Tutorial: configurar o F5 BIG-IP Easy Button para logon único no Kerberos

  • Artigo

Saiba como proteger os aplicativos baseados em Kerberos com o Microsoft Entra ID por meio da Configuração Guiada do F5 BIG-IP Easy Button 16.1.

A integração de um BIG-IP com o Microsoft Entra ID oferece muitos benefícios, incluindo:

Para saber mais sobre os benefícios, consulte o artigo sobre Integração do F5 BIG-IP e do Microsoft Entra.

Descrição do cenário

Esse cenário analisa o aplicativo herdado clássico usando a autenticação Kerberos, também conhecida como IWA (Autenticação Integrada do Windows), para acesso à porta do conteúdo protegido.

Por ser herdado, o aplicativo não tem protocolos modernos para dar suporte a uma integração direta com o Microsoft Entra ID. É possível modernizar o aplicativo, mas é caro, requer planejamento e apresenta risco de tempo de inatividade potencial. Nesse caso, um ADC (Application Delivery Controller) F5 BIG-IP faz a ponte entre o aplicativo herdado e o painel de controle de ID moderno, por meio da transição de protocolo.

Um BIG-IP na frente do aplicativo permite a sobreposição do serviço com o SSO baseado em cabeçalhos e na pré-autenticação do Microsoft Entra, aprimorando a postura de segurança do aplicativo.

Observação

As organizações podem obter acesso remoto a esse tipo de aplicativo com o proxy de aplicativo do Microsoft Entra

Arquitetura de cenário

A solução de SHA (acesso híbrido seguro) para esse cenário tem os seguintes componentes:

  • Aplicativo – serviço publicado do BIG-IP a ser protegido pelo SHA do Microsoft Entra. O host de aplicativo é conectado ao domínio e, portanto, integrado ao AD (Active Directory).
  • Microsoft Entra ID - Provedor de identidade (IdP) da Security Assertion Markup Language (SAML) que verifica as credenciais do usuário, o acesso condicional e o SSO baseado em SAML para o BIG-IP. Com o SSO, o Microsoft Entra ID fornece o BIG-IP com os atributos de sessão exigidos.
  • KDC: função KDC (Centro de Distribuição de Chaves) em um DC (Controlador de Domínio), que emite tíquetes do Kerberos
  • BIG-IP: o proxy reverso e o SP (provedor de serviços) do SAML para o aplicativo, delegando a autenticação para o IdP do SAML, antes de executar o SSO baseado em Kerberos para o aplicativo de back-end.

O SHA para esse cenário dá suporte a fluxos iniciados pelo SP e pelo IdP. A imagem a seguir ilustra o fluxo do SP.

Diagrama do cenário de fluxo do provedor de serviços.

  1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP)
  2. A política de acesso do BIG-IP APM redireciona o usuário para o Microsoft Entra ID (IdP do SAML)
  3. O Microsoft Entra ID pré-autentica o usuário e aplica as políticas impostas do acesso condicional
  4. O usuário é redirecionado para o BIG-IP (SP no SAML) e o SSO é executado usando o token SAML emitido
  5. O BIG-IP solicita o tíquete do Kerberos no KDC
  6. O BIG-IP envia a solicitação para o aplicativo de back-end, juntamente com o tíquete Kerberos para SSO
  7. O aplicativo autoriza a solicitação e retorna o conteúdo

Pré-requisitos

Você não precisa ter experiência prévia com o BIG-IP, mas é necessário:

  • Uma conta gratuita do Azure ou superior
  • Um BIG-IP ouimplantar um BIG-IP Virtual Edition (VE) no Azure
  • Qualquer uma das seguintes licenças de F5 BIG-IP:
    • Pacote F5 BIG-IP® Best
    • Autônoma do APM do F5 BIG-IP
    • Licença de complemento do APM do F5 BIG-IP em um BIG-IP® LTM (Local Traffic Manager™) do F5 BIG-IP
    • Licença de Avaliação Gratuita de 90 dias do BIG-IP
  • Identidades do usuário sincronizadas de um diretório local para o Microsoft Entra ID ou criadas no Microsoft Entra ID e transmitidas de volta ao diretório local
  • Uma das seguintes funções: administrador global, administrador de aplicativos de nuvem ou administrador de aplicativos.
  • Um certificado Web SSL para serviços de publicação por HTTPS ou use certificados do BIG-IP padrão durante o teste
  • Um aplicativo Kerberos, ou vá para active-directory-wp.com para saber como configurar SSO com IIS no Windows.

Métodos de configuração BIG-IP

Este tutorial aborda a última Configuração Guiada 16.1 que oferece um modelo do Easy Button. Com o Easy Button, os administradores não ficam alternando entre o Microsoft Entra ID e um BIG-IP para habilitar os serviços do SHA. O Assistente de Configuração Guiada do APM e o Microsoft Graph lidam com a implantação e o gerenciamento de política. Essa integração avançada entre o APM do BIG-IP e o Microsoft Entra ID garante que os aplicativos possam dar suporte à federação de identidade, ao SSO e ao acesso condicional do Microsoft Entra, reduzindo a sobrecarga administrativa.

Observação

Substituir as cadeia de caracteres ou os valores de exemplo neste artigo pelos do seu ambiente.

Registrar botão fácil

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Antes que um cliente ou serviço possa acessar o Microsoft Graph, ele precisará ter confiança da plataforma de identidade da Microsoft. Essa ação cria um registro de aplicativo do locatário para autorizar o acesso do Easy Button ao Graph. Com essas permissões, o BIG-IP envia as configurações por push para estabelecer uma relação de confiança entre uma instância do SP do SAML do aplicativo publicado e o Microsoft Entra ID como o IdP do SAML.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Registros de aplicativo > Novo registro.

  3. Insira um nome de exibição para o seu aplicativo. Por exemplo, F5 BIG-IP Easy Button.

  4. Especifique quem pode usar as contas > aplicativo apenas neste diretório organizacional.

  5. Selecione Registrar.

  6. Navegue até as Permissões de API e autorize as seguintesPermissões de aplicativos do Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy. Read. All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. Dar consentimento do administrador para sua organização.

  8. Em Certificados e Segredos, gere um novo segredo do cliente. Anote esse segredo.

  9. Em Visão geral, anote a ID do Cliente e a ID do Locatário.

Configurar botão fácil

Inicie a Configuração Guiada do APM para iniciar o modelo de Botão Fácil.

  1. Navegue até Acessar > Configuração Guiada > Integração à Microsoft e selecione Aplicativo Microsoft Entra.

  2. Examine a lista de etapas de configuração e selecione Avançar

  3. Siga as etapas a seguir para publicar seu aplicativo.

    Captura de tela do fluxo de configuração na Configuração Guiada.

Configuration Properties

A guia Propriedades de Configuração cria uma configuração de aplicativo BIG-IP e um objeto de SSO. A seção Detalhes da conta de serviço do Azure pode representar o cliente que você registrou anteriormente como um aplicativo no locatário do Microsoft Entra. Essas configurações permitem que um cliente OAuth do BIG-IP registre um SP do SAML no locatário, com as propriedades de SSO configuradas manualmente. O Easy Button faz essa ação para cada serviço do BIG-IP publicado e habilitado para SHA.

Algumas das configurações são globais e podem ser reutilizadas para publicar mais aplicativos, reduzindo o tempo e o esforço de implantação.

  1. Forneça um Nome de Configuração exclusivo.

  2. Habilitar SSO (Logon Único) e Cabeçahos HTTP.

  3. Insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente que você anotou ao registrar o cliente do botão fácil em seu locatário.

    Captura de tela das entradas Nome da Configuração, Cabeçalhos SSO e HTTP e Detalhes da Conta de Serviço do Azure.

  4. Confirme se o BIG-IP se conecta ao locatário.

  5. Selecione Avançar.

Provedor de serviços

As configurações do Provedor de Serviços são as propriedades para a instância de SP do SAML do aplicativo protegido por SHA.

  1. Para Host, insira o nome de domínio totalmente qualificado (FQDN) público do aplicativo que está sendo protegido.

  2. Na ID da Entidade, insira o identificador que o Microsoft Entra ID usa para identificar o SP do SAML solicitando um token.

    Captura de tela se as entradas de ID de Host e Entidade no Provedor de Serviços.

As Configurações de segurança opcionais especificam se o Microsoft Entra ID criptografa as declarações SAML emitidas. A criptografia de declarações entre o Microsoft Entra ID e o APM do BIG-IP fornece mais garantia de que os tokens de conteúdo não possam ser interceptados e que os dados pessoais ou corporativos não possam ser comprometidos.

  1. Na lista Chave Privada de Descriptografia da Declaração, selecione Criar.

Captura de tela da opção Criar em Configurações de Segurança.

  1. Selecione OK. A caixa de diálogo Importar Certificado e Chaves SSL aparece.
  2. Selecione PKCS 12 (IIS) para importar o certificado e a chave privada.
  3. Após o provisionamento, feche a guia do navegador para retornar à guia principal.

Captura de tela das entradas Tipo de importação, Nome e certificado de Chave, Origem de certificado e chave e Senha

  1. Marque a opção Habilitar Declaração Criptografada.
  2. Se você ativou a criptografia, selecione o certificado na lista Chave Privada de Descriptografia de Declaração. Essa chave privada se destina ao certificado que o APM do BIG-IP usa para descriptografar as declarações do Microsoft Entra.
  3. Se você ativou a criptografia, selecione o certificado na lista Certificado de Descriptografia de Declaração. O BIG-IP carrega esse certificado no Microsoft Entra ID para criptografar as declarações SAML emitidas.

Captura de tela das entradas Chave Privada de Descriptografia de Declaração e Certificados de Descriptografia de Declaração.

Microsoft Entra ID

Esta seção define as propriedades para configurar manualmente um novo aplicativo SAML do BIG-IP no locatário do Microsoft Entra. O botão fácil possui modelos de aplicativos para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e um modelo de SHA para outros aplicativos.

Para este cenário, selecione Integração do APM do BIG-IP da F5 ao Microsoft Entra ID > Adicionar.

Configuração do Azure

  1. Inserir um Nome de exibição para o aplicativo que o BIG-IP cria no locatário do Microsoft Entra e o ícone no portal MyApps.

  2. Mantenha a URL de Logon (opcional) em branco para habilitar o logon iniciado pelo IdP.

  3. Selecione o ícone atualizar ao lado da Chave de Autenticação e o Certificado de Autenticação para localizar o certificado que você importou.

  4. Em Senha da Chave de Autenticação, insira a senha de certificado.

  5. Habilite a Opção de Autenticação (opcional) para garantir que o BIG-IP aceite tokens e declarações assinados pelo Microsoft Entra ID.

    Captura de tela da chave de assinatura, do certificado de autenticação e da senha da chave de assinatura no certificado de autenticação SAML.

  6. Os usuários e grupos de usuários são consultados dinamicamente no locatário do Microsoft Entra e autorizam o acesso ao aplicativo. Adicionar um usuário ou grupo para teste, caso contrário, todo o acesso é negado.

    Captura de tela da opção Adicionar em Usuários e Grupos de Usuários.

Declarações e Atributos do Usuário

Quando um usuário for autenticado no Microsoft Entra ID, ele emitirá um token SAML com um conjunto de declarações e atributos padrão identificando o usuário. A guia Atributos e Declarações do Usuário mostra as declarações padrão a serem emitidas para o novo aplicativo. Use-o para configurar mais declarações.

A infraestrutura do AD é baseada em um sufixo de domínio .com usado interna e externamente. Mais atributos não são necessários para obter uma implementação funcional de SSO do KCD (logon único de Delegação Restrita do Kerberos). Confira o tutorial avançado para vários domínios ou o logon do usuário usando um sufixo alternativo.

Captura de tela de atributos e declarações do usuário.

Atributos de usuário adicionais

A guia Atributos de Usuário Adicionais dá suporte a variados sistemas distribuídos que exigem atributos armazenados em outros diretórios para o aumento da sessão. Os atributos obtidos de uma fonte LDAP (Lightweight Directory Access Protocol) podem ser injetados como cabeçalhos de SSO para ajudar a controlar o acesso com base em funções, IDs de Parceiros, etc.

Observação

Esse recurso não tem correlação com o Microsoft Entra ID, mas é outra fonte de atributo.

Política de Acesso Condicional

As políticas de acesso condicional são impostas após a autenticação prévia do Microsoft Entra para controlar o acesso baseado no dispositivo, no aplicativo, na localização e nos sinais de risco.

A exibição Políticas disponíveis mostra as políticas de acesso condicional sem ações baseadas no usuário.

A exibição Políticas Selecionadas mostra as políticas direcionadas aos aplicativos na nuvem. Não é possível desmarcar políticas ou movê-las para a lista de Políticas Disponíveis porque elas são impostas em um nível de locatário.

Para selecionar uma política para aplicar ao aplicativo que está sendo publicado:

  1. Na lista Políticas Disponíveis, selecione uma política.
  2. Escolha a seta para a direita e mova-a para a lista Políticas Selecionadas.

As políticas selecionadas precisam de uma opção Incluir ou Excluir marcada. Se ambas as opções estiverem marcadas, a política selecionada não será imposta.

Captura de tela das políticas de Acesso Condicional excluídas, em Políticas Selecionadas, na Política de Acesso Condicional.

Observação

Após alternar para está guia, a lista de políticas é exibida uma vez. Use o botão atualizar para forçar manualmente o assistente a consultar o locatário, mas esse botão é exibido após a implantação do aplicativo.

Propriedades do Servidor Virtual

Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual que escuta as solicitações do cliente para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil do APM associado ao servidor virtual. O tráfego é direcionado de acordo com a política.

  1. Insira um Endereço de Destino, um endereço IPv4/IPv6 disponível que o BIG-IP poderá usar para receber o tráfego do cliente. Há um registro correspondente no DNS (servidor de nomes de domínio), permitindo que os clientes resolvam a URL externa do aplicativo publicado do BIG-IP para esse IP, em vez do aplicativo. Usar um DNS de localhost do PC de teste é aceitável para testar.

  2. Em Porta de serviço, insira 443 para HTTPS.

  3. Marque Habilitar Porta de Redirecionamento e, em seguida, insira Porta de Redirecionamento, o que redireciona o tráfego de cliente HTTP de entrada para HTTPS.

  4. O Perfil de SSL do Cliente habilita o servidor virtual para HTTPS, portanto, as conexões do cliente são criptografadas por TLS. Selecione o Perfil de SSL do Cliente que você criou para os pré-requisitos ou deixe o padrão se você estiver testando.

    Captura de tela do Endereço de destino, Porta de serviço e Entradas comuns, nas Propriedades do Servidor Virtual.

Propriedades de Pool

A guia Pool de Aplicativos mostra os serviços por trás de um BIG-IP, representados como um pool com servidores de aplicativos.

  1. Em Selecionar um Pool, crie um novo pool ou selecione um.

  2. Escolha o Método de Balanceamento de Carga como Round Robin.

  3. Para Servidores de Pool, selecione um nó de servidor ou especifique um IP e uma porta para o nó de back-end que hospeda o aplicativo baseado em cabeçalho.

    Captura de tela das entradas Endereço IP/Nome do Nó e Porta nas Propriedades do Pool.

O aplicativo de back-end é executado na porta HTTP 80. Você pode alternar a porta para 443, se o aplicativo for executado em HTTPS.

Logon único e cabeçalhos HTTP

Habilitar o SSO permite que os usuários acessem serviços publicados de BIG-IP sem precisar inserir credenciais. O assistente de Botão Fácil oferece suporte a cabeçalhos de autorização Kerberos, Portador OAuth e HTTP para SSO. Para estas instruções, use a conta de delegação Kerberos criada.

Habilite o Kerberose Mostrar Configuração Avançada para inserir o seguinte:

  • Origem do Nome de usuário: especifica o nome de usuário preferencial para o cache do SSO. Você pode fornecer uma variável de sessão como a origem da ID de usuário, mas session.saml.last.identity funciona melhor, pois detém a declaração do Microsoft Entra que contém a ID de usuário conectada.

  • Origem do Realm do Usuário: necessário se o domínio do usuário for diferente para o realm do Kerberos do BIG-IP. Nesse caso, a variável de sessão do APM contém o domínio do usuário conectado. Por exemplo, session.saml.last.attr.name.domain

    Captura de tela da entrada Origem do nome de Usuário em cabeçalhos de logon único e HTTP.

  • KDC: IP de controlador de domínio, ou FQDN, se o DNS estiver configurado e for eficiente

  • Suporte a UPN: habilite essa opção para o APM usar o nome UPN para a emissão de tíquetes do Kerberos

  • Padrão do SPN: use HTTP/%h para informar ao APM para usar o cabeçalho de host da solicitação do cliente e compilar o SPN (nome da entidade de serviço) para o qual ele está solicitando um token do Kerberos

  • Enviar Autorização: desabilite para aplicativos que negociam a autenticação em vez de receber o token do Kerberos na primeira solicitação. Por exemplo, Tomcat.

    Captura de tela das entradas para a configuração do método SSO

Gerenciamento da sessão

As configurações de gerenciamento de sessão do BIG-IPs definem as condições sob as quais as sessões do usuário são encerradas ou continuam, os limites para usuários e endereços IP e as informações de usuário correspondentes. Consulte o artigo da AskF5 K18390492: Segurança | Guia de operações do APM do BIG-IP para obter detalhes das configurações.

O que não está incluída é a funcionalidade de Logoff Único (SLO), que garante o encerramento das sessões entre o IdP, o BIG-IP e o agente do usuário quando um usuário se desconecta. Quando o Easy Button instancia um aplicativo SAML no locatário do Microsoft Entra, ele preenche a URL de saída com o ponto de extremidade de SLO do APM. Uma saída iniciada pelo IdP no portal Meus Aplicativos do Microsoft Entra encerra a sessão entre o BIG-IP e um cliente.

Os metadados de federação SAML para o aplicativo publicado são importados do locatário, que fornece ao APM o ponto de extremidade de saída SAML para o Microsoft Entra ID. Essa ação garante que uma saída iniciada pelo SP encerre a sessão entre um cliente e o Microsoft Entra ID. O APM precisará saber quando um usuário sair do aplicativo.

Se o portal webtop do BIG-IP for utilizado para acessar os aplicativos publicados, uma saída será processada pelo APM para chamar o ponto de extremidade de saída do Microsoft Entra. Mas considere um cenário em que o portal da webtop do BIG-IP não é usado, assim, o usuário não tem como instruir o APM para sair. Mesmo que o usuário saia do aplicativo, o BIG-IP não fica sabendo. Portanto, considere a saída iniciada por SP para garantir que as sessões sejam encerradas com segurança. É possível adicionar uma função de SLO ao botão Sair do aplicativo para que ele redirecione o cliente ao SAML do Microsoft Entra ou ao ponto de extremidade de saída do BIG-IP.

A URL do ponto de extremidade de saída do SAML do locatário está localizada em Registros de Aplicativo> Pontos de Extremidade.

Se não for possível alterar o aplicativo, considere fazer com que o BIG-IP realize a escuta da chamada de saída do aplicativo e, ao detectar a solicitação, dispare o SLO. Para saber mais sobre iRules do BIG-IP, consulte as Diretrizes de SLO do Oracle PeopleSoft. Para obter mais informações sobre como usar as iRules do BIG-IP, consulte:

Resumo

Esta seção é um detalhamento das configurações.

Selecione Implantar para confirmar as configurações e verificar se o aplicativo está na lista de locatários dos aplicativos Empresariais.

Configurações do KCD do Active Directory

Para que o APM do BIG-IP execute o SSO para o aplicativo de back-end em nome dos usuários, configure o KCD no domínio do Active Directory (AD) de destino. A delegação da autenticação exige que você provisione o APM do BIG-IP com uma conta de serviço de domínio.

Ignore essa seção se sua conta de serviço e delegação do APM estiverem configuradas. Caso contrário, entre em um controlador de domínio com uma conta de administrador.

Para este cenário, o aplicativo é hospedado no servidor APP-VM-01 e executa no contexto de uma conta de serviço denominada web_svc_account, não na identidade do computador. A conta de serviço de delegação atribuída ao APM é F5-BIG-IP.

Criar uma conta de delegação do BIG-IP APM

O BIG-IP não dá suporte a Contas de Serviços Gerenciados por grupo (gMSA), portando, crie uma conta de usuário padrão para ser usada como a conta de serviço do APM.

  1. Digite o seguinte comando do PowerShell. Substitua os valores UserPrincipalName e SamAccountName pelos valores do seu ambiente. Para maior segurança, use um SPN dedicado que corresponda ao cabeçalho de host do aplicativo.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    Observação

    Quando o Host for usado, qualquer aplicativo em execução no host delegará a conta, ao passo que, quando o HTTPS for usado, ele permitirá apenas operações relacionadas ao protocolo HTTP.

  2. Crie um Nome da Entidade de Serviço (SPN) para a conta de serviço do APM a ser usada durante a delegação para a conta de serviço do aplicativo Web:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{ Add="host/f5-big-ip.contoso.com" }

    Observação

    É obrigatório incluir a parte host/ no formato UserPrincipleName (host/name.domain@domain) ou ServicePrincipleName (host/name.domain).

  3. Antes de especificar o SPN de destino, exiba a configuração de SPN dele. Verifique se o SPN é exibido na conta de serviço do APM. A conta de serviço do APM delega para o aplicativo Web:

    • Confirme se o aplicativo Web está em execução no contexto do computador ou em uma conta de serviço dedicada.

    • Para o contexto do Computador, use o seguinte comando para consultar o objeto da conta no Active Directory para ver seus SPNs definidos. Substitua <name_of_account> pela conta do seu ambiente.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Por exemplo: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • Para a conta de serviço dedicada, utilize o seguinte comando para consultar o objeto da conta no Active Directory e ver seus SPNs definidos. Substitua <name_of_account> pela conta do seu ambiente.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Por exemplo:

      Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Se o aplicativo foi executado no contexto do computador, adicione o SPN ao objeto da conta do computador no Active Directory:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Com os SPNs definidos, estabeleça a confiança para a conta de serviço do APM delegada a esse serviço. A configuração varia dependendo da topologia da instância do BIG-IP e do servidor de aplicativos.

Configurar o BIG-IP e o aplicativo de destino no mesmo domínio

  1. Definir relação de confiança para a conta de serviço do APM para delegar a autenticação:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. É necessário que a conta de serviço do APM saiba qual o SPN de destino é confiável para delegar. Defina o SPN de destino para a conta de serviço que executa o aplicativo Web:

    Set-ADUser -Identity f5-big-ip -Add @{ 'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com') }

    Observação

    Você pode concluir essas tarefas com o snap-in do MMC (Console de Gerenciamento da Microsoft), Usuários e computadores do Active Directory, em um controlador de domínio.

BIG-IP e aplicativo em domínios diferentes

Na versão do Windows Server 2012, e superior, o KCD entre domínios usa a Delegação Restrita Baseada em Recursos (RBCD). As restrições de um serviço são transferidas do administrador do domínio para o administrador do serviço. Essa delegação permite que o administrador do serviço de back-end permita ou negue o SSO. Essa situação cria uma abordagem diferente na delegação da configuração, que é possível quando você usa o PowerShell ou o Editor de Interfaces de Serviços do Active Directory (Editor ADSI).

Você pode usar a propriedade PrincipalsAllowedToDelegateToAccount da conta de serviço do aplicativo (computador ou conta de serviço dedicada) para conceder a delegação do BIG-IP. Neste cenário, use o seguinte comando do PowerShell em um controlador de domínio (Windows Server 2012 R2 ou posterior) no mesmo domínio do aplicativo.

Use um SPN definido em uma conta de serviço de aplicativo Web. Para maior segurança, use um SPN dedicado que corresponda ao cabeçalho de host do aplicativo. Por exemplo, como o cabeçalho de host do aplicativo Web neste exemplo é myexpenses.contoso.com, adicione HTTP/myexpenses.contoso.com ao objeto de conta de serviço do aplicativo no AD (Active Directory):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Para os comandos a seguir, observe o contexto.

Se o serviço web_svc_account executar no contexto de uma conta de usuário, use estes comandos:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com

``Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount`

$big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Se o serviço web_svc_account executar no contexto de uma conta de computador, use estes comandos:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com

Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount

$big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Para obter mais informações, consulte Delegação restrita de Kerberos nos domínios.

Exibição de aplicativo

Em um navegador, conecte a URL externa do aplicativo ou selecione o ícone do aplicativo no portal MyApps da Microsoft. Após autenticar no Microsoft Entra ID, você será redirecionado para o servidor virtual do BIG-IP do aplicativo e conectado por meio de SSO.

Captura de tela da URL externa do aplicativo

Para aumentar a segurança, as organizações que usam esse padrão poderão bloquear o acesso direto ao aplicativo, o que forçará um caminho estrito pelo BIG-IP.

Acesso de convidado B2B do Microsoft Entra

O acesso de convidado B2B do Azure AD dá suporte a esse cenário, com as identidades de convidado fluindo do locatário do Microsoft Entra até o diretório usado pelo aplicativo para a autorização. Sem uma representação local de um objeto convidado no AD, o BIG-IP falha ao receber um tíquete Kerberos para o SSO do KCD para o aplicativo back-end.

Implantação avançada

Os modelos de Configuração Guiada poderão não ter flexibilidade para atender a determinados requisitos. Para esses cenários, confira Configuração avançada para o SSO baseado em Kerberos.

Como alternativa, no BIG-IP, você pode desabilitar o modo de gerenciamento estrito de Configuração Guiada. É possível alterar manualmente as configurações, embora a maior parte das configurações seja automatizada por meio de modelos baseados em assistente.

Navegue até Acesso > Configuração Guiada e selecione o pequeno ícone de cadeado na extremidade direita da linha para ver as configurações dos aplicativos.

Captura de tela da opção Cadeado.

Neste ponto, não será possível fazer alterações com a interface do usuário do assistente, mas todos os objetos BIG-IP associados à instância publicada do aplicativo serão desbloqueados para gerenciamento.

Observação

Reabilitar o modo estrito e implantar uma configuração substituirá todas as configurações executadas fora da interface do usuário da Configuração Guiada. Portanto, recomendamos o método de configuração avançada para serviços de produção.

Solução de problemas

Se estiver solucionando problemas de SSO do Kerberos, esteja ciente dos conceitos a seguir.

  • O Kerberos é sensível ao tempo e, portanto, requer que os servidores e clientes estejam definidos para a hora correta e, quando possível, sincronizados com uma fonte de tempo confiável
  • Verifique se o nomes do host para o controlador de domínio e o aplicativo Web podem ser resolvidos no DNS
  • Verifique se não há SPNs duplicados no ambiente do AD: execute a seguinte consulta na linha de comando em um PC de domínio: setspn -q HTTP/my_target_SPN

Confira as Diretrizes de proxy de aplicativo para validar se um aplicativo IIS está configurado corretamente para KCD. Consulte também o artigo da AskF5, Método de logon único do Kerberos.

Análise de log: aumentar a detalhamento

Use o registro em log do BIG-IP para isolar problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis configurados incorretamente. Comece a solucionar problemas aumentando o nível de detalhes do log.

  1. Navegue até política de acesso > visão geral > Logs de eventos > Configurações.
  2. Selecione a linha do seu aplicativo publicado e, em seguida, Editar > Acessar Logs do Sistema.
  3. Selecione Depurar na lista de SSO e, em seguida, selecione OK.

Reproduza o problema e inspecione os logs. Quando concluído, reverta o recurso porque o modo detalhado gera muitos dados.

Página de erro de BIG-IP

Se um erro do BIG-IP for exibido após a autenticação prévia do Microsoft Entra, o problema poderá estar relacionado ao SSO do Microsoft Entra ID até o BIG-IP.

  1. Navegue até Acessar > Visão geral > Acessar relatórios.
  2. Para exibir logs de dicas, execute o relatório da última hora.
  3. Use o link Exibir variáveis de sessão para ajudar a entender se o APM recebe as declarações esperadas do Microsoft Entra ID.

Solicitação de back-end

Se nenhuma página de erro aparecer, o problema provavelmente está relacionado à solicitação de back-end ou ao SSO do BIG-IP para o aplicativo.

  1. Navegue até Política de acesso > Visão geral > Sessões ativas.
  2. Selecione o link para sua sessão ativa. O link Exibir Variáveis neste local também pode ajudar a determinar a causa raiz dos problemas de KCD, principalmente se o BIG-IP APM não conseguir obter os identificadores de usuário e de domínio corretos das variáveis ​​de sessão.

Para obter mais informações, consulte: