Поделиться через


Руководство: Настройка F5 BIG-IP Access Policy Manager для проверки подлинности Kerberos

В этом руководстве описано, как реализовать безопасный гибридный доступ (SHA) с единым входом в приложения Kerberos с помощью расширенной конфигурации F5 BIG-IP. Включение опубликованных служб BIG-IP для использования единого входа в Microsoft Entra обеспечивает множество преимуществ, в том числе:

Дополнительные сведения о преимуществах см. в статье Интеграция F5 BIG-IP с идентификатором Microsoft Entra.

Описание сценария

В этом сценарии вы настроите бизнес-приложение для проверки подлинности Kerberos, также известное как встроенная проверка подлинности Windows.

Для интеграции приложения с Microsoft Entra ID требуется поддержка протокола на основе федерации, например, язык разметки подтверждений безопасности (SAML). Так как модернизация приложения приводит к риску потенциального простоя, существуют и другие варианты.

Когда вы используете ограниченное делегирование Kerberos (KCD) для единого входа, вы можете использовать прокси-сервер приложений Microsoft Entra для удаленного доступа к приложению. Вы можете осуществить переход протокола для интеграции устаревшего приложения с современной плоскостью управления идентификацией.

Еще один подход заключается в использовании контроллера доставки приложений F5 BIG-IP. Этот подход обеспечивает наложение приложения с помощью предварительной проверки подлинности Microsoft Entra и единого входа KCD. Он улучшает общую архитектуру Zero Trust приложения.

Архитектура сценария

Решение SHA для этого сценария содержит следующие элементы:

  • Приложение: серверная служба Kerberos, опубликованная BIG-IP и защищенная SHA

  • BIG-IP: функции обратного проксирования для размещения внутренних приложений. Диспетчер политик доступа (APM) дополняет опубликованные приложения функциями поставщика услуг SAML (SP) и функцией единого входа.

  • Microsoft Entra ID: поставщик удостоверений (IdP), который проверяет учетные данные пользователей, функциональность условного доступа Microsoft Entra и единый вход в BIG-IP APM через SAML

  • KDC: Центр распределения ключей на контроллере домена (DC), который выдает токены Kerberos

На следующем изображении показан процесс, инициированный поставщиком услуг SAML, для этого сценария, но процесс, инициированный поставщиком удостоверений, также поддерживается.

Схема архитектуры сценария.

Поток пользователя

  1. Пользователь подключается к конечной точке приложения (BIG-IP)
  2. Политика доступа BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP)
  3. Идентификатор Microsoft Entra id предварительно выполняет проверку подлинности пользователя и применяет примененные политики условного доступа.
  4. Пользователь перенаправляется на BIG-IP (SAML SP), а единый вход выполняется с помощью выданного токена SAML.
  5. BIG-IP проверяет подлинность пользователя и запрашивает билет Kerberos из KDC
  6. BIG-IP отправляет запрос в серверное приложение с билетом Kerberos на единый вход
  7. Приложение авторизует запрос и возвращает полезную нагрузку

Предварительные условия

Предварительный опыт работы с BIG-IP не требуется. Вам нужно:

  • Бесплатная учетная запись Azure или подписка на более высокий уровень.
  • BIG-IP или развертывание BIG-IP Virtual Edition в Azure.
  • Любая из следующих лицензий F5 BIG-IP:
    • Пакет F5 BIG-IP Best.
    • Отдельная лицензия F5 BIG-IP APM
    • Лицензия надстройки F5 BIG-IP APM на локальном диспетчере трафика BIG-IP (LTM)
    • 90-дневный BIG-IP бесплатная пробная лицензия
  • Удостоверения пользователей , синхронизированные из локального каталога в Microsoft Entra ID или созданные в Microsoft Entra ID и возвращённые обратно в локальный каталог.
  • Одна из следующих ролей в клиенте Microsoft Entra: администратор облачных приложений или администратор приложений.
  • Сертификат веб-сервера для служб публикации по протоколу HTTPS или использование сертификатов BIG-IP по умолчанию в процессе тестирования.
  • Приложение Kerberos или посетите сайт active-directory-wp.com, чтобы узнать, как настроить SSO (единую систему входа) в IIS на Windows.

Методы настройки BIG-IP

В этой статье рассматривается расширенная конфигурация, гибкая реализация SHA, которая создает объекты конфигурации BIG-IP. Этот подход можно использовать для сценариев, которые не охватывают шаблоны управляемой конфигурации.

Примечание.

Замените все примеры строк или значений в этой статье фактическими значениями.

Регистрация F5 BIG-IP в Microsoft Entra ID

Прежде чем BIG-IP сможет передать предварительную проверку подлинности службе Microsoft Entra ID, зарегистрируйте его в вашем клиенте. Этот процесс инициирует единую аутентификацию между обеими сущностями. Приложение, создаваемое из шаблона коллекции F5 BIG-IP, является доверяющей стороной, представляющей SAML SP для опубликованного приложения BIG-IP.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к Entra ID>Enterprise apps>All applications, а затем выберите Создать приложение.

  3. Откроется панель "Обзор коллекции Microsoft Entra" с плитками для облачных платформ, локальных приложений и дополнительных приложений. Приложения в разделе "Рекомендуемые приложения" имеют значки, указывающие на поддержку ими единой аутентификации и управления доступом.

  4. В галерее Azure найдите F5 и выберите F5 BIG-IP APM интеграция с Microsoft Entra ID.

  5. Введите имя нового приложения, чтобы распознать экземпляр приложения.

  6. Выберите «Добавить или создать», чтобы добавить это в арендатора.

Включить единый вход для F5 BIG-IP

Настройте регистрацию BIG-IP для выполнения токенов SAML, запрашивающих APM BIG-IP.

  1. В разделе "Управление " в меню слева выберите единый вход. Откроется панель единого входа .
  2. На странице "Выбор метода единого входа" выберите SAML. Выберите Нет, отложить сохранение, чтобы пропустить этот запрос.
  3. На панели «Настройка единого входа с помощью SAML» щелкните значок карандаша, чтобы изменить базовую конфигурацию SAML.
  4. Замените предопределенное значение идентификатора полным URL-адресом для опубликованного приложения BIG-IP.
  5. Замените значение URL-адреса ответа , но сохраните путь к конечной точке SAML SP приложения.

Примечание.

В этой конфигурации поток SAML работает в режиме, инициированном IdP. Microsoft Entra ID выдает SAML-утверждение перед перенаправлением пользователя на endpoint BIG-IP для приложения.

  1. Чтобы использовать режим, инициированный поставщиком службы, введите URL-адрес приложения в URL-адресе для входа.

  2. В поле Url-адрес выхода введите конечную точку единого выхода APM (SLO) BIG-IP, добавленную перед заголовком хоста опубликованной службы. Это действие гарантирует, что сеанс BIG-IP APM завершается после выхода пользователя из учетной записи Microsoft Entra ID.

    Снимок экрана записей URL-адресов в базовой конфигурации SAML.

Примечание.

Начиная с версии 16 операционной системы управления трафиком (TMOS) BIG-IP, конечная точка SAML SLO изменилась на /saml/sp/profile/redirect/slo.

  1. Перед закрытием конфигурации SAML нажмите кнопку "Сохранить".
  2. Пропустите запрос на тестирование единого входа.
  3. Обратите внимание на свойства раздела "Атрибуты пользователя и утверждения ". Microsoft Entra ID предоставляет пользователям свойства для аутентификации с помощью BIG-IP APM и для единого входа в бекенд-приложение.
  4. Чтобы сохранить XML-файл метаданных федерации на компьютере, на панели сертификатов подписи SAML нажмите кнопку "Скачать".

Примечание.

Сертификаты подписывания SAML, создаваемые идентификатором Microsoft Entra, имеют срок действия трех лет. Дополнительные сведения см. в разделе "Управляемые сертификаты" для федеративного единого входа.

Предоставление доступа пользователям и группам

По умолчанию идентификатор Microsoft Entra id выдает маркеры для пользователей, которым предоставлен доступ к приложению. Чтобы предоставить пользователям и группам доступ к приложению, выполните следующие действия.

  1. На панели обзора приложения F5 BIG-IP выберите "Назначить пользователей и группы".

  2. Выберите +Добавить пользователя или группу.

    Снимок экрана: параметр

  3. Выберите пользователей и группы, а затем нажмите кнопку "Назначить".

Настройка ограниченного делегирования в Active Directory Kerberos

Чтобы APM BIG-IP выполнял единый вход в серверное приложение от имени пользователей, настройте KCD в целевом домене Active Directory (AD). Для делегирования проверки подлинности необходимо настроить BIG-IP APM с учетной записью доменной службы.

В этом сценарии приложение развернуто на сервере APP-VM-01 и выполняется от имени учетной записи службы с именем web_svc_account, а не от имени компьютера. Делегированная учетная запись службы, назначенная APM, — это F5-BIG-IP.

Создать делегированную учетную запись APM BIG-IP

Big-IP не поддерживает группу управляемых учетных записей служб (gMSA), поэтому создайте стандартную учетную запись пользователя для учетной записи службы APM.

  1. Введите следующую команду PowerShell. Замените значения UserPrincipalName и SamAccountName значениями среды. Для повышения безопасности используйте выделенное имя субъекта-службы (SPN), соответствующее заголовку хоста приложения.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = хост/f5-big-ip.contoso.com@contoso.com

    Примечание.

    Если узел используется, любое приложение, работающее на узле, делегирует учетную запись, в то время как при использовании HTTPS она разрешает только операции, связанные с протоколом HTTP.

  2. Создайте имя субъекта-службы (SPN) для учетной записи службы APM, используемой во время делегирования учетной записи службы веб-приложений:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    Примечание.

    Обязательно включать часть host/ в формате UserPrincipalName (host/name.domain@domain) или ServicePrincipalName (host/name.domain).

  3. Перед указанием целевого SPN просмотрите его конфигурацию. Убедитесь, что SPN отображается в учетной записи службы APM. Делегаты учетной записи службы APM для веб-приложения:

    • Убедитесь, что веб-приложение выполняется в контексте компьютера или выделенной учетной записи службы.

    • Для контекста компьютера выполните следующую команду, чтобы запросить объект учетной записи в Active Directory и просмотреть его заданные СПН. Замените <name_of_account> на учетную запись, соответствующую вашей среде.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Например: для получения информации о пользователе Active Directory используйте команду Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • Для выделенной учетной записи службы выполните следующую команду, чтобы запросить объект учетной записи в Active Directory и просмотреть его определенные имена служб безопасности (SPN). Замените <name_of_account> на учетную запись, соответствующую вашей среде.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Например, это можно сделать следующей PowerShell командой: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Если приложение запущено в контексте машины, добавьте SPN в объект учетной записи компьютера в Active Directory.

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Определив имена субъектов-служб (SPN), установите доверие для учетной записи службы APM, делегированной этой службе. Конфигурация зависит от топологии экземпляра BIG-IP и сервера приложений.

Настройка BIG-IP и целевого приложения в одном домене

  1. Настройте доверие для учетной записи службы APM, чтобы делегировать проверку подлинности.

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. Учетная запись службы APM должна знать целевой SPN, которому она может делегировать. Задайте целевой SPN для учетной записи службы, работающей для вашего веб-приложения.

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    Примечание.

    Эти задачи можно выполнить с помощью оснастки Active Directory Users and Computers консоли управления Microsoft (MMC) на контроллере домена.

Настройка BIG-IP и целевого приложения в разных доменах

В Windows Server 2012 и более поздних версиях, кросс-доменная KCD использует ограниченное делегирование на основе ресурсов (RBCD). Ограничения для службы передаются администратору домена администратору службы. Это делегирование позволяет администратору серверной службы управлять разрешением или запретом единого входа. Эта ситуация создает другой подход к делегированию конфигурации, что возможно при использовании редактора интерфейсов служб PowerShell или Active Directory (ADI Edit).

Свойство PrincipalsAllowedToDelegateToAccount учетной записи службы приложений (компьютера или выделенной учетной записи службы) можно использовать для разрешения делегирования полномочий через BIG-IP. В этом сценарии используйте следующую команду PowerShell на контроллере домена (Windows Server 2012 R2 или более поздней версии) в том же домене, что и приложение.

Используйте SPN, связанное с учетной записью службы веб-приложений. Для повышения безопасности используйте выделенное SPN (субъект-службы), которое соответствует заголовку узла приложения. Например, поскольку в этом примере хост-заголовок веб-приложения является myexpenses.contoso.com, добавьте HTTP/myexpenses.contoso.com в объект учетной записи службы приложений в Active Directory (AD).

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Для следующих команд обратите внимание на контекст.

Если служба web_svc_account выполняется в контексте учетной записи пользователя, используйте следующие команды:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Если служба web_svc_account выполняется в контексте учетной записи компьютера, используйте следующие команды:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Дополнительные сведения см. в разделе "Ограниченное делегирование Kerberos" между доменами.

Расширенная настройка BIG-IP

Используйте следующий раздел, чтобы продолжить настройку конфигураций BIG-IP.

Настройка параметров поставщика службы SAML

Параметры поставщика служб SAML определяют свойства SAML SP, которые APM использует для переложения устаревшего приложения с предварительной аутентификацией SAML. Чтобы их настроить, выполните следующие действия:

  1. В браузере войдите в консоль управления F5 BIG-IP.

  2. Выберите доступфедерации SAML-поставщика услуглокальных услуг SPСоздать.

    Снимок экрана: параметр

  3. Укажите значения Name и Entity ID, которые вы сохранили при настройке единого входа для Microsoft Entra ID.

    Снимок экрана: записи имени и идентификатора сущности для создания службы SAML SP.

  4. Если идентификатор сущности SAML точно совпадает с URL-адресом опубликованного приложения, можно пропустить настройки имени поставщика услуг. Например, если идентификатор сущности является urn:myexpenses:contosoonline, значение схемыhttps; Значение узла— myexpenses.contoso.com. Если идентификатор сущности имеет значение "https://myexpenses.contoso.com", вам не нужно предоставлять эти сведения.

Настройка внешнего коннектора поставщика удостоверений

Соединитель SAML IdP определяет настройки для APM BIG-IP, чтобы доверять Microsoft Entra ID как поставщику удостоверений SAML. Эти параметры сопоставляют SAML SP с SAML IdP, создавая доверительные отношения федерации между APM и Microsoft Entra ID. Чтобы настроить соединитель, выполните следующие действия:

  1. Прокрутите вниз, чтобы выбрать новый объект SAML SP, а затем выберите Bind/Unbind IdP Connectors.

    Снимок экрана: параметр

  2. Выберите Создать новый соединитель поставщика удостоверений>из метаданных.

    Снимок экрана: параметр

  3. Перейдите к загруженному XML-файлу метаданных федерации и укажите имя поставщика удостоверений для объекта APM, представляющего внешний поставщик удостоверений SAML. В следующем примере показано MyExpenses_AzureAD.

    Скриншот: записи 'Выбор файла' и 'Имя поставщика удостоверений' в диалоге создания нового соединителя SAML IdP.

  4. Выберите Добавить новую строку, чтобы выбрать новое значение коннекторов поставщика удостоверений SAML, а затем нажмите Обновить.

    Снимок экрана: параметр

  5. Нажмите кнопку "ОК".

Настройте Kerberos для единого входа в систему

Создайте объект единого входа APM для единого входа KCD в внутренних приложениях. Используйте учетную запись делегирования APM, которую вы создали.

  1. Выберите Access>Единый вход>Kerberos>Создать и укажите следующие сведения:
  • Имя: После создания другие приложения, опубликованные ранее, могут использовать объект APM Kerberos SSO. Например, используйте Contoso_KCD_sso для нескольких опубликованных приложений для домена Contoso. Используйте MyExpenses_KCD_sso для одного приложения.

  • Источник имени пользователя: укажите источник идентификатора пользователя. Используйте переменную сеанса APM в качестве источника. Рекомендуется использовать session.saml.last.identity , так как он содержит идентификатор пользователя, вошедшего в систему, из утверждения Microsoft Entra.

  • Источник пользовательской области: требуется, если домен пользователя отличается от области Kerberos для KCD. Если пользователи находятся в отдельном доверенном домене, нужно проинформировать APM, указав переменную сеанса APM с доменом пользователя, выполнившего вход. Например session.saml.last.attr.name.domain. Это действие выполняется в сценариях, когда имя или идентификатор пользователя (UPN) основано на альтернативном суффиксе.

  • Область Kerberos: суффикс домена пользователя в верхнем регистре

  • KDC: IP-адрес контроллера домена. Или введите полное доменное имя, если DNS настроен и эффективен.

  • Поддержка UPN: установите этот флажок, если имя пользователя в формате UPN, например, переменная session.saml.last.identity.

  • Имя учетной записи и пароль учетной записи: учетные данные учетной записи службы APM для выполнения KCD

  • Шаблон SPN: Если вы используете HTTP/%h, APM использует заголовок Host запроса клиента для создания SPN, для которого он запрашивает токен Kerberos.

  • Отправка авторизации: отключите этот параметр для приложений, предпочитающих согласование проверки подлинности, вместо получения маркера Kerberos в первом запросе (например, Tomcat).

    Снимок экрана: записи конфигурации метода

Центр распространения ключей можно не указывать, если область пользователя отличается от области внутреннего сервера. Это правило применяется к сценариям с несколькими доменами. Если вы не определили KDC, BIG-IP пытается найти реалм Kerberos с помощью DNS-запроса записей SRV для домена серверов на заднем конце. Он ожидает, что доменное имя будет совпадать с именем области. Если доменное имя отличается, укажите его в файле /etc/krb5.conf .

Обработка Kerberos SSO ускоряется, когда IP-адрес указывает на контроллер домена KDC. Обработка единого входа Kerberos осуществляется медленнее, если в имени узла указан KDC. Из-за большего количества запросов DNS обработка замедляется, когда KDC не определена. Убедитесь, что ваш DNS работает оптимально перед внедрением доказательства концепции в производство.

Примечание.

Если серверы находятся в нескольких реалмах, создайте отдельный объект конфигурации SSO для каждого реалма.

Заголовки можно внедрить как часть запроса единого входа в серверное приложение. Измените параметр "Общие свойства" с "Базовый " на "Дополнительно".

Дополнительные сведения о настройке APM для единого входа KCD см. статью F5 K17976428: Обзор ограниченного делегирования Kerberos.

Настройка профиля доступа

Профиль доступа привязывает элементы APM, которые управляют доступом к виртуальным серверам BIG-IP. Эти элементы включают политики доступа, конфигурацию единого входа и параметры пользовательского интерфейса.

  1. Выберите профили доступа>политики>профили доступа (Per-Session политики)>Создайте и введите следующие свойства:

    • Имя: например, введите MyExpenses

    • Тип профиля: выбор всех

    • Конфигурация единого входа: выберите созданный объект конфигурации единого входа KCD

    • Принятые языки: добавление хотя бы одного языка

    Снимок экрана записей для Общих свойств, SSO в доменах аутентификации и Языковых настроек.

  2. Для созданного профиля для каждого сеанса нажмите кнопку "Изменить".

    Снимок экрана: параметр

  3. Откроется редактор визуальной политики. Выберите знак плюса рядом с резервным элементом.

    Снимок экрана: кнопка

  4. В диалоговом окне выберите элемент проверки подлинности>SAML Auth>Add Item.

    Снимок экрана: параметр проверки подлинности SAML на вкладке

  5. В конфигурации SP проверки подлинности SAML установите параметр AAA Server для использования объекта SAML SP, который вы создали.

    Снимок экрана: запись сервера AAA на вкладке

  6. Чтобы изменить ветвь "Успешно" на "Разрешить", выберите ссылку в верхнем поле "Отклонить".

  7. Нажмите кнопку "Сохранить".

    Снимок экрана: параметр

Настройка сопоставлений атрибутов

Хотя это необязательно, вы можете добавить LogonID_Mapping конфигурацию, чтобы активные сеансы BIG-IP отображали UPN пользователя, вошедшего в систему, вместо номера сеанса. Эта информация полезна для анализа журналов или устранения неполадок.

  1. В ветви SAML Auth Successful выберите знак плюса.

  2. В диалоговом окне выберите Назначение>Назначить переменную>Добавить элемент.

    Снимок экрана: параметр

  3. Введите имя.

  4. На панели "Назначение переменной" выберите "Добавить новую запись">изменить. В следующем примере показано LogonID_Mapping в поле Name.

    Снимок экрана: добавление новой записи и изменение параметров.

  5. Задайте обе переменные.

    • Пользовательская переменная: Введите "session.logon.last.username"
    • Переменная сеанса: введите session.saml.last.identity
  6. Нажмите кнопку "Готово>сохранить".

  7. Выберите узел «Запретить» ветки политики доступа «Успешно». Измените его на Allow.

  8. Нажмите кнопку "Сохранить".

  9. Выберите "Применить политику доступа" и закройте редактор.

    Снимок экрана: параметр

Настройка серверного пула

Чтобы BIG-IP перенаправлял трафик клиента точно, создайте объект узла BIG-IP, представляющий внутренний сервер, на котором размещено приложение. Затем разместите этот узел в пуле серверов BIG-IP.

  1. Выберите локальный трафик>пулы>список пулов>создать и укажите имя для объекта пула серверов. Например, введите MyApps_VMs.

    Снимок экрана записи

  2. Добавьте объект члена пула, указав следующие сведения о ресурсах:

    • Имя узла: отображаемое имя сервера, на котором размещено серверное веб-приложение
    • Адрес: IP-адрес сервера, на котором размещено приложение
    • Порт службы: HTTP/S порт, который используется для прослушивания приложением

    Снимок экрана: записи

Примечание.

В этой статье не рассматривается дополнительная конфигурация, требуемая мониторами работоспособности. См. раздел K13397: Общие сведения о форматировании запросов монитора работоспособности HTTP для системы DNS BIG-IP.

Настройка виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом, который ожидает передачи клиентских запросов к приложению. Полученный трафик обрабатывается и оценивается в профиле доступа APM, связанном с виртуальным сервером, прежде чем направляться в соответствии с политикой.

Чтобы настроить виртуальный сервер, выполните следующие действия.

  1. Выберите Локальный трафик>Виртуальные серверы>Список виртуальных серверов>Создать.

  2. Введите имя и IPv4/IPv6-адрес, не выделенный объекту BIG-IP или устройству в подключенной сети. IP-адрес предназначен для получения трафика клиента для опубликованного серверного приложения.

  3. Установите порт службы на 443.

    Снимок экрана: записи

  4. Установите HTTP профиль (Клиент) на http.

  5. Включите виртуальный сервер для протокола TLS, чтобы разрешить публикацию служб по протоколу HTTPS.

  6. Для профиля SSL (клиента) выберите профиль, созданный для выполнения предварительных требований. Или используйте значение по умолчанию, если вы тестируете.

    Снимок экрана записей профиля HTTP и профиля SSL для клиента.

  7. Измените преобразование исходных адресов на автоматическую карту.

    Снимок экрана: запись перевода исходных адресов.

  8. В разделе "Политика доступа" задайте профиль доступа на основе созданного профиля. Этот выбор привязывает профиль предварительной проверки подлинности Microsoft Entra SAML и политику единого входа KCD к виртуальному серверу.

    Снимок экрана: запись профиля доступа в разделе

  9. Задайте пул по умолчанию для использования объектов внутреннего пула , созданных в предыдущем разделе.

  10. Нажмите кнопку "Готово".

    Снимок экрана записи по умолчанию для пула ресурсов.

Настройка параметров управления сеансами

Параметры управления сеансами BIG-IP определяют условия, для которых сеансы пользователей завершаются или разрешены для продолжения, ограничения для пользователей и IP-адресов и страниц ошибок. Вы можете создать политику здесь.

Перейдите в Политику доступа>Профили доступа>Профиль доступа и выберите приложение из списка.

Если вы определили значение URI для единого выхода в Microsoft Entra ID, это обеспечивает завершение сеанса между клиентом и APM BIG-IP при инициированном провайдером идентификации выходе с портала MyApps. Импортированный XML-файл метаданных федерации приложения предоставляет APM конечную точку выхода Microsoft Entra SAML для выхода, инициированного поставщиком услуг (SP). Для эффективных результатов APM необходимо знать, когда пользователь выходит из системы.

Рассмотрим сценарий, когда веб-портал BIG-IP не используется. Пользователь не может указать APM выйти из системы. Даже если пользователь выходит из приложения, BIG-IP не оповещен, поэтому сеанс приложения может быть восстановлен через единый вход в систему. Для безопасного завершения сеансов необходимо учитывать выход, инициированный поставщиком услуг.

Примечание.

Вы можете добавить функцию SLO в кнопку выхода приложения. Эта функция перенаправляет клиента в конечную точку выхода Microsoft Entra SAML. Найдите конечную точку выхода SAML в конечных точках регистрации приложений>.

Если вы не можете изменить приложение, рассмотрите возможность настройки BIG-IP для отслеживания запроса выхода из приложения. При обнаружении запроса он активирует SLO.

Дополнительные сведения см. в статьях F5:

Итоги

Ваше приложение опубликовано и доступно через SHA, по его URL-адресу или через порталы приложений Microsoft. Приложение отображается как целевой ресурс в условном доступе Microsoft Entra.

Для повышения безопасности организации, использующие этот шаблон, могут блокировать прямой доступ к приложению, что вынуждает использовать строго заданный маршрут через систему BIG-IP.

Следующие шаги

Как пользователь, откройте браузер и подключитесь к внешнему URL-адресу приложения. Значок приложения можно выбрать на портале Microsoft MyApps. После аутентификации в клиенте Microsoft Entra вы будете перенаправлены на конечную точку BIG-IP для приложения и войдете с помощью единого входа.

Изображение веб-сайта примера приложения.

Гостевой доступ Microsoft Entra B2B

SHA поддерживает гостевой доступ Microsoft Entra B2B. Удостоверения гостей синхронизируются из вашего клиента Microsoft Entra в целевой домен Kerberos. Локальное представление гостевых объектов для BIG-IP для выполнения единого входа KCD в серверное приложение.

Устранение неполадок

При устранении неполадок рассмотрите следующие моменты:

  • Kerberos чувствителен ко времени. Для этого требуется, чтобы серверы и клиенты устанавливали правильное время и, когда это возможно, синхронизировались с надежным источником времени.
  • Убедитесь, что имена узлов для контроллера домена и веб-приложения должны быть разрешаемы в DNS.
  • Убедитесь, что в вашей среде нет дублирующихся SPN. Выполните следующий запрос в командной строке: setspn -q HTTP/my_target_SPN

Примечание.

Сведения о том, как проверить, настроено ли приложение IIS для KCD, см. в разделе "Устранение неполадок конфигураций ограниченного делегирования Kerberos для прокси приложения". См. также статью AskF5, Метод Kerberos Single Sign-On.

Увеличение детализации журнала

Журналы BIG-IP представляют собой надежный источник информации. Чтобы увеличить уровень детализации журнала, выполните следующие действия.

  1. Перейдите в Политику доступа>Общие сведения>Журналы событий>Настройки.
  2. Выберите строку для вашего опубликованного приложения.
  3. Выберите "Изменить>Просмотр системных журналов доступа".
  4. Выберите «Отладка» из списка SSO.
  5. Нажмите кнопку "ОК".

Воспроизвести проблему перед просмотром журналов. Затем верните эту функцию после завершения. В противном случае многословие значительно.

ошибкаBIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с единым входом от Microsoft Entra ID к BIG-IP.

  1. Перейдите к Access>Обзор>отчетам Access.
  2. Чтобы узнать, имеют ли журналы какие-либо подсказки, запустите отчет за последний час.
  3. Используйте ссылку "Просмотр переменных сеанса" для сеанса, чтобы понять, получает ли APM ожидаемые утверждения из Microsoft Entra ID.

Внутренний запрос

Если ошибка BIG-IP не отображается, проблема, вероятно, связана с внутренним запросом или с единой системой входа (SSO) из BIG-IP в приложение.

  1. Перейдите к Политике доступа>, Обзору> и Активным сеансам.
  2. Щелкните ссылку для активного сеанса.
  3. Используйте ссылку "Просмотр переменных", чтобы определить первопричины проблем KCD, особенно в случае, если BIG-IP APM не сможет получить правильные идентификаторы пользователя и домена.

Сведения о диагностике проблем, связанных с KCD, см. в архиве руководства по развертыванию F5 BIG-IP настройке ограниченного делегирования Kerberos.

Ресурсы