Tutorial: Mengonfigurasi Tombol Mudah F5 BIG-IP untuk akses menyeluruh Kerberos

  • Artikel

Pelajari cara mengamankan aplikasi berbasis Kerberos dengan MICROSOFT Entra ID, melalui F5 BIG-IP Easy Button Guided Configuration 16.1.

Mengintegrasikan BIG-IP dengan MICROSOFT Entra ID memberikan banyak manfaat, termasuk:

Untuk mempelajari selengkapnya tentang manfaat, lihat artikel tentang integrasi F5 BIG-IP dan Microsoft Entra.

Deskripsi Skenario

Skenario ini adalah aplikasi klasik warisan menggunakan autentikasi Kerberos, juga dikenal sebagai Autentikasi Windows Terpadu (IWA), untuk gerbang akses ke konten yang dilindungi.

Karena warisan, aplikasi tidak memiliki protokol modern untuk mendukung integrasi langsung dengan MICROSOFT Entra ID. Anda dapat memodernisasi aplikasi, tetapi mahal, memerlukan perencanaan, dan memperkenalkan risiko potensi waktu henti. Sebagai gantinya, Pengontrol Pengiriman Aplikasi (ADC) F5 BIG-IP menjenjang kesenjangan antara aplikasi warisan dan sarana kontrol ID modern, melalui transisi protokol.

BIG-IP di depan aplikasi memungkinkan overlay layanan dengan pra-autentikasi Microsoft Entra dan SSO berbasis header, meningkatkan postur keamanan aplikasi.

Catatan

Organisasi dapat memperoleh akses jarak jauh ke jenis aplikasi ini dengan proksi aplikasi Microsoft Entra

Arsitektur skenario

Solusi akses hibrid aman (SHA) untuk skenario ini memiliki komponen berikut:

  • Aplikasi: Layanan yang diterbitkan BIG-IP untuk dilindungi oleh Microsoft Entra SHA. Host aplikasi bergabung dengan domain, oleh karena itu terintegrasi dengan Active Directory (AD).
  • ID Microsoft Entra: IdP (IdP) Security Assertion Markup Language (SAML) yang memverifikasi kredensial pengguna, Akses Bersyarat, dan SSO berbasis SAML ke BIG-IP. Melalui SSO, Microsoft Entra ID menyediakan BIG-IP dengan atribut sesi yang diperlukan.
  • KDC: Peran Key Distribution Center (KDC) pada Pengendali Domain (DC), menerbitkan tiket Kerberos
  • BIG-IP: Proksi terbalik dan penyedia layanan SAML (SP) ke aplikasi, mendelegasikan autentikasi ke IDP SAML sebelum melakukan SSO berbasis Kerberos ke aplikasi back-end.

SHA untuk skenario ini mendukung alur yang dimulai SP dan IdP. Gambar berikut mengilustrasikan alur SP.

Diagram of the scenario service provider flow.

  1. Pengguna terhubung ke titik akhir aplikasi (BIG-IP)
  2. Kebijakan akses BIG-IP APM mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP)
  3. ID Microsoft Entra melakukan pra-autentikasi pengguna dan menerapkan kebijakan Akses Bersyariah yang diberlakukan
  4. Pengguna diarahkan ke BIG-IP (SAML SP) dan SSO dilakukan menggunakan token SAML yang dikeluarkan
  5. BIG-IP meminta tiket Kerberos dari KDC
  6. BIG-IP mengirim permintaan untuk aplikasi backend, bersama dengan tiket Kerberos untuk SSO
  7. Aplikasi mengotorisasi permintaan dan mengembalikan payload

Prasyarat

Pengalaman BIG-IP sebelumnya tidak diperlukan, tetapi Anda memerlukan:

  • Akun gratis Azure, atau yang lebih tinggi
  • BIG-IP atau menyebarkan BIG-IP Virtual Edition (VE) di Azure
  • Salah satu lisensi F5 BIG-IP berikut:
    • F5 BIG-IP® Bundel terbaik
    • F5 BIG-IP APM mandiri
    • Lisensi add-on F5 BIG-IP APM pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Lisensi Uji Coba Gratis BIG-IP 90 hari
  • Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra, atau dibuat di ID Microsoft Entra dan mengalir kembali ke direktori lokal Anda
  • Salah satu peran berikut: Administrator Global, Administrator Aplikasi Cloud, atau Administrator Aplikasi.
  • Sertifikat Web SSL untuk layanan penerbitan melalui HTTPS, atau gunakan sertifikat BIG-IP default saat menguji
  • Aplikasi Kerberos, atau buka active-directory-wp.com untuk belajar mengonfigurasi SSO dengan IIS di Windows.

Metode konfigurasi BIG-IP

Tutorial ini mencakup Konfigurasi Terpandu terbaru 16.1 dengan templat Tombol Mudah. Dengan Tombol Mudah, Admin tidak bolak-balik antara MICROSOFT Entra ID dan BIG-IP untuk mengaktifkan layanan untuk SHA. Penyebaran dan manajemen kebijakan ditangani oleh wizard Konfigurasi Terpandu APM dan Microsoft Graph. Integrasi antara BIG-IP APM dan Microsoft Entra ID ini memastikan aplikasi mendukung federasi identitas, SSO, dan Akses Bersyarat Microsoft Entra, mengurangi overhead administratif.

Catatan

Ganti contoh string atau nilai dalam artikel ini dengan string untuk lingkungan Anda.

Mendaftarkan Easy Button

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Sebelum klien atau layanan dapat mengakses Microsoft Graph, klien atau layanan harus dipercaya oleh platform identitas Microsoft.. Tindakan ini membuat pendaftaran aplikasi penyewa untuk mengotorisasi akses Tombol Mudah ke Grafik. Melalui izin ini, BIG-IP mendorong konfigurasi untuk membangun kepercayaan antara instans SAML SP untuk aplikasi yang diterbitkan, dan ID Microsoft Entra sebagai IDP SAML.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri ke Aplikasi> Identitas>Pendaftaran aplikasi > Pendaftaran baru.

  3. Masukkan Nama tampilan aplikasi Anda. Misalnya, Tombol Mudah F5 BIG-IP.

  4. Tentukan siapa yang hanya dapat menggunakan Akun aplikasi >di direktori organisasi ini.

  5. Pilih Daftarkan.

  6. Navigasikan ke Izin API dan otorisasi izin Aplikasi Microsoft Graph berikut:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grup.Baca.Semua
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • Pengguna.Baca.Semua

  7. Berikan persetujuan admin untuk organisasi Anda.

  8. Pada Sertifikat & Rahasia, buat rahasia klien baru. Catat rahasia ini.

  9. Dari Gambaran Umum, perhatikan ID Klien dan ID Penyewa.

Mengonfigurasi Easy Button

Memulai Konfigurasi Terpandu APM untuk meluncurkan templat Tombol Mudah.

  1. Navigasi ke Akses > Konfigurasi > Terpandu Integrasi Microsoft dan pilih Aplikasi Microsoft Entra.

  2. Tinjau langkah-langkah konfigurasi dan pilih Berikutnya

  3. Ikuti langkah-langkah untuk menerbitkan aplikasi Anda.

    Screenshot of the configuration flow, on Guided Configuration.

Properti Konfigurasi

Tab Properti Konfigurasi membuat konfigurasi aplikasi BIG-IP dan objek SSO. Bagian Detail Akun Layanan Azure dapat mewakili klien yang Anda daftarkan di penyewa Microsoft Entra Anda sebelumnya, sebagai aplikasi. Pengaturan ini memungkinkan klien BIG-IP OAuth mendaftarkan SAML SP di penyewa Anda, dengan properti SSO yang Anda konfigurasikan secara manual. Tombol Mudah melakukan tindakan ini untuk setiap layanan BIG-IP yang diterbitkan dan diaktifkan untuk SHA.

Beberapa pengaturan bersifat global, yang dapat digunakan kembali untuk menerbitkan lebih banyak aplikasi, mengurangi waktu dan upaya penyebaran.

  1. Berikan Nama Konfigurasi yang unik.

  2. Aktifkan Akses Menyeluruh (SSO) & Header HTTP.

  3. Masukkan ID Penyewa, ID Klien, dan Rahasia Klien yang Anda catat saat mendaftarkan klien Easy Button di penyewa Anda.

    Screenshot of Configuration Name, SSO and HTTP Headers, and Azure Service Account Details entries.

  4. Konfirmasikan BIG-IP tersambung ke penyewa Anda.

  5. Pilih Selanjutnya.

Penyedia Layanan

Pengaturan Penyedia Layanan adalah properti untuk instans SAML SP aplikasi yang dilindungi melalui SHA.

  1. Untuk Host, masukkan FQDN publik aplikasi yang diamankan.

  2. Untuk ID Entitas, masukkan pengidentifikasi yang digunakan Microsoft Entra ID untuk mengidentifikasi SAML SP yang meminta token.

    Screenshot if Host and Entity ID entries on Service Provider.

Keamanan opsional Pengaturan menentukan apakah MICROSOFT Entra ID mengenkripsi pernyataan SAML yang dikeluarkan. Mengenkripsi pernyataan antara ID Microsoft Entra dan BIG-IP APM memberikan lebih banyak jaminan token konten tidak dapat disadap, dan data pribadi atau perusahaan tidak dapat disusupi.

  1. Dari daftar Kunci Privat Dekripsi Pernyataan, pilih Buat Baru.

Screenshot of the Create New option on Security Settings.

  1. Pilih OK. Dialog Impor Sertifikat dan Kunci SSL muncul.
  2. Pilih PKCS 12 (IIS) untuk mengimpor sertifikat dan kunci privat Anda.
  3. Setelah provisi, tutup tab browser untuk kembali ke tab utama.

Screenshot of Import Type, Certificate and Key Name, Certificate and Key Source, and Password entries

  1. Periksa Aktifkan Pernyataan Terenkripsi.
  2. Jika Anda mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Kunci Privat Dekripsi Pernyataan. Kunci privat ini adalah untuk sertifikat yang digunakan BIG-IP APM untuk mendekripsi pernyataan Microsoft Entra.
  3. Jika Anda mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Sertifikat Dekripsi Pernyataan. BIG-IP mengunggah sertifikat ini ke ID Microsoft Entra untuk mengenkripsi pernyataan SAML yang dikeluarkan.

Screenshot of Assertion Decryption Private Key and Assertion Decryption Certificates entries.

Microsoft Entra ID

Bagian ini menentukan properti untuk mengonfigurasi aplikasi BIG-IP SAML baru secara manual di penyewa Microsoft Entra Anda. Easy Button memiliki templat aplikasi untuk Oracle Orang Soft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP, dan templat SHA untuk aplikasi lain.

Untuk skenario ini, pilih F5 BIG-IP APM Azure AD Integration > Add.

Konfigurasi Azure

  1. Masukkan Nama Tampilan untuk aplikasi yang dibuat BIG-IP di penyewa Microsoft Entra Anda, dan ikon di portal MyApps.

  2. Biarkan URL Masuk (opsional) tetap kosong untuk mengaktifkan aktivitas masuk yang dimulai IdP.

  3. Pilih ikon refresh di samping Kunci Penandatanganan dan Sertifikat Penandatanganan untuk menemukan sertifikat yang Anda impor.

  4. Di Frasa Sandi Kunci Penandatanganan, masukkan kata sandi sertifikat.

  5. Aktifkan Opsi Penandatanganan (opsional) untuk memastikan BIG-IP menerima token dan klaim yang ditandatangani oleh ID Microsoft Entra.

    Screenshot of Signing Key, Signing Certificate, and Signing Key Passphrase on SAML Signing Certificate.

  6. Grup Pengguna dan Pengguna secara dinamis dikueri dari penyewa Microsoft Entra Anda dan mengotorisasi akses ke aplikasi. Tambahkan pengguna atau grup untuk pengujian, jika tidak, semua akses ditolak.

    Screenshot of the Add option on Users And User Groups.

Atribut & Klaim Pengguna

Saat pengguna mengautentikasi ke ID Microsoft Entra, pengguna mengeluarkan token SAML dengan serangkaian klaim dan atribut default yang mengidentifikasi pengguna. Tab Atribut Pengguna & Klaim menunjukkan klaim default yang akan dikeluarkan untuk aplikasi baru. Gunakan untuk mengonfigurasi lebih banyak klaim.

Infrastruktur AD didasarkan pada akhiran domain .com yang digunakan secara internal dan eksternal. Atribut lainnya tidak diperlukan untuk mencapai implementasi SSO KCD fungsional. Lihat tutorial tingkat lanjut untuk beberapa domain atau masuk pengguna menggunakan akhiran alternatif.

Screenshot of User Attributes and Claims.

Atribut Pengguna Tambahan

Tab Atribut Pengguna Tambahan mendukung berbagai sistem terdistribusi yang memerlukan atribut yang disimpan di direktori lain, untuk augmentasi sesi. Atribut yang diambil dari sumber LDAP dapat disuntikkan sebagai header SSO untuk membantu mengontrol akses berdasarkan peran, ID Mitra, dll.

Catatan

Fitur ini tidak memiliki korelasi dengan ID Microsoft Entra tetapi merupakan sumber atribut lain.

Kebijakan Akses Bersyarat

Kebijakan Akses Bersyarat diberlakukan setelah pra-autentikasi Microsoft Entra untuk mengontrol akses berdasarkan sinyal perangkat, aplikasi, lokasi, dan risiko.

Tampilan Kebijakan yang Tersedia memperlihatkan kebijakan Akses Bersyar tanpa tindakan berbasis pengguna.

Tampilan Kebijakan yang Dipilih menampilkan kebijakan yang menargetkan aplikasi cloud. Anda tidak dapat membatalkan pilihan kebijakan atau memindahkannya ke daftar Kebijakan yang Tersedia karena diberlakukan pada tingkat penyewa.

Untuk memilih kebijakan yang akan diterapkan ke aplikasi yang sedang diterbitkan:

  1. Dari daftar Kebijakan yang Tersedia, pilih kebijakan.
  2. Pilih panah kanan dan pindahkan ke daftar Kebijakan yang Dipilih.

Kebijakan yang dipilih memerlukan opsi Sertakan atau Kecualikan dicentang. Jika kedua opsi dicentang, kebijakan yang dipilih tidak diberlakukan.

Screenshot of excluded Conditional Access policies, under Selected Policies, on Conditional Access Policy.

Catatan

Daftar kebijakan muncul sekali, setelah beralih ke tab ini. Anda dapat menggunakan tombol refresh untuk memaksa wizard secara manual untuk mengkueri penyewa Anda, tetapi tombol ini muncul setelah aplikasi disebarkan.

Properti Server Virtual

Server virtual adalah objek data plane BIG-IP yang diwakili oleh alamat IP virtual yang mendengarkan permintaan klien ke aplikasi. Setiap lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM yang terkait dengan server virtual, sebelum diarahkan sesuai dengan kebijakan.

  1. Masukkan Alamat Tujuan, alamat IPv4/IPv6 yang tersedia yang dapat digunakan BIG-IP untuk menerima lalu lintas klien. Ada catatan yang sesuai di DNS, memungkinkan klien untuk menyelesaikan URL eksternal aplikasi yang diterbitkan BIG-IP Anda ke IP ini, bukan aplikasi. Menggunakan DNS localhost PC pengujian dapat diterima untuk pengujian.

  2. Untuk Port Layanan masukkan 443 untuk HTTPS.

  3. Centang Aktifkan Port Pengalihan lalu masukkan Port Pengalihan, yang mengalihkan lalu lintas klien HTTP masuk ke HTTPS.

  4. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui TLS. Pilih Profil SSL Klien yang Anda buat untuk prasyarat, atau biarkan default jika Anda menguji.

    Screenshot of Destination Address, Service Port, and Common entries, on Virtual Server Properties.

Properti Kumpulan

Tab Kumpulan Aplikasi menunjukkan layanan di balik BIG-IP, yang diwakili sebagai kumpulan dengan server aplikasi.

  1. Untuk Pilih Kumpulan, buat kumpulan baru atau pilih kumpulan.

  2. Pilih Metode Load Balancing, seperti Round Robin.

  3. Untuk Server Kumpulan pilih simpul server, atau tentukan IP dan port untuk simpul back-end yang menghosting aplikasi berbasis header.

    Screenshot of IP Address/Node Name, and Port entries on Pool Properties.

Aplikasi back-end berjalan pada port HTTP 80. Anda dapat mengalihkan port ke 443, jika aplikasi Anda berjalan di HTTPS.

Akses menyeluruh dan Header HTTP

Mengaktifkan SSO memungkinkan pengguna mengakses layanan yang diterbitkan BIG-IP tanpa harus memasukkan info masuk. Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO. Untuk instruksi ini, gunakan akun delegasi Kerberos yang Anda buat.

Aktifkan Kerberos dan Tampilkan Pengaturan Tingkat Lanjut untuk memasukkan hal berikut:

  • Sumber Nama Pengguna: Nama pengguna yang disukai untuk di-cache untuk SSO. Anda dapat memberikan variabel sesi sebagai sumber ID pengguna, tetapi session.saml.last.identity berfungsi lebih baik karena menyimpan klaim Microsoft Entra yang berisi ID pengguna yang masuk.

  • Sumber Realm Pengguna: Diperlukan jika domain pengguna berbeda dari realm BIG-IP Kerberos. Dalam hal ini, variabel sesi APM berisi domain pengguna yang masuk. Misalnya, session.saml.last.attr.name.domain

    Screenshot of the Username Source entry on Single Sign On and HTTP Headers.

  • KDC: IP Pengendali Domain, atau FQDN jika DNS dikonfigurasi dan efisien

  • Dukungan UPN: Aktifkan opsi ini agar APM menggunakan UPN untuk tiket Kerberos

  • Pola SPN: Gunakan HTTP/%h untuk memberi tahu APM untuk menggunakan header host permintaan klien, dan membangun SPN yang meminta token Kerberos

  • Kirim Otorisasi: Nonaktifkan untuk aplikasi yang menegosiasikan autentikasi alih-alih menerima token kerberos dalam permintaan pertama. Misalnya, Tomcat.

    Screenshot of entries for SSO Method Configuration

Manajemen Sesi

Pengaturan manajemen sesi BIG-IP menentukan kondisi di mana sesi pengguna dihentikan atau dilanjutkan, batasan untuk pengguna dan alamat IP, dan info pengguna yang sesuai. Lihat artikel AskF5 K18390492: Keamanan | Panduan operasi BIG-IP APM untuk detail pengaturan.

Yang tidak tercakup adalah fungsionalitas Single Log Out (SLO), yang memastikan sesi antara IdP, BIG-IP, dan agen pengguna berakhir saat pengguna keluar. Saat Tombol Mudah membuat instans aplikasi SAML di penyewa Microsoft Entra Anda, tombol ini mengisi URL keluar dengan titik akhir APM SLO. Keluar yang dimulai IdP dari portal Microsoft Entra Aplikasi Saya mengakhiri sesi antara BIG-IP dan klien.

Metadata federasi SAML untuk aplikasi yang diterbitkan diimpor dari penyewa Anda, menyediakan APM dengan titik akhir keluar SAML untuk ID Microsoft Entra. Tindakan ini memastikan keluar yang dimulai SP mengakhiri sesi antara klien dan ID Microsoft Entra. APM perlu mengetahui kapan pengguna keluar dari aplikasi.

Jika portal webtop BIG-IP mengakses aplikasi yang diterbitkan, maka keluar diproses oleh APM untuk memanggil titik akhir keluar Microsoft Entra. Tetapi pertimbangkan skenario ketika portal webtop BIG-IP tidak digunakan, maka pengguna tidak dapat menginstruksikan APM untuk keluar. Bahkan jika pengguna keluar dari aplikasi, BIG-IP tidak sadar. Oleh karena itu, pertimbangkan keluar yang dimulai SP untuk memastikan sesi dihentikan dengan aman. Anda dapat menambahkan fungsi SLO ke tombol Keluar aplikasi Anda, sehingga mengalihkan klien Anda ke Microsoft Entra SAML, atau titik akhir keluar BIG-IP.

URL untuk titik akhir keluar SAML untuk penyewa Anda ditemukan di Titik Akhir Pendaftaran > Aplikasi.

Jika Anda tidak dapat mengubah aplikasi, maka pertimbangkan untuk meminta BIG-IP mendengarkan panggilan keluar aplikasi, dan setelah mendeteksi permintaan, aplikasi akan memicu SLO. Untuk mempelajari tentang BIG-IP iRules, lihat panduan Oracle Orang Soft SLO. Untuk informasi selengkapnya tentang menggunakan BIG-IP iRules, lihat:

Ringkasan

Bagian ini adalah perincian konfigurasi Anda.

Pilih Sebarkan untuk menerapkan pengaturan dan memverifikasi bahwa aplikasi ada dalam daftar aplikasi Enterprise penyewa Anda.

Konfigurasi KCD Active Directory Domain Services

Agar BIG-IP APM melakukan SSO ke aplikasi back-end atas nama pengguna, konfigurasikan KCD di domain Active Directory (AD) target. Mendelegasikan autentikasi mengharuskan Anda untuk memprovisikan BIG-IP APM dengan akun layanan domain.

Lewati bagian ini jika akun layanan APM dan delegasi Anda disiapkan. Jika tidak, masuk ke pengendali domain dengan akun Admin.

Untuk skenario ini, aplikasi dihosting di server APP-VM-01 dan berjalan dalam konteks akun layanan bernama web_svc_account, bukan identitas komputer. Akun layanan pendelegasian yang menetapkan ke APM adalah BIG-IP-F5.

Membuat akun delegasi APM BIG-IP

BIG-IP tidak mendukung grup Akun Layanan Terkelola (gMSA), oleh karena itu buat akun pengguna standar untuk akun layanan APM.

  1. Masukkan perintah PowerShell berikut ini. Ganti nilai UserPrincipalName dan SamAccountName dengan nilai lingkungan Anda. Untuk keamanan yang lebih baik, gunakan SPN khusus yang cocok dengan header host aplikasi.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    Catatan

    Ketika Host digunakan, aplikasi apa pun yang berjalan di host akan mendelegasikan akun sedangkan ketika HTTPS digunakan, itu hanya akan mengizinkan operasi terkait protokol HTTP.

  2. Buat Nama Perwakilan Layanan (SPN) untuk akun layanan APM yang akan digunakan selama delegasi ke akun layanan aplikasi web:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{ Add="host/f5-big-ip.contoso.com" }

    Catatan

    Wajib untuk menyertakan host/ bagian dalam format UserPrincipleName (host/name.domain@domain) atau ServicePrincipleName (host/name.domain).

  3. Sebelum Anda menentukan SPN target, lihat konfigurasi SPN-nya. Pastikan SPN ditampilkan terhadap akun layanan APM. Akun layanan APM mendelegasikan untuk aplikasi web:

    • Konfirmasikan bahwa aplikasi web Anda berjalan dalam konteks komputer atau akun layanan khusus.

    • Untuk konteks Komputer, gunakan perintah berikut untuk mengkueri objek akun di Direktori Aktif untuk melihat SPN yang ditentukan. Ganti <name_of_account> dengan akun untuk lingkungan Anda.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Misalnya: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • Untuk akun layanan khusus, gunakan perintah berikut untuk mengkueri objek akun di Direktori Aktif untuk melihat SPN yang ditentukan. Ganti <name_of_account> dengan akun untuk lingkungan Anda.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Misalnya:

      Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Jika aplikasi berjalan dalam konteks komputer, tambahkan SPN ke objek akun komputer di Direktori Aktif:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Dengan SPN yang ditentukan, tetapkan kepercayaan untuk akun layanan APM yang didelegasikan ke layanan tersebut. Konfigurasi bervariasi tergantung pada topologi instans BIG-IP dan server aplikasi Anda.

Mengonfigurasi BIG-IP dan aplikasi target di domain yang sama

  1. Mengatur kepercayaan untuk akun layanan APM untuk mendelegasikan autentikasi:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. Akun layanan APM perlu mengetahui SPN target yang dipercaya untuk mendelegasikannya. Atur SPN target ke akun layanan yang menjalankan aplikasi web Anda:

    Set-ADUser -Identity f5-big-ip -Add @{ 'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com') }

    Catatan

    Anda dapat menyelesaikan tugas-tugas ini dengan snap-in Pengguna dan Komputer Direktori Aktif, Konsol Manajemen Microsoft (MMC), pada pengontrol domain.

BIG-IP dan aplikasi dalam domain yang berbeda

Dalam versi Windows Server 2012, dan yang lebih tinggi, KCD lintas domain menggunakan Delegasi Yang Dibatasi Berbasis Sumber Daya (RBCD). Batasan untuk layanan ditransfer dari administrator domain ke administrator layanan. Delegasi ini memungkinkan administrator layanan back-end untuk mengizinkan atau menolak SSO. Situasi ini membuat pendekatan yang berbeda pada delegasi konfigurasi, yang dimungkinkan saat Anda menggunakan PowerShell atau Editor Antarmuka Layanan Direktori Aktif (ADSI Edit).

Anda dapat menggunakan properti PrincipalsAllowedToDelegateToAccount dari akun layanan aplikasi (komputer atau akun layanan khusus) untuk memberikan delegasi dari BIG-IP. Untuk skenario ini, gunakan perintah PowerShell berikut pada pengendali domain (Windows Server 2012 R2, atau yang lebih baru) di domain yang sama dengan aplikasi.

Gunakan SPN yang ditentukan terhadap akun layanan aplikasi web. Untuk keamanan yang lebih baik, gunakan SPN khusus yang cocok dengan header host aplikasi. Misalnya, karena header host aplikasi web dalam contoh ini adalah myexpenses.contoso.com, tambahkan HTTP/myexpenses.contoso.com ke objek akun layanan aplikasi di Direktori Aktif (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Untuk perintah berikut, perhatikan konteksnya.

Jika layanan web_svc_account berjalan dalam konteks akun pengguna, gunakan perintah berikut:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com

''Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount'

$big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Jika layanan web_svc_account berjalan dalam konteks akun komputer, gunakan perintah ini:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com

Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount

$big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Untuk informasi lebih lanjut, lihat Kerberos Constrained Delegation di seluruh domain.

Tampilan aplikasi

Dari browser, sambungkan ke URL eksternal aplikasi atau pilih ikon aplikasi di portal Microsoft MyApps. Setelah mengautentikasi ke MICROSOFT Entra ID, Anda dialihkan ke server virtual BIG-IP untuk aplikasi dan masuk melalui SSO.

Screenshot of the application's external URL

Untuk peningkatan keamanan, organisasi yang menggunakan pola ini dapat memblokir akses langsung ke aplikasi, sehingga memaksa jalur yang ketat melalui BIG-IP.

Akses tamu Microsoft Entra B2B

Akses tamu Microsoft Entra B2B didukung untuk skenario ini, dengan identitas tamu mengalir turun dari penyewa Microsoft Entra Anda ke direktori yang digunakan aplikasi untuk otorisasi. Tanpa representasi lokal objek tamu di AD, BIG-IP gagal menerima tiket kerberos untuk SSO KCD ke aplikasi back-end.

Penyebaran tingkat lanjut

Templat Konfigurasi Terpandu dapat tidak memiliki fleksibilitas untuk mencapai beberapa persyaratan. Untuk skenario tersebut, lihat Konfigurasi Tingkat Lanjut untuk SSO berbasis kerberos.

Atau, di BIG-IP Anda dapat menonaktifkan mode manajemen ketat Konfigurasi Terpandu. Anda dapat mengubah konfigurasi secara manual, meskipun sebagian besar konfigurasi Anda diotomatisasi melalui templat berbasis wizard.

Anda dapat menavigasi ke Konfigurasi Terpandu Akses > dan memilih ikon gembok kecil di ujung kanan baris untuk konfigurasi aplikasi Anda.

Screenshot of the padlock option.

Pada titik ini, perubahan dengan UI wizard tidak dimungkinkan, tetapi semua objek BIG-IP yang terkait dengan instans aplikasi yang diterbitkan tidak terkunci untuk manajemen.

Catatan

Mengaktifkan kembali mode ketat dan menyebarkan konfigurasi menimpa pengaturan yang dilakukan di luar UI Konfigurasi Terpandu. Oleh karena itu, kami merekomendasikan metode konfigurasi tingkat lanjut untuk layanan produksi.

Pemecahan Masalah

Jika memecahkan masalah SSO kerberos, ketahui konsep berikut.

  • Kerberos sensitif terhadap waktu, sehingga memerlukan server dan klien yang diatur ke waktu yang benar, dan jika memungkinkan, disinkronkan ke sumber waktu yang dapat diandalkan
  • Pastikan nama host untuk pengendali domain dan aplikasi web dapat diselesaikan di DNS
  • Pastikan tidak ada SPN duplikat di lingkungan AD Anda: jalankan kueri berikut di baris perintah pada PC domain: setspn -q HTTP/my_target_SPN

Anda dapat merujuk ke panduan proksi aplikasi kami untuk memvalidasi aplikasi IIS dikonfigurasi untuk KCD. Lihat juga artikel AskF5, metode akses menyeluruh Kerberos.

Analisis log: meningkatkan verbositas

Gunakan pengelogan BIG-IP untuk mengisolasi masalah dengan konektivitas, SSO, pelanggaran kebijakan, atau pemetaan variabel yang salah dikonfigurasi. Mulai pemecahan masalah dengan meningkatkan tingkat verbositas log.

  1. Navigasi ke Log > Peristiwa Gambaran Umum > Kebijakan > Akses Pengaturan.
  2. Pilih baris untuk aplikasi yang diterbitkan, lalu Edit > Log Sistem Akses.
  3. Pilih Debug dari daftar SSO, lalu pilih OK.

Reproduksi masalah Anda dan periksa log. Setelah selesai, kembalikan fitur karena mode verbose menghasilkan banyak data.

Halaman kesalahan BIG-IP

Jika kesalahan BIG-IP muncul setelah pra-autentikasi Microsoft Entra, masalah mungkin terkait dengan SSO dari ID Microsoft Entra ke BIG-IP.

  1. Navigasikan ke laporan Akses Gambaran Umum > Akses>.
  2. Untuk melihat log petunjuk, jalankan laporan selama satu jam terakhir.
  3. Gunakan tautan Lihat variabel sesi untuk membantu memahami apakah APM menerima klaim yang diharapkan dari ID Microsoft Entra.

Permintaan back-end

Jika tidak ada halaman kesalahan yang muncul, masalahnya mungkin terkait dengan permintaan back-end, atau SSO dari BIG-IP ke aplikasi.

  1. Navigasi ke Gambaran Umum > Kebijakan > Akses Sesi Aktif.
  2. Pilih tautan untuk sesi aktif Anda. Tautan Lihat Variabel di lokasi ini dapat membantu menentukan akar penyebab masalah KCD, terutama jika BIG-IP APM gagal mendapatkan pengidentifikasi pengguna dan domain yang tepat dari variabel sesi.

Untuk informasi selengkapnya, lihat: