教程：Microsoft Entra SSO 与 Kemp LoadMaster Microsoft Entra 的集成

本教程将会介绍如何集成 Kemp LoadMaster Microsoft Entra 与 Microsoft Entra ID 集成。 将 Kemp LoadMaster Microsoft Entra 集成与 Microsoft Entra ID 集成后，可以：

• 在 Microsoft Entra ID 中控制谁有权访问 Kemp LoadMaster Microsoft Entra 集成。
• 允许用户使用其 Microsoft Entra 帐户自动登录到 Kemp LoadMaster Microsoft Entra 集成。
• 在中心位置管理帐户。

先决条件

若要开始操作，需备齐以下项目：

• 一个 Microsoft Entra 订阅。 如果没有订阅，可以获取一个免费帐户。
• 已启用 Kemp LoadMaster Microsoft Entra 集成单一登录 (SSO) 的订阅。

注意

此集成也可以通过 Microsoft Entra 美国政府云环境使用。 你可以在“Microsoft Entra 美国政府云应用程序库”中找到此应用程序，并以公有云相同的方式对其进行配置。

方案描述

在本教程中，你将在测试环境中配置并测试 Microsoft Entra SSO。

• Kemp LoadMaster Microsoft Entra 集成支持 IDP 发起的 SSO。

从库中添加 Kemp LoadMaster Microsoft Entra 集成

要配置 Kemp LoadMaster Microsoft Entra 集成与 Microsoft Entra ID 的集成，需要从库中将 Kemp LoadMaster Microsoft Entra 集成添加到托管 SaaS 应用列表。

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
3. 在“从库中添加”部分的搜索框中，键入“Kemp LoadMaster Microsoft Entra 集成”。
4. 在结果面板中选择“Kemp LoadMaster Microsoft Entra 集成”，然后添加该应用。 在该应用添加到租户时等待几秒钟。

或者，也可以使用企业应用配置向导。 在此向导中，可以将应用程序添加到租户、将用户/组添加到应用、分配角色，以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 Kemp LoadMaster Microsoft Entra 集成的 Microsoft Entra 单一登录

使用名为 B.Simon 的测试用户配置并测试 Kemp LoadMaster Microsoft Entra 集成的 Microsoft Entra 单一登录。 若要使 SSO 正常工作，需要在 Microsoft Entra 用户与 Kemp LoadMaster Microsoft Entra 集成中的相关用户之间建立关联。

若要配置并测试 Kemp LoadMaster Microsoft Entra 集成的 Microsoft Entra 单一登录，请执行以下步骤：

1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。

   1. 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
   2. 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。

2. 配置 Kemp LoadMaster Microsoft Entra 集成 SSO - 在应用程序端配置单一登录设置。

3. 发布 Web 服务器

   1. 创建虚拟服务
   2. 证书和安全性
   3. Kemp LoadMaster Microsoft Entra 集成 SAML 配置文件
   4. 验证更改

4. 配置基于 Kerberos 的身份验证

   1. 为 Kemp LoadMaster Microsoft Entra 集成创建 Kerberos 委派帐户
   2. Kemp LoadMaster Microsoft Entra 集成 KCD（Kerberos 委派帐户）
   3. Kemp LoadMaster Microsoft Entra 集成 ESP
   4. 创建 Kemp LoadMaster Microsoft Entra 集成测试用户 - 在 Kemp LoadMaster Microsoft Entra 集成中创建 B.Simon 的对应用户，并将其链接到该用户的 Microsoft Entra 表示形式。

5. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“应用程序”>“企业应用程序”>“Kemp LoadMaster Microsoft Entra integration”>“单一登录”。

3. 在“选择单一登录方法”页上选择“SAML” 。

4. 在“设置 SAML 单一登录”页面上，单击“基本 SAML 配置”旁边的铅笔图标以编辑设置 。

   

5. 在“基本 SAML 配置”部分，输入以下字段的值：

   a. 在“标识符(实体 ID)”文本框中，键入 URL：https://<KEMP-CUSTOMER-DOMAIN>.com/

   b. 在“回复 URL”文本框中键入 URL：https://<KEMP-CUSTOMER-DOMAIN>.com/

   注意

   这些不是实际值。 请使用实际标识符和回复 URL 更新这些值。 请联系 Kemp LoadMaster Microsoft Entra 集成客户端支持团队获取这些值。 还可参考“基本 SAML 配置”部分中显示的模式。

6. 在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分中找到“证书(Base64)”和“联合元数据 XML”，选择“下载”以下载证书和联合元数据 XML 文件并将其保存在计算机上。

   

7. 在“设置 Kemp LoadMaster Microsoft Entra 集成”部分，根据要求复制相应的 URL。

   

创建 Microsoft Entra 测试用户

在本部分，你将创建名为 B.Simon 的测试用户。

1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“用户”>“所有用户”。
3. 选择屏幕顶部的“新建用户”>“创建新用户”。
4. 在“用户”属性中执行以下步骤：
   1. 在“显示名称”字段中输入 B.Simon。
   2. 在“用户主体名称”字段中，输入 username@companydomain.extension。 例如 B.Simon@contoso.com。
   3. 选中“显示密码”复选框，然后记下“密码”框中显示的值。
   4. 选择“查看 + 创建”。
5. 选择“创建”。

分配 Microsoft Entra 测试用户

在本部分，你将通过授予 B.Simon 访问 Kemp LoadMaster Microsoft Entra integration 的权限，使其能够使用单一登录。

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“应用程序”>“企业应用程序”>“Kemp LoadMaster Microsoft Entra integration”。
3. 在应用的概述页面中，选择“用户和组”。
4. 选择“添加用户/组”，然后在“添加分配”对话框中选择“用户和组” 。
   1. 在“用户和组”对话框中，从“用户”列表中选择“B.Simon”，然后单击屏幕底部的“选择”按钮。
   2. 如果你希望将某角色分配给用户，可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色，你将看到选择了“默认访问权限”角色。
   3. 在“添加分配”对话框中，单击“分配”按钮。

配置 Kemp LoadMaster Microsoft Entra 集成 SSO

发布 Web 服务器

创建虚拟服务

1. 转到 Kemp LoadMaster Microsoft Entra 集成 LoadMaster Web UI >“虚拟服务”>“新增”。

2. 单击“新增”。

3. 指定虚拟服务的参数。

   

   a. 虚拟地址

   b. 端口

   c. 服务名称（可选）

   d. 协议

4. 导航到“实际服务器”部分。

5. 单击“新增”。

6. 指定实际服务器的参数。

   

   a. 选择“允许远程地址”

   b. 键入实际服务器地址

   c. 端口

   d. 转发方法

   e. 重量

   f. 连接限制

   g. 单击“添加此实际服务器”

证书和安全性

在 Kemp LoadMaster Microsoft Entra 集成上导入证书

1. 进入 Kemp LoadMaster Microsoft Entra 集成 Web 门户 >“证书和安全性”>“SSL 证书”。

2. 在“管理证书”>“证书配置”下。

3. 单击“导入证书”。

4. 指定包含证书的文件的名称。 文件还可以包含私钥。 如果文件不包含私钥，则还必须指定包含私钥的文件。 证书可以采用 .PEM 或 .PFX (IIS) 格式。

5. 在“证书文件”上单击“选择文件”。

6. 单击“密钥文件(可选)”。

7. 单击“保存”。

SSL 加速

1. 转到 Kemp LoadMaster Web UI >“虚拟服务”>“查看/修改服务”。

2. 在“操作”下单击“修改”。

3. 单击“SSL 属性”（在第 7 层运行）。

   

   a. 在“SSL 加速”中单击“已启用”。

   b. 在“可用证书”下，选择导入的证书并单击 > 符号。

   c. 在所需 SSL 证书出现在“分配的证书”中后，单击“设置证书”。

   注意

   确保单击“设置证书”。

Kemp LoadMaster Microsoft Entra 集成 SAML 配置文件

导入 IdP 证书

转到 Kemp LoadMaster Microsoft Entra 集成 Web 控制台。

1. 在“证书和颁发机构”下单击“中间证书”。

   

   a. 在“添加新的中间证书”中单击“选择文件”。

   b. 导航到以前从 Microsoft Entra 企业应用程序下载的证书文件。

   c. 单击“打开”。

   d. 在“证书名称”中提供名称。

   e. 单击“添加证书”。

创建身份验证策略

转到“虚拟服务”下的“管理 SSO”。

a. 在为其提供名称之后，单击“添加新客户端配置”下的“添加”。

b. 在“身份验证协议”下选择“SAML”。

c. 在“IdP 预配”下选择“元数据文件”。

d. 单击“选择文件”。

e. 导航到以前从 Azure 门户下载的 XML。

f. 单击“打开”，然后单击“导入 IdP 元数据文件”。

g. 从“IdP 证书”中选择中间证书。

h. 设置应与 Azure 门户中创建的标识匹配的 SP 实体 ID。

i. 单击“设置 SP 实体 ID”。

设置身份验证

在 Kemp LoadMaster Microsoft Entra 集成 Web 控制台上。

1. 单击“虚拟服务”。

2. 单击“查看/修改服务”。

3. 单击“修改”，然后导航到“ESP 选项”。

   

   a. 单击“启用 ESP”。

   b. 在“客户端身份验证模式”中选择“SAML”。

   c. 选择以前在 SSO 域中创建的客户端身份验证。

   d. 在“允许的虚拟主机”中键入主机名，然后单击“设置允许的虚拟主机”。

   e. 在“允许的虚拟目录(基于访问要求)”中键入 /*，然后单击“设置允许的目录”。

验证更改

浏览应用程序 URL。

此时应显示租户登录页，而不是之前未经身份验证的访问。

配置基于 Kerberos 的身份验证

为 Kemp LoadMaster Microsoft Entra 集成创建 Kerberos 委派帐户

1. 创建用户帐户（在此示例中为 AppDelegation）。

   

   a. 选择“属性编辑器”选项卡。

   b. 导航到 servicePrincipalName。

   c. 选择 servicePrincipalName，然后单击“编辑”。

   d. 在“要添加的值”字段中键入 http/kcduser，然后单击“添加”。

   e. 单击“应用”和“确定”。 必须先关闭窗口，然后再次打开（以查看新的“委派”选项卡）。

2. 再次打开用户属性窗口，“委派”选项卡会变为可用。

3. 选择“委派”选项卡。

   

   a. 选择“仅信任此用户作为指定服务的委派”。

   b. 选择“使用任何身份验证协议”。

   c. 添加实际服务器并将 http 添加为服务。

   d. 选中“扩展”复选框。

   e. 你可以看到所有服务器以及有主机名和 FQDN。

   f. 单击“确定”。

注意

在应用程序/网站上设置适用的 SPN。 用于在设置了应用程序池标识时访问应用程序。 若要使用 FQDN 名称访问 IIS 应用程序，请转到实际服务器命令提示符并键入 SetSpn 及所需参数。 例如 Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser

Kemp LoadMaster Microsoft Entra 集成 KCD（Kerberos 委派帐户）

转到 Kemp LoadMaster Microsoft Entra 集成 Web 控制台 >“虚拟服务”>“管理 SSO”。

a. 导航到“服务器端单一登录配置”。

b. 在“添加新服务器端配置”中键入名称，然后单击“添加”。

c. 在“身份验证协议”中选择“Kerberos 约束委派”。

d. 在“Kerberos 领域”中键入域名。

e. 单击“设置 Kerberos 领域”。

f. 在“Kerberos 密钥分发中心”中键入域控制器 IP 地址。

g. 单击“设置 Kerberos KDC”。

h. 在“Kerberos 可信用户名”中键入 KCD 用户名。

i. 单击“设置 KDC 可信用户名”。

j. 在“Kerberos 可信用户密码”中键入密码。

k. 单击“设置 KCD 可信用户密码”。

Kemp LoadMaster Microsoft Entra 集成 ESP

转到“虚拟服务”>“查看/修改服务”。

a. 在虚拟服务的昵称上单击“修改”。

b. 单击“ESP 选项”。

c. 在“服务器身份验证模式”下，选择“KCD”。

d. 在“服务器端配置”下，选择以前创建的服务器端配置文件。

创建 Kemp LoadMaster Microsoft Entra 集成测试用户

在本部分，你将在 Kemp LoadMaster Microsoft Entra 集成中创建名为 B.Simon 的用户。 在 Kemp LoadMaster Microsoft Entra 集成支持团队的配合下，将用户添加到 Kemp LoadMaster Microsoft Entra 集成平台。 使用单一登录前，必须先创建并激活用户。

测试 SSO

在本部分，你将使用以下选项测试 Microsoft Entra 单一登录配置。

• 单击“测试此应用程序”后，你应当会自动登录到为其设置了 SSO 的 Kemp LoadMaster Microsoft Entra integration。

• 你可使用 Microsoft 的“我的应用”。 在我的应用中单击“Kemp LoadMaster Microsoft Entra 集成”磁贴时，应会自动登录到设置了 SSO 的 Kemp LoadMaster Microsoft Entra 集成。 有关“我的应用”的详细信息，请参阅“我的应用”简介。

后续步骤

配置 Kemp LoadMaster Microsoft Entra 集成后，可以强制实施会话控制，实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。