Руководство по настройке простого входа F5 BIG-IP для единого входа Kerberos

Узнайте, как защитить приложения на основе Kerberos с помощью идентификатора Microsoft Entra с помощью F5 BIG-IP Easy Button 16.1.

Интеграция BIG-IP с идентификатором Microsoft Entra id обеспечивает множество преимуществ, в том числе:

• Улучшенная система управления. См. платформу нулевого доверия для обеспечения удаленной работы и дополнительные сведения о предварительной проверки подлинности Microsoft Entra.
• Применение политик организации. См. раздел "Что такое условный доступ?".
• Полный единый вход между идентификатором Microsoft Entra ID и опубликованными службами BIG-IP
• Управление удостоверениями и доступом с одной плоскости управления в Центре администрирования Microsoft Entra.

Дополнительные сведения о преимуществах см. в статье об интеграции F5 BIG-IP и Microsoft Entra.

Описание сценария

Этот сценарий является классическим, устаревшим приложением с помощью проверки подлинности Kerberos, также известного как встроенная проверка подлинности Windows (IWA), для доступа к защищенному содержимому.

Так как это устаревшая версия, приложение не имеет современных протоколов для поддержки прямой интеграции с идентификатором Microsoft Entra. Вы можете модернизировать приложение, но это затратно, требует планирования и приводит к риску потенциального простоя. Вместо этого контроллер доставки приложений F5 BIG-IP (ADC) мостит разрыв между устаревшим приложением и современной плоскостей управления идентификаторами путем перехода протокола.

Big-IP перед приложением включает наложение службы с помощью предварительной проверки подлинности Microsoft Entra и единого входа на основе заголовков, повышая уровень безопасности приложения.

Примечание.

Организации могут получить удаленный доступ к этому типу приложения с помощью прокси приложения Microsoft Entra

Архитектура сценария

Решение для безопасного гибридного доступа (SHA) для этого сценария содержит следующие компоненты:

• Приложение: опубликованная служба BIG-IP для защиты microsoft Entra SHA. Узел приложения присоединен к домену, поэтому интегрирован с Active Directory (AD).
• Идентификатор Microsoft Entra: поставщик удостоверений языка разметки утверждений безопасности (SAML), который проверяет учетные данные пользователя, условный доступ и единый вход на основе SAML в BIG-IP. С помощью единого входа Идентификатор Microsoft Entra предоставляет BIG-IP с необходимыми атрибутами сеанса.
• KDC: роль Центра распространения ключей (KDC) на контроллере домена (DC), выдача билетов Kerberos
• BIG-IP: обратный прокси-сервер и поставщик служб SAML (SP) в приложение, делегируя проверку подлинности поставщику удостоверений SAML перед выполнением единого входа на основе Kerberos в серверное приложение.

SHA для этого сценария поддерживает потоки, инициированные поставщиком услуг и поставщиком удостоверений. На следующем рисунке показан поток sp.

1. Пользователь подключается к конечной точке приложения (BIG-IP).
2. Политика доступа APM BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP)
3. Пользователь предварительной проверки подлинности идентификатора Microsoft Entra и применяет все примененные политики условного доступа.
4. Пользователь перенаправляется в BIG-IP (поставщик услуг SAML), и единый вход выполняется с использованием выданного токена SAML.
5. BIG-IP-запрашивает билет Kerberos у KDC
6. BIG-IP отправляет запрос к серверному приложению, а также билет Kerberos для единого входа.
7. Приложение авторизует запрос и возвращает полезные данные.

Необходимые компоненты

Предварительный интерфейс BIG-IP не требуется, но вам потребуется:

• Бесплатная учетная запись Azure или более поздней версии
• BIG-IP или развертывание виртуального выпуска BIG-IP (VE) в Azure
• Любая из следующих лицензий F5 BIG-IP:
  • Пакет F5 BIG-IP® Best
  • Автономный APM F5 BIG-IP
  • Лицензия надстройки F5 BIG-IP APM на локальном Диспетчер трафика ™ BIG-IP F5 BIG-IP® (LTM)
  • 90-дневная бесплатная пробная лицензия BIG-IP
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra ID, или созданные в идентификаторе Microsoft Entra и перетекаются обратно в локальный каталог.
• Одна из следующих ролей: глобальный администратор, администратор облачных приложений или администратор приложений.
• Ssl-веб-сертификат для служб публикации по протоколу HTTPS или использование сертификатов BIG-IP по умолчанию во время тестирования
• Приложение Kerberos или перейдите к active-directory-wp.com, чтобы узнать, как настроить единый вход в IIS в Windows.

Методы настройки BIG-IP

В этом руководстве описывается последняя интерактивная конфигурация 16.1 с помощью шаблона "Простая кнопка". С помощью простой кнопки Администратор не идут назад и вперед между идентификатором Microsoft Entra и BIG-IP, чтобы включить службы для SHA. Мастер управляемой конфигурации APM и Microsoft Graph обрабатывают управление развертываниями и политиками. Интеграция между BIG-IP APM и Идентификатором Microsoft Entra гарантирует, что приложения поддерживают федерацию удостоверений, единый вход и условный доступ Microsoft Entra, что снижает административные издержки.

Примечание.

Замените примеры строк или значений в этой статье этими строками для вашей среды.

Регистрация Easy Button

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Прежде чем клиент или служба сможет получить доступ к Microsoft Graph, он доверяется платформа удостоверений Майкрософт.. Это действие создает регистрацию приложения клиента для авторизации доступа easy Button к Graph. С помощью этих разрешений BIG-IP отправляет конфигурации для установления доверия между экземпляром SAML SP для опубликованного приложения и идентификатором Microsoft Entra в качестве поставщика удостоверений SAML.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям> удостоверений>Регистрация приложений > Новая регистрация.

3. Введите отображаемое имя приложения. Например, кнопка "Простой" F5 BIG-IP.

4. Укажите, кто может использовать учетные записи приложений >только в этом каталоге организации.

5. Выберите Зарегистрировать.

6. Перейдите в раздел Разрешения API и предоставьте следующие разрешения приложения Microsoft Graph:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

7. Предоставьте согласие администратора для вашей организации.

8. В сертификатах и секретах создайте новый секрет клиента. Запишите этот секрет.

9. В обзоре обратите внимание на идентификатор клиента и идентификатор клиента.

Настройка Easy Button

Запустите интерактивную конфигурацию APM, чтобы запустить шаблон Easy Button.

1. Перейдите к интеграции Microsoft с интерактивной конфигурацией > и > выберите приложение Microsoft Entra.

2. Просмотрите шаги конфигурации и нажмите кнопку "Далее"

3. Чтобы опубликовать приложение, выполните следующие действия.

   

Свойства конфигурации

На вкладке Configuration Properties (Свойства конфигурации) создаются конфигурация приложения BIG-IP и объект единого входа. Раздел сведений о учетной записи службы Azure может представлять клиент, зарегистрированный в клиенте Microsoft Entra ранее в качестве приложения. Эти параметры позволяют клиенту OAuth BIG-IP зарегистрировать samL SP в клиенте с помощью свойств единого входа, настроенных вручную. Easy Button выполняет это действие для каждой опубликованной и включенной службы BIG-IP для SHA.

Некоторые параметры являются глобальными, которые можно повторно использовать для публикации дополнительных приложений, сокращая время развертывания и усилия.

1. Укажите уникальное имя конфигурации.

2. Включите единый вход (единый вход) и заголовки HTTP.

3. Введите идентификатор клиента, идентификатор клиента и секрет клиента, который вы указали при регистрации клиента Easy Button в клиенте.

   

4. Подтвердите подключение BIG-IP к клиенту.

5. Выберите Далее.

Поставщик услуг

Параметры поставщика услуг — это свойства для экземпляра SAML SP приложения, защищенного с помощью SHA.

1. Для узла введите полное доменное имя (FQDN) приложения, защищенного.

2. Для идентификатора сущности введите идентификатор Microsoft Entra ID, который используется для идентификации samL SP, запрашивающей токен.

   

Необязательный Параметры безопасности указывает, шифрует ли идентификатор Microsoft Entra утверждения SAML. Шифрование утверждений между идентификатором Microsoft Entra ИД и APM BIG-IP обеспечивает большую уверенность в том, что маркеры содержимого не могут быть перехвачены, а личные или корпоративные данные не могут быть скомпрометированы.

3. В списке закрытого ключа расшифровки утверждений выберите "Создать".

4. Нажмите ОК. Откроется диалоговое окно импорта SSL-сертификата и ключей .
5. Выберите вариант PKCS 12 (IIS), чтобы импортировать сертификат и закрытый ключ.
6. После подготовки закройте вкладку браузера, чтобы вернуться на главную вкладку.

7. Установите флажок Enable Encrypted Assertion (Включить зашифрованное утверждение).
8. Если вы включили шифрование, выберите сертификат из списка закрытых ключей расшифровки утверждений. Этот закрытый ключ предназначен для сертификата, который big-IP APM использует для расшифровки утверждений Microsoft Entra.
9. Если вы включили шифрование, выберите сертификат из списка сертификатов расшифровки утверждений. BIG-IP отправляет этот сертификат в идентификатор Microsoft Entra для шифрования выданных утверждений SAML.

Microsoft Entra ID

В этом разделе определяются свойства для ручной настройки нового приложения SAML BIG-IP в клиенте Microsoft Entra. Easy Button содержит шаблоны приложений для Oracle Люди Soft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP и шаблона SHA для других приложений.

В этом сценарии выберите F5 BIG-IP APM Microsoft Entra ID Integration > Add.

Конфигурация Azure

1. Введите отображаемое имя приложения, которое BIG-IP создает в клиенте Microsoft Entra, и значок на портале MyApps.

2. Чтобы включить вход, инициированный поставщиком удостоверений, не вводите ничего в поле Sign On URL (optional) (URL-адрес входа (необязательно)).

3. Щелкните значок обновления рядом с ключомподписывания и сертификатом подписи, чтобы найти импортированный сертификат.

4. В парольной фразе ключа подписывания введите пароль сертификата.

5. Включите параметр подписи (необязательно), чтобы убедиться, что BIG-IP принимает маркеры и утверждения, подписанные идентификатором Microsoft Entra.

   

6. Группы пользователей и пользователей динамически запрашиваются из клиента Microsoft Entra и разрешают доступ к приложению. Добавьте пользователя или группу для тестирования, в противном случае доступ запрещен.

   

Утверждения и атрибуты пользователя

Когда пользователь проходит проверку подлинности в идентификаторе Microsoft Entra, он выдает токен SAML с набором утверждений и атрибутов по умолчанию, определяющим пользователя. На вкладке "Атрибуты пользователя" и "Утверждения" отображаются утверждения по умолчанию, которые будут выдаваться для нового приложения. Используйте его для настройки дополнительных утверждений.

Инфраструктура основана на суффиксе домена .com, используемом внутренне и внешне. Дополнительные атрибуты не требуются для реализации функционального единого входа Kerberos с ограниченным делегированием (KCD SSO). Дополнительные сведения см. в руководстве по нескольким доменам или входу пользователей с помощью альтернативного суффикса.

Дополнительные атрибуты пользователя

Вкладка "Дополнительные атрибуты пользователя" поддерживает различные распределенные системы, требующие использования атрибутов , хранящихся в других каталогах, для расширения сеанса. Атрибуты, полученные из источника протокола LDAP, можно внедрить как заголовки единого входа, чтобы управлять доступом на основе ролей, идентификаторов партнеров и т. д.

Примечание.

Эта функция не имеет корреляции с идентификатором Microsoft Entra, но является другим источником атрибутов.

Политика условного доступа

Политики условного доступа применяются после предварительной проверки подлинности Microsoft Entra для управления доступом на основе устройств, приложений, расположений и сигналов риска.

В представлении "Доступные политики" отображаются политики условного доступа без действий на основе пользователей.

В представлении "Выбранные политики" показаны политики, предназначенные для облачных приложений. Вы не можете отменить выбор политик или переместить их в список доступных политик, так как они применяются на уровне клиента.

Чтобы выбрать политику для применения к опубликованному приложению, выполните указанные ниже действия.

1. В списке доступных политик выберите политику.
2. Щелкните стрелку вправо и переместите ее в список выбранных политик.

Выбранные политики требуют проверка параметра "Включить" или "Исключить". Если оба варианта проверка, выбранная политика не применяется.

Примечание.

После переключения на эту вкладку появится список политик. С помощью кнопки обновления можно вручную заставить мастер запрашивать клиент, но эта кнопка появится после развертывания приложения.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом, который ожидает передачи клиентских запросов к приложению. Полученный трафик обрабатывается и оценивается в профиле APM, связанном с виртуальным сервером. Трафик направляется в соответствии с политикой.

1. Введите целевой адрес, доступный IPv4/IPv6-адрес, который big-IP может использовать для получения трафика клиента. Существует соответствующая запись на сервере доменных имен (DNS), что позволяет клиентам разрешать внешний URL-адрес опубликованного приложения BIG-IP для этого IP-адреса вместо приложения. Использование тестового компьютера localhost DNS допустимо для тестирования.

2. Для порта службы введите 443 для HTTPS.

3. Проверьте включение порта перенаправления и введите порт перенаправления, который перенаправляет входящий трафик клиента HTTP на HTTPS.

4. Профиль SSL клиента включает виртуальный сервер для HTTPS, поэтому клиентские подключения шифруются по протоколу TLS. Выберите профиль SSL клиента, созданный для предварительных требований, или оставьте значение по умолчанию при тестировании.

   

Свойства пула

На вкладке "Пул приложений" отображаются службы, лежащие в основе BIG-IP, представленные в виде пула с серверами приложений.

1. Для выбора пула создайте новый пул или выберите один из них.

2. Выберите метод балансировки нагрузки, например циклический робин.

3. Для серверов пула выберите узел сервера или укажите IP-адрес и порт для внутреннего узла, в котором размещено приложение на основе заголовков.

   

Серверное приложение выполняется через HTTP-порт 80. Можно переключить порт на 443, если приложение работает на HTTPS.

Заголовки единого входа и HTTP

Включение единого входа позволяет пользователям получать доступ к опубликованным службам BIG-IP, не вводя учетные данные. Мастер Easy Button поддерживает Kerberos, носитель OAuth и заголовки авторизации HTTP для единого входа. Для этих инструкций используйте созданную учетную запись делегирования Kerberos.

Активируйте параметры Kerberos и Show Advanced Setting (Показывать дополнительные параметры), чтобы ввести следующее:

• Источник имени пользователя: предпочтительное имя пользователя для кэширования единого входа. Вы можете предоставить переменную сеанса в качестве источника идентификатора пользователя, но session.saml.last.identity работает лучше, так как оно содержит утверждение Microsoft Entra, содержащее идентификатор пользователя, вошедшего в систему.

• Источник области пользователя: требуется, если домен пользователя отличается от области Kerberos BIG-IP. В этом случае переменная сеанса APM содержит домен пользователя, вошедший в систему. Например session.saml.last.attr.name.domain

  

• KDC: IP-адрес контроллера домена или полное доменное имя, если DNS настроен и эффективен

• Поддержка имени участника-пользователя. Включите этот параметр для APM, чтобы использовать универсальное имя участника-пользователя для запроса Kerberos

• Шаблон субъекта-службы: используйте http/%h, чтобы сообщить APM об использовании заголовка узла запроса клиента и создать имя субъекта-службы (SPN), для которого он запрашивает токен Kerberos.

• Отправка авторизации. Отключите для приложений, которые согласовывают проверку подлинности вместо получения маркера kerberos в первом запросе. Например, Tomcat.

  

Управление сеансом

Параметры управления сеансами BIG-IPs определяют условия, в которых сеансы пользователя завершаются или продолжаются, ограничения для пользователей и IP-адресов и соответствующие сведения о пользователе. См. статью AskF5 K18390492: безопасность | Руководство по операциям APM BIG-IP для параметров.

Функции единого выхода (SLO), обеспечивающие сеансы между поставщиком удостоверений, BIG-IP и агентом пользователя завершаются при выходе пользователя. Когда easy Button создает экземпляр приложения SAML в клиенте Microsoft Entra, он заполняет URL-адрес выхода конечной точкой APM SLO. Выход, инициированный поставщиком удостоверений, на портале Microsoft Entra Мои приложения завершает сеанс между BIG-IP и клиентом.

Метаданные федерации SAML для опубликованного приложения импортируются из клиента, предоставляя APM конечной точке выхода SAML для идентификатора Microsoft Entra ID. Это действие гарантирует, что выход, инициированный поставщиком службы, завершает сеанс между клиентом и идентификатором Microsoft Entra. APM должен знать, когда пользователь выходит из приложения.

Если веб-портал BIG-IP обращается к опубликованным приложениям, выход обрабатывается APM для вызова конечной точки выхода Microsoft Entra. Но рассмотрим сценарий, когда портал webtop BIG-IP не используется, пользователь не может указать APM выйти из него. Даже если пользователь выходит из приложения, big-IP не забвевает. Таким образом, рассмотрите возможность выхода, инициированного поставщиком службы, чтобы обеспечить безопасное завершение сеансов. Вы можете добавить функцию SLO в кнопку выхода приложения, чтобы он перенаправлял клиента в microsoft Entra SAML или конечную точку выхода BIG-IP.

URL-адрес конечной точки выхода SAML для клиента находится в конечных точках регистрации приложений>.

Если вы не можете изменить приложение, рассмотрите возможность прослушивания BIG-IP для вызова выхода приложения и при обнаружении запроса он активирует SLO. Дополнительные сведения о big-IP iRules см. в руководстве Oracle Люди Soft SLO. Дополнительные сведения об использовании iRules BIG-IP см. в следующей статье:

• K42052145. Настройка автоматического завершения сеанса (выход) на основе имени файла, на который ссылается URI
• K12056: обзор параметра включения URI выхода.

Итоги

Этот раздел — это разбивка конфигураций.

Выберите "Развернуть " для фиксации параметров и убедитесь, что приложение находится в списке корпоративных приложений клиента.

Конфигурации KCD AD DS

Чтобы APM BIG-IP выполнял единый вход в серверное приложение от имени пользователей, настройте KCD в целевом домене Active Directory (AD). Для делегирования проверки подлинности необходимо подготовить APM BIG-IP с учетной записью службы домена.

Пропустите этот раздел, если настроена учетная запись службы APM и делегирование. В противном случае войдите в контроллер домена с учетной записью администратора.

В этом сценарии приложение размещается на сервере APP-VM-01 и выполняется в контексте учетной записи службы с именем web_svc_account, а не удостоверения компьютера. Делегируемая учетная запись службы, назначенная APM, называется F5-BIG-IP.

Создание учетной записи делегирования APM BIG-IP

Big-IP не поддерживает группу управляемых учетных записей служб (gMSA), поэтому создайте стандартную учетную запись пользователя для учетной записи службы APM.

1. Введите следующую команду PowerShell. Замените значения UserPrincipalName и SamAccountName значениями среды. Для повышения безопасности используйте выделенное имя субъекта-службы, соответствующее заголовку узла приложения.

   New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

   HOST_SPN = узел/f5-big-ip.contoso.com@contoso.com

   Примечание.

   Если узел используется, любое приложение, работающее на узле, делегирует учетную запись, в то время как при использовании HTTPS она разрешает только операции, связанные с протоколом HTTP.

2. Создайте имя субъекта-службы (SPN) для учетной записи службы APM, используемой во время делегирования учетной записи службы веб-приложений:

   Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{ Add="host/f5-big-ip.contoso.com" }

   Примечание.

   Обязательно включить узел или часть в формат UserPrincipleName (host/name.domain@domain) или ServicePrincipleName (host/name.domain).

3. Перед указанием целевого имени субъекта-службы просмотрите ее конфигурацию субъекта-службы. Убедитесь, что имя субъекта-службы отображается в учетной записи службы APM. Делегаты учетной записи службы APM для веб-приложения:

   • Убедитесь, что веб-приложение выполняется в контексте компьютера или выделенной учетной записи службы.

   • Для контекста компьютера выполните следующую команду, чтобы запросить объект учетной записи в Active Directory, чтобы просмотреть определенные имена субъектов-служб. Замените < name_of_account > на учетную запись для вашей среды.

     Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Например: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

   • Для выделенной учетной записи службы выполните следующую команду, чтобы запросить объект учетной записи в Active Directory, чтобы просмотреть определенные имена субъектов-служб. Замените < name_of_account > на учетную запись для вашей среды.

     Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Например:

     Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

4. Если приложение запущено в контексте компьютера, добавьте имя участника-службы в объект учетной записи компьютера в Active Directory:

   Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Определяя имена субъектов-служб, установите доверие для делегата учетной записи службы APM в этой службе. Конфигурация зависит от топологии экземпляра BIG-IP и сервера приложений.

Настройка BIG-IP и целевого приложения в одном домене

1. Настройте доверие для учетной записи службы APM, чтобы делегировать проверку подлинности.

   Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

2. Учетная запись службы APM должна знать целевое имя субъекта-службы, которому оно доверено делегировать. Задайте целевой имя субъекта-службы учетной записи службы, работающей в веб-приложении:

   Set-ADUser -Identity f5-big-ip -Add @{ 'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com') }

   Примечание.

   Эти задачи можно выполнить с помощью оснастки Пользователи и компьютеры Active Directory консоли управления Майкрософт (MMC) на контроллере домена.

BIG-IP и приложение в разных доменах

В windows Server 2012 и более поздних версиях KCD использует ограниченное делегирование на основе ресурсов (RBCD). Ограничения для службы передаются администратору домена администратору службы. Это делегирование позволяет администратору серверной службы разрешать или запрещать единый вход. Эта ситуация создает другой подход к делегированию конфигурации, что возможно при использовании редактора интерфейсов служб PowerShell или Active Directory (ADI Edit).

Свойство PrincipalsAllowedToDelegateToAccount учетной записи службы приложений (компьютер или выделенная учетная запись службы) можно использовать для предоставления делегирования из BIG-IP. В этом сценарии используйте следующую команду PowerShell на контроллере домена (Windows Server 2012 R2 или более поздней версии) в том же домене, что и приложение.

Используйте имя субъекта-службы, определенное для учетной записи службы веб-приложений. Для повышения безопасности используйте выделенное имя субъекта-службы, соответствующее заголовку узла приложения. Например, так как заголовок узла веб-приложения в этом примере — myexpenses.contoso.comдобавление HTTP/myexpenses.contoso.com в объект учетной записи службы приложений в Active Directory (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Для следующих команд обратите внимание на контекст.

Если служба web_svc_account выполняется в контексте учетной записи пользователя, используйте следующие команды:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com

''Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount'

$big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Если служба web_svc_account выполняется в контексте учетной записи компьютера, используйте следующие команды:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com

Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount

$big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Дополнительную информацию см. в разделе Ограниченное делегирование Kerberos в доменах.

Представление приложения

В браузере подключитесь к внешнему URL-адресу приложения или выберите значок приложения на портале Microsoft MyApps. После проверки подлинности в идентификаторе Microsoft Entra вы перенаправляетесь на виртуальный сервер BIG-IP для приложения и войдете через единый вход.

Для повышения безопасности организации, использующие этот шаблон, могут блокировать прямой доступ к приложению, что заставляет строгий путь через BIG-IP.

Гостевой доступ Microsoft Entra B2B

Гостевой доступ Microsoft Entra B2B поддерживается для этого сценария, при этом гостевые удостоверения, поступающие из клиента Microsoft Entra в каталог, который приложение использует для авторизации. Без локального представления гостевого объекта в AD big-IP не удается получить билет kerberos для единого входа KCD в серверное приложение.

Расширенное развертывание

Шаблоны управляемой конфигурации могут не обеспечить гибкость для достижения некоторых требований. Описание таких сценариев см. в разделе Расширенная конфигурация для единого входа на основе Kerberos.

Кроме того, в BIG-IP можно отключить режим строгого управления управляемой конфигурацией. Вы можете вручную изменить конфигурации, хотя основная часть конфигураций автоматизирована с помощью шаблонов на основе мастера.

Вы можете перейти к интерактивной конфигурации Access > и выбрать небольшой значок блокировки в правой части строки для конфигураций приложений.

На этом этапе изменения с пользовательским интерфейсом мастера недоступны, но все объекты BIG-IP, связанные с опубликованным экземпляром приложения, разблокируются для управления.

Примечание.

Повторное включение строгого режима и развертывание параметров конфигурации перезаписывается за пределами пользовательского интерфейса интерактивной конфигурации. Поэтому мы рекомендуем расширенный метод конфигурации для рабочих служб.

Устранение неполадок

При устранении неполадок единого входа kerberos помните о следующих понятиях.

• Kerberos учитывает время, поэтому требуется, чтобы серверы и клиенты устанавливали правильное время, а по возможности синхронизированы с надежным источником времени.
• Убедитесь, что имена узлов для контроллера домена и веб-приложения разрешимы в DNS.
• Убедитесь, что в среде AD нет повторяющихся имен субъектов-служб: выполните следующий запрос на компьютере домена: setpn -q HTTP/my_target_SPN

Вы можете обратиться к руководству по прокси приложениям, чтобы проверить, настроено ли приложение IIS для KCD. См. также статью AskF5, метод единого входа Kerberos.

Анализ журналов: увеличение детализации

Используйте ведение журнала BIG-IP, чтобы изолировать проблемы с подключением, единым входом, нарушениями политики или неправильно настроенными сопоставлениями переменных. Чтобы приступить к устранению неполадок, повысьте уровень детализации журналов.

1. Перейдите к журналам > событий обзора > политики > доступа Параметры.
2. Выберите строку опубликованного приложения, а затем измените > журналы системы доступа.
3. Выберите Debug (Отладка) в списке единого входа, а затем нажмите кнопку OK.

Воспроизвести проблему и проверить журналы. По завершении отменить изменения функции, так как подробный режим создает много данных.

Страница ошибок BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с единым входом из Идентификатора Microsoft Entra к BIG-IP.

1. Перейдите к отчетам Access Overview > Access>.
2. Чтобы просмотреть журналы для подсказок, запустите отчет за последний час.
3. Используйте ссылку "Просмотр переменных сеанса ", чтобы понять, получает ли APM ожидаемые утверждения из идентификатора Microsoft Entra.

Внутренний запрос

Если страница ошибки не отображается, проблема, вероятно, связана с внутренним запросом или единым входом из BIG-IP в приложение.

1. Перейдите к обзору > активных сеансов политики > доступа.
2. Щелкните ссылку для активного сеанса. Ссылка "Переменные представления" в этом расположении может помочь определить первопричину проблем KCD, особенно если big-IP APM не удается получить правильные идентификаторы пользователя и домена из переменных сеанса.

Дополнительные сведения см. в разделе:

• dev/central: переменная APM назначает примеры
• MyF5: переменные сеанса