Partager via

Configurer la délégation Kerberos contrainte F5 pour une application SaaS Single-Tier

Dans cet article, vous allez apprendre à intégrer F5 à Microsoft Entra ID. Quand vous intégrez F5 à Microsoft Entra ID, vous pouvez :

  • Contrôler dans Microsoft Entra ID qui a accès à F5.
  • Permettre à vos utilisateurs d’être automatiquement connectés à F5 avec leur compte Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Pour en savoir plus sur l’intégration de l’application SaaS à l’ID Microsoft Entra, consultez Présentation de l’accès aux applications et de l’authentification unique avec l’ID Microsoft Entra.

Prérequis

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

  • Un abonnement F5 pour lequel l’authentification unique est activée

  • Le déploiement de la solution conjointe nécessite la licence suivante :

    • F5 BIG-IP® Best Bundle (ou)

    • Licence autonome F5 BIG-IP Access Policy Manager™ (APM)

    • Licence de composant additionnel F5 BIG-IP Access Policy Manager™ (APM) sur une instance existante de BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM).

    • En plus de la licence ci-dessus, le système F5 peut également être concédé sous licence avec :

      • Un abonnement au filtrage d’URL pour utiliser la base de données de catégories d’URL

      • Un abonnement à F5 IP Intelligence pour détecter et bloquer les attaquants connus et le trafic malveillant

      • Un module de sécurité matériel (HSM) réseau pour protéger et gérer les clés numériques pour une authentification forte

  • Un système F5 BIG-IP provisionné avec les modules APM (LTM est facultatif)

  • Bien que facultatif, il est vivement recommandé de déployer les systèmes F5 dans un groupe d’appareils de synchronisation/basculement (S/F DG), qui inclut la paire active de secours, avec une adresse IP flottante pour la haute disponibilité (HA). Il est possible de bénéficier d’une redondance d’interface plus poussée en utilisant le protocole LACP (Link Aggregation Control Protocol). LACP gère les interfaces physiques connectées comme une interface virtuelle unique (groupe agrégé) et détecte les échecs d’interface au sein du groupe.

  • Pour les applications Kerberos, un compte de service AD local pour la délégation contrainte. Reportez-vous à la documentation F5 pour la création d’un compte de délégation AD.

Configuration guidée de l’accès

  • La configuration guidée de l’accès est prise en charge sur F5 TMOS version 13.1.0.8 et ultérieures. Si votre système BIG-IP exécute une version antérieure à la version 13.1.0.8, reportez-vous à la section Configuration avancée .

  • La configuration guidée d’Access présente une expérience utilisateur nouvelle et simplifiée. Cette architecture à base de workflow propose des étapes de configuration intuitives réentrantes adaptées à la topologie choisie.

  • Avant de passer à la configuration, mettez à niveau la configuration guidée en téléchargeant le dernier pack de cas d’usage à partir de downloads.f5.com. Pour effectuer la mise à niveau, suivez la procédure ci-dessous.

    Notes

    Les captures d’écran ci-dessous concernent la dernière version parue (BIG-IP 15.0 avec AGC version 5.0). Les étapes de configuration ci-dessous valent pour ce cas d’usage de la version 13.1.0.8 de BIG-IP à la plus récente.

  1. Dans l’interface utilisateur web F5 BIG-IP, sélectionnez Configuration du guide d’accès>>.

  2. Dans la page Configuration guidée , sélectionnez Mettre à niveau la configuration guidée en haut à gauche.

    Capture d’écran montrant la page « Configuration guidée » avec l’action « Mettre à niveau la configuration guidée » sélectionnée.

  3. Dans l’écran contextuel Configuration du guide de mise à niveau, sélectionnez Choisir un fichier pour charger le pack de cas d’usage téléchargé, puis sélectionnez Charger et installer .

    Capture d’écran montrant l’écran contextuel « Mettre à niveau la configuration guidée » avec « Choisir un fichier » et « Charger et installer » sélectionné.

  4. Une fois la mise à niveau terminée, sélectionnez le bouton Continuer .

    Capture d’écran montrant la boîte de dialogue « La mise à jour guidée de la configuration est terminée » et le bouton « Continuer » sélectionné.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

  • F5 prend en charge l'authentification unique (SSO) initiée par le fournisseur de services (SP) et le fournisseur d'identité (IDP).
  • La fonctionnalité d’authentification unique F5 peut être configurée de trois façons différentes.

Scénarios d’authentification par clé

En plus de la prise en charge de l’intégration native de Microsoft Entra pour les protocoles d’authentification modernes comme OpenID Connect, SAML et WS-Fed, F5 étend l’accès sécurisé aux applications d’authentification héritées pour l’accès interne et externe avec Microsoft Entra ID, ce qui permet des scénarios modernes (par exemple, accès sans mot de passe) pour ces applications. Cela inclut :

  • Les applications à authentification basée sur l’en-tête

  • Les applications à authentification Kerberos

  • Les applications à authentification anonyme ou sans authentification intégrée

  • Les applications à authentification NTLM (protection avec deux invites pour l’utilisateur)

  • Les applications à base de formulaire (protection avec deux invites pour l’utilisateur)

Pour configurer l’intégration de F5 à Microsoft Entra ID, vous devez ajouter F5 à partir de la galerie à votre liste d’applications SaaS managées.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.
  2. Accédez à Entra ID>Applications d'entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie , tapez F5 dans la zone de recherche.
  4. Sélectionnez F5 dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez sinon également utiliser l’Assistant de configuration des applications d'entreprise . Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les Assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour F5

Configurez et testez l’authentification unique Microsoft Entra avec F5 à l’aide d’un utilisateur de test appelé B.Simon. Pour que SSO fonctionne, vous devez établir une liaison entre un utilisateur Microsoft Entra et l’utilisateur associé dans F5.

Pour configurer et tester SSO Microsoft Entra avec F5, effectuez les étapes suivantes :

  1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
    1. Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Affectez l’utilisateur de test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer l’authentification unique F5 pour configurer les paramètres de l’authentification unique côté application.
    1. Créer un utilisateur de test F5 pour avoir un équivalent de B.Simon dans F5 lié à la représentation Microsoft Entra de l’utilisateur.
  3. Test SSO pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

  2. Accédez à Entra ID>Applications d'entreprise>F5>Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique , sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône en forme de crayon de Configuration SAML de base pour modifier les paramètres.

    Modifier la configuration SAML de base

  5. Dans la section Configuration SAML de base , si vous souhaitez configurer l’application en mode initié par le fournisseur d’identité , entrez les valeurs des champs suivants :

    un. Dans la zone de texte Identificateur , tapez une URL à l’aide du modèle suivant : https://<YourCustomFQDN>.f5.com/

    b. Dans la zone de texte URL de réponse , tapez une URL à l’aide du modèle suivant : https://<YourCustomFQDN>.f5.com/

  6. Sélectionnez Définir des URL supplémentaires et effectuez l’étape suivante si vous souhaitez configurer l’application en mode initié par le fournisseur de services :

    Dans la zone de texte URL de connexion , tapez une URL à l’aide du modèle suivant : https://<YourCustomFQDN>.f5.com/

    Notes

    Ces valeurs ne sont pas réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Pour obtenir ces valeurs , contactez l’équipe du support technique F5 . Vous pouvez également faire référence aux modèles indiqués dans la section Configuration SAML de base .

  7. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez le XML des métadonnées de fédération et le certificat (Base64), puis sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

    Lien de téléchargement du certificat

  8. Dans la section Configurer F5 , copiez la ou les URL appropriées en fonction de vos besoins.

    Copier des URL de configuration

Créer et affecter un utilisateur de test Microsoft Entra

Suivez les instructions de création et d’affectation d’un compte d’utilisateur pour créer un compte d’utilisateur de test appelé B.Simon.

Configurer l’authentification unique F5

Configurer l’authentification unique F5 pour une application Kerberos

Configuration guidée

  1. Ouvrez une nouvelle fenêtre de navigateur web et connectez-vous à votre site d’entreprise F5 (Kerberos) en tant qu’administrateur, puis effectuez les étapes suivantes :

  2. Vous devez importer le certificat de métadonnées dans le F5 qui est utilisé ultérieurement dans le processus d’installation.

  3. Accédez à la gestion des certificats système >. Sélectionnez Importer dans le coin droit. Spécifiez un nom de certificat (est référencé plus loin dans la configuration). Dans la source du certificat, sélectionnez Charger le fichier pour spécifier le certificat téléchargé à partir d’Azure lors de la configuration de l’authentification unique SAML. Sélectionnez Importer.

    Capture d’écran montrant la page « S L Certificate/Key Source » avec le « Nom du certificat » mis en surbrillance, « Charger le fichier » et le bouton « Importer » sélectionné.

  4. En outre, vous avez besoin d’un certificat SSL pour le nom d’hôte de l’application. Accédez à Système > Gestion des certificats > Gestion des certificats de trafic > Liste des certificats SSL. Sélectionnez Importer dans le coin droit. Le type d’importation est PKCS 12(IIS). Spécifiez un nom de clé (est référencé plus loin dans la configuration) et spécifiez le fichier PFX. Spécifiez le mot de passe du PFX. Sélectionnez Importer.

    Notes

    Dans l’exemple, notre nom d’application est Kerbapp.superdemo.live. Nous utilisons un certificat wildcard, notre nom de clé est WildCard-SuperDemo.live.

    Capture d’écran montrant la page « S L Certificate/Key Source » avec les valeurs entrées et le bouton « Importer » sélectionné.

  5. Nous utilisons l’expérience guidée pour configurer microsoft Entra Federation and Application Access. Accédez à – F5 BIG-IP Main et sélectionnez Accéder > Configuration guidée > Fédération > Fournisseur de services SAML. Sélectionnez Suivant , puis Sélectionnez Suivant pour commencer la configuration.

    Capture d’écran montrant la page « Configuration guidée » avec l’icône « Fédération » mise en surbrillance et « Fournisseur de services S A M L » sélectionnée.

    Capture d’écran montrant la page « Configuration guidée - S A M L Service Provider » avec le bouton « Suivant » sélectionné.

  6. Fournissez un nom de configuration. Spécifiez l’ID d’entité (identique à ce que vous avez configuré sur la configuration de l’application Microsoft Entra). Spécifiez le nom d’hôte. Ajoutez une description pour référence. Acceptez les entrées par défaut restantes, puis sélectionnez Enregistrer & Suivant.

    Capture d’écran montrant les zones de texte « Propriétés du fournisseur de services » avec « Nom d’hôte » et « Description » mises en surbrillance et le bouton « Enregistrer & Suivant » sélectionné.

  7. Dans cet exemple, nous créons un serveur virtuel en tant que 192.168.30.200 avec le port 443. Spécifiez l’adresse IP du serveur virtuel dans l’adresse de destination. Sélectionnez le profil SSL client, sélectionnez Créer nouveau. Spécifiez le certificat d’application précédemment chargé (le certificat de carte générique dans cet exemple) et la clé associée, puis sélectionnez Enregistrer & Suivant.

    Notes

    Dans cet exemple, notre serveur web interne s’exécute sur le port 80 et nous voulons le publier avec 443.

    Capture d’écran montrant la page « Propriétés du serveur virtuel » avec la zone de texte « Adresse de destination » mise en surbrillance et le bouton « Enregistrer & Suivant » sélectionné.

  8. Sous Sélectionner la méthode pour configurer votre connecteur IdP, spécifiez métadonnées, sélectionnez Choisir un fichier et chargez le fichier XML de métadonnées téléchargé précédemment à partir de l’ID Microsoft Entra. Spécifiez un nom unique pour le connecteur IDP SAML. Choisissez le certificat de signature de métadonnées qui a été téléchargé précédemment. Sélectionnez Enregistrer & Suivant.

    Capture d’écran montrant la page « Paramètres du connecteur du fournisseur d’identité externe » avec la zone de texte « Nom » mise en surbrillance et le bouton « Enregistrer & Suivant » sélectionné.

  9. Sous Sélectionner un pool, spécifiez Créer nouveau (sinon, sélectionnez un pool qu’il existe déjà). Conservez les autres valeurs par défaut. Sous Serveurs de pool, tapez l’adresse IP sous Adresse IP/Nom du nœud. Spécifiez le port. Sélectionnez Enregistrer & Suivant.

    Capture d’écran montrant la page « Propriétés du pool » avec les zones de texte « Adresse IP/Nom du nœud » et « Port » mises en surbrillance et le bouton « Enregistrer & Suivant » sélectionné.

  10. Dans l’écran Paramètres de Sign-On unique, sélectionnez Activer l’authentification unique.

  11. Sous Sélection d’un type de Sign-On unique , choisissez Kerberos. Remplacez session.saml.last.Identity par session.saml.last.attr.name.Identity sous La source du nom d’utilisateur (cette variable est définie à l’aide du mappage de revendications dans l’ID Microsoft Entra

  12. Sélectionner Afficher le paramètre avancé

  13. Sous Domaine Kerberos , tapez le nom de domaine.

  14. Sous Nom de compte/ Mot de passe du compte, spécifiez le compte de délégation APM et le mot de passe.

  15. Spécifiez l’adresse IP du contrôleur de domaine dans le champ KDC .

  16. Sélectionnez Enregistrer & Suivant.

  17. Pour les besoins de cette directive, nous allons ignorer les vérifications de points de terminaison. Consultez la documentation F5 pour plus d’informations. Sur l’écran, sélectionnez Enregistrer & Suivant.

  18. Acceptez les valeurs par défaut et sélectionnez Enregistrer & Suivant. Consultez la documentation F5 pour plus d’informations sur les paramètres de gestion de session SAML.

    Capture d’écran montrant la page « Paramètres du délai d’expiration » avec le bouton « Enregistrer & Suivant » sélectionné.

  19. Passez en revue l’écran récapitulative et sélectionnez Déployer pour configurer BIG-IP.

    Capture d’écran montrant la page « Votre application est prête à être déployée » avec la section « Résumé » mise en surbrillance et le bouton « Déployer » sélectionné.

  20. Une fois l’application configurée, sélectionnez Terminer.

    Capture d’écran montrant la page « Votre application est déployée » avec le bouton « Terminer » sélectionné.

Configuration avancée

Notes

Pour référence, sélectionnez ici

Configuration d’un serveur Active Directory AAA

Vous pouvez configurer un serveur Active Directory AAA dans Access Policy Manager (APM) pour spécifier les contrôleurs de domaine et les informations d’identification dont se servira APM pour authentifier les utilisateurs.

  1. Sous l’onglet Principal, sélectionnez Stratégie d’accès > Serveurs AAA > Active Directory. L’écran listant les serveurs Active Directory s’ouvre.

  2. Sélectionnez Créer. L’écran des propriétés du nouveau serveur s’ouvre.

  3. Dans le champ Nom , tapez un nom unique pour le serveur d’authentification.

  4. Dans le champ Nom de domaine , tapez le nom du domaine Windows.

  5. Pour le paramètre Connexion au serveur , sélectionnez l’une des options suivantes :

    • Sélectionnez Utiliser le pool pour configurer la haute disponibilité pour le serveur AAA.

    • Sélectionnez Direct pour configurer le serveur AAA pour les fonctionnalités autonomes.

  6. Si vous avez sélectionné Direct, tapez un nom dans le champ Contrôleur de domaine .

  7. Si vous avez sélectionné Utiliser le pool, configurez le pool :

    • Tapez un nom dans le champ Nom du pool du contrôleur de domaine .

    • Spécifiez les contrôleurs de domaine dans le pool en tapant l’adresse IP et le nom d’hôte pour chacun d’eux, puis en sélectionnant le bouton Ajouter .

    • Pour surveiller l’intégrité du serveur AAA, vous avez la possibilité de sélectionner un moniteur d’intégrité : seul le moniteur gateway_icmp est approprié dans ce cas ; vous pouvez le sélectionner dans la liste Moniteur de pool de serveurs .

  8. Dans le champ Nom de l’administrateur, tapez un nom sensible à la casse pour un administrateur disposant d’autorisations d’administration Active Directory. APM utilise les informations dans les champs Nom d’administrateur et Mot de passe d’administrateur pour la requête AD. Si Active Directory est configuré pour les requêtes anonymes, vous n’avez pas besoin de fournir un nom d’administrateur. Dans le cas contraire, APM a besoin d’un compte doté de privilèges suffisants pour pouvoir se lier à un serveur Active Directory, récupérer des informations de groupe d’utilisateurs ainsi que les stratégies de mot de passe Active Directory afin de prendre en charge les fonctionnalités liées aux mots de passe. (APM doit récupérer des stratégies de mot de passe, par exemple, si vous sélectionnez l’option inviter l’utilisateur à modifier le mot de passe avant expiration dans une action de requête AD.) Si vous ne fournissez pas d’informations de compte d’administrateur dans cette configuration, APM utilise le compte utilisateur pour récupérer les informations. Ceci fonctionne si le compte d’utilisateur dispose de privilèges suffisants.

  9. Dans le champ Mot de passe administrateur , tapez le mot de passe administrateur associé au nom de domaine.

  10. Dans le champ Vérifier le mot de passe administrateur , retapez le mot de passe administrateur associé au paramètre Nom de domaine .

  11. Dans le champ Durée de vie du cache de groupe , tapez le nombre de jours. La durée de vie par défaut est de 30 jours.

  12. Dans le champ Durée de vie du cache d’objets de sécurité de mot de passe , tapez le nombre de jours. La durée de vie par défaut est de 30 jours.

  13. Dans la liste type de chiffrement de pré-authentification Kerberos , sélectionnez un type de chiffrement. La valeur par défaut est None. Si vous spécifiez un type de chiffrement, le système BIG-IP inclut des données de pré-authentification Kerberos dans le premier paquet de demande de service d’authentification (AS-REQ).

  14. Dans le champ Timeout , tapez un intervalle de délai d’expiration (en secondes) pour le serveur AAA. (Ce paramètre est facultatif.)

  15. Sélectionnez Terminé. Le nouveau serveur s’affiche dans la liste. Le nouveau serveur Active Directory est alors ajouté à la liste de serveurs Active Directory.

    Capture d’écran montrant les sections « Propriétés générales » et « Configuration ».

Configuration SAML

  1. Vous devez importer le certificat de métadonnées dans le F5 qui est utilisé ultérieurement dans le processus d’installation. Accédez à la gestion des certificats système >. Sélectionnez Importer dans le coin droit.

    Capture d’écran montrant la page « Importer le certificat/la source de clé SS L » avec le bouton « Importer » sélectionné.

  2. Pour configurer le fournisseur d’identité SAML, accédez à Access > Federation > SAML : Service Provider > Connecteurs IdP externes, puis sélectionnez Créer > depuis les métadonnées.

    Capture d’écran montrant la page « Fournisseur de services S A M L » avec « À partir des métadonnées » sélectionnée dans la liste déroulante « Créer ».

    Capture d’écran montrant la boîte de dialogue « Créer un connecteur S A M I D P ».

    Capture d’écran montrant la fenêtre « Modifier le connecteur S A M I D P » avec l’option « Paramètres généraux » sélectionnée.

    Capture d’écran montrant la fenêtre « Modifier S A M L I d P Connector » avec l’option « Paramètres du service d’authentification unique » sélectionnée.

    Capture d’écran montrant la fenêtre « Edit S A M L I d P Connector » avec l’option « Paramètres de sécurité » sélectionnée.

    Capture d’écran montrant la fenêtre « Modifier le connecteur S A M I D P » avec l’option « Paramètres du service S L O » sélectionnée.

  3. Pour configurer le sp SAML, accédez à Access > Federation > SAML Service Provider > Local SP Services , puis sélectionnez Créer. Renseignez les informations suivantes, puis sélectionnez OK.

    • Type Name (Nom de type) : KerbApp200SAML
    • Entity ID (ID d’entité)* : https://kerb-app.com.cutestat.com
    • SP Name Settings (Paramètres du nom de fournisseur de services)
    • Scheme (Schéma) : https
    • Host (Hôte) : kerbapp200.superdemo.live
    • Description : kerbapp200.superdemo.live

    Capture d’écran montrant la fenêtre « Edit S A M L S P Service » avec l’option « Paramètres généraux » sélectionnée.

    b. Sélectionnez la configuration du SP, KerbApp200SAML, et sélectionnez Associer/Dissocier les connecteurs IdP.

    Capture d’écran montrant la page « S A M L Service Provider - Local S P Services » avec l’option « KerbAPP200 S A M L » sélectionnée.

    Capture d’écran montrant le bouton « Bind/Unbind I d P Connectors » sélectionné.

    v. Sélectionnez Ajouter une nouvelle ligne et sélectionnez le connecteur IdP externe créé à l’étape précédente, sélectionnez Mettre à jour, puis OK.

    Capture d’écran montrant la fenêtre « Modifier S A M L I D Ps qui utilise cette fenêtre S P » avec le bouton « Ajouter une nouvelle ligne » sélectionné.

  4. Pour configurer l’authentification unique Kerberos, accédez à Access > Single Sign-on > Kerberos, renseignez les informations et sélectionnez Terminé.

    Notes

    Vous devez créer et spécifier le compte de délégation Kerberos. Consultez la section KCD (voir l’annexe pour obtenir des informations de référence sur les variables).

    • Source du nom d’utilisateur : session.saml.last.attr.name.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Source du domaine utilisateur : session.logon.last.domain

      Capture d’écran montrant la page « Single Sign-On - Properties » avec les zones de texte « Source du nom d’utilisateur » et « Source du domaine utilisateur » mises en surbrillance.

  5. Pour configurer le profil d’accès, accédez à >, sélectionnez >, renseignez les informations suivantes et sélectionnez Terminé.

    • Nom : KerbApp200

    • Profil Type (Type de profil) : Tous

    • Profil Scope (Étendue de profil) : Profil

    • Langages : Anglais

      Capture d’écran montrant la page « Profils/stratégies - Propriétés » avec les zones de texte « Nom », « Type de profil » et « Langues » mises en surbrillance.

  6. Sélectionnez le nom, KerbApp200, renseignez les informations suivantes, puis sélectionnez Mettre à jour.

    • Domain Cookie (Cookie du domaine) : superdemo.live

    • SSO Configuration (Configuration SSO) : KerAppSSO_sso

      Capture d’écran montrant la page « Domaines S S D/Auth » avec la zone de texte « Cookie de domaine » et la liste déroulante « Configuration SSO » mise en surbrillance, et le bouton « Mettre à jour » sélectionné.

  7. Sélectionnez Stratégie d’accès , puis modifiez la stratégie d’accès pour le profil « KerbApp200 ».

    Capture d’écran montrant la page « Stratégie d’accès » avec l’action « Modifier la stratégie d’accès pour le profil KerbApp200 » sélectionnée.

    Capture d’écran montrant la page « Stratégie d’accès » et la boîte de dialogue « S A M L Authentication S P ».

    Capture d’écran montrant la page « Stratégie d’accès » et la boîte de dialogue « Affectation de variables » avec les zones de texte « Affectation » mises en surbrillance.

    • session.logon.last.usernameUPN expr {[mcget {session.saml.last.identity}]}

    • session.ad.lastactualdomain TEXTE superdemo.live

      Capture d’écran montrant la page « Stratégie d’accès » et la boîte de dialogue « Active Directory » avec la zone de texte « SearchFilter » mise en surbrillance.

    • (userPrincipalName=%{session.logon.last.usernameUPN})

      Capture d’écran montrant la page « Stratégie d’accès » avec la boîte de dialogue « A D Query - Branch Rules ».

      Capture d’écran montrant les zones de texte « Variable personnalisée » et « Expression personnalisée » mises en surbrillance.

    • session.logon.last.username expr { « [mcget {session.ad.last.attr.sAMAccountName}] » }

      Capture d’écran montrant la zone de texte « Nom d’utilisateur de la page d’ouverture de session » mise en surbrillance.

    • mcget {session.logon.last.username}

    • mcget {session.logon.last.password

  8. Pour ajouter un nouveau nœud, accédez à la liste des nœuds > de trafic > local, sélectionnez Créer, renseignez les informations suivantes, puis sélectionnez Terminé.

    • Nom : KerbApp200

    • Description : KerbApp200

    • Adresse : 192.168.20.200

      Capture d’écran montrant la page « Nouveau nœud » avec les zones de texte « Nom », « Description » et « Adresse » mises en surbrillance, et le bouton « Terminé » sélectionné.

  9. Pour créer un pool, accédez à la liste des pools > de trafic > locaux, sélectionnez Créer, renseignez les informations suivantes et sélectionnez Terminé.

    • Nom : KerbApp200-Pool

    • Description : KerbApp200-Pool

    • Health Monitors (Moniteurs d’intégrité) : http

    • Adresse : 192.168.20.200

    • Service Port (Port du service) : 81

      Capture d’écran montrant la page « Nouveau pool » avec les valeurs entrées et le bouton « Terminé » sélectionné.

  10. Pour créer un serveur virtuel, accédez à la liste > des serveurs > virtuels de trafic > local +, renseignez les informations suivantes, puis sélectionnez Terminé.

    • Nom : KerbApp200

    • Destination Address/Mask (Adresse de destination/Masque) : Host (Host) 192.168.30.200

    • Service Port (Port du service) : Port 443 HTTPS

    • Access Profile (Profil d’accès) : KerbApp200

    • Spécifiez le profil d’accès créé à l’étape précédente

      Capture d’écran montrant la page « Liste de serveurs virtuels » avec les zones de texte « Nom », « Adresse de destination/Masque » et « Port de service » mises en surbrillance.

      Capture d’écran montrant la page « Liste des serveurs virtuels » avec la liste déroulante « Profil d’accès » mise en surbrillance.

Configuration de la délégation Kerberos

Notes

Pour référence, sélectionnez ici

  • Étape 1 : Créer un compte de délégation

    Exemple:

    • Nom de domaine : superdemo.live

    • Nom du compte Sam : big-ipuser

    • New-ADUser -Name « Compte de délégation APM » -UserPrincipalName hôte/big-ipuser.superdemo.live@superdemo.live -SamAccountName « big-ipuser » -PasswordNeverExpires $true -Enabled $true -AccountPassword (Read-Host -AsSecureString « Password !1234 »)

  • Étape 2 : Définir le SPN (sur le compte de délégation APM)

    Exemple:

    • setspn –A host/big-ipuser.superdemo.live big-ipuser

  • Étape 3 : Délégation SPN (pour le compte App Service)

    Configurez la délégation appropriée pour le compte de délégation F5.

    Dans l’exemple ci-dessous, le compte de délégation APM est configuré pour KCD pour l’application FRP-App1.superdemo. live.

    Configuration F5 (Kerberos)

  • Fournissez les détails mentionnés dans le document de référence ci-dessus sous ceci.

Créer un utilisateur de test F5

Dans cette section, vous allez créer un utilisateur appelé B.Simon dans F5. Collaborez avec l’équipe du support technique F5 pour ajouter les utilisateurs dans la plateforme F5. Les utilisateurs doivent être créés et activés avant que vous utilisiez l’authentification unique.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d'authentification unique Microsoft Entra à l'aide du panneau d'accès.

Lorsque vous sélectionnez la vignette F5 dans le volet d’accès, vous devez être connecté automatiquement à l’application F5 pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur le volet d’accès, consultez Présentation du volet d’accès.

Ressources supplémentaires