Tutorial: Configurar o F5 BIG-IP Access Policy Manager para autenticação Kerberos

  • Artigo

Neste tutorial, você aprenderá a implementar acesso híbrido seguro (SHA) com logon único (SSO) para aplicativos Kerberos usando a configuração avançada F5 BIG-IP. Habilitar os serviços publicados pelo BIG-IP para o Microsoft Entra SSO oferece muitos benefícios, incluindo:

  • Governança Zero Trust aprimorada por meio da pré-autenticação do Microsoft Entra e uso da solução de imposição de política de segurança de Acesso Condicional.
  • SSO completo entre o Microsoft Entra ID e os serviços publicados pelo BIG-IP
  • Gerenciamento de identidade e acesso a partir de um único plano de controle, o centro de administração do Microsoft Entra

Para saber mais sobre os benefícios, consulte Integrar o F5 BIG-IP com o Microsoft Entra ID.

Descrição do cenário

Para esse cenário, você configurará um aplicativo de linha de negócios para autenticação Kerberos, também conhecido como Autenticação Integrada do Windows.

Para integrar o aplicativo com o Microsoft Entra ID requer suporte de um protocolo baseado em federação, como Security Assertion Markup Language (SAML). Como a modernização do aplicativo introduz o risco de tempo de inatividade potencial, há outras opções.

Enquanto estiver usando a Delegação Restrita de Kerberos (KCD) para SSO, você pode usar o proxy de aplicativo Microsoft Entra para acessar o aplicativo remotamente. Você pode realizar a transição de protocolo para fazer a ponte entre o aplicativo herdado e o plano de controle de identidade moderno.

Outra abordagem é usar um F5 BIG-IP Application Delivery Controller. Essa abordagem permite a sobreposição do aplicativo com a pré-autenticação do Microsoft Entra e o KCD SSO. Ele melhora a postura geral de Zero Trust do aplicativo.

Arquitetura do cenário

A solução SHA para este cenário tem os seguintes elementos:

  • Aplicação: Serviço baseado em Kerberos back-end publicado externamente pelo BIG-IP e protegido por SHA

  • BIG-IP: Funcionalidade de proxy reverso para publicação de aplicativos back-end. O Access Policy Manager (APM) sobrepõe aplicativos publicados com o provedor de serviços SAML (SP) e a funcionalidade SSO.

  • Microsoft Entra ID: Provedor de identidade (IdP) que verifica as credenciais do usuário, o acesso condicional do Microsoft Entra e o SSO para o BIG-IP APM por meio do SAML

  • KDC: Função do Centro de Distribuição de Chaves em um controlador de domínio (DC) que emite tíquetes Kerberos

A imagem a seguir ilustra o fluxo iniciado pelo SAML SP para esse cenário, mas o fluxo iniciado pelo IdP também é suportado.

Diagrama da arquitetura do cenário.

Fluxo de utilizador

  1. O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP)
  2. A política de acesso BIG-IP redireciona o usuário para o Microsoft Entra ID (SAML IdP)
  3. O Microsoft Entra ID pré-autentica o usuário e aplica políticas de Acesso Condicional impostas
  4. O usuário é redirecionado para BIG-IP (SAML SP), e o SSO é realizado por meio do token SAML emitido
  5. O BIG-IP autentica o usuário e solicita um tíquete Kerberos do KDC
  6. O BIG-IP envia a solicitação para o aplicativo back-end com o tíquete Kerberos para SSO
  7. O aplicativo autoriza a solicitação e retorna a carga útil

Pré-requisitos

Não é necessária experiência prévia em BIG-IP. Necessita de:

  • Uma conta gratuita do Azure ou uma subscrição de nível superior.
  • Um BIG-IP ou implante o BIG-IP Virtual Edition no Azure.
  • Qualquer uma das seguintes licenças F5 BIG-IP:
    • F5 BIG-IP Melhor pacote
    • F5 BIG-IP APM licença independente
    • Licença de complemento F5 BIG-IP APM em um BIG-IP Local Traffic Manager (LTM)
    • Licença de avaliação gratuita de 90 dias do BIG-IP
  • Identidades de usuário sincronizadas de um diretório local para o Microsoft Entra ID ou criadas no Microsoft Entra ID e fluídas de volta para o diretório local.
  • Uma das seguintes funções no locatário do Microsoft Entra: Administrador Global, Administrador de Aplicativos na Nuvem ou Administrador de Aplicativos.
  • Um certificado de servidor Web para publicar serviços por HTTPS ou usar certificados BIG-IP padrão durante o teste.
  • Um aplicativo Kerberos ou vá para active-directory-wp.com para aprender a configurar o SSO com o IIS no Windows.

Métodos de configuração BIG-IP

Este artigo aborda a configuração avançada, uma implementação SHA flexível que cria objetos de configuração BIG-IP. Você pode usar essa abordagem para cenários que os modelos de Configuração Guiada não cobrem.

Nota

Substitua todas as cadeias de caracteres ou valores de exemplo neste artigo por aqueles para seu ambiente real.

Registrar F5 BIG-IP no Microsoft Entra ID

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Antes que o BIG-IP possa entregar a pré-autenticação ao Microsoft Entra ID, registre-o em seu locatário. Esse processo inicia o SSO entre ambas as entidades. O aplicativo criado a partir do modelo de galeria F5 BIG-IP é a terceira parte confiável que representa a controladora de armazenamento SAML para o aplicativo publicado BIG-IP.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Aplicativos de identidade>>Aplicativos>corporativos Todos os aplicativos e selecione Novo aplicativo.

  3. O painel Procurar Galeria do Microsoft Entra aparece com blocos para plataformas de nuvem, aplicativos locais e aplicativos em destaque. Os aplicativos na seção Aplicativos em destaque têm ícones que indicam se eles oferecem suporte a SSO federado e provisionamento.

  4. Na galeria do Azure, procure F5 e selecione F5 BIG-IP APM Microsoft Entra ID integration.

  5. Insira um nome para o novo aplicativo para reconhecer a instância do aplicativo.

  6. Selecione Adicionar/Criar para adicioná-lo ao seu locatário.

Habilitar SSO para F5 BIG-IP

Configure o registro BIG-IP para atender aos tokens SAML solicitados pelo BIG-IP APM.

  1. Na seção Gerenciar do menu à esquerda, selecione Logon único. O painel Logon único é exibido.
  2. Na página Selecione um método de logon único, selecione SAML. Selecione Não, vou salvar mais tarde para ignorar o prompt.
  3. No painel Configurar logon único com SAML, selecione o ícone da caneta para editar a Configuração Básica de SAML.
  4. Substitua o valor Identifier predefinido pelo URL completo do aplicativo BIG-IP publicado.
  5. Substitua o valor da URL de resposta, mas mantenha o caminho para o ponto de extremidade SAML SP do aplicativo.

Nota

Nessa configuração, o fluxo SAML opera no modo iniciado pelo IdP. O Microsoft Entra ID emite uma asserção SAML antes que o usuário seja redirecionado para o ponto de extremidade BIG-IP do aplicativo.

  1. Para usar o modo iniciado pelo SP, insira a URL do aplicativo em URL de logon.

  2. Para URL de Logout, insira o ponto de extremidade de logout único (SLO) do BIG-IP APM precedido pelo cabeçalho do host do serviço que está sendo publicado. Essa ação garante que a sessão do usuário BIG-IP APM termine depois que o usuário sair do ID do Microsoft Entra.

    Captura de tela das entradas de URL na Configuração Básica do SAML.

Nota

A partir do sistema operacional de gerenciamento de tráfego (TMOS) v16 do BIG-IP, o ponto de extremidade SAML SLO foi alterado para /saml/sp/profile/redirect/slo.

  1. Antes de fechar a configuração SAML, selecione Salvar.

  2. Ignore o prompt de teste SSO.

  3. Observe as propriedades da seção Atributos do Usuário & Declarações . O Microsoft Entra ID emite propriedades para usuários para autenticação BIG-IP APM e para SSO para o aplicativo back-end.

  4. Para salvar o arquivo XML de Metadados de Federação em seu computador, no painel Certificado de Assinatura SAML , selecione Download.

    Captura de tela da opção Download XML de Metadados de Federação.

Nota

Os certificados de assinatura SAML criados pelo Microsoft Entra ID têm uma vida útil de três anos. Para obter mais informações, consulte Certificados gerenciados para logon único federado.

Conceder acesso a usuários e grupos

Por padrão, o Microsoft Entra ID emite tokens para usuários que recebem acesso a um aplicativo. Para conceder aos usuários e grupos acesso ao aplicativo:

  1. No painel de visão geral do aplicativo F5 BIG-IP, selecione Atribuir usuários e grupos.

  2. Selecione + Adicionar usuário/grupo.

    Captura de ecrã da opção Adicionar utilizador ou grupo em Utilizadores e Grupos.

  3. Selecione utilizadores e grupos e, em seguida, selecione Atribuir.

Configurar a delegação restrita de Kerberos do Ative Directory

Para que o BIG-IP APM execute o SSO no aplicativo back-end em nome dos usuários, configure o KCD no domínio do Ative Directory (AD) de destino. Delegar autenticação requer que você provisione o BIG-IP APM com uma conta de serviço de domínio.

Para esse cenário, o aplicativo é hospedado no servidor APP-VM-01 e é executado no contexto de uma conta de serviço chamada web_svc_account, não a identidade do computador. A conta de serviço de delegação atribuída ao APM é F5-BIG-IP.

Criar uma conta de delegação BIG-IP APM

O BIG-IP não suporta contas de serviço gerenciado de grupo (gMSA), portanto, crie uma conta de usuário padrão para a conta de serviço APM.

  1. Insira o seguinte comando do PowerShell. Substitua os valores UserPrincipalName e SamAccountName pelos valores do ambiente. Para maior segurança, use um SPN (nome da entidade de serviço) dedicado que corresponda ao cabeçalho do host do aplicativo.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = anfitrião/f5-big-ip.contoso.com@contoso.com

    Nota

    Quando o Host é usado, qualquer aplicativo em execução no host delegará a conta, enquanto quando HTTPS for usado, ele permitirá apenas operações relacionadas ao protocolo HTTP.

  2. Crie um SPN (Nome da Entidade de Serviço) para a conta de serviço APM a ser usada durante a delegação à conta de serviço do aplicativo Web:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    Nota

    É obrigatório incluir o host/part no formato de UserPrincipleName (host/name.domain@domain) ou ServicePrincipleName (host/name.domain).

  3. Antes de especificar o SPN de destino, exiba sua configuração do SPN. Verifique se o SPN é exibido em relação à conta de serviço APM. A conta de serviço APM delega para o aplicativo Web:

    • Confirme se seu aplicativo Web está sendo executado no contexto do computador ou em uma conta de serviço dedicada.

    • Para o contexto Computador, use o comando a seguir para consultar o objeto de conta no Ative Directory para ver seus SPNs definidos. Substitua <name_of_account> pela conta do seu ambiente.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Por exemplo: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • Para a conta de serviço dedicada, use o comando a seguir para consultar o objeto de conta no Ative Directory para ver seus SPNs definidos. Substitua <name_of_account> pela conta do seu ambiente.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Por exemplo: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Se o aplicativo foi executado no contexto da máquina, adicione o SPN ao objeto da conta de computador no Ative Directory:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Com SPNs definidos, estabeleça confiança para a conta de serviço APM delegada a esse serviço. A configuração varia dependendo da topologia da instância do BIG-IP e do servidor de aplicativos.

Configurar o BIG-IP e o aplicativo de destino no mesmo domínio

  1. Defina confiança para a conta de serviço APM para delegar autenticação:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. A conta de serviço APM precisa conhecer o SPN de destino ao qual é confiável delegar. Defina o SPN de destino para a conta de serviço que executa seu aplicativo Web:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    Nota

    Você pode concluir essas tarefas com o snap-in Usuários e Computadores do Ative Directory, Console de Gerenciamento Microsoft (MMC), em um controlador de domínio.

Configurar o BIG-IP e o aplicativo de destino em diferentes domínios

Na versão do Windows Server 2012 e superior, o KCD entre domínios usa a Delegação Restrita Baseada em Recursos (RBCD). As restrições para um serviço são transferidas do administrador de domínio para o administrador de serviço. Essa delegação permite que o administrador de serviço back-end permita ou negue o SSO. Essa situação cria uma abordagem diferente na delegação de configuração, que é possível quando você usa o PowerShell ou o Editor de Interfaces de Serviço do Ative Directory (ADSI Edit).

Você pode usar a propriedade PrincipalsAllowedToDelegateToAccount da conta de serviço do aplicativo (computador ou conta de serviço dedicada) para conceder delegação do BIG-IP. Para esse cenário, use o seguinte comando do PowerShell em um controlador de domínio (Windows Server 2012 R2 ou posterior) no mesmo domínio que o aplicativo.

Use um SPN definido em relação a uma conta de serviço de aplicativo Web. Para maior segurança, use um SPN dedicado que corresponda ao cabeçalho do host do aplicativo. Por exemplo, como o cabeçalho do host do aplicativo Web neste exemplo é myexpenses.contoso.com, adicione HTTP/myexpenses.contoso.com ao objeto da conta de serviço do aplicativo no Ative Directory (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Para os comandos a seguir, observe o contexto.

Se o serviço web_svc_account for executado no contexto de uma conta de usuário, use estes comandos:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Se o serviço web_svc_account for executado no contexto de uma conta de computador, use estes comandos:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Para obter mais informações, consulte Delegação restrita de Kerberos entre domínios.

Configuração avançada BIG-IP

Use a seção a seguir para continuar a configurar as configurações do BIG-IP.

Definir configurações do provedor de serviços SAML

As configurações do provedor de serviços SAML definem as propriedades do SP SAML que o APM usa para sobrepor o aplicativo herdado com a pré-autenticação SAML. Para configurá-los:

  1. A partir de um browser, inicie sessão na consola de gestão F5 BIG-IP.

  2. Selecione Access>Federation>SAML Service Provider>Local SP Services>Create.

    Captura de tela da opção Criar em SAML Service Provider on Local SP Services.

  3. Forneça os valores de Nome e ID de Entidade que você salvou quando configurou o SSO para o Microsoft Entra ID.

    Captura de tela das entradas Nome e ID da Entidade em Criar Novo Serviço SAML SP.

  4. Se o ID da entidade SAML for uma correspondência exata da URL do aplicativo publicado, você poderá ignorar as Configurações de Nome da controladora de armazenamento. Por exemplo, se a ID da entidade for urn:myexpenses:contosoonline, o valor Scheme será https; o valor Host será myexpenses.contoso.com. Se o ID da entidade for "https://myexpenses.contoso.com", não é necessário fornecer essas informações.

Configurar um conector IdP externo

Um conector IdP SAML define as configurações para o BIG-IP APM confiar no Microsoft Entra ID como seu IdP SAML. Essas configurações mapeiam o SP SAML para um IdP SAML, estabelecendo a confiança de federação entre o APM e o ID do Microsoft Entra. Para configurar o conector:

  1. Role para baixo para selecionar o novo objeto SAML SP e, em seguida, selecione Ligar/Desvincular conectores IdP.

    Captura de tela da opção Bind Unbind IdP Connectors no SAML Service Provider on Local SP Services.

  2. Selecione Criar novo conector>IdP a partir de metadados.

    Captura de tela da opção De metadados em Criar novo conector IdP em Editar IdPs SAML

  3. Navegue até o arquivo XML de metadados de federação que você baixou e forneça um Nome do Provedor de Identidade para o objeto APM que representa o IdP SAML externo. O exemplo a seguir mostra MyExpenses_AzureAD.

    Captura de tela das entradas de nome Selecionar arquivo e provedor de identidade em Selecionar arquivo em Criar novo conector IdP SAML.

  4. Selecione Adicionar Nova Linha para escolher o novo valor de Conectores IdP SAML e, em seguida, selecione Atualizar.

    Captura de tela da opção Update para a entrada SAML IdP Connector.

  5. Selecione OK.

Configurar o SSO do Kerberos

Crie um objeto SSO APM para KCD SSO para aplicativos back-end. Use a conta de delegação APM que você criou.

  1. Selecione Access>Single Sign-on>Kerberos>Create e forneça as seguintes informações:

  • Nome: Depois de criá-lo, outros aplicativos publicados podem usar o objeto Kerberos SSO APM. Por exemplo, use Contoso_KCD_sso para vários aplicativos publicados para o domínio Contoso. Use MyExpenses_KCD_sso para um único aplicativo.

  • Origem do nome de usuário: especifique a origem do ID do usuário. Use uma variável de sessão APM como fonte. O uso de session.saml.last.identity é aconselhado porque ele contém o ID de usuário conectado da declaração Microsoft Entra.

  • User Realm Source: Necessário quando o domínio do usuário difere do realm Kerberos para KCD. Se os usuários estiverem em um domínio confiável separado, você tornará o APM ciente especificando a variável de sessão APM com o domínio de usuário conectado. Um exemplo é session.saml.last.attr.name.domain. Você faz essa ação em cenários em que o nome principal do usuário (UPN) é baseado em um sufixo alternativo.

  • Kerberos Realm: sufixo de domínio do usuário em maiúsculas

  • KDC: Endereço IP do controlador de domínio. Ou insira um nome de domínio totalmente qualificado se o DNS estiver configurado e eficiente.

  • Suporte UPN: Marque esta caixa de seleção se a origem do nome de usuário estiver no formato UPN, por exemplo, a variável session.saml.last.identity.

  • Nome da conta e senha da conta: credenciais da conta de serviço APM para executar o KCD

  • Padrão SPN: Se você usar HTTP/%h, o APM usará o cabeçalho de host da solicitação do cliente para criar o SPN para o qual está solicitando um token Kerberos.

  • Enviar autorização: desative essa opção para aplicativos que preferem negociar autenticação, em vez de receber o token Kerberos na primeira solicitação (por exemplo, Tomcat).

    Captura de tela das entradas Name, Username Source e SSO Method Configuration em General Properties.

Você pode deixar o KDC indefinido se o território do usuário for diferente do território do servidor back-end. Esta regra aplica-se a cenários de múltiplos domínios. Se você deixar o KDC indefinido, o BIG-IP tentará descobrir um realm Kerberos por meio de uma pesquisa DNS de registros SRV para o domínio do servidor back-end. Ele espera que o nome de domínio seja o mesmo que o nome do reino. Se o nome de domínio for diferente, especifique-o no arquivo /etc/krb5.conf .

O processamento de SSO Kerberos é mais rápido quando um endereço IP especifica um KDC. O processamento de SSO Kerberos é mais lento se um nome de host especificar um KDC. Devido a mais consultas DNS, o processamento é mais lento quando um KDC é indefinido. Certifique-se de que seu DNS está funcionando perfeitamente antes de mover uma prova de conceito para a produção.

Nota

Se os servidores back-end estiverem em vários reinos, crie um objeto de configuração SSO separado para cada realm.

Você pode injetar cabeçalhos como parte da solicitação SSO para o aplicativo back-end. Altere a configuração Propriedades Gerais de Básico para Avançado.

Para obter mais informações sobre como configurar um APM para KCD SSO, consulte o artigo F5 K17976428: Visão geral da delegação restrita de Kerberos.

Configurar um perfil de acesso

Um perfil de acesso vincula elementos APM que gerenciam o acesso a servidores virtuais BIG-IP. Esses elementos incluem políticas de acesso, configuração de SSO e configurações de interface do usuário.

  1. Selecione Perfis de Acesso>/ Políticas>Perfis de Acesso (Políticas por Sessão)>Crie e insira as seguintes propriedades:

    • Nome: Por exemplo, insira MyExpenses

    • Tipo de perfil: Selecione tudo

    • Configuração de SSO: Selecione o objeto de configuração de SSO do KCD que você criou

    • Idiomas aceitos: adicione pelo menos um idioma

    Captura de tela das entradas para Propriedades Gerais, SSO entre domínios de autenticação e Configurações de idioma.

  2. Para o perfil por sessão que você criou, selecione Editar.

    Captura de ecrã da opção Editar em Política por sessão.

  3. O editor de política visual é aberto. Selecione o sinal de adição ao lado do fallback.

    Captura de ecrã do botão plush-sign em Aplicar Política de Acesso.

  4. Na caixa de diálogo, selecione Autenticação>SAML Auth>Add Item.

    Captura de tela da opção Autenticação SAML na guia Autenticação.

  5. Na configuração da controladora de armazenamento de autenticação SAML, defina a opção Servidor AAA para usar o objeto da controladora de armazenamento SAML que você criou.

    Captura de ecrã da entrada AAA Server no separador Propriedades.

  6. Para alterar a ramificação bem-sucedida para Permitir, selecione o link na caixa superior Negar .

  7. Selecione Guardar.

    Captura de ecrã da opção Negar na Política de Acesso.

Configurar mapeamentos de atributos

Embora seja opcional, você pode adicionar uma configuração de LogonID_Mapping para habilitar a lista de sessões ativas do BIG-IP para exibir o UPN do usuário conectado, em vez de um número de sessão. Essas informações são úteis para analisar logs ou solucionar problemas.

  1. Para a ramificação SAML Auth Successful (Autenticação SAML bem-sucedida), selecione o sinal de adição.

  2. Na caixa de diálogo, selecione Atribuir Variável de Atribuição>Adicionar>Item.

    Captura de ecrã da opção Atribuir Variável no separador Atribuição.

  3. Insira um Nome.

  4. No painel Atribuição de variáveis, selecione Adicionar nova alteração de entrada>. O exemplo a seguir mostra LogonID_Mapping na caixa Nome.

    Captura de ecrã das opções Adicionar nova entrada e alterar.

  5. Defina ambas as variáveis:

    • Variável personalizada: Digite session.logon.last.username
    • Variável de sessão: insira session.saml.last.identity

  6. Selecione Salvar concluído>.

  7. Selecione o terminal Negar da ramificação bem-sucedida da política de acesso. Altere-o para Permitir.

  8. Selecione Guardar.

  9. Selecione Aplicar política de acesso e feche o editor.

    Captura de ecrã da opção Aplicar Política de Acesso.

Configurar o pool de back-end

Para que o BIG-IP encaminhe o tráfego do cliente com precisão, crie um objeto de nó BIG-IP que represente o servidor back-end que hospeda seu aplicativo. Em seguida, coloque esse nó em um pool de servidores BIG-IP.

  1. Selecione Lista de Pool de Pools de>Tráfego>>Local Criar e fornecer um nome para um objeto de pool de servidores. Por exemplo, digite MyApps_VMs.

    Captura de tela da entrada Nome em Configuração em Novo Pool.

  2. Adicione um objeto de membro do pool com os seguintes detalhes de recurso:

    • Nome do nó: Nome para exibição do servidor que hospeda o aplicativo Web back-end
    • Endereço: endereço IP do servidor que hospeda o aplicativo
    • Porta de serviço: porta HTTP/S em que o aplicativo está escutando

    Captura de ecrã das entradas Nome, Endereço e Porta de Serviço do Nó e a opção Adicionar.

Nota

Este artigo não aborda os monitores de integridade de configuração adicionais exigidos. Consulte K13397: Visão geral da formatação de solicitação de monitor de integridade HTTP para o sistema BIG-IP DNS.

Configurar o servidor virtual

Um servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual escutando solicitações de cliente para o aplicativo. O tráfego recebido é processado e avaliado em relação ao perfil de acesso APM associado ao servidor virtual, antes de ser direcionado de acordo com a política.

Para configurar um servidor virtual:

  1. Selecione Servidores Virtuais de Tráfego>Local Lista de>Servidores>Virtuais Criar.

  2. Insira um Nome e um endereço IPv4/IPv6 não alocados a um objeto ou dispositivo BIG-IP na rede conectada. O endereço IP é dedicado para receber tráfego de cliente para o aplicativo back-end publicado.

  3. Defina a Porta de Serviço como 443.

    Captura de ecrã das entradas Nome, Endereço de Destino/Máscara e Porta de Serviço em Propriedades Gerais.

  4. Defina HTTP Profile (Client) como http.

  5. Habilite um servidor virtual para Transport Layer Security (TLS) para permitir que os serviços sejam publicados por HTTPS.

  6. Para Perfil SSL (Cliente), selecione o perfil criado para os pré-requisitos. Ou use o padrão se estiver testando.

    Captura de tela das entradas Perfil HTTP e Perfil SSL para Cliente.

  7. Altere a conversão do endereço de origem para o mapa automático.

    Captura de ecrã da entrada Tradução de Endereço de Origem.

  8. Em Política de Acesso, defina Perfil de Acesso com base no perfil que criou. Esta seleção vincula o perfil de pré-autenticação SAML do Microsoft Entra e a política de SSO do KCD ao servidor virtual.

    Captura de ecrã da entrada Perfil de Acesso em Política de Acesso.

  9. Defina Pool padrão para usar os objetos de pool de back-end criados na seção anterior.

  10. Selecione Concluído.

    Captura de tela da entrada Pool Padrão para Recursos.

Definir configurações de gerenciamento de sessão

As configurações de gerenciamento de sessão BIG-IP definem as condições para as quais as sessões de usuário são encerradas ou permitidas para continuar, limites para usuários e endereços IP e páginas de erro. Você pode criar uma política aqui.

Vá para Perfil de Acesso a Perfis de Acesso à Política>de Acesso>e selecione um aplicativo na lista.

Se você definiu um valor de URI de Logout Único na ID do Microsoft Entra, isso garante que uma saída iniciada pelo IdP do portal MyApps termine a sessão entre o cliente e o APM BIG-IP. O arquivo XML de metadados de federação de aplicativos importados fornece ao APM o ponto de extremidade de saída do Microsoft Entra SAML para saída iniciada pelo SP. Para obter resultados eficazes, o APM precisa saber quando um usuário sai.

Considere um cenário em que um portal da Web BIG-IP não é usado. O usuário não pode instruir o APM a sair. Mesmo que o usuário saia do aplicativo, o BIG-IP ignora, portanto, a sessão do aplicativo pode ser restabelecida por meio do SSO. A saída iniciada pelo SP precisa ser considerada para garantir que as sessões sejam encerradas com segurança.

Nota

Você pode adicionar uma função SLO ao botão Sair do aplicativo. Esta função redireciona o cliente para o ponto de extremidade de saída SAML do Microsoft Entra. Encontre o ponto de extremidade de saída do SAML em Pontos de extremidade de registros de>aplicativos.

Se você não puder alterar o aplicativo, considere fazer com que o BIG-IP ouça a chamada de saída do aplicativo. Quando deteta a solicitação, ele aciona o SLO.

Para obter mais informações, consulte os artigos F5:

Resumo

Seu aplicativo é publicado e acessível via SHA, por sua URL ou por meio de portais de aplicativos da Microsoft. O aplicativo é visível como um recurso de destino no Microsoft Entra Conditional Access.

Para aumentar a segurança, as organizações que usam esse padrão podem bloquear o acesso direto ao aplicativo, o que força um caminho rigoroso através do BIG-IP.

Próximos passos

Como usuário, abra um navegador e conecte-se à URL externa do aplicativo. Você pode selecionar o ícone do aplicativo no portal Microsoft MyApps. Depois de se autenticar no locatário do Microsoft Entra, você será redirecionado para o ponto de extremidade BIG-IP do aplicativo e entrará via SSO.

Imagem do site do aplicativo de exemplo.

Acesso de convidado Microsoft Entra B2B

SHA suporta acesso de convidado Microsoft Entra B2B. As identidades de convidado são sincronizadas do locatário do Microsoft Entra para o domínio Kerberos de destino. Tenha uma representação local de objetos convidados para que o BIG-IP execute o KCD SSO no aplicativo back-end.

Resolução de Problemas

Durante a solução de problemas, considere os seguintes pontos:

  • Kerberos é sensível ao tempo. Requer servidores e clientes definidos para a hora correta e, quando possível, sincronizados com uma fonte de tempo confiável.
  • Verifique se os nomes de host do controlador de domínio e do aplicativo Web podem ser resolvidos no DNS
  • Certifique-se de que não há SPNs duplicados em seu ambiente. Execute a seguinte consulta na linha de comando: setspn -q HTTP/my_target_SPN.

Nota

Para validar se um aplicativo IIS está configurado para KCD, consulte Solucionar problemas de configurações de delegação restrita Kerberos para Proxy de Aplicativo. Consulte também o artigo AskF5, Método de logon único Kerberos.

Aumentar a verborragia do log

Os logs BIG-IP são uma fonte confiável de informações. Para aumentar o nível de verbosidade do log:

  1. Vá para Configurações de Logs de Eventos de Visão Geral>da Política>de Acesso.>
  2. Selecione a linha para o seu aplicativo publicado.
  3. Selecione Editar >logs do sistema de acesso.
  4. Selecione Depurar na lista SSO.
  5. Selecione OK.

Reproduza o seu problema antes de olhar para os registos. Em seguida, reverta esse recurso, quando terminar. Caso contrário, a verbosidade é significativa.

Erro BIG-IP

Se um erro BIG-IP aparecer após a pré-autenticação do Microsoft Entra, o problema pode estar relacionado ao SSO, do ID do Microsoft Entra para o BIG-IP.

  1. Vá para Visão geral>do Access>Acessar relatórios.
  2. Para ver se os logs têm alguma pista, execute o relatório para a última hora.
  3. Use o link Exibir variáveis de sessão para sua sessão para entender se o APM recebe as declarações esperadas do ID do Microsoft Entra.

Solicitação de back-end

Se nenhum erro BIG-IP aparecer, o problema provavelmente está relacionado à solicitação de back-end ou ao SSO do BIG-IP para o aplicativo.

  1. Vá para Access Policy>Overview>Ative Sessions.
  2. Selecione o link para sua sessão ativa.
  3. Use o link Exibir variáveis para determinar problemas de KCD de causa raiz, especialmente se o BIG-IP APM não conseguir obter os identificadores de usuário e domínio corretos.

Para obter ajuda com o diagnóstico de problemas relacionados ao KCD, consulte arquivado o guia de implantação do BIG-IP F5 Configurando a delegação restrita de Kerberos.

Recursos