Oktatóanyag: Az F5 BIG-IP hozzáférési szabályzatkezelő konfigurálása Kerberos-hitelesítéshez

  • Cikk

Ebben az oktatóanyagban megtanulhatja, hogyan valósíthatja meg a biztonságos hibrid hozzáférést (SHA) egyszeri bejelentkezéssel (SSO) a Kerberos-alkalmazásokhoz az F5 BIG-IP speciális konfigurációjával. A BIG-IP által közzétett szolgáltatások engedélyezése a Microsoft Entra SSO-hoz számos előnnyel jár, többek között az alábbiakat:

  • Továbbfejlesztett Teljes felügyelet szabályozás a Microsoft Entra előhitelesítésével és a feltételes hozzáférési biztonsági szabályzat kényszerítési megoldásának használatával.
  • Teljes egyszeri bejelentkezés a Microsoft Entra ID és a BIG-IP által közzétett szolgáltatások között
  • Identitáskezelés és hozzáférés egyetlen vezérlősíkról, a Microsoft Entra felügyeleti központból

További információ az előnyökről: F5 BIG-IP integrálása a Microsoft Entra ID-val.

Forgatókönyv leírása

Ebben a forgatókönyvben konfigurál egy üzletági alkalmazást a Kerberos-hitelesítéshez, más néven integrált Windows-hitelesítéshez.

Az alkalmazás Microsoft Entra-azonosítóval való integrálásához összevonási alapú protokoll, például a Security Assertion Markup Language (SAML) támogatása szükséges. Mivel az alkalmazás modernizálása potenciális állásidőt jelent, más lehetőségek is rendelkezésre állnak.

Miközben Kerberos Korlátozott delegálást (KCD) használ az egyszeri bejelentkezéshez, a Microsoft Entra alkalmazásproxyval távolról is elérheti az alkalmazást. A protokollváltással áthidalhatja az örökölt alkalmazást a modern identitásvezérlő síkra.

Egy másik megközelítés az F5 BIG-IP-alkalmazáskézbesítési vezérlő használata. Ez a megközelítés lehetővé teszi az alkalmazás átfedését a Microsoft Entra előhitelesítésével és a KCD SSO-val. Javítja az alkalmazás általános Teljes felügyelet testtartását.

Forgatókönyv-architektúra

Ebben a forgatókönyvben az SHA-megoldás a következő elemeket tartalmazza:

  • Alkalmazás: A BIG-IP által külsőleg közzétett és SHA által védett háttérbeli Kerberos-alapú szolgáltatás

  • BIG-IP: Fordított proxyfunkciók háttéralkalmazások közzétételéhez. Az Access Policy Manager (APM) átfedi a közzétett alkalmazásokat az SAML-szolgáltató (SP) és az egyszeri bejelentkezés funkcióval.

  • Microsoft Entra ID: Identitásszolgáltató (IdP), amely ellenőrzi a felhasználói hitelesítő adatokat, a Microsoft Entra feltételes hozzáférést és az egyszeri bejelentkezést a BIG-IP APM-hez az SAML-en keresztül

  • KDC: Kulcsterjesztési központ szerepkör kerberos jegyeket tartalmazó tartományvezérlőn (DC)

Az alábbi képen az SAML SP által kezdeményezett folyamat látható ebben a forgatókönyvben, de az IdP által kezdeményezett folyamat is támogatott.

A forgatókönyv architektúrájának diagramja.

Felhasználói folyamat

  1. A felhasználó csatlakozik az alkalmazásvégponthoz (BIG-IP)
  2. A BIG-IP hozzáférési szabályzat átirányítja a felhasználót a Microsoft Entra-azonosítóra (SAML IdP)
  3. A Microsoft Entra ID előhitelesíti a felhasználót, és kikényszerített feltételes hozzáférési szabályzatokat alkalmaz
  4. A rendszer átirányítja a felhasználót a BIG-IP-címre (SAML SP), és az egyszeri bejelentkezés a kiadott SAML-jogkivonaton keresztül történik
  5. A BIG-IP hitelesíti a felhasználót, és Kerberos-jegyet kér a KDC-től
  6. A BIG-IP elküldi a kérést a háttéralkalmazásnak az SSO Kerberos-jegyével
  7. Az alkalmazás engedélyezi a kérést, és visszaadja a hasznos adatokat

Előfeltételek

Nincs szükség előzetes BIG-IP-élményre. A következők szükségesek:

BIG-IP konfigurációs módszerek

Ez a cikk a speciális konfigurációt, egy rugalmas SHA-implementálást ismerteti, amely BIG-IP konfigurációs objektumokat hoz létre. Ezt a megközelítést olyan forgatókönyvekhez használhatja, amelyekre az irányított konfigurációs sablonok nem vonatkoznak.

Feljegyzés

Cserélje le a cikkben szereplő összes példasztringet vagy értéket a tényleges környezethez tartozó karakterláncokra.

F5 BIG-IP regisztrálása a Microsoft Entra-azonosítóban

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Mielőtt a BIG-IP átadhatja az előhitelesítést a Microsoft Entra-azonosítónak, regisztrálja azt a bérlőjében. Ez a folyamat SSO-t kezdeményez mindkét entitás között. Az F5 BIG-IP katalógussablonból létrehozott alkalmazás az a függő entitás, amely a BIG-IP által közzétett alkalmazás SAML SP-jének felel meg.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Minden alkalmazás lehetőséget, majd válassza az Új alkalmazás lehetőséget.

  3. A Microsoft Entra Katalógus tallózása panel a felhőplatformok, a helyszíni alkalmazások és a kiemelt alkalmazások csempéivel jelenik meg. A Kiemelt alkalmazások szakaszban található alkalmazások ikonjai jelzik, hogy támogatják-e az összevont egyszeri bejelentkezést és a kiépítést.

  4. Az Azure-katalógusban keresse meg az F5-öt, és válassza az F5 BIG-IP APM Microsoft Entra ID-integrációt.

  5. Adja meg az új alkalmazás nevét az alkalmazáspéldány felismeréséhez.

  6. Válassza a Hozzáadás/Létrehozás lehetőséget a bérlőhöz való hozzáadásához.

Egyszeri bejelentkezés engedélyezése az F5 BIG-IP-címhez

Konfigurálja a BIG-IP-regisztrációt a BIG-IP APM által kért SAML-jogkivonatok teljesítéséhez.

  1. A bal oldali menü Kezelés szakaszában válassza az Egyszeri bejelentkezés lehetőséget. Megjelenik az egyszeri bejelentkezés panel.
  2. A Select a single sign-on method page, select SAML. Válassza a Nem lehetőséget , majd később mentöm a kérés kihagyásához.
  3. Az saml-alapú egyszeri bejelentkezés beállítása panelen válassza a toll ikont az egyszerű SAML-konfiguráció szerkesztéséhez.
  4. Cserélje le az előre definiált azonosító értékét a BIG-IP által közzétett alkalmazás teljes URL-címére.
  5. Cserélje le a Válasz URL-címet , de őrizze meg az alkalmazás SAML SP-végpontjának elérési útját.

Feljegyzés

Ebben a konfigurációban az SAML-folyamat IdP által kezdeményezett módban működik. A Microsoft Entra ID egy SAML-állítást ad ki, mielőtt a felhasználót átirányítanák az alkalmazás BIG-IP-végpontjához.

  1. Az SP által kezdeményezett mód használatához írja be az alkalmazás URL-címét a Bejelentkezés URL-címbe.

  2. A kijelentkezés URL-címeként adja meg a big-IP APM egyszeri kijelentkezés (SLO) végpontot, amelyet a közzétett szolgáltatás gazdagépfejléce előír. Ez a művelet biztosítja, hogy a felhasználó BIG-IP APM-munkamenete befejeződjön, miután a felhasználó kijelentkezik a Microsoft Entra-azonosítóból.

    Képernyőkép az EGYSZERŰ SAML-konfiguráció URL-bejegyzéseiről.

Feljegyzés

A BIG-IP forgalomkezelő operációs rendszer (TMOS) 16-os v16-os verziójában az SAML SLO-végpont /saml/sp/profile/redirect/slo lett.

  1. Az SAML-konfiguráció bezárása előtt válassza a Mentés lehetőséget.

  2. Hagyja ki az egyszeri bejelentkezés tesztelési kérését.

  3. Figyelje meg a Felhasználói attribútumok > Jogcímek szakasz tulajdonságait. A Microsoft Entra ID a BIG-IP APM-hitelesítéshez és az egyszeri bejelentkezéshez a háttéralkalmazáshoz tartozó tulajdonságokat ad ki a felhasználóknak.

  4. Az összevonási metaadatok XML-fájljának a számítógépre való mentéséhez az SAML aláíró tanúsítvány panelen válassza a Letöltés lehetőséget.

    Képernyőkép az összevonási metaadatok XML-letöltési lehetőségéről.

Feljegyzés

A Microsoft Entra ID által létrehozott SAML-aláíró tanúsítványok élettartama három év. További információ: Felügyelt tanúsítványok összevont egyszeri bejelentkezéshez.

Hozzáférés biztosítása felhasználókhoz és csoportokhoz

Alapértelmezés szerint a Microsoft Entra ID jogkivonatokat ad ki az alkalmazásokhoz hozzáférést kapó felhasználók számára. Felhasználók és csoportok hozzáférésének biztosítása az alkalmazáshoz:

  1. Az F5 BIG-IP-alkalmazás áttekintő ablaktábláján válassza a Felhasználók és csoportok hozzárendelése lehetőséget.

  2. Válassza a + Felhasználó/csoport hozzáadása lehetőséget.

    Képernyőkép a Felhasználók és csoportok felhasználó vagy csoport hozzáadása lehetőségről.

  3. Jelölje ki a felhasználókat és csoportokat, majd válassza a Hozzárendelés lehetőséget.

Az Active Directory Kerberos korlátozott delegálásának konfigurálása

Ahhoz, hogy a BIG-IP APM SSO-t hajtson végre a háttéralkalmazásban a felhasználók nevében, konfigurálja a KCD-t a cél Active Directory (AD) tartományban. A hitelesítés delegálásához ki kell építenie a BIG-IP APM-et egy tartományi szolgáltatásfiókkal.

Ebben a forgatókönyvben az alkalmazás az APP-VM-01 kiszolgálón fut, és egy web_svc_account nevű szolgáltatásfiók környezetében fut, nem pedig a számítógép identitásában. Az APM-hez hozzárendelt delegáló szolgáltatásfiók F5-BIG-IP.

BIG-IP APM-delegálási fiók létrehozása

A BIG-IP nem támogatja a csoportos felügyelt szolgáltatásfiókokat (gMSA), ezért hozzon létre egy standard felhasználói fiókot az APM szolgáltatásfiókhoz.

  1. Adja meg a következő PowerShell-parancsot. Cserélje le a UserPrincipalName és a SamAccountName értékeket a környezeti értékekre. A nagyobb biztonság érdekében használjon egy dedikált egyszerű szolgáltatásnevet (SPN), amely megfelel az alkalmazás gazdagépfejlécének.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = gazdagép/f5-big-ip.contoso.com@contoso.com

    Feljegyzés

    A gazdagép használata esetén a gazdagépen futó alkalmazások delegálják a fiókot, míg HTTPS használata esetén csak a HTTP protokollhoz kapcsolódó műveleteket engedélyezi.

  2. Hozzon létre egy egyszerű szolgáltatásnevet (SPN) az APM szolgáltatásfiókhoz a webalkalmazás-szolgáltatásfiók delegálása során:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    Feljegyzés

    A gazdagép/rész megadása kötelező UserPrincipleName (gazdagép/name.domain@domain) vagy ServicePrincipleName (host/name.domain) formátumban.

  3. A cél egyszerű szolgáltatásnév megadása előtt tekintse meg annak SPN-konfigurációját. Győződjön meg arról, hogy az egyszerű szolgáltatásnév megjelenik az APM szolgáltatásfiókon. A webalkalmazás APM-szolgáltatásfiókjának delegáltjai:

    • Ellenőrizze, hogy a webalkalmazás a számítógép környezetében vagy egy dedikált szolgáltatásfiókban fut-e.

    • A számítógép környezetében a következő paranccsal kérdezheti le a fiókobjektumot az Active Directoryban a definiált egyszerű szolgáltatásneveinek megtekintéséhez. Cserélje le <name_of_account> a környezet fiókjára.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Például: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • A dedikált szolgáltatásfiók esetében az alábbi paranccsal kérdezheti le a fiókobjektumot az Active Directoryban a definiált egyszerű szolgáltatásnevek megtekintéséhez. Cserélje le <name_of_account> a környezet fiókjára.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Például: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Ha az alkalmazás a gép kontextusában futott, adja hozzá az egyszerű felhasználónévt a számítógépfiók objektumához az Active Directoryban:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Az SPN-k definiálása esetén hozzon létre megbízhatóságot az adott szolgáltatáshoz delegált APM-szolgáltatásfiókhoz. A konfiguráció a BIG-IP-példány és az alkalmazáskiszolgáló topológiájától függően változik.

A BIG-IP és a célalkalmazás konfigurálása ugyanabban a tartományban

  1. Az APM szolgáltatásfiók megbízhatóságának beállítása hitelesítés delegálásához:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. Az APM-szolgáltatásfióknak ismernie kell azt a cél egyszerű szolgáltatásnevet, amelybe megbízhatóan delegálható. Állítsa be a cél egyszerű szolgáltatásnevet a webalkalmazást futtató szolgáltatásfiókra:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    Feljegyzés

    Ezeket a feladatokat a Active Directory - felhasználók és számítógépek, a Microsoft Management Console (MMC) beépülő modullal hajthatja végre egy tartományvezérlőn.

A BIG-IP és a célalkalmazás konfigurálása különböző tartományokban

A Windows Server 2012-es és újabb verzióiban a tartományok közötti KCD erőforrás-alapú korlátozott delegálást (RBCD) használ. A szolgáltatásra vonatkozó korlátozások a tartományi rendszergazdától a szolgáltatásadminisztrátorhoz kerülnek. Ez a delegálás lehetővé teszi, hogy a háttérszolgáltatás rendszergazdája engedélyezze vagy tiltsa le az egyszeri bejelentkezést. Ez a helyzet egy másik megközelítést hoz létre a konfiguráció delegálásánál, amely a PowerShell vagy az Active Directory szolgáltatásfelület-szerkesztő (ADSI-szerkesztés) használatakor lehetséges.

Az alkalmazásszolgáltatás-fiók (számítógép vagy dedikált szolgáltatásfiók) PrincipalsAllowedToDelegateToAccount tulajdonságával delegálást adhat a BIG-IP-ről. Ebben az esetben használja a következő PowerShell-parancsot egy tartományvezérlőn (Windows Server 2012 R2 vagy újabb verzió) az alkalmazással azonos tartományban.

Webalkalmazás-szolgáltatásfiókhoz definiált egyszerű szolgáltatásnév használata. A nagyobb biztonság érdekében használjon egy dedikált SPN-t, amely megfelel az alkalmazás gazdagépfejlécének. Mivel például a webalkalmazás-gazdagép fejléce ebben a példában myexpenses.contoso.com, adjon hozzá HTTP/myexpenses.contoso.com az Active Directory (AD) alkalmazásszolgáltatás-fiókobjektumához:

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Az alábbi parancsok esetében jegyezze fel a környezetet.

Ha a web_svc_account szolgáltatás egy felhasználói fiók környezetében fut, használja az alábbi parancsokat:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Ha a web_svc_account szolgáltatás egy számítógépfiók környezetében fut, használja az alábbi parancsokat:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

További információ: Kerberos korlátozott delegálás tartományok között.

BIG-IP speciális konfiguráció

Az alábbi szakaszban folytathatja a BIG-IP-konfigurációk beállítását.

SAML-szolgáltató beállításainak konfigurálása

Az SAML szolgáltatói beállításai határozzák meg az APM által az örökölt alkalmazás SAML-előhitelesítéssel való felülírásához használt SAML SP-tulajdonságokat. Konfigurálásuk:

  1. Egy böngészőből jelentkezzen be az F5 BIG-IP felügyeleti konzolra.

  2. Válassza az Access federation SAML service provider>local SP Services Create (Hozzáférés összevonási>>SAML-szolgáltató helyi SP-szolgáltatások>létrehozása) lehetőséget.

    Képernyőkép a Helyi SP-szolgáltatások SAML-szolgáltatója területén található Létrehozás lehetőségről.

  3. Adja meg a Microsoft Entra ID egyszeri bejelentkezésének konfigurálásakor mentett név - és entitásazonosító-értékeket .

    Az Új SAML SP szolgáltatás létrehozása név- és entitásazonosító-bejegyzéseinek képernyőképe.

  4. Ha az SAML-entitás azonosítója pontosan egyezik a közzétett alkalmazás URL-címével, kihagyhatja az SP-név Gépház. Ha például az entitás azonosítója urn:myexpenses:contosoonline, a séma értéke https; a gazdagép értéke myexpenses.contoso.com. Ha az entitás azonosítója "https://myexpenses.contoso.com", akkor nem kell megadnia ezeket az információkat.

Külső idP-összekötő konfigurálása

Az SAML IdP-összekötő határozza meg a BIG-IP APM beállításait, hogy a Microsoft Entra ID-t az SAML IdP-ként megbízhatónak minősítse. Ezek a beállítások az SAML SP-t egy SAML idP-hez rendelik, így létrejön az összevonási megbízhatóság az APM és a Microsoft Entra-azonosító között. Az összekötő konfigurálása:

  1. Görgessen le az új SAML SP-objektum kijelöléséhez, majd válassza a Kötés/Kapcsolat nélküli azonosító Csatlakozás orok lehetőséget.

    Képernyőkép a helyi SP-szolgáltatások SAML-szolgáltatójának Kötés nélküli azonosító Csatlakozás ors beállításáról.

  2. Válassza az Új azonosító Csatlakozás or>létrehozása metaadatokból lehetőséget.

    Képernyőkép a Metaadatokból lehetőségről az Új identitásszolgáltató létrehozása Csatlakozás or alatt az SAML-azonosítók szerkesztése során

  3. Keresse meg a letöltött összevonási metaadat-XML-fájlt, és adja meg a külső SAML-azonosítót képviselő APM-objektum identitásszolgáltatójának nevét . Az alábbi példa a MyExpenses_AzureAD mutatja be.

    Képernyőkép a fájl- és identitásszolgáltatói névbejegyzések kiválasztásáról az Új SAML-azonosító létrehozása Csatlakozás or fájl kiválasztása csoportban.

  4. Válassza az Új sor hozzáadása lehetőséget az új SAML idP Csatlakozás ors érték kiválasztásához, majd válassza a Frissítés lehetőséget.

    Képernyőkép az SAML IdP Csatlakozás or bejegyzés frissítési lehetőségéről.

  5. Kattintson az OK gombra.

Kerberos SSO konfigurálása

Hozzon létre egy APM SSO-objektumot a KCD SSO-hoz háttéralkalmazásokhoz. Használja a létrehozott APM-delegálási fiókot.

  1. Válassza az Access>egyszeri bejelentkezésű>Kerberos>Create lehetőséget, és adja meg a következő információkat:

  • Név: A létrehozás után más közzétett alkalmazások használhatják a Kerberos SSO APM objektumot. Használja például a Contoso_KCD_sso a Contoso tartomány több közzétett alkalmazásához. Egyetlen alkalmazáshoz használja a MyExpenses_KCD_sso.

  • Felhasználónév forrása: Adja meg a felhasználói azonosító forrását. Használjon forrásként egy APM-munkamenetváltozót. A session.saml.last.identity használata azért ajánlott, mert tartalmazza a Microsoft Entra-jogcím bejelentkezett felhasználói azonosítóját.

  • Felhasználói tartományforrás: Akkor szükséges, ha a felhasználói tartomány eltér a KCD Kerberos tartományától. Ha a felhasználók külön megbízható tartományban vannak, az APM-et az APM-munkamenet változójának és a bejelentkezett felhasználói tartománynak a megadásával tudathatja. Ilyen például a session.saml.last.attr.name.domain. Ezt a műveletet olyan helyzetekben hajtja végre, amikor a felhasználónév (UPN) egy alternatív utótagon alapul.

  • Kerberos-tartomány: Felhasználói tartomány utótagja nagybetűvel

  • KDC: Tartományvezérlő IP-címe. Vagy adjon meg egy teljes tartománynevet, ha a DNS konfigurálva van és hatékony.

  • UPN-támogatás: Jelölje be ezt a jelölőnégyzetet, ha a felhasználónév forrása UPN formátumban van, például a session.saml.last.identity változó.

  • Fióknév és fiókjelszó: Az APM szolgáltatásfiók hitelesítő adatai a KCD végrehajtásához

  • SPN-minta: HA HTTP/%h-t használ, az APM az ügyfélkérés gazdagépfejlécével hozza létre azt az egyszerű szolgáltatásnevt, amelyhez Kerberos-jogkivonatot kér.

  • Engedélyezés küldése: Tiltsa le ezt a beállítást az olyan alkalmazások esetében, amelyek a hitelesítést részesítik előnyben, ahelyett, hogy a Kerberos-jogkivonatot fogadják az első kérésben (például Tomcat).

    Képernyőkép a Név, a Felhasználónév forrása és az SSO-metódus konfigurálási bejegyzéseiről az általános tulajdonságokon.

Ha a felhasználói tartomány eltér a háttérkiszolgáló tartományától, a KDC nem definiálva marad. Ez a szabály többtartományos tartományokra vonatkozik. Ha a KDC-t nem definiálja, a BIG-IP megpróbálja felderíteni a Kerberos-tartományt a háttérkiszolgáló tartomány SRV rekordjainak DNS-keresésével. Azt várja, hogy a tartománynév megegyezik a tartománynévvel. Ha a tartománynév eltér, adja meg a /etc/krb5.conf fájlban.

A Kerberos egyszeri bejelentkezés feldolgozása gyorsabb, ha egy IP-cím egy KDC-t határoz meg. A Kerberos egyszeri bejelentkezés feldolgozása lassabb, ha egy gazdagép neve KDC-t ad meg. A több DNS-lekérdezés miatt a feldolgozás lassabb, ha a KDC nincs meghatározva. Győződjön meg arról, hogy a DNS optimálisan működik, mielőtt üzembe helyezne egy megvalósíthatósági igazolást.

Feljegyzés

Ha a háttérkiszolgálók több tartományba tartoznak, hozzon létre egy külön SSO-konfigurációs objektumot minden egyes tartományhoz.

Az SSO-kérés részeként fejléceket szúrhat be a háttéralkalmazásba. Módosítsa az Általános tulajdonságok beállítást Alapszintűről Speciálisra.

Az APM KCD SSO-hoz való konfigurálásáról további információt az F5 K17976428: A Kerberos által korlátozott delegálás áttekintése című cikkben talál.

Hozzáférési profil konfigurálása

A hozzáférési profil olyan APM-elemeket köt össze, amelyek a BIG-IP virtuális kiszolgálókhoz való hozzáférést kezelik. Ezek közé tartoznak a hozzáférési szabályzatok, az egyszeri bejelentkezés konfigurálása és a felhasználói felület beállításai.

  1. Válassza ki az Access-profilok>/ szabályzatok>hozzáférési profiljait (munkamenet-alapú szabályzatok)>Hozza létre és adja meg a következő tulajdonságokat:

    • Név: Írja be például a MyExpenses nevet

    • Profil típusa: Az összes kijelölése

    • Egyszeri bejelentkezés konfigurálása: Válassza ki a létrehozott KCD SSO konfigurációs objektumot

    • Elfogadott nyelvek: Legalább egy nyelv hozzáadása

    Képernyőkép az általános tulajdonságok, az egyszeri bejelentkezés hitelesítési tartományok közötti és a nyelvi Gépház bejegyzéséről.

  2. A létrehozott munkamenet-profilhoz válassza a Szerkesztés lehetőséget.

    Képernyőkép a Szerkesztés lehetőségről a Munkamenetenkénti polcy területen.

  3. Megnyílik a vizualizációszabályzat-szerkesztő. Válassza ki a tartalék melletti pluszjelet .

    Képernyőkép az Access-szabályzat alkalmazása gomb plüss-aláírás gombjáról.

  4. A párbeszédpanelen válassza a Hitelesítési>SAML-hitelesítési>elem hozzáadása elemet.

    Képernyőkép az SAML Hitelesítés lehetőségről a Hitelesítés lapon.

  5. Az SAML hitelesítési SP konfigurációjában állítsa be az AAA-kiszolgáló beállítást a létrehozott SAML SP-objektum használatára.

    Képernyőkép az AAA-kiszolgáló bejegyzéséről a Tulajdonságok lapon.

  6. Ha engedélyezni szeretné a Sikeres ág beállítást, jelölje ki a felső Megtagadás mezőben található hivatkozást.

  7. Válassza a Mentés lehetőséget.

    Képernyőkép az Access Policy Megtagadás lehetőségéről.

Attribútumleképezések konfigurálása

Bár nem kötelező, hozzáadhat egy LogonID_Mapping konfigurációt, amely lehetővé teszi, hogy a BIG-IP aktív munkamenetek listája munkamenetszám helyett a bejelentkezett felhasználó UPN-jét jelenítse meg. Ez az információ hasznos a naplók elemzéséhez vagy hibaelhárításhoz.

  1. A SAML Auth Successful ághoz válassza a pluszjelet.

  2. A párbeszédpanelen válassza a Hozzárendelési>változó elem hozzárendelése>elemet.

    Képernyőkép a Változó hozzárendelése lehetőségről a Hozzárendelés lapon.

  3. Adjon meg egy nevet.

  4. A Változó hozzárendelése panelen válassza az Új bejegyzésmódosítás> hozzáadása lehetőséget. Az alábbi példa a Név mezőben LogonID_Mapping mutatja be.

    Képernyőkép az Új bejegyzés hozzáadása és a módosítási lehetőségekről.

  5. Mindkét változó beállítása:

    • Egyéni változó: Adja meg a session.logon.last.username értéket
    • Munkamenet-változó: Adja meg a session.saml.last.identity értéket

  6. Válassza a Kész>mentés lehetőséget.

  7. Válassza a Sikeres hozzáférési szabályzat ág Megtagadási terminálját. Módosítsa az Engedélyezés gombra.

  8. Válassza a Mentés lehetőséget.

  9. Válassza a Hozzáférési szabályzat alkalmazása lehetőséget, és zárja be a szerkesztőt.

    Képernyőkép az Access Policy alkalmazása lehetőségről.

A háttérkészlet konfigurálása

Ahhoz, hogy a BIG-IP pontosan továbbíthassa az ügyfélforgalmat, hozzon létre egy BIG-IP csomópontobjektumot, amely az alkalmazást futtató háttérkiszolgálót jelöli. Ezután helyezze a csomópontot egy BIG-IP-kiszolgálókészletbe.

  1. Válassza a Helyi forgalomkészletek>>készletlista>létrehozása lehetőséget, és adjon nevet egy kiszolgálókészlet-objektumnak. Írja be például a MyApps_VMs.

    Képernyőkép a Név bejegyzésről az Új készlet konfigurációja területén.

  2. Adjon hozzá egy készlettag-objektumot az alábbi erőforrásadatokkal:

    • Csomópont neve: A háttér-webalkalmazást üzemeltető kiszolgáló megjelenítendő neve
    • Cím: Az alkalmazást üzemeltető kiszolgáló IP-címe
    • Szolgáltatásport: HTTP/S-port, amelyen az alkalmazás figyel

    Képernyőkép a csomópontnév, a cím és a szolgáltatásport bejegyzéséről, valamint a Hozzáadás lehetőségről.

Feljegyzés

Ez a cikk nem foglalkozik a konfigurációs állapotfigyelők által igényelt további figyelőkkel. Lásd: K13397: A BIG-IP DNS-rendszer HTTP-állapotfigyelő kéréseinek formázásának áttekintése.

A virtuális kiszolgáló konfigurálása

A virtuális kiszolgáló egy BIG-IP-adatsík objektum, amelyet egy virtuális IP-cím jelöl, amely figyeli az alkalmazáshoz érkező ügyfélkéréseket. A fogadott forgalom feldolgozása és kiértékelése a virtuális kiszolgálóhoz társított APM hozzáférési profil alapján történik, mielőtt a szabályzatnak megfelelően irányítanák őket.

Virtuális kiszolgáló konfigurálása:

  1. Válassza a Helyi forgalom virtuális>kiszolgálók virtuális kiszolgálói>lista>létrehozása lehetőséget.

  2. Adjon meg egy nevet és egy olyan IPv4/IPv6-címet, amely nincs lefoglalva big-IP-objektumhoz vagy eszközhöz a csatlakoztatott hálózaton. Az IP-cím a közzétett háttéralkalmazás ügyfélforgalmának fogadására van dedikáltan.

  3. Állítsa a szolgáltatásportot a 443-ra.

    Képernyőkép a Név, a Célcím/Maszk és a Szolgáltatásport-bejegyzésekről az Általános tulajdonságok területen.

  4. HTTP-profil (ügyfél) beállítása http-ra.

  5. Engedélyezze a virtuális kiszolgálót a Transport Layer Security (TLS) számára a szolgáltatások HTTPS-en keresztüli közzétételének engedélyezéséhez.

  6. SSL-profil (ügyfél) esetén válassza ki az előfeltételekhez létrehozott profilt. Vagy használja az alapértelmezett beállítást teszteléskor.

    Képernyőkép az ügyfél HTTP-profil- és SSL-profilbejegyzéseiről.

  7. Módosítsa a forráscímfordítást automatikus leképezésre.

    Képernyőkép a Forráscím fordítása bejegyzésről.

  8. Az Hozzáférési szabályzat területen állítsa be az Access-profilt a létrehozott profil alapján. Ez a kijelölés a Microsoft Entra SAML előhitelesítési profilt és a KCD SSO-házirendet köti a virtuális kiszolgálóhoz.

    Képernyőkép az Access-profil hozzáférési szabályzat alatti bejegyzéséről.

  9. Állítsa be az alapértelmezett készletet az előző szakaszban létrehozott háttérkészlet-objektumok használatára.

  10. Válassza a Kész elemet.

    Képernyőkép az erőforrások alapértelmezett készletbejegyzéséről.

Munkamenet-kezelési beállítások konfigurálása

A BIG-IP munkamenet-kezelési beállítások határozzák meg a felhasználói munkamenetek leállításának vagy folytatásának feltételeit, a felhasználókra és AZ IP-címekre vonatkozó korlátozásokat, valamint a hibaoldalakat. Itt hozhat létre házirendet.

Nyissa meg az Access Policy>Access-profilok>hozzáférési profilját, és válasszon ki egy alkalmazást a listából.

Ha egy egyszeri kijelentkezés URI-értékét definiálta a Microsoft Entra-azonosítóban, az biztosítja, hogy az IdP által kezdeményezett kijelentkezés a MyApps portálról befejezi az ügyfél és a BIG-IP APM közötti munkamenetet. Az importált alkalmazás-összevonási metaadatok XML-fájlja biztosítja az APM számára a Microsoft Entra SAML bejelentkezési végpontot az SP által kezdeményezett kijelentkezéshez. A hatékony eredmények érdekében az APM-nek tudnia kell, hogy mikor jelentkezik ki egy felhasználó.

Fontolja meg azt a forgatókönyvet, amikor egy BIG-IP-alapú webportál nincs használatban. A felhasználó nem utasíthatja az APM-et a kijelentkezésre. Még ha a felhasználó kijelentkezik is az alkalmazásból, a BIG-IP-cím nem kötelező, így az alkalmazás munkamenete SSO-n keresztül visszaállítható. Az SP által kezdeményezett kijelentkezésnek figyelembe kell vennie a munkamenetek biztonságos leállítását.

Feljegyzés

SLO-függvényt adhat hozzá az alkalmazás Kijelentkezés gombjához. Ez a függvény átirányítja az ügyfelet a Microsoft Entra SAML bejelentkezési végpontra. Keresse meg az SAML bejelentkezési végpontot az Alkalmazásregisztrációk végpontjainál.>

Ha nem tudja módosítani az alkalmazást, fontolja meg, hogy a BIG-IP figyeli az alkalmazás bejelentkezési hívását. Amikor észleli a kérést, aktiválja az SLO-t.

További információkért lásd az F5 cikkeket:

Összegzés

Az alkalmazás sha-on, URL-címen vagy Microsoft-alkalmazásportálokon keresztül érhető el. Az alkalmazás célerőforrásként látható a Microsoft Entra Feltételes hozzáférésben.

A nagyobb biztonság érdekében az ezt a mintát használó szervezetek blokkolhatják az alkalmazáshoz való közvetlen hozzáférést, ami szigorú utat kényszerít ki a BIG-IP-címen keresztül.

Következő lépések

Felhasználóként nyisson meg egy böngészőt, és csatlakozzon az alkalmazás külső URL-címéhez. Az alkalmazás ikonját a Microsoft MyApps portálon választhatja ki. Miután hitelesítést végzett a Microsoft Entra-bérlőn, a rendszer átirányítja az alkalmazás BIG-IP-végpontjára, és egyszeri bejelentkezéssel jelentkezik be.

A példaalkalmazás webhelyének képe.

Microsoft Entra B2B vendéghozzáférés

Az SHA támogatja a Microsoft Entra B2B vendéghozzáférést. A vendégidentitások szinkronizálódnak a Microsoft Entra-bérlőről a cél Kerberos-tartományba. A BIG-IP-hez tartozó vendégobjektumok helyi ábrázolásával kCD SSO-t hajthat végre a háttéralkalmazásban.

Hibaelhárítás

A hibaelhárítás során vegye figyelembe a következő szempontokat:

  • Kerberos időérzékeny. Ehhez a kiszolgálóknak és ügyfeleknek a megfelelő időpontra kell állítaniuk, és ha lehetséges, szinkronizálva kell egy megbízható időforrással.
  • Győződjön meg arról, hogy a tartományvezérlő és a webalkalmazás gazdagépnevei feloldhatók a DNS-ben
  • Győződjön meg arról, hogy a környezetben nincsenek ismétlődő egyszerű szolgáltatásnevek. Futtassa a következő lekérdezést a parancssorban: setspn -q HTTP/my_target_SPN.

Feljegyzés

Ha ellenőrizni szeretné, hogy egy IIS-alkalmazás konfigurálva van-e a KCD-hez, tekintse meg a Kerberos által korlátozott delegálási konfigurációk hibaelhárítását alkalmazásproxy. Lásd még az AskF5 cikkét, a Kerberos single sign-on metódust.

A napló részletességének növelése

A BIG-IP-naplók megbízható információforrást jelentenek. A napló részletességi szintjének növelése:

  1. Nyissa meg az Access Szabályzat>áttekintése>eseménynaplókat> Gépház.
  2. Válassza ki a közzétett alkalmazás sorát.
  3. Válassza az Access-rendszernaplók szerkesztése>lehetőséget.
  4. Válassza a Hibakeresés lehetőséget az egyszeri bejelentkezés listájából.
  5. Kattintson az OK gombra.

A naplók megtekintése előtt reprodukálja a problémát. Ezt követően, ha elkészült, állítsa vissza ezt a funkciót. Ellenkező esetben a részletesség jelentős.

BIG-IP-hiba

Ha a Microsoft Entra előzetes hitelesítése után BIG-IP-hiba jelenik meg, a probléma az egyszeri bejelentkezéshez kapcsolódhat a Microsoft Entra-azonosítótól a BIG-IP-címig.

  1. Nyissa meg az Access>áttekintési>hozzáférési jelentéseit.
  2. Annak megtekintéséhez, hogy a naplóknak vannak-e nyomai, futtassa a jelentést az elmúlt órában.
  3. A munkamenet munkamenet változóinak megtekintése hivatkozásával megtudhatja, hogy az APM megkapja-e a várt jogcímeket a Microsoft Entra-azonosítótól.

Háttérkérelem

Ha nem jelenik meg BIG-IP-hiba, a probléma valószínűleg a háttérkérelemhez kapcsolódik, vagy a BIG-IP-ről az alkalmazásra irányuló egyszeri bejelentkezéssel kapcsolatos.

  1. Nyissa meg az Access Szabályzat>áttekintése>aktív munkameneteket.
  2. Válassza ki az aktív munkamenet hivatkozását.
  3. A Változók megtekintése hivatkozással meghatározhatja a KCD kiváltó okait, különösen akkor, ha a BIG-IP APM nem tudja lekérni a megfelelő felhasználó- és tartományazonosítókat.

A KCD-vel kapcsolatos problémák diagnosztizálásához a Kerberos korlátozott delegálásának konfigurálásával kapcsolatos F5 BIG-IP üzembe helyezési útmutató archiválása című témakörben talál segítséget.

Források