教學課程:設定 Kerberos 單一登錄的 F5 BIG-IP Easy Button

  • 發行項

瞭解如何透過 F5 BIG-IP 簡易按鈕引導式設定 16.1,使用 Microsoft Entra ID 保護 Kerberos 型應用程式。

將 BIG-IP 與 Microsoft Entra ID 整合可提供許多優點,包括:

  • 改善治理:請參閱、零信任 架構來啟用遠端工作,並深入瞭解 Microsoft Entra 預先驗證。
  • 強制執行組織原則。 請參閱 什麼是條件式存取?
  • Microsoft Entra ID 與 BIG-IP 已發佈服務之間的完整 SSO
  • 管理單一控制平面 Microsoft Entra 系統管理中心身分識別和存取權。

若要深入瞭解優點,請參閱 F5 BIG-IP 和 Microsoft Entra 整合一文

案例描述

此案例是使用 Kerberos 驗證的傳統舊版應用程式,也稱為整合式 Windows 驗證 (IWA),來閘道存取受保護的內容。

由於舊版,應用程式缺少新式通訊協定,以支援與 Microsoft Entra ID 的直接整合。 您可以將應用程式現代化,但成本高昂、需要規劃,並帶來潛在停機時間的風險。 相反地,F5 BIG-IP 應用程式傳遞控制器(ADC)會透過通訊協定轉換來橋接舊版應用程式與新式標識符控制平面之間的差距。

應用程式前面的 BIG-IP 可讓服務與 Microsoft Entra 預先驗證和標頭型 SSO 重疊,以改善應用程式的安全性狀態。

注意

組織可以使用 Microsoft Entra 應用程式 Proxy 遠端存取這種類型的應用程式

案例架構

此案例的安全混合式存取 (SHA) 解決方案具有下列元件:

  • 應用程式: 要受 Microsoft Entra SHA 保護的 BIG-IP 已發佈服務。 應用程式主機已加入網域,因此會與 Active Directory (AD) 整合。
  • Microsoft Entra ID: 安全性判斷提示標記語言 (SAML) 識別提供者 (IdP) 會驗證使用者認證、條件式存取和 SAML 型 SSO 到 BIG-IP。 透過 SSO,Microsoft Entra ID 會提供具有必要會話屬性的 BIG-IP。
  • KDC: 域控制器上的密鑰配送中心 (KDC) 角色,發行 Kerberos 票證
  • BIG-IP: 將反向 Proxy 和 SAML 服務提供者 (SP) 委派給應用程式,先將驗證委派給 SAML IdP,再將 Kerberos 型 SSO 執行至後端應用程式。

此案例的 SHA 支援由 SP 和 IdP 起始的流程。 下圖說明SP流程。

案例服務提供者流程的圖表。

  1. 使用者連線到應用程式端點 (BIG-IP)
  2. BIG-IP APM 存取原則會將使用者重新導向至 Microsoft Entra ID (SAML IdP)
  3. Microsoft Entra ID 預先驗證使用者,並套用任何強制的條件式存取原則
  4. 使用者會重新導向至 BIG-IP (SAML SP),並使用已發行的 SAML 令牌執行 SSO
  5. 來自 KDC 的 BIG-IP 要求 Kerberos 票證
  6. BIG-IP 會將要求傳送至後端應用程式,以及 SSO 的 Kerberos 票證
  7. 應用程式授權要求並傳回承載

必要條件

不需要先前的 BIG-IP 體驗,但您需要:

BIG-IP 組態方法

本教學課程涵蓋使用簡易按鈕範本的最新引導式設定 16.1。 使用 [簡單] 按鈕時,管理員 不會在 Microsoft Entra ID 與 BIG-IP 之間來回切換,以啟用 SHA 的服務。 APM 引導式設定精靈和 Microsoft Graph 會處理部署和原則管理。 BIG-IP APM 與 Microsoft Entra ID 之間的整合可確保應用程式支援身分識別同盟、SSO 和 Microsoft Entra 條件式存取,以減少系統管理額外負荷。

注意

以您環境的字串或值取代本文中的範例字串或值。

註冊簡易按鈕

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

在用戶端或服務可以存取 Microsoft Graph 之前,Microsoft 身分識別平台 信任它。 此動作會建立租使用者應用程式註冊,以授權簡單按鈕存取 Graph。 透過這些許可權,BIG-IP 會推送設定,以在已發佈應用程式的 SAML SP 實例與 Microsoft Entra ID 之間建立信任,作為 SAML IdP。

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別應用程式> 應用程式註冊 > [新增註冊]。

  3. 輸入應用程式的顯示名稱。 例如,F5 BIG-IP Easy Button。

  4. 指定誰只能使用此組織目錄中的應用程式>帳戶。

  5. 選取註冊

  6. 瀏覽至 API 許可權 ,並授權下列 Microsoft Graph 應用程式權限

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. 授與貴組織的系統管理員同意。

  8. 在 [憑證與密碼],產生新的客戶端密碼。 記下此秘密。

  9. 從 [ 概觀] 中,記下用戶端標識符和租用戶標識符。

設定簡易按鈕

起始 APM 引導式設定以啟動簡易按鈕範本。

  1. 流覽至 [存取引導式>設定][Microsoft 整合],然後選取 [Microsoft Entra 應用程式>]。

  2. 檢閱設定步驟,然後選取 [ 下一步]

  3. 若要發佈您的應用程式,請遵循後續步驟。

    設定流程的螢幕快照,位於引導式設定上。

組態屬性

[ 組態屬性] 索引標籤會建立 BIG-IP 應用程式組態和 SSO 物件。 [ Azure 服務帳戶詳細數據 ] 區段可以代表您稍早在 Microsoft Entra 租使用者中註冊的用戶端,作為應用程式。 這些設定可讓 BIG-IP OAuth 用戶端在租用戶中註冊 SAML SP,並使用您手動設定的 SSO 屬性。 [簡單按鈕] 會針對針對針對 SHA 發行並啟用的每個 BIG-IP 服務執行此動作。

某些設定是全域設定,可重複使用以發佈更多應用程式,減少部署時間和精力。

  1. 提供唯 一的組態名稱

  2. 啟用 單一登錄 (SSO) 和 HTTP 標頭

  3. 輸入您在租用戶中註冊簡易按鈕用戶端時記下的 租用戶標識碼用戶端識別碼客戶端密碼

    組態名稱、SSO 和 HTTP 標頭,以及 Azure 服務帳戶詳細資料專案的螢幕快照。

  4. 確認 BIG-IP 連線到您的租使用者。

  5. 選取 [下一步]。

服務提供者

服務提供者設定是透過 SHA 保護之應用程式的 SAML SP 實例屬性。

  1. 針對 [ 主機],輸入要保護之應用程式的公用完整功能變數名稱 (FQDN)。

  2. 針對 [實體標識符],輸入 Microsoft Entra ID 用來識別要求令牌的 SAML SP 識別符。

    如果服務提供者上的主機和實體標識符專案,螢幕快照。

選擇性的 Security 設定 指定 Microsoft Entra ID 是否加密發行的 SAML 判斷提示。 加密 Microsoft Entra ID 與 BIG-IP APM 之間的判斷提示可提供更多保證,無法攔截內容令牌,而且無法危害個人或公司數據。

  1. 從 [ 判斷提示解密私鑰 ] 清單中,選取 [ 新建]。

[安全性] 設定 上 [新建] 選項的螢幕快照。

  1. 選取 [確定]。 [ 匯入 SSL 憑證和金鑰 ] 對話框隨即出現。
  2. 選取 PKCS 12 (IIS) 以匯入您的憑證和私鑰。
  3. 布建之後,關閉瀏覽器索引標籤以返回主要索引標籤。

匯入類型、憑證和金鑰名稱、憑證和金鑰來源,以及密碼項目的螢幕快照

  1. 核取 [啟用加密判斷提示]。
  2. 如果您已啟用加密,請從 [ 判斷提示解密私鑰 ] 清單中選取您的憑證。 此私鑰適用於 BIG-IP APM 用來解密 Microsoft Entra 判斷提示的憑證。
  3. 如果您已啟用加密,請從 [ 判斷提示解密憑證] 列表中選取您的憑證 。 BIG-IP 會將此憑證上傳至 Microsoft Entra ID,以加密所簽發的 SAML 判斷提示。

判斷提示解密私鑰和判斷提示解密憑證項目的螢幕快照。

Microsoft Entra ID

本節會定義屬性,以在 Microsoft Entra 租使用者中手動設定新的 BIG-IP SAML 應用程式。 Easy Button 具有適用於 Oracle 人員 Soft、Oracle E-business Suite、Oracle JD Edwards、SAP ERP 和其他應用程式的 SHA 範本的應用程式範本。

在此案例中,選取 [F5 BIG-IP APM Microsoft Entra ID Integration > Add]。

Azure 組態

  1. 輸入 BIG-IP 在您的 Microsoft Entra 租使用者中建立的應用程式顯示名稱,並在 MyApps 入口網站中輸入圖示。

  2. 將 [ 登入 URL ] 保留空白,以啟用 IdP 起始的登入。

  3. 選取簽署密鑰和簽署憑證旁的重新整理圖示,以找出您匯入的憑證。

  4. [簽署金鑰複雜密碼] 中,輸入憑證密碼。

  5. 啟用 簽署選項 (選擇性)以確保 BIG-IP 接受由 Microsoft Entra ID 簽署的令牌和宣告。

    SAML 簽署憑證上簽署密鑰、簽署憑證和簽署密鑰複雜密碼的螢幕快照。

  6. 使用者和使用者群組 會從您的 Microsoft Entra 租使用者動態查詢,並授權應用程式存取權。 新增使用者或群組進行測試,否則會拒絕所有存取。

    [使用者和使用者群組] 上 [新增] 選項的螢幕快照。

使用者屬性與宣告

當使用者向 Microsoft Entra 識別碼進行驗證時,它會發出 SAML 令牌,其中包含識別用戶的預設宣告和屬性集。 [ 使用者屬性和宣告] 索引 標籤會顯示新應用程式要發出的預設宣告。 使用它來設定更多宣告。

基礎結構是以內部和外部使用的.com網域後綴為基礎。 不需要更多屬性,才能達成功能 Kerberos 限制委派單一登錄 (KCD SSO) 實作。 請參閱使用替代後綴的多個網域或使用者登入的進階教學課程

用戶屬性和宣告的螢幕快照。

其他用戶屬性

[ 其他使用者屬性] 索引 標籤支援需要儲存在其他目錄中之屬性的各種分散式系統,以進行會話增強。 從輕量型目錄存取通訊協定 (LDAP) 來源擷取的屬性可以插入為 SSO 標頭,以協助根據角色、合作夥伴標識碼等來控制存取。

注意

這項功能與 Microsoft Entra ID 沒有相互關聯,但是屬性的另一個來源。

條件式存取原則

條件式存取原則會在 Microsoft Entra 預先驗證之後強制執行,以根據裝置、應用程式、位置和風險訊號來控制存取。

[ 可用的原則 ] 檢視會顯示條件式存取原則,而不需以用戶為基礎的動作。

[ 選取的原則 ] 檢視會顯示以雲端應用程式為目標的原則。 您無法取消選取原則,或將它們移至 [可用的原則] 列表,因為它們會在租用戶層級強制執行。

若要選取要套用至所發行應用程式的原則:

  1. 從 [ 可用的原則] 清單中,選取原則。
  2. 選取向右箭號,並將其移至 [選取的原則] 清單。

選取的原則需要核取 [包含] 或 [排除] 選項。 如果檢查這兩個選項,則不會強制執行選取的原則。

[條件式存取原則] 上 [選取的原則] 底下的 [已排除條件式存取原則] 螢幕快照。

注意

切換至此索引標籤之後,原則清單會出現一次。您可以使用 [ 重新 整理] 按鈕手動強制精靈查詢您的租使用者,但此按鈕會出現在部署應用程式之後。

虛擬伺服器屬性

虛擬伺服器是 BIG-IP 數據平面物件,由虛擬 IP 位址代表,接聽應用程式用戶端要求。 接收的流量會根據與虛擬伺服器相關聯的 APM 配置檔進行處理和評估。 流量會根據原則進行導向。

  1. 輸入目的地位址、BIG-IP 可用來接收用戶端流量的可用IPv4/IPv6 位址。 功能變數名稱伺服器 (DNS) 中有對應的記錄,可讓用戶端將 BIG-IP 已發布應用程式的外部 URL 解析為此 IP,而不是應用程式。 使用測試計算機localhost DNS可以接受測試。

  2. 針對 [服務埠 ] 輸入 443 表示 HTTPS。

  3. 取 [啟用重新導向埠],然後輸入 [重新導向埠],以將傳入的 HTTP 用戶端流量重新導向至 HTTPS。

  4. 用戶端 SSL 設定檔會啟用 HTTPS 的虛擬伺服器,因此用戶端聯機會透過傳輸層安全性 (TLS) 加密。 選取您為必要條件建立的 用戶端 SSL 設定檔 ,或在測試時保留預設值。

    虛擬伺服器屬性上 [目的地位址]、[服務埠] 和 [一般專案] 的螢幕快照。

集區屬性

[應用程式集區] 索引標籤會顯示 BIG-IP 背後的服務,以具有應用程式伺服器的集區表示。

  1. 針對 [ 選取集區],建立新的集區或選取一個集區。

  2. 選擇負載平衡方法,例如迴圈配置資源。

  3. 針對 [ 集區伺服器 ] 選取伺服器節點,或為裝載標頭型應用程式的後端節點指定IP和埠。

    集區屬性上IP位址/節點名稱和埠專案的螢幕快照。

後端應用程式會在 HTTP 連接埠 80 上執行。 如果您的應用程式在 HTTPS 上執行,您可以將埠切換至 443。

單一登錄和 HTTP 標頭

啟用 SSO 可讓使用者存取 BIG-IP 已發布的服務,而不需要輸入認證。 簡易按鈕精靈支援 SSO 的 Kerberos、OAuth Bearer 和 HTTP 授權標頭。 如需這些指示,請使用您建立的 Kerberos 委派帳戶。

開啟 Kerberos顯示進階設定 以輸入下列專案:

  • 用戶名稱來源: 要快取 SSO 的慣用用戶名稱。 您可以提供會話變數做為使用者標識符的來源,但 session.saml.last.identity 效果更好,因為它會保存包含已登入使用者標識符的 Microsoft Entra 宣告。

  • 用戶領域來源: 如果使用者網域與 BIG-IP Kerberos 領域不同,則為必要專案。 在此情況下,APM 會話變數會包含登入的用戶網域。 例如,session.saml.last.attr.name.domain

    單一登入 和 HTTP 標頭上 [使用者名稱來源] 項目的螢幕快照。

  • KDC: 如果 DNS 已設定且有效率,則域控制器 IP 或 FQDN

  • UPN 支援: 啟用此選項,讓 APM 使用 Kerberos 票證的通用主體名稱 (UPN)

  • SPN 模式: 使用 HTTP/%h 通知 APM 使用用戶端要求的主機標頭,並建置它要求 Kerberos 令牌的服務主體名稱 (SPN)

  • 傳送授權: 針對交涉驗證的應用程式停用,而不是在第一個要求中接收 kerberos 令牌。 例如,Tomcat。

    SSO 方法組態項目螢幕快照

工作階段管理

BIG-IP 工作階段管理設定會定義使用者工作階段終止或繼續的條件、使用者和IP位址的限制,以及對應的使用者資訊。 請參閱 AskF5 文章 K18390492:安全性 |BIG-IP APM 作業指南 ,以取得設定詳細數據。

未涵蓋的內容是單一註銷 (SLO) 功能,可確保在使用者註銷時,IdP、BIG-IP 和使用者代理程式之間的會話終止。當 Easy Button 在您的 Microsoft Entra 租使用者中具現化 SAML 應用程式時,它會使用 APM SLO 端點填入註銷 URL。 從 Microsoft Entra 我的應用程式 入口網站起始的 IdP 起始登出會終止 BIG-IP 與客戶端之間的會話。

已發佈應用程式的 SAML 同盟元數據會從您的租用戶匯入,為 APM 提供 Microsoft Entra ID 的 SAML 註銷端點。 此動作可確保SP起始的註銷會終止用戶端與 Microsoft Entra識別符之間的會話。 APM 必須知道使用者何時註銷應用程式。

如果 BIG-IP Webtop 入口網站存取已發佈的應用程式,APM 就會處理註銷以呼叫 Microsoft Entra 註銷端點。 但請考慮未使用 BIG-IP Webtop 入口網站時的情況,則用戶無法指示 APM 註銷。即使使用者註銷應用程式,BIG-IP 仍會遺忘。 因此,請考慮由SP起始的註銷,以確保會話安全地終止。 您可以將 SLO 函式新增至應用程式 [註銷] 按鈕,以便將用戶端重新導向至 Microsoft Entra SAML 或 BIG-IP 註銷端點。

您可以在應用程式註冊>端點中找到租使用者的 SAML 註銷端點 URL。

如果您無法變更應用程式,請考慮讓 BIG-IP 接聽應用程式註銷呼叫,並在偵測要求時觸發 SLO。 若要瞭解 BIG-IP iRules,請參閱 Oracle 人員 Soft SLO 指引。 如需使用 BIG-IP iRules 的詳細資訊,請參閱:

摘要

本節是設定的明細。

選取 [部署 ] 認可設定,並確認應用程式位於您租使用者的 [企業應用程式] 清單中。

Active Directory KCD 組態

若要讓 BIG-IP APM 代表使用者對後端應用程式執行 SSO,請在目標 Active Directory (AD) 網域中設定 KCD。 委派驗證需要您使用網域服務帳戶布建 BIG-IP APM。

如果您的 APM 服務帳戶和委派已設定,請略過本節。 否則,請使用系統管理員帳戶登入域控制器。

在此案例中,應用程式裝載於伺服器 APP-VM-01,並在名為 web_svc_account 的服務帳戶內容中執行,而不是電腦身分識別。 指派給 APM 的服務帳戶是 F5-BIG-IP。

建立 BIG-IP APM 委派帳戶

BIG-IP 不支援群組受控服務帳戶 (gMSA),因此為 APM 服務帳戶建立標準用戶帳戶。

  1. 輸入下列 PowerShell 命令。 以 您的環境值取代 UserPrincipalNameSamAccountName 值。 為了獲得更好的安全性,請使用符合應用程式主機標頭的專用SPN。

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    注意

    使用主機時,主機上執行的任何應用程式都會委派帳戶,而當使用 HTTPS 時,它只允許 HTTP 通訊協定相關作業。

  2. 為 APM 服務帳戶建立 服務主體名稱 (SPN), 以在委派至 Web 應用程式服務帳戶期間使用:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{ Add="host/f5-big-ip.contoso.com" }

    注意

    必須以 UserPrincipleName (host/name.domain@domain) 或 ServicePrincipleName (host/name.domain) 的格式包含主機/元件。

  3. 指定目標 SPN 之前,請先檢視其 SPN 組態。 確定 SPN 針對 APM 服務帳戶顯示。 Web 應用程式的 APM 服務帳戶委派:

    • 確認您的 Web 應用程式正在電腦內容或專用服務帳戶中執行。

    • 針對計算機內容,使用下列命令來查詢 Active Directory 中的帳戶物件,以查看其定義的 SPN。 以您環境的帳戶取代 <name_of_account> 。

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      例如:Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames |Select-Object -ExpandProperty ServicePrincipalNames

    • 針對專用的服務帳戶,請使用下列命令來查詢 Active Directory 中的帳戶物件,以查看其定義的 SPN。 以您環境的帳戶取代 <name_of_account> 。

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      例如:

      Get-ADComputer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. 如果應用程式在電腦內容中執行,請將SPN新增至Active Directory 中電腦帳戶的物件:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

定義SPN之後,為該服務委派的APM服務帳戶建立信任。 此組態會根據 BIG-IP 實例和應用程式伺服器的拓撲而有所不同。

在相同的網域中設定 BIG-IP 和目標應用程式

  1. 將 APM 服務帳戶的信任設定為委派驗證:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. APM 服務帳戶必須知道委派的目標 SPN。 將目標 SPN 設定為執行 Web 應用程式的服務帳戶:

    Set-ADUser -Identity f5-big-ip -Add @{ 'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com') }

    注意

    您可以使用域控制器上的 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元來完成這些工作。

不同網域中的 BIG-IP 和應用程式

在 Windows Server 2012 版本和更新版本中,跨網域 KCD 會使用以資源為基礎的限制委派 (RBCD)。 服務的條件約束會從網域管理員傳輸到服務管理員。 此委派可讓後端服務管理員允許或拒絕 SSO。 這種情況會在組態委派時建立不同的方法,當您使用PowerShell或Active Directory服務介面編輯器 (ADSI 編輯) 時,可能會發生這種情況。

您可以使用應用程式服務帳戶的 PrincipalsAllowedToDelegateToAccount 屬性(計算機或專用服務帳戶)來授與 BIG-IP 的委派。 在此案例中,請在與應用程式相同的網域中使用下列 PowerShell 命令(Windows Server 2012 R2 或更新版本)。

使用針對 Web 應用程式服務帳戶定義的 SPN。 為了獲得更好的安全性,請使用符合應用程式主機標頭的專用SPN。 例如,因為此範例中的 Web 應用程式主機標頭是 myexpenses.contoso.com,請將 新增 HTTP/myexpenses.contoso.com 至 Active Directory (AD) 中的應用程式服務帳戶物件:

Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

針對下列命令,請注意內容。

如果web_svc_account服務在使用者帳戶的內容中執行,請使用下列命令:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com

''Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount'

$big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

如果web_svc_account服務是在電腦帳戶的內容中執行,請使用下列命令:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com

Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount

$big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

如需詳細資訊,請參閱 跨網域的 Kerberos 限制委派。

應用程式檢視

從瀏覽器連線到應用程式外部 URL,或在 Microsoft MyApps 入口網站中選取應用程式圖示。 驗證 Microsoft Entra 識別符之後,系統會將您重新導向至應用程式的 BIG-IP 虛擬伺服器,並透過 SSO 登入。

應用程式外部URL的螢幕快照

為了提高安全性,使用此模式的組織可以封鎖應用程式的直接存取,以強制透過 BIG-IP 的嚴格路徑。

Microsoft Entra B2B 來賓存取

此案例支援 Microsoft Entra B2B 來賓存取 ,來賓身分識別會從您的 Microsoft Entra 租使用者流向應用程式用於授權的目錄。 如果沒有AD中客體物件的本機表示法,BIG-IP 就無法收到 KCD SSO 到後端應用程式的 kerberos 票證。

進階部署

引導式設定範本缺乏達成某些需求的彈性。 針對這些案例,請參閱 Kerberos 型 SSO 的進階設定。

或者,在 BIG-IP 中,您可以停用引導式設定嚴格管理模式。 您可以手動變更設定,雖然大部分的設定都是透過精靈型範本自動完成的。

您可以流覽至 [ 存取 > 引導式 設定],然後針對您的應用程式設定選取數據列最右邊的小型 掛鎖 圖示。

掛鎖選項的螢幕快照。

此時,無法使用精靈 UI 進行變更,但與已發佈的應用程式實例相關聯的所有 BIG-IP 物件都會解除鎖定以進行管理。

注意

重新啟用嚴格模式並部署組態會覆寫在引導式設定 UI 外部執行的設定。 因此,我們建議生產服務的進階組態方法。

疑難排解

如果針對 kerberos SSO 問題進行疑難解答,請注意下列概念。

  • Kerberos 會區分時間,因此需要伺服器和用戶端設定為正確的時間,而且可能的話,同步處理至可靠的時間來源
  • 確定域控制器和 Web 應用程式的主機名可在 DNS 中解析
  • 請確定 AD 環境中沒有重複的 SPN:在網域電腦上的命令行上執行下列查詢:setspn -q HTTP/my_target_SPN

您可以參考我們的 應用程式 Proxy 指引 ,以驗證已針對 KCD 設定 IIS 應用程式。 另請參閱 AskF5 文章 Kerberos 單一登錄方法

記錄分析:增加詳細資訊

使用 BIG-IP 記錄來隔離連線、SSO、原則違規或設定錯誤的變數對應問題。 藉由增加記錄詳細資訊層級開始進行疑難解答。

  1. 流覽至 [存取原則>>概觀事件記錄>檔] 設定
  2. 選取已發佈應用程式的數據列,然後 選取 [編輯 > 存取系統記錄]。
  3. 從 SSO 清單中選取 [偵錯 ],然後選取 [ 確定]。

重現您的問題並檢查記錄。 完成時,還原功能,因為詳細資訊模式會產生許多數據。

BIG-IP 錯誤頁面

如果 BIG-IP 錯誤出現在 Microsoft Entra 預先驗證之後,問題可能與從 Microsoft Entra ID 到 BIG-IP 的 SSO 有關。

  1. 流覽至 [存取概觀>存取>] 報表
  2. 若要查看線索的記錄,請執行過去一小時的報告。
  3. 使用 [ 檢視會話變數 ] 鏈接來協助瞭解 APM 是否收到來自 Microsoft Entra ID 的預期宣告。

後端要求

如果沒有出現錯誤頁面,問題可能與後端要求相關,或從 BIG-IP 到應用程式的 SSO。

  1. 流覽至存取原則>概觀>使用中會話。
  2. 選取作用中會話的連結。 此位置的 [檢視變數] 鏈接有助於判斷根本原因 KCD 問題,特別是當 BIG-IP APM 無法從會話變數取得正確的使用者和網域標識符時。

如需詳細資訊,請參閱