Учебник. Настройка F5 BIG-IP Access Policy Manager для проверки подлинности Kerberos

В этом руководстве описано, как реализовать безопасный гибридный доступ (SHA) с единым входом в приложения Kerberos с помощью расширенной конфигурации F5 BIG-IP. Включение опубликованных служб BIG-IP для единого входа Microsoft Entra обеспечивает множество преимуществ, в том числе:

• Улучшено управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и использования решения по обеспечению безопасности условного доступа.
  • Смотрите, что такое условный доступ?
• Полный единый вход между идентификатором Microsoft Entra ID и опубликованными службами BIG-IP
• Управление удостоверениями и доступ из одной плоскости управления, Центр администрирования Microsoft Entra

Дополнительные сведения о преимуществах см. в статье Интеграция F5 BIG-IP с идентификатором Microsoft Entra.

Описание сценария

В этом сценарии вы настроите бизнес-приложение для проверки подлинности Kerberos, также известное как встроенная проверка подлинности Windows.

Для интеграции приложения с идентификатором Microsoft Entra id требуется поддержка протокола на основе федерации, например языка разметки утверждений безопасности (SAML). Так как модернизация приложения приводит к риску потенциального простоя, существуют и другие варианты.

Хотя вы используете ограниченное делегирование Kerberos (KCD) для единого входа, вы можете использовать прокси приложения Microsoft Entra для удаленного доступа к приложению. Вы можете достичь перехода протокола для моста устаревшего приложения к современной плоскости управления удостоверениями.

Еще один подход заключается в использовании контроллера доставки приложений F5 BIG-IP. Этот подход обеспечивает наложение приложения с помощью предварительной проверки подлинности Microsoft Entra и единого входа KCD. Он улучшает общее состояние "Нулевое доверие" приложения.

Архитектура сценария

Решение SHA для этого сценария содержит следующие элементы:

• Приложение: серверная служба Kerberos, внешняя опубликованная BIG-IP и защищенная SHA

• BIG-IP: функции обратного прокси-сервера для публикации внутренних приложений. Диспетчер политик доступа (APM) накладывает опубликованные приложения с функциями поставщика услуг SAML (SP) и единого входа.

• Идентификатор Microsoft Entra: поставщик удостоверений (IdP), который проверяет учетные данные пользователя, условный доступ Microsoft Entra и единый вход в APM BIG-IP через SAML

• KDC: роль Центра распространения ключей на контроллере домена (DC), которая выдает билеты Kerberos

На следующем изображении показан поток, инициированный поставщиком службы SAML, для этого сценария, однако поток поставщика удостоверений тоже поддерживается.

Поток пользователя

1. Пользователь подключается к конечной точке приложения (BIG-IP)
2. Политика доступа BIG-IP перенаправляет пользователя на идентификатор Microsoft Entra ID (SAML IdP)
3. Идентификатор Microsoft Entra id предварительно выполняет проверку подлинности пользователя и применяет примененные политики условного доступа.
4. Пользователь перенаправляется на BIG-IP (SAML SP), а единый вход выполняется с помощью выданного токена SAML.
5. BIG-IP проверяет подлинность пользователя и запрашивает билет Kerberos из KDC
6. BIG-IP отправляет запрос в серверное приложение с билетом Kerberos на единый вход
7. Приложение авторизует запрос и возвращает полезные данные

Необходимые компоненты

Предварительный интерфейс BIG-IP не требуется. Необходимые компоненты:

• Бесплатная учетная запись Azure или подписка на более высокий уровень.
• Big-IP или развертывание BIG-IP Virtual Edition в Azure.
• Любая из следующих лицензий F5 BIG-IP:
  • Пакет F5 BIG-IP Best.
  • Отдельная лицензия F5 BIG-IP APM
  • Лицензия надстройки F5 BIG-IP APM на локальном Диспетчер трафика BIG-IP (LTM)
  • 90-дневная бесплатная пробная лицензия BIG-IP
• Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra ID, или созданные в идентификаторе Microsoft Entra и перетекаются обратно в локальный каталог.
• Одна из следующих ролей в клиенте Microsoft Entra: Cloud Application Администратор istrator или Application Администратор istrator.
• Сертификат веб-сервера для публикации служб по протоколу HTTPS. При тестировании можно использовать сертификаты BIG-IP, выдаваемые по умолчанию.
• Приложение Kerberos или перейдите к active-directory-wp.com, чтобы узнать, как настроить единый вход в IIS в Windows.

Методы настройки BIG-IP

В этой статье рассматривается расширенная конфигурация, гибкая реализация SHA, которая создает объекты конфигурации BIG-IP. Этот подход можно использовать для сценариев, которые не охватывают шаблоны управляемой конфигурации.

Примечание.

Замените все примеры строк или значений в этой статье фактическими значениями.

Регистрация F5 BIG-IP в идентификаторе Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Прежде чем BIG-IP сможет передать предварительную проверку подлинности идентификатору Microsoft Entra, зарегистрируйте его в клиенте. Этот процесс инициирует единый вход между обеими сущностями. Приложение, создаваемое из шаблона коллекции F5 BIG-IP, является проверяющей стороной, представляющей samL SP для опубликованного приложения BIG-IP.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям Identity>Applications>Enterprise All,> а затем выберите "Создать приложение".

3. Откроется панель "Обзор коллекции Microsoft Entra" с плитками для облачных платформ, локальных приложений и дополнительных приложений. Приложения в разделе "Рекомендуемые приложения " имеют значки, указывающие, поддерживают ли они федеративный единый вход и подготовку.

4. В коллекции Azure найдите F5 и выберите F5 BIG-IP APM Microsoft Entra ID integration.

5. Введите имя нового приложения, чтобы распознать экземпляр приложения.

6. Выберите Добавить/Создать, чтобы добавить его к вашему клиенту.

Включение единого входа для F5 BIG-IP

Настройте регистрацию BIG-IP для выполнения токенов SAML, запрашивающих APM BIG-IP.

1. В разделе "Управление" в меню слева выберите единый вход. Откроется панель единого входа.
2. На странице Выбрать метод единого входа выберите SAML. Нажмите кнопку "Нет", чтобы пропустить запрос позже .
3. На панели "Настройка единого входа" в области SAML щелкните значок пера, чтобы изменить базовую конфигурацию SAML.
4. Замените предварительно заданный идентификатор на полный URL-адрес для приложения, опубликованного BIG-IP.
5. Замените значение URL-адреса ответа, но сохраните путь к конечной точке SAML SP приложения.

Примечание.

В этой конфигурации поток SAML работает в режиме, инициируемом поставщиком удостоверений. Идентификатор Microsoft Entra выдает утверждение SAML перед перенаправлением пользователя в конечную точку BIG-IP для приложения.

6. Чтобы использовать режим, инициированный поставщиком службы, введите URL-адрес приложения в URL-адресе для входа.

7. В поле Url-адреса выхода введите конечную точку единого выхода (SLO) BIG-IP APM, предопределенную заголовком узла опубликованной службы. Это действие гарантирует, что сеанс APM big-IP завершается после выхода пользователя из идентификатора Microsoft Entra.

   

Примечание.

Из операционной системы управления трафиком BIG-IP версии 16 конечная точка SLO SAML изменилась на /saml/sp/profile/redirect/slo.

8. Перед закрытием конфигурации SAML нажмите кнопку "Сохранить".

9. Пропустите запрос на тестирование единого входа.

10. Обратите внимание на свойства раздела "Атрибуты пользователя и утверждения ". Идентификатор Microsoft Entra выдает свойства пользователям для проверки подлинности APM BIG-IP и для единого входа в серверное приложение.

11. Чтобы сохранить XML-файл метаданных федерации на компьютере, на панели сертификатов подписи SAML нажмите кнопку "Скачать".

    

Примечание.

Сертификаты подписывания SAML, создаваемые идентификатором Microsoft Entra, имеют срок действия трех лет. Дополнительные сведения см. в статье Управление сертификатами для федеративного единого входа.

Предоставление доступа пользователям и группам

По умолчанию идентификатор Microsoft Entra id выдает маркеры для пользователей, которым предоставлен доступ к приложению. Чтобы предоставить пользователям и группам доступ к приложению, выполните следующие действия.

1. В области Общие сведения о приложении F5 BIG-IP выберите Назначить пользователей и группы.

2. Выберите + Добавить пользователя или группу.

   

3. Выберите пользователей и группы, а затем нажмите кнопку "Назначить".

Настройка ограниченного делегирования Kerberos Active Directory

Чтобы APM BIG-IP выполнял единый вход в серверное приложение от имени пользователей, настройте KCD в целевом домене Active Directory (AD). Для делегирования проверки подлинности необходимо подготовить APM BIG-IP с учетной записью службы домена.

В этом сценарии приложение размещается на сервере APP-VM-01 и выполняется в контексте учетной записи службы с именем web_svc_account, а не удостоверения компьютера. Делегируемая учетная запись службы, назначенная APM, называется F5-BIG-IP.

Создание учетной записи делегирования APM BIG-IP

Big-IP не поддерживает группу управляемых учетных записей служб (gMSA), поэтому создайте стандартную учетную запись пользователя для учетной записи службы APM.

1. Введите следующую команду PowerShell. Замените значения UserPrincipalName и SamAccountName значениями среды. Для повышения безопасности используйте выделенное имя субъекта-службы (SPN), соответствующее заголовку узла приложения.

   New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

   HOST_SPN = узел/f5-big-ip.contoso.com@contoso.com

   Примечание.

   Если узел используется, любое приложение, работающее на узле, делегирует учетную запись, в то время как при использовании HTTPS она разрешает только операции, связанные с протоколом HTTP.

2. Создайте имя субъекта-службы (SPN) для учетной записи службы APM, используемой во время делегирования учетной записи службы веб-приложений:

   Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

   Примечание.

   Обязательно включить узел или часть в формат UserPrincipleName (host/name.domain@domain) или ServicePrincipleName (host/name.domain).

3. Перед указанием целевого имени субъекта-службы просмотрите ее конфигурацию субъекта-службы. Убедитесь, что имя субъекта-службы отображается в учетной записи службы APM. Делегаты учетной записи службы APM для веб-приложения:

   • Убедитесь, что веб-приложение выполняется в контексте компьютера или выделенной учетной записи службы.

   • Для контекста компьютера выполните следующую команду, чтобы запросить объект учетной записи в Active Directory, чтобы просмотреть определенные имена субъектов-служб. Замените < name_of_account > на учетную запись для вашей среды.

     Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Например: Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

   • Для выделенной учетной записи службы выполните следующую команду, чтобы запросить объект учетной записи в Active Directory, чтобы просмотреть определенные имена субъектов-служб. Замените < name_of_account > на учетную запись для вашей среды.

     Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

     Например: Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

4. Если приложение запущено в контексте компьютера, добавьте имя участника-службы в объект учетной записи компьютера в Active Directory:

   Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Определяя имена субъектов-служб, установите доверие для делегата учетной записи службы APM в этой службе. Конфигурация зависит от топологии экземпляра BIG-IP и сервера приложений.

Настройка BIG-IP и целевого приложения в одном домене

1. Настройте доверие для учетной записи службы APM, чтобы делегировать проверку подлинности.

   Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

2. Учетная запись службы APM должна знать целевое имя субъекта-службы, которому он доверяет делегировать. Задайте целевой имя субъекта-службы учетной записи службы, работающей в веб-приложении:

   Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

   Примечание.

   Эти задачи можно выполнить с помощью оснастки Пользователи и компьютеры Active Directory консоли управления Майкрософт (MMC) на контроллере домена.

Настройка BIG-IP и целевого приложения в разных доменах

В windows Server 2012 и более поздних версиях KCD использует ограниченное делегирование на основе ресурсов (RBCD). Ограничения для службы передаются администратору домена администратору службы. Это делегирование позволяет администратору серверной службы разрешать или запрещать единый вход. Эта ситуация создает другой подход к делегированию конфигурации, что возможно при использовании редактора интерфейсов служб PowerShell или Active Directory (ADI Edit).

Свойство PrincipalsAllowedToDelegateToAccount учетной записи службы приложений (компьютер или выделенная учетная запись службы) можно использовать для предоставления делегирования из BIG-IP. В этом сценарии используйте следующую команду PowerShell на контроллере домена (Windows Server 2012 R2 или более поздней версии) в том же домене, что и приложение.

Используйте имя субъекта-службы, определенное для учетной записи службы веб-приложений. Для повышения безопасности используйте выделенное имя субъекта-службы, соответствующее заголовку узла приложения. Например, так как заголовок узла веб-приложения в этом примере myexpenses.contoso.com, добавьте HTTP/myexpenses.contoso.com в объект учетной записи службы приложений в Active Directory (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Для следующих команд обратите внимание на контекст.

Если служба web_svc_account выполняется в контексте учетной записи пользователя, используйте следующие команды:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Если служба web_svc_account выполняется в контексте учетной записи компьютера, используйте следующие команды:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Дополнительную информацию см. в разделе Ограниченное делегирование Kerberos в доменах.

Расширенная настройка BIG-IP

Используйте следующий раздел, чтобы продолжить настройку конфигураций BIG-IP.

Настройка параметров поставщика службы SAML

Параметры поставщика служб SAML определяют свойства SAML SP, которые APM использует для переложения устаревшего приложения с предварительной аутентификацией SAML. Чтобы их настроить, выполните следующие действия:

1. В браузере войдите в консоль управления F5 BIG-IP.

2. Выберите Access>Federation>SAML Service Provider>Local SP Services>Create (Доступ > Федерация > Поставщик службы SAML > Локальные службы поставщика службы > Создать).

   

3. Укажите значения идентификатора имени и сущности, сохраненные при настройке единого входа для идентификатора Microsoft Entra.

   

4. Если идентификатор сущности SAML совпадает с URL-адресом опубликованного приложения, можно пропустить Параметры имени субъекта-службы. Например, если идентификатор сущности является urn:myexpenses:contosoonline, значение схемы равно https; значение узла myexpenses.contoso.com. Если идентификатор сущности имеет значение "https://myexpenses.contoso.com", вам не нужно предоставлять эти сведения.

Настройка внешнего соединителя поставщика удостоверений

Соединитель SAML IdP определяет параметры для APM BIG-IP, чтобы доверять идентификатору Microsoft Entra в качестве поставщика удостоверений SAML. Эти параметры сопоставляют SAML SP с поставщиком удостоверений SAML, устанавливая доверие федерации между APM и идентификатором Microsoft Entra. Чтобы настроить соединитель, выполните следующие действия:

1. Прокрутите страницу вниз, чтобы выбрать новый объект поставщика службы SAML, а затем выберите Bind/Unbind IdP Connectors (Привязать/отменить привязку соединителей поставщика удостоверений).

   

2. Выберите Create New IdP Connector>From Metadata (Создать новый соединитель поставщика удостоверений > На основе метаданных).

   

3. Перейдите к скачанном XML-файлу метаданных федерации и укажите имя поставщика удостоверений для объекта APM, представляющего внешний поставщик удостоверений SAML IdP. В следующем примере это MyExpenses_AzureAD.

   

4. Выберите "Добавить новую строку", чтобы выбрать новое значение Подключение поставщиков удостоверений SAML, а затем нажмите кнопку "Обновить".

   

5. Нажмите ОК.

Настройка единого входа Kerberos

Создайте объект единого входа APM для единого входа KCD в внутренних приложениях. Используйте созданную учетную запись делегирования APM.

1. Выберите Access>Single Sign-on>Kerberos>Create (Доступ > Единый вход > Kerberos > Создать) и укажите следующее:

• Имя. После создания другие опубликованные приложения могут использовать объект APM Kerberos SSO. Например, используйте Contoso_KCD_sso для нескольких опубликованных приложений для домена Contoso. Используйте MyExpenses_KCD_sso для одного приложения.

• Источник имени пользователя: укажите источник идентификатора пользователя. Используйте переменную сеанса APM в качестве источника. Рекомендуется использовать session.saml.last.identity, так как он содержит идентификатор пользователя, вошедшего в систему, из утверждения Microsoft Entra.

• Источник пользовательской области: требуется, если домен пользователя отличается от области Kerberos для KCD. Если пользователи находятся в отдельном доверенном домене, необходимо учитывать APM, указав переменную сеанса APM с доменом пользователя, вошедшего в систему. Например session.saml.last.attr.name.domain. Это действие выполняется в сценариях, когда имя участника-пользователя (UPN) основано на альтернативном суффиксе.

• Область Kerberos: суффикс домена пользователя в верхнем регистре

• KDC: IP-адрес контроллера домена. Или введите полное доменное имя, если DNS настроен и эффективн.

• Поддержка имени участника-пользователя: выберите этот проверка box, если источник имени пользователя имеет формат имени участника-пользователя, например переменную session.saml.last.identity.

• Имя учетной записи и пароль учетной записи: учетные данные учетной записи службы APM для выполнения KCD

• Шаблон субъекта-службы. Если используется протокол HTTP/%h, APM использует заголовок узла запроса клиента для создания имени участника-службы, для которого он запрашивает токен Kerberos.

• Send Authorization (Отправлять данные авторизации). Отключите для приложений, которые предпочитают согласовывать проверку подлинности вместо получения токена Kerberos в первом запросе (например, Tomcat).

  

Центр распространения ключей можно не указывать, если область пользователя отличается от области внутреннего сервера. Это правило применяется к сценариям с несколькими доменами. Если вы не определили KDC, BIG-IP пытается обнаружить область Kerberos с помощью подстановки DNS записей SRV для внутреннего домена сервера. Он ожидает, что доменное имя будет совпадать с именем области. Если доменное имя отличается, укажите его в файле /и т. д .

Обработка единого входа Kerberos ускоряется, когда IP-адрес указывает KDC. Обработка единого входа Kerberos медленнее, если имя узла указывает KDC. Из-за большего количества запросов DNS обработка замедляется, когда KDC не определена. Убедитесь, что DNS выполняется оптимально перед перемещением концепции в рабочую среду.

Примечание.

Если серверные серверы находятся в нескольких областях, создайте отдельный объект конфигурации единого входа для каждой области.

Заголовки можно внедрить как часть запроса единого входа в серверное приложение. Измените параметр "Общие свойства" с "Базовый" на "Дополнительно".

Дополнительные сведения о настройке единого входа APM для KCD см. в статье F5 K17976428: Обзор ограниченного делегирования Kerberos.

Настройка профиля доступа

Профиль доступа привязывает элементы APM, которые управляют доступом к виртуальным серверам BIG-IP. Эти элементы включают политики доступа, конфигурацию единого входа и параметры пользовательского интерфейса.

1. Выберите профили доступа>и профили доступа политик (политики>доступа для каждого сеанса)>Создайте и введите следующие свойства:

   • Имя: например, введите MyExpenses

   • Тип профиля: выбор всех

   • Конфигурация единого входа: выберите созданный объект конфигурации единого входа KCD

   • Принятые языки: добавление хотя бы одного языка

   

2. Для созданного профиля для каждого сеанса нажмите кнопку "Изменить".

   

3. Откроется редактор визуальной политики. Выберите знак плюса рядом с резервным элементом.

   

4. В диалоговом окне выберите элемент проверки подлинности>SAML Auth>Add Item.

   

5. В конфигурации службы проверки подлинности SAML задайте параметр сервера AAA, чтобы использовать созданный объект SAML SP.

   

6. Чтобы изменить ветвь "Успешно", выберите ссылку в верхнем поле "Запрет".

7. Выберите Сохранить.

   

Настройка сопоставлений атрибутов

Хотя это необязательно, можно добавить конфигурацию LogonID_Mapping , чтобы включить список активных сеансов BIG-IP для отображения имени участника-пользователя, вошедшего в систему, вместо номера сеанса. Эта информация полезна для анализа журналов или устранения неполадок.

1. В ветви SAML Auth Successful выберите знак плюса.

2. В диалоговом окне выберите "Назначаемая переменная назначения>>".

   

3. Введите Имя.

4. В области Variable Assign (Назначение переменной) выберите Add new entry>change (Добавить новую запись > изменение). В следующем примере показано значение LogonID_Mapping в поле Name (Имя).

   

5. Задайте обе переменные.

   • Пользовательская переменная: ввод сеанса.logon.last.username
   • Переменная сеанса: ввод session.saml.last.identity

6. Выберите Finished>Save (Готово > Сохранить).

7. Выберите терминал "Запретить" политики доступа "Успешно". Измените его на Allow.

8. Выберите Сохранить.

9. Выберите "Применить политику доступа" и закройте редактор.

   

Настройка серверного пула

Чтобы BIG-IP перенаправлял трафик клиента точно, создайте объект узла BIG-IP, представляющий внутренний сервер, на котором размещено приложение. Затем разместите этот узел в пуле серверов BIG-IP.

1. Выберите Local Traffic (Локальный трафик) >Пулы>Список пулов>Создать и укажите имя объекта пула серверов. Например MyApps_VMs.

   

2. Добавьте объект члена пула, указав следующие сведения о ресурсах:

   • Имя узла: отображаемое имя сервера, на котором размещено серверное веб-приложение
   • Адрес. IP-адрес сервера, на котором размещено приложение.
   • Порт службы: порт HTTP/S, который приложение прослушивает

   

Примечание.

В этой статье не рассматриваются дополнительные мониторы работоспособности конфигурации. См. раздел K13397: Общие сведения о форматировании запросов монитора работоспособности HTTP для системы DNS BIG-IP.

Настройка виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом, который ожидает передачи клиентских запросов к приложению. Полученный трафик обрабатывается и оценивается в профиле доступа APM, связанном с виртуальным сервером, прежде чем направляться в соответствии с политикой.

Чтобы настроить виртуальный сервер, выполните следующие действия.

1. Выберите Local Traffic (Локальный трафик) >Virtual Servers (Виртуальные серверы) >Virtual Server List (Список виртуальных серверов) >Создать.

2. Введите имя и IPv4/IPv6-адрес, не выделенный объекту BIG-IP или устройству в подключенной сети. IP-адрес предназначен для получения трафика клиента для опубликованного серверного приложения.

3. Задайте для портаслужбы значение 443.

   

4. Укажите http в поле HTTP Profile (Client) (Профиль HTTP (клиент)).

5. Включите виртуальный сервер для протокола TLS, чтобы разрешить публикацию служб по протоколу HTTPS.

6. Для профиля SSL (клиента) выберите профиль, созданный для предварительных требований. Или используйте значение по умолчанию, если вы тестируете.

   

7. Измените значение параметра Source Address Translation (Преобразование адреса источника) на Auto Map (Автосопоставление).

   

8. В разделе "Политика доступа" задайте профиль доступа на основе созданного профиля . Этот выбор привязывает профиль предварительной проверки подлинности Microsoft Entra SAML и политику единого входа KCD к виртуальному серверу.

   

9. Задайте пул по умолчанию для использования объектов внутреннего пула , созданных в предыдущем разделе.

10. Щелкните Готово.

    

Настройка параметров управления сеансами

Параметры управления сеансами BIG-IP определяют условия, для которых сеансы пользователей завершаются или разрешены для продолжения, ограничения для пользователей и IP-адресов и страниц ошибок. Вы можете создать политику здесь.

Перейдите в профиль доступа к профилям>доступа политики>доступа и выберите приложение из списка.

Если вы определили значение URI единого выхода в идентификаторе Microsoft Entra ID, оно гарантирует выход, инициированный поставщиком удостоверений на портале MyApps, завершает сеанс между клиентом и APM BIG-IP. Импортированный XML-файл метаданных федерации приложения предоставляет APM с конечной точкой выхода Microsoft Entra SAML для выхода, инициированного поставщиком служб. Для эффективных результатов APM необходимо знать, когда пользователь выходит из сети.

Рассмотрим сценарий, когда веб-портал BIG-IP не используется. Пользователь не может указать APM выйти из нее. Даже если пользователь выходит из приложения, BIG-IP не забвевает, поэтому сеанс приложения может быть восстановлен через единый вход. Для безопасного завершения сеансов, инициированных поставщиком службы, необходимо учитывать необходимость выхода, инициированного поставщиком службы.

Примечание.

Вы можете добавить функцию SLO в кнопку выхода приложения. Эта функция перенаправляет клиента в конечную точку выхода Microsoft Entra SAML. Найдите конечную точку выхода SAML в конечных точках регистрации приложений>.

Если вы не можете изменить приложение, рассмотрите возможность прослушивания BIG-IP для вызова выхода из приложения. При обнаружении запроса он активирует SLO.

Дополнительные сведения см. в статьях F5:

• K42052145: Configuring automatic session termination (logout) based on a URI-referenced file name (Настройка автоматического завершения сеанса (выхода) на основе имени файла, указанного в URI)
• K12056: обзор параметра включения URI выхода.

Итоги

Приложение публикуется и доступно через SHA, по ЕГО URL-адресу или через порталы приложений Майкрософт. Приложение отображается как целевой ресурс в условном доступе Microsoft Entra.

Для повышения безопасности организации, использующие этот шаблон, могут блокировать прямой доступ к приложению, что заставляет строгий путь через BIG-IP.

Следующие шаги

Откройте браузер и подключитесь к внешнему URL-адресу приложения. Значок приложения можно выбрать на портале Microsoft MyApps. После проверки подлинности в клиенте Microsoft Entra вы будете перенаправлены в конечную точку BIG-IP для приложения и войдете через единый вход.

Гостевой доступ Microsoft Entra B2B

SHA поддерживает гостевой доступ Microsoft Entra B2B. Гостевые удостоверения синхронизируются с клиентом Microsoft Entra с целевым доменом Kerberos. Локальное представление гостевых объектов для BIG-IP для выполнения единого входа KCD в серверное приложение.

Устранение неполадок

При устранении неполадок рассмотрите следующие моменты:

• Kerberos зависит от времени, Для этого требуется, чтобы серверы и клиенты устанавливали правильное время и, когда это возможно, синхронизировано с надежным источником времени.
• Убедитесь, что имена узлов для контроллера домена и веб-приложения разрешаются в DNS
• Убедитесь, что в вашей среде нет повторяющихся имен субъектов-служб. Выполните следующий запрос в командной строке: setspn -q HTTP/my_target_SPN

Примечание.

Сведения о том, как проверить, настроено ли приложение IIS для KCD, см. в разделе "Устранение неполадок конфигураций ограниченного делегирования Kerberos для прокси приложения". См. также статью AskF5, метод единого входа Kerberos.

Увеличение детализации журнала

Журналы BIG-IP представляют собой надежный источник информации. Чтобы увеличить уровень детализации журнала, выполните следующие действия.

1. Перейдите к разделу Политика доступа>Обзор>Журналы событий>Параметры.
2. Выберите строку опубликованного приложения.
3. Выберите "Изменить>журналы системы доступа".
4. Выберите "Отладка " из списка единого входа.
5. Нажмите ОК.

Воспроизвести проблему перед просмотром журналов. После завершения отменить изменения эту функцию. В противном случае детализация имеет важное значение.

Ошибка BIG-IP

Если ошибка BIG-IP появляется после предварительной проверки подлинности Microsoft Entra, проблема может быть связана с единым входом, от идентификатора Microsoft Entra ID к BIG-IP.

1. Выберите Access>Overview>Access reports (Доступ > Обзор > Отчеты о доступе).
2. Чтобы узнать, имеют ли журналы какие-либо подсказки, запустите отчет за последний час.
3. Используйте ссылку "Просмотр переменных сеанса" для сеанса, чтобы понять, получает ли APM ожидаемые утверждения из идентификатора Microsoft Entra.

Внутренний запрос

Если ошибка BIG-IP не отображается, проблема, вероятно, связана с внутренним запросом или связана с единым входом из BIG-IP в приложение.

1. Выберите Политика доступа>Обзор>Активные сеансы.
2. Щелкните ссылку для активного сеанса.
3. Используйте ссылку "Переменные представления" , чтобы определить первопричины проблем KCD, особенно если APM BIG-IP не удается получить правильные идентификаторы пользователя и домена.

Сведения о диагностике проблем, связанных с KCD, см. в архивном руководстве по развертыванию F5 BIG-IP, в руководстве по настройке ограниченного делегирования Kerberos.

Ресурсы

• Моя статья F5, проверка подлинности Active Directory
• Отказ от паролей в пользу средств проверки подлинности без пароля
• Что представляет собой условный доступ?
• Модель "Никому не доверяй" для удаленной работы