教學課程:設定 F5 BIG-IP 存取原則管理員以進行 Kerberos 驗證

  • 發行項

在本教學課程中,您將瞭解如何使用 F5 BIG-IP 進階設定,使用單一登錄 (SSO) 實作 Kerberos 應用程式的安全混合式存取 (SHA)。 為 Microsoft Entra SSO 啟用 BIG-IP 已發佈的服務提供許多優點,包括:

若要深入瞭解優點,請參閱 整合 F5 BIG-IP 與 Microsoft Entra ID

案例描述

在此案例中,您將設定 Kerberos 驗證的企業營運應用程式,也稱為整合式 Windows 驗證。

若要將應用程式與 Microsoft Entra ID 整合,需要同盟架構通訊協議的支援,例如安全性判斷提示標記語言 (SAML)。 因為將應用程式現代化會造成潛在的停機風險,因此還有其他選項。

當您使用 Kerberos 限制委派 (KCD) 進行 SSO 時,您可以使用 Microsoft Entra 應用程式 Proxy 從遠端存取應用程式。 您可以達成通訊協議轉換,將舊版應用程式橋接至新式身分識別控制平面。

另一種方法是使用 F5 BIG-IP 應用程式傳遞控制器。 此方法可讓應用程式與 Microsoft Entra 預先驗證和 KCD SSO 重疊。 它可改善應用程式的整體 零信任 狀態。

案例架構

此案例的 SHA 解決方案具有下列元素:

  • 應用程式:由 BIG-IP 外部發佈的後端 Kerberos 型服務,並受 SHA 保護

  • BIG-IP:發佈後端應用程式的反向 Proxy 功能。 存取原則管理員 (APM) 會以 SAML 服務提供者 (SP) 和 SSO 功能重疊已發佈的應用程式。

  • Microsoft Entra ID:透過 SAML 驗證使用者認證、Microsoft Entra 條件式存取和 SSO 到 BIG-IP APM 的識別提供者 (IdP)

  • KDC:域控制器上發出 Kerberos 票證的金鑰發佈中心角色

下圖說明此案例的 SAML SP 起始流程,但也支援 IdP 起始的流程。

案例架構的圖表。

使用者流程

  1. 使用者連線到應用程式端點 (BIG-IP)
  2. BIG-IP 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)
  3. Microsoft Entra ID 會預先驗證使用者,並套用強制執行的條件式存取原則
  4. 使用者會重新導向至 BIG-IP (SAML SP),而 SSO 會透過核發的 SAML 令牌執行
  5. BIG-IP 會驗證使用者,並從 KDC 要求 Kerberos 票證
  6. BIG-IP 會使用 SSO 的 Kerberos 票證,將要求傳送至後端應用程式
  7. 應用程式會授權要求並傳回承載

必要條件

不需要先前的 BIG-IP 體驗。 您需要:

  • Azure 免費帳戶或較高層級的訂用帳戶
  • BIG-IP,或在 Azure 中部署 BIG-IP Virtual Edition。
  • 下列任何 F5 BIG-IP 授權:
    • F5 BIG-IP 最佳套件組合
    • F5 BIG-IP APM 獨立授權
    • BIG-IP 本機 流量管理員 上的 F5 BIG-IP APM 附加元件授權(LTM)
    • 90 天 BIG-IP 免費試用 授權
  • 從內部部署目錄同步處理到 Microsoft Entra 識別碼的使用者身分識別,或在 Microsoft Entra ID 中建立,並流回您的內部部署目錄。
  • Microsoft Entra 租使用者中的下列其中一個角色:Global 管理員 istrator、Cloud Application 管理員 istrator 或 Application 管理員 istrator。
  • Web 伺服器 證書 ,用於透過 HTTPS 發佈服務,或在測試時使用預設 BIG-IP 憑證。
  • Kerberos 應用程式,或移至 active-directory-wp.com 以 瞭解如何在 Windows 上使用 IIS 設定 SSO。

BIG-IP 組態方法

本文涵蓋進階設定,這是一種彈性的SHA實作,可建立BIG-IP組態物件。 您可以將此方法用於引導式設定範本未涵蓋的案例。

注意

以您實際環境的所有範例字串或值取代本文中的所有範例字串或值。

在 Microsoft Entra 識別碼中註冊 F5 BIG-IP

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

在 BIG-IP 可以將預先驗證交給 Microsoft Entra 識別碼之前,請在您的租用戶中註冊它。 此程式會起始這兩個實體之間的 SSO。 您從 F5 BIG-IP 資源庫範本建立的應用程式是代表 BIG-IP 已發布應用程式的 SAML SP 的信賴憑證者。

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別應用程式>企業應用程式>][所有應用程式],然後選取 [新增應用程式]。

  3. [ 流覽 Microsoft Entra 資源庫 ] 窗格隨即出現,其中包含雲端平臺、內部部署應用程式和精選應用程式的磚。 [精選應用程式] 區 段中的應用程式 有圖示,指出它們是否支援同盟 SSO 和布建。

  4. 在 Azure 資源庫中,搜尋 F5,然後選取 F5 BIG-IP APM Microsoft Entra ID 整合

  5. 輸入新應用程式的名稱,以辨識應用程式實例。

  6. 選取 [新增/建立 ] 將它新增至您的租使用者。

啟用 SSO 至 F5 BIG-IP

設定 BIG-IP 註冊,以滿足 BIG-IP APM 要求的 SAML 令牌。

  1. 在左側功能表的 [ 管理] 區段中,選取 [單一登錄]。 [ 單一登錄] 窗格隨即出現。
  2. 在 [選取單一登入方法] 頁面上,選取 [SAML]。 選取 [ 否],稍後我會儲存 以略過提示。
  3. 在 [ 使用 SAML 設定單一登錄] 窗格上,選取 畫筆 圖示以編輯 基本 SAML 組態
  4. 將預先定義的 識別碼 值取代為 BIG-IP 已發佈應用程式的完整 URL。
  5. 取代 [ 回復 URL] 值,但保留應用程式 SAML SP 端點的路徑。

注意

在此設定中,SAML 流程會以IdP起始模式運作。 Microsoft Entra ID 會在使用者重新導向至應用程式的 BIG-IP 端點之前發出 SAML 判斷提示。

  1. 若要使用SP起始模式,請在 [登入URL]中 輸入應用程式URL

  2. 針對 [註銷 URL],輸入所發行服務的主機標頭前面加上 BIG-IP APM 單一註銷 (SLO) 端點。 此動作可確保使用者 BIG-IP APM 會話會在用戶註銷 Microsoft Entra 標識符之後結束。

    基本 SAML 組態中 URL 專案的螢幕快照。

注意

從 BIG-IP 流量管理作業系統 (TMOS) v16,SAML SLO 端點已變更為 /saml/sp/profile/redirect/slo

  1. 關閉 SAML 組態之前,請選取 [ 儲存]。

  2. 略過 SSO 測試提示。

  3. 記下 [用戶屬性和宣告] 區段的屬性。 Microsoft Entra ID 會向使用者發出 BIG-IP APM 驗證和 SSO 到後端應用程式的屬性。

  4. 若要將 [同盟元數據 XML 檔案] 儲存到您的計算機,請在 [SAML 簽署憑證 ] 窗格上,選取 [ 下載]。

    [同盟元數據 XML 下載] 選項的螢幕快照。

注意

Microsoft Entra ID 建立的 SAML 簽署憑證的存續期為三年。 如需詳細資訊,請參閱 同盟單一登錄的受控憑證。

授與使用者和群組的存取權

根據預設,Microsoft Entra ID 會為使用者授與應用程式的存取權發出令牌。 若要授與使用者和群組對應用程式的存取權:

  1. F5 BIG-IP 應用程式的概觀 窗格中,選取 [ 指派使用者和群組]。

  2. 選取 [+ 新增使用者/群組]。

    [使用者和群組] 上 [新增使用者或群組] 選項的螢幕快照。

  3. 選取 [使用者和群組],然後選取 [ 指派]。

設定 Active Directory Kerberos 限制委派

若要讓 BIG-IP APM 代表使用者對後端應用程式執行 SSO,請在目標 Active Directory (AD) 網域中設定 KCD。 委派驗證需要您使用網域服務帳戶布建 BIG-IP APM。

在此案例中,應用程式裝載於伺服器 APP-VM-01,並在名為 web_svc_account 的服務帳戶內容中執行,而不是電腦身分識別。 指派給 APM 的服務帳戶是 F5-BIG-IP。

建立 BIG-IP APM 委派帳戶

BIG-IP 不支援群組受控服務帳戶 (gMSA),因此為 APM 服務帳戶建立標準用戶帳戶。

  1. 輸入下列 PowerShell 命令。 以 您的環境值取代 UserPrincipalNameSamAccountName 值。 為了獲得更好的安全性,請使用符合應用程式主機標頭的專用服務主體名稱 (SPN)。

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    注意

    使用主機時,主機上執行的任何應用程式都會委派帳戶,而當使用 HTTPS 時,它只允許 HTTP 通訊協定相關作業。

  2. 為 APM 服務帳戶建立 服務主體名稱 (SPN), 以在委派至 Web 應用程式服務帳戶期間使用:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    注意

    必須以 UserPrincipleName (host/name.domain@domain) 或 ServicePrincipleName (host/name.domain) 的格式包含主機/元件。

  3. 指定目標 SPN 之前,請先檢視其 SPN 組態。 確定 SPN 針對 APM 服務帳戶顯示。 Web 應用程式的 APM 服務帳戶委派:

    • 確認您的 Web 應用程式正在電腦內容或專用服務帳戶中執行。

    • 針對計算機內容,使用下列命令來查詢 Active Directory 中的帳戶物件,以查看其定義的 SPN。 以您環境的帳戶取代 <name_of_account> 。

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      例如:Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames |Select-Object -ExpandProperty ServicePrincipalNames

    • 針對專用的服務帳戶,請使用下列命令來查詢 Active Directory 中的帳戶物件,以查看其定義的 SPN。 以您環境的帳戶取代 <name_of_account> 。

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      例如:Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames |Select-Object -ExpandProperty ServicePrincipalNames

  4. 如果應用程式在電腦內容中執行,請將SPN新增至Active Directory 中電腦帳戶的物件:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

定義SPN之後,為該服務委派的APM服務帳戶建立信任。 此組態會根據 BIG-IP 實例和應用程式伺服器的拓撲而有所不同。

在相同的網域中設定 BIG-IP 和目標應用程式

  1. 將 APM 服務帳戶的信任設定為委派驗證:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. APM 服務帳戶必須知道其信任委派的目標 SPN。 將目標 SPN 設定為執行 Web 應用程式的服務帳戶:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    注意

    您可以使用域控制器上的 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元來完成這些工作。

在不同的網域中設定 BIG-IP 和目標應用程式

在 Windows Server 2012 版本和更新版本中,跨網域 KCD 會使用以資源為基礎的限制委派 (RBCD)。 服務的條件約束會從網域管理員傳輸到服務管理員。 此委派可讓後端服務管理員允許或拒絕 SSO。 這種情況會在組態委派時建立不同的方法,當您使用PowerShell或Active Directory服務介面編輯器 (ADSI 編輯) 時,可能會發生這種情況。

您可以使用應用程式服務帳戶的 PrincipalsAllowedToDelegateToAccount 屬性(計算機或專用服務帳戶)來授與 BIG-IP 的委派。 在此案例中,請在與應用程式相同的網域中使用下列 PowerShell 命令(Windows Server 2012 R2 或更新版本)。

使用針對 Web 應用程式服務帳戶定義的 SPN。 為了獲得更好的安全性,請使用符合應用程式主機標頭的專用SPN。 例如,因為此範例中的 Web 應用程式主機標頭是 myexpenses.contoso.com,請將 HTTP/myexpenses.contoso.com 新增至 Active Directory 中的應用程式服務帳戶物件(AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

針對下列命令,請注意內容。

如果web_svc_account服務在使用者帳戶的內容中執行,請使用下列命令:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

如果web_svc_account服務是在電腦帳戶的內容中執行,請使用下列命令:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

如需詳細資訊,請參閱 跨網域的 Kerberos 限制委派。

BIG-IP 進階設定

使用下一節繼續設定 BIG-IP 組態。

設定 SAML 服務提供者設定

SAML 服務提供者設定會定義 APM 用來將舊版應用程式與 SAML 預先驗證重疊的 SAML SP 屬性。 若要設定它們:

  1. 從瀏覽器登入 F5 BIG-IP 管理主控台。

  2. 選取 [存取>同盟>SAML 服務提供者>本機 SP 服務>建立]。

    [本機 SP 服務上 SAML 服務提供者] 底下的 [建立] 選項螢幕快照。

  3. 提供您在為 Microsoft Entra ID 設定 SSO 時儲存的 [名稱] 和 [實體識別符] 值。

    [建立新的 SAML SP 服務] 上 [名稱] 和 [實體標識符] 專案的螢幕快照。

  4. 如果 SAML 實體識別碼與已發布應用程式的 URL 完全相符,您可以略過 SP 名稱 設定。 例如,如果實體標識碼是 urn:myexpenses:contosoonline,則 Scheme 值為 https;主機myexpenses.contoso.com。 如果實體標識碼為 “https://myexpenses.contoso.com",則不需要提供這項資訊。

設定外部 IdP 連接器

SAML IdP 連接器會定義 BIG-IP APM 的設定,以信任 Microsoft Entra ID 作為其 SAML IdP。 這些設定會將 SAML SP 對應至 SAML IdP,以建立 APM 與 Microsoft Entra 標識符之間的同盟信任。 若要設定連接器:

  1. 向下卷動以選取新的 SAML SP 對象,然後選取 [系結/解除系結 IdP] 連線 ors

    [本機 SP 服務上的 SAML 服務提供者] 上 [系結未系結 IdP 連線 ors] 選項的螢幕快照。

  2. 選取 [從元數據建立新的IdP 連線 or]。>

    [編輯 SAML Id 連線 P] 上的 [從元數據] 選項的螢幕快照

  3. 流覽至您下載的同盟元數據 XML 檔案,併為代表外部 SAML IdP 的 APM 物件提供 識別提供者名稱 。 下列範例顯示 MyExpenses_AzureAD

    在 [建立新的 SAML IdP] 連線 or 上選取 [檔案] 底下的 [選取檔案] 和 [識別提供者名稱] 專案的螢幕快照。

  4. 選取 [新增數據列] 以選擇新的 SAML IdP 連線 ors 值,然後選取 [更新]。

    SAML IdP 連線 or 專案的 [更新] 選項螢幕快照。

  5. 選取 [確定]。

設定 Kerberos SSO

建立 KCD SSO 至後端應用程式的 APM SSO 物件。 使用您建立的 APM 委派帳戶。

  1. 選取 [存取>單一登錄>Kerberos>建立],並提供下列資訊:

  • 名稱:建立之後,其他已發佈的應用程式可以使用 Kerberos SSO APM 物件。 例如,針對 Contoso 網域的多個已發佈應用程式使用Contoso_KCD_sso。 針對單一應用程式使用MyExpenses_KCD_sso。

  • 使用者名稱來源:指定使用者識別碼來源。 使用 APM 會話變數作為來源。 建議使用 session.saml.last.identity,因為它包含來自 Microsoft Entra 宣告的已登入使用者標識碼。

  • 用戶領域來源:當使用者網域與 KCD 的 Kerberos 領域不同時,需要此來源。 如果使用者位於個別的受信任網域中,您可以使用登入的使用者網域來指定 APM 會話變數,讓 APM 感知。 例如 session.saml.last.attr.name.domain。 在使用者主體名稱 (UPN) 以替代後綴為基礎時,您會執行此動作。

  • Kerberos領域:大寫的使用者網域後綴

  • KDC:域控制器 IP 位址。 或者,如果 DNS 已設定且有效率,請輸入完整功能變數名稱。

  • UPN 支援:如果使用者名稱的來源為 UPN 格式,請選取此複選框,例如 session.saml.last.identity 變數。

  • 帳戶名稱和帳戶密碼:執行 KCD 的 APM 服務帳戶認證

  • SPN 模式:如果您使用 HTTP/%h,APM 會使用用戶端要求的主機標頭來建置其要求 Kerberos 令牌的 SPN。

  • 傳送授權:針對偏好交涉驗證的應用程式停用此選項,而不是在第一個要求中接收 Kerberos 令牌(例如 Tomcat)。

    [一般屬性] 上 [名稱]、[使用者名稱來源] 和 [SSO 方法組態] 項目的螢幕快照。

如果用戶領域與後端伺服器領域不同,您可以讓 KDC 保持未定義。 此規則適用於多個網域領域案例。 如果您將 KDC 保留為未定義,BIG-IP 會嘗試透過後端伺服器網域 SRV 記錄的 DNS 查閱來探索 Kerberos 領域。 其預期功能變數名稱與領域名稱相同。 如果功能變數名稱不同,請在 /etc/krb5.conf 檔案中指定它。

當IP位址指定 KDC 時,Kerberos SSO 處理會更快。 如果主機名指定 KDC,Kerberos SSO 處理速度會變慢。 由於 DNS 查詢較多,KDC 未定義時處理速度較慢。 在將概念證明移至生產環境之前,請確定您的 DNS 會以最佳方式執行。

注意

如果後端伺服器位於多個領域,請為每個領域建立個別的 SSO 組態物件。

您可以將標頭作為 SSO 要求的一部分插入後端應用程式。 將 [一般屬性] 設定從 [基本] 變更為 [進階]。

如需設定 APM for KCD SSO 的詳細資訊,請參閱 F5 文章 K17976428:Kerberos 限制委派概觀。

設定存取配置檔

存取配置檔會系結 APM 元素,以管理 BIG-IP 虛擬伺服器的存取權。 這些元素包括存取原則、SSO 組態和 UI 設定。

  1. 選取 [存取>配置檔/原則>存取配置檔][個別會話原則][建立],>然後輸入下列屬性:

    • 名稱:例如,輸入 MyExpenses

    • 配置檔類型:全部選取

    • SSO 組態:選取您所建立的 KCD SSO 組態物件

    • 接受的語言:新增至少一種語言

    一般屬性、跨驗證網域 SSO 和語言 設定 的項目螢幕快照。

  2. 針對您所建立的每個會話配置檔,選取 [ 編輯]。

    [每一會話 Polcy] 底下的 [編輯] 選項螢幕快照。

  3. 視覺效果原則編輯器隨即開啟。 選取後援旁邊的加號

    套用存取原則上加號按鈕的螢幕快照。

  4. 在對話框中,選取 [驗證>SAML 驗證>新增專案]。

    [驗證] 索引標籤上 [SAML 驗證] 選項的螢幕快照。

  5. 在 SAML 驗證 SP 組態中,設定 AAA 伺服器選項以使用您建立的 SAML SP 物件。

    [屬性] 索引標籤上 AAA 伺服器項目的螢幕快照。

  6. 若要將 [成功 ] 分支變更為 [允許],請選取上方 [拒絕 ] 方塊中的連結。

  7. 選取 [儲存]。

    存取原則上 [拒絕] 選項的螢幕快照。

設定屬性對應

雖然這是選擇性的,但您可以新增 LogonID_Mapping 組態,讓 BIG-IP 使用中會話清單顯示已登入使用者的 UPN,而不是會話號碼。 這項信息有助於分析記錄或疑難解答。

  1. 針對 [SAML 驗證成功] 分支,選取加號

  2. 在對話框中,選取 [指派>變數指派>新增專案]。

    [指派] 索引標籤上 [變數指派] 選項的螢幕快照。

  3. 輸入名稱

  4. 在 [變數指派] 窗格中,選取 [新增項目>變更]。 下列範例會在 [名稱] 方塊中顯示LogonID_Mapping。

    新增專案和變更選項的螢幕快照。

  5. 設定這兩個變數:

    • 自定義變數:輸入 session.logon.last.username
    • 會話變數:輸入 session.saml.last.identity

  6. 選取 [已完成儲存>]。

  7. 選取存取原則 [成功] 分支的 [拒絕終端機]。 將它變更為 [允許]。

  8. 選取 [儲存]。

  9. 選取 [ 套用存取原則],然後關閉編輯器。

    [套用存取原則] 選項的螢幕快照。

設定後端集區

若要讓 BIG-IP 正確地轉送用戶端流量,請建立 BIG-IP 節點物件,代表裝載應用程式的後端伺服器。 然後,將該節點放在 BIG-IP 伺服器集區中。

  1. 選取 [本機流量>集區>集區清單>建立],並提供伺服器集區對象的名稱。 例如,輸入 MyApps_VMs。

    [新增集區設定] 底下 [名稱] 項目的螢幕快照。

  2. 使用下列資源詳細資料新增集區成員物件:

    • 節點名稱:裝載後端 Web 應用程式的伺服器顯示名稱
    • 位址:裝載應用程式的伺服器IP位址
    • 服務埠:應用程式正在接聽的 HTTP/S 連接埠

    節點名稱、地址和服務埠專案的螢幕快照,以及 [新增] 選項。

注意

本文未涵蓋其他設定健康情況監視器所需的內容。 請參閱 K13397:BIG-IP DNS 系統 HTTP 健康情況監視器要求格式的概觀。

設定虛擬伺服器

虛擬伺服器是 BIG-IP 數據平面物件,由虛擬 IP 位址代表,接聽應用程式用戶端要求。 接收的流量會根據原則進行導向之前,先根據與虛擬伺服器相關聯的 APM 存取配置檔進行處理和評估。

若要設定虛擬伺服器:

  1. 選取 [本機流量>虛擬伺服器>] [虛擬伺服器清單>建立]。

  2. 輸入 [名稱] 和未配置給連線網络上 BIG-IP 物件或裝置的 IPv4/IPv6 位址。 IP 位址專用於接收已發佈後端應用程式的用戶端流量。

  3. 將服務埠設定443

    [一般屬性] 底下的 [名稱]、[目的地位址/遮罩] 和服務埠專案的螢幕快照。

  4. 將 HTTP 設定檔 (Client) 設定HTTP

  5. 啟用傳輸層安全性 (TLS) 的虛擬伺服器,以允許透過 HTTPS 發佈服務。

  6. 針對 [SSL 配置檔][用戶端],選取您為必要條件建立的配置檔。 或者,如果您要測試,請使用預設值。

    用戶端 HTTP 配置檔和 SSL 設定檔項目的螢幕快照。

  7. 將來源地址轉譯變更自動對應

    來源地址翻譯項目的螢幕快照。

  8. 在 [存取原則] 底下,根據您所建立的配置檔來設定存取配置檔 此選取範圍會將 Microsoft Entra SAML 預先驗證設定檔和 KCD SSO 原則系結至虛擬伺服器。

    存取原則下 [存取配置檔] 項目的螢幕快照。

  9. 將 [預設集區] 設定為使用您在上一節中建立的後端集區物件。

  10. 選取 [已完成]。

    資源的預設集區項目螢幕快照。

設定工作階段管理設定

BIG-IP 工作階段管理設定會定義使用者工作階段終止或允許繼續的條件、使用者和IP位址的限制,以及錯誤頁面。 您可以在這裏建立原則。

移至 [存取原則>存取配置檔存取配置檔>],然後從清單中選取應用程式。

如果您在 Microsoft Entra ID 中定義單一註銷 URI 值,它會確保從 MyApps 入口網站起始的 IdP 起始註銷會結束用戶端與 BIG-IP APM 之間的會話。 匯入的應用程式同盟元數據 XML 檔案會為 APM 提供 SP 起始登出的 Microsoft Entra SAML 註銷端點。為了取得有效結果,APM 必須知道使用者何時註銷。

請考慮未使用 BIG-IP 入口網站時的案例。 用戶無法指示 APM 註銷。即使使用者註銷應用程式,BIG-IP 仍會遺忘,因此應用程式會話可以透過 SSO 恢復。 SP 起始的註銷需要考慮,以確保會話安全地終止。

注意

您可以將 SLO 函式新增至應用程式 [註銷] 按鈕。 此函式會將用戶端重新導向至 Microsoft Entra SAML 註銷端點。 在應用程式註冊>端點尋找 SAML 註銷端點。

如果您無法變更應用程式,請考慮讓 BIG-IP 接聽應用程式註銷呼叫。 當它偵測到要求時,它會觸發 SLO。

如需詳細資訊,請參閱 F5 文章:

摘要

您的應用程式可透過 SHA、其 URL 或 Microsoft 應用程式入口網站來發布和存取。 應用程式會顯示為 Microsoft Entra 條件式存取中的目標資源。

為了提高安全性,使用此模式的組織可以封鎖應用程式的直接存取,以強制透過 BIG-IP 的嚴格路徑。

下一步

以使用者身分開啟瀏覽器並連線到應用程式外部URL。 您可以在 Microsoft MyApps 入口網站中選取應用程式圖示。 針對 Microsoft Entra 租使用者進行驗證之後,系統會將您重新導向至應用程式的 BIG-IP 端點,並透過 SSO 登入。

範例應用程式網站的影像。

Microsoft Entra B2B 來賓存取

SHA 支援 Microsoft Entra B2B 來賓存取。 來賓身分識別會從您的 Microsoft Entra 租使用者同步處理到目標 Kerberos 網域。 讓 BIG-IP 具有客體物件的本機表示法,以對後端應用程式執行 KCD SSO。

疑難排解

進行疑難解答時,請考慮下列幾點:

  • Kerberos 會區分時間。 它需要伺服器和客戶端設定為正確的時間,並盡可能同步處理至可靠的時間來源。
  • 確定域控制器和 Web 應用程式的主機名可在 DNS 中解析
  • 請確定您的環境中沒有重複的SPN。 在命令行執行下列查詢: setspn -q HTTP/my_target_SPN

注意

若要驗證已針對 KCD 設定 IIS 應用程式,請參閱針對 應用程式 Proxy 的 Kerberos 限制委派設定進行疑難解答。 另請參閱 AskF5 文章 Kerberos 單一登錄方法

增加記錄詳細資訊

BIG-IP 記錄是可靠的資訊來源。 若要增加記錄詳細資訊層級:

  1. 移至存取原則>概觀>事件記錄> 設定。
  2. 選取已發佈應用程式的數據列。
  3. 選取 [編輯>存取系統記錄]。
  4. 從 SSO 清單中選取 [偵 錯]。
  5. 選取 [確定]。

在查看記錄之前重現您的問題。 然後,完成時還原這項功能。 否則,詳細資訊很重要。

BIG-IP 錯誤

如果 BIG-IP 錯誤出現在 Microsoft Entra 預先驗證之後,問題可能與 SSO 有關,從 Microsoft Entra ID 到 BIG-IP。

  1. 移至 [存取概觀>存取>報告]。
  2. 若要查看記錄是否有任何線索,請執行過去一個小時的報告。
  3. 使用會話的 [ 檢視會話變數 ] 連結,瞭解 APM 是否收到來自 Microsoft Entra ID 的預期宣告。

後端要求

如果沒有出現 BIG-IP 錯誤,問題可能與後端要求相關,或與從 BIG-IP 到應用程式的 SSO 相關。

  1. 移至存取原則>概觀>使用中會話。
  2. 選取作用中會話的連結。
  3. 使用 [ 檢視變數 ] 鏈接來判斷根本原因 KCD 問題,特別是當 BIG-IP APM 無法取得正確的使用者和網域識別符時。

如需診斷 KCD 相關問題的協助,請參閱封存 F5 BIG-IP 部署指南 設定 Kerberos 限制委派

資源