Share via

Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso Single Sign-On Kerberos

  • Articolo

Informazioni su come proteggere le applicazioni basate su Kerberos con Microsoft Entra ID, tramite F5 BIG-IP Easy Button Configuration 16.1.

L'integrazione di big-IP con Microsoft Entra ID offre molti vantaggi, tra cui:

  • Governance migliorata: vedere Framework Zero Trust per abilitare il lavoro remoto e altre informazioni sulla preautenticazione di Microsoft Entra.
  • Applicare i criteri dell'organizzazione. Vedere Che cos'è l'accesso condizionale?.
  • Accesso SSO completo tra i servizi pubblicati da Microsoft Entra ID e BIG-IP
  • Gestire le identità e l'accesso da un singolo piano di controllo, l'interfaccia di amministrazione di Microsoft Entra.

Per altre informazioni sui vantaggi, vedere l'articolo sull'integrazione di F5 BIG-IP e Microsoft Entra.

Descrizione dello scenario

Questo scenario è l'applicazione classica legacy che usa l'autenticazione Kerberos, nota anche come autenticazione integrata di Windows (IWA), per controllare l'accesso al contenuto protetto.

Poiché è legacy, l'applicazione non dispone di protocolli moderni per supportare l'integrazione diretta con Microsoft Entra ID. È possibile modernizzare l'applicazione, ma è costosa, richiede la pianificazione e introduce il rischio di potenziali tempi di inattività. Al contrario, un controller di distribuzione di applicazioni BIG-IP (ADC) F5 consente di colmare il divario tra l'applicazione legacy e il piano di controllo ID moderno, attraverso la transizione del protocollo.

Un BIG-IP davanti all'applicazione abilita la sovrimpressione del servizio con l'accesso Single Sign-On basato su intestazioni e preautenticazione di Microsoft Entra, migliorando il comportamento di sicurezza dell'applicazione.

Nota

Le organizzazioni possono ottenere l'accesso remoto a questo tipo di applicazione con il proxy dell'applicazione Microsoft Entra

Architettura dello scenario

La soluzione sha (Secure Hybrid Access) per questo scenario include i componenti seguenti:

  • Applicazione: servizio pubblicato big-IP da proteggere da Microsoft Entra SHA. L'host dell'applicazione è aggiunto a un dominio, pertanto è integrato con Active Directory (AD).
  • Microsoft Entra ID: provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAML all'INDIRIZZO BIG-IP. Tramite SSO, Microsoft Entra ID fornisce BIG-IP con gli attributi di sessione necessari.
  • KDC: ruolo del Centro distribuzione chiavi (KDC) in un controller di dominio (DC), rilasciando ticket Kerberos
  • BIG-IP: proxy inverso e provider di servizi SAML (SP) all'applicazione, delegando l'autenticazione all'IdP SAML prima di eseguire l'accesso SSO basato su Kerberos all'applicazione back-end.

SHA per questo scenario supporta i flussi avviati da SP e IdP. L'immagine seguente illustra il flusso sp.

Diagramma del flusso del provider di servizi dello scenario.

  1. L'utente si connette all'endpoint dell'applicazione (BIG-IP)
  2. I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (ID SAML)
  3. Microsoft Entra ID preautentica l'utente e applica i criteri di accesso condizionale applicati
  4. L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito usando il token SAML rilasciato
  5. BIG-IP richiede ticket Kerberos da KDC
  6. BIG-IP invia una richiesta all'applicazione back-end, insieme al ticket Kerberos per l'accesso SSO
  7. L'applicazione autorizza la richiesta e restituisce il payload

Prerequisiti

L'esperienza BIG-IP precedente non è necessaria, ma è necessario:

  • Un account azure gratuito o superiore
  • BIG-IP o distribuire big-IP Virtual Edition (VE) in Azure
  • Una delle licenze F5 BIG-IP seguenti:
    • Bundle migliore F5 BIG-IP®
    • F5 BIG-IP autonomo APM
    • Licenza del componente aggiuntivo F5 BIG-IP APM in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM)
    • Licenza di valutazione gratuita di BIG-IP di 90 giorni
  • Identità utente sincronizzate da una directory locale a Microsoft Entra ID o create in Microsoft Entra ID e restituite alla directory locale
  • Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator.
  • Un certificato Web SSL per la pubblicazione di servizi tramite HTTPS o l'uso dei certificati BIG-IP predefiniti durante il test
  • Un'applicazione Kerberos o passare a active-directory-wp.com per informazioni su come configurare l'accesso SSO con IIS in Windows.

Metodi di configurazione BIG-IP

Questa esercitazione illustra la configurazione guidata 16.1 più recente con un modello Easy Button. Con Easy Button, le Amministrazione non vanno avanti e indietro tra Microsoft Entra ID e big-IP per abilitare i servizi per SHA. La configurazione guidata di APM e Microsoft Graph gestiscono la distribuzione e la gestione dei criteri. L'integrazione tra BIG-IP APM e Microsoft Entra ID garantisce che le applicazioni supportino la federazione delle identità, l'accesso condizionale SSO e Microsoft Entra, riducendo il sovraccarico amministrativo.

Nota

Sostituire stringhe o valori di esempio in questo articolo con quelli per l'ambiente in uso.

Registra pulsante facile

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Prima che un client o un servizio possa accedere a Microsoft Graph, è considerato attendibile da Microsoft Identity Platform. Questa azione crea una registrazione dell'app tenant per autorizzare l'accesso Easy Button a Graph. Tramite queste autorizzazioni, BIG-IP esegue il push delle configurazioni per stabilire un trust tra un'istanza di SAML SP per l'applicazione pubblicata e Microsoft Entra ID come ID SAML.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Applicazioni> di identità>Registrazioni app > Nuova registrazione.

  3. Immettere un nome visualizzato per l'applicazione. Ad esempio, F5 BIG-IP Easy Button.

  4. Specificare chi può usare solo gli account dell'applicazione >in questa directory organizzativa.

  5. Selezionare Registra.

  6. Passare a Autorizzazioni API e autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. Concedere il consenso amministratore per l'organizzazione.

  8. In Certificati e segreti generare un nuovo segreto client. Prendere nota di questo segreto.

  9. In Panoramica prendere nota dell'ID client e dell'ID tenant.

Pulsante Configura facile

Avviare la configurazione guidata di APM per avviare il modello Pulsante semplice.

  1. Passare a Access Guided Configuration > Microsoft Integration (Configurazione guidata di Microsoft > Integration) e selezionare Microsoft Entra Application (Applicazione Microsoft Entra).

  2. Esaminare i passaggi di configurazione e selezionare Avanti

  3. Per pubblicare l'applicazione, seguire i passaggi successivi.

    Screenshot del flusso di configurazione, in Configurazione guidata.

Configuration Properties

La scheda Proprietà di configurazione crea una configurazione dell'applicazione BIG-IP e un oggetto SSO. La sezione Dettagli account del servizio Azure può rappresentare il client registrato in precedenza nel tenant di Microsoft Entra, come applicazione. Queste impostazioni consentono a un client OAuth BIG-IP di registrare un provider di servizi SAML nel tenant, con le proprietà SSO configurate manualmente. Easy Button esegue questa azione per ogni servizio BIG-IP pubblicato e abilitato per SHA.

Alcune impostazioni sono globali, che possono essere riutilizzate per la pubblicazione di più applicazioni, riducendo il tempo di distribuzione e il lavoro richiesto.

  1. Specificare un nome di configurazione univoco.

  2. Abilitare l'accesso Single Sign-On (SSO) e le intestazioni HTTP.

  3. Immettere l'ID tenant, l'ID client e il segreto client annotati durante la registrazione del client Easy Button nel tenant.

    Screenshot delle voci Nome configurazione, Intestazioni SSO e HTTP e Dettagli dell'account del servizio di Azure.

  4. Verificare che BIG-IP si connetta al tenant.

  5. Selezionare Avanti.

Provider di Servizi

Le impostazioni del provider di servizi sono le proprietà per l'istanza SAML SP dell'applicazione protetta tramite SHA.

  1. Per Host immettere il nome di dominio completo pubblico (FQDN) dell'applicazione protetta.

  2. Per ENTITY ID (ID entità) immettere l'identificatore usato dall'ID Microsoft Entra per identificare il provider di servizi SAML che richiede un token.

    Screenshot se le voci host ed ID entità nel provider di servizi.

Il Impostazioni di sicurezza facoltativo specifica se Microsoft Entra ID crittografa le asserzioni SAML rilasciate. La crittografia delle asserzioni tra Microsoft Entra ID e BIG-IP APM garantisce maggiore certezza che i token di contenuto non possono essere intercettati e i dati personali o aziendali non possono essere compromessi.

  1. Nell'elenco Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare Create New (Crea nuovo).

Screenshot dell'opzione Crea nuovo in Security Impostazioni.

  1. Seleziona OK. Viene visualizzata la finestra di dialogo Importa certificato SSL e chiavi .
  2. Selezionare PKCS 12 (IIS) per importare il certificato e la chiave privata.
  3. Dopo il provisioning, chiudere la scheda del browser per tornare alla scheda principale.

Screenshot delle voci Tipo di importazione, Certificato e Nome chiave, Certificato e Origine chiave e Password

  1. Selezionare Abilita asserzione crittografata.
  2. Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Asserzione Decrittografia chiave privata. Questa chiave privata è per il certificato usato da BIG-IP APM per decrittografare le asserzioni Microsoft Entra.
  3. Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Certificato di decrittografia asserzione. BIG-IP carica questo certificato in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

Screenshot delle voci Dei certificati di decrittografia asserzione e chiave privata di decrittografia asserzione.

Microsoft Entra ID

Questa sezione definisce le proprietà per configurare manualmente una nuova applicazione SAML BIG-IP nel tenant di Microsoft Entra. Easy Button include modelli di applicazione per Oracle Persone Soft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e un modello SHA per altre app.

Per questo scenario, selezionare F5 BIG-IP APM Microsoft Entra ID Integration > Add( Aggiungi).

Configurazione di Azure

  1. Immettere un nome visualizzato per l'app creata da BIG-IP nel tenant di Microsoft Entra e l'icona nel portale MyApps.

  2. Lasciare vuoto l'URL di accesso (facoltativo) per abilitare l'accesso avviato da IdP.

  3. Selezionare l'icona di aggiornamento accanto alla chiave di firma e al certificato di firma per individuare il certificato importato.

  4. In Passphrase chiave di firma immettere la password del certificato.

  5. Abilitare l'opzione di firma (facoltativa) per assicurarsi che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.

    Screenshot della chiave di firma, del certificato di firma e della passphrase della chiave di firma nel certificato di firma SAML.

  6. Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra e autorizzano l'accesso all'applicazione. Aggiungere un utente o un gruppo per il test; in caso contrario, viene negato tutto l'accesso.

    Screenshot dell'opzione Aggiungi in Utenti e gruppi di utenti.

Attributi utente e attestazioni

Quando un utente esegue l'autenticazione in Microsoft Entra ID, rilascia un token SAML con un set predefinito di attestazioni e attributi che identificano l'utente. La scheda Attributi utente e attestazioni mostra le attestazioni predefinite da rilasciare per la nuova applicazione. Usarlo per configurare più attestazioni.

L'infrastruttura si basa su un suffisso di dominio .com usato internamente ed esternamente. Non sono necessari altri attributi per ottenere un'implementazione funzionale di Kerberos Constrained Delegation Single Sign-On (KCD SSO). Vedere l'esercitazione avanzata per più domini o accesso utente usando un suffisso alternativo.

Screenshot di attributi utente e attestazioni.

Attributi utente aggiuntivi

La scheda Attributi utente aggiuntivi supporta vari sistemi distribuiti che richiedono attributi archiviati in altre directory, per l'aumento della sessione. Gli attributi recuperati da un'origine LDAP (Lightweight Directory Access Protocol) possono essere inseriti come intestazioni SSO per controllare l'accesso in base a ruoli, ID partner e così via.

Nota

Questa funzionalità non ha alcuna correlazione con l'ID Microsoft Entra, ma è un'altra origine di attributi.

Criteri di accesso condizionale

I criteri di accesso condizionale vengono applicati dopo la preautenticazione di Microsoft Entra per controllare l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio.

La visualizzazione Criteri disponibili mostra i criteri di accesso condizionale senza azioni basate sull'utente.

La visualizzazione Criteri selezionati mostra i criteri destinati alle app cloud. Non è possibile deselezionare i criteri o spostarli nell'elenco Criteri disponibili perché vengono applicati a livello di tenant.

Per selezionare un criterio da applicare all'applicazione da pubblicare:

  1. Nell'elenco Criteri disponibili selezionare un criterio.
  2. Selezionare la freccia destra e spostarla nell'elenco Criteri selezionati.

I criteri selezionati richiedono un'opzione Includi o Escludi selezionata. Se vengono selezionate entrambe le opzioni, i criteri selezionati non vengono applicati.

Screenshot dei criteri di accesso condizionale esclusi, in Criteri di accesso condizionale, in Criteri di accesso condizionale.

Nota

L'elenco dei criteri viene visualizzato una volta dopo il passaggio a questa scheda. È possibile usare il pulsante di aggiornamento per forzare manualmente la procedura guidata per eseguire query sul tenant, ma questo pulsante viene visualizzato dopo la distribuzione dell'applicazione.

Proprietà del server virtuale

Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale. Il traffico viene indirizzato in base ai criteri.

  1. Immettere un indirizzo di destinazione, un indirizzo IPv4/IPv6 disponibile che può essere usato da BIG-IP per ricevere il traffico client. Esiste un record corrispondente nel server dei nomi di dominio (DNS), consentendo ai client di risolvere l'URL esterno dell'applicazione pubblicata BIG-IP in questo INDIRIZZO IP, anziché nell'applicazione. L'uso di un DNS localhost pc di test è accettabile per i test.

  2. Per Porta del servizio immettere 443 per HTTPS.

  3. Selezionare Abilita porta di reindirizzamento e quindi immettere Porta di reindirizzamento, che reindirizza il traffico client HTTP in ingresso a HTTPS.

  4. Il profilo SSL client abilita il server virtuale per HTTPS, quindi le connessioni client vengono crittografate tramite Transport Layer Security (TLS). Selezionare il profilo SSL client creato per i prerequisiti oppure lasciare il valore predefinito se si esegue il test.

    Screenshot delle voci Indirizzo di destinazione, Porta del servizio e Comuni nelle proprietà del server virtuale.

Proprietà pool

La scheda Pool di applicazioni mostra i servizi dietro un BIG-IP, rappresentato come pool con server applicazioni.

  1. Per Selezionare un pool, creare un nuovo pool o selezionare uno.

  2. Scegliere un metodo di bilanciamento del carico, ad esempio Round Robin.

  3. Per Server del pool selezionare un nodo server o specificare un indirizzo IP e una porta per il nodo back-end che ospita l'applicazione basata sull'intestazione.

    Screenshot delle voci Indirizzo IP/Nome nodo e Porta nelle proprietà del pool.

L'applicazione back-end viene eseguita sulla porta HTTP 80. Se l'applicazione viene eseguita su HTTPS, è possibile passare alla porta 443.

Intestazioni HTTP e Single Sign-On

L'abilitazione dell'accesso SSO consente agli utenti di accedere ai servizi pubblicati big-IP senza dover immettere le credenziali. La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO. Per queste istruzioni, usare l'account di delega Kerberos creato.

Abilitare Kerberos e Mostra impostazione avanzata per immettere quanto segue:

  • Origine nome utente: nome utente preferito da memorizzare nella cache per l'accesso SSO. È possibile specificare una variabile di sessione come origine dell'ID utente, ma session.saml.last.identity funziona meglio perché contiene l'attestazione Microsoft Entra contenente l'ID utente connesso.

  • Origine area di autenticazione utente: obbligatorio se il dominio utente è diverso dall'area di autenticazione Kerberos BIG-IP. In tal caso, la variabile di sessione APM contiene il dominio utente connesso. Ad esempio, session.saml.last.attr.name.domain

    Screenshot della voce Origine nome utente in Intestazioni HTTP e Single Sign-On.

  • KDC: IP del controller di dominio o FQDN se DNS è configurato ed efficiente

  • Supporto UPN: abilitare questa opzione per APM per l'uso del nome dell'entità universale (UPN) per il ticket Kerberos

  • Modello SPN: usare HTTP/%h per informare APM di usare l'intestazione host della richiesta client e compilare il nome dell'entità servizio (SPN) per cui richiede un token Kerberos

  • Autorizzazione invio: disabilitare per le applicazioni che negoziano l'autenticazione anziché ricevere il token Kerberos nella prima richiesta. Ad esempio, Tomcat.

    Screenshot delle voci per la configurazione del metodo SSO

Gestione delle sessioni

Le impostazioni di gestione delle sessioni BIG-IP definiscono le condizioni in base alle quali le sessioni utente terminano o continuano, limitano gli utenti e gli indirizzi IP e le informazioni utente corrispondenti. Fare riferimento all'articolo AskF5 K18390492: Sicurezza | Guida operativa di BIG-IP APM per informazioni dettagliate sulle impostazioni.

Ciò che non è coperto è la funzionalità SLO (Single Log Out), che garantisce sessioni tra il provider di identità, l'IP BIG e l'agente utente terminano quando un utente si disconnette. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola l'URL di disconnessione con l'endpoint SLO di APM. Una disconnessa avviata da IdP dal portale di Microsoft Entra App personali termina la sessione tra BIG-IP e un client.

I metadati della federazione SAML per l'applicazione pubblicata vengono importati dal tenant, fornendo a APM l'endpoint di disconnesso SAML per Microsoft Entra ID. Questa azione garantisce che una disconnessa avviata da SP termini la sessione tra un client e un ID Microsoft Entra. APM deve sapere quando un utente si disconnette dall'applicazione.

Se il portale Webtop BIG-IP accede alle applicazioni pubblicate, viene elaborata una disconnessa da APM per chiamare l'endpoint di disconnesso Microsoft Entra. Si consideri tuttavia uno scenario in cui il portale Webtop BIG-IP non viene usato, quindi l'utente non può indicare a APM di disconnettersi. Anche se l'utente si disconnette dall'applicazione, BIG-IP è oblivioso. Si consideri quindi la disconnessa avviata da SP per garantire che le sessioni terminino in modo sicuro. È possibile aggiungere una funzione SLO al pulsante di disconnessione dell'applicazione, in modo da reindirizzare il client all'endpoint di disconnessione Microsoft Entra SAML o big-IP.

L'URL per l'endpoint di disconnessione SAML per il tenant è disponibile in Endpoint registrazioni > app.

Se non è possibile modificare l'app, prendere in considerazione l'ascolto di BIG-IP per la chiamata di disconnessione dell'applicazione e, dopo aver rilevato la richiesta, viene attivato SLO. Per informazioni su BIG-IP iRules, vedere Le linee guida di Oracle Persone Soft SLO. Per altre informazioni sull'uso di iRules BIG-IP, vedere:

Riepilogo

Questa sezione è una suddivisione delle configurazioni.

Selezionare Distribuisci per eseguire il commit delle impostazioni e verificare che l'applicazione sia nell'elenco delle applicazioni aziendali del tenant.

Configurazioni KCD di Active Directory

Affinché big-IP APM esegua l'accesso SSO all'applicazione back-end per conto degli utenti, configurare KCD nel dominio di Active Directory (AD) di destinazione. La delega dell'autenticazione richiede il provisioning di BIG-IP APM con un account del servizio di dominio.

Ignorare questa sezione se l'account del servizio APM e la delega sono configurati. In caso contrario, accedere a un controller di dominio con un account amministratore.

Per questo scenario, l'applicazione è ospitata nel server APP-VM-01 e viene eseguita nel contesto di un account del servizio denominato web_svc_account, non l'identità del computer. L'account del servizio di delega assegnato a APM è F5-BIG-IP.

Creare un account di delega APM BIG-IP

Big-IP non supporta gli account del servizio gestito del gruppo ( gMSA), quindi creare un account utente standard per l'account del servizio APM.

  1. Immettere il comando di PowerShell seguente. Sostituire i valori UserPrincipalName e SamAccountName con i valori dell'ambiente. Per una maggiore sicurezza, usare un nome SPN dedicato che corrisponda all'intestazione host dell'applicazione.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    Nota

    Quando si usa l'host, qualsiasi applicazione in esecuzione nell'host delega l'account mentre quando si usa HTTPS consentirà solo operazioni correlate al protocollo HTTP.

  2. Creare un nome dell'entità servizio (SPN) per l'account del servizio APM da usare durante la delega all'account del servizio applicazione Web:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{ Add="host/f5-big-ip.contoso.com" }

    Nota

    È obbligatorio includere l'host/parte nel formato UserPrincipleName (host/name.domain@domain) o ServicePrincipleName (host/name.domain).

  3. Prima di specificare il nome SPN di destinazione, visualizzarne la configurazione. Verificare che il nome SPN venga visualizzato nell'account del servizio APM. Delegati dell'account del servizio APM per l'applicazione Web:

    • Verificare che l'applicazione Web sia in esecuzione nel contesto del computer o in un account del servizio dedicato.

    • Per il contesto Computer, usare il comando seguente per eseguire una query sull'oggetto account in Active Directory per visualizzare i nomi SPN definiti. Sostituire <name_of_account> con l'account per l'ambiente.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Ad esempio: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • Per l'account del servizio dedicato, usare il comando seguente per eseguire una query sull'oggetto account in Active Directory per visualizzare i nomi SPN definiti. Sostituire <name_of_account> con l'account per l'ambiente.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Ad esempio:

      Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Se l'applicazione è stata eseguita nel contesto del computer, aggiungere il nome SPN all'oggetto dell'account computer in Active Directory:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Con i nomi SPN definiti, stabilire l'attendibilità per il delegato dell'account del servizio APM a tale servizio. La configurazione varia a seconda della topologia dell'istanza BIG-IP e del server applicazioni.

Configurare l'applicazione BIG-IP e di destinazione nello stesso dominio

  1. Impostare l'attendibilità per l'account del servizio APM per delegare l'autenticazione:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. L'account del servizio APM deve conoscere il nome SPN di destinazione a cui è attendibile delegare. Impostare il nome SPN di destinazione sull'account del servizio che esegue l'applicazione Web:

    Set-ADUser -Identity f5-big-ip -Add @{ 'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com') }

    Nota

    È possibile completare queste attività con lo snap-in Utenti e computer di Active Directory, Microsoft Management Console (MMC) in un controller di dominio.

BIG-IP e applicazione in domini diversi

Nella versione di Windows Server 2012 e versioni successive, la delega vincolata vincolata basata su risorse usa la delega vincolata basata su risorse (RBCD). I vincoli per un servizio vengono trasferiti dall'amministratore di dominio all'amministratore del servizio. Questa delega consente all'amministratore del servizio back-end di consentire o negare l'accesso SSO. Questa situazione crea un approccio diverso alla delega della configurazione, che è possibile quando si usa PowerShell o Active Directory Service Interfaces Editor (ADSI Edit).

È possibile usare la proprietà PrincipalsAllowedToDelegateToAccount dell'account del servizio dell'applicazione (account computer o servizio dedicato) per concedere la delega da BIG-IP. Per questo scenario, usare il comando di PowerShell seguente in un controller di dominio (Windows Server 2012 R2 o versione successiva) nello stesso dominio dell'applicazione.

Usare un nome SPN definito in base a un account del servizio applicazione Web. Per una maggiore sicurezza, usare un nome SPN dedicato che corrisponda all'intestazione host dell'applicazione. Ad esempio, poiché l'intestazione host dell'applicazione Web in questo esempio è myexpenses.contoso.com, aggiungere HTTP/myexpenses.contoso.com all'oggetto account del servizio applicazioni in Active Directory (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Per i comandi seguenti, prendere nota del contesto.

Se il servizio web_svc_account viene eseguito nel contesto di un account utente, usare questi comandi:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com

''Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount'

$big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Se il servizio web_svc_account viene eseguito nel contesto di un account computer, usare questi comandi:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com

Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount

$big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Per altre informazioni, vedere Delega vincolata Kerberos tra domini.

Visualizzazione app

Da un browser connettersi all'URL esterno dell'applicazione o selezionare l'icona dell'applicazione nel portale Microsoft MyApps. Dopo aver eseguito l'autenticazione in Microsoft Entra ID, si viene reindirizzati al server virtuale BIG-IP per l'applicazione ed è stato eseguito l'accesso tramite SSO.

Screenshot dell'URL esterno dell'applicazione

Per una maggiore sicurezza, le organizzazioni che usano questo modello possono bloccare l'accesso diretto all'applicazione, forzando un percorso rigoroso tramite BIG-IP.

Accesso guest Microsoft Entra B2B

L'accesso guest Microsoft Entra B2B è supportato per questo scenario, con identità guest che passano dal tenant di Microsoft Entra alla directory usata dall'applicazione per l'autorizzazione. Senza una rappresentazione locale di un oggetto guest in AD, BIG-IP non riceve un ticket Kerberos per L'accesso SSO kerberos all'applicazione back-end.

Distribuzione avanzata

I modelli di configurazione guidata non possono avere la flessibilità necessaria per soddisfare alcuni requisiti. Per questi scenari, vedere Configurazione avanzata per l'accesso SSO basato su Kerberos.

In alternativa, in BIG-IP è possibile disabilitare la modalità di gestione strict della configurazione guidata. È possibile modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni viene automatizzata tramite i modelli basati su procedura guidata.

È possibile passare a Configurazione guidata di accesso > e selezionare l'icona a forma di lucchetto all'estrema destra della riga per le configurazioni delle applicazioni.

Screenshot dell'opzione lucchetto.

A questo punto, le modifiche apportate all'interfaccia utente della procedura guidata non sono possibili, ma tutti gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione vengono sbloccati per la gestione.

Nota

Riabilitare la modalità strict e distribuire una configurazione sovrascrive le impostazioni eseguite all'esterno dell'interfaccia utente di configurazione guidata. È pertanto consigliabile usare il metodo di configurazione avanzato per i servizi di produzione.

Risoluzione dei problemi

Se si risopcludono i problemi relativi all'accesso Single Sign-On Kerberos, tenere presente i concetti seguenti.

  • Kerberos è sensibile al tempo, quindi richiede server e client impostati sull'ora corretta e, quando possibile, sincronizzati con un'origine ora affidabile
  • Verificare che il nome host per il controller di dominio e l'applicazione Web siano risolvibili in DNS
  • Verificare che nell'ambiente AD non siano presenti nomi SPN duplicati: eseguire la query seguente nella riga di comando in un PC di dominio: setspn -q HTTP/my_target_SPN

È possibile fare riferimento alle indicazioni sul proxy dell'applicazione per verificare che un'applicazione IIS sia configurata per KCD. Vedere anche l'articolo AskF5, metodo Di accesso Single Sign-On Kerberos.

Analisi dei log: aumentare il livello di dettaglio

Usare la registrazione BIG-IP per isolare i problemi di connettività, SSO, violazioni dei criteri o mapping di variabili non configurati correttamente. Iniziare la risoluzione dei problemi aumentando il livello di dettaglio del log.

  1. Passare a Access Policy > Overview Event Logs (Panoramica > dei criteri > di accesso) Impostazioni.
  2. Selezionare la riga per l'applicazione pubblicata, quindi Modificare > i log di sistema di accesso.
  3. Selezionare Debug dall'elenco SSO e quindi selezionare OK.

Riprodurre il problema ed esaminare i log. Al termine, ripristinare la funzionalità perché la modalità dettagliata genera molti dati.

Pagina di errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, il problema potrebbe riguardare l'accesso SSO da Microsoft Entra ID all'IP BIG.

  1. Passare a Access > Overview Access Reports (Accedere ai report di accesso).>
  2. Per visualizzare i log per gli indizi, eseguire il report per l'ultima ora.
  3. Usare il collegamento Visualizza variabili di sessione per comprendere se APM riceve le attestazioni previste dall'ID Microsoft Entra.

Richiesta back-end

Se non viene visualizzata alcuna pagina di errore, il problema è probabilmente correlato alla richiesta back-end o SSO dall'istanza big-IP all'applicazione.

  1. Passare a Panoramica dei > criteri > di accesso Sessioni attive.
  2. Selezionare il collegamento per la sessione attiva. Il collegamento Visualizza variabili in questo percorso può aiutare a determinare i problemi di KCD della causa radice, in particolare se big-IP APM non riesce a ottenere gli identificatori di dominio e utente corretti dalle variabili di sessione.

Per altre informazioni, vedi: