Руководство по настройке простого входа F5 BIG-IP для единого входа Kerberos
Узнайте, как защитить приложения на основе Kerberos с помощью идентификатора Microsoft Entra с помощью F5 BIG-IP Easy Button 16.1.
Интеграция BIG-IP с идентификатором Microsoft Entra id обеспечивает множество преимуществ, в том числе:
- Улучшенная система управления. См. платформу нулевого доверия для обеспечения удаленной работы и дополнительные сведения о предварительной проверки подлинности Microsoft Entra.
- Применение политик организации. См. раздел "Что такое условный доступ?".
- Полный единый вход между идентификатором Microsoft Entra ID и опубликованными службами BIG-IP
- Управление удостоверениями и доступом с одной плоскости управления в Центре администрирования Microsoft Entra.
Дополнительные сведения о преимуществах см. в статье об интеграции F5 BIG-IP и Microsoft Entra.
Описание сценария
Этот сценарий является устаревшим приложением, использующим проверку подлинности Kerberos, также известной как встроенная проверка подлинности Windows (IWA), для доступа к защищенному содержимому.
Так как это устаревшая версия, приложение не имеет современных протоколов для поддержки прямой интеграции с идентификатором Microsoft Entra. Вы можете модернизировать приложение, но это затратно, требует планирования и приводит к риску потенциального простоя. Вместо этого контроллер доставки приложений F5 BIG-IP (ADC) мостит разрыв между устаревшим приложением и современной плоскостей управления идентификаторами путем перехода протокола.
Big-IP перед приложением включает наложение службы с помощью предварительной проверки подлинности Microsoft Entra и единого входа на основе заголовков, повышая уровень безопасности приложения.
Заметка
Организации получают удаленный доступ к этому типу приложения с помощью прокси приложения Microsoft Entra
Архитектура сценария
Решение для безопасного гибридного доступа (SHA) для этого сценария содержит следующие компоненты:
- Приложение: опубликованная служба BIG-IP для защиты microsoft Entra SHA. Узел приложения присоединен к домену.
- Идентификатор Microsoft Entra: поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход на основе SAML в BIG-IP. С помощью единого входа Идентификатор Microsoft Entra предоставляет BIG-IP с необходимыми атрибутами сеанса.
- KDC: роль Центра распространения ключей (KDC) на контроллере домена (DC), выдача билетов Kerberos
- BIG-IP: обратный прокси-сервер и поставщик служб SAML (SP) в приложение, делегируя проверку подлинности поставщику удостоверений SAML перед выполнением единого входа на основе Kerberos в серверное приложение.
SHA для этого сценария поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующем рисунке показан поток sp.
- Пользователь подключается к конечной точке приложения (BIG-IP)
- Диспетчер политик доступа BIG-IP (APM) перенаправляет пользователя на идентификатор Microsoft Entra (SAML IdP)
- Пользователь предварительной проверки подлинности идентификатора Microsoft Entra и применяет все примененные политики условного доступа.
- Пользователь перенаправляется на BIG-IP (SAML SP) и выполняется единый вход с помощью выданного токена SAML
- Запросы Kerberos big-IP из KDC
- BIG-IP отправляет запрос в серверное приложение, а также билет Kerberos для единого входа
- Приложение авторизует запрос и возвращает полезные данные
Необходимые условия
Предварительный интерфейс BIG-IP не требуется, но вам потребуется:
- Бесплатная учетная запись Azure или более поздней версии
- BIG-IP или развертывание виртуального выпуска BIG-IP (VE) в Azure
- Любая из следующих лицензий F5 BIG-IP:
- Лучший пакет F5 BIG-IP®
- Автономный APM F5 BIG-IP
- Лицензия надстройки F5 BIG-IP APM на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
- 90-дневная бесплатная пробная лицензия BIG-IP
- Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra ID, или созданные в идентификаторе Microsoft Entra и перетекаются обратно в локальный каталог.
- Одна из следующих ролей: администратор облачных приложений или администратор приложений.
- Ssl-веб-сертификат для служб публикации по протоколу HTTPS или использование сертификатов BIG-IP по умолчанию во время тестирования
- Приложение Kerberos или узнайте, как настроить единый вход с помощью службы IIS (IIS) в Windows.
Методы конфигурации BIG-IP
В этом руководстве описывается руководство по настройке 16.1 с помощью шаблона "Простая кнопка". С помощью кнопки Easy администраторы не отправляются обратно и вперед между идентификатором Microsoft Entra и BIG-IP, чтобы включить службы для SHA. Мастер управляемой конфигурации APM и Microsoft Graph обрабатывают управление развертываниями и политиками. Интеграция между BIG-IP APM и Идентификатором Microsoft Entra гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ Microsoft Entra, что снижает административные издержки.
Заметка
Замените примеры строк или значений в этой статье этими строками для вашей среды.
Регистрация простой кнопки
Кончик
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
платформа удостоверений Майкрософт доверяет службе или клиенту, а затем может получить доступ к Microsoft Graph. Это действие создает регистрацию приложения клиента для авторизации доступа easy Button к Graph. С помощью этих разрешений BIG-IP отправляет конфигурации для установления доверия между экземпляром SAML SP для опубликованного приложения и идентификатором Microsoft Entra в качестве поставщика удостоверений SAML.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям> удостоверений>Регистрация приложений > Новая регистрация.
Введите отображаемое имя приложения. Например, кнопка "Простой" F5 BIG-IP.
Укажите, кто может использовать учетные записи приложений >только в этом каталоге организации.
Выберите " Зарегистрировать".
Перейдите к разрешениям API и авторизации следующих разрешений приложения Microsoft Graph:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Предоставьте согласие администратора для вашей организации.
В сертификатах и секретах создайте новый секрет клиента. Запишите этот секрет.
В обзоре обратите внимание на идентификатор клиента и идентификатор клиента.
Настройка простой кнопки
Инициируйте интерактивную конфигурацию APM, чтобы запустить шаблон easy Button.
Перейдите к интеграции Microsoft с интерактивной конфигурацией > и > выберите приложение Microsoft Entra.
Просмотрите шаги конфигурации и нажмите кнопку "Далее"
Чтобы опубликовать приложение, выполните следующие действия.
Свойства конфигурации
Вкладка "Свойства конфигурации" создает конфигурацию приложения BIG-IP и объект единого входа. Раздел сведений о учетной записи службы Azure может представлять клиент, зарегистрированный в клиенте Microsoft Entra ранее в качестве приложения. Эти параметры позволяют клиенту OAuth BIG-IP зарегистрировать samL SP в клиенте с помощью свойств единого входа, настроенных вручную. Easy Button выполняет это действие для каждой опубликованной и включенной службы BIG-IP для SHA.
Некоторые параметры являются глобальными, которые можно повторно использовать для публикации дополнительных приложений, сокращая время развертывания и усилия.
- Укажите уникальное имя конфигурации.
- Включите единый вход (единый вход) и заголовки HTTP.
- Введите идентификатор клиента, идентификатор клиента и секрет клиента, который вы указали при регистрации клиента Easy Button в клиенте.
- Подтвердите подключение BIG-IP к клиенту.
- Нажмите кнопку "Далее".
Поставщик услуг
Параметры поставщика услуг — это свойства для экземпляра SAML SP приложения, защищенного с помощью SHA.
Для узла введите полное доменное имя (FQDN) приложения, защищенного.
Для идентификатора сущности введите идентификатор Microsoft Entra ID, который используется для идентификации samL SP, запрашивающей токен.
Необязательные параметры безопасности указывают, шифрует ли идентификатор Microsoft Entra утверждения SAML. Шифрование утверждений между идентификатором Microsoft Entra ИД и APM BIG-IP обеспечивает большую уверенность в том, что маркеры содержимого не могут быть перехвачены, а личные или корпоративные данные не могут быть скомпрометированы.
- В списке закрытого ключа расшифровки утверждений выберите "Создать".
- Нажмите кнопку "ОК". Откроется диалоговое окно импорта SSL-сертификата и ключей .
- Выберите PKCS 12 (IIS), чтобы импортировать сертификат и закрытый ключ.
- После подготовки закройте вкладку браузера, чтобы вернуться на главную вкладку.
- Проверьте включение зашифрованного утверждения.
- Если вы включили шифрование, выберите сертификат из списка закрытых ключей расшифровки утверждений. Этот закрытый ключ предназначен для сертификата, который big-IP APM использует для расшифровки утверждений Microsoft Entra.
- Если вы включили шифрование, выберите сертификат из списка сертификатов расшифровки утверждений. BIG-IP отправляет этот сертификат в идентификатор Microsoft Entra для шифрования выданных утверждений SAML.
Идентификатор Microsoft Entra
В этом разделе определяются свойства для ручной настройки нового приложения SAML BIG-IP в клиенте Microsoft Entra. Easy Button содержит шаблоны приложений для Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP Enterprise Resource Planning (ERP) и шаблона SHA для других приложений.
В этом сценарии выберите F5 BIG-IP APM Microsoft Entra ID Integration > Add.
Конфигурация Azure
Введите отображаемое имя приложения, которое BIG-IP создает в клиенте Microsoft Entra, и значок на портале MyApps.
Оставьте URL-адрес входа (необязательно), чтобы включить вход, инициированный поставщиком удостоверений.
Щелкните значок обновления рядом с ключом подписывания и сертификатом подписи, чтобы найти импортированный сертификат.
В парольной фразе ключа подписывания введите пароль сертификата.
Включите параметр подписи (необязательно), чтобы убедиться, что BIG-IP принимает маркеры и утверждения, подписанные идентификатором Microsoft Entra.
Группы пользователей и пользователей динамически запрашиваются из клиента Microsoft Entra и разрешают доступ к приложению. Добавьте пользователя или группу для тестирования, в противном случае доступ запрещен.
Атрибуты пользователя и утверждения
Когда пользователь проходит проверку подлинности в идентификаторе Microsoft Entra, он выдает токен SAML с набором утверждений и атрибутов по умолчанию, определяющим пользователя. На вкладке "Атрибуты пользователя" и "Утверждения" отображаются утверждения по умолчанию, которые будут выдаваться для нового приложения. Используйте его для настройки дополнительных утверждений.
Инфраструктура основана на суффиксе домена .com, используемом внутренне и внешне. Дополнительные атрибуты не требуются для реализации функционального единого входа Kerberos с ограниченным делегированием (KCD SSO). Дополнительные сведения см. в руководстве по нескольким доменам или входу пользователей с помощью альтернативного суффикса.
Дополнительные атрибуты пользователя
Вкладка "Дополнительные атрибуты пользователя" поддерживает различные распределенные системы, требующие использования атрибутов , хранящихся в других каталогах, для расширения сеанса. Атрибуты, полученные из источника протокола LDAP, можно внедрить как заголовки единого входа, чтобы управлять доступом на основе ролей, идентификаторов партнеров и т. д.
Заметка
Эта функция не имеет корреляции с идентификатором Microsoft Entra, но является другим источником атрибутов.
Политика условного доступа
Политики условного доступа применяются после предварительной проверки подлинности Microsoft Entra для управления доступом на основе устройств, приложений, расположений и сигналов риска.
В представлении "Доступные политики" отображаются политики условного доступа без действий на основе пользователей.
В представлении "Выбранные политики" показаны политики, предназначенные для облачных приложений. Политики, применяемые на уровне клиента, не могут быть удалены и не перемещены в список доступных политик.
Чтобы выбрать политику для применения к опубликованному приложению, выполните указанные ниже действия.
- В списке доступных политик выберите политику.
- Щелкните стрелку вправо и переместите ее в список выбранных политик.
Выбранные политики требуют проверки параметра "Включить " или "Исключить ". Если оба параметра проверяются, выбранная политика не применяется.
Заметка
После переключения на эту вкладку появится список политик. С помощью кнопки обновления можно вручную заставить мастер запрашивать клиент, но эта кнопка появится после развертывания приложения.
Свойства виртуального сервера
Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом, прослушивающим клиентские запросы к приложению. Полученный трафик обрабатывается и оценивается в профиле APM, связанном с виртуальным сервером. Трафик направляется в соответствии с политикой.
Введите целевой адрес, доступный IPv4/IPv6-адрес, который big-IP может использовать для получения трафика клиента. Существует соответствующая запись на сервере доменных имен (DNS), что позволяет клиентам разрешать внешний URL-адрес опубликованного приложения BIG-IP для этого IP-адреса вместо приложения. Использование тестового компьютера localhost DNS допустимо для тестирования.
Для порта службы введите 443 для HTTPS.
Проверьте включение порта перенаправления и введите порт перенаправления, который перенаправляет входящий трафик клиента HTTP на HTTPS.
Профиль SSL клиента включает виртуальный сервер для HTTPS, поэтому клиентские подключения шифруются по протоколу TLS. Выберите профиль SSL клиента, созданный для предварительных требований, или оставьте значение по умолчанию при тестировании.
Свойства пула
На вкладке "Пул приложений" отображаются службы, лежащие в основе BIG-IP, представленные в виде пула с серверами приложений.
Для выбора пула создайте новый пул или выберите один из них.
Выберите метод балансировки нагрузки, например циклический робин.
Для серверов пула выберите узел сервера или укажите IP-адрес и порт для внутреннего узла, в котором размещено приложение на основе заголовков.
Серверное приложение выполняется через HTTP-порт 80. Можно переключить порт на 443, если приложение работает на HTTPS.
Заголовки единого входа и HTTP
Включение единого входа позволяет пользователям получать доступ к опубликованным службам BIG-IP без ввода учетных данных. Мастер простой кнопки поддерживает заголовки авторизации Kerberos, OAuth Bearer и HTTP для единого входа. Для этих инструкций используйте созданную учетную запись делегирования Kerberos.
Включите Kerberos и показать расширенный параметр , чтобы ввести следующее:
Источник имени пользователя: предпочтительное имя пользователя для кэширования единого входа. Вы можете предоставить переменную сеанса в качестве источника идентификатора пользователя, но session.saml.last.identity работает лучше, так как оно содержит утверждение Microsoft Entra, содержащее идентификатор пользователя, вошедшего в систему.
Источник области пользователя: требуется, если домен пользователя отличается от области Kerberos BIG-IP. В этом случае переменная сеанса APM содержит домен пользователя, вошедший в систему. Например, session.saml.last.attr.name.domain
KDC: IP-адрес контроллера домена или полное доменное имя, если DNS настроен и эффективен
Поддержка имени участника-пользователя. Включите этот параметр для APM, чтобы использовать универсальное имя участника-пользователя для запроса Kerberos
Шаблон субъекта-службы: используйте http/%h, чтобы сообщить APM об использовании заголовка узла запроса клиента и создать имя субъекта-службы (SPN), для которого он запрашивает токен Kerberos.
Отправка авторизации. Отключите для приложений, которые согласовывают проверку подлинности вместо получения маркера kerberos в первом запросе. Например, Tomcat.
Управление сеансами
Параметры управления сеансами BIG-IPs определяют условия, в которых сеансы пользователя завершаются или продолжаются, ограничения для пользователей и IP-адресов и соответствующие сведения о пользователе. См. статью AskF5 K18390492: безопасность | Руководство по операциям APM BIG-IP для параметров.
Функции единого выхода (SLO), обеспечивающие сеансы между поставщиком удостоверений, BIG-IP и агентом пользователя завершаются при выходе пользователя. Когда easy Button создает экземпляр приложения SAML в клиенте Microsoft Entra, он заполняет URL-адрес выхода конечной точкой APM SLO. Выход, инициированный поставщиком удостоверений, на портале Microsoft Entra Мои приложения завершает сеанс между BIG-IP и клиентом.
Метаданные федерации SAML для опубликованного приложения импортируются из клиента, предоставляя APM конечной точке выхода SAML для идентификатора Microsoft Entra ID. Это действие гарантирует, что выход, инициированный поставщиком службы, завершает сеанс между клиентом и идентификатором Microsoft Entra. APM должен знать, когда пользователь выходит из приложения.
Если портал BIG-IP обращается к опубликованным приложениям, APM обрабатывает выход для вызова конечной точки выхода Microsoft Entra. Но рассмотрим сценарий, когда портал webtop BIG-IP не используется, пользователь не может указать APM выйти из него. Даже если пользователь выходит из приложения, big-IP не забвевает. Таким образом, рассмотрите возможность выхода, инициированного поставщиком службы, чтобы обеспечить безопасное завершение сеансов. Вы можете добавить функцию SLO в кнопку выхода приложения, чтобы он перенаправлял клиента в microsoft Entra SAML или конечную точку выхода BIG-IP.
URL-адрес конечной точки выхода SAML для клиента находится в конечных точках регистрации приложений>.
Если вы не можете изменить приложение, рассмотрите возможность прослушивания BIG-IP для вызова выхода приложения и при обнаружении запроса он активирует SLO. Дополнительные сведения о big-IP iRules см. в руководстве Oracle PeopleSoft SLO. Дополнительные сведения об использовании iRules BIG-IP см. в следующей статье:
- K42052145. Настройка автоматического завершения сеанса (выход) на основе имени файла, на который ссылается URI
- K12056: обзор параметра включения URI выхода.
Сводка
Этот раздел — это разбивка конфигураций.
Выберите "Развернуть " для фиксации параметров и убедитесь, что приложение находится в списке клиентов корпоративных приложений.
Конфигурации KCD
Чтобы APM BIG-IP выполнял единый вход в серверное приложение от имени пользователей, настройте центр распространения ключей (KCD) в целевом домене. Для делегирования проверки подлинности необходимо подготовить APM BIG-IP с учетной записью службы домена.
Пропустите этот раздел, если настроена учетная запись службы APM и делегирование. В противном случае войдите в контроллер домена с учетной записью администратора.
В этом сценарии приложение размещается на сервере APP-VM-01 и выполняется в контексте учетной записи службы с именем web_svc_account, а не удостоверения компьютера. Делегированная учетная запись службы, назначенная APM, — F5-BIG-IP.
Создание учетной записи делегирования APM BIG-IP
Big-IP не поддерживает группу управляемых учетных записей служб (gMSA), поэтому создайте стандартную учетную запись пользователя для учетной записи службы APM.
Введите следующую команду PowerShell. Замените значения UserPrincipalName и SamAccountName значениями среды. Для повышения безопасности используйте выделенное имя субъекта-службы, соответствующее заголовку узла приложения.
New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")
HOST_SPN = узел/f5-big-ip.contoso.com@contoso.com
Заметка
Если узел используется, любое приложение, работающее на узле, делегирует учетную запись, в то время как при использовании HTTPS она разрешает только операции, связанные с протоколом HTTP.
Создайте имя субъекта-службы (SPN) для учетной записи службы APM, используемой во время делегирования учетной записи службы веб-приложений:
Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{ Add="host/f5-big-ip.contoso.com" }
Заметка
Обязательно включить узел или часть в формат UserPrincipleName (host/name.domain@domain) или ServicePrincipleName (host/name.domain).
Перед указанием целевого имени субъекта-службы просмотрите ее конфигурацию субъекта-службы. Убедитесь, что имя субъекта-службы отображается в учетной записи службы APM. Делегаты учетной записи службы APM для веб-приложения:
Убедитесь, что веб-приложение выполняется в контексте компьютера или выделенной учетной записи службы.
Для контекста компьютера выполните следующую команду, чтобы запросить объект учетной записи, чтобы просмотреть определенные имена субъектов-служб. Замените <name_of_account> учетной записью для вашей среды.
Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames
Например: Get-User -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames
Для выделенной учетной записи службы выполните следующую команду, чтобы запросить объект учетной записи, чтобы просмотреть определенные имена субъектов-служб. Замените <name_of_account> учетной записью для вашей среды.
Get-User -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames
Например:
Get-Computer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames
Если приложение запущено в контексте компьютера, добавьте имя субъекта-службы в объект учетной записи компьютера:
Set-Computer -Identity APP-VM-01 -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }
Определяя имена субъектов-служб, установите доверие для делегата учетной записи службы APM в этой службе. Конфигурация зависит от топологии экземпляра BIG-IP и сервера приложений.
Настройка BIG-IP и целевого приложения в одном домене
Задайте доверие для учетной записи службы APM, чтобы делегировать проверку подлинности:
Get-User -Identity f5-big-ip | Set-AccountControl -TrustedToAuthForDelegation $true
Учетная запись службы APM должна знать целевое имя субъекта-службы для делегирования. Задайте целевой имя субъекта-службы учетной записи службы, работающей в веб-приложении:
Set-User -Identity f5-big-ip -Add @{ 'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com') }
Заметка
Эти задачи можно выполнить с помощью оснастки "Пользователи и компьютеры", консоли управления Майкрософт (MMC) на контроллере домена.
BIG-IP и приложение в разных доменах
В windows Server 2012 и более поздних версиях KCD использует ограниченное делегирование на основе ресурсов (RBCD). Ограничения для службы передаются администратору домена администратору службы. Это делегирование позволяет администратору серверной службы разрешить или запретить единый вход. В этой ситуации создается другой подход к делегированию конфигурации, что возможно с помощью PowerShell.
Свойство PrincipalsAllowedToDelegateToAccount учетной записи службы приложений (компьютер или выделенная учетная запись службы) можно использовать для предоставления делегирования из BIG-IP. В этом сценарии используйте следующую команду PowerShell на контроллере домена (Windows Server 2012 R2 или более поздней версии) в том же домене, что и приложение.
Используйте имя субъекта-службы, определенное для учетной записи службы веб-приложений. Для повышения безопасности используйте выделенное имя субъекта-службы, соответствующее заголовку узла приложения. Например, так как заголовок узла веб-приложения в этом примере — myexpenses.contoso.com
добавление HTTP/myexpenses.contoso.com
в объект учетной записи службы приложений:
Set-User -Identity web_svc_account -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }
Для следующих команд обратите внимание на контекст.
Если служба web_svc_account выполняется в контексте учетной записи пользователя, используйте следующие команды:
$big-ip= Get-Computer -Identity f5-big-ip -server dc.contoso.com
''Set-User -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount'
$big-ip Get-User web_svc_account -Properties PrincipalsAllowedToDelegateToAccount
Если служба web_svc_account выполняется в контексте учетной записи компьютера, используйте следующие команды:
$big-ip= Get-Computer -Identity f5-big-ip -server dc.contoso.com
Set-Computer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount
$big-ip Get-Computer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount
Дополнительные сведения см. в разделе "Ограниченное делегирование Kerberos" между доменами.
Представление приложения
В браузере подключитесь к внешнему URL-адресу приложения или выберите значок приложения на портале Microsoft MyApps. После проверки подлинности в идентификаторе Microsoft Entra перенаправление отправляет вас на виртуальный сервер BIG-IP для приложения и войдите с помощью единого входа.
Для повышения безопасности организации, использующие этот шаблон, могут блокировать прямой доступ к приложению, что заставляет строгий путь через BIG-IP.
Гостевой доступ Microsoft Entra B2B
Гостевой доступ Microsoft Entra B2B поддерживается для этого сценария, при этом гостевые удостоверения, поступающие из клиента Microsoft Entra в каталог, который приложение использует для авторизации. Без локального представления гостевого объекта в AD big-IP не удается получить билет kerberos для единого входа KCD в серверное приложение.
Расширенное развертывание
Шаблоны управляемой конфигурации могут не обеспечить гибкость для достижения некоторых требований. Сведения об этих сценариях см. в статье "Расширенная конфигурация" для единого входа на основе kerberos.
Кроме того, в BIG-IP можно отключить режим строгого управления управляемой конфигурацией. Вы можете вручную изменить конфигурации, хотя основная часть конфигураций автоматизирована с помощью шаблонов на основе мастера.
Вы можете перейти к интерактивной конфигурации Access > и выбрать небольшой значок блокировки в правой части строки для конфигураций приложений.
На этом этапе изменения с пользовательским интерфейсом мастера недоступны, но все объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для управления.
Заметка
Повторное включение строгого режима и развертывание параметров конфигурации перезаписывается за пределами пользовательского интерфейса интерактивной конфигурации. Поэтому мы рекомендуем расширенный метод конфигурации для рабочих служб.
Устранение неполадок
При устранении неполадок единого входа kerberos помните о следующих понятиях.
- Kerberos учитывает время, поэтому требуется, чтобы серверы и клиенты устанавливали правильное время, а по возможности синхронизированы с надежным источником времени.
- Убедитесь, что имя узла контроллера домена и веб-приложения разрешено в DNS
- Убедитесь, что в среде AD нет повторяющихся имен субъектов-служб: выполните следующий запрос на компьютере домена: setpn -q HTTP/my_target_SPN
Вы можете обратиться к руководству по прокси приложениям, чтобы проверить, настроено ли приложение IIS для KCD. См. также статью AskF5, метод единого входа Kerberos.
Анализ журналов: увеличение детализации
Используйте ведение журнала BIG-IP, чтобы изолировать проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных. Начните устранять неполадки, увеличив уровень детализации журнала.
- Перейдите к параметрам журналов >событий обзора политики > > доступа.
- Выберите строку опубликованного приложения, а затем измените > журналы системы доступа.
- Выберите "Отладка " из списка единого входа и нажмите кнопку "ОК".
Воспроизвести проблему и проверить журналы. По завершении вернитесь к функции, так как подробный режим создает много данных.
Страница ошибок BIG-IP
Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с единым входом из Идентификатора Microsoft Entra к BIG-IP.
- Перейдите к отчетам Access Overview > Access>.
- Чтобы просмотреть журналы для подсказок, запустите отчет за последний час.
- Используйте ссылку "Просмотр переменных сеанса ", чтобы понять, получает ли APM ожидаемые утверждения из идентификатора Microsoft Entra.
Внутренний запрос
Если страница ошибки не отображается, проблема, вероятно, связана с внутренним запросом или единым входом из BIG-IP в приложение.
- Перейдите к обзору > активных сеансов политики > доступа.
- Выберите ссылку для активного сеанса. Ссылка "Переменные представления" в этом расположении может помочь определить первопричину проблем KCD, особенно если big-IP APM не удается получить правильные идентификаторы пользователя и домена из переменных сеанса.
Дополнительные сведения см. в следующем разделе:
- dev/central: переменная APM назначает примеры
- MyF5: переменные сеанса