在本文中,您將瞭解如何整合 F5 與 Microsoft Entra ID。 在整合 F5 與 Microsoft Entra ID 時,您可以:
- 在 Microsoft Entra ID 中控制可存取 F5 的人員。
- 讓使用者使用其 Microsoft Entra 帳戶自動登入 F5。
- 在一個集中式位置管理您的帳戶。
若要深入瞭解 SaaS 應用程式與 Microsoft Entra 識別碼的整合,請參閱 什麼是具有 Microsoft Entra 識別符的應用程式存取和單一登錄。
必要條件
本文中所述的案例假設您已經具備下列必要條件:
已啟用 F5 單一登入 (SSO) 的訂用帳戶。
要部署聯合解決方案,必須具備下列授權:
F5 BIG-IP® 最佳套件組合或
F5 BIG-IP Access Policy Manager™ (APM) 獨立授權
現有的 BIG-IP® Local Traffic Manager™ (LTM) 上的 F5 BIG-IP Access Policy Manager™ (APM) 附加授權。
除了上述授權之外,F5 系統可能也會被授予以下授權:
用於 URL 類別資料庫的 URL 篩選訂閱
F5 IP 智慧訂用帳戶,用來偵測及封鎖已知的攻擊者和惡意流量
網路硬體安全模組 (HSM),用來保護和管理增強式驗證的數位金鑰
在 F5 BIG-IP 系統中會佈建 APM 模組 (LTM 是選擇性的)
雖然是選擇性的,但強烈建議您將 F5 系統部署在 同步/故障轉移裝置群組 (S/F DG),其中包含主動備援雙機,並具有高可用性的浮動 IP 位址(HA)。 使用連結彙總控制通訊協定 (LACP) 可達成進一步的介面備援。 LACP 會將連線的實體介面當作單一虛擬介面 (彙總群組) 來管理,並偵測群組內的任何介面失敗。
針對 Kerberos 應用程式,需要使用內部部署的 AD 服務帳戶來進行限制委派。 請參閱 F5 檔 以建立 AD 委派帳戶。
存取引導式設定
F5 TMOS 13.1.0.8 版及以上版本支援「存取引導式設定」。 如果您的 BIG-IP 系統執行低於 13.1.0.8 的版本,請參閱進 階設定 一節。
存取引導式設定提供全新且簡化的用戶體驗。 這個以工作流程為基礎的架構提供了直觀且可重複進行的配置步驟,專門針對所選的拓撲設計。
繼續進行設定之前,請先從 downloads.f5.com 下載最新的使用案例套件,以升級引導式設定。 若要升級,請遵循下列程序。
注意
下列螢幕擷取畫面顯示的是最新發行的版本 (具有 AGC 5.0 版的 BIG-IP 15.0)。 以下設定步驟適用於 13.1.0.8 到最新 BIG-IP 版本的這個使用案例。
在 F5 BIG-IP Web UI 上,選取 [ 存取 >> 指南設定]。
在 [ 引導式 設定] 頁面上,選取左上角的 [ 升級引導式 設定]。
![顯示 [引導組態] 頁面的螢幕快照,並已選取 [升級引導組態] 動作。](media/kerbf5-tutorial/configure14.png)
在 [升級指南設定] 快顯畫面上,選取 [ 選擇檔案 ] 以上傳下載的使用案例套件,然後選取 [ 上傳並安裝 ] 按鈕。
![顯示 [升級引導式設定] 彈出視窗的螢幕快照,並已選取 [選擇檔案] 和 [上傳並安裝]。](media/kerbf5-tutorial/configure15.png)
完成升級時,請選取 [ 繼續] 按鈕。
![顯示 [引導式設定更新已完成] 對話框和已選取 [繼續] 按鈕的螢幕快照。](media/kerbf5-tutorial/configure16.png)
案例描述
在本文中,您會在測試環境中進行 Microsoft Entra SSO 的設定和測試。
- F5 支援 由 SP 和 IDP 起始的 SSO
- 您可以使用三種不同的方式設定 F5 SSO。
主要驗證案例
除了 Microsoft Entra 原生支援 OpenID Connect、SAML 和 WS-Fed 等新式驗證協議外,F5 亦透過 Microsoft Entra ID 為內部和外部存取提供舊版驗證應用程式的安全擴充,並實現新式應用場景,例如無密碼存取功能。 其中包括:
標頭型驗證應用程式
Kerberos 驗證應用程式
匿名驗證或沒有內建驗證的應用程式
NTLM 驗證應用程式(對使用者提供雙重提示的安全機制)
表單式應用程式 (提供對使用者的雙重提示保護)
從圖庫新增 F5
若要設定將 F5 整合到 Microsoft Entra ID 中,則必須從資源庫將 F5 新增至受控 SaaS 應用程式清單。
- 以至少雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
- 請流覽至 Entra ID>企業應用程式>新增應用程式。
- 在 [ 從資源庫新增 ] 區段的搜尋方塊中輸入 F5 。
- 從結果面板選取 [F5],然後新增應用程式。 將應用程式新增至您的租戶時,請稍候幾秒鐘。
或者,您也可以使用 企業應用程式設定精靈。 在此精靈中,您可以將應用程式新增至租戶,將使用者或群組新增至應用程式,指派角色,以及完成 SSO 設定。 深入瞭解 Microsoft 365 精靈。
設定及測試適用於 F5 的 Microsoft Entra 單一登入
以名為 B.Simon 的測試用戶,設定及測試與 F5 搭配運作Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 F5 中相關使用者之間的連結關聯性。
若要設定及測試與 F5 搭配運作的 Microsoft Entra SSO,請完成下列基本項目:
-
設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
- 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試Microsoft Entra 單一登錄。
- 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登錄。
-
設定 F5 SSO - 在應用程式端設定單一登入設定。
- 建立 F5 測試使用者 - 以便在 F5 中創建一個對應於 B.Simon 的使用者,並連結到該使用者在 Microsoft Entra 中的相應代表。
- 測試 SSO - 確認組態是否正常運作。
設定 Microsoft Entra SSO
遵循下列步驟來啟用 Microsoft Entra SSO。
以至少雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>Enterprise 應用程式>F5>單一登入。
在 [選取單一登入方法] 頁面上,選取 [SAML]。
在 [ 使用 SAML 設定單一登錄 ] 頁面上,選取 [基本 SAML 組態 ] 的編輯/手寫筆圖示以編輯設定。
如果您想要以 IDP 起始模式設定應用程式,請在 [基本 SAML 組態] 區段上輸入下列欄位的值:
一。 在 [識別碼] 文字方塊中,使用下列模式來輸入 URL:
https://<YourCustomFQDN>.f5.com/b。 在 [回覆 URL] 文字方塊中,使用下列模式來輸入 URL:
https://<YourCustomFQDN>.f5.com/如果您想要以 SP 起始模式設定應用程式,請選取 [設定其他 URL],然後執行下列步驟:
在 [登入 URL] 文字方塊中,以下列模式輸入 URL︰
https://<YourCustomFQDN>.f5.com/注意
這些數值不是真實的。 請使用實際的「識別碼」、「回覆 URL」及「登入 URL」來更新這些值。 請 連絡 F5 用戶端支援小組 以取得這些值。 您也可以參考 基本 SAML 組態 一節中顯示的模式。
在 [以 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證] 區段中,尋找 [同盟中繼資料 XML] 和 [憑證 (Base64)],然後選取 [下載],以下載憑證並將其儲存在電腦上。
在 [設定 F5] 區段上,根據您的需求複製適當的 URL。
建立並指派Microsoft Entra 測試使用者
遵循 建立和指派用戶帳戶 快速入門中的指導方針,以建立名為 B.Simon 的測試用戶帳戶。
設定 F5 SSO
設定適用於 Kerberos 應用程式的 F5 單一登入
引導式設定
開啟新的網頁瀏覽器視窗,並以系統管理員身分登入 F5 (Kerberos) 公司網站,然後執行下列步驟:
您需要將元數據憑證匯入到 F5 中,該憑證稍後將在設定過程中使用。
瀏覽至 [系統] > [憑證管理] > [流量憑證管理] > [SSL 憑證清單]。 從右上角選取 [匯入]。 指定 憑證名稱 (稍後在組態中參考)。 在 [憑證來源] 中,選取 [上傳檔案],指定在設定 SAML 單一登入時從 Azure 下載的憑證。 選擇 匯入。
![顯示 [S S L 憑證/金鑰來源] 頁面的螢幕快照,其中已醒目提示 [憑證名稱]、[上傳檔案] 和 [匯入] 按鈕。](media/kerbf5-tutorial/configure01.png)
此外,您需要 應用程式主機名的 SSL 憑證。流覽至 [系統 > 憑證管理 > 流量憑證管理 > SSL 憑證清單]。 從右上角選取 [匯入]。 匯入類型 為 PKCS 12(IIS)。 指定 金鑰名稱 (稍後在組態中參考),並指定 PFX 檔案。 指定 PFX 的 [密碼]。 選擇 匯入。
注意
在這個範例中,我們的應用程式名稱是
Kerbapp.superdemo.live,我們使用了通配符憑證,密鑰名稱為WildCard-SuperDemo.live。![顯示 [S S L 憑證/金鑰來源] 頁面的螢幕快照,其中包含輸入的值,並已選取 [匯入] 按鈕。](media/kerbf5-tutorial/configure02.png)
我們會使用引導式體驗來設定Microsoft Entra 同盟和應用程式存取。 移至 - F5 BIG-IP [主要],然後選取 [存取] > [引導式設定] > [同盟] > [SAML 服務提供者]。 選取 [下一步 ],然後選取 [ 下一步 ] 以開始設定。
![顯示 [引導式設定] 頁面的螢幕快照,其中已醒目提示 [同盟] 圖示,並已選取 [S A M L 服務提供者]。](media/kerbf5-tutorial/configure03.png)
![顯示 [引導式設定 - S A M L 服務提供者] 頁面的螢幕快照,並已選取 [下一步] 按鈕。](media/kerbf5-tutorial/configure04.png)
提供 [設定名稱]。 指定 [實體識別碼] (與您在 Microsoft Entra 應用程式設定中設定的識別碼相同)。 指定 [主機名稱]。 新增 描述 以供參考。 接受其餘的默認項目,然後選取儲存並下一步。
![顯示 [服務提供者屬性] 的螢幕快照,其中已醒目提示 [主機名] 和 [描述] 文本框,並已選取 [儲存和下一步] 按鈕。](media/kerbf5-tutorial/configure05.png)
在此範例中,我們會使用埠 443 建立新的虛擬伺服器作為 192.168.30.200。 在 [目的地位址] 中,指定虛擬伺服器 IP 位址。 選取 [用戶端 SSL 設定檔],然後選取 [新建]。 指定先前上傳的應用程式憑證(此範例中的通配符憑證)和相關聯的密鑰,然後選取 [ 儲存和下一步]。
注意
在此範例中,我們的內部 Web 伺服器會在連接埠 80 上執行,而我們想要使用 443 加以發佈。
![顯示 [虛擬伺服器屬性] 頁面的螢幕快照,其中已醒目提示 [目的地位址] 文本框,並已選取 [儲存和下一步] 按鈕。](media/kerbf5-tutorial/configure06.png)
在 [選取方法來設定 IdP 連接器] 下,指定 [元數據],選取 [ 選擇檔案 ],然後上傳稍早從 Microsoft entra ID 下載的元數據 XML 檔案。 指定 SAML IDP 連接器的唯一 名稱 。 選擇稍早上傳的 元數據簽署憑證。 選取 [儲存] 和 [下一步]。
顯示「外部識別提供者連接器設定」頁面的螢幕擷取畫面,其中「名稱」文字方塊已被標示,並已點選「儲存並繼續」按鈕。
在 [選取集區] 中,指定 [新建] (或選取已存在的集區)。 讓其他值保留為預設值。 在 [集區伺服器] 下的 [IP 位址/節點名稱] 底下,輸入 IP 位址。 指定 [連接埠]。 選取 [儲存] 和 [下一步]。
![顯示 [集區屬性] 頁面的螢幕快照,其中已醒目提示 [IP 位址/節點名稱] 和 [埠] 文本框,並已選取 [儲存和下一步] 按鈕。](media/kerbf5-tutorial/configure08.png)
在 [單一登入設定] 畫面上,選取 [啟用單一登入]。
在 [選取的單一登入類型] 底下,選擇 [Kerberos]。 將 session.saml.last.Identity 替換為 session.saml.last.attr.name.Identity,位於 Username Source 底下(此變數使用 Microsoft Entra ID 中的宣告對應來設定)。
選取 [顯示進階設定]
在 [Kerberos 領域] 底下,輸入 [網域名稱]。
在 [帳戶名稱/ 帳戶密碼] 下,指定 APM 委派帳戶和密碼。
在 [KDC] 欄位中指定 [網域控制站 IP]。
選取 [儲存] 和 [下一步]。
針對本指南的目的,我們將略過端點檢查。 請參閱 F5 文件以取得詳細資訊。 在畫面上,選取 [ 儲存和下一步]。
接受預設值,然後選取 [ 儲存和下一步]。 如需關於 SAML 工作階段管理設定的詳細資訊,請參閱 F5 文件。
![這是顯示[逾時設定]頁面的螢幕截圖,其中選取了[儲存及下一步]按鈕。](media/kerbf5-tutorial/configure11.png)
檢閱摘要畫面,然後選取 [部署] 以設定 BIG-IP。
![顯示 [您的應用程式已準備好部署頁面] 的螢幕快照,其中已醒目提示 [摘要] 區段,並已選取 [部署] 按鈕。](media/kerbf5-tutorial/configure12.png)
設定應用程式之後,請選取 [ 完成]。
![顯示 [您的應用程式已部署] 頁面的螢幕快照,並已選取 [完成] 按鈕。](media/kerbf5-tutorial/configure13.png)
進階設定
注意
如需參考,請選擇這裡
設定 Active Directory AAA 伺服器
您可以在 Access Policy Manager (APM) 中設定 Active Directory AAA 伺服器,以指定 APM 用來驗證使用者的網域控制站和認證。
在 [主要] 索引標籤上,選取 [ 存取原則 > AAA 伺服器 > Active Directory]。 [Active Directory 伺服器清單] 畫面隨即開啟。
選取 建立。 請開啟 [新的伺服器屬性] 畫面。
在 [名稱] 欄位中,輸入驗證伺服器的唯一名稱。
在 [網域名稱] 欄位中,輸入 Windows 網域的名稱。
針對 [伺服器連線] 設定中,選取下列其中一個選項:
選擇使用集區以設定 AAA 伺服器的高可用性。
選取 Direct 以設定具獨立功能的 AAA 伺服器。
如果您選取 [直接],請在 [網域控制站] 欄位中輸入名稱。
如果您選取 [使用集區],請設定集區:
在 [網域控制站集區名稱] 欄位中輸入名稱。
輸入每個IP位址和主機名,然後選取 [新增] 按鈕,以指定集區中的域控制器。
若要監視 AAA 伺服器的健全狀況,您可以選擇選取健康情況監視器:在此情況下,只有 gateway_icmp 監視器才適用;您可以從 [伺服器集區監視器] 清單中選取它。
在 [管理員名稱] 欄位中,針對具有 Active Directory 管理權限的管理員,輸入區分大小寫的名稱。 APM 會使用 [AD 查詢] 的 [管理員名稱] 和 [管理員密碼] 欄位中的資訊。 如果 Active Directory 已針對匿名查詢進行設定,則不需要提供管理員名稱。 否則,APM 需要有足夠權限的帳戶,可繫結至 Active Directory 伺服器、提取使用者群組資訊,以及提取 Active Directory 密碼原則,以支援與密碼相關的功能。 (例如,如果您在 AD 查詢動作中選擇「提示使用者在到期前變更密碼」的選項,APM 必須擷取密碼原則。如果您未在此設定中提供管理員帳戶資訊,APM 會使用使用者帳戶來提取資訊。 當使用者帳戶擁有足夠的權限時,這可適用。
在 [管理員密碼] 欄位中,輸入與網域名稱相關聯的管理員密碼。
在 [驗證管理員密碼] 欄位中,再次輸入與 [網域名稱] 設定相關聯的管理員密碼。
在 [群組快取存留期] 欄位中,輸入天數。 預設存留期為 30 天。
在 [密碼安全性物件快取存留期] 欄位中,輸入天數。 預設存留期為 30 天。
從 [Kerberos 預先驗證加密類型] 清單中,選取加密類型。 預設值為 [無]。 如果您指定加密類型,則 BIG-IP 系統會在第一個驗證服務要求 (AS-REQ) 封包中包含 Kerberos 預先驗證資料。
在 [逾時] 欄位中,輸入 AAA 伺服器的逾時間隔 (以秒為單位)。 (這項設定是選擇性的。)
選取 [已完成]。 新的伺服器會顯示在清單上。 這會將新的 Active Directory 伺服器新增至 [Active Directory 伺服器] 清單。
![顯示 [一般屬性] 和 [組態] 區段的螢幕快照。](media/kerbf5-tutorial/configure-17.png)
SAML 設定
您需要將元數據憑證匯入到 F5 中,該憑證稍後將在設定過程中使用。 瀏覽至 [系統] > [憑證管理] > [流量憑證管理] > [SSL 憑證清單]。 從右上角選取 [匯入]。
![此螢幕快照顯示已選取 [匯入] 按鈕的 [匯入 S S L 憑證/金鑰來源] 頁面。](media/kerbf5-tutorial/configure18.png)
若要設定 SAML IDP,請流覽至 [存取>同盟 > SAML:服務提供者>外部 Idp 連接器],然後選取 [從元數據建立>]。
顯示 [S A M L 服務提供者] 頁面的截圖,在 [建立] 下拉式選單中選擇了 "From Metadata"(從中繼資料)。
![顯示 [建立新的 S A M L I d P 連接器] 對話框的螢幕快照。](media/kerbf5-tutorial/configure20.png)
![此螢幕快照顯示已選取 [一般設定] 的 [編輯 S A M L I d P 連接器] 視窗。](media/kerbf5-tutorial/configure21.png)
![此螢幕快照顯示已選取 [單一登錄服務設定] 的 [編輯 S A M L I d P 連接器] 視窗。](media/kerbf5-tutorial/configure22.png)
![此螢幕快照顯示已選取 [安全性設定] 的 [編輯 S A M L I d P 連接器] 視窗。](media/kerbf5-tutorial/configure23.png)
![此螢幕快照顯示已選取 [S L O 服務設定] 的 [編輯 S A M L I d P 連接器] 視窗。](media/kerbf5-tutorial/configure24.png)
若要設定 SAML SP,請流覽至 [存取 > 同盟 > SAML 服務提供者 > 本機 SP 服務 ],然後選取 [ 建立]。 完成下列資訊,然後選取 [ 確定]。
- 類型名稱:KerbApp200SAML
- 實體識別碼*:https://kerb-app.com.cutestat.com
- SP 名稱設定
- 協議:HTTPS
- 主機:kerbapp200.superdemo.live
- 描述:kerbapp200.superdemo.live
![顯示已選取 [一般設定] 的 [編輯 S A M L S P 服務] 視窗的螢幕快照。](media/kerbf5-tutorial/configure25.png)
b。 選取SP組態、KerbApp200SAML,然後選取 綁定/解除綁定IdP連接器。
![顯示已選取 [系結/取消系結 I d P 連接器] 按鈕的螢幕快照。](media/kerbf5-tutorial/configure27.png)
丙. 選取 [新增數據列 ],然後選取上一個步驟中建立 的外部 IdP 連接器 ,選取 [ 更新],然後選取 [ 確定]。
![此螢幕快照顯示已選擇 [新增資料列] 按鈕的「編輯使用此 S P 的 S A M L IdPs」視窗。](media/kerbf5-tutorial/configure28.png)
若要設定 Kerberos SSO,請流覽至 [存取>單一登錄 > Kerberos]、完成資訊,然後選取 [已完成]。
注意
您需要建立並指定 Kerberos 委派帳戶。 請參閱 KCD 章節 (請參閱附錄中的「變數參考」)
用戶名稱來源:session.saml.last.attr.name。http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
使用者領域來源:session.logon.last.domain
![此螢幕快照顯示 [單一 Sign-On - 屬性] 頁面,並已突出顯示 [使用者名稱來源] 和 [使用者領域來源] 文本框。](media/kerbf5-tutorial/configure29.png)
若要設置存取設定檔,請瀏覽至 存取>設定檔/政策>存取設定檔(每個工作階段政策),選取 建立,填寫以下信息,然後選取 已完成。
名稱:KerbApp200
設定檔類型:全部
概況範圍:概況
語言:英文
![此螢幕快照顯示醒目提示 [名稱]、[配置檔類型] 和 [語言] 文本框的 [配置檔/原則 - 屬性] 頁面。](media/kerbf5-tutorial/configure30.png)
選取名稱 KerbApp200,完成下列資訊,然後選取 [ 更新]。
網域「Cookie」:superdemo.live
SSO 設定:KerAppSSO_sso
![顯示 [S S D/驗證網域] 頁面的螢幕快照,其中已醒目提示 [網域 Cookie] 文本框和 [S O 組態] 下拉式清單,並已選取 [更新] 按鈕。](media/kerbf5-tutorial/configure31.png)
選取 存取原則,然後選取 編輯存取原則,適用於 "KerbApp200"。
![顯示 [存取原則] 頁面的螢幕快照,其中包含已選取 [配置檔 KerbApp200] 動作的 [編輯存取原則]。](media/kerbf5-tutorial/configure32.png)
![顯示 [存取原則] 頁面和 [S A M L 驗證 S P] 對話框的螢幕快照。](media/kerbf5-tutorial/configure33.png)
![顯示 [存取原則] 頁面和 [變數指派] 對話框的螢幕快照,其中已醒目提示 [指派] 文本框。](media/kerbf5-tutorial/configure34.png)
session.logon.last.usernameUPN expr {[mcget {session.saml.last.identity}]}
session.ad.lastactualdomain TEXT superdemo.live
![顯示 [存取原則] 頁面和 [Active Directory] 對話框的螢幕快照,其中已醒目提示 [SearchFilter] 文本框。](media/kerbf5-tutorial/configure35.png)
(userPrincipalName=%{session.logon.last.usernameUPN})
![顯示 [存取原則] 頁面的螢幕快照,其中包含 [A D 查詢 - 分支規則] 對話框。](media/kerbf5-tutorial/configure36.png)
![顯示醒目提示 [自定義變數] 和 [自定義表示式] 文本框的螢幕快照。](media/kerbf5-tutorial/configure37.png)
session.logon.last.username expr { “[mcget {session.ad.last.attr.sAMAccountName}]” }
![顯示醒目提示 [登入頁面的用戶名稱] 文本框的螢幕快照。](media/kerbf5-tutorial/configure38.png)
麥格特 {session.logon.last.username}
mcget {session.logon.last.password
若要新增節點,請流覽至 [ 本機流量 > 節點 > ] [節點列表],選取 [建立],完成下列資訊,然後選取 [ 已完成]。
名稱:KerbApp200
說明:KerbApp200
位址:192.168.20.200
![顯示 [新增節點] 頁面的螢幕快照,其中已醒目提示 [名稱]、[描述] 和 [位址] 文本框,並已選取 [已完成] 按鈕。](media/kerbf5-tutorial/configure39.png)
若要建立新的集區,請流覽至 [ 本機流量 > 集區 > 集區列表],選取 [建立],完成下列資訊,然後選取 [ 已完成]。
名稱:KerbApp200-Pool
說明:KerbApp200-Pool
健康監視:http
位址:192.168.20.200
服務連接埠:81
![顯示 [新增集區] 頁面的螢幕快照,其中包含已輸入的值,並已選取 [已完成] 按鈕。](media/kerbf5-tutorial/configure40.png)
若要建立虛擬伺服器,請流覽至 [ 本機流量 > 虛擬伺服器 > ] [虛擬伺服器清單 > +],完成下列資訊,然後選取 [ 已完成]。
名稱:KerbApp200
目的地位址/遮罩:主機 192.168.30.200
服務連接埠:連接埠 443 HTTPS
存取設定檔:KerbApp200
指定在先前的步驟中建立的存取設定檔
![顯示 [虛擬伺服器清單] 頁面的螢幕快照,其中已醒目提示 [名稱]、[目的地位址/遮罩] 和 [服務埠] 文本框。](media/kerbf5-tutorial/configure41.png)
顯示「虛擬伺服器列表」頁面的螢幕擷圖,其中的「存取設定檔」下拉式選單已被醒目提示。
設定 Kerberos 委派
注意
如需參考,請選取這裡
步驟 1: 建立委派帳戶
例:
網域名稱:superdemo.live
Sam 帳戶名稱: big-ipuser
New-ADUser -Name "APM 委派帳號" -UserPrincipalName host/big-ipuser.superdemo.live@superdemo.live -SamAccountName "big-ipuser" -PasswordNeverExpires $true -Enabled $true -AccountPassword (Read-Host -AsSecureString "密碼!1234")
步驟 2: 設定 SPN (在 APM 委派帳戶上)
例:
- setspn –A 主機/big-ipuser.superdemo.live big-ipuser
步驟 3: SPN 委派 (適用於 App Service 帳戶)
為 F5 委派帳戶設定適當的授權。
在下列範例中,FRP-App1.superdemo 的 KCD 將配置 APM 委派帳戶。 直播應用程式。
請提供上述參考檔中此處所述的詳細資訊。
建立 F5 測試使用者
在本節中,您會在 F5 中建立名為 B.Simon 的使用者。 請與 F5 用戶端支援小組合作 ,在 F5 平臺中新增使用者。 您必須先建立和啟動使用者,然後才能使用單一登入。
測試 SSO
在本節中,您會使用存取面板來測試 Microsoft Entra 單一登入設定。
當您在存取面板中選擇 F5 圖格時,應會自動登入您已設定 SSO 的 F5。 如需存取面板的詳細資訊,請參閱 存取面板簡介。