Bagikan melalui

Mengonfigurasi Delegasi Terbatas Kerberos F5 untuk Aplikasi SaaS Single-Tier

Dalam artikel ini, Anda mempelajari cara mengintegrasikan F5 dengan MICROSOFT Entra ID. Saat mengintegrasikan F5 dengan MICROSOFT Entra ID, Anda dapat:

  • Mengontrol di MICROSOFT Entra ID siapa yang memiliki akses ke F5.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke F5 dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Untuk mempelajari selengkapnya tentang integrasi aplikasi SaaS dengan Microsoft Entra ID, lihat Apa itu akses aplikasi dan masuk tunggal dengan Microsoft Entra ID.

Prasyarat

Skenario yang diuraikan dalam artikel ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

  • Langganan F5 dengan fitur single sign-on (SSO) yang diaktifkan.

  • Menyebarkan solusi bersama memerlukan lisensi berikut:

    • Paket terbaik F5 BIG-IP® (atau)

    • Lisensi mandiri untuk F5 BIG-IP Access Policy Manager™ (APM)

    • Lisensi add-on F5 BIG-IP Access Policy Manager™ (APM) untuk F5 BIG-IP® Local Traffic Manager™ (LTM) yang sudah ada.

    • Selain lisensi di atas, sistem F5 mungkin juga dilisensikan dengan:

      • Langganan Pemfilteran URL untuk menggunakan database kategori URL

      • Langganan Kecerdasan IP F5 untuk mendeteksi dan memblokir penyerang yang diketahui dan lalu lintas berbahaya

      • Modul keamanan perangkat keras (HSM) jaringan untuk melindungi dan mengelola kunci digital untuk autentikasi yang kuat

  • Sistem F5 BIG-IP diprovisikan dengan modul APM (LTM bersifat opsional)

  • Meskipun opsional, sangat disarankan untuk Menyebarkan sistem F5 dalam grup perangkat sinkronisasi/failover (S/F DG), yang mencakup pasangan siaga aktif, dengan alamat IP mengambang untuk ketersediaan tinggi (HA). Redundansi antarmuka lebih lanjut dapat dicapai dengan menggunakan Protokol Kontrol Agregasi Tautan (LACP). LACP mengelola antarmuka fisik yang terhubung sebagai antarmuka virtual tunggal (grup agregat) dan mendeteksi kegagalan antarmuka apa pun dalam grup.

  • Untuk aplikasi Kerberos, akun layanan AD lokal untuk delegasi terbatas. Lihat Dokumentasi F5 untuk membuat akun delegasi AD.

Akses konfigurasi terpandu

  • Konfigurasi terpandu dapat diakses pada F5 TMOS versi 13.1.0.8 dan yang lebih baru. Jika sistem BIG-IP Anda menjalankan versi di bawah 13.1.0.8, lihat bagian Konfigurasi tingkat lanjut .

  • Konfigurasi terpandu akses menyajikan pengalaman pengguna baru dan disederhanakan. Arsitektur berbasis alur kerja ini menyediakan langkah-langkah konfigurasi intuitif dan masuk kembali yang disesuaikan dengan topologi yang dipilih.

  • Sebelum melanjutkan ke konfigurasi, tingkatkan konfigurasi terpandu dengan mengunduh paket kasus penggunaan terbaru dari downloads.f5.com. Untuk meningkatkan, ikuti prosedur di bawah.

    Catatan

    Cuplikan layar di bawah adalah untuk versi rilis terbaru (BIG-IP 15.0 dengan AGC versi 5.0). Langkah-langkah konfigurasi di bawah berlaku untuk kasus penggunaan ini mulai dari 13.1.0.8 hingga versi BIG-IP terbaru.

  1. Pada F5 BIG-IP Web UI, pilih Akses Konfigurasi Panduan>>.

  2. Pada halaman Konfigurasi Terpandu , pilih Tingkatkan Konfigurasi Terpandu di sudut kiri atas.

    Cuplikan layar yang menampilkan halaman “Konfigurasi Terpandu” dengan tindakan “Tingkatkan Konfigurasi Terpandu” dipilih.

  3. Pada layar pop Konfigurasi Panduan Peningkatan, pilih Pilih File untuk mengunggah paket kasus penggunaan yang diunduh dan pilih tombol Unggah dan Instal .

    Cuplikan layar yang menampilkan layar pop-up “Tingkatkan Konfigurasi Terpandu” dengan “Pilih File” dan “Unggah dan Pasang” dipilih.

  4. Setelah peningkatan selesai, pilih tombol Lanjutkan .

    Cuplikan layar yang menunjukkan dialog “Pembaruan Konfigurasi Terpandu selesai” dan tombol “Lanjutkan” dipilih.

Deskripsi Skenario

Dalam artikel ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

  • F5 mendukung SSO yang diinisiasi oleh SP dan IDP
  • SSO F5 dapat dikonfigurasi dengan tiga cara berbeda.

Skenario Autentikasi Utama

Terlepas dari dukungan integrasi asli Microsoft Entra untuk protokol autentikasi modern seperti OpenID Connect, SAML dan WS-Fed, F5 memperluas akses aman untuk aplikasi autentikasi berbasis warisan untuk akses internal dan eksternal dengan MICROSOFT Entra ID, memungkinkan skenario modern (seperti akses tanpa kata sandi) ke aplikasi ini. Ini termasuk:

  • Aplikasi autentikasi berbasis header

  • Aplikasi autentikasi Kerberos

  • Autentikasi anonim atau aplikasi tanpa autentikasi bawaan

  • Aplikasi autentikasi NTLM (perlindungan dengan pesan prompt ganda untuk pengguna)

  • Aplikasi Berbasis Formulir (perlindungan dengan permintaan ganda untuk pengguna)

Untuk mengonfigurasi integrasi F5 ke MICROSOFT Entra ID, Anda perlu menambahkan F5 dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai minimal administrator aplikasi cloud.
  2. Jelajahi Entra ID>Aplikasi Perusahaan>Aplikasi Baru.
  3. Di bagian Tambah dari galeri, ketik F5 di kotak pencarian.
  4. Pilih F5 dari panel hasil lalu tambah aplikasi. Tunggu beberapa detik selagi aplikasi ditambahkan ke tenant Anda.

Atau, Anda juga dapat menggunakan Wizard Konfigurasi Aplikasi Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, dan menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji Single Sign-On Microsoft Entra untuk F5

Konfigurasikan dan uji SSO Microsoft Entra dengan F5 menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di F5.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan F5, selesaikan komponen berikut:

  1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
    1. Buat pengguna uji coba Microsoft Entra - untuk menguji sistem akses tunggal Microsoft Entra dengan B.Simon.
    2. Tetapkan pengguna uji Microsoft Entra - agar B.Simon dapat menggunakan log masuk tunggal Microsoft Entra.
  2. Konfigurasikan SSO F5 - untuk mengonfigurasi pengaturan akses menyeluruh di sisi aplikasi.
    1. Buat pengguna uji F5 - untuk memiliki padanan B.Simon di F5 yang ditautkan ke representasi pengguna Microsoft Entra.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai minimal administrator aplikasi cloud.

  2. Telusuri ke Entra ID>aplikasi perusahaan>F5>Masuk tunggal.

  3. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  4. Pada halaman Siapkan login tunggal dengan SAML, pilih ikon pensil/edit untuk Konfigurasi SAML Dasar untuk mengedit konfigurasi.

    Mengedit Konfigurasi SAML Dasar

  5. Pada bagian Konfigurasi SAML Dasar, jika Anda ingin mengonfigurasi aplikasi dalam mode yang diinisiasi IDP, masukkan nilai untuk bidang berikut:

    sebuah. Di kotak teks Pengidentifikasi, ketik URL menggunakan pola berikut: https://<YourCustomFQDN>.f5.com/

    b. Dalam kotak teks URL Balasan, ketik URL menggunakan pola berikut: https://<YourCustomFQDN>.f5.com/

  6. Pilih Atur URL tambahan dan lakukan langkah berikut jika Anda ingin mengonfigurasi aplikasi dalam mode yang dimulai SP:

    Di kotak teks URL Masuk, ketik URL menggunakan pola berikut: https://<YourCustomFQDN>.f5.com/

    Catatan

    Nilai-nilai ini tidak nyata. Perbarui nilai-nilai ini dengan Pengidentifikasi, URL Balasan, dan URL Masuk yang sesungguhnya. Hubungi tim dukungan Klien F5 untuk mendapatkan nilai ini. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.

  7. Di halaman Siapkan akses menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, cari XML Metadata Federasi dan Sertifikat (Base64) lalu pilih Unduh untuk mengunduh sertifikat dan menyimpannya di komputer Anda.

    Tautan pengunduhan Sertifikat

  8. Pada bagian Siapkan F5, salin URL(-URL) yang sesuai didasarkan pada persyaratan Anda.

    Menyalin URL konfigurasi

Membuat dan menetapkan pengguna uji Microsoft Entra

Ikuti panduan dalam langkah cepat membuat dan menetapkan akun pengguna untuk menciptakan akun pengguna uji bernama B.Simon.

Konfigurasi F5 SSO

Konfigurasikan login tunggal F5 untuk aplikasi Kerberos

Konfigurasi Terpandu

  1. Buka jendela browser web baru dan masuk ke situs perusahaan F5 (Kerberos) Anda sebagai admin dan lakukan langkah-langkah berikut:

  2. Anda perlu mengimpor Sertifikat Metadata ke F5 yang digunakan nanti dalam proses penyiapan.

  3. Arahkan ke Sistem > Manajemen Sertifikat > Manajemen Sertifikat Lalu Lintas > Daftar Sertifikat SSL. Pilih Impor di sudut kanan. Tentukan Nama Sertifikat (dirujuk Nanti dalam konfigurasi). Di Sumber Sertifikat, pilih Unggah File lalu tentukan sertifikat yang diunduh dari Microsoft Azure saat mengonfigurasi SSO SAML. Pilih Import.

    Cuplikan layar yang memperlihatkan halaman “Sertifikat S S L/Sumber Kunci” dengan “Nama Sertifikat” disorot, “Unggah File” dan tombol “Impor” dipilih.

  4. Selain itu, Anda memerlukan Sertifikat SSL untuk Nama Host Aplikasi. Buka Manajemen Sertifikat Sistem > Manajemen >> Sertifikat Lalu Lintas Daftar Sertifikat SSL. Pilih Impor di sudut kanan. Jenis Impor adalah PKCS 12(IIS). Tentukan Nama Kunci (dirujuk Nanti dalam konfigurasi) dan tentukan file PFX. Masukkan Kata sandi untuk PFX. Pilih Import.

    Catatan

    Dalam contoh nama aplikasi kami adalah Kerbapp.superdemo.live, kami menggunakan Sertifikat Wild Card, nama kunci kami adalah WildCard-SuperDemo.live

    Cuplikan layar yang memperlihatkan halaman “Sertifikat S S L/Sumber Kunci” dengan nilai yang dimasukkan dan tombol “Impor” dipilih.

  5. Kami menggunakan Pengalaman Terpandu untuk menyiapkan Federasi Microsoft Entra dan Akses Aplikasi. Buka – F5 BIG-IP Utama dan pilih Akses > Konfigurasi Terpandu > Federasi > Penyedia Layanan SAML. Pilih Berikutnya lalu pilih Berikutnya untuk memulai konfigurasi.

    Cuplikan layar yang memperlihatkan halaman “Konfigurasi Terpandu” dengan ikon “Federasi” disorot dan “Penyedia Layanan S A M L” dipilih.

    Cuplikan layar yang memperlihatkan halaman “Konfigurasi Terpandu - Penyedia Layanan S A M L” dengan tombol “Berikutnya” dipilih.

  6. Beri Nama Konfigurasi. Tentukan ID Entitas (sama dengan apa yang Anda konfigurasikan pada Konfigurasi Aplikasi Microsoft Entra). Tentukan Nama host. Tambah Deskripsi untuk referensi. Terima entri default yang tersisa dan pilih lalu pilih Simpan & Berikutnya.

    Cuplikan layar yang memperlihatkan kotak teks “Properti Penyedia Layanan” dengan kotak teks “Nama host” dan “Deskripsi” disorot dan tombol “Simpan & Berikutnya” dipilih.

  7. Dalam contoh ini kita membuat Server Virtual baru sebagai 192.168.30.200 dengan port 443. Tentukan alamat IP Server Virtual di Alamat Tujuan. Pilih Profil SSL Klien, lalu pilih Buat baru. Tentukan sertifikat aplikasi yang diunggah sebelumnya, (sertifikat wild card dalam contoh ini) dan kunci terkait, lalu pilih Simpan & Berikutnya.

    Catatan

    dalam contoh ini, server web Internal kami berjalan di port 80 dan kami ingin menerbitkannya dengan 443.

    Cuplikan layar yang memperlihatkan halaman “Properti Server Virtual” dengan kotak teks “Alamat Tujuan” disorot dan tombol “Simpan & Berikutnya” dipilih.

  8. Di bawah Pilih metode untuk mengonfigurasi konektor IdP Anda, tentukan Metadata, pilih Pilih File dan unggah file XML Metadata yang diunduh sebelumnya dari ID Microsoft Entra. Tentukan Nama unik untuk konektor IDP SAML. Pilih Sertifikat Penandatanganan Metadata yang telah diunggah sebelumnya. Pilih Simpan & Berikutnya.

    Cuplikan layar yang memperlihatkan halaman “Pengaturan Konektor Penyedia Identitas Eksternal” dengan kotak teks “Nama” disorot dan tombol “Simpan & Berikutnya” dipilih.

  9. Di bagian Pilih Kumpulan, tentukan Buat Baru (atau pilih kumpulan yang sudah ada). Biarkan nilai lain sebagai default. Di bagian Server Kumpulan, ketik Alamat IP di bagian Alamat IP/Nama Simpul. Tentukan Port. Pilih Simpan & Berikutnya.

    Cuplikan layar yang memperlihatkan halaman “Properti Kumpulan” dengan kotak teks “Alamat IP/Nama Simpul” dan “Port” disorot dan tombol “Simpan & Berikutnya” dipilih.

  10. Pada layar Pengaturan SSO, pilih Aktifkan SSO.

  11. Di bagian Jenis SSO yang Dipilih, pilih Kerberos. Ganti session.saml.last.Identity dengan session.saml.last.attr.name.Identity di bawah Username Source (variabel ini diatur menggunakan pemetaan klaim di ID Microsoft Entra

  12. Pilih Perlihatkan Pengaturan Tingkat Lanjut

  13. Di bagian Kerberos Realm ketik Nama Domain.

  14. Di bawah Nama Akun/Kata Sandi Akun, Tentukan Nama Akun Delegasi APM dan Kata Sandi.

  15. Tentukan IP Pengendali Domain di Bidang KDC.

  16. Pilih Simpan & Berikutnya.

  17. Untuk tujuan panduan ini, kami akan melewati pemeriksaan titik akhir. Lihat dokumentasi F5 untuk detailnya. Pada layar, pilih Simpan & Berikutnya.

  18. Terima default dan pilih Simpan & Berikutnya. Lihat dokumentasi F5 untuk detail mengenai pengaturan manajemen sesi SAML.

    Cuplikan layar yang memperlihatkan halaman “Pengaturan Batas Waktu” dengan tombol “Simpan & Berikutnya” dipilih.

  19. Tinjau layar ringkasan, lalu pilih Terapkan untuk mengonfigurasi BIG-IP.

    Cuplikan layar yang menunjukkan “Aplikasi Anda siap untuk disebarkan halaman” dengan bagian “Ringkasan” disorot dan tombol “Sebarkan” dipilih.

  20. Setelah aplikasi dikonfigurasi, pilih Selesai.

    Cuplikan layar yang menunjukkan halaman “Aplikasi Anda disebarkan” dengan tombol “Selesai” dipilih.

Konfigurasi Tingkat Lanjut

Catatan

Untuk referensi pilih di sini

Mengonfigurasi server AAA Active Directory

Anda mengonfigurasi server AAA Direktori Aktif di Access Policy Manager (APM) untuk menentukan pengendali domain dan kredensial yang digunakan APM untuk mengautentikasi pengguna.

  1. Pada tab Utama, pilih Kebijakan Akses > Server AAA > Active Directory. Layar daftar Server Direktori Aktif terbuka.

  2. Pilih Buat. Layar properti Server Baru terbuka.

  3. Di bidang Nama, ketik nama unik untuk server autentikasi.

  4. Di bidang Nama Domain, ketik nama domain Windows.

  5. Untuk pengaturan Koneksi Server, pilih salah satu opsi ini:

    • Pilih Gunakan Kumpulan untuk menyiapkan ketersediaan tinggi untuk server AAA.

    • Pilih Direct untuk menyiapkan server AAA untuk fungsi mandiri.

  6. Jika Anda memilih Langsung, ketik nama di bidang Pengendali Domain.

  7. Jika Anda memilih Gunakan Kumpulan, konfigurasikan kumpulan:

    • Ketik nama di bidang Nama Kumpulan Pengendali Domain.

    • Tentukan Pengendali Domain di kumpulan dengan mengetik alamat IP dan nama host untuk masing-masing, dan memilih tombol Tambahkan .

    • Untuk memantau kesehatan server AAA, Anda memiliki opsi untuk memilih monitor kesehatan: hanya monitor gateway_icmp yang sesuai dalam kasus ini; Anda bisa memilihnya dari daftar Monitor Kumpulan Server.

  8. Di kolom Nama Admin, ketikkan nama yang sensitif terhadap huruf besar/kecil untuk administrator yang memiliki izin administratif Active Directory. APM menggunakan informasi di bidang Nama Admin dan Kata Sandi Admin untuk Query AD. Jika Direktori Aktif dikonfigurasi untuk kueri anonim, Anda tidak perlu memberikan Nama Admin. Jika tidak, APM memerlukan akun dengan hak istimewa yang memadai untuk mengikat server Direktori Aktif, mengambil informasi grup pengguna, dan mengambil kebijakan kata sandi Direktori Aktif untuk mendukung fungsionalitas terkait kata sandi. (APM harus mengambil kebijakan kata sandi, misalnya, jika Anda memilih opsi Minta pengguna untuk mengubah kata sandi sebelum kedaluwarsa dalam tindakan Kueri AD.) Jika Anda tidak memberikan informasi akun Admin dalam konfigurasi ini, APM menggunakan akun pengguna untuk mengambil informasi. Hal ini berfungsi jika akun pengguna memiliki hak istimewa yang memadai.

  9. Di bidang Kata Sandi Admin, ketik kata sandi admin yang terkait dengan Nama Domain.

  10. Di bidang Verifikasi Kata Sandi Admin, ketik ulang kata sandi admin yang terkait dengan pengaturan Nama Domain.

  11. Di bidang Masa Aktif Cache Grup, ketik jumlah hari. Masa aktif default adalah 30 hari.

  12. Di bidang Masa Aktif Cache Objek Keamanan Kata Sandi, ketik jumlah hari. Masa aktif default adalah 30 hari.

  13. Dari daftar Jenis Enkripsi Sebelum Autentikasi Kerberos, pilih jenis enkripsi. Default Tidak Ada. Jika Anda menentukan jenis enkripsi, sistem BIG-IP menyertakan data sebelum autentikasi Kerberos dalam paket permintaan layanan autentikasi pertama (AS-REQ).

  14. Di bidang Batas Waktu, ketik interval batas waktu (dalam detik) untuk server AAA. (Pengaturan ini bersifat opsional.)

  15. Pilih Selesai. Server baru ditampilkan pada daftar. Hal ini menambahkan server Direktori Aktif baru ke daftar Server Direktori Aktif.

    Cuplikan layar yang memperlihatkan bagian “Properti Umum” dan “Konfigurasi”.

Konfigurasi SAML

  1. Anda perlu mengimpor Sertifikat Metadata ke F5 yang digunakan nanti dalam proses penyiapan. Arahkan ke Sistem > Manajemen Sertifikat > Manajemen Sertifikat Lalu Lintas > Daftar Sertifikat SSL. Pilih Impor di sudut kanan.

    Cuplikan layar yang memperlihatkan halaman “Impor Sertifikat S S L/Sumber Kunci” dengan tombol “Impor” dipilih.

  2. Untuk menyiapkan IDP SAML, navigasikan ke Akses > Federasi > SAML: Penyedia Layanan > Konektor Idp Eksternal, dan pilih Buat > Dari Metadata.

    Cuplikan layar yang memperlihatkan halaman “Penyedia Layanan SAML” dengan “Dari Metadata” dipilih dari menu tarik-turun “Buat”.

    Cuplikan layar memperlihatkan dialog “Buat Konektor IdP SAML Baru”.

    Cuplikan layar yang memperlihatkan jendela

    Cuplikan layar yang memperlihatkan jendela “Edit Konektor IdP SAML” dengan “Pengaturan Layanan SSO” dipilih.

    Cuplikan layar yang memperlihatkan jendela “Edit Konektor IdP SAML” dengan “Pengaturan Keamanan” dipilih.

    Cuplikan layar yang menunjukkan jendela

  3. Untuk menyiapkan SAML SP, navigasikan ke Akses > Federasi > Penyedia Layanan SAML > Layanan SP Lokal dan pilih Buat. Lengkapi informasi berikut dan pilih OK.

    • Nama Jenis: KerbApp200SAML
    • ID Entitas*: https://kerb-app.com.cutestat.com
    • Pengaturan Nama SP
    • Skema: https
    • Host: kerbapp200.superdemo.live
    • Deskripsi: kerbapp200.superdemo.live

    Cuplikan layar yang memperlihatkan jendela “Edit Layanan SP SAML” dengan “Pengaturan Umum” dipilih.

    b. Pilih Konfigurasi SP, KerbApp200SAML, dan Pilih Ikat/Batalkan Ikatan Konektor IdP.

    Cuplikan layar yang memperlihatkan halaman “Penyedia Layanan SAML - Layanan SP Lokal” dengan “KerbAPP200 SAML” dipilih.

    Cuplikan layar yang memperlihatkan tombol “Ikat/Batalkan Ikatan Konektor IdP” dipilih.

    c. Pilih Tambahkan Baris Baru dan Pilih konektor IdP Eksternal yang dibuat di langkah sebelumnya, pilih Perbarui, lalu pilih OK.

    Cuplikan layar yang memperlihatkan jendela “Edit SAML IdPs yang menggunakan SP ini” dengan tombol “Tambah Baris Baru” dipilih.

  4. Untuk mengonfigurasi SSO Kerberos, navigasikan ke Akses > Akses Menyeluruh > Kerberos, lengkapi informasi dan pilih Selesai.

    Catatan

    Anda perlu membuat dan menentukan Akun Delegasi Kerberos. Lihat Bagian KCD (Lihat Lampiran untuk Referensi Variabel)

    • Sumber Nama Pengguna: session.saml.last.attr.name.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Sumber Realm Pengguna: session.logon.last.domain

      Cuplikan layar yang memperlihatkan halaman “Single Sign-On - Properti” dengan kotak teks “Sumber Nama Pengguna” dan “Sumber Realm Pengguna” yang disorot.

  5. Untuk mengonfigurasi Profil Akses, navigasikan ke Profil Akses > /Profil Kebijakan > Akses (per kebijakan sesi), pilih Buat, lengkapi informasi berikut dan pilih Selesai.

    • Nama: KerbApp200

    • Jenis Profil: Semua

    • Cakupan Profil: Profil

    • Bahasa: Inggris

      Cuplikan layar yang memperlihatkan halaman

  6. Pilih nama, KerbApp200, lengkapi informasi berikut dan pilih Perbarui.

    • Cookie Domain: superdemo.live

    • Konfigurasi SSO: KerAppSSO_sso

      Cuplikan layar yang menunjukkan halaman “S S D/Auth Domains” dengan kotak teks “Cookie Domain” dan menu tarik-turun “Konfigurasi SSO” disorot, dan tombol “Perbarui” dipilih.

  7. Pilih Kebijakan Akses lalu pilih Edit Kebijakan Akses untuk Profil "KerbApp200".

    Cuplikan layar yang memperlihatkan halaman “Kebijakan Akses” dengan tindakan “Edit Kebijakan Akses untuk Profil KerbApp200” dipilih.

    Cuplikan layar yang memperlihatkan halaman “Kebijakan Akses” dan dialog “SAML Authentication SP”.

    Cuplikan layar yang memperlihatkan halaman “Kebijakan Akses” dan dialog “Penetapan Variabel” dengan kotak teks “Penugasan” disorot.

    • session.logon.last.usernameUPN expr {[mcget {session.saml.last.identity}]}

    • session.ad.lastactualdomain TEXT superdemo.live

      Cuplikan layar yang memperlihatkan halaman “Kebijakan Akses” dan dialog “Direktori Aktif” dengan kotak teks “SearchFilter” disorot.

    • (userPrincipalName=%{session.logon.last.usernameUPN})

      Cuplikan layar yang memperlihatkan halaman “Kebijakan Akses” dengan dialog “Permintaan AD - Aturan Cabang”.

      Cuplikan layar yang memperlihatkan kotak teks “Variabel Kustom” dan “Ekspresi Kustom” disorot.

    • session.logon.last.username expr { "[mcget {session.ad.last.attr.sAMAccountName}]" }

      Cuplikan layar yang memperlihatkan kotak teks “Nama Pengguna dari Halaman Masuk” disorot.

    • mcget {session.logon.last.username}

    • mcget {session.logon.last.password

  8. Untuk menambahkan Simpul Baru, navigasi ke Daftar Simpul > Lalu Lintas > Lokal, pilih Buat, lengkapi informasi berikut, lalu pilih Selesai.

    • Nama: KerbApp200

    • Deskripsi: KerbApp200

    • Alamat: 192.168.20.200

      Cuplikan layar yang menunjukkan halaman “Simpul Baru” dengan kotak teks “Nama”, “Deskripsi”, dan “Alamat” disorot, dan tombol “Selesai” dipilih.

  9. Untuk membuat Kumpulan baru, navigasi ke Daftar Kumpulan > Lalu Lintas > Lokal, pilih Buat, lengkapi informasi berikut dan pilih Selesai.

    • Nama: KerbApp200-Pool

    • Deskripsi: KerbApp200-Pool

    • Monitor Kesehatan: http

    • Alamat: 192.168.20.200

    • Port Layanan: 81

      Tangkapan layar yang memperlihatkan halaman

  10. Untuk membuat Virtual Server, arahkan ke Lalu Lintas > Lokal > Server Virtual > Daftar Server Virtual +, lengkapi informasi berikut dan pilih Selesai.

    • Nama: KerbApp200

    • Alamat Tujuan/Masker: Hosting 192.168.30.200

    • Port Layanan: Port 443 HTTPS

    • Profil Akses: KerbApp200

    • Tentukan Profil Akses yang Dibuat di Langkah Sebelumnya

      Cuplikan layar yang memperlihatkan halaman “Daftar Server Virtual” dengan kotak teks “Nama”, “Alamat Tujuan/Masker”, dan “Port Layanan” disorot.

      Cuplikan layar yang memperlihatkan halaman “Daftar Server Virtual” dengan menu tarik-turun “Profil Akses” disorot.

Menyiapkan Delegasi Kerberos

Catatan

Untuk referensi, pilih di sini

  • Langkah 1: Buat Akun Delegasi

    Contoh:

    • Nama Domain: superdemo.live

    • Nama Akun Sam: big-ipuser

    • New-ADUser -Name "Akun Delegasi APM" -UserPrincipalName host/big-ipuser.superdemo.live@superdemo.live -SamAccountName "big-ipuser" -PasswordNeverExpires $true -Enabled $true -AccountPassword (Read-Host -AsSecureString "Kata Sandi!1234")

  • Langkah 2: Tetapkan SPN (di Akun Delegasi APM)

    Contoh:

    • setspn -A host/big-ipuser.superdemo.live big-ipuser

  • Langkah 3: Delegasi SPN (untuk Akun Layanan Aplikasi)

    Siapkan Delegasi yang sesuai untuk Akun Delegasi F5.

    Dalam contoh di bawah ini, akun delegasi APM sedang dikonfigurasi untuk KCD pada FRP-App1.superdemo. aplikasi siaran langsung

    Konfigurasi F5 (Kerberos)

  • Berikan detail seperti disebutkan dalam dokumen referensi di atas di bawah ini.

Membuat pengguna penguji F5

Di bagian ini, Anda membuat pengguna bernama B.Simon di F5. Bekerja sama dengan tim dukungan Klien F5 untuk menambah pengguna di platform F5. Pengguna harus dibuat dan diaktifkan sebelum Anda menggunakan single sign-on.

Menguji SSO

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra menggunakan Panel Akses.

Saat Anda memilih petak peta F5 di Panel Akses, Anda akan secara otomatis masuk ke F5 tempat Anda menyiapkan SSO. Untuk informasi selengkapnya tentang Panel Akses, lihat Pengantar Panel Akses.

Sumber Daya Tambahan: