共用方式為

教學課程:為 Kerberos 驗證設定 F5 BIG-IP 存取原則管理員

在本教學課程中,您將了解如何使用 F5 BIG-IP 進階設定,實作安全混合式存取 (SHA),以提供 Kerberos 應用程式的單一登入 (SSO)。 針對 Microsoft Entra SSO 啟用 BIG-IP 公開服務可帶來許多好處,包括:

  • 透過Microsoft Entra 預先驗證改善 零信任 治理,以及使用條件式存取安全策略強制執行解決方案。
  • Microsoft Entra ID 和 BIG-IP 發佈之服務之間的完整單一登入(SSO)
  • 從單一控制平面 Microsoft Entra 系統管理中心 管理身分識別和存取權限

若要深入瞭解優點,請參閱 整合 F5 BIG-IP 與 Microsoft Entra ID

案例描述

在此案例中,您要設定企業營運應用程式的 Kerberos 驗證,亦即「整合式 Windows 驗證」。

整合應用程式與 Microsoft Entra ID 需要同盟通訊協定的支援,例如安全性聲明標記語言 (SAML)。 但由於將應用程式現代化會帶來潛在的停機風險,因此還有其他選擇。

當您使用 Kerberos 限制委派 (KCD) 進行 SSO 時,您可以使用 Microsoft Entra 應用程式 Proxy 從遠端存取應用程式。 您可以達成通訊協定轉換,將舊版應用程式橋接至新式身分識別控制平面。

另一種方法是使用 F5 BIG-IP 應用程式傳遞控制器。 此方法可讓應用程式與 Microsoft Entra 預先驗證和 KCD SSO 重疊。 這會大幅改善應用程式的整體零信任狀態。

案例架構

此案例的 SHA 解決方案包含下列元素:

  • 應用程式:BIG-IP 外部發佈的後端 Kerberos 型服務,並受到 SHA 保護

  • BIG-IP:發佈後端應用程式的反向 Proxy 功能。 存取原則管理員 (APM) 會將已發佈的應用程式與 SAML 服務提供者 (SP) 和 SSO 功能重疊。

  • Microsoft Entra ID:身份識別提供者(IdP)可驗證使用者認證、Microsoft Entra 條件式存取,以及透過 SAML 對 BIG-IP APM 的 SSO。

  • KDC:域控制器上發出 Kerberos 票證的金鑰發佈中心角色

下圖說明此案例的 SAML SP 起始流程,但也支援 IdP 啟動流程。

案例架構的圖表。

使用者流程

  1. 使用者會連線到應用程式端點 (BIG-IP)
  2. BIG-IP 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)
  3. Microsoft Entra ID 預先對使用者進行驗證,並套用強制執行的條件式存取原則
  4. 使用者會重新導向至 BIG-IP (SAML SP),並透過已發行的 SAML 權杖來執行 SSO
  5. BIG-IP 會驗證使用者,並向 KDC 要求 Kerberos 票證
  6. BIG-IP 會將附有 SSO 用的 Kerberos 票證的請求傳送至後端應用程式。
  7. 應用程式授權要求後傳回資料負載

必要條件

不需要事先具備 BIG-IP 相關經驗。 您需要:

  • Azure 免費帳戶或較高層級的訂用帳戶。
  • BIG-IP 或 在 Azure 部署 BIG-IP Virtual Edition
  • 下列任一個 F5 BIG-IP 授權:
    • F5 BIG-IP 最佳方案組合
    • F5 BIG-IP APM 獨立授權
    • 在 BIG-IP 本機流量管理器 (LTM) 上的 F5 BIG-IP APM 附加元件授權
    • 90 天 BIG-IP 免費試用 授權
  • 從內部部署目錄同步到 Microsoft Entra ID 的使用者身分識別,或在 Microsoft Entra ID 中建立並回流至您的內部部署目錄。
  • Microsoft Entra 租用戶中的下列其中任何一個角色:雲端應用程式管理員或應用程式管理員。
  • Web 伺服器 證書 ,用於透過 HTTPS 發佈服務,或在測試時使用預設 BIG-IP 憑證。
  • Kerberos 應用程式,或移至 active-directory-wp.com 瞭解如何 在 Windows 上使用 IIS 設定 SSO

BIG-IP 設定方法

本文涵蓋進階設定,這是一種彈性的 SHA 實作,可建立 BIG-IP 設定物件。 您可以使用此方法處理引導式設定範本中未涵蓋的案例。

注意

以實際環境的字串或值,取代本文所有的範例字串或值。

在 Microsoft Entra ID 中註冊 F5 BIG-IP

在將 BIG-IP 交給 Microsoft Entra ID 進行預驗證之前,請先在您的租用戶中註冊它。 此流程會起始兩個實體間的 SSO。 您從 F5 BIG-IP 資源庫範本建立的應用程式是信賴方,代表 BIG-IP 已發布應用程式的 SAML 服務提供者 (SP)。

  1. 以至少雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 Entra ID>企業應用程式>所有應用程式,然後選取新增應用程式

  3. 隨即開啟的 [瀏覽 Microsoft Entra 資源庫] 窗格會出現雲端平台、內部部署應用程式和精選應用程式的圖格。 [精選應用程式] 區段中的應用程式會顯示圖示,表示應用程式是否支援同盟 SSO 與佈建。

  4. 在 Azure 資源庫中,搜尋 F5,然後選取 F5 BIG-IP APM Microsoft Entra ID 整合

  5. 輸入新應用程式的名稱,以辨識應用程式執行個體。

  6. 選取 新增/建立 將它新增至您的租戶。

啟用單一登入至 F5 BIG-IP

設定 BIG-IP 註冊以滿足 BIG-IP APM 要求的 SAML 權杖。

  1. 在左側功能表的 [管理] 區段中,選取 [單一登入]。 [單一登入] 窗格隨即出現。
  2. 在 [選取單一登入方法] 頁面上,選取 [SAML]。 選取 [否,稍後我會儲存] 略過提示。
  3. 在 [以 SAML 設定單一登入] 窗格上,選取畫筆圖示來編輯 [基本 SAML 設定]。
  4. 將預先定義的 [識別碼] 值取代為 BIG-IP 已發佈應用程式的完整 URL。
  5. 取代 [回覆 URL] 值,但保留應用程式 SAML SP 端點的路徑。

注意

在此設定中,SAML 流程會以 IdP 起始模式運作。 Microsoft Entra ID 會在使用者重新導向至應用程式的 BIG-IP 端點之前,發出 SAML 判斷提示。

  1. 若要使用SP起始模式,請在 [ 登入URL]中輸入應用程式URL。

  2. 針對 [註銷 URL],輸入所發行服務的主機標頭前面加上的 BIG-IP APM 單一註銷 (SLO) 端點。 此動作可確保在使用者登出 Microsoft Entra ID 後即結束使用者的 BIG-IP APM 工作階段。

    基本 SAML 組態中 URL 輸入的螢幕快照。

注意

從 BIG-IP 流量管理操作系統(TMOS)v16 開始,SAML SLO 端點已變更為 /saml/sp/profile/redirect/slo

  1. 關閉 SAML 設定之前,請選取 [儲存]
  2. 跳過 SSO 測試提示。
  3. 請留意 [使用者屬性和宣告] 區段的屬性。 Microsoft Entra ID 會將屬性指派給使用者,以進行 BIG-IP APM 驗證並實現後端應用程式的單一登入。
  4. 若要將同盟中繼資料 XML 檔案儲存到您的電腦,請在 [SAML 簽署憑證] 窗格中,選取 [下載]

注意

Microsoft Entra ID 建立的 SAML 簽署憑證有三年的使用期限。 如需詳細資訊,請參閱 同盟單一登錄的受控憑證

授與使用者和群組存取權

根據預設,Microsoft Entra ID 會為已獲得應用程式存取權的使用者發出權杖。 若要授與使用者和群組應用程式的存取權:

  1. 在 [F5 BIG-IP 應用程式概觀] 窗格上,選取 [指派使用者與群組]

  2. 選取 [+ 新增使用者/群組]。

    [使用者和群組] 上 [新增使用者或群組] 選項的螢幕快照。

  3. 選取使用者和群組,然後選取 [指派]。

設定 Active Directory Kerberos 限制委派

若要 BIG-IP APM 代表使用者執行後端應用程式的單一登入,請在目標 Active Directory (AD) 網域中設定 KCD。 委派驗證需要您使用網域服務帳戶佈建 BIG-IP APM。

在此案例中,應用程式託管於伺服器 APP-VM-01,並以名為 web_svc_account 的服務帳戶執行,而非電腦的身分識別。 指派給 APM 的委派服務帳戶是 F5-BIG IP。

建立 BIG-IP APM 委派帳戶

BIG-IP 不支援群組受管理的服務帳戶 (gMSA),因此,請建立 APM 服務帳戶的標準使用者帳戶。

  1. 輸入下列 PowerShell 命令。 以您的環境值取代 UserPrincipalNameSamAccountName 值。 如需更高的安全性,請使用符合應用程式主機標頭的專用服務主體名稱 (SPN)。

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    注意

    使用主機時,主機上執行的任何應用程式都會委派帳戶,而當使用 HTTPS 時,它只允許 HTTP 通訊協定相關作業。

  2. 為 APM 服務帳戶建立 服務主體名稱 (SPN), 以在委派至 Web 應用程式服務帳戶期間使用:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

    注意

    必須以 UserPrincipleName (host/name.domain@domain) 或 ServicePrincipleName (host/name.domain) 的格式包含主機/元件。

  3. 指定目標 SPN 之前,請先檢視其 SPN 設定。 請確保 SPN 顯示在 APM 服務帳戶上。 APM 服務帳戶為 Web 應用程式委派:

    • 請確認您的 Web 應用程式在電腦內容或專用服務帳戶中執行。

    • 在電腦環境中,使用下列命令來查詢 Active Directory 中的帳戶物件,以查看其定義的服務主體名稱 (SPN)。 將 <name_of_account> 替換成您在環境中使用的帳戶。

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      例如:Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • 針對專用的服務帳戶,使用下列命令來查詢 Active Directory 中的帳戶物件,以查看其定義的服務主體名稱。 將 <name_of_account> 替換成您在環境中使用的帳戶。

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      例如:Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. 如果應用程式是在系統環境中執行,請新增服務主體名稱 (SPN) 至 Active Directory 中的電腦帳戶物件:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

定義服務主體名稱 (SPN) 後,請建立對 APM 服務帳戶委派至該服務的信任。 設定會因 BIG-IP 執行個體和應用程式伺服器的拓撲而有所不同。

在相同網域中設定 BIG-IP 和目標應用程式

  1. 設定 APM 服務帳戶的信任以委派驗證:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. APM 服務帳戶需要知道其被信任可委派的目標 SPN。 將目標服務主體名稱(SPN)指定為用於運行您的 Web 應用程式的服務帳戶:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

    注意

    您可以在網域控制站上使用 Active Directory 使用者和電腦、Microsoft 管理主控台 (MMC) 嵌入式管理單元來完成這些工作。

在不同網域中設定 BIG-IP 和目標應用程式

在 Windows Server 2012 版本和更新版本中,跨網域 KCD 會使用以資源為基礎的限制委派 (RBCD)。 服務的限制已從網域管理員移轉給服務管理員。 此委派可讓後端服務管理員允許或拒絕 SSO。 這種情況會在設定委派時建立不同的方法,當您使用 PowerShell 或 Active Directory 服務介面編輯器 (ADSI 編輯) 時,可能會發生這種情況。

您可以應用程式服務帳戶(電腦或專用服務帳戶)的 PrincipalsAllowedToDelegateToAccount 屬性,來讓 BIG-IP 授權委派。 在此案例中,請在與應用程式相同網域中的網域控制站 (Windows Server 2012 R2 或更新版本) 上,使用下列 PowerShell 命令。

使用針對 Web 應用程式服務帳戶定義的服務主體名稱 (SPN)。 如需更高的安全性,請使用符合應用程式主機標頭的專用服務主體名稱 (SPN)。 例如,因為此範例中的 Web 應用程式主機標頭是 myexpenses.contoso.com,請將 HTTP/myexpenses.contoso.com 新增至 Active Directory 中的應用程式服務帳戶物件 (AD):

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

針對下列命令,請注意內容。

如果 web_svc_account 服務在使用者帳戶的環境中執行,請使用下列命令:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

如果 web_svc_account 服務在電腦帳戶環境中執行,請使用下列命令:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

如需詳細資訊,請參閱 跨網域的 Kerberos 限制委派

BIG-IP 進階設定

使用下一節,繼續進行 BIG-IP 設定。

設定 SAML 服務提供者設定

SAML 服務提供者設定定義 SAML SP 屬性,APM 使用這些屬性來重疊舊版應用程式與 SAML 預先驗證。 若要進行設定:

  1. 從瀏覽器登入 F5 BIG IP 管理主控台。

  2. 選取 [存取]>[同盟]>[SAML 服務提供者]>[本機 SP 服務]>[建立]

    [本機 SP 服務上 SAML 服務提供者] 底下的 [建立] 選項螢幕快照。

  3. 提供設定 Microsoft Entra ID 的 SSO 時儲存的 [名稱] 和 [實體識別碼] 值。

    [建立新的 SAML SP 服務] 上 [名稱] 和 [實體 ID] 項目的截圖。

  4. 如果 SAML 實體識別碼與發佈的應用程式 URL 完全相符,即可跳過 [SP 名稱設定]。 例如,如果實體標識碼為 urn:myexpenses:contosoonline, 則 Scheme 值為 https; 主機是 myexpenses.contoso.com。 如果實體識別碼是 "https://myexpenses.contoso.com"",您就不需要提供此資訊。

設定外部 IdP 連接器

SAML IdP 連接器會定義 BIG-IP APM 的設定,使其信任 Microsoft Entra ID 作為 SAML IdP。 這些設定會將 SAML SP 對應至 SAML IdP,建立 APM 與 Microsoft Entra ID 之間的聯盟信任關係。 若要設定連接器:

  1. 向下捲動以選取新的 SAML SP 物件,然後選取 [繫結/取消繫結 IdP 連接器]

    [本機 SP 服務上的 SAML 服務提供者] 上 [系結未系結 IdP 連接器] 選項的螢幕快照。

  2. 選取 建立新的 IdP 連接器>從元數據

    [編輯 SAML IdP] 上 [建立新 IdP 連接器] 下 [從元數據] 選項的螢幕快照

  3. 瀏覽至之前下載的同盟中繼資料 XML 檔案,然後針對代表外部 SAML IdP 的 APM 物件,提供 [識別提供者名稱]。 下列範例顯示 MyExpenses_AzureAD

    在 [建立新的 SAML IdP 連接器] 中,包含 [選取檔案] 和 [識別提供者名稱] 項目的螢幕快照。

  4. 選取 [新增資料列],以選擇新的 [SAML IdP 連接器] 值,然後選取 [更新]

    SAML IdP 連線器 [更新] 選項的螢幕截圖。

  5. 選取 [確定]。

設定 Kerberos SSO

建立 APM SSO 物件,以便對後端應用程式進行 KCD SSO。 請使用您所建立的 APM 委派帳戶。

  1. 選取「存取」>「單一登入」>「Kerberos」>「建立」,然後輸入以下資訊:

  • 名稱:建立之後,其他已發佈的應用程式可以使用 Kerberos SSO APM 物件。 例如,Contoso_KCD_sso 可用於 Contoso 網域的多個已發佈的應用程式。 針對單一應用程式,使用 MyExpenses_KCD_sso。

  • 使用者名稱來源:指定使用者識別碼來源。 使用 APM 工作階段變數作為來源。 建議您使用 session.saml.last.identity ,因為它包含來自 entra 宣告Microsoft登入的用戶標識碼。

  • 用戶領域來源:當使用者網域與 KCD 的 Kerberos 領域不同時,需要此來源。 如果使用者位於不同的受信任網域,您可以指定包含已登入使用者網域的 APM 工作階段變數,讓 APM 可以感知。 例如,session.saml.last.attr.name.domain。 在使用者主體名稱 (UPN) 以替代尾碼為基礎時,您會執行此動作。

  • Kerberos領域:大寫的使用者網域後綴

  • KDC:域控制器 IP 位址。 或在 DNS 已設定且有效的情況下,輸入完整網域名稱。

  • UPN 支援:如果使用者名稱的來源為 UPN 格式,請選取此複選框,例如 session.saml.last.identity 變數。

  • 帳戶名稱和帳戶密碼:執行 KCD 的 APM 服務帳戶認證

  • SPN 模式:如果您使用 HTTP/%h,APM 會使用用戶端要求的主機標頭來建置其要求 Kerberos 令牌的 SPN。

  • 傳送授權:若應用程式(例如 Tomcat)偏好透過協商身分驗證,請停用此選項,而不是在第一個請求中接收 Kerberos 令牌。

    [一般屬性] 上 [名稱]、[使用者名稱來源] 和 [SSO 方法組態] 項目的螢幕快照。

如果使用者領域與後端伺服器領域不同,您可以讓 KDC 保持未定義。 此規則適用於多網域領域案例。 如果您未定義 KDC,BIG-IP 會嘗試透過 DNS 查詢後端伺服器網域的 SRV 記錄來探索 Kerberos 領域。 BIG-IP 預期網域名稱應與領域名稱相同。 如果網域名稱不同,請在 /etc/krb5.conf 檔案中指定它。

當 IP 位址指定 KDC 時,Kerberos SSO 處理會更快。 如果主機名指定 KDC,Kerberos SSO 處理速度會變慢。 由於有較多的 DNS 查詢,當 KDC 未定義時,處理速度會較慢。 在將概念證明移至實際執行環境前,請確保您的 DNS 正在表現最佳狀態。

注意

如果後端伺服器位於多個領域,請針對每個領域建立個別的 SSO 設定物件。

您可以在對後端應用程式的 SSO 請求中插入標頭。 將 [一般屬性] 設定從 [基本] 變更為 [進階]

如需設定 KCD SSO 的 APM 詳細資訊,請參閱 F5 文章 K17976428:Kerberos 限制委派概觀

設定存取設定檔

存取設定檔會繫結管理 BIG-IP 虛擬伺服器存取權的 APM 元素。 這些元素包括存取原則、SSO 設定和 UI 設定。

  1. 選取 [存取]>[設定檔/原則]>[存取設定檔 (每個工作階段原則)]>[建立],然後輸入下列屬性:

    • 名稱:例如,輸入 MyExpenses

    • 配置檔類型全部選取

    • SSO 組態:選取您所建立的 KCD SSO 組態物件

    • 接受的語言:新增至少一種語言

    [一般屬性]、[跨驗證網域 SSO] 和 [語言設定] 的項目螢幕快照。

  2. 針對您所建立的每次會話的配置檔,選取 編輯

    每一個會話政策下的 [編輯] 選項螢幕截圖。

  3. 視覺效果原則編輯器會開啟。 按下後援旁的 加號

    套用存取原則時加號按鈕的螢幕快照。

  4. 在對話方塊中,選取 [驗證]>[SAML 驗證]>[新增項目]

    [驗證] 索引標籤上 [SAML 驗證] 選項的螢幕快照。

  5. 在 [SAML 驗證 SP] 設定中,將 [AAA 伺服器] 選項設為使用之前建立的 SAML SP 物件。

    [屬性] 索引標籤上 AAA 伺服器項目的螢幕快照。

  6. 若要將 [成功] 分支變更為 [允許],請選取上方 [拒絕] 方塊中的連結。

  7. 選擇「儲存」。

    存取原則上 [拒絕] 選項的螢幕快照。

設定屬性對應

雖然這是選擇性的,但您可以新增LogonID_Mapping組態,讓 BIG-IP 作用中會話清單顯示已登入使用者的 UPN,而不是會話號碼。 此資訊可用於分析記錄或疑難排解。

  1. 針對 [SAML 驗證成功] 分支,選取 加號

  2. 在對話方塊中,選取 [指派]>[變數指派]>[新增項目]

    [指派] 索引標籤上 [變數指派] 選項的螢幕快照。

  3. 輸入 名稱

  4. 在 [變數指派] 窗格上,選取 [新增項目]>[變更]。 下列範例會在「名稱」欄位中顯示 LogonID_Mapping。

    新增條目及變更選項的螢幕截圖。

  5. 設定這兩個變數:

    • 自定義變數:輸入 session.logon.last.username
    • 會話變數:輸入 session.saml.last.identity

  6. 選擇 [完成]>[儲存]

  7. 選取存取政策「成功分支」中的「拒絕」端點。 將變更為 [允許]

  8. 選擇「儲存」。

  9. 選取 [套用存取原則],然後關閉編輯器。

    [套用存取原則] 選項的螢幕快照。

設定後端集區

若要 BIG-IP 正確轉接用戶端流量,請建立代表裝載應用程式後端伺服器的 BIG-IP 節點物件。 然後,將節點放置在 BIG-IP 伺服器集區中。

  1. 選擇 [本機流量]>[集區]>[集區清單]>[建立],並提供伺服器集區物件的名稱。 例如,輸入 MyApps_VMs。

    [新增集區設定] 底下 [名稱] 項目的螢幕快照。

  2. 新增包含下列資源詳細資料的集區成員物件:

    • 節點名稱:裝載後端 Web 應用程式的伺服器顯示名稱
    • 位址:裝載應用程式的伺服器IP位址
    • 服務埠:應用程式正在接聽的 HTTP/S 連接埠

    節點名稱、地址和服務埠項目列表的螢幕快照,以及 [新增] 選項。

注意

本文未涵蓋健康監控所需的其他設定內容。 請參閱 K13397:BIG-IP DNS 系統 HTTP 健康情況監視器要求格式的概觀。

設定虛擬伺服器

虛擬伺服器是一種 BIG-IP 資料平面物件,由接聽用戶端對應用程式要求的虛擬 IP 位址來表示。 收到的流量是根據與虛擬伺服器相關的 APM 存取設定檔處理和評估,然後再根據原則進行導向。

若要設定虛擬伺服器:

  1. 選取 本機流量>虛擬伺服器>虛擬伺服器清單>建立

  2. 輸入 [ 名稱 ] 和未配置給連線網络上 BIG-IP 物件或裝置的 IPv4/IPv6 位址。 IP 位址會專門用來接收已發佈後端應用程式的用戶端流量。

  3. 服務埠 設定為 443

    [一般屬性] 下 [名稱]、[目的地位址/遮罩] 和 [服務埠] 項目的螢幕快照。

  4. HTTP 設定檔 (Client) 設定為 HTTP

  5. 啟用傳輸層安全性 (TLS )的虛擬伺服器,允許透過 HTTPS 發佈服務。

  6. 針對 SSL 配置檔(用戶端),選取您為前置條件建立的配置檔。 或者,如果您要測試,請使用預設值。

    用戶端 HTTP 配置檔和 SSL 設定檔項目的螢幕快照。

  7. 將 [來源位址轉換] 變更為 [自動對應]

    來源地址翻譯項目的螢幕快照。

  8. 在 [存取原則] 下,根據之前建立的設定檔,設定 [存取設定檔]。 此選項會將 Microsoft Entra SAML 預先驗證設定檔和 KCD SSO 原則繫結至虛擬伺服器。

    存取原則下 [存取配置檔] 項目的螢幕快照。

  9. 設定 [預設集區],使用上一節中所建立的後端集區物件。

  10. 選取 [已完成]。

    資源的預設集區項目螢幕快照。

配置會話管理設定

BIG-IP 工作階段管理設定會定義使用者工作階段終止或允許繼續的條件、使用者和 IP 位址的限制,及錯誤頁面。 您可以在此建立原則。

移至 [存取原則]>[存取設定檔]>[存取設定檔],然後從清單選取應用程式。

如果您已在 Microsoft Entra ID 中定義單一登出 URI 值,此值可確保 IdP 起始的 MyApps 入口網站登出會結束用戶端與 BIG-IP APM 間的工作階段。 匯入的應用程式同盟中繼資料 XML 會為 APM 提供適用於 SP 啟始登出的 Microsoft Entra SAML 登出端點。為了取得有效結果,APM 必須知道使用者登出的時間。

請考慮不使用 BIG-IP Web 入口網站的案例。 使用者無法指示 APM 進行登出。即使使用者登出應用程式,BIG-IP 也會予以忽視,所以應用程式工作階段可能會透過 SSO 恢復。 SP 起始的登出需要考慮是否能確保連線安全終止。

注意

您可以新增 SLO 函式至應用程式登出按鈕。 此功能會將用戶端重新導向至 Microsoft Entra SAML 登出端點。 在應用程式註冊>端點,尋找 SAML 註銷端點。

如果應用程式無法變更,請考慮讓 BIG-IP 接聽應用程式登出呼叫。 偵測到要求後,會觸發 SLO。

如需詳細資訊,請參閱 F5 文章:

摘要

您的應用程式會透過 SHA、應用程式 URL 或 Microsoft 應用程式入口網站發佈和存取。 應用程式會顯示為 Microsoft Entra 條件式存取中的目標資源。

若要提高安全性,使用此模式的組織可以封鎖對應用程式的直接存取,強制透過 BIG-IP 系統的嚴格路徑。

下一步

以使用者的身分開啟瀏覽器,並連線至應用程式的外部 URL。 您可以在 Microsoft MyApps 入口網站中選取應用程式圖示。 完成 Microsoft Entra 租戶驗證後,系統會將您重新導向至應用程式的 BIG-IP 端點,並透過 SSO 進行登入。

範例應用程式網站的影像。

Microsoft Entra B2B 來賓存取

SHA 支援 Microsoft Entra B2B 來賓存取。 來賓身分識別會從您的 Microsoft Entra 租用戶同步到您的 Kerberos 目標網域。 為了讓 BIG-IP 執行後端應用程式的 KCD 單一登入(SSO),需具備來賓物件的本地表示。

疑難排解

疑難排解時,請考慮下列幾點:

  • Kerberos 對時間很敏感。 伺服器和用戶端必須設為正確的時間,並盡量與可靠的時間來源同步。
  • 請確保 DNS 可以解析網域控制站和 Web 應用程式的主機名稱
  • 請確保您的環境沒有重複的服務主體名稱 (SPN)。 在命令列執行下列查詢:setspn -q HTTP/my_target_SPN

注意

若要驗證 IIS 應用程式是否已針對 KCD 設定,請參閱 應用程式代理的 Kerberos 限制委派設定疑難排解。 另請參閱 AskF5 文章 Kerberos Single Sign-On 方法

提高日誌冗長度

BIG-IP 記錄是可靠的資訊來源。 若要提高記錄詳細程度層級:

  1. 移至 [存取原則]>[概觀]>[事件記錄]>[設定]
  2. 請選擇已發佈應用程式的資料列。
  3. 選取 [編輯>存取系統記錄]。
  4. 從 SSO 清單中選取 Debug
  5. 選取 [確定]。

在查看記錄之前,請先重現您的問題。 完成後,將此功能還原。 否則,冗長會成為一個重大問題。

BIG-IP 錯誤

如果 BIG-IP 錯誤出現在 Microsoft Entra 預先驗證之後,問題可能與從 Microsoft Entra ID 到 BIG-IP 的 SSO 有關。

  1. 移至 [存取]>[概觀]>[存取報告]
  2. 若要查看記錄是否能提供任何線索,請執行過去一小時的報告。
  3. 針對工作階段使用 [檢視工作階段變數] 連結有助了解 APM 是否收到 Microsoft Entra ID 的預期宣告。

後端要求

如果 BIG-IP 未顯示錯誤,問題則可能與後端要求,或 BIG-IP 至應用程式的 SSO 有關。

  1. 前往存取原則>總覽>活動中的會話
  2. 請選擇作用中工作階段的連結。
  3. 使用 [檢視變數] 連結判斷 KCD 問題的根本原因,尤其是 BIG-IP APM 無法取得正確的使用者和網域識別碼時。

如需診斷 KCD 相關問題的協助,請參閱已封存的 F5 BIG-IP 部署指南 設定 Kerberos 限制委派

資源