie im Abschnitt "Aus Katalog hinzufügen" im Suchfeld F5 ein.
- Wählen Sie im Ergebnisbereich F5 aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Weitere Informationen zu Microsoft 365-Assistenten.
Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für F5
Konfigurieren und testen Sie Microsoft Entra SSO mit F5 mithilfe eines Testbenutzers namens B.Simon. Damit das einmalige Anmelden funktioniert, müssen Sie eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in F5 einrichten.
Führen Sie zum Konfigurieren und Testen von Microsoft Entra-SSO mit F5 die folgenden Schritte aus:
- Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
- Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
- Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon das Einmalige Anmelden von Microsoft Entra verwenden kann.
- Konfigurieren Sie F5-SSO – um die Einstellungen für einmaliges Anmelden auf Anwendungsseite zu konfigurieren.
- Erstellen Sie F5-Testbenutzer – um ein Gegenstück von B.Simon in F5 zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
- Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.
Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra
Führen Sie die folgenden Schritte aus, um einmaliges Anmelden von Microsoft Entra zu aktivieren.
Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Enterprise-Apps>F5>Einmaliges Anmelden.
Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.
Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten das Bearbeitungs-/Stiftsymbol für Grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.
Geben Sie im Abschnitt "Grundlegende SAML-Konfiguration " die Werte für die folgenden Felder ein, wenn Sie die Anwendung im initiierten IDP-Modus konfigurieren möchten:
a) Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein:
https://<YourCustomFQDN>.f5.com/b. Geben Sie im Textfeld "Antwort-URL " eine URL mit dem folgenden Muster ein:
https://<YourCustomFQDN>.f5.com/Wählen Sie "Zusätzliche URLs festlegen" aus, und führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im initiierten SP-Modus konfigurieren möchten:
Geben Sie im Textfeld "Anmelde-URL " eine URL mit dem folgenden Muster ein:
https://<YourCustomFQDN>.f5.com/Hinweis
Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL. Wenden Sie sich an das F5-Clientsupportteam , um diese Werte abzurufen. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.
Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten " im Abschnitt "SAML-Signaturzertifikat " die Partnerverbundmetadaten-XML , und wählen Sie "Herunterladen " aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.
Kopieren Sie im Abschnitt "Einrichten von F5 " die entsprechenden URL(n) basierend auf Ihrer Anforderung.
Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers
Befolgen Sie die Richtlinien in der Quickstart-Anleitung zum Erstellen und Zuweisen eines Benutzerkontos, um ein Testbenutzerkonto namens B.Simon zu erstellen.
Konfigurieren des einmaligen Anmeldens für F5
Konfigurieren des einmaligen Anmeldens von F5 für eine Advanced Kerberos-Anwendung
Melden Sie sich in einem neuen Webbrowserfenster bei der F5-Unternehmenswebsite (Advanced Kerberos) als Administrator an, und führen Sie die folgenden Schritte aus:
Sie müssen das Metadatenzertifikat in F5 (Advanced Kerberos) importieren. Es wird später im Setupvorgang verwendet. Gehen Sie zu
Systemzertifikatverwaltung . Wählen Sie Importieren in der rechten Ecke aus.Verkehrszertifikatverwaltung SSL-Zertifikatliste 
Navigieren Sie zum Einrichten des SAML-Identitätsanbieters zu Access > Federation > SAML Service Provider > Create > From Metadata (Zugriff > Verbund > SAML-Dienstanbieter > Erstellen > Aus Metadaten).
Geben Sie das in Schritt 3 hochgeladene Zertifikat an.
Navigieren Sie zum Einrichten des SAML-Dienstanbieters zu Access > Federation > SAML Service Federation > Local SP Services > Create (Zugriff > Verbund > SAML-Dienstverbund > Lokale SP-Dienste > Erstellen).
Wählen Sie "OK" aus.
Wählen Sie die SP-Konfiguration und dann "Bind/UnBind IdP Connectors" aus.
Wählen Sie "Neue Zeile hinzufügen " und dann den im vorherigen Schritt erstellten externen IDP-Connector aus.
Wählen Sie zum Konfigurieren des einmaligen Anmeldens (SSO) für Kerberos Access > Single Sign-on > Kerberos (Zugriff > Einmaliges Anmelden > Kerberos) aus.
Hinweis
Das Kerberos-Delegierungskonto muss erstellt und angegeben werden. Informationen finden Sie im Abschnitt zu KCD (Variablenverweise finden Sie im Anhang).
Username Source (Quelle des Benutzernamens)
session.saml.last.attr.name.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennameUser Realm Source (Quelle des Benutzerbereichs)
session.logon.last.domain
>
Navigieren Sie zum Konfigurieren des Zugriffsprofils zu Access > Profile/Policies > Access Profile (per session policies) (Zugriff > Profil/Richtlinien > Zugriffsprofil (Richtlinien nach Sitzung)).
Wählen Sie die Registerkarte "Zugriffsrichtlinie " aus, um allgemeine Eigenschaften und AAA-Server anzuzeigen. Wählen Sie für den Visual Policy Editor eine Richtlinie für ein profil aus, das bearbeitet werden soll, in diesem Beispiel KerbApp200.
session.logon.last.usernameUPN expr {[mcget {session.saml.last.identity}]}
session.ad.lastactualdomain TEXT superdemo.live
Bearbeiten Sie die Abfrageeigenschaften, um den Server superdemo.live und SearchFilter-Wert(userPrincipalName=%{session.logon.last.usernameUPN}) anzugeben.
(userPrincipalName=%{session.logon.last.usernameUPN})
Wählen Sie Verzweigungsregeln aus, um eine Verzweigungsregel und Eigenschaften zum Anzeigen von Eigenschaften hinzuzufügen.
- session.logon.last.username expr { "[mcget {session.ad.last.attr.sAMAccountName}]" }
- mcget {session.logon.last.username}
- mcget {session.logon.last.password}
Um einen neuen Knoten hinzuzufügen, gehen Sie zu Lokaler Verkehr > Knoten > Knotenliste > +.
Um einen neuen Pool zu erstellen, gehen Sie zu Lokaler Datenverkehr > Pools > Poolliste > Erstellen.
Um einen neuen virtuellen Server zu erstellen, wechseln Sie zu Lokaler Datenverkehr > Virtuelle Server > Virtuelle Serverliste > +.
Geben Sie das im vorherigen Schritt erstellte Zugriffsprofil an.
Einrichten der Kerberos-Delegierung
Hinweis
Weitere Informationen finden Sie hier
Schritt 1: Erstellen eines Delegierungskontos
- Beispiel
Domain Name : superdemo.live Sam Account Name : big-ipuser New-ADUser -Name "APM Delegation Account" -UserPrincipalName host/big-ipuser.superdemo.live@superdemo.live -SamAccountName "big-ipuser" -PasswordNeverExpires $true -Enabled $true -AccountPassword (Read-Host -AsSecureString "Password!1234")Schritt 2: Festlegen von SPN (im APM-Delegierungskonto)
- Beispiel
setspn –A host/big-ipuser.superdemo.live big-ipuserSchritt 3: SPN-Delegierung ( für das App-Dienstkonto)
Richten Sie die entsprechende Delegierung für das F5-Delegierungskonto ein.
Im folgenden Beispiel wird das APM-Delegierungskonto für KCD für die App „FRP-App1.superdemo.live“ konfiguriert.
Geben Sie die Details wie in diesem Referenzdokument beschrieben ein.
Anhang: SAML – F5 BIG-IP-Variablenzuordnungen unten:
>
Nachfolgend sehen Sie die vollständige Liste der SAML-Standardattribute. „GivenName“ wird mit der folgenden Zeichenfolge dargestellt:
session.saml.last.attr.name.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
| Sitzung | Attribut |
|---|---|
| eb46b6b6.session.saml.last.assertionID | <TENANT ID> |
| eb46b6b6.session.saml.last.assertionIssueInstant | <ID> |
| eb46b6b6.session.saml.last.assertionIssuer | https://sts.windows.net/<TENANT ID>/ |
| eb46b6b6.session.saml.last.attr.name.http://schemas.microsoft.com/claims/authnmethodsreferences | http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| eb46b6b6.session.saml.last.attr.name.http://schemas.microsoft.com/identity/claims/displayname | user0 |
| eb46b6b6.session.saml.last.attr.name.http://schemas.microsoft.com/identity/claims/identityprovider | https://sts.windows.net/<TENANT ID>/ |
| eb46b6b6.session.saml.last.attr.name.http://schemas.microsoft.com/identity/claims/objectidentifier | <TENANT ID> |
| eb46b6b6.session.saml.last.attr.name.http://schemas.microsoft.com/identity/claims/tenantid | <TENANT ID> |
| eb46b6b6.session.saml.last.attr.name.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | user0@superdemo.live |
| eb46b6b6.session.saml.last.attr.name.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | user0 |
| eb46b6b6.session.saml.last.attr.name.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | user0@superdemo.live |
| eb46b6b6.session.saml.last.attr.name.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | 0 |
| eb46b6b6.session.saml.last.audience | https://kerbapp.superdemo.live |
| eb46b6b6.session.saml.last.authNContextClassRef | urn:oasis:names:tc:SAML:2.0:ac:classes:Password |
| eb46b6b6.session.saml.last.authNInstant | <ID> |
| eb46b6b6.session.saml.last.identity | user0@superdemo.live |
| eb46b6b6.session.saml.last.inResponseTo | <TENANT ID> |
| eb46b6b6.session.saml.last.nameIDValue | user0@superdemo.live |
| eb46b6b6.session.saml.last.nameIdFormat | urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
| eb46b6b6.session.saml.last.responseDestination | https://kerbapp.superdemo.live/saml/sp/profile/post/acs |
| eb46b6b6.session.saml.last.responseId | <TENANT ID> |
| eb46b6b6.session.saml.last.responseIssueInstant | <ID> |
| eb46b6b6.session.saml.last.responseIssuer | https://sts.windows.net/<TENANT ID>/ |
| eb46b6b6.session.saml.last.result | 1 |
| eb46b6b6.session.saml.last.samlVersion | 2.0 |
| eb46b6b6.session.saml.last.sessionIndex | <TENANT ID> |
| eb46b6b6.session.saml.last.statusValue | urn:oasis:names:tc:SAML:2.0:status:Success |
| eb46b6b6.session.saml.last.subjectConfirmDataNotOnOrAfter | <ID> |
| eb46b6b6.session.saml.last.subjectConfirmDataRecipient | https://kerbapp.superdemo.live/saml/sp/profile/post/acs |
| eb46b6b6.session.saml.last.subjectConfirmMethod | urn:oasis:names:tc:SAML:2.0:cm:bearer |
| eb46b6b6.session.saml.last.validityNotBefore | <ID> |
| eb46b6b6.session.saml.last.validityNotOnOrAfter | <ID> |
Erstellen eines F5-Testbenutzers
In diesem Abschnitt erstellen Sie in F5 einen Benutzer namens B. Simon. Arbeiten Sie mit dem F5-Clientsupportteam zusammen, um die Benutzer auf der F5-Plattform hinzuzufügen. Benutzende müssen erstellt und aktiviert werden, damit Sie einmaliges Anmelden verwenden können.
Testen des einmaligen Anmeldens (SSO)
In diesem Abschnitt testen Sie Ihre Konfiguration für das einmalige Anmelden von Microsoft Entra mithilfe des Zugriffsbereichs.
Wenn Sie die F5-Kachel im Access-Bereich auswählen, sollten Sie automatisch bei der F5 angemeldet sein, für die Sie SSO einrichten. Weitere Informationen zur Access-Systemsteuerung finden Sie in der Einführung in die Access-Systemsteuerung.
Zusätzliche Ressourcen
Liste der Artikel zur Integration von SaaS-Apps mit Microsoft Entra ID
Was ist Anwendungszugriff und Einmalanmeldung mit Microsoft Entra ID?
Konfigurieren des einmaligen Anmeldens von F5 für eine headerbasierte Anwendung
F5 BIG-IP APM- und Microsoft Entra-Integration für sicheren Hybridzugriff
Artikel zur Microsoft Entra Single Sign-On-Integration mit F5-BIG-IP für KENNWORTloses VPN