Single-Tier SaaS アプリの F5 Kerberos 制約付き委任を構成する

この記事では、F5 と Microsoft Entra ID を統合する方法について説明します。 F5 を Microsoft Entra ID と統合すると、次のことが可能になります。

• F5 へのアクセス権を持つユーザーを Microsoft Entra ID で管理する。
• ユーザーが自分の Microsoft Entra アカウントを使用して F5 に自動的にサインインできるようにする。
• アカウントを一元的に管理する。

SaaS アプリと Microsoft Entra ID の統合の詳細については、「 Microsoft Entra ID を使用したアプリケーション アクセスとシングル サインオンとは」を参照してください。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

• アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 アカウントをまだお持ちでない場合は、 無料でアカウントを作成できます。
• 次のいずれかのロール:
  • アプリケーション管理者
  • クラウド アプリケーション管理者
  • アプリケーション所有者。

• F5 でのシングル サインオン (SSO) が有効なサブスクリプション。

• 共同ソリューションをデプロイするには次のライセンスが必要です。

  • F5 BIG-IP® Best バンドル (または)

  • F5 BIG-IP Access Policy Manager™ (APM) スタンドアロン ライセンス

  • 既存の BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) に対する F5 BIG-IP Access Policy Manager™ (APM) アドオン ライセンス

  • 上記のライセンスに加えて、F5 システムには次のライセンスが付与される場合があります。

    • URL カテゴリ データベースを使用するための URL フィルタリング サブスクリプション

    • 既知の攻撃者や悪意のあるトラフィックを検出してブロックするための F5 IP Intelligence サブスクリプション

    • 強力な認証用のデジタル キーを保護、管理するためのネットワーク ハードウェア セキュリティ モジュール (HSM)

• F5 BIG-IP システムは、APM モジュールと共にプロビジョニングされます (LTM はオプション)。

• オプションですが、高可用性 (HA) 用のフローティング IP アドレスを持つアクティブ スタンバイ ペアを含む 同期/フェールオーバー デバイス グループ (S/F DG) に F5 システムをデプロイすることを強くお勧めします。 Link Aggregation Control Protocol (LACP) を使用すれば、さらなるインターフェイスの冗長性を実現できます。 LACP は、接続されている物理インターフェイスを 1 つの仮想インターフェイス (集計グループ) として管理し、そのグループ内のインターフェイスに発生したエラーを検出します。

• Kerberos アプリケーションに関して、制約付き委任に使用するオンプレミス AD サービス アカウント。 AD 委任アカウントの作成については、 F5 ドキュメント を参照してください。

アクセス ガイド付き構成

• アクセス ガイド付き構成は、F5 TMOS バージョン 13.1.0.8 以降でサポートされます。 BIG-IP システムで 13.1.0.8 より前のバージョンが実行されている場合は、「 詳細な構成 」セクションを参照してください。

• アクセスガイド付き構成では、新しく合理化されたユーザー エクスペリエンスが提供されます。 このワークフローベースのアーキテクチャにより、選択したトポロジに合わせて調整された直感的で再入可能な構成ステップが提供されます。

• 構成に進む前に、downloads.f5.com から最新のユース ケース パックをダウンロードして、ガイド付き構成 をアップグレードします。 アップグレードするには、以下の手順に従います。

  Note

  以下のスクリーンショットは、リリースされた最新バージョン (BIG-IP 15.0、AGC バージョン 5.0) のものです。 13.1.0.8 から最新の BIG-IP バージョンでは、このユース ケースに下記の構成手順が有効です。

1. F5 BIG-IP Web UI で [アクセス] >> [ガイド付き構成] を選択します。

2. [ ガイド付き構成] ページで、左上隅にある [ガイド付き構成のアップグレード ] を選択します。

   

3. [アップグレード ガイドの構成] ポップ画面で、[ ファイルの選択 ] を選択してダウンロードしたユース ケース パックをアップロードし、[ アップロードとインストール ] ボタンを選択します。

   

4. アップグレードが完了したら、[ 続行 ] ボタンを選択します。

   

シナリオの説明

この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

• F5 では、SP および IDP による SSO がサポートされます
• F5 SSO は、次の 3 つの異なる方法で構成できます。

• Kerberos アプリケーションの F5 シングル サインオンを構成する

• ヘッダー ベース アプリケーションの F5 シングル サインオンを構成する

• Advanced Kerberos アプリケーションの F5 シングル サインオンを構成する

キー認証のシナリオ

先進認証プロトコル (OpenID Connect、SAML、WS-Fed など) に対する Microsoft Entra のネイティブ統合のサポートとは別に、F5 は、Microsoft Entra ID を使用することで、内部と外部の両方のアクセスに関してレガシベース認証アプリの安全なアクセスを拡張し、それらのアプリケーションへの最新のシナリオ (パスワードレス アクセスなど) を実現します。 これには、次のものが含まれます。

• ヘッダーベースの認証アプリ

• Kerberos 認証アプリ

• 匿名認証または非ビルトイン認証アプリ

• NTLM 認証アプリ (ユーザーに対する二重プロンプトでの保護)

• フォーム ベース アプリケーション (ユーザーに対する二重プロンプトでの保護)

ギャラリーからの F5 の追加

Microsoft Entra ID への F5 の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に F5 を追加する必要があります。

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
2. Entra ID>のEnterprise apps>に移動し、新しいアプリケーションを選択します。
3. [ギャラリーからの追加] セクションで、検索ボックスに「F5」と入力します。
4. 結果パネルから F5 キー を押し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します。

F5 に対して Microsoft Entra シングル サインオンを構成してテストする

B.Simon というテスト ユーザーを使用して、F5 に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるには、Microsoft Entra ユーザーと F5 の関連ユーザーとの間にリンク関係を確立する必要があります。

F5 で Microsoft Entra SSO を構成してテストするには、次の構成要素を順に実行します。

1. Microsoft Entra SSO を構成 する - ユーザーがこの機能を使用できるようにします。
   1. Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
   2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
2. F5 SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
   1. F5 テストユーザーの作成 - B.Simon に対応するユーザーを F5 で作成し、Microsoft Entra のユーザー表現にリンクさせます。
3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO を構成する

Microsoft Entra SSO を有効にするには、次のステップに従います。

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

2. Entra ID>Enterprise apps>F5>シングルサインオンに移動します。

3. [ シングル サインオン方法の選択 ] ページで、[SAML] を選択 します。

4. [ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の編集/ペン アイコンを選択して設定を編集します。

   

5. [ 基本的な SAML 構成] セクションで、 IDP 開始モードでアプリケーションを構成する場合は、次のフィールドの値を入力します。

   a. [ 識別子 ] テキスト ボックスに、次のパターンを使用して URL を入力します。 https://<YourCustomFQDN>.f5.com/

   b。 [ 応答 URL ] テキスト ボックスに、次のパターンを使用して URL を入力します。 https://<YourCustomFQDN>.f5.com/

6. SP 開始モードでアプリケーションを構成する場合は、[追加の URL の設定] を選択し、次の手順を実行します。

   [ サインオン URL ] テキスト ボックスに、次のパターンを使用して URL を入力します。 https://<YourCustomFQDN>.f5.com/

   Note

   これらの値は実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 これらの値を取得するには、 F5 クライアント サポート チーム に問い合わせてください。 「 基本的な SAML 構成 」セクションに示されているパターンを参照することもできます。

7. [ SAML でのシングル サインオンの設定 ] ページの [ SAML 署名証明書 ] セクションで、 フェデレーション メタデータ XML と 証明書 (Base64) を探し、[ ダウンロード ] を選択して証明書をダウンロードし、コンピューターに保存します。

   

8. [ F5 のセットアップ ] セクションで、要件に基づいて適切な URL をコピーします。

   

Microsoft Entra テスト ユーザーの作成と割り当て

ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。

F5 SSO の構成

• ヘッダー ベース アプリケーションの F5 シングル サインオンを構成する

• Advanced Kerberos アプリケーションの F5 シングル サインオンを構成する

Kerberos アプリケーション用に F5 シングル サインオンを構成する

ガイド付き構成

1. 新しい Web ブラウザー ウィンドウを開き、F5 (Kerberos) 企業サイトに管理者としてサインインして、次の手順を実行します。

2. セットアップ プロセスの後半で使用される F5 にメタデータ証明書をインポートする必要があります。

3. [System > Certificate Management > Traffic Certificate Management > SSL Certificate List] に移動します。 右上隅にある [インポート] を選択します。 証明書名を指定します (構成の後半で参照されます)。 [証明書のソース] で、[ファイルのアップロード] を選択し、SAML シングル サインオンの構成時に Azure からダウンロードした証明書を指定します。 [ インポート] を選択します。

   

4. さらに、 アプリケーション ホスト名には SSL 証明書が必要です。[System > Certificate Management > Traffic Certificate Management > SSL Certificate List] に移動します。 右上隅にある [インポート] を選択します。 インポートの種類 は PKCS 12 (IIS) です。 キー名 (構成の後半で参照) を指定し、PFX ファイルを指定します。 PFX の パスワード を指定します。 [ インポート] を選択します。

   Note

   この例では、アプリ名が Kerbapp.superdemo.live、キー名がワイルドカード証明書を使用しています WildCard-SuperDemo.live

   

5. ガイド付きエクスペリエンスを使用して、Microsoft Entra フェデレーションとアプリケーション アクセスを設定します。 F5 BIG-IP の [Main](メイン) に移動し、[Access](アクセス) > [Guided Configuration](ガイド付き構成) > [Federation](フェデレーション) > [SAML Service Provider](SAML サービス プロバイダー) の順に選択します。 [ 次へ ] を選択し、[ 次へ ] を選択して構成を開始します。

   

   

6. 構成名を指定します。 エンティティ ID (Microsoft Entra アプリケーション構成で構成したのと同じ) を指定します。 ホスト名を指定します。 参照用の 説明 を追加します。 残りの既定のエントリをそのまま使用し、[ 保存] & [次へ] を選択します。

   

7. この例では、ポート 443 で 192.168.30.200 として新しい仮想サーバーを作成しています。 宛先アドレスに仮想サーバーの IP アドレスを指定 します。 クライアント SSL プロファイルを選択し、[新規作成] を選択します。 以前にアップロードしたアプリケーション証明書 (この例ではワイルドカード証明書) と関連付けられているキーを指定し、[ 保存] & [次へ] を選択します。

   Note

   この例では、内部 Web サーバーがポート 80 で稼動しており、それを 443 で公開したいと考えています。

   

8. IdP コネクタ設定方法を選択し、メタデータを指定し、ファイルの選択を選択して、Microsoft Entra ID から先ほどダウンロードしたメタデータ XML ファイルをアップロードします。 SAML IDP コネクタの一意の 名前 を指定します。 前にアップロードした メタデータ署名証明書 を選択します。 [保存] & [次へ] を選択します。

   

9. [ プールの選択] で、[ 新規作成 ] を指定します (または、既に存在するプールを選択します)。 他の値は既定値のままにしてください。 [プール サーバー] で、[IP アドレス /ノード名] に IP アドレスを入力します。 ポートを指定 します。 [保存] & [次へ] を選択します。

   

10. [シングル Sign-On 設定] 画面で、[ シングル サインオンを有効にする] を選択します。

11. [Selected Single Sign-On Type](選択されたシングル サインオンの種類) で [Kerberos] を選択します。 session.saml.last.Identity を、ユーザー名ソース の下の session.saml.last.attr.name.Identity に置き換えます (この変数は、Microsoft Entra ID の要求マッピングを使用して設定します)

12. [詳細設定の表示] を選択する

13. [Kerberos 領域] に「ドメイン名」と入力します。

14. [ アカウント名/アカウント パスワード] で、APM 委任アカウントとパスワードを指定します。

15. [KDC] フィールドにドメイン コントローラー IP を指定します。

16. [保存] & [次へ] を選択します。

17. このガイダンスでは、エンドポイントチェックをスキップします。 詳細については、F5 のドキュメントを参照してください。 画面で[ 保存]、[次へ]の順に選択します。

18. 既定値をそのまま使用し、[ 保存] & [次へ] を選択します。 SAML セッション管理設定の詳細については、F5 のドキュメントを参照してください。

    

19. 概要画面を確認し、[ デプロイ ] を選択して BIG-IP を構成します。

    

20. アプリケーションが構成されたら、[ 完了] を選択します。

    

高度な構成

Note

リファレンス については、こちらを選択してください

Active Directory AAA サーバーを構成する

Access Policy Manager (APM) がユーザーの認証に使用するドメイン コントローラーと資格情報を指定するには、APM で Active Directory AAA サーバーを構成します。

1. メイン タブで、Active Directory > AAA サーバ>アクセス ポリシーを選択します。 Active Directory サーバーのリスト画面が表示されます。

2. 作成を選択します。 新しいサーバーのプロパティ画面が表示されます。

3. [ 名前 ] フィールドに、認証サーバーの一意の名前を入力します。

4. [ ドメイン名] フィールドに、Windows ドメインの名前を入力します。

5. [サーバー接続] 設定で、次のいずれかのオプションを選択します。

   • AAA サーバの高可用性を設定するには、[ プールを使用 ]を選択します。

   • スタンドアロン機能用に AAA サーバを設定するには、[ ダイレクト ]を選択します。

6. [ダイレクト] を選択した場合は、[ドメイン コントローラー] フィールドに名前を入力します。

7. [ プールの使用] を選択した場合は、プールを構成します。

   • [ ドメイン コントローラー プール名] フィールドに名前を入力 します。

   • プール内の ドメイン コントローラー を指定するには、それぞれに IP アドレスとホスト名を入力し、[ 追加 ] ボタンを選択します。

   • AAA サーバの正常性を監視するには、ヘルス モニタを選択するオプションがあります。この場合は 、gateway_icmp モニタのみが適切です。サーバー プール モニター の一覧から選択できます。

8. [ 管理者名] フィールドに、Active Directory の管理アクセス許可を持つ管理者の大文字と小文字が区別される名前を入力します。 APM では、AD クエリの [管理者名] フィールドと [管理者パスワード ] フィールドの情報が使用されます。 Active Directory が匿名クエリ用に構成されている場合は、管理者名を指定する必要はありません。 それ以外の場合は、パスワード関連機能をサポートするために、Active Directory サーバーへのバインド、ユーザー グループ情報のフェッチ、Active Directory パスワード ポリシーのフェッチを行うのに十分な権限を持つアカウントが必要です (たとえば、AD クエリ アクションで [有効期限前にパスワードを変更するようにユーザーに求める] オプションを選択した場合など、APM はパスワード ポリシーをフェッチする必要があります)。この構成で管理者アカウント情報を指定しない場合、APM はユーザー アカウントを使用して情報をフェッチします。 これは、ユーザー アカウントに必要な権限がある場合に機能します。

9. [ 管理者パスワード ] フィールドに、ドメイン名に関連付けられている管理者パスワードを入力します。

10. [ 管理者パスワードの確認 ] フィールドで、[ ドメイン名 ] 設定に関連付けられている管理者パスワードを再入力します。

11. [ グループ キャッシュの有効期間 ] フィールドに日数を入力します。 既定の有効期間は 30 日です。

12. [ パスワード セキュリティ オブジェクト キャッシュの有効期間 ] フィールドに日数を入力します。 既定の有効期間は 30 日です。

13. [Kerberos 事前認証の暗号化の種類] ボックスの一覧から、暗号化の種類を選択します。 既定値は [なし] です。 暗号化の種類を指定した場合は、BIG-IP システムにより、最初の認証サービス要求 (AS-REQ) パケット内に Kerberos 事前認証データが追加されます。

14. [ タイムアウト ] フィールドに、AAA サーバのタイムアウト間隔 (秒単位) を入力します。 (この設定は省略可能です)。

15. [ 完了] を選択します。 新しいサーバーがリストに表示されます。 これで、新しい Active Directory サーバーが Active Directory サーバー リストに追加されます。

    

SAML の構成

1. セットアップ プロセスの後半で使用される F5 にメタデータ証明書をインポートする必要があります。 [System > Certificate Management > Traffic Certificate Management > SSL Certificate List] に移動します。 右上隅にある [インポート] を選択します。

   

2. SAML IDP を設定するには、[ ACCESS > Federation > SAML: Service Provider > External Idp Connectors] に移動し、[ メタデータから > 作成] を選択します。

   

   

   

   

   

   

3. SAML SP を設定するには、[ Access > Federation > SAML Service Provider > Local SP Services ] に移動し、[ 作成] を選択します。 次の情報を入力し、[ OK] を選択します。

   • 種類名: KerbApp200SAML
   • [Entity ID*](エンティティ ID*): https://kerb-app.com.cutestat.com
   • [SP Name Settings](SP 名の設定)
   • [Scheme](スキーム): https
   • [Host](ホスト): kerbapp200.superdemo.live
   • [Description](説明): kerbapp200.superdemo.live

   

   b。 SP 構成である KerbApp200SAML を選択し、[IdP コネクタのバインドまたはバインド解除] を選択します。

   

   

   c. [ 新しい行の追加] を選択し、前の手順で作成した 外部 IdP コネクタ を選択し、[ 更新] を選択して、[ OK] を選択します。

   

4. Kerberos SSO を構成するには、[ Access > Single Sign-on > Kerberos に移動し、情報を入力して [完了] を選択します。

   Note

   Kerberos 委任アカウントを作成して指定する必要があります。 KCD セクションを参照してください (変数リファレンスについては、付録を参照してください)

   • ユーザー名のソース: session.saml.last.attr.name。http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

   • [ユーザー領域のソース] : session.logon.last.domain

     

5. アクセス プロファイルを構成するには、 アクセス > プロファイル/ポリシー > アクセス プロファイル (セッション ポリシーごと) に移動し、[ 作成] を選択し、次の情報を入力して [完了] を選択します。

   • 名前:KerbApp200

   • [Profile Type](プロファイルの種類): All

   • [Profile Scope](プロファイルのスコープ): プロファイル

   • 言語:英語

     

6. KerbApp200 という名前を選択し、次の情報を入力して [ 更新] を選択します。

   • [Domain Cookie](ドメイン Cookie): superdemo.live

   • [SSO Configuration](SSO 構成): KerAppSSO_sso

     

7. アクセス ポリシー を選択し、プロファイル "KerbApp200" の アクセス ポリシーの編集 を選択します。

   

   

   

   • session.logon.last.usernameUPN expr {[mcget {session.saml.last.identity}]}

   • session.ad.lastactualdomain TEXT superdemo.live

     

   • (userPrincipalName=%{session.logon.last.usernameUPN})

     

     

   • session.logon.last.username expr { "[mcget {session.ad.last.attr.sAMAccountName}]" }

     

   • mcget {session.logon.last.username}

   • mcget {session.logon.last.password

8. 新しいノードを追加するには、 ローカル トラフィック > ノード > ノード リストに移動し、[作成] を選択し、次の情報を入力して、[ 完了] を選択します。

   • 名前:KerbApp200

   • 説明:KerbApp200

   • Address:192.168.20.200

     

9. 新しいプールを作成するには、[ Local Traffic > Pools > Pool List] に移動し、[作成] を選択し、次の情報を入力して [完了] を選択します。

   • 名前:KerbApp200-Pool

   • 説明:KerbApp200-Pool

   • [Health Monitors](正常性モニター): http

   • Address:192.168.20.200

   • [Service Port](サービス ポート): 81

     

10. 仮想サーバーを作成するには、ローカル トラフィック > 仮想サーバー > 仮想サーバーの一覧 > + に移動し、次の情報を入力して [ 完了] を選択します。

    • 名前:KerbApp200

    • [Destination Address/Mask](接続先のアドレス/マスク): [Host](ホスト) 192.168.30.200

    • [Service Port](サービス ポート): [Port](ポート) 443 HTTPS

    • [Access Profile](アクセス プロファイル): KerbApp200

    • 前の手順で作成したアクセス プロファイルを指定する

      

      

Kerberos 委任の設定

Note

参考までに、 ここを選択してください

• 手順 1: 委任アカウントを作成する

  例：

  • ドメイン名: superdemo.live

  • Sam アカウント名: big-ipuser

  • New-ADUser -Name "APM Delegation Account" -UserPrincipalName host/big-ipuser.superdemo.live@superdemo.live -SamAccountName "big-ipuser" -PasswordNeverExpires $true -Enabled $true -AccountPassword (Read-Host -AsSecureString "Password!1234")

• 手順 2: SPN の設定 (APM 委任アカウント)

  例：

  • setspn –A host/big-ipuser.superdemo.live big-ipuser

• 手順 3: SPN 委任 (App Service アカウントの場合)

  F5 委任アカウントに適切な委任を設定します。

  次の例では、FRP-App1.superdemo.live の KCD に対して APM 委任アカウントが構成されています。 live アプリの KCD に対して APM 委任アカウントが構成されています。

  

• 上記の参照ドキュメントのここに記載されているように詳細を指定します。

F5 テスト ユーザーの作成

このセクションでは、F5 で B.Simon というユーザーを作成します。 F5 クライアント サポート チームと協力して、F5 プラットフォームにユーザーを追加します。 シングル サインオンを使用する前に、ユーザーを作成し、有効化する必要があります。

SSO のテスト

このセクションでは、アクセス パネルを使用して Microsoft Entra シングル サインオン構成をテストします。

アクセス パネルで [F5] タイルを選択すると、SSO を設定した F5 に自動的にサインインします。 アクセス パネルの詳細については、「アクセス パネル の概要」を参照してください。

その他のリソース

• SaaS アプリと Microsoft Entra ID を統合する方法に関する記事の一覧

• Microsoft Entra ID を使用したアプリケーション アクセスとシングル サインオンとは

• Microsoft Entra ID の条件付きアクセスとは

• ヘッダー ベース アプリケーションの F5 シングル サインオンを構成する

• Advanced Kerberos アプリケーションの F5 シングル サインオンを構成する

• セキュリティで保護されたハイブリッド アクセスのための F5 BIG-IP APM と Microsoft Entra の統合

• セキュリティで保護されたハイブリッド アクセスのために Azure IaaS に F5 BIG-IP Virtual Edition VM をデプロイする記事

• Microsoft Entra パスワードレス VPN 用 F5 BIG-IP のシングルサインオン統合に関する記事