Freigeben über

Konfigurieren der eingeschränkten Delegierung von F5 Kerberos für eine Single-Tier-SaaS-App

In diesem Artikel erfahren Sie, wie Sie F5 mit Microsoft Entra ID integrieren. Die Integration von F5 mit Microsoft Entra ID ermöglicht Folgendes:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf F5 hat.
  • Sie können es Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei F5 anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Weitere Informationen zur SaaS-App-Integration mit Microsoft Entra ID finden Sie unter "Was ist Anwendungszugriff und Einmaliges Anmelden mit Microsoft Entra ID".

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • Ein F5-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist.

  • Für die Bereitstellung der gemeinsamen Lösung wird folgende Lizenz benötigt:

    • F5 BIG-IP®-Paket „Best“ (oder)

    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM)

    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine bereits vorhandene Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM).

    • Zusätzlich zur oben genannten Lizenz kann das F5-System auch lizenziert werden mit:

      • Abonnement der URL-Filterung zur Verwendung der URL-Kategoriedatenbank

      • F5 IP Intelligence-Abonnement zur Erkennung und Blockierung von bekannten Angreifern und schädlichem Datenverkehr

      • Netzwerk-HSM (Hardwaresicherheitsmodul) zum Schutz und zur Verwaltung digitaler Schlüssel für eine sichere Authentifizierung

  • Das F5 BIG-IP-System wird mit APM-Modulen bereitgestellt. (LTM ist optional.)

  • Obwohl optional, wird dringend empfohlen, die F5-Systeme in einer Synchronisierungs-/Failovergerätegruppe (S/F DG) bereitzustellen, die das aktive Standby-Paar enthält, mit einer unverankerten IP-Adresse für hohe Verfügbarkeit (HA). Eine noch höhere Schnittstellenredundanz kann durch Verwendung des Link Aggregation Control-Protokolls (LACP) erzielt werden. LACP verwaltet die verbundenen physischen Schnittstellen als einzelne virtuelle Schnittstelle (Aggregatgruppe) und erkennt alle Schnittstellenfehler innerhalb der Gruppe.

  • Für Kerberos-Anwendungen: Ein lokales AD-Dienstkonto für die eingeschränkte Delegierung. Informationen zum Erstellen eines AD-Delegierungskontos finden Sie in der F5-Dokumentation .

Zugriffsgesteuerte Konfiguration

  • Die zugriffsgesteuerte Konfiguration wird ab Version 13.1.0.8 von F5 TMOS unterstützt. Wenn Ihr BIG-IP System eine Version unter 13.1.0.8 ausführt, lesen Sie den Abschnitt "Erweiterte Konfiguration" .

  • Die von Access geführte Konfiguration stellt eine neue und optimierte Benutzeroberfläche dar. Diese workflowbasierte Architektur bietet intuitive, eintrittsvariante Konfigurationsschritte, die auf die ausgewählte Topologie zugeschnitten sind.

  • Bevor Sie mit der Konfiguration fortfahren, aktualisieren Sie die geführte Konfiguration, indem Sie das neueste Anwendungsfallpaket von downloads.f5.com herunterladen. Gehen Sie zum Upgraden wie folgt vor:

    Hinweis

    Die bereitgestellten Screenshots stammen aus der neuesten veröffentlichten Version (BIG-IP 15.0 mit AGC-Version 5.0). Die Konfigurationsschritte gelten für diesen Anwendungsfall ab 13.1.0.8 bis zur neuesten BIG-IP-Version.

  1. Klicken Sie auf der Webbenutzeroberfläche von F5 BIG-IP auf Zugriff >>Geführte Konfiguration.

  2. Wählen Sie auf der Seite "Geführte Konfiguration aktualisieren " in der oberen linken Ecke die Option " Upgrade Guided Configuration " aus.

    Screenshot der Seite

  3. Wählen Sie im Popupbildschirm "Upgrade guide Configuration" die Option "Datei auswählen" aus, um das heruntergeladene Anwendungsfallpaket hochzuladen, und wählen Sie dann die Schaltfläche " Hochladen und Installieren " aus.

    Screenshot des Popupbildschirms

  4. Wenn das Upgrade abgeschlossen ist, wählen Sie die Schaltfläche " Weiter " aus.

    Screenshot des Dialogfelds

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

  • F5 unterstützt SP- und IDP-initiiertes einmaliges Anmelden
  • Einmaliges Anmelden von F5 kann auf drei unterschiedliche Arten konfiguriert werden:

Wichtige Authentifizierungsszenarien

Neben der nativen Microsoft Entra-Integrationsunterstützung für moderne Authentifizierungsprotokolle wie OpenID Connect, SAML und WS-Fed erweitert F5 den sicheren Zugriff für legacybasierte Authentifizierungs-Apps sowohl für den internen als auch für den externen Zugriff mit Microsoft Entra ID. So werden für diese Anwendungen moderne Szenarien wie etwa der kennwortlose Zugriff ermöglicht. Dies beinhaltet Folgendes:

  • Apps mit headerbasierter Authentifizierung

  • Apps mit Kerberos-Authentifizierung

  • Apps mit anonymer Authentifizierung oder ohne integrierte Authentifizierung

  • Apps mit NTLM-Authentifizierung (Schutz mit doppelten Eingabeaufforderungen für den Benutzer)

  • Formularbasierte Anwendung (Schutz mit doppelten Eingabeaufforderungen für den Benutzer)

Zum Konfigurieren der Integration von F5 in Microsoft Entra ID müssen Sie F5 aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Im Abschnitt Aus Katalog hinzufügen geben Sie im Suchfeld F5 ein.
  4. Wählen Sie im Ergebnisbereich F5 aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für F5

Konfigurieren und testen Sie Microsoft Entra SSO mit F5 mithilfe eines Testbenutzers namens B.Simon. Damit das einmalige Anmelden funktioniert, müssen Sie eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in F5 einrichten.

Führen Sie zum Konfigurieren und Testen von Microsoft Entra-SSO mit F5 die folgenden Schritte aus:

  1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon das Einmalige Anmelden von Microsoft Entra verwenden kann.
  2. Konfigurieren Sie F5 SSO – um die Einstellungen für einmaliges Anmelden auf Anwendungsseite zu konfigurieren.
    1. Erstellen Sie F5-Testbenutzer – um ein Gegenstück von B.Simon in F5 zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
  3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um einmaliges Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>F5>Einmaliges Anmelden.

  3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

  4. Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten das Bearbeitungs-/Stiftsymbol für Grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Grundlegende SAML-Konfiguration bearbeiten

  5. Geben Sie im Abschnitt "Grundlegende SAML-Konfiguration " die Werte für die folgenden Felder ein, wenn Sie die Anwendung im initiierten IDP-Modus konfigurieren möchten:

    a) Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://<YourCustomFQDN>.f5.com/

    b. Geben Sie im Textfeld "Antwort-URL " eine URL mit dem folgenden Muster ein: https://<YourCustomFQDN>.f5.com/

  6. Wählen Sie "Zusätzliche URLs festlegen" aus, und führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im initiierten SP-Modus konfigurieren möchten:

    Geben Sie im Textfeld "Anmelde-URL " eine URL mit dem folgenden Muster ein: https://<YourCustomFQDN>.f5.com/

    Hinweis

    Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL. Wenden Sie sich an das F5-Clientsupportteam , um diese Werte abzurufen. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

  7. Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten " im Abschnitt "SAML-Signaturzertifikat " nach Verbundmetadaten-XML und -Zertifikat (Base64) und wählen Sie dann "Herunterladen " aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Der Link zum Herunterladen des Zertifikats

  8. Kopieren Sie im Abschnitt "Einrichten von F5 " die entsprechenden URL(n) basierend auf Ihrer Anforderung.

    Kopieren von Konfigurations-URLs

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Richtlinien in der Schnellstartanleitung zum Erstellen und Zuweisen eines Benutzerkontos, um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für F5

Konfigurieren des einmaligen Anmeldens von F5 für eine Kerberos-Anwendung

Interaktive Konfiguration

  1. Melden Sie sich in einem neuen Webbrowserfenster bei der F5-Unternehmenswebsite (Kerberos) als Administrator an, und führen Sie die folgenden Schritte aus:

  2. Sie müssen das Zertifikat für die Metadaten in F5 importieren, das später im Einrichtungsprozess verwendet wird.

  3. Navigieren Sie zu Systemzertifikatverwaltung > Verwaltung des Datenverkehrszertifikats > SSL-Zertifikatliste>. Wählen Sie "Importieren " in der rechten Ecke aus. Geben Sie einen Zertifikatnamen an (wird später in der Konfiguration referenziert). Wählen Sie in der Zertifikatquelle "Datei hochladen" das aus Azure heruntergeladene Zertifikat aus, während Sie SAML Single Sign on konfigurieren. Wählen Sie "Importieren" aus.

    Screenshot der Seite

  4. Darüber hinaus benötigen Sie ein SSL-Zertifikat für den Anwendungshostnamen. Navigieren Sie zu System > Zertifikatverwaltung > Verkehrszertifikatverwaltung > SSL-Zertifikatliste. Wählen Sie "Importieren " in der rechten Ecke aus. Der Importtyp ist PKCS 12(IIS). Geben Sie einen Schlüsselnamen (wird später in der Konfiguration referenziert) und die PFX-Datei an. Geben Sie das Kennwort für das PFX an. Wählen Sie "Importieren" aus.

    Hinweis

    In dem Beispiel, in dem unser App-Name Kerbapp.superdemo.live ist, verwenden wir ein WildCard-Zertifikat, bei dem unser Schlüsselname WildCard-SuperDemo.live ist.

    Screenshot der Seite

  5. Wir verwenden die geführte Benutzeroberfläche, um die Microsoft Entra-Föderation und den Anwendungszugriff einzurichten. Navigieren Sie in F5 BIG-IP unter Hauptmenü zu Zugriff > Geführte Konfiguration > Verbund > SAML-Dienstanbieter. Wählen Sie "Weiter " und dann " Weiter" aus, um mit der Konfiguration zu beginnen.

    Screenshot der Seite

    Screenshot der Seite

  6. Geben Sie einen Konfigurationsnamen an. Geben Sie die Entitäts-ID an (identisch mit dem, was Sie in der Microsoft Entra-Anwendungskonfiguration konfiguriert haben). Geben Sie den Hostnamen an. Fügen Sie eine Beschreibung für den Verweis hinzu. Übernehmen Sie die restlichen Standardeinträge und -optionen, und klicken Sie anschließend auf Save & Next (Speichern und weiter).

    Screenshot der

  7. In diesem Beispiel erstellen wir einen neuen virtuellen Server als 192.168.30.200 mit Port 443. Geben Sie die IP-Adresse des virtuellen Servers in der Zieladresse an. Wählen Sie das Client-SSL-Profil aus, und wählen Sie "Neu erstellen" aus. Geben Sie zuvor hochgeladenes Anwendungszertifikat( das Wildcardzertifikat in diesem Beispiel) und den zugehörigen Schlüssel an, und wählen Sie dann "Speichern & Weiter" aus.

    Hinweis

    In diesem Beispiel wird unser interner Webserver am Port 80 ausgeführt, und wir möchten ihn mit dem Port 443 veröffentlichen.

    Screenshot der Seite

  8. Geben Sie unter Methode auswählen, um Ihren IdP-Connector zu konfigurieren, Metadaten an, wählen Sie "Datei auswählen" aus, und laden Sie die zuvor aus Microsoft Entra ID heruntergeladene Metadaten-XML-Datei hoch. Geben Sie einen eindeutigen Namen für DEN SAML-IDP-Connector an. Wählen Sie das Metadatensignaturzertifikat aus, das zuvor hochgeladen wurde. Wählen Sie "Speichern" und "Weiter" aus.

    Screenshot der Seite

  9. Unter "Pool auswählen" geben Sie "Neu erstellen" an (oder wählen Sie alternativ einen bereits vorhandenen Pool aus). Lassen Sie den anderen Wert unverändert. Geben Sie unter "Poolserver" die IP-Adresse unter "IP-Adresse/Knotenname" ein. Geben Sie den Port an. Wählen Sie "Speichern" und "Weiter" aus.

    Screenshot der Seite

  10. Aktivieren Sie im Bildschirm mit den Einstellungen für einmaliges Anmelden das Kontrollkästchen Enable Single Sign-On (Einmaliges Anmelden aktivieren).

  11. Wählen Sie unter ausgewählter einzelner Sign-On TypKerberos aus. Ersetzen Sie session.saml.last.Identity unter Quelle des Benutzernamens durch session.saml.last.attr.name.Identity. (Diese Variable wird unter Verwendung der Anspruchszuordnung in Microsoft Entra ID festgelegt.)

  12. Wählen Sie "Erweiterte Einstellung anzeigen" aus.

  13. Geben Sie unter Kerberos-Bereich den Domänennamen ein.

  14. Geben Sie unter Kontoname/Kontokennwort das APM-Delegierungskonto und das Kennwort an.

  15. Geben Sie die Domänencontroller-IP im KDC-Feld an.

  16. Wählen Sie "Speichern" und "Weiter" aus.

  17. Für diese Anleitung überspringen wir Endpunktüberprüfungen. Details finden Sie in der F5-Dokumentation. Wählen Sie auf dem Bildschirm "Speichern" und "Weiter" aus.

  18. Übernehmen Sie die Standardwerte, und wählen Sie "Speichern & Weiter" aus. Ausführliche Informationen zu den Einstellungen für die SAML-Sitzungsverwaltung finden Sie in der F5-Dokumentation.

    Screenshot der Seite

  19. Überprüfen Sie die Zusammenfassung, und wählen Sie Bereitstellen aus, um BIG-IP zu konfigurieren.

    Screenshot der Seite

  20. Nachdem die Anwendung konfiguriert wurde, wählen Sie "Fertig stellen" aus.

    Screenshot der Seite

Erweiterte Konfiguration

Hinweis

Referenz hier auswählen

Konfigurieren eines Active Directory-AAA-Servers

Sie konfigurieren einen Active Directory-AAA-Server in Access Policy Manager (APM), um Domänencontroller und Anmeldeinformationen anzugeben, die von APM zum Authentifizieren von Benutzern verwendet werden.

  1. Wählen Sie auf der Registerkarte "Haupt" die Option "Access Policy > AAA Servers > Active Directory" aus. Der Bildschirm mit der Active Directory-Serverliste wird geöffnet.

  2. Wählen Sie "Erstellen" aus. Der Bildschirm mit den Eigenschaften für den neuen Server wird geöffnet.

  3. Geben Sie im Feld "Name " einen eindeutigen Namen für den Authentifizierungsserver ein.

  4. Geben Sie im Feld "Domänenname" den Namen der Windows-Domäne ein.

  5. Wählen Sie für die Serververbindungseinstellung eine der folgenden Optionen aus:

    • Wählen Sie "Pool verwenden ", um hohe Verfügbarkeit für den AAA-Server einzurichten.

    • Wählen Sie "Direkt " aus, um den AAA-Server für eigenständige Funktionen einzurichten.

  6. Wenn Sie "Direkt" ausgewählt haben, geben Sie einen Namen in das Feld "Domänencontroller " ein.

  7. Wenn Sie " Pool verwenden" ausgewählt haben, konfigurieren Sie den Pool:

    • Geben Sie einen Namen in das Feld " Domänencontrollerpoolname " ein.

    • Geben Sie die Domänencontroller im Pool an, indem Sie jeweils die IP-Adresse und den Hostnamen eingeben und die Schaltfläche "Hinzufügen " auswählen.

    • Um die Integrität des AAA-Servers zu überwachen, haben Sie die Möglichkeit, einen Integritätsmonitor auszuwählen: In diesem Fall ist nur der gateway_icmp Monitor geeignet; Sie können ihn in der Liste "Serverpoolmonitor " auswählen.

  8. Geben Sie in das Feld Administratorname einen Namen für einen Administrator ein, der über administrative Rechte in Active Directory verfügt. APM verwendet die Informationen in den Feldern "Administratorname " und "Administratorkennwort " für AD-Abfrage. Wenn Active Directory für anonyme Abfragen konfiguriert ist, müssen Sie keinen Administratornamen angeben. Andernfalls benötigt APM ein Konto, das über ausreichende Berechtigungen für die Bindung an einen Active Directory-Server sowie für den Abruf von Benutzergruppeninformationen und Active Directory-Kennwortrichtlinien zur Unterstützung kennwortbezogener Funktionen verfügt. (APM muss z. B. Kennwortrichtlinien abrufen, wenn Sie die Option auswählen, den Benutzer aufzufordern, das Kennwort vor dem Ablauf zu ändern, in einer AD-Abfrageaktion.) Wenn Sie in dieser Konfiguration keine Administrator-Kontoinformationen angeben, nutzt APM dann das Benutzerkonto, um die Informationen abzurufen. In diesem Fall muss das Benutzerkonto über ausreichende Berechtigungen verfügen.

  9. Geben Sie im Feld "Administratorkennwort " das dem Domänennamen zugeordnete Administratorkennwort ein.

  10. Geben Sie im Feld "Administratorkennwort überprüfen " das Administratorkennwort erneut ein, das der Einstellung "Domänenname " zugeordnet ist.

  11. Geben Sie im Feld " Gruppencachelebensdauer " die Anzahl der Tage ein. Die Standardlebensdauer beträgt 30 Tage.

  12. Geben Sie im Feld „Kennwortsicherheits-Objektcache-Lebensdauer“ die Anzahl der Tage ein. Die Standardlebensdauer beträgt 30 Tage.

  13. Wählen Sie in der Liste der Kerberos-Vorauthentifizierungsverschlüsselungstyp einen Verschlüsselungstyp aus. Der Standardwert ist "None". Wenn Sie einen Verschlüsselungstyp angeben, schließt das BIG-IP-System Kerberos-Vorauthentifizierungsdaten in das erste AS-REQ-Paket (Authentication Service Request, Authentifizierungsdienstanforderung) ein.

  14. Geben Sie im Feld "Timeout" ein Timeoutintervall (in Sekunden) für den AAA-Server ein. (Diese Einstellung ist optional.)

  15. Wählen Sie "Fertig" aus. Der neue Server wird in der Liste angezeigt. Dadurch wird der neue Active Directory-Server der Active Directory-Serverliste hinzugefügt.

    Screenshot der Abschnitte

SAML-Konfiguration

  1. Sie müssen das Zertifikat für die Metadaten in F5 importieren, das später im Einrichtungsprozess verwendet wird. Navigieren Sie zu Systemzertifikatverwaltung > Verwaltung des Datenverkehrszertifikats > SSL-Zertifikatliste>. Wählen Sie "Importieren " in der rechten Ecke aus.

    Screenshot der Seite

  2. Um den SAML-IdP einzurichten, navigieren Sie zu Access > Federation > SAML: Service Provider > Externe IdP-Verbinder und wählen Sie „Aus Metadaten erstellen“ > aus.

    Screenshot der Seite „SAML-Dienstanbieter“ mit der Auswahl „Auf der Grundlage von Metadaten“ in der Dropdownliste „Erstellen“.

    Screenshot des Dialogfelds

    Screenshot des Fensters

    Screenshot, das das Fenster

    Screenshot des Fensters

    Screenshot des Fensters

  3. Navigieren Sie zum Einrichten des SAML-SP zu access > Federation > SAML Service Provider > Local SP Services , und wählen Sie "Erstellen" aus. Füllen Sie die folgenden Informationen aus, und wählen Sie "OK" aus.

    • Name: KerbApp200SAML
    • Entity ID* (Entitäts-ID): https://kerb-app.com.cutestat.com
    • SP Name Settings (SP-Namenseinstellungen)
    • Schema: https
    • Host: kerbapp200.superdemo.live
    • Beschreibung: kerbapp200.superdemo.live

    Screenshot des Fensters

    b. Wählen Sie die SP-Konfiguration „KerbApp200SAML“ aus, und klicken Sie auf IDP-Connectors binden/Bindung der IDP-Connectors aufheben.

    Screenshot der Seite „S A M L Service Provider - Local S P Services“ (SAML-Dienstanbieter – lokale SP-Dienste) mit der Auswahl „KerbAPP200 S A M L“

    Screenshot der ausgewählten Schaltfläche „Bind/Unbind I d P Connectors“ (IdP-Connectors binden/Bindung der IdP-Connectors aufheben)

    c. Wählen Sie "Neue Zeile hinzufügen " und dann den im vorherigen Schritt erstellten externen IDP-Connector aus, wählen Sie "Aktualisieren" und dann "OK" aus.

    Screenshot des Fensters „Edit S A M L I d Ps that use this S P“ (SAML-IdPs bearbeiten, die diesen SP nutzen) mit der ausgewählten Schaltfläche „Add New Row“ (Neue Zeile hinzufügen)

  4. Navigieren Sie zum Konfigurieren von Kerberos-SSO zu Access > Single Sign-On > Kerberos, führen Sie vollständige Informationen aus, und wählen Sie "Fertig stellen" aus.

    Hinweis

    Sie benötigen das Kerberos-Delegierungskonto, das erstellt und festgelegt werden muss. Informationen finden Sie im Abschnitt zu KCD. (Variablenverweise finden Sie im Anhang.)

    • Benutzernamenquelle: session.saml.last.attr.name.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Quelle des Benutzerbereichs: session.logon.last.domain

      Screenshot der Seite „Single Sign-On - Properties“ (Einmaliges Anmelden – Eigenschaften) mit hervorgehobenen Textfeldern „Username Source“ (Quelle des Benutzernamens) und „User Realm Source“ (Quelle des Benutzerbereichs)

  5. Navigieren Sie zum Konfigurieren von Access-Profil zu Access > Profile/Policies > Access Profile (pro Sitzungsrichtlinien), wählen Sie "Erstellen" aus, füllen Sie die folgenden Informationen aus, und wählen Sie "Fertig stellen" aus.

    • Name: KerbApp200

    • Profile Type (Profiltyp): All

    • Profilbereich: Profil

    • Sprachen: Englisch

      Screenshot der Seite

  6. Wählen Sie den Namen "KerbApp200" aus, füllen Sie die folgenden Informationen aus, und wählen Sie "Aktualisieren" aus.

    • Domain Cookie (Domänencookie): superdemo.live

    • SSO Configuration: KerAppSSO_sso

      Screenshot der Seite

  7. Wählen Sie "Zugriffsrichtlinie " und dann " Zugriffsrichtlinie bearbeiten" für das Profil "KerbApp200" aus.

    Screenshot der Seite

    Screenshot der Seite

    Screenshot der Seite „Zugriffsrichtlinie“ und des Dialogfelds „Variablenzuweisung“ mit hervorgehobenen Textfeldern „Zuweisung“.

    • session.logon.last.usernameUPN expr {[mcget {session.saml.last.identity}]}

    • session.ad.lastactualdomain TEXT superdemo.live

      Screenshot der Seite

    • (userPrincipalName=%{session.logon.last.usernameUPN})

      Screenshot der Seite

      Screenshot der hervorgehobenen Textfelder

    • session.logon.last.username expr { "[mcget {session.ad.last.attr.sAMAccountName}]" }

      Screenshot, der das Textfeld "Benutzername von der Anmeldeseite" hervorgehoben zeigt.

    • mcget {session.logon.last.username}

    • mcget {session.logon.last.password

  8. Navigieren Sie zum Hinzufügen eines neuen Knotens zur Knotenliste für lokale Verkehrsknoten >> , wählen Sie "Erstellen" aus, füllen Sie die folgenden Informationen aus, und wählen Sie dann "Fertig" aus.

    • Name: KerbApp200

    • Beschreibung: KerbApp200

    • Adresse: 192.168.20.200

      Screenshot der Seite

  9. Navigieren Sie zum Erstellen eines neuen Pools zur Poolliste für lokale Datenverkehrspools >> , wählen Sie "Erstellen" aus, füllen Sie die folgenden Informationen aus, und wählen Sie "Fertig" aus.

    • Name: KerbApp200-Pool

    • Beschreibung: KerbApp200-Pool

    • Health Monitors (Integritätsmonitore): http

    • Adresse: 192.168.20.200

    • Dienstport: 81

      Screenshot der Seite

  10. Um einen virtuellen Server zu erstellen, navigieren Sie zu Lokaler Datenverkehr > Virtuelle Server > Liste virtueller Server > +, füllen Sie die folgenden Informationen aus, und wählen Sie "Fertig".

    • Name: KerbApp200

    • Zieladresse/Maske: Host 192.168.30.200

    • Service Port (Dienstport): Port 443 HTTPS

    • Access Profile (Zugriffsprofil): KerbApp200

    • Geben Sie das im vorherigen Schritt erstellte Zugriffsprofil an.

      Screenshot der Seite

      Screenshot der Seite

Einrichten der Kerberos-Delegierung

Hinweis

Zur Referenz wählen Sie hier

  • Schritt 1: Erstellen eines Delegierungskontos

    Beispiel:

    • Domänenname: superdemo.live

    • Sam-Kontoname: big-ipuser

    • New-ADUser -Name "APM Delegation Account" -UserPrincipalName host/big-ipuser.superdemo.live@superdemo.live -SamAccountName "big-ipuser" -PasswordNeverExpires $true -Enabled $true -AccountPassword (Read-Host -AsSecureString "Password!1234")

  • Schritt 2: Festlegen von SPN (für das APM-Delegierungskonto)

    Beispiel:

    • setspn –A host/big-ipuser.superdemo.live big-ipuser

  • Schritt 3: SPN-Delegierung (für das App-Dienstkonto)

    Richten Sie die entsprechende Delegierung für das F5-Delegierungskonto ein.

    Im folgenden Beispiel wird das APM-Delegierungskonto für KCD für die App „FRP-App1.superdemo.live“. konfiguriert.

    F5-Konfiguration (Kerberos)

  • Geben Sie die Details wie in diesem Referenzdokument beschrieben ein.

Erstellen eines F5-Testbenutzers

In diesem Abschnitt erstellen Sie in F5 einen Benutzer namens B. Simon. Arbeiten Sie mit dem F5-Clientsupportteam zusammen, um die Benutzer auf der F5-Plattform hinzuzufügen. Benutzende müssen erstellt und aktiviert werden, damit Sie einmaliges Anmelden verwenden können.

Testen des einmaligen Anmeldens (SSO)

In diesem Abschnitt testen Sie Ihre Konfiguration für das einmalige Anmelden von Microsoft Entra mithilfe des Zugriffsbereichs.

Wenn Sie die F5-Kachel im Access-Bereich auswählen, sollten Sie automatisch bei der F5 angemeldet sein, für die Sie SSO einrichten. Weitere Informationen zur Access-Systemsteuerung finden Sie in der Einführung in die Access-Systemsteuerung.

Zusätzliche Ressourcen