Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'autenticazione Kerberos
In questa esercitazione si apprenderà come implementare l'accesso ibrido sicuro (SHA) con le applicazioni Single Sign-On (SSO) a Kerberos usando la configurazione avanzata F5 BIG-IP. L'abilitazione dei servizi pubblicati big-IP per Microsoft Entra SSO offre numerosi vantaggi, tra cui:
- È stata migliorata la governance Zero Trust tramite la preautenticazione di Microsoft Entra e l'uso della soluzione di imposizione dei criteri di sicurezza per l'accesso condizionale.
- Vedere Che cos'è l'accesso condizionale?
- Accesso SSO completo tra i servizi pubblicati da Microsoft Entra ID e BIG-IP
- Gestione delle identità e accesso da un singolo piano di controllo, l'interfaccia di amministrazione di Microsoft Entra
Per altre informazioni sui vantaggi, vedere Integrare F5 BIG-IP con Microsoft Entra ID.
Descrizione dello scenario
Per questo scenario si configurerà un'applicazione line-of-business per l'autenticazione Kerberos, nota anche come autenticazione integrata di Windows.
Per integrare l'applicazione con Microsoft Entra ID richiede il supporto di un protocollo basato su federazione, ad esempio SECURITY Assertion Markup Language (SAML). Poiché la modernizzazione dell'applicazione introduce il rischio di potenziali tempi di inattività, sono disponibili altre opzioni.
Mentre si usa la delega vincolata Kerberos (KCD) per l'accesso SSO, è possibile usare il proxy dell'applicazione Microsoft Entra per accedere all'applicazione in modalità remota. È possibile ottenere la transizione del protocollo per collegare l'applicazione legacy al piano di controllo delle identità moderno.
Un altro approccio consiste nell'usare un controller di distribuzione di applicazioni BIG-IP F5. Questo approccio consente di sovrapporre l'applicazione con la preautenticazione di Microsoft Entra e l'accesso SSO KCD. Migliora il comportamento complessivo zero trust dell'applicazione.
Architettura dello scenario
La soluzione SHA per questo scenario include gli elementi seguenti:
Applicazione: servizio basato su Kerberos back-end pubblicato esternamente da BIG-IP e protetto da SHA
BIG-IP: funzionalità proxy inverso per la pubblicazione di applicazioni back-end. Access Policy Manager (APM) sovrappone le applicazioni pubblicate con la funzionalità del provider di servizi SAML (SP) e SSO.
Microsoft Entra ID: provider di identità (IdP) che verifica le credenziali utente, l'accesso condizionale Microsoft Entra e l'accesso SSO all'APM BIG-IP tramite SAML
KDC: ruolo del Centro distribuzione chiavi in un controller di dominio (DC) che emette ticket Kerberos
L'immagine seguente illustra il flusso avviato da SAML SP per questo scenario, ma è supportato anche il flusso avviato da IdP.
Flusso utente
- L'utente si connette all'endpoint dell'applicazione (BIG-IP)
- I criteri di accesso BIG-IP reindirizza l'utente a Microsoft Entra ID (ID SAML)
- Microsoft Entra ID preautentica l'utente e applica i criteri di accesso condizionale applicati
- L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito tramite il token SAML rilasciato
- BIG-IP autentica l'utente e richiede un ticket Kerberos da KDC
- BIG-IP invia la richiesta all'applicazione back-end con il ticket Kerberos per l'accesso SSO
- L'applicazione autorizza la richiesta e restituisce il payload
Prerequisiti
L'esperienza BIG-IP precedente non è necessaria. È necessario:
- Un account Azure gratuito o una sottoscrizione di livello superiore.
- Big-IP o distribuire BIG-IP Virtual Edition in Azure.
- Una delle licenze F5 BIG-IP seguenti:
- Bundle migliore F5 BIG-IP
- Licenza autonoma F5 BIG-IP APM
- Licenza del componente aggiuntivo APM F5 BIG-IP in un Gestione traffico locale BIG-IP (LTM)
- Licenza di valutazione gratuita di BIG-IP di 90 giorni
- Le identità utente sincronizzate da una directory locale all'ID Microsoft Entra o create in Microsoft Entra ID e sono tornate alla directory locale.
- Uno dei ruoli seguenti nel tenant di Microsoft Entra: Cloud Application Amministrazione istrator o Application Amministrazione istrator.
- Un certificato server Web per la pubblicazione di servizi tramite HTTPS o l'uso di certificati BIG-IP predefiniti durante il test.
- Un'applicazione Kerberos o passare a active-directory-wp.com per informazioni su come configurare l'accesso SSO con IIS in Windows.
Metodi di configurazione BIG-IP
Questo articolo illustra la configurazione avanzata, un'implementazione SHA flessibile che crea oggetti di configurazione BIG-IP. È possibile usare questo approccio per gli scenari che i modelli di configurazione guidata non coprono.
Nota
Sostituire tutte le stringhe o i valori di esempio in questo articolo con quelli per l'ambiente effettivo.
Registrare F5 BIG-IP in Microsoft Entra ID
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Prima che BIG-IP possa consegnare la preautenticazione all'ID Microsoft Entra, registrarlo nel tenant. Questo processo avvia l'accesso SSO tra entrambe le entità. L'app creata dal modello della raccolta BIG-IP F5 è la relying party che rappresenta l'SP SAML per l'applicazione pubblicata big-IP.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni e quindi selezionare Nuova applicazione.
Viene visualizzato il riquadro Sfoglia raccolta di Microsoft Entra con i riquadri per le piattaforme cloud, le applicazioni locali e le applicazioni in primo piano. Le applicazioni nella sezione Applicazioni in primo piano contengono icone che indicano se supportano l'accesso SSO federato e il provisioning.
Nella raccolta di Azure cercare F5 e selezionare F5 BIG-IP APM Integrazione di Microsoft Entra ID.
Immettere un nome per la nuova applicazione per riconoscere l'istanza dell'applicazione.
Selezionare Aggiungi/Crea per aggiungerlo al tenant.
Abilitare l'accesso SSO a F5 BIG-IP
Configurare la registrazione BIG-IP per soddisfare i token SAML richieste da BIG-IP APM.
- Nella sezione Gestisci del menu a sinistra selezionare Single Sign-On. Viene visualizzato il riquadro Single Sign-On .
- Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML. Selezionare No, verrà salvato in un secondo momento per ignorare il prompt.
- Nel riquadro Configura accesso Single Sign-On con SAML selezionare l'icona della penna per modificare configurazione SAML di base.
- Sostituire il valore predefinito identificatore con l'URL completo per l'applicazione pubblicata BIG-IP.
- Sostituire il valore di URL di risposta, ma mantenere il percorso per l'endpoint SAML SP dell'applicazione.
Nota
In questa configurazione il flusso SAML opera in modalità avviata da IdP. Microsoft Entra ID rilascia un'asserzione SAML prima che l'utente venga reindirizzato all'endpoint BIG-IP per l'applicazione.
Per usare la modalità avviata da SP, immettere l'URL dell'applicazione nell'URL di accesso.
Per Url disconnessione immettere l'endpoint APM single logout (SLO) BIG-IP anteporto dall'intestazione host del servizio in fase di pubblicazione. Questa azione garantisce che la sessione APM BIG-IP dell'utente termini dopo che l'utente si disconnette da Microsoft Entra ID.
Nota
Da BIG-IP Traffic Management Operating System (TMOS) v16, l'endpoint SLO SAML è stato modificato in /saml/sp/profile/redirect/slo.
Prima di chiudere la configurazione SAML, selezionare Salva.
Ignorare il prompt di test dell'accesso Single Sign-On.
Si notino le proprietà della sezione Attributi utente e attestazioni . Microsoft Entra ID genera proprietà agli utenti per l'autenticazione APM BIG-IP e per l'accesso SSO all'applicazione back-end.
Per salvare il file XML dei metadati della federazione nel computer, nel riquadro Certificato di firma SAML selezionare Scarica.
Nota
I certificati di firma SAML creati da Microsoft Entra ID hanno una durata di tre anni. Per altre informazioni, vedere Certificati gestiti per l'accesso Single Sign-On federato.
Concedere l'accesso a utenti e gruppi
Per impostazione predefinita, Microsoft Entra ID emette token per gli utenti a cui è concesso l'accesso a un'applicazione. Per concedere a utenti e gruppi l'accesso all'applicazione:
Nel riquadro di panoramica dell'applicazione BIG-IP F5 selezionare Assegna utenti e gruppi.
Selezionare + Aggiungi utente/gruppo.
Selezionare utenti e gruppi e quindi selezionare Assegna.
Configurare la delega vincolata Kerberos di Active Directory
Affinché big-IP APM esegua l'accesso SSO all'applicazione back-end per conto degli utenti, configurare KCD nel dominio di Active Directory (AD) di destinazione. La delega dell'autenticazione richiede il provisioning di BIG-IP APM con un account del servizio di dominio.
Per questo scenario, l'applicazione è ospitata nel server APP-VM-01 e viene eseguita nel contesto di un account del servizio denominato web_svc_account, non l'identità del computer. L'account del servizio di delega assegnato a APM è F5-BIG-IP.
Creare un account di delega APM BIG-IP
Big-IP non supporta gli account del servizio gestito del gruppo ( gMSA), quindi creare un account utente standard per l'account del servizio APM.
Immettere il comando di PowerShell seguente. Sostituire i valori UserPrincipalName e SamAccountName con i valori dell'ambiente. Per una maggiore sicurezza, usare un nome SPN (Service Principal Name) dedicato che corrisponde all'intestazione host dell'applicazione.
New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")
HOST_SPN = host/f5-big-ip.contoso.com@contoso.com
Nota
Quando si usa l'host, qualsiasi applicazione in esecuzione nell'host delega l'account mentre quando si usa HTTPS consentirà solo operazioni correlate al protocollo HTTP.
Creare un nome dell'entità servizio (SPN) per l'account del servizio APM da usare durante la delega all'account del servizio applicazione Web:
Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}
Nota
È obbligatorio includere l'host/parte nel formato UserPrincipleName (host/name.domain@domain) o ServicePrincipleName (host/name.domain).
Prima di specificare il nome SPN di destinazione, visualizzarne la configurazione. Verificare che il nome SPN venga visualizzato nell'account del servizio APM. Delegati dell'account del servizio APM per l'applicazione Web:
Verificare che l'applicazione Web sia in esecuzione nel contesto del computer o in un account del servizio dedicato.
Per il contesto Computer, usare il comando seguente per eseguire una query sull'oggetto account in Active Directory per visualizzare i nomi SPN definiti. Sostituire <name_of_account> con l'account per l'ambiente.
Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames
Ad esempio: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames
Per l'account del servizio dedicato, usare il comando seguente per eseguire una query sull'oggetto account in Active Directory per visualizzare i nomi SPN definiti. Sostituire <name_of_account> con l'account per l'ambiente.
Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames
Ad esempio: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames
Se l'applicazione è stata eseguita nel contesto del computer, aggiungere il nome SPN all'oggetto dell'account computer in Active Directory:
Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}
Con i nomi SPN definiti, stabilire l'attendibilità per il delegato dell'account del servizio APM a tale servizio. La configurazione varia a seconda della topologia dell'istanza BIG-IP e del server applicazioni.
Configurare BIG-IP e l'applicazione di destinazione nello stesso dominio
Impostare l'attendibilità per l'account del servizio APM per delegare l'autenticazione:
Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true
L'account del servizio APM deve conoscere il nome SPN di destinazione a cui è attendibile delegare. Impostare il nome SPN di destinazione sull'account del servizio che esegue l'applicazione Web:
Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}
Nota
È possibile completare queste attività con lo snap-in Utenti e computer di Active Directory, Microsoft Management Console (MMC) in un controller di dominio.
Configurare BIG-IP e l'applicazione di destinazione in domini diversi
Nella versione di Windows Server 2012 e versioni successive, la delega vincolata vincolata basata su risorse usa la delega vincolata basata su risorse (RBCD). I vincoli per un servizio vengono trasferiti dall'amministratore di dominio all'amministratore del servizio. Questa delega consente all'amministratore del servizio back-end di consentire o negare l'accesso SSO. Questa situazione crea un approccio diverso alla delega della configurazione, che è possibile quando si usa PowerShell o Active Directory Service Interfaces Editor (ADSI Edit).
È possibile usare la proprietà PrincipalsAllowedToDelegateToAccount dell'account del servizio dell'applicazione (account computer o servizio dedicato) per concedere la delega da BIG-IP. Per questo scenario, usare il comando di PowerShell seguente in un controller di dominio (Windows Server 2012 R2 o versione successiva) nello stesso dominio dell'applicazione.
Usare un nome SPN definito in base a un account del servizio applicazione Web. Per una maggiore sicurezza, usare un nome SPN dedicato che corrisponda all'intestazione host dell'applicazione. Ad esempio, poiché l'intestazione host dell'applicazione Web in questo esempio è myexpenses.contoso.com, aggiungere HTTP/myexpenses.contoso.com all'oggetto account del servizio applicazioni in Active Directory (AD):
Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}
Per i comandi seguenti, prendere nota del contesto.
Se il servizio web_svc_account viene eseguito nel contesto di un account utente, usare questi comandi:
$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com
Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount
$big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount
Se il servizio web_svc_account viene eseguito nel contesto di un account computer, usare questi comandi:
$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com
Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount
$big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount
Per altre informazioni, vedere Delega vincolata Kerberos tra domini.
Configurazione avanzata big-IP
Usare la sezione seguente per continuare a configurare le configurazioni BIG-IP.
Configurare le impostazioni del provider di servizi SAML
Le impostazioni del provider di servizi SAML definiscono le proprietà SAML SP usate da APM per sovrapporre l'applicazione legacy con la preautenticazione SAML. Per configurarli:
Da un browser accedere alla console di gestione di F5 BIG-IP.
Selezionare Access Federation SAML Service Provider Local SP Services Create (Accesso>federazione>SAML Service Provider>Local SP Services>Create).
Specificare i valori Name e Entity ID salvati quando è stato configurato l'accesso SSO per Microsoft Entra ID.
Se l'ID entità SAML corrisponde esattamente all'URL per l'applicazione pubblicata, è possibile ignorare il nome SP Impostazioni. Ad esempio, se l'ID entità è urn:myexpenses:contosoonline, il valore scheme è https; il valore host è myexpenses.contoso.com. Se l'ID entità è "https://myexpenses.contoso.com", non è necessario fornire queste informazioni.
Configurare un connettore IdP esterno
Un connettore SAML IdP definisce le impostazioni per big-IP APM per considerare attendibile l'ID Microsoft Entra come ID SAML. Queste impostazioni eseguono il mapping di SAML SP a un IDP SAML, stabilendo la relazione di trust federativa tra APM e Microsoft Entra ID. Per configurare il connettore:
Scorrere verso il basso per selezionare il nuovo oggetto SAML SP e quindi selezionare Bind/Unbind IdP Connessione ors.
Selezionare Crea nuovo provider di identità Connessione or>dai metadati.
Passare al file XML dei metadati della federazione scaricato e specificare un nome del provider di identità per l'oggetto APM che rappresenta l'IdP SAML esterno. L'esempio seguente mostra MyExpenses_AzureAD.
Selezionare Aggiungi nuova riga per scegliere il nuovo valore di Connessione ors IDP SAML e quindi selezionare Aggiorna.
Seleziona OK.
Configurare l'accesso Single Sign-On Kerberos
Creare un oggetto SSO APM per L'accesso Single Sign-On KCD alle applicazioni back-end. Usare l'account di delega APM creato.
- Selezionare Access Single Sign-On Kerberos Create (Accesso>Single Sign-On>Kerberos>Create) e specificare le informazioni seguenti:
Nome: dopo averlo creato, altre applicazioni pubblicate possono usare l'oggetto Kerberos SSO APM. Ad esempio, usare Contoso_KCD_sso per più applicazioni pubblicate per il dominio Contoso. Usare MyExpenses_KCD_sso per una singola applicazione.
Origine nome utente: specificare l'origine ID utente. Usare una variabile di sessione APM come origine. L'uso di session.saml.last.identity è consigliato perché contiene l'ID utente connesso dall'attestazione Microsoft Entra.
Origine dell'area di autenticazione utente: obbligatorio quando il dominio utente è diverso dall'area di autenticazione Kerberos per KCD. Se gli utenti si trovano in un dominio attendibile separato, è necessario rendere il servizio APM consapevole specificando la variabile di sessione APM con il dominio utente connesso. Un esempio è session.saml.last.attr.name.domain. Questa azione viene eseguita negli scenari in cui il nome dell'entità utente (UPN) è basato su un suffisso alternativo.
Area di autenticazione Kerberos: suffisso di dominio utente in lettere maiuscole
KDC: indirizzo IP del controller di dominio. In alternativa, immettere un nome di dominio completo se DNS è configurato ed efficiente.
Supporto UPN: selezionare questa casella di controllo se l'origine del nome utente è in formato UPN, ad esempio la variabile session.saml.last.identity.
Nome account e password dell'account: credenziali dell'account del servizio APM per eseguire la delega vincolata kerberos
Modello SPN: se si usa HTTP/%h, APM usa l'intestazione host della richiesta client per compilare il nome SPN per il quale richiede un token Kerberos.
Invia autorizzazione: disabilitare questa opzione per le applicazioni che preferiscono negoziare l'autenticazione, anziché ricevere il token Kerberos nella prima richiesta, ad esempio Tomcat.
È possibile lasciare KDC non definito se l'area di autenticazione utente è diversa dall'area di autenticazione del server back-end. Questa regola si applica agli scenari di area di autenticazione a più domini. Se si lascia KDC non definito, BIG-IP tenta di individuare un'area di autenticazione Kerberos tramite una ricerca DNS di record SRV per il dominio del server back-end. Si prevede che il nome di dominio corrisponda al nome dell'area di autenticazione. Se il nome di dominio è diverso, specificarlo nel file /etc/krb5.conf .
L'elaborazione SSO Kerberos è più veloce quando un indirizzo IP specifica un KDC. L'elaborazione SSO Kerberos è più lenta se un nome host specifica un KDC. A causa di più query DNS, l'elaborazione è più lenta quando un KDC non è definito. Assicurarsi che il DNS funzioni in modo ottimale prima di spostare un modello di verifica nell'ambiente di produzione.
Nota
Se i server back-end si trovano in più aree di autenticazione, creare un oggetto di configurazione SSO separato per ogni area di autenticazione.
È possibile inserire intestazioni come parte della richiesta SSO all'applicazione back-end. Modificare l'impostazione Proprietà generali da Base a Avanzate.
Per altre informazioni sulla configurazione di un'applicazione APM per L'accesso Single Sign-On KCD, vedere l'articolo F5 K17976428: Panoramica della delega vincolata Kerberos.
Configurare un profilo di accesso
Un profilo di accesso associa gli elementi APM che gestiscono l'accesso ai server virtuali BIG-IP. Questi elementi includono criteri di accesso, configurazione SSO e impostazioni dell'interfaccia utente.
Selezionare Profili di accesso>/Criteri>di accesso (Criteri per sessione)>Crea e immettere le proprietà seguenti:
Nome: ad esempio, immettere MyExpenses
Tipo di profilo: selezionare Tutto
Configurazione SSO: selezionare l'oggetto di configurazione SSO KCD creato
Lingue accettate: aggiungere almeno una lingua
Per il profilo per sessione creato, selezionare Modifica.
Verrà aperto l'editor dei criteri visivi. Selezionare il segno più accanto al fallback.
Nella finestra di dialogo selezionare Authentication SAML Auth Add Item (Autenticazione>SAML Auth>Add Item).
Nella configurazione di SAML authentication SP impostare l'opzione AAA Server per usare l'oggetto SAML SP creato.
Per modificare il ramo Operazione riuscita in Consenti, selezionare il collegamento nella casella Nega in alto.
Seleziona Salva.
Configurare i mapping degli attributi
Sebbene sia facoltativo, è possibile aggiungere una configurazione LogonID_Mapping per abilitare l'elenco delle sessioni attive BIG-IP per visualizzare l'UPN dell'utente connesso, anziché un numero di sessione. Queste informazioni sono utili per l'analisi dei log o la risoluzione dei problemi.
Per il ramo SAML Auth Successful (Autenticazione SAML), selezionare il segno più.
Nella finestra di dialogo selezionare Assegnazione>variabile Assegna>aggiungi elemento.
Immetti un valore per Nome.
Nel riquadro Assegna variabile selezionare Aggiungi nuova voce>. L'esempio seguente mostra LogonID_Mapping nella casella Nome.
Impostare entrambe le variabili:
- Variabile personalizzata: immettere session.logon.last.username
- Variabile di sessione: immettere session.saml.last.identity
Selezionare Fine>salvataggio.
Selezionare il terminale Nega del ramo Di accesso riuscito . Modificarlo in Consenti.
Seleziona Salva.
Selezionare Applica criteri di accesso e chiudere l'editor.
Configurare il pool back-end
Per consentire a BIG-IP di inoltrare con precisione il traffico client, creare un oggetto nodo BIG-IP che rappresenta il server back-end che ospita l'applicazione. Posizionare quindi il nodo in un pool di server BIG-IP.
Selezionare Elenco>pool>di traffico>locali Crea e specificare un nome per un oggetto pool di server. Ad esempio, immettere MyApps_VMs.
Aggiungere un oggetto membro del pool con i dettagli della risorsa seguenti:
- Nome nodo: nome visualizzato per il server che ospita l'applicazione Web back-end
- Indirizzo: indirizzo IP del server che ospita l'applicazione
- Porta del servizio: porta HTTP/S su cui l'applicazione è in ascolto
Nota
Questo articolo non tratta i monitoraggi di integrità di configurazione aggiuntivi necessari. Vedere K13397 : Panoramica della formattazione delle richieste di Monitoraggio integrità HTTP per il sistema DNS BIG-IP.
Configurare il server virtuale
Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo di accesso APM associato al server virtuale, prima di essere indirizzato in base ai criteri.
Per configurare un server virtuale:
Selezionare Local Traffic Virtual Server Virtual Server (Server>virtuali del traffico>locale) Create>(Crea).
Immettere un nome e un indirizzo IPv4/IPv6 non allocato a un oggetto BIG-IP o a un dispositivo nella rete connessa. L'indirizzo IP è dedicato per ricevere il traffico client per l'applicazione back-end pubblicata.
Impostare La porta del servizio su 443.
Impostare Profilo HTTP (client) su http.
Abilitare un server virtuale per Transport Layer Security (TLS) per consentire la pubblicazione dei servizi tramite HTTPS.
Per Profilo SSL (client) selezionare il profilo creato per i prerequisiti. In alternativa, usare l'impostazione predefinita se si esegue il test.
Modificare La traduzione degli indirizzi di origine in Mapping automatico.
In Criteri di accesso impostare Profilo di accesso in base al profilo creato. Questa selezione associa il profilo di preautenticazione SAML di Microsoft EntraL e i criteri SSO KCD al server virtuale.
Impostare Pool predefinito per usare gli oggetti pool back-end creati nella sezione precedente.
Selezionare Completato.
Configurare le impostazioni di gestione delle sessioni
Le impostazioni di gestione delle sessioni BIG-IP definiscono le condizioni per le quali le sessioni utente vengono terminate o consentite di continuare, i limiti per gli utenti e gli indirizzi IP e le pagine di errore. È possibile creare criteri qui.
Passare a Access Policy>Access Profiles Access Profile (Profilo di accesso ai profili di accesso ai criteri>di accesso) e selezionare un'applicazione dall'elenco.
Se è stato definito un valore single logout URI in Microsoft Entra ID, garantisce che una disconnessione avviata da IdP dal portale MyApps termini la sessione tra il client e il big-IP APM. Il file XML dei metadati di federazione dell'applicazione importato fornisce a APM l'endpoint di disconnesso SAML di Microsoft Entra per la disconnessazione avviata da SP. Per ottenere risultati efficaci, APM deve sapere quando un utente si disconnette.
Si consideri uno scenario in cui non viene usato un portale Web BIG-IP. L'utente non può indicare a APM di disconnettersi. Anche se l'utente si disconnette dall'applicazione, BIG-IP è oblivioso, quindi la sessione dell'applicazione potrebbe essere ripristinata tramite SSO. La disconnessità avviata da SP deve essere considerata per garantire che le sessioni terminino in modo sicuro.
Nota
È possibile aggiungere una funzione SLO al pulsante disconnessione dell'applicazione. Questa funzione reindirizza il client all'endpoint di disconnessione SAML di Microsoft Entra. Trovare l'endpoint di disconnessioni SAML in Endpoint registrazioni>app.
Se non è possibile modificare l'app, prendere in considerazione l'ascolto di BIG-IP per la chiamata di disconnesso dell'app. Quando rileva la richiesta, attiva SLO.
Per altre informazioni, vedere gli articoli F5:
- K42052145: configurazione della terminazione automatica della sessione (disconnessione) in base a un nome di file a cui si fa riferimento URI
- K12056: Panoramica dell'opzione Includi URI disconnessione.
Riepilogo
L'applicazione viene pubblicata e accessibile tramite SHA, tramite il relativo URL o tramite i portali delle applicazioni Microsoft. L'applicazione è visibile come risorsa di destinazione nell'accesso condizionale di Microsoft Entra.
Per una maggiore sicurezza, le organizzazioni che usano questo modello possono bloccare l'accesso diretto all'applicazione, forzando un percorso rigoroso tramite BIG-IP.
Passaggi successivi
Come utente, aprire un browser e connettersi all'URL esterno dell'applicazione. È possibile selezionare l'icona dell'applicazione nel portale Microsoft MyApps. Dopo l'autenticazione nel tenant di Microsoft Entra, si viene reindirizzati all'endpoint BIG-IP per l'applicazione e aver eseguito l'accesso tramite SSO.
Accesso guest Microsoft Entra B2B
SHA supporta l'accesso guest Microsoft Entra B2B. Le identità guest vengono sincronizzate dal tenant di Microsoft Entra al dominio Kerberos di destinazione. Avere una rappresentazione locale degli oggetti guest per BIG-IP per eseguire l'accesso SSO KCD all'applicazione back-end.
Risoluzione dei problemi
Durante la risoluzione dei problemi, considerare i punti seguenti:
- Kerberos è sensibile al tempo. Richiede server e client impostati sull'ora corretta e, quando possibile, sincronizzati con un'origine ora affidabile.
- Verificare che i nomi host per il controller di dominio e l'applicazione Web siano risolvibili in DNS
- Assicurarsi che nell'ambiente non siano presenti nomi SPN duplicati. Eseguire la query seguente nella riga di comando:
setspn -q HTTP/my_target_SPN
.
Nota
Per verificare che un'applicazione IIS sia configurata per KCD, vedere Risolvere i problemi relativi alle configurazioni di delega vincolata Kerberos per il proxy di applicazione. Vedere anche l'articolo AskF5, Metodo Single Sign-On Kerberos.
Aumentare il livello di dettaglio del log
I log BIG-IP sono una fonte affidabile di informazioni. Per aumentare il livello di dettaglio del log:
- Passare a Log eventi di Panoramica>dei>criteri> di accesso Impostazioni.
- Selezionare la riga per l'applicazione pubblicata.
- Selezionare Modifica>log di sistema di accesso.
- Selezionare Debug dall'elenco SSO.
- Seleziona OK.
Riprodurre il problema prima di esaminare i log. Ripristinare quindi questa funzionalità al termine. In caso contrario, il livello di dettaglio è significativo.
Errore BIG-IP
Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, il problema potrebbe essere correlato all'accesso SSO, da Microsoft Entra ID a BIG-IP.
- Passare a Access>Overview Access Reports (Accedere>ai report di accesso).
- Per verificare se i log contengono indizi, eseguire il report per l'ultima ora.
- Usare il collegamento Visualizza variabili di sessione per la sessione per capire se APM riceve le attestazioni previste da Microsoft Entra ID.
Richiesta back-end
Se non viene visualizzato alcun errore BIG-IP, il problema è probabilmente correlato alla richiesta back-end o correlato all'accesso SSO da BIG-IP all'applicazione.
- Passare a Panoramica dei>criteri>di accesso Sessioni attive.
- Selezionare il collegamento per la sessione attiva.
- Usare il collegamento View Variables (Visualizza variabili ) per determinare i problemi KCD della causa radice, in particolare se big-IP APM non riesce a ottenere gli identificatori di dominio e utente corretti.
Per informazioni sulla diagnosi dei problemi correlati a KCD, vedere la guida alla distribuzione di F5 BIG-IP Configurazione della delega vincolata Kerberos.