Share via

Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'autenticazione Kerberos

  • Articolo

In questa esercitazione si apprenderà come implementare l'accesso ibrido sicuro (SHA) con le applicazioni Single Sign-On (SSO) a Kerberos usando la configurazione avanzata F5 BIG-IP. L'abilitazione dei servizi pubblicati big-IP per Microsoft Entra SSO offre numerosi vantaggi, tra cui:

Per altre informazioni sui vantaggi, vedere Integrare F5 BIG-IP con Microsoft Entra ID.

Descrizione dello scenario

Per questo scenario si configurerà un'applicazione line-of-business per l'autenticazione Kerberos, nota anche come autenticazione integrata di Windows.

Per integrare l'applicazione con Microsoft Entra ID richiede il supporto di un protocollo basato su federazione, ad esempio SECURITY Assertion Markup Language (SAML). Poiché la modernizzazione dell'applicazione introduce il rischio di potenziali tempi di inattività, sono disponibili altre opzioni.

Mentre si usa la delega vincolata Kerberos (KCD) per l'accesso SSO, è possibile usare il proxy dell'applicazione Microsoft Entra per accedere all'applicazione in modalità remota. È possibile ottenere la transizione del protocollo per collegare l'applicazione legacy al piano di controllo delle identità moderno.

Un altro approccio consiste nell'usare un controller di distribuzione di applicazioni BIG-IP F5. Questo approccio consente di sovrapporre l'applicazione con la preautenticazione di Microsoft Entra e l'accesso SSO KCD. Migliora il comportamento complessivo zero trust dell'applicazione.

Architettura dello scenario

La soluzione SHA per questo scenario include gli elementi seguenti:

  • Applicazione: servizio basato su Kerberos back-end pubblicato esternamente da BIG-IP e protetto da SHA

  • BIG-IP: funzionalità proxy inverso per la pubblicazione di applicazioni back-end. Access Policy Manager (APM) sovrappone le applicazioni pubblicate con la funzionalità del provider di servizi SAML (SP) e SSO.

  • Microsoft Entra ID: provider di identità (IdP) che verifica le credenziali utente, l'accesso condizionale Microsoft Entra e l'accesso SSO all'APM BIG-IP tramite SAML

  • KDC: ruolo del Centro distribuzione chiavi in un controller di dominio (DC) che emette ticket Kerberos

L'immagine seguente illustra il flusso avviato da SAML SP per questo scenario, ma è supportato anche il flusso avviato da IdP.

Diagramma dell'architettura dello scenario.

Flusso utente

  1. L'utente si connette all'endpoint dell'applicazione (BIG-IP)
  2. I criteri di accesso BIG-IP reindirizza l'utente a Microsoft Entra ID (ID SAML)
  3. Microsoft Entra ID preautentica l'utente e applica i criteri di accesso condizionale applicati
  4. L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito tramite il token SAML rilasciato
  5. BIG-IP autentica l'utente e richiede un ticket Kerberos da KDC
  6. BIG-IP invia la richiesta all'applicazione back-end con il ticket Kerberos per l'accesso SSO
  7. L'applicazione autorizza la richiesta e restituisce il payload

Prerequisiti

L'esperienza BIG-IP precedente non è necessaria. È necessario:

Metodi di configurazione BIG-IP

Questo articolo illustra la configurazione avanzata, un'implementazione SHA flessibile che crea oggetti di configurazione BIG-IP. È possibile usare questo approccio per gli scenari che i modelli di configurazione guidata non coprono.

Nota

Sostituire tutte le stringhe o i valori di esempio in questo articolo con quelli per l'ambiente effettivo.

Registrare F5 BIG-IP in Microsoft Entra ID

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Prima che BIG-IP possa consegnare la preautenticazione all'ID Microsoft Entra, registrarlo nel tenant. Questo processo avvia l'accesso SSO tra entrambe le entità. L'app creata dal modello della raccolta BIG-IP F5 è la relying party che rappresenta l'SP SAML per l'applicazione pubblicata big-IP.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni e quindi selezionare Nuova applicazione.

  3. Viene visualizzato il riquadro Sfoglia raccolta di Microsoft Entra con i riquadri per le piattaforme cloud, le applicazioni locali e le applicazioni in primo piano. Le applicazioni nella sezione Applicazioni in primo piano contengono icone che indicano se supportano l'accesso SSO federato e il provisioning.

  4. Nella raccolta di Azure cercare F5 e selezionare F5 BIG-IP APM Integrazione di Microsoft Entra ID.

  5. Immettere un nome per la nuova applicazione per riconoscere l'istanza dell'applicazione.

  6. Selezionare Aggiungi/Crea per aggiungerlo al tenant.

Abilitare l'accesso SSO a F5 BIG-IP

Configurare la registrazione BIG-IP per soddisfare i token SAML richieste da BIG-IP APM.

  1. Nella sezione Gestisci del menu a sinistra selezionare Single Sign-On. Viene visualizzato il riquadro Single Sign-On .
  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML. Selezionare No, verrà salvato in un secondo momento per ignorare il prompt.
  3. Nel riquadro Configura accesso Single Sign-On con SAML selezionare l'icona della penna per modificare configurazione SAML di base.
  4. Sostituire il valore predefinito identificatore con l'URL completo per l'applicazione pubblicata BIG-IP.
  5. Sostituire il valore di URL di risposta, ma mantenere il percorso per l'endpoint SAML SP dell'applicazione.

Nota

In questa configurazione il flusso SAML opera in modalità avviata da IdP. Microsoft Entra ID rilascia un'asserzione SAML prima che l'utente venga reindirizzato all'endpoint BIG-IP per l'applicazione.

  1. Per usare la modalità avviata da SP, immettere l'URL dell'applicazione nell'URL di accesso.

  2. Per Url disconnessione immettere l'endpoint APM single logout (SLO) BIG-IP anteporto dall'intestazione host del servizio in fase di pubblicazione. Questa azione garantisce che la sessione APM BIG-IP dell'utente termini dopo che l'utente si disconnette da Microsoft Entra ID.

    Screenshot delle voci url in Configurazione SAML di base.

Nota

Da BIG-IP Traffic Management Operating System (TMOS) v16, l'endpoint SLO SAML è stato modificato in /saml/sp/profile/redirect/slo.

  1. Prima di chiudere la configurazione SAML, selezionare Salva.

  2. Ignorare il prompt di test dell'accesso Single Sign-On.

  3. Si notino le proprietà della sezione Attributi utente e attestazioni . Microsoft Entra ID genera proprietà agli utenti per l'autenticazione APM BIG-IP e per l'accesso SSO all'applicazione back-end.

  4. Per salvare il file XML dei metadati della federazione nel computer, nel riquadro Certificato di firma SAML selezionare Scarica.

    Screenshot dell'opzione Di download XML metadati federazione.

Nota

I certificati di firma SAML creati da Microsoft Entra ID hanno una durata di tre anni. Per altre informazioni, vedere Certificati gestiti per l'accesso Single Sign-On federato.

Concedere l'accesso a utenti e gruppi

Per impostazione predefinita, Microsoft Entra ID emette token per gli utenti a cui è concesso l'accesso a un'applicazione. Per concedere a utenti e gruppi l'accesso all'applicazione:

  1. Nel riquadro di panoramica dell'applicazione BIG-IP F5 selezionare Assegna utenti e gruppi.

  2. Selezionare + Aggiungi utente/gruppo.

    Screenshot dell'opzione Aggiungi utente o gruppo in Utenti e gruppi.

  3. Selezionare utenti e gruppi e quindi selezionare Assegna.

Configurare la delega vincolata Kerberos di Active Directory

Affinché big-IP APM esegua l'accesso SSO all'applicazione back-end per conto degli utenti, configurare KCD nel dominio di Active Directory (AD) di destinazione. La delega dell'autenticazione richiede il provisioning di BIG-IP APM con un account del servizio di dominio.

Per questo scenario, l'applicazione è ospitata nel server APP-VM-01 e viene eseguita nel contesto di un account del servizio denominato web_svc_account, non l'identità del computer. L'account del servizio di delega assegnato a APM è F5-BIG-IP.

Creare un account di delega APM BIG-IP

Big-IP non supporta gli account del servizio gestito del gruppo ( gMSA), quindi creare un account utente standard per l'account del servizio APM.

  1. Immettere il comando di PowerShell seguente. Sostituire i valori UserPrincipalName e SamAccountName con i valori dell'ambiente. Per una maggiore sicurezza, usare un nome SPN (Service Principal Name) dedicato che corrisponde all'intestazione host dell'applicazione.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    Nota

    Quando si usa l'host, qualsiasi applicazione in esecuzione nell'host delega l'account mentre quando si usa HTTPS consentirà solo operazioni correlate al protocollo HTTP.

  2. Creare un nome dell'entità servizio (SPN) per l'account del servizio APM da usare durante la delega all'account del servizio applicazione Web:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    Nota

    È obbligatorio includere l'host/parte nel formato UserPrincipleName (host/name.domain@domain) o ServicePrincipleName (host/name.domain).

  3. Prima di specificare il nome SPN di destinazione, visualizzarne la configurazione. Verificare che il nome SPN venga visualizzato nell'account del servizio APM. Delegati dell'account del servizio APM per l'applicazione Web:

    • Verificare che l'applicazione Web sia in esecuzione nel contesto del computer o in un account del servizio dedicato.

    • Per il contesto Computer, usare il comando seguente per eseguire una query sull'oggetto account in Active Directory per visualizzare i nomi SPN definiti. Sostituire <name_of_account> con l'account per l'ambiente.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Ad esempio: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • Per l'account del servizio dedicato, usare il comando seguente per eseguire una query sull'oggetto account in Active Directory per visualizzare i nomi SPN definiti. Sostituire <name_of_account> con l'account per l'ambiente.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Ad esempio: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Se l'applicazione è stata eseguita nel contesto del computer, aggiungere il nome SPN all'oggetto dell'account computer in Active Directory:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Con i nomi SPN definiti, stabilire l'attendibilità per il delegato dell'account del servizio APM a tale servizio. La configurazione varia a seconda della topologia dell'istanza BIG-IP e del server applicazioni.

Configurare BIG-IP e l'applicazione di destinazione nello stesso dominio

  1. Impostare l'attendibilità per l'account del servizio APM per delegare l'autenticazione:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. L'account del servizio APM deve conoscere il nome SPN di destinazione a cui è attendibile delegare. Impostare il nome SPN di destinazione sull'account del servizio che esegue l'applicazione Web:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    Nota

    È possibile completare queste attività con lo snap-in Utenti e computer di Active Directory, Microsoft Management Console (MMC) in un controller di dominio.

Configurare BIG-IP e l'applicazione di destinazione in domini diversi

Nella versione di Windows Server 2012 e versioni successive, la delega vincolata vincolata basata su risorse usa la delega vincolata basata su risorse (RBCD). I vincoli per un servizio vengono trasferiti dall'amministratore di dominio all'amministratore del servizio. Questa delega consente all'amministratore del servizio back-end di consentire o negare l'accesso SSO. Questa situazione crea un approccio diverso alla delega della configurazione, che è possibile quando si usa PowerShell o Active Directory Service Interfaces Editor (ADSI Edit).

È possibile usare la proprietà PrincipalsAllowedToDelegateToAccount dell'account del servizio dell'applicazione (account computer o servizio dedicato) per concedere la delega da BIG-IP. Per questo scenario, usare il comando di PowerShell seguente in un controller di dominio (Windows Server 2012 R2 o versione successiva) nello stesso dominio dell'applicazione.

Usare un nome SPN definito in base a un account del servizio applicazione Web. Per una maggiore sicurezza, usare un nome SPN dedicato che corrisponda all'intestazione host dell'applicazione. Ad esempio, poiché l'intestazione host dell'applicazione Web in questo esempio è myexpenses.contoso.com, aggiungere HTTP/myexpenses.contoso.com all'oggetto account del servizio applicazioni in Active Directory (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Per i comandi seguenti, prendere nota del contesto.

Se il servizio web_svc_account viene eseguito nel contesto di un account utente, usare questi comandi:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Se il servizio web_svc_account viene eseguito nel contesto di un account computer, usare questi comandi:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Per altre informazioni, vedere Delega vincolata Kerberos tra domini.

Configurazione avanzata big-IP

Usare la sezione seguente per continuare a configurare le configurazioni BIG-IP.

Configurare le impostazioni del provider di servizi SAML

Le impostazioni del provider di servizi SAML definiscono le proprietà SAML SP usate da APM per sovrapporre l'applicazione legacy con la preautenticazione SAML. Per configurarli:

  1. Da un browser accedere alla console di gestione di F5 BIG-IP.

  2. Selezionare Access Federation SAML Service Provider Local SP Services Create (Accesso>federazione>SAML Service Provider>Local SP Services>Create).

    Screenshot dell'opzione Crea in SAML Service Provider on Local SP Services (Provider di servizi SAML in Servizi SP locali).

  3. Specificare i valori Name e Entity ID salvati quando è stato configurato l'accesso SSO per Microsoft Entra ID.

    Screenshot delle voci Nome e ID entità in Create New SAML SP Service (Crea nuovo servizio SP SAML).

  4. Se l'ID entità SAML corrisponde esattamente all'URL per l'applicazione pubblicata, è possibile ignorare il nome SP Impostazioni. Ad esempio, se l'ID entità è urn:myexpenses:contosoonline, il valore scheme è https; il valore host è myexpenses.contoso.com. Se l'ID entità è "https://myexpenses.contoso.com", non è necessario fornire queste informazioni.

Configurare un connettore IdP esterno

Un connettore SAML IdP definisce le impostazioni per big-IP APM per considerare attendibile l'ID Microsoft Entra come ID SAML. Queste impostazioni eseguono il mapping di SAML SP a un IDP SAML, stabilendo la relazione di trust federativa tra APM e Microsoft Entra ID. Per configurare il connettore:

  1. Scorrere verso il basso per selezionare il nuovo oggetto SAML SP e quindi selezionare Bind/Unbind IdP Connessione ors.

    Screenshot dell'opzione Binding Unbind IdP Connessione ors nel provider di servizi SAML nei servizi SP locali.

  2. Selezionare Crea nuovo provider di identità Connessione or>dai metadati.

    Screenshot dell'opzione From Metadata (Da metadati) in Create New IdP Connessione or (Crea nuovo provider di identità IDP) in Edit SAML IdP (Modifica IDP SAML)

  3. Passare al file XML dei metadati della federazione scaricato e specificare un nome del provider di identità per l'oggetto APM che rappresenta l'IdP SAML esterno. L'esempio seguente mostra MyExpenses_AzureAD.

    Screenshot delle voci Select File and Identity Provider name (Seleziona file e nome provider di identità) in Select File on Create New SAML IdP Connessione or (Seleziona file in Crea nuovo IDP SAML).

  4. Selezionare Aggiungi nuova riga per scegliere il nuovo valore di Connessione ors IDP SAML e quindi selezionare Aggiorna.

    Screenshot dell'opzione Aggiorna per la voce saml IdP Connessione or.

  5. Seleziona OK.

Configurare l'accesso Single Sign-On Kerberos

Creare un oggetto SSO APM per L'accesso Single Sign-On KCD alle applicazioni back-end. Usare l'account di delega APM creato.

  1. Selezionare Access Single Sign-On Kerberos Create (Accesso>Single Sign-On>Kerberos>Create) e specificare le informazioni seguenti:

  • Nome: dopo averlo creato, altre applicazioni pubblicate possono usare l'oggetto Kerberos SSO APM. Ad esempio, usare Contoso_KCD_sso per più applicazioni pubblicate per il dominio Contoso. Usare MyExpenses_KCD_sso per una singola applicazione.

  • Origine nome utente: specificare l'origine ID utente. Usare una variabile di sessione APM come origine. L'uso di session.saml.last.identity è consigliato perché contiene l'ID utente connesso dall'attestazione Microsoft Entra.

  • Origine dell'area di autenticazione utente: obbligatorio quando il dominio utente è diverso dall'area di autenticazione Kerberos per KCD. Se gli utenti si trovano in un dominio attendibile separato, è necessario rendere il servizio APM consapevole specificando la variabile di sessione APM con il dominio utente connesso. Un esempio è session.saml.last.attr.name.domain. Questa azione viene eseguita negli scenari in cui il nome dell'entità utente (UPN) è basato su un suffisso alternativo.

  • Area di autenticazione Kerberos: suffisso di dominio utente in lettere maiuscole

  • KDC: indirizzo IP del controller di dominio. In alternativa, immettere un nome di dominio completo se DNS è configurato ed efficiente.

  • Supporto UPN: selezionare questa casella di controllo se l'origine del nome utente è in formato UPN, ad esempio la variabile session.saml.last.identity.

  • Nome account e password dell'account: credenziali dell'account del servizio APM per eseguire la delega vincolata kerberos

  • Modello SPN: se si usa HTTP/%h, APM usa l'intestazione host della richiesta client per compilare il nome SPN per il quale richiede un token Kerberos.

  • Invia autorizzazione: disabilitare questa opzione per le applicazioni che preferiscono negoziare l'autenticazione, anziché ricevere il token Kerberos nella prima richiesta, ad esempio Tomcat.

    Screenshot delle voci Nome, Origine nome utente e Configurazione del metodo SSO nelle proprietà generali.

È possibile lasciare KDC non definito se l'area di autenticazione utente è diversa dall'area di autenticazione del server back-end. Questa regola si applica agli scenari di area di autenticazione a più domini. Se si lascia KDC non definito, BIG-IP tenta di individuare un'area di autenticazione Kerberos tramite una ricerca DNS di record SRV per il dominio del server back-end. Si prevede che il nome di dominio corrisponda al nome dell'area di autenticazione. Se il nome di dominio è diverso, specificarlo nel file /etc/krb5.conf .

L'elaborazione SSO Kerberos è più veloce quando un indirizzo IP specifica un KDC. L'elaborazione SSO Kerberos è più lenta se un nome host specifica un KDC. A causa di più query DNS, l'elaborazione è più lenta quando un KDC non è definito. Assicurarsi che il DNS funzioni in modo ottimale prima di spostare un modello di verifica nell'ambiente di produzione.

Nota

Se i server back-end si trovano in più aree di autenticazione, creare un oggetto di configurazione SSO separato per ogni area di autenticazione.

È possibile inserire intestazioni come parte della richiesta SSO all'applicazione back-end. Modificare l'impostazione Proprietà generali da Base a Avanzate.

Per altre informazioni sulla configurazione di un'applicazione APM per L'accesso Single Sign-On KCD, vedere l'articolo F5 K17976428: Panoramica della delega vincolata Kerberos.

Configurare un profilo di accesso

Un profilo di accesso associa gli elementi APM che gestiscono l'accesso ai server virtuali BIG-IP. Questi elementi includono criteri di accesso, configurazione SSO e impostazioni dell'interfaccia utente.

  1. Selezionare Profili di accesso>/Criteri>di accesso (Criteri per sessione)>Crea e immettere le proprietà seguenti:

    • Nome: ad esempio, immettere MyExpenses

    • Tipo di profilo: selezionare Tutto

    • Configurazione SSO: selezionare l'oggetto di configurazione SSO KCD creato

    • Lingue accettate: aggiungere almeno una lingua

    Screenshot delle voci per proprietà generali, SSO tra domini di autenticazione e Impostazioni lingua.

  2. Per il profilo per sessione creato, selezionare Modifica.

    Screenshot dell'opzione Modifica in Per sessione Polcy.

  3. Verrà aperto l'editor dei criteri visivi. Selezionare il segno più accanto al fallback.

    Screenshot del pulsante segno più in Applica criteri di accesso.

  4. Nella finestra di dialogo selezionare Authentication SAML Auth Add Item (Autenticazione>SAML Auth>Add Item).

    Screenshot dell'opzione SAML Auth (Autenticazione SAML) nella scheda Authentication (Autenticazione).

  5. Nella configurazione di SAML authentication SP impostare l'opzione AAA Server per usare l'oggetto SAML SP creato.

    Screenshot della voce AAA Server nella scheda Proprietà.

  6. Per modificare il ramo Operazione riuscita in Consenti, selezionare il collegamento nella casella Nega in alto.

  7. Seleziona Salva.

    Screenshot dell'opzione Nega in Criteri di accesso.

Configurare i mapping degli attributi

Sebbene sia facoltativo, è possibile aggiungere una configurazione LogonID_Mapping per abilitare l'elenco delle sessioni attive BIG-IP per visualizzare l'UPN dell'utente connesso, anziché un numero di sessione. Queste informazioni sono utili per l'analisi dei log o la risoluzione dei problemi.

  1. Per il ramo SAML Auth Successful (Autenticazione SAML), selezionare il segno più.

  2. Nella finestra di dialogo selezionare Assegnazione>variabile Assegna>aggiungi elemento.

    Screenshot dell'opzione Assegnazione variabile nella scheda Assegnazione.

  3. Immetti un valore per Nome.

  4. Nel riquadro Assegna variabile selezionare Aggiungi nuova voce>. L'esempio seguente mostra LogonID_Mapping nella casella Nome.

    Screenshot delle opzioni Aggiungi nuova voce e modifica.

  5. Impostare entrambe le variabili:

    • Variabile personalizzata: immettere session.logon.last.username
    • Variabile di sessione: immettere session.saml.last.identity

  6. Selezionare Fine>salvataggio.

  7. Selezionare il terminale Nega del ramo Di accesso riuscito . Modificarlo in Consenti.

  8. Seleziona Salva.

  9. Selezionare Applica criteri di accesso e chiudere l'editor.

    Screenshot dell'opzione Applica criteri di accesso.

Configurare il pool back-end

Per consentire a BIG-IP di inoltrare con precisione il traffico client, creare un oggetto nodo BIG-IP che rappresenta il server back-end che ospita l'applicazione. Posizionare quindi il nodo in un pool di server BIG-IP.

  1. Selezionare Elenco>pool>di traffico>locali Crea e specificare un nome per un oggetto pool di server. Ad esempio, immettere MyApps_VMs.

    Screenshot della voce Nome in Configurazione nel nuovo pool.

  2. Aggiungere un oggetto membro del pool con i dettagli della risorsa seguenti:

    • Nome nodo: nome visualizzato per il server che ospita l'applicazione Web back-end
    • Indirizzo: indirizzo IP del server che ospita l'applicazione
    • Porta del servizio: porta HTTP/S su cui l'applicazione è in ascolto

    Screenshot delle voci Nome nodo, Indirizzo e Porta del servizio e dell'opzione Aggiungi.

Nota

Questo articolo non tratta i monitoraggi di integrità di configurazione aggiuntivi necessari. Vedere K13397 : Panoramica della formattazione delle richieste di Monitoraggio integrità HTTP per il sistema DNS BIG-IP.

Configurare il server virtuale

Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo di accesso APM associato al server virtuale, prima di essere indirizzato in base ai criteri.

Per configurare un server virtuale:

  1. Selezionare Local Traffic Virtual Server Virtual Server (Server>virtuali del traffico>locale) Create>(Crea).

  2. Immettere un nome e un indirizzo IPv4/IPv6 non allocato a un oggetto BIG-IP o a un dispositivo nella rete connessa. L'indirizzo IP è dedicato per ricevere il traffico client per l'applicazione back-end pubblicata.

  3. Impostare La porta del servizio su 443.

    Screenshot delle voci Nome, Indirizzo/Maschera di destinazione e Porta del servizio in Proprietà generali.

  4. Impostare Profilo HTTP (client) su http.

  5. Abilitare un server virtuale per Transport Layer Security (TLS) per consentire la pubblicazione dei servizi tramite HTTPS.

  6. Per Profilo SSL (client) selezionare il profilo creato per i prerequisiti. In alternativa, usare l'impostazione predefinita se si esegue il test.

    Screenshot delle voci del profilo HTTP e del profilo SSL per client.

  7. Modificare La traduzione degli indirizzi di origine in Mapping automatico.

    Screenshot della voce Source Address Translation.

  8. In Criteri di accesso impostare Profilo di accesso in base al profilo creato. Questa selezione associa il profilo di preautenticazione SAML di Microsoft EntraL e i criteri SSO KCD al server virtuale.

    Screenshot della voce Profilo di accesso in Criteri di accesso.

  9. Impostare Pool predefinito per usare gli oggetti pool back-end creati nella sezione precedente.

  10. Selezionare Completato.

    Screenshot della voce Pool predefinito per Risorse.

Configurare le impostazioni di gestione delle sessioni

Le impostazioni di gestione delle sessioni BIG-IP definiscono le condizioni per le quali le sessioni utente vengono terminate o consentite di continuare, i limiti per gli utenti e gli indirizzi IP e le pagine di errore. È possibile creare criteri qui.

Passare a Access Policy>Access Profiles Access Profile (Profilo di accesso ai profili di accesso ai criteri>di accesso) e selezionare un'applicazione dall'elenco.

Se è stato definito un valore single logout URI in Microsoft Entra ID, garantisce che una disconnessione avviata da IdP dal portale MyApps termini la sessione tra il client e il big-IP APM. Il file XML dei metadati di federazione dell'applicazione importato fornisce a APM l'endpoint di disconnesso SAML di Microsoft Entra per la disconnessazione avviata da SP. Per ottenere risultati efficaci, APM deve sapere quando un utente si disconnette.

Si consideri uno scenario in cui non viene usato un portale Web BIG-IP. L'utente non può indicare a APM di disconnettersi. Anche se l'utente si disconnette dall'applicazione, BIG-IP è oblivioso, quindi la sessione dell'applicazione potrebbe essere ripristinata tramite SSO. La disconnessità avviata da SP deve essere considerata per garantire che le sessioni terminino in modo sicuro.

Nota

È possibile aggiungere una funzione SLO al pulsante disconnessione dell'applicazione. Questa funzione reindirizza il client all'endpoint di disconnessione SAML di Microsoft Entra. Trovare l'endpoint di disconnessioni SAML in Endpoint registrazioni>app.

Se non è possibile modificare l'app, prendere in considerazione l'ascolto di BIG-IP per la chiamata di disconnesso dell'app. Quando rileva la richiesta, attiva SLO.

Per altre informazioni, vedere gli articoli F5:

Riepilogo

L'applicazione viene pubblicata e accessibile tramite SHA, tramite il relativo URL o tramite i portali delle applicazioni Microsoft. L'applicazione è visibile come risorsa di destinazione nell'accesso condizionale di Microsoft Entra.

Per una maggiore sicurezza, le organizzazioni che usano questo modello possono bloccare l'accesso diretto all'applicazione, forzando un percorso rigoroso tramite BIG-IP.

Passaggi successivi

Come utente, aprire un browser e connettersi all'URL esterno dell'applicazione. È possibile selezionare l'icona dell'applicazione nel portale Microsoft MyApps. Dopo l'autenticazione nel tenant di Microsoft Entra, si viene reindirizzati all'endpoint BIG-IP per l'applicazione e aver eseguito l'accesso tramite SSO.

Immagine del sito Web dell'applicazione di esempio.

Accesso guest Microsoft Entra B2B

SHA supporta l'accesso guest Microsoft Entra B2B. Le identità guest vengono sincronizzate dal tenant di Microsoft Entra al dominio Kerberos di destinazione. Avere una rappresentazione locale degli oggetti guest per BIG-IP per eseguire l'accesso SSO KCD all'applicazione back-end.

Risoluzione dei problemi

Durante la risoluzione dei problemi, considerare i punti seguenti:

  • Kerberos è sensibile al tempo. Richiede server e client impostati sull'ora corretta e, quando possibile, sincronizzati con un'origine ora affidabile.
  • Verificare che i nomi host per il controller di dominio e l'applicazione Web siano risolvibili in DNS
  • Assicurarsi che nell'ambiente non siano presenti nomi SPN duplicati. Eseguire la query seguente nella riga di comando: setspn -q HTTP/my_target_SPN.

Nota

Per verificare che un'applicazione IIS sia configurata per KCD, vedere Risolvere i problemi relativi alle configurazioni di delega vincolata Kerberos per il proxy di applicazione. Vedere anche l'articolo AskF5, Metodo Single Sign-On Kerberos.

Aumentare il livello di dettaglio del log

I log BIG-IP sono una fonte affidabile di informazioni. Per aumentare il livello di dettaglio del log:

  1. Passare a Log eventi di Panoramica>dei>criteri> di accesso Impostazioni.
  2. Selezionare la riga per l'applicazione pubblicata.
  3. Selezionare Modifica>log di sistema di accesso.
  4. Selezionare Debug dall'elenco SSO.
  5. Seleziona OK.

Riprodurre il problema prima di esaminare i log. Ripristinare quindi questa funzionalità al termine. In caso contrario, il livello di dettaglio è significativo.

Errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, il problema potrebbe essere correlato all'accesso SSO, da Microsoft Entra ID a BIG-IP.

  1. Passare a Access>Overview Access Reports (Accedere>ai report di accesso).
  2. Per verificare se i log contengono indizi, eseguire il report per l'ultima ora.
  3. Usare il collegamento Visualizza variabili di sessione per la sessione per capire se APM riceve le attestazioni previste da Microsoft Entra ID.

Richiesta back-end

Se non viene visualizzato alcun errore BIG-IP, il problema è probabilmente correlato alla richiesta back-end o correlato all'accesso SSO da BIG-IP all'applicazione.

  1. Passare a Panoramica dei>criteri>di accesso Sessioni attive.
  2. Selezionare il collegamento per la sessione attiva.
  3. Usare il collegamento View Variables (Visualizza variabili ) per determinare i problemi KCD della causa radice, in particolare se big-IP APM non riesce a ottenere gli identificatori di dominio e utente corretti.

Per informazioni sulla diagnosi dei problemi correlati a KCD, vedere la guida alla distribuzione di F5 BIG-IP Configurazione della delega vincolata Kerberos.

Risorse