Bagikan melalui

Tutorial: Mengonfigurasi F5 BIG-IP Access Policy Manager untuk autentikasi Kerberos

Dalam tutorial ini, Anda akan belajar menerapkan akses hibrid aman (SHA) dengan akses menyeluruh (SSO) ke aplikasi Kerberos dengan menggunakan konfigurasi lanjutan F5 BIG-IP. Mengaktifkan layanan yang diterbitkan BIG-IP untuk Microsoft Entra SSO memberikan banyak manfaat, termasuk:

  • Meningkatkan tata kelola Zero Trust melalui praotentikasi Microsoft Entra, serta penggunaan solusi penegakan kebijakan keamanan Akses Bersyarat.
  • SSO penuh antara ID Microsoft Entra dan layanan yang diterbitkan BIG-IP
  • Manajemen identitas dan akses dari satu sarana kontrol, pusat admin Microsoft Entra

Untuk mempelajari selengkapnya tentang manfaat, lihat Mengintegrasikan F5 BIG-IP dengan MICROSOFT Entra ID.

Deskripsi Skenario

Untuk skenario ini, Anda akan mengonfigurasi aplikasi lini bisnis untuk autentikasi Kerberos, juga dikenal sebagai Autentikasi Windows Terintegrasi.

Untuk mengintegrasikan aplikasi dengan MICROSOFT Entra ID memerlukan dukungan dari protokol berbasis federasi, seperti Security Assertion Markup Language (SAML). Karena memodernisasi aplikasi dapat menimbulkan risiko potensi waktu henti, tersedia opsi lain.

Saat Anda menggunakan Kerberos Constrained Delegation (KCD) untuk SSO, Anda dapat menggunakan proksi aplikasi Microsoft Entra untuk mengakses aplikasi dari jarak jauh. Anda dapat mencapai transisi protokol untuk menghubungkan aplikasi warisan ke lapisan kontrol identitas modern.

Pendekatan lain adalah dengan menggunakan Application Delivery Controller BIG-IP F5. Pendekatan ini memungkinkan pelapisan aplikasi dengan autentikasi awal Microsoft Entra dan SSO KCD. Ini meningkatkan postur Zero Trust keseluruhan aplikasi.

Arsitektur skenario

Solusi SHA untuk skenario ini memiliki elemen berikut:

  • Aplikasi: Layanan berbasis Back-end Kerberos yang diterbitkan secara eksternal oleh BIG-IP dan dilindungi oleh SHA

  • BIG-IP: Fungsi proxy terbalik untuk meluncurkan aplikasi back-end. Access Policy Manager (APM) melapisi aplikasi yang diterbitkan dengan penyedia layanan SAML (SP) dan fungsionalitas SSO.

  • ID Microsoft Entra: Penyedia identitas (IdP) yang memverifikasi kredensial pengguna, Microsoft Entra Conditional Access, dan SSO ke APM BIG-IP melalui SAML

  • KDC: Peran Pusat Distribusi Utama pada pengendali domain (DC) yang menerbitkan tiket Kerberos

Gambar berikut menggambarkan alur yang dimulai oleh SP SAML untuk skenario ini, tetapi alur yang dimulai oleh IdP juga didukung.

Diagram arsitektur dari skenario.

Alur pengguna

  1. Pengguna tersambung ke titik akhir aplikasi (BIG-IP)
  2. Kebijakan akses BIG-IP mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP)
  3. ID Microsoft Entra melakukan pra-autentikasi pengguna dan menerapkan kebijakan Akses Bersyariah yang diberlakukan
  4. Pengguna dialihkan ke BIG-IP (SAML SP), dan SSO dilakukan melalui token SAML yang dikeluarkan
  5. BIG-IP mengautentikasi pengguna dan meminta tiket Kerberos dari KDC
  6. BIG-IP mengirimkan permintaan ke aplikasi back-end dengan tiket Kerberos untuk SSO
  7. Aplikasi mengotorisasi permintaan dan mengembalikan payload

Prasyarat

Pengalaman BIG-IP sebelumnya tidak diperlukan. Anda memerlukan:

  • Akun gratis Azure, atau langganan tingkat yang lebih tinggi.
  • BIG-IP, yaitu luncurkan BIG-IP Virtual Edition di Azure.
  • Salah satu lisensi F5 BIG-IP berikut:
    • Paket terbaik F5 BIG-IP
    • Lisensi mandiri F5 BIG-IP APM
    • Lisensi add-on F5 BIG-IP APM pada Pengelola Lalu Lintas Lokal BIG-IP (LTM)
    • Lisensi Uji Coba Gratis BIG-IP 90 hari
  • Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra, atau dibuat di ID Microsoft Entra dan mengalir kembali ke direktori lokal Anda.
  • Salah satu dari peran berikut dalam penyewa Microsoft Entra: Administrator Aplikasi Cloud, atau Administrator Aplikasi.
  • Sertifikat server web untuk layanan penerbitan melalui HTTPS, atau gunakan sertifikat BIG-IP default saat pengujian.
  • Aplikasi Kerberos, atau buka active-directory-wp.com untuk mempelajari cara mengonfigurasi SSO dengan IIS di Windows.

Metode konfigurasi BIG-IP

Artikel ini membahas konfigurasi lanjutan, penerapan SHA fleksibel yang membuat objek konfigurasi BIG-IP. Anda dapat menggunakan pendekatan ini untuk skenario yang tidak dibahas oleh templat Konfigurasi Terpandu.

Catatan

Ganti semua contoh string atau nilai dalam artikel ini dengan string untuk lingkungan Anda yang sebenarnya.

Mendaftarkan F5 BIG-IP di MICROSOFT Entra ID

Sebelum BIG-IP dapat menyerahkan praautentikasi ke ID Microsoft Entra, daftarkan di penyewa Anda. Proses ini memulai SSO antara kedua entitas. Aplikasi yang Anda buat dari templat galeri F5 BIG-IP adalah pihak yang mengandalkan yang mewakili SAML SP untuk aplikasi yang diterbitkan BIG-IP.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Entra ID>Enterprise>Semua aplikasi, lalu pilih Aplikasi baru.

  3. Panel Telusuri Microsoft Entra Gallery muncul dengan petak peta untuk platform cloud, aplikasi lokal, dan aplikasi unggulan. Aplikasi di bagian Aplikasi unggulan memiliki ikon yang menunjukkan apakah aplikasi tersebut mendukung SSO federasi dan provisi.

  4. Di galeri Azure, cari F5, dan pilih integrasi F5 BIG-IP APM Microsoft Entra ID.

  5. Masukkan nama untuk aplikasi baru untuk mengenali instans aplikasi.

  6. Pilih Tambahkan/Buat untuk menambahkannya ke tenant Anda.

Mengaktifkan SSO ke F5 BIG-IP

Konfigurasikan pendaftaran BIG-IP untuk memproses token SAML yang diminta oleh BIG-IP APM.

  1. Di bagian Kelola di menu sebelah kiri, pilih Single Sign-On (SSO). Panel Single sign-on muncul.
  2. Pada halaman Pilih metode aksesmenyeluruh, pilih SAML. Pilih Tidak, saya akan menyimpan nanti untuk melewati perintah.
  3. Pada panel Siapkan akses menyeluruh dengan SAML, pilih ikon pensil untuk mengedit Konfigurasi SAML Dasar.
  4. Ganti nilai Pengidentifikasi yang telah ditentukan sebelumnya dengan URL lengkap dari aplikasi terbitan BIG-IP.
  5. Ganti nilai URL Balasan , tetapi pertahankan jalur untuk titik akhir SAML SP aplikasi.

Catatan

Dalam konfigurasi ini, alur SAML beroperasi dalam mode yang dimulai oleh IdP. Microsoft Entra ID mengeluarkan pernyataan SAML sebelum pengguna dialihkan ke titik akhir BIG-IP untuk aplikasi.

  1. Untuk menggunakan mode yang diinisiasi oleh SP, masukkan URL aplikasi di Sign on URL.

  2. Untuk URL Logout, masukkan endpoint log keluar tunggal (SLO) APM BIG-IP yang didahului oleh header host dari layanan yang diterbitkan. Tindakan ini memastikan sesi APM BIG-IP pengguna berakhir setelah pengguna keluar dari ID Microsoft Entra.

    Cuplikan layar entri URL dalam Konfigurasi SAML Dasar.

Catatan

Dari BIG-IP sistem operasi manajemen lalu lintas (TMOS) v16, titik akhir SLO SAML telah berubah menjadi /saml/sp/profile/redirect/slo.

  1. Sebelum Anda menutup konfigurasi SAML, pilih Simpan.
  2. Lewati perintah pengujian SSO.
  3. Perhatikan properti bagian Atribut & Klaim Pengguna . Microsoft Entra ID mengeluarkan properti kepada pengguna dalam autentikasi BIG-IP APM dan untuk SSO ke aplikasi back-end.
  4. Untuk menyimpan file XML Metadata Federasi ke komputer Anda, pada panel Sertifikat Penandatanganan SAML , pilih Unduh.

Catatan

Sertifikat penandatanganan SAML yang dibuat Microsoft Entra ID memiliki masa pakai tiga tahun. Untuk informasi selengkapnya, lihat Sertifikat terkelola untuk akses menyeluruh gabungan.

Memberikan akses ke pengguna dan grup

Secara default, ID Microsoft Entra mengeluarkan token untuk pengguna yang diberikan akses ke aplikasi. Untuk memberi pengguna dan grup akses ke aplikasi:

  1. Pada panel gambaran umum aplikasi F5 BIG-IP , pilih Tetapkan Pengguna dan grup.

  2. Pilih + Tambahkan pengguna/grup.

    Cuplikan layar opsi Tambahkan pengguna atau grup pada Pengguna dan Grup.

  3. Pilih pengguna dan grup, lalu pilih Tetapkan.

Mengonfigurasi delegasi yang dibatasi Kerberos Direktori Aktif

Agar BIG-IP APM melakukan SSO ke aplikasi back-end atas nama pengguna, konfigurasikan KCD di domain Active Directory (AD) target. Mendelegasikan autentikasi mengharuskan Anda untuk memprovisikan BIG-IP APM dengan akun layanan domain.

Untuk skenario ini, aplikasi dihosting di server APP-VM-01 dan berjalan dalam konteks akun layanan bernama web_svc_account, bukan identitas komputer. Akun layanan pendelegasian yang ditugaskan ke APM adalah F5-BIG-IP.

Buat akun delegasi APM BIG-IP

BIG-IP tidak mendukung grup Akun Layanan Terkelola (gMSA), oleh karena itu buat akun pengguna standar untuk akun layanan APM.

  1. Masukkan perintah PowerShell berikut ini. Ganti nilai UserPrincipalName dan SamAccountName dengan nilai lingkungan Anda. Untuk keamanan yang lebih baik, gunakan nama prinsipal layanan khusus (SPN) yang cocok dengan header host aplikasi.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    Catatan

    Ketika Host digunakan, aplikasi apa pun yang berjalan di host akan mendelegasikan akun sedangkan ketika HTTPS digunakan, itu hanya akan mengizinkan operasi terkait protokol HTTP.

  2. Buat Nama Perwakilan Layanan (SPN) untuk akun layanan APM yang akan digunakan selama delegasi ke akun layanan aplikasi web:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    Catatan

    Wajib untuk menyertakan host/ bagian dalam format UserPrincipleName (host/name.domain@domain) atau ServicePrincipleName (host/name.domain).

  3. Sebelum Anda menentukan SPN target, lihat konfigurasi SPN-nya. Pastikan SPN ditampilkan pada akun layanan APM. Akun layanan APM mendelegasikan untuk aplikasi web:

    • Konfirmasikan bahwa aplikasi web Anda berjalan dalam konteks komputer atau akun layanan khusus.

    • Untuk konteks Komputer, gunakan perintah berikut untuk mengkueri objek akun di Direktori Aktif untuk melihat SPN yang ditentukan. Ganti <name_of_account> dengan akun untuk lingkungan Anda.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Misalnya: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • Untuk akun layanan khusus, gunakan perintah berikut untuk mengkueri objek akun di Direktori Aktif untuk melihat SPN yang ditentukan. Ganti <name_of_account> dengan akun untuk lingkungan Anda.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Sebagai contoh: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Jika aplikasi berjalan dalam konteks komputer, tambahkan SPN ke objek akun komputer di Direktori Aktif:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Dengan SPN yang ditentukan, tetapkan kepercayaan untuk akun layanan APM yang didelegasikan ke layanan tersebut. Konfigurasi bervariasi tergantung pada topologi instans BIG-IP dan server aplikasi Anda.

Mengonfigurasi BIG-IP dan aplikasi target dalam domain yang sama

  1. Mengatur kepercayaan untuk akun layanan APM untuk mendelegasikan autentikasi:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. Akun layanan APM perlu mengetahui SPN target yang dipercaya untuk diddelegasikan. Atur SPN target ke akun layanan yang menjalankan aplikasi web Anda:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    Catatan

    Pada pengontrol domain, Anda dapat menyelesaikan tugas-tugas ini dengan snap-in Active Directory Users and Computers pada Microsoft Management Console (MMC).

Mengonfigurasi BIG-IP dan aplikasi target dalam domain yang berbeda

Dalam versi Windows Server 2012, dan yang lebih tinggi, KCD lintas domain menggunakan Delegasi Yang Dibatasi Berbasis Sumber Daya (RBCD). Batasan untuk layanan ditransfer dari administrator domain ke administrator layanan. Delegasi ini memungkinkan administrator layanan back-end untuk mengizinkan atau menolak SSO. Situasi ini membuat pendekatan yang berbeda pada delegasi konfigurasi, yang dimungkinkan saat Anda menggunakan PowerShell atau Editor Antarmuka Layanan Direktori Aktif (ADSI Edit).

Anda dapat menggunakan properti PrincipalsAllowedToDelegateToAccount dari akun layanan aplikasi (komputer atau akun layanan khusus) untuk memberikan delegasi dari BIG-IP. Untuk skenario ini, gunakan perintah PowerShell berikut pada pengendali domain (Windows Server 2012 R2, atau yang lebih baru) di domain yang sama dengan aplikasi.

Gunakan SPN yang ditentukan terhadap akun layanan aplikasi web. Untuk keamanan yang lebih baik, gunakan SPN khusus yang cocok dengan header host aplikasi. Misalnya, karena header host aplikasi web dalam contoh ini myexpenses.contoso.com, tambahkan HTTP/myexpenses.contoso.com ke objek akun layanan aplikasi di Direktori Aktif (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Untuk perintah berikut, perhatikan konteksnya.

Jika layanan web_svc_account berjalan dalam konteks akun pengguna, gunakan perintah berikut:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Jika layanan web_svc_account berjalan dalam konteks akun komputer, gunakan perintah ini:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Untuk informasi selengkapnya, lihat Delegasi Terbatas Kerberos di seluruh domain.

Konfigurasi lanjutan BIG-IP

Gunakan bagian berikut untuk terus menyiapkan konfigurasi BIG-IP.

Mengonfigurasi pengaturan penyedia layanan SAML

Pengaturan penyedia layanan SAML menentukan properti SAML SP yang digunakan APM untuk melapisi aplikasi warisan dengan praauthentikasi SAML. Untuk mengonfigurasinya:

  1. Dari browser, masuk ke konsol manajemen BIG-IP F5.

  2. Pilih Akses>Federasi>Penyedia Layanan SAML>Layanan SP Lokal>Buat.

    Cuplikan layar opsi Buat di bawah Penyedia Layanan SAML di Layanan SP Lokal.

  3. Berikan nilai Nama dan ID Entitas yang Anda simpan saat mengonfigurasi SSO untuk ID Microsoft Entra.

    Cuplikan layar entri Nama dan ID Entitas pada Pembuatan Layanan SAML SP Baru.

  4. Jika ID entitas SAML sama persis dengan URL untuk aplikasi yang diterbitkan, Anda dapat melewati Pengaturan Nama SP. Misalnya, jika ID entitas adalah urn:myexpenses:contosoonline, nilai Skema adalah https; nilai Hostmyexpenses.contoso.com. Jika ID entitas adalah "https://myexpenses.contoso.com", Anda tidak perlu memberikan informasi ini.

Mengonfigurasi konektor IdP eksternal

Konektor IdP SAML menentukan pengaturan bagi BIG-IP APM untuk mempercayai Microsoft Entra ID sebagai IdP SAML-nya. Pengaturan ini memetakan SAML SP ke IdP SAML, membentuk kepercayaan federasi antara APM dan ID Microsoft Entra. Untuk mengonfigurasi konektor:

  1. Gulir ke bawah untuk memilih objek SAML SP baru, lalu pilih Ikat/Batalkan Ikatan Konektor IdP.

    Cuplikan layar opsi Mengikat dan Melepaskan Konektor IdP pada Penyedia Layanan SAML di Layanan SP Lokal.

  2. Pilih Buat Konektor IdP yang Baru>Dari Metadata.

    Cuplikan layar opsi Dari Metadata di bawah Buat Konektor IdP Baru pada Edit IDP SAML

  3. Telusuri ke file XML metadata federasi yang telah Anda unduh, dan berikan Nama Penyedia Identitas untuk objek APM yang mewakili IdP SAML eksternal. Contoh berikut menunjukkan MyExpenses_AzureAD.

    Cuplikan layar dari pilihan Pilih File dan nama Penyedia Identitas di bawah Pilih File pada Buat Konektor IdP SAML Baru.

  4. Pilih Tambahkan Baris Baru untuk memilih nilai Konektor IDP SAML baru, lalu pilih Perbarui.

    Cuplikan layar opsi Perbarui untuk entri Saml IdP Connector.

  5. Pilih OK.

Mengonfigurasi Kerberos SSO

Buat objek SSO APM untuk SSO KCD ke aplikasi back-end. Gunakan akun delegasi APM yang Anda buat.

  1. Pilih Akses>Satu Kali Masuk>Kerberos>Buat dan berikan informasi berikut:

  • Nama: Setelah Anda membuatnya, aplikasi lain yang diterbitkan dapat menggunakan objek APM SSO Kerberos. Misalnya, gunakan Contoso_KCD_sso untuk beberapa aplikasi yang diterbitkan untuk domain Contoso. Gunakan MyExpenses_KCD_sso untuk satu aplikasi.

  • Sumber Nama Pengguna: Tentukan sumber ID pengguna. Gunakan variabel sesi APM sebagai sumbernya. Penggunaan session.saml.last.identity disarankan karena berisi ID pengguna yang masuk dari klaim Microsoft Entra.

  • Sumber Realm Pengguna: Diperlukan saat domain pengguna berbeda dari realm Kerberos untuk KCD. Jika pengguna berada di domain tepercaya yang terpisah, Anda harus memberitahu APM dengan menetapkan variabel sesi APM sesuai dengan domain pengguna yang masuk. Misalnya session.saml.last.attr.name.domain. Anda melakukan tindakan ini dalam skenario ketika nama prinsipal pengguna (UPN) didasarkan pada akhiran alternatif.

  • Kerberos Realm: Akhiran domain pengguna dalam huruf besar

  • KDC: Alamat IP pengendali domain. Atau masukkan nama domain yang sepenuhnya memenuhi syarat jika DNS dikonfigurasi dan efisien.

  • Dukungan UPN: Pilih kotak centang ini jika sumber untuk nama pengguna dalam format UPN, misalnya variabel session.saml.last.identity.

  • Nama Akun dan Kata Sandi Akun: Kredensial akun layanan APM untuk melakukan KCD

  • Pola SPN: Jika Anda menggunakan HTTP/%h, APM menggunakan header host permintaan klien untuk membangun SPN yang meminta token Kerberos.

  • Kirim Otorisasi: Nonaktifkan opsi ini untuk aplikasi yang lebih suka menegosiasikan autentikasi, alih-alih menerima token Kerberos dalam permintaan pertama (misalnya, Tomcat).

    Cuplikan layar entri Nama, Sumber Nama Pengguna, dan Konfigurasi Metode SSO pada Properti Umum.

Anda dapat membiarkan KDC tidak terdefinisi jika realm pengguna berbeda dengan realm server back-end. Aturan ini berlaku untuk skenario realm multi-domain. Jika Anda membiarkan KDC tidak terdefinisi, BIG-IP mencoba menemukan ranah Kerberos melalui pencarian DNS catatan SRV untuk domain back-end server. Sistem ini mengharapkan agar nama domain sesuai dengan nama domain realm. Jika nama domain berbeda, tentukan di file /etc/krb5.conf.

Pemrosesan SSO Kerberos lebih cepat diproses ketika alamat IP mengidentifikasi KDC. Pemrosesan SSO Kerberos lebih lambat jika nama host menyebutkan KDC. Karena lebih banyak kueri DNS, pemrosesan lebih lambat ketika KDC tidak ditentukan. Pastikan DNS Anda berkinerja optimal sebelum memindahkan bukti konsep ke dalam produksi.

Catatan

Jika server back-end berada di beberapa realm, buat objek konfigurasi SSO terpisah untuk setiap realm.

Anda dapat menyuntikkan header sebagai bagian dari permintaan SSO ke aplikasi latar belakang. Ubah pengaturan Properti Umum dari Dasar ke Tingkat Lanjut.

Untuk informasi lebih lanjut tentang konfigurasi APM untuk SSO KCD, lihat artikel F5 K17976428: Ikhtisar Delegasi Terbatas Kerberos.

Mengonfigurasi profil akses

Profil akses mengikat elemen APM yang mengelola akses ke server virtual BIG-IP. Elemen-elemen ini termasuk kebijakan akses, konfigurasi SSO, dan pengaturan UI.

  1. Pilih Profil / Kebijakan Akses>Profil / Kebijakan>Profil Akses (KebijakanPer-Session)>Buat dan masukkan properti berikut:

    • Nama: Misalnya, masukkan MyExpenses

    • Jenis Profil: Pilih Semua

    • Konfigurasi SSO: Pilih objek konfigurasi SSO KCD yang Anda buat

    • Bahasa yang Diterima: Menambahkan setidaknya satu bahasa

    Cuplikan layar entri untuk Properti Umum, SSO Di Seluruh Domain Autentikasi, dan Pengaturan Bahasa.

  2. Untuk profil per sesi yang Anda buat, pilih Edit.

    Cuplikan layar opsi Edit di bawah Kebijakan Per Sesi.

  3. Editor kebijakan visual terbuka. Pilih tanda plus di samping opsi cadangan (fallback).

    Cuplikan layar tombol tanda plush pada Terapkan Kebijakan Akses.

  4. Dalam dialog, pilih Autentikasi>SAML Auth>Tambahkan Item.

    Cuplikan layar opsi Autentikasi SAML pada tab Autentikasi.

  5. Dalam konfigurasi SP autentikasi SAML , atur opsi AAA Server untuk menggunakan objek SAML SP yang Anda buat.

    Cuplikan layar entri AAA Server pada tab Properti.

  6. Untuk mengubah cabang Berhasil menjadi Izinkan, pilih tautan di kotak Tolak atas.

  7. Pilih Simpan.

    Cuplikan layar opsi Tolak pada Kebijakan Akses.

Mengonfigurasi pemetaan atribut

Meskipun bersifat opsional, Anda dapat menambahkan konfigurasi LogonID_Mapping untuk mengaktifkan daftar sesi aktif BIG-IP untuk menampilkan UPN pengguna yang masuk, bukan nomor sesi. Informasi ini berguna untuk menganalisis log atau pemecahan masalah.

  1. Untuk cabang SAML Auth Successful , pilih tanda plus.

  2. Dalam dialog, pilih Variabel Penugasan>Tetapkan>Tambahkan Item.

    Cuplikan layar opsi Tetapkan Variabel pada tab Penugasan.

  3. Masukkan nama .

  4. Pada panel Tetapkan Variabel, pilih Tambahkanperubahan> baru. Contoh berikut menunjukkan LogonID_Mapping dalam kotak Nama.

    Cuplikan layar opsi Tambahkan entri baru dan ubah.

  5. Atur kedua variabel:

    • Variabel Kustom: Masukkan session.logon.last.username
    • Variabel Sesi: Masukkan session.saml.last.identity

  6. Pilih Selesai>Simpan.

  7. Pilih terminal Tolak dari cabang kebijakan akses Successful. Ubah menjadi Izinkan.

  8. Pilih Simpan.

  9. Pilih Terapkan Kebijakan Akses, dan tutup editor.

    Cuplikan layar opsi Terapkan Kebijakan Akses.

Mengonfigurasi kumpulan server belakang

Agar BIG-IP meneruskan lalu lintas klien secara akurat, buat objek simpul BIG-IP yang mewakili server back-end yang menghosting aplikasi Anda. Kemudian, tempatkan node tersebut di kumpulan server BIG-IP.

  1. Pilih Lalu Lintas Lokal>Kumpulan>Daftar Kumpulan>Buat dan berikan nama untuk objek kumpulan server. Misalnya, masukkan MyApps_VMs.

    Cuplikan layar entri Nama di bawah Konfigurasi di Kumpulan Baru.

  2. Tambahkan objek anggota kumpulan dengan detail sumber daya berikutt:

    • Nama Simpul: Nama tampilan untuk server yang menjalankan aplikasi web back-end
    • Alamat: Alamat IP server yang menghosting aplikasi
    • Port Layanan HTTP/S: Port yang digunakan oleh aplikasi

    Cuplikan layar entri Nama Node, Alamat, dan Port Layanan dan opsi Tambahkan.

Catatan

Artikel ini tidak mencakup konfigurasi tambahan yang diperlukan oleh pemantau kesehatan. Lihat, K13397: Gambaran umum pemformatan permintaan monitor kesehatan HTTP untuk sistem DNS BIG-IP.

Mengonfigurasi server virtual

Server virtual adalah objek data plane BIG-IP yang diwakili oleh alamat IP virtual yang mendengarkan permintaan klien ke aplikasi. Lalu lintas yang diterima diproses dan dievaluasi terhadap profil akses APM yang terkait dengan server virtual, sebelum diarahkan sesuai dengan kebijakan.

Untuk mengonfigurasi server virtual:

  1. Pilih Traffic Lokal>Server Virtual>Daftar Server Virtual>Buat.

  2. Masukkan Nama dan alamat IPv4/IPv6 yang tidak dialokasikan ke objek BIG-IP, atau perangkat, pada jaringan yang terhubung. Alamat IP didedikasikan untuk menerima lalu lintas klien untuk aplikasi back-end yang diterbitkan.

  3. Atur Port Layanan ke 443.

    Cuplikan layar entri Nama, Alamat Tujuan/Masker, dan Port Layanan di bawah Properti Umum.

  4. Atur Profil HTTP (Klien) ke http.

  5. Aktifkan server virtual untuk Keamanan Lapisan Transportasi (TLS) untuk memungkinkan layanan diterbitkan melalui HTTPS.

  6. Untuk Profil SSL (Klien), pilih profil yang Anda buat untuk prasyarat. Atau gunakan default jika Anda menguji.

    Cuplikan layar entri Profil HTTP dan Profil SSL untuk Klien.

  7. Ubah Terjemahan Alamat Sumber ke Peta Otomatis.

    Cuplikan layar entri Terjemahan Alamat Sumber.

  8. Di bawah Kebijakan Akses, atur Profil Akses berdasarkan profil yang Anda buat. Pilihan ini mengikat profil praauthentikasi Microsoft Entra SAML dan kebijakan SSO KCD ke server virtual.

    Cuplikan layar entri Profil Akses di bawah Kebijakan Akses.

  9. Atur Kumpulan Default untuk menggunakan objek kumpulan back-end yang Anda buat di bagian sebelumnya.

  10. Pilih Selesai.

    Cuplikan layar entri Pool Default untuk Sumber Daya.

Mengonfigurasi pengaturan manajemen sesi

Pengaturan manajemen sesi BIG-IP menentukan kondisi di mana sesi pengguna dihentikan atau diizinkan untuk melanjutkan, batasan untuk pengguna dan alamat IP, dan halaman kesalahan. Anda dapat membuat kebijakan di sini.

Buka Kebijakan Akses>Profil Akses>Profil Akses dan pilih aplikasi dari daftar.

Jika Anda menentukan nilai URI Logout Tunggal di Microsoft Entra ID, hal ini memastikan bahwa keluar yang dimulai oleh IdP dari portal MyApps mengakhiri sesi antara klien dan BIG-IP APM. File XML metadata federasi aplikasi yang diimpor menyediakan APM dengan titik akhir keluar Microsoft Entra SAML untuk proses keluar yang dimulai oleh SP. Untuk mendapatkan hasil yang efektif, APM perlu mengetahui ketika pengguna melakukan keluar.

Pertimbangkan skenario saat portal web BIG-IP tidak digunakan. Pengguna tidak dapat menginstruksikan APM untuk keluar. Bahkan jika pengguna keluar dari aplikasi, BIG-IP tidak sadar, sehingga sesi aplikasi dapat dipulihkan melalui SSO. Keluar yang dimulai oleh SP perlu dipertimbangkan untuk memastikan sesi berakhir dengan aman.

Catatan

Anda dapat menambahkan fungsi SLO ke tombol Keluar aplikasi Anda. Fungsi ini mengalihkan klien Anda ke titik akhir keluar Microsoft Entra SAML. Temukan titik akhir keluar SAML di Pendaftaran Aplikasi>Endpoints.

Jika Anda tidak dapat mengubah aplikasi, pertimbangkan untuk meminta BIG-IP mendengarkan panggilan keluar aplikasi. Ketika mendeteksi permintaan, sistem memicu SLO.

Untuk informasi selengkapnya, lihat artikel F5:

Ringkasan

Aplikasi Anda diterbitkan dan dapat diakses melalui SHA, dengan URL-nya atau melalui portal aplikasi Microsoft. Aplikasi ini terlihat sebagai sumber daya target di Microsoft Entra Conditional Access.

Untuk peningkatan keamanan, organisasi yang menggunakan pola ini dapat memblokir akses langsung ke aplikasi, yang memaksa jalur ketat melalui BIG-IP.

Langkah berikutnya

Sebagai pengguna, buka browser dan sambungkan ke URL eksternal aplikasi. Anda dapat memilih ikon aplikasi di portal Microsoft MyApps. Setelah mengautentikasi terhadap penyewa Microsoft Entra, Anda dialihkan ke titik akhir BIG-IP untuk aplikasi dan masuk melalui SSO.

Gambar situs web aplikasi contoh.

Akses tamu Microsoft Entra B2B

SHA mendukung akses tamu Microsoft Entra B2B. Identitas tamu disinkronkan dari penyewa Microsoft Entra Anda ke domain Kerberos target Anda. Memiliki representasi lokal objek tamu untuk BIG-IP untuk melakukan SSO KCD ke aplikasi back-end.

Pemecahan Masalah

Saat pemecahan masalah, pertimbangkan poin-poin berikut:

  • Kerberos sensitif terhadap waktu. Ini membutuhkan server dan klien yang diatur pada waktu yang tepat dan, jika memungkinkan, disinkronkan ke sumber waktu yang dapat diandalkan.
  • Pastikan nama host untuk pengontrol domain dan aplikasi web dapat diselesaikan di DNS
  • Pastikan tidak ada SPN duplikat di lingkungan Anda. Jalankan kueri berikut di baris perintah: setspn -q HTTP/my_target_SPN.

Catatan

Untuk mengonfirmasi bahwa aplikasi IIS dikonfigurasikan untuk KCD, lihat Memecahkan Masalah Konfigurasi Delegasi Terbatas Kerberos untuk Proksi Aplikasi. Lihat juga artikel AskF5, Metode Sign-On Tunggal Kerberos.

Meningkatkan verbositas log

Log BIG-IP adalah sumber informasi yang dapat diandalkan. Untuk meningkatkan tingkat verbositas log:

  1. Buka Kebijakan Akses>Gambaran Umum>Log Peristiwa>Pengaturan.
  2. Pilih baris untuk aplikasi yang Anda terbitkan.
  3. Pilih Edit>Log Sistem Akses.
  4. Pilih Debug dari daftar SSO.
  5. Pilih OK.

Ulangi masalah Anda sebelum Anda melihat catatan log. Kemudian kembalikan fitur ini, setelah selesai. Jika tidak, verbositasnya signifikan.

kesalahanBIG-IP

Jika kesalahan BIG-IP muncul setelah praauthentikasi Microsoft Entra, masalahnya mungkin terkait dengan SSO, dari ID Microsoft Entra ke BIG-IP.

  1. Buka Akses>Gambaran Umum>Laporan Akses.
  2. Untuk melihat apakah log memiliki petunjuk, jalankan laporan selama satu jam terakhir.
  3. Gunakan tautan Lihat variabel sesi untuk sesi Anda untuk memahami apakah APM menerima klaim yang diharapkan dari ID Microsoft Entra.

Permintaan back-end

Jika tidak ada kesalahan BIG-IP yang muncul, masalahnya mungkin terkait dengan permintaan back-end, atau terkait dengan SSO dari BIG-IP ke aplikasi.

  1. Buka Kebijakan Akses>Gambaran Umum>Sesi Aktif.
  2. Pilih tautan untuk sesi aktif Anda.
  3. Gunakan tautan Lihat Variabel untuk menentukan penyebab utama masalah KCD, terutama jika APM BIG-IP gagal mendapatkan pengidentifikasi pengguna dan domain yang tepat.

Untuk bantuan dalam mendiagnosis masalah terkait KCD, lihat panduan penyebaran F5 BIG-IP yang diarsipkan panduan Mengonfigurasi Delegasi yang Dibatasi Kerberos.

Sumber