Didacticiel : Configurer F5 BIG-IP Easy Button pour l’authentification unique Kerberos

Découvrez comment sécuriser des applications basées sur Kerberos avec Microsoft Entra ID en utilisant la configuration guidée F5 BIG-IP Easy Button version 16.1.

L’intégration de BIG-IP à Microsoft Entra ID présente de nombreux avantages, notamment :

• Amélioration de la gouvernance : Consultez l’infrastructure Confiance Zéro pour activer le travail à distance et en savoir plus sur la pré-authentification Microsoft Entra.
• Application des stratégies d’organisation. Voir Qu’est-ce que l’accès conditionnel ?.
• Authentification unique complète entre Microsoft Entra ID et les services publiés par BIG-IP
• Gérez les identités et l’accès à partir d’un plan de contrôle unique, le Centre d’administration Microsoft Entra.

Pour en savoir plus sur les avantages, consultez l’article sur F5 BIG-IP et l’intégration de Microsoft Entra.

Description du scénario

Ce scénario est une application héritée qui utilise l’authentification Kerberos, également appelée Authentification Windows intégrée, pour contrôler l’accès au contenu protégé.

L’application étant ancienne, elle ne dispose pas de protocoles modernes permettant la prise en charge de l’intégration directe avec Microsoft Entra ID. Vous pouvez moderniser l’application, mais elle est coûteuse, nécessite une planification et présente un risque de temps d’arrêt potentiel. Au lieu de cela, un contrôleur de remise d’application (ADC) BIG-IP F5 comble le manque entre l’ancienne application et le plan de contrôle d’ID moderne, par le biais de la transition de protocole.

Un BIG-IP devant l’application permet de superposer le service avec la préauthentification Microsoft Entra et l’authentification unique basée sur les en-têtes, améliorant ainsi la posture de sécurité de l’application.

Note

Les organisations obtiennent un accès à distance à ce type d’application avec le proxy d’application Microsoft Entra

Architecture du scénario

La solution d’accès hybride sécurisé (SHA) pour ce scénario comprend les éléments suivants :

• Application : service publié BIG-IP qui sera protégé par SHA Microsoft Entra. L’hôte d’application est joint à un domaine.
• Microsoft Entra ID : fournisseur d’identité (IdP) SAML (Security Assertion Markup Language) qui vérifie les informations d’identification utilisateur, l’accès conditionnel et l’authentification unique basée sur SAML dans BIG-IP. Avec l’authentification unique, Microsoft Entra ID fournit les attributs de session nécessaires à BIG-IP.
• KDC : Rôle de centre de distribution de clés (KDC) sur un contrôleur de domaine (DC), émission de tickets Kerberos
• BIG-IP : Proxy inverse et fournisseur de services SAML pour l’application, déléguant l’authentification à l’IdP SAML avant d’effectuer une authentification unique basée sur Kerberos auprès de l’application principale.

Le SHA pour ce scénario prend en charge les flux lancés par le fournisseur de services et le fournisseur d’identité. L’image suivante illustre le flux du fournisseur de services.

1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP)
2. La stratégie d’accès Access Policy Manager (APM) BIG-IP redirige l’utilisateur vers Microsoft Entra ID (IdP SAML)
3. Microsoft Entra ID préauthentifie l’utilisateur et applique les stratégies d’accès conditionnel en vigueur
4. L’utilisateur est redirigé vers BIG-IP (SAML SP) et SSO est exécuté à l’aide du jeton SAML émis
5. BIG-IP demande un ticket Kerberos auprès du KDC
6. BIG-IP envoie une demande à une application principale, ainsi qu’un ticket Kerberos pour l’authentification unique
7. L’application autorise la demande et retourne une charge utile

Prerequisites

Aucune expérience préalable de BIG-IP n’est nécessaire, mais vous aurez besoin des éléments suivants :

• Un compte gratuit Azure ou une version ultérieure
• Un BIG-IP ou déploiement d’une BIG-IP Virtual Edition (VE) dans Azure
• L’une des licences F5 BIG-IP suivantes :
  • Offre groupée F5 BIG-IP® optimale
  • Licence autonome F5 BIG-IP APM
  • Licence de composant additionnel F5 BIG-IP APM sur une instance de BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Licence d’essai gratuit de 90 jours BIG-IP
• Identités utilisateur synchronisées à partir d’un répertoire local vers l’ID Microsoft Entra, ou créées dans l’ID Microsoft Entra et transmises à votre annuaire local
• Un des rôles suivants : Administrateur d’application cloud ou Administrateur d’application.
• Un certificat web SSL pour la publication de services via HTTPS ou utiliser les certificats par défaut BIG-IP lors du test
• Une application Kerberos ou apprendre à configurer l’authentification unique avec Internet Information Services (IIS) sur Windows.

Méthodes de configuration BIG-IP

Ce tutoriel présente la Configuration guidée, la version 16.1 avec un modèle Easy Button. Grâce à Easy Button, les administrateurs n’ont plus besoin d’aller et venir entre Microsoft Entra ID et BIG-IP pour activer les services pour le SHA. L'Assistant de configuration guidée d’APM et Microsoft Graph gèrent les déploiements et les stratégies. L'intégration entre BIG-IP APM et Microsoft Entra ID garantit que les applications prennent en charge la fédération des identités, l’authentification unique et l’accès conditionnel Microsoft Entra ID, ce qui réduit la surcharge administrative.

Note

Remplacez les exemples de chaînes ou de valeurs de cet article par ceux de votre environnement.

Inscrire Easy Button

La plateforme d’identités Microsoft approuve un service ou un client, puis peut accéder à Microsoft Graph. Cette action crée une inscription d’application cliente pour autoriser l’accès d’Easy Button à Graph. Avec ces autorisations, BIG-IP envoie les configurations pour établir une relation d’approbation entre une instance SAML SP pour une application publiée et Microsoft Entra ID en tant qu’IdP SAML.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

2. Accédez à Entra ID>Inscriptions d'applications>Nouvelle inscription.

3. Entrez un nom d’affichage pour votre application. Par exemple, F5 BIG-IP Easy Button.

4. Spécifiez qui peut utiliser les comptes d’application >dans cet annuaire organisationnel uniquement.

5. Sélectionnez Inscrire.

6. Accédez aux autorisations d’API et autorisez les autorisations d’application Microsoft Graph suivantes :

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

7. Accorder le consentement administrateur pour votre organisation.

8. Sur Certificats & Secrets, générez un nouveau secret client. Notez ce secret.

9. Dans Vue d’ensemble, notez l’ID client et l’ID de locataire.

Configurer Easy Button

Démarrez la Configuration guidée de l’APM pour lancer le modèle Easy Button.

1. Accédez à Accès > Configuration guidée > Microsoft Integration et sélectionnez Microsoft Entra Application.

2. Passez en revue les étapes de configuration et sélectionnez Suivant

3. Suivez les étapes suivantes pour publier votre application.

   

Propriétés de configuration

L'onglet Propriétés de configuration crée un fichier de configuration de l'application BIG-IP et un objet d'authentification unique (SSO). La section Détails du compte de service Azure peut représenter le client que vous avez inscrit dans votre locataire Microsoft Entra précédemment, en tant qu’application. Ces paramètres permettent au client OAuth de BIG-IP d’inscrire SAML SP dans votre locataire, avec les propriétés d’authentification unique que vous auriez configurées manuellement. Easy Button effectue cette action pour chaque service BIG-IP publié et activé pour SHA.

Certains paramètres sont globaux qui peuvent être réutilisés pour publier d’autres applications, ce qui réduit le temps et l’effort de déploiement.

1. Fournissez un nom de configuration unique.
2. Activez Single Sign-On (SSO) & HTTP Headers.
3. Entrez l’ID de locataire, l’ID client et la clé secrète client que vous avez notés lors de l’inscription du client Easy Button dans votre locataire.
4. Vérifiez que BIG-IP se connecte à votre locataire.
5. Sélectionnez Suivant.

Fournisseur de services

Les paramètres Fournisseur de services sont les propriétés de l’instance SAML SP de l’application protégée via SHA.

1. Pour l’hôte, entrez le nom de domaine complet public (FQDN) de l’application sécurisée.

2. Pour l’ID d’entité, entrez l’identificateur que Microsoft Entra ID utilise pour identifier le fournisseur de services SAML demandant un jeton.

   

Les paramètres de sécurité facultatifs spécifient si l’ID Microsoft Entra chiffre les assertions SAML émises. Le chiffrement des assertions entre Microsoft Entra ID et APM BIG-IP offre une garantie supplémentaire que le contenu des jetons ne peut pas être intercepté et que ni les données personnelles ni les données professionnelles ne peuvent être compromises.

3. Dans la liste des clés privées de déchiffrement d’assertion, sélectionnez Créer un nouveau.

4. Sélectionnez OK. La boîte de dialogue Importer un certificat et des clés SSL s’affiche.
5. Sélectionnez PKCS 12 (IIS) pour importer votre certificat et votre clé privée.
6. Une fois l’approvisionnement effectué, fermez l’onglet du navigateur pour revenir à l’onglet principal.

7. Activez l’assertion chiffrée.
8. Si vous avez activé le chiffrement, sélectionnez votre certificat dans la liste des clés privées de déchiffrement d’assertion . La clé privée est destinée au certificat qu’utilise APM BIG-IP pour déchiffrer les assertions Microsoft Entra.
9. Si vous avez activé le chiffrement, sélectionnez votre certificat dans la liste des certificats de déchiffrement d’assertion . BIG-IP charge ce certificat dans Microsoft Entra ID pour chiffrer les assertions SAML émises.

Microsoft Entra ID (système d'identification de Microsoft)

Cette section définit les propriétés pour configurer manuellement une nouvelle application SAML BIG-IP dans votre locataire Microsoft Entra. Easy Button fournit des modèles d’applications pour Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP Enterprise Resource Planning (ERP) et un modèle SHA générique pour toute autre application.

Pour ce scénario, sélectionnez F5 BIG-IP APM Microsoft Entra ID Integration > Add.

Configuration d’Azure

1. Entrez un Nom d’affichage de l’application que crée BIG-IP dans votre abonné Microsoft Entra et l’icône dans le portail Mes applications.

2. Laissez Sign On URL (optional) [URL de connexion (facultatif)] vide pour activer l’authentification lancée par le fournisseur d’identité.

3. Sélectionnez l’icône d’actualisation en regard de la clé de signature et du certificat de signature pour localiser le certificat que vous avez importé.

4. Dans la phrase secrète de clé de signature, entrez le mot de passe du certificat.

5. Activez l’option de signature (facultatif) pour vous assurer que BIG-IP accepte les jetons et revendications signés par l’ID Microsoft Entra.

   

6. Les utilisateurs et les groupes d’utilisateurs sont automatiquement consultés depuis votre instance Microsoft Entra et autorisent l’accès à l’application. Ajoutez un utilisateur ou un groupe pour les tests ; sinon, tous les accès sont refusés.

   

Attributs utilisateur & revendications

Lorsqu’un utilisateur s’authentifie à Microsoft Entra ID, ce dernier émet un jeton SAML avec un ensemble par défaut de revendications et d’attributs qui identifient l’utilisateur. L’onglet Attributs utilisateur et revendications affiche les revendications par défaut à émettre pour la nouvelle application. Utilisez-le pour configurer d’autres revendications.

L’infrastructure est basée sur un suffixe de domaine .com utilisé en interne et en externe. Aucun autre attribut n’est nécessaire pour réaliser une implémentation fonctionnelle de l’authentification unique de la délégation Kerberos contrainte (KCD). Consultez le tutoriel avancé pour plusieurs domaines ou connexion utilisateur à l’aide d’un autre suffixe.

Attributs utilisateur supplémentaires

L’onglet Attributs utilisateur supplémentaires prend en charge différents systèmes distribués nécessitant des attributs stockés dans d’autres répertoires, pour l’augmentation de session. Les attributs récupérés auprès d’une source LDAP (Lightweight Directory Access Protocol) peuvent être injectés sous forme d’en-têtes d'authentification unique pour faciliter le contrôle de l’accès en fonction des rôles, des ID de partenaire, etc.

Note

Cette fonctionnalité n’a aucune corrélation avec Microsoft Entra ID, mais constitue une autre source d’attributs.

Stratégie d’accès conditionnel

Les stratégies d’accès conditionnel sont appliquées après la préauthentification Microsoft Entra, pour contrôler l’accès en fonction de l’appareil, de l’application, de l’emplacement et des signaux de risque.

La vue Stratégies disponibles affiche les stratégies d’accès conditionnel sans actions basées sur l’utilisateur.

La vue Stratégies sélectionnées affiche les stratégies ciblant les applications cloud. Vous ne pouvez pas désélectionner les stratégies appliquées au niveau du locataire ni les déplacer vers la liste Stratégies disponibles.

Pour sélectionner une stratégie à appliquer à l’application en cours de publication :

1. Dans la liste Stratégies disponibles , sélectionnez une stratégie.
2. Sélectionnez la flèche droite et déplacez-la vers la liste Stratégies sélectionnées .

Les stratégies sélectionnées ont besoin d’une option Include ou Exclude activée. Si les deux options sont cochées, la stratégie sélectionnée n’est pas appliquée.

Note

La liste des stratégies s’affiche une fois, après avoir basculé vers cet onglet. Vous pouvez utiliser le bouton Actualiser pour forcer manuellement l’Assistant à interroger votre locataire, mais ce bouton apparaît après le déploiement de l’application.

Propriétés du serveur virtuel

Un serveur virtuel est un objet du plan de données BIG-IP représenté par une adresse IP virtuelle à l’écoute des demandes des clients vers l’application. Le trafic reçu est traité et évalué par rapport au profil APM associé au serveur virtuel. Le trafic est dirigé conformément à la stratégie.

1. Entrez une adresse de destination, une adresse IPv4/IPv6 disponible que le BIG-IP peut utiliser pour recevoir le trafic client. Il existe un enregistrement correspondant dans le serveur du nom de domaine (DNS), ce qui permet aux clients de résoudre l’URL externe de votre application BIG-IP publiée sur cette adresse IP au lieu de l’application. L’utilisation du DNS localhost d’un PC de test est acceptable pour des tests.

2. Pour le port de service , entrez 443 pour HTTPS.

3. Activez le port de redirection , puis entrez le port de redirection, qui redirige le trafic client HTTP entrant vers HTTPS.

4. Le profil SSL du client permet d’activer le serveur virtuel pour HTTPS afin que les connexions clientes soient chiffrées sur TLS (Transport Layer Security). Sélectionnez le profil SSL client que vous avez créé pour les prérequis ou conservez la valeur par défaut si vous effectuez des tests.

   

Propriétés du pool

L’onglet Pool d’applications affiche les services derrière un BIG-IP, représenté en tant que pool avec des serveurs d’applications.

1. Pour Sélectionner un pool, créez un pool ou sélectionnez-en un.

2. Choisissez une méthode d’équilibrage de charge, telle que Round Robin.

3. Pour les serveurs de pool , sélectionnez un nœud de serveur ou spécifiez une adresse IP et un port pour le nœud principal hébergeant l’application basée sur l’en-tête.

   

L’application back-end s’exécute sur le port HTTP 80. Vous pouvez le changer pour le port 443 si votre application fonctionne sur le protocole HTTPS.

Authentification unique et en-têtes HTTP

L’activation de l’authentification unique permet aux utilisateurs d’accéder aux services publiés BIG-IP sans avoir à entrer leurs informations d’identification. L’Assistant Easy Buttonprend en charge Kerberos, OAuth Bearer et les en-têtes d’autorisation HTTP pour l’authentification unique. Pour obtenir ces instructions, utilisez le compte de délégation Kerberos que vous avez créé.

Activez Kerberos et affichez le paramètre avancé pour entrer les éléments suivants :

• Source du nom d’utilisateur : Nom d’utilisateur préféré à mettre en cache pour l’authentification unique. Vous pouvez fournir une variable de session comme source de l’ID utilisateur, mais session.saml.last.identity fonctionne mieux, car elle contient la revendication Microsoft Entra contenant l’ID utilisateur connecté.

• Source du domaine utilisateur : Obligatoire si le domaine utilisateur diffère du domaine Kerberos BIG-IP. Dans ce cas, la variable de session APM contient le domaine de l’utilisateur connecté. Par exemple, session.saml.last.attr.name.domain

  

• KDC : Adresse IP du contrôleur de domaine ou nom de domaine complet si DNS est configuré et efficace

• UPN Support Autoriser APM à utiliser le nom d’utilisateur principal (UPN) pour la gestion des tickets Kerberos

• Modèle SPN : Utilisez HTTP/%h pour informer l’APM d’utiliser l’en-tête hôte de la requête du client et de générer le nom du principal de service (SPN) pour lequel il demande un jeton Kerberos.

• Envoyer une autorisation : Désactivez les applications qui négocient l’authentification au lieu de recevoir le jeton Kerberos dans la première requête. Par exemple, Tomcat.

  

Gestion des sessions

Les paramètres de gestion d’une session BIG-IP définissent les conditions dans lesquelles les sessions utilisateur s’arrêtent ou se poursuivent, les limites des utilisateurs et des adresses IP, ainsi que les informations utilisateur correspondantes. Reportez-vous à l’article AskF5 K18390492 : Sécurité | BIG-IP guide des opérations APM pour plus d’informations sur les paramètres.

La fonctionnalité de déconnexion unique (SLO) n’est pas couverte, elle garantit que les sessions entre le fournisseur d’identité, BIG-IP et l’agent utilisateur se terminent lorsque les utilisateurs se déconnectent. Lorsque le Easy Button instancie une application SAML dans votre locataire Microsoft Entra, il remplit l’URL de déconnexion avec le point de terminaison APM SLO. Une déconnexion initiée par le fournisseur d’identité à partir du portail Mes applications de Microsoft Entra met fin à la session entre BIG-IP et le client.

Les métadonnées de fédération SAML de l’application publiée sont importées à partir de votre abonné, fournissant à l’APM le point de terminaison de déconnexion SAML pour Microsoft Entra ID. Cette action garantit qu’une déconnexion initiée par le fournisseur de services met fin à la session entre un client et Microsoft Entra ID. L’APM doit savoir quand un utilisateur se déconnecte de l’application.

Si le portail webtop BIG-IP accède aux applications publiées, APM traite une déconnexion pour appeler le point de terminaison de déconnexion Microsoft Entra. Si le portail webtop de BIG-IP n’est pas utilisé, l’utilisateur ne peut pas demander à APM de se déconnecter. Même si l’utilisateur se déconnecte de l’application proprement dite, BIG-IP n’en est pas conscient. Par conséquent, tenez compte de la déconnexion initiée par le fournisseur de services pour garantir que les sessions se terminent en toute sécurité. Vous pouvez ajouter une fonction SLO au bouton Se déconnecter de votre application, afin qu’il redirige votre client vers Microsoft Entra SAML ou le point de terminaison de déconnexion BIG-IP.

L’URL du point de terminaison de déconnexion SAML de votre locataire se trouve dans Inscriptions d’applications > Points de terminaison.

Si vous ne pouvez pas modifier l’application, pensez à ce que le BIG-IP écoute l’appel de déconnexion de l’application, et à la détection de la demande, elle déclenche SLO. Pour en savoir plus sur BIG-IP iRules, reportez-vous au guide Oracle PeopleSoft SLO. Pour plus d’informations sur l’utilisation des iRules BIG-IP, consultez :

• K42052145 : configuration de l’arrêt automatique de session (déconnexion) en fonction d’un nom de fichier référencé par l’URI
• K12056 : Vue d’ensemble de l’option Inclure l’URI de déconnexion.

Résumé

Cette section présente la répartition de vos configurations.

Sélectionnez Déployer pour valider les paramètres et vérifier que l’application figure dans la liste des applications d’entreprise.

Configurations KCD

Pour que BIG-IP APM effectue l’authentification unique sur l’application back-end pour le compte des utilisateurs, configurez le centre de distribution de clés (KCD) dans le domaine Active Directory cible. La délégation de l’authentification requiert que vous approvisionniez BIG-IP APM avec un compte de service de domaine.

Sautez cette section si votre compte de service APM et la délégation sont configurés. Sinon, connectez-vous à un contrôleur de domaine avec un compte d’administrateur.

Dans ce scénario, l'application est hébergée sur le serveur APP-VM-01 et s'exécute dans le contexte d'un compte de service nommé web_svc_account, et non dans l'identité de l'ordinateur. Le compte de service de délégation affecté à APM est F5-BIG-IP.

Créer un compte de délégation APM BIG-IP

Le BIG-IP ne prend pas en charge les comptes de service administrés de groupe (gMSA), créez donc un compte d’utilisateur standard à utiliser comme compte de service APM.

1. Entrez la commande PowerShell suivante. Remplacez les valeurs UserPrincipalName et SamAccountName par vos valeurs d’environnement. Pour une sécurité optimisée, utilisez un SPN dédié qui correspond à l’en-tête d’hôte de l’application.

   New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

   HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

   Note

   Lorsque l’hôte est utilisé, toute application s’exécutant sur l’hôte délègue le compte tandis que lorsque HTTPS est utilisé, il autorise uniquement les opérations liées au protocole HTTP.

2. Créez un nom de principal de service (SPN) pour le compte de service APM à utiliser lors de la délégation au compte de service d’application web :

   Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{ Add="host/f5-big-ip.contoso.com" }

   Note

   Il est obligatoire d’inclure la partie host/ au format UserPrincipleName (host/name.domain@domain) ou ServicePrincipleName (host/name.domain).

3. Avant de spécifier le SPN cible, affichez sa configuration SPN. Assurez-vous que le SPN s’affiche sur le compte de service APM. Le compte de service APM délègue l’application web :

   • Vérifiez que votre application web s’exécute dans le contexte de l’ordinateur ou dans un compte de service dédié.

   • Pour le contexte Computer, utilisez la commande suivante pour interroger l’objet de compte afin de voir ses SPN définis. Remplacez < name_of_account > par le compte de votre environnement.

     Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Par exemple : Get-User -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

   • Pour le compte de service dédié, utilisez la commande suivante pour interroger l’objet de compte afin de voir ses SPN définis. Remplacez < name_of_account > par le compte de votre environnement.

     Get-User -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Par exemple :

     Get-Computer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

4. Si l’application s’est exécutée dans le contexte de l’ordinateur, ajoutez le nom de principal du service à l’objet du compte d’ordinateur.

   Set-Computer -Identity APP-VM-01 -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Une fois les SPN définis, établissez la confiance pour le compte de service APM délégué à ce service. La configuration varie en fonction de la topologie de votre instance BIG-IP et de votre serveur d’applications.

Configurer BIG-IP et une application cible dans le même domaine

1. Définissez la confiance pour le compte de service APM afin de déléguer l’authentification :

   Get-User -Identity f5-big-ip | Set-AccountControl -TrustedToAuthForDelegation $true

2. Le compte de service APM doit savoir à quel SPN cible déléguer. Définissez le SPN cible sur le compte de service exécutant votre application web :

   Set-User -Identity f5-big-ip -Add @{ 'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com') }

   Note

   Vous pouvez effectuer ces tâches avec le composant logiciel enfichable Microsoft Management Console (MMC) Utilisateurs et ordinateurs sur un contrôleur de domaine.

BIG-IP et application dans différents domaines

Dans la version Windows Server 2012 et les versions ultérieures, le KCD inter-domaines utilise la délégation contrainte basée sur les ressources (RBCD). Les contraintes pour un service sont transférées de l’administrateur de domaine à l’administrateur de service. Cette délégation permet à l’administrateur du service principal d’autoriser ou de refuser l’authentification unique. Cette situation crée une approche différente de la délégation de configuration, ce qui est possible à l’aide de PowerShell.

Vous pouvez utiliser la propriété PrincipalsAllowedToDelegateToAccount du compte de service de l’application (ordinateur ou compte de service dédié) pour accorder la délégation à partir de BIG-IP. Pour ce scénario, utilisez la commande PowerShell suivante sur un contrôleur de domaine (Windows Server 2012 R2 ou version ultérieure) dans le même domaine que l’application.

Utilisez un SPN défini sur un compte de service d’application web. Pour une sécurité optimisée, utilisez un SPN dédié qui correspond à l’en-tête d’hôte de l’application. Par exemple, comme l’en-tête d’hôte de l’application web dans cet exemple est myexpenses.contoso.com, ajoutez HTTP/myexpenses.contoso.com à l’objet du compte de service d’application :

Set-User -Identity web_svc_account -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Pour les commandes suivantes, notez le contexte.

Si le service web_svc_account s’exécute dans le contexte d’un compte d’utilisateur, utilisez ces commandes :

$big-ip= Get-Computer -Identity f5-big-ip -server dc.contoso.com

``Set-User -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount`

$big-ip Get-User web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Si le service web_svc_account s’exécute dans le contexte d’un compte d’ordinateur, utilisez ces commandes :

$big-ip= Get-Computer -Identity f5-big-ip -server dc.contoso.com

Set-Computer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount

$big-ip Get-Computer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Pour plus d’informations, voir Délégation Kerberos contrainte entre domaines.

Vue d’application

À partir d’un navigateur, connectez-vous à l’URL externe de l’application ou sélectionnez l’icône de l’application dans le portail Microsoft MyApps. Après vous être authentifié dans Microsoft Entra ID, vous serez redirigé vers le serveur virtuel BIG-IP de l’application et connecté via l’authentification unique.

Pour une sécurité accrue, les organisations qui utilisent ce modèle peuvent bloquer un accès direct à l’application, qui force un chemin d’accès strict via le BIG-IP.

Accès invité Microsoft Entra B2B

L’accès invité B2B Microsoft Entra est pris en charge pour ce scénario avec des identités des invités transmises de votre locataire Microsoft Entra vers le répertoire utilisé par l’application pour l’autorisation. Sans une représentation locale d’un objet invité dans AD, BIG-IP ne pourrait pas recevoir de ticket Kerberos pour l’authentification unique KCD à l’application principale.

Déploiement avancé

Les modèles de configuration guidée peuvent ne pas avoir la flexibilité nécessaire pour répondre à certaines exigences. Pour ces scénarios, consultez Configuration avancée pour l’authentification unique basée sur Kerberos.

Vous pouvez également désactiver le mode de gestion stricte configuration guidée dans BIG-IP. Vous pouvez modifier manuellement vos configurations, bien que la plupart de vos configurations soient automatisées via les modèles basés sur l’Assistant.

Vous pouvez accéder à Access > Guided Configuration et sélectionner la petite icône de cadenas à droite de la ligne pour vos configurations d’applications.

À ce stade, les modifications effectuées avec l’interface utilisateur de l’Assistant ne pas possibles, mais tous les objets BIG-IP associés à l’instance publiée de l’application sont déverrouillés pour une gestion.

Note

La réactivation du mode strict et le déploiement d’une configuration remplacent tous les réglages effectués en dehors de l’interface utilisateur de configuration guidée. Par conséquent, nous vous recommandons d’utiliser la méthode de configuration avancée pour les services de production.

Résolution des problèmes

Si vous résolvez les problèmes d’authentification unique Kerberos, tenez compte des concepts suivants.

• Kerberos respecte le temps. par conséquent, vous devez définir les serveurs et les clients sur l’heure correcte et, le cas échéant, les synchroniser avec une source de temps fiable
• Vérifiez que le nom d’hôte du contrôleur de domaine et celui de l’application web peuvent être résolus dans DNS.
• Assurez-vous qu’il n’existe aucun SPN en double dans votre environnement AD en exécutant la requête suivante sur la ligne de commande : setspn -q HTTP/my_target_SPN

Vous pouvez faire référence à nos conseils de proxy d’application pour valider qu’une application IIS est configurée pour KCD. Consultez également l’article AskF5, méthode d’authentification unique Kerberos.

Analyse des journaux : augmenter le niveau de détail

L’utilisation de la journalisation BIG-IP pour isoler toutes sortes de problèmes liés à la connectivité, à l’authentification unique, aux violations de stratégies ou aux mappages de variables mal configurés. Démarrez la résolution des problèmes en augmentant le niveau de verbosité du journal.

1. Accédez à Vue d’ensemble des stratégies d’accès > Journaux des événements > Paramètres>.
2. Sélectionnez la ligne correspondant à votre application publiée, puis accédez à Modifier > Journaux système d’accès.
3. Sélectionnez Déboguer dans la liste SSO, puis sélectionnez OK.

Reproduisez votre problème et inspectez les journaux. Lorsque vous avez terminé, rétablissez la fonctionnalité, car le mode détaillé génère beaucoup de données.

Page d’erreur BIG-IP

Si une erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, le problème peut être lié à l’authentification unique Microsoft Entra ID à BIG-IP.

1. Accéder à Access > Overview > Access reports.
2. Pour afficher les journaux d’activité des indices, exécutez le rapport de la dernière heure.
3. Utilisez le lien Afficher les variables de session pour vous aider à comprendre si l’APM reçoit les revendications attendues de l’ID Microsoft Entra.

Requête principale

Si aucune page d’erreur n’apparaît, le problème est probablement lié à la demande principale ou à l’authentification unique entre le BIG-IP et l’application.

1. Accédez à Vue d'ensemble de la > Politique d'accès > Sessions actives.
2. Sélectionnez le lien correspondant à votre session active. Le lien Afficher les variables dans cet emplacement peut aider à déterminer la cause racine des problèmes KCD, en particulier si le BIG-IP APM ne parvient pas à obtenir les identificateurs d’utilisateur et de domaine appropriés à partir de variables de session.

Pour plus d'informations, voir :

• dev/central : exemples d'assignation de variables APM
• MyF5 : Variables de session