Tutorial: Konfigurieren von F5 BIG-IP Access Policy Manager für headerbasiertes einmaliges Anmelden

  • Artikel

Erfahren Sie, wie Sie sicheren Hybridzugriff (Secure Hybrid Access, SHA) mit einmaligem Anmelden (Single Sign-On, SSO) für headerbasierte Anwendungen mithilfe der erweiterten Konfiguration für F5 BIG-IP implementieren. Konfigurationsvorteile, die von BIG-IP veröffentlichte Anwendungen und Microsoft Entra bieten:

  • Verbesserte Zero Trust-Governance durch Vorabauthentifizierung und bedingten Zugriff von Microsoft Entra
  • Vollständiges einmaliges Anmelden zwischen Microsoft Entra ID und BIG-IP veröffentlichten Diensten
  • Verwaltete Identitäten und Zugriff über eine einzelne Steuerungsebene

Weitere Informationen:

Beschreibung des Szenarios

In diesem Szenario gibt es eine Legacyanwendung, die über HTTP-Autorisierungsheader den Zugriff auf geschützte Inhalte steuert. Im Idealfall verwaltet Microsoft Entra ID den Anwendungszugriff. Das Legacy-System verfügt jedoch nicht über ein modernes Authentifizierungsprotokoll. Eine Modernisierung erfordert Zeit und Aufwand und führt gleichzeitig zu Kosten durch Ausfallzeiten und Risiken. Stattdessen stellen Sie zwischen öffentlichem Internet und interner Anwendung eine BIG-IP-Instanz bereit, um eingehenden Zugriff auf die Anwendung zu steuern.

Ein der Anwendung vorgeschaltetes BIG-IP ermöglicht es, den Dienst mit Microsoft Entra-Vorab-Authentifizierung und headerbasiertem SSO zu überlagern. Diese Konfiguration verbessert den Sicherheitsstatus der Anwendung.

Szenarioarchitektur

Die sichere Hybridzugriffslösung für dieses Szenario besteht aus den folgenden Komponenten:

  • Anwendung: Von BIG-IP veröffentlichter Dienst, der durch SHA von Microsoft Entra geschützt werden soll
  • Microsoft Entra ID: SAML-IdP (Security Assertion Markup Language-Identitätsanbieter), der Benutzeranmeldeinformationen, bedingten Zugriff und SSO bei der BIG-IP-Instanz überprüft
    • Über SSO werden der BIG-IP-Instanz von Microsoft Entra ID erforderliche Sitzungsattribute zur Verfügung gestellt – einschließlich Benutzer-IDs
  • BIG-IP: Reverseproxy und SAML-Dienstanbieter (Service Provider, SP) für die Anwendung, der die Authentifizierung an den SAML-Identitätsanbieter (IdP) delegiert, bevor headerbasiertes einmaliges Anmelden bei der Back-End-Anwendung erfolgt

Das folgende Diagramm veranschaulicht den Benutzerflow mit Microsoft Entra ID, BIG-IP, APM und einer Anwendung.

Diagramm des Benutzerflows mit Microsoft Entra ID, BIG-IP, APM und einer Anwendung

  1. Der Benutzer stellt eine Verbindung mit dem SAML-Dienstanbieterendpunkt (BIG-IP) der Anwendung her.
  2. Die BIG-IP-APM-Zugriffsrichtlinie leitet Benutzer an Microsoft Entra ID (SAML IdP) um.
  3. Microsoft Entra führt eine Vorauthentifizierung von Benutzern durch und wendet Richtlinien für bedingten Zugriff an.
  4. Der Benutzer wird zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das einmalige Anmelden findet unter Verwendung des ausgestellten SAML-Tokens statt.
  5. BIG-IP fügt Microsoft Entra-Attribute als Header in die Anforderungen an die Anwendung ein.
  6. Die Anwendung autorisiert die Anforderung und gibt Nutzdaten zurück.

Voraussetzungen

Für das Szenario benötigen Sie Folgendes:

  • Azure-Abonnement
  • Eine der folgenden Rollen: Cloudanwendungsadministrator oder Anwendungsadministrator
  • Eine BIG-IP-Instanz oder Bereitstellung einer BIG-IP Virtual Edition (VE) in Azure
  • Eine der folgenden F5 BIG-IP-Lizenzen:
    • F5 BIG-IP® Best Bundle
    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM)
    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 Tage gültige Testversion für sämtliche Features von BIG-IP. Mehr dazu finden Sie unter Kostenlose Testversionen.
  • Benutzeridentitäten, die aus einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden
  • Ein SSL-Zertifikat zum Veröffentlichen von Diensten über HTTPS oder zum Verwenden von Standardzertifikaten beim Testen
  • Eine headerbasierte Anwendung oder IIS-Header-App für Testzwecke

BIG-IP-Konfigurationsmethode

Bei den folgenden Anweisungen handelt es sich um eine erweiterte Konfigurationsmethode, mit der Sie SHA flexibel implementieren können. Erstellen Sie BIG-IP-Konfigurationsobjekte manuell. Wählen Sie diese Methode für Szenarien, die nicht in den Guided Configuration-Vorlagen (Geführte Konfiguration) enthalten sind.

Hinweis

Ersetzen Sie Beispielzeichenfolgen oder -werte durch Angaben für Ihre Umgebung.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Der erste Schritt beim Implementieren von SHA besteht darin, eine SAML-Verbundvertrauensstellung zwischen BIG-IP Access Policy Manager (APM) und Microsoft Entra ID einzurichten. Die Vertrauensstellung legt die Integration für BIG-IP fest, um Vorauthentifizierung und bedingten Zugriff an Microsoft Entra ID zu übergeben, bevor Zugriff auf den veröffentlichten Dienst gewährt wird.

Weitere Informationen: Was ist bedingter Zugriff?

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.

  3. Wählen Sie auf dem oberen Menüband + Neue Anwendung aus.

  4. Suchen Sie im Katalog nach F5.

  5. Wählen Sie F5 BIG-IP APM Microsoft Entra ID-Integration aus.

  6. Geben Sie unter Name einen Anwendungsnamen ein.

  7. Wählen Sie Hinzufügen/Erstellen aus.

  8. Der Name gibt den Dienst wieder.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

  1. Die Eigenschaften der neuen F5-Anwendung werden angezeigt.

  2. Wählen SieVerwalten>Einmaliges Anmelden aus.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Überspringen Sie die Aufforderung zum Speichern der Einstellungen für einmaliges Anmelden.

  5. Wählen Sie Nein, später speichern aus.

  6. Wählen Sie unter Einmaliges Anmelden (SSO) mit SAML einrichten für Grundlegende SAML-Konfiguration das Stiftsymbol aus.

  7. Ersetzen Sie Bezeichner-URL durch die URL des von BIG-IP veröffentlichten Diensts. Beispiel: https://mytravel.contoso.com

  8. Wiederholen Sie dies für Antwort-URL, und schließen Sie den SAML-Endpunktpfad von APM ein. Zum Beispiel, https://mytravel.contoso.com/saml/sp/profile/post/acs

    Hinweis

    In dieser Konfiguration wird der SAML-Flow im IdP-Modus betrieben, in dem Microsoft Entra ID dem Benutzer eine SAML-Assertion ausstellt, bevor eine Weiterleitung an den BIG-IP-Dienstendpunkt der Anwendung erfolgt. BIG-IP APM unterstützt den IdP- und SP-Modus.

  9. Geben Sie als Abmelde-URL den BIG-IP APM-SLO-Endpunkt (Single Logout) ein, und stellen Sie den Diensthostheader voran. Der SLO-URI stellt sicher, dass BIG-IP APM-Sitzungen des Benutzers nach der Microsoft Entra-Abmeldung enden. Beispiel: https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Screenshot: Eingabe für „Grundlegende SAML-Konfiguration“ für Bezeichner, Antwort-URL, Anmelde-URL usw.

    Hinweis

    Ab TMOS v16 (Traffic Management Operating System) wurde der SAML SLO-Endpunkt in /saml/sp/profile/redirect/slo geändert.

  10. Wählen Sie Speichern aus.

  11. Beenden Sie die SAML-Konfiguration.

  12. Überspringen Sie die Eingabeaufforderung zum Testen des einmaligen Anmeldens.

  13. Wählen Sie das Stiftsymbol aus, um Benutzerattribute & Ansprüche > + Neuen Anspruch hinzufügen zu bearbeiten.

  14. Wählen Sie unter Name die Option Employeeid aus.

  15. Wählen Sie als Quellattribut die Option user.employeeid aus.

  16. Wählen Sie Speichern aus.

Screenshot der Eingabe für die Attribute „Name“ und „Status“ im Dialogfeld „Anspruch verwalten“.

  1. Wählen Sie + Gruppenanspruch hinzufügen aus.
  2. Wählen Sie Der Anwendung zugewiesene Gruppen>Quellattribut>sAMAccountName aus.

Screenshot der Eingabe für „Quellattribut“ im Dialogfeld „Benutzerattribute und Ansprüche“.

  1. Wählen Sie zum Speichern der Konfiguration Speichern aus.
  2. Schließen Sie die Ansicht.
  3. Beachten Sie die Eigenschaften im Abschnitt Benutzerattribute und Ansprüche. Microsoft Entra ID gibt Eigenschaften für die BIG-IP APM-Authentifizierung und das einmalige Anmelden bei der Back-End-Anwendung aus.

Screenshot: Benutzerattribute und Informationen zu Ansprüchen wie Nachname, E-Mail-Adresse, Identität usw.

Hinweis

Fügen Sie weitere Ansprüche hinzu, die die von BIG-IP veröffentlichte Anwendung als Header erwartet. Wenn sie sich in Microsoft Entra ID befinden, werden weitere definierte Ansprüche ausgestellt. Legen Sie Verzeichnismitgliedschaften und Benutzerobjekte in Microsoft Entra ID fest, ehe Ansprüche ausgestellt werden können. Siehe Konfigurieren von Gruppenansprüchen für Anwendungen mit Microsoft Entra ID.

  1. Wählen Sie im Abschnitt SAML-Signaturzertifikat die Option Herunterladen aus.
  2. Die Datei Verbundmetadaten-XML wird auf Ihrem Computer gespeichert.

Von Microsoft Entra ID erstellte SAML-Signaturzertifikate haben eine Lebensdauer von drei Jahren.

Microsoft Entra ID-Autorisierung

Standardmäßig gibt Microsoft Entra ID Token an Benutzer aus, denen der Zugriff auf eine Anwendung gewährt wurde.

  1. Wählen Sie in der Konfigurationsansicht der Anwendung die Option Benutzer und Gruppen aus.
  2. Wählen Sie + Benutzer hinzufügen und anschließend unter Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
  3. Fügen Sie im Dialogfeld Benutzer und Gruppen die Benutzergruppen hinzu, die für den Zugriff auf die headerbasierte Anwendung autorisiert sind.
  4. Wählen Sie Auswählen.
  5. Wählen Sie Zuweisen aus.

Microsoft Entra SAML-Verbundvertrauensstellung ist abgeschlossen. Als Nächstes richten Sie BIG-IP APM ein, um die mit Eigenschaften konfigurierte Webanwendung zu veröffentlichen, die die Vertrauensstellung für die SAML-Vorauthentifizierung vervollständigen.

Erweiterte Konfiguration

Konfigurieren Sie in den folgenden Abschnitten SAML, headerbasiertes SSO, Zugriffsprofil und mehr.

SAML-Konfiguration

Erstellen Sie den BIG-IP-SAML-Dienstanbieter und die entsprechenden SAML-IdP-Objekte, um den Verbund der veröffentlichten Anwendung mit Microsoft Entra ID einzurichten.

  1. Wählen Sie Access>Federation>SAML Service Provider>Local SP Services>Create (Zugriff > Verbund > SAML-Dienstanbieter > Lokale SP-Dienste > Erstellen) aus.

    Screenshot der Option „Create“ (Erstellen) auf der Registerkarte „SAML Service Provider“ (SAML-Dienstanbieter).

  2. Geben Sie einen Namen ein.

  3. Geben Sie unter Entitäts-ID die in Microsoft Entra ID definierte Entitäts-ID an.

    Screenshot der Eingabe in „Name“ und „Entity ID“ (Entitäts-ID) im Dialogfeld „Create New SAML SP Service“ (Neuen SAML-SP-Dienst erstellen).

  4. Treffen Sie für SP Name Settings (SP-Namenseinstellungen) eine Auswahl, wenn die Entitäts-ID nicht mit dem Hostnamen der veröffentlichten URL übereinstimmt, oder treffen Sie eine Auswahl, wenn sie nicht im üblichen hostnamenbasierten URL-Format vorliegt. Geben Sie das externe Schema und den Hostnamen der Anwendung an, wenn die Entitäts-ID urn:mytravel:contosoonline ist.

  5. Scrollen Sie nach unten, um das neue SAML-SP-Objekt auszuwählen.

  6. Wählen Sie Bind/Unbind IdP Connectors (IdP-Connectors binden/Bindung der IdP-Connectors aufheben) aus.

    Screenshot der Option „IdP-Connectors binden/Bindung der IdP-Connectors aufheben“ auf der Registerkarte „SAML-Dienstanbieter“.

  7. Wählen Sie Create New IdP Connector (Neuen IdP-Connector erstellen) aus.

  8. Wählen Sie im Dropdownmenü From Metadata (Aus Metadaten) aus.

    Screenshot der Option „From Metadata“ (Aus Metadaten) im Dropdownmenü „Create New IdP Connection“ (Neuen IdP-Connector erstellen).

  9. Navigieren Sie zu der XML-Datei mit den Verbundmetadaten, die Sie heruntergeladen haben.

  10. Geben Sie für das APM-Objekt einen Identity Provider Name (Name des Identitätsanbieters) für den externen SAML-IdP an. Beispiel: MyTravel_EntraID

Screenshot der Eingaben in „Select File“ (Datei auswählen) und „Identity Provider Name“ (Name des Identitätsanbieters) unter „Create New SAML IdP Connector“ (Neuen SAML-IdP-Connector erstellen).

  1. Wählen Sie Add New Row (Neue Zeile hinzufügen) aus.
  2. Wählen Sie den neuen SAML-IdP-Connector aus.
  3. Wählen Sie Aktualisieren aus.

Screenshot der Option „Update“ (Aktualisieren) unter „SAML IdP Connectors“.

  1. Klicken Sie auf OK.

Screenshot der gespeicherten Einstellungen

Konfiguration der Header-SSO

Erstellen Sie ein SSO-Objekt für APM.

  1. Wählen Sie Access>Profiles/Policies>Per-Request Policies>Create (Zugriff > Profile/Richtlinien > Anforderungsbezogene Richtlinien > Erstellen) aus.

  2. Geben Sie einen Namen ein.

  3. Fügen Sie mindestens eine Accepted Language (akzeptierte Sprache) hinzu.

  4. Wählen Sie Finished (Fertig) aus.

    Screenshot der Eingaben für „Name“ und „Accepted Language“ (Akzeptierte Sprache).

  5. Wählen Sie für die neue anforderungsbezogene Richtlinie Edit (Bearbeiten) aus.

    Screenshot der Option „Edit“ (Bearbeiten) in der Spalte „Per Request Policy“ (Anforderungsbezogene Richtlinie).

  6. Der grafische Richtlinien-Editor wird geöffnet.

  7. Wählen Sie unter Fallback das Symbol + aus.

    Screenshot der Option „Plus“ unter „Fallback“.

  8. Wählen Sie auf der Registerkarte General Purpose (Universell) nacheinander HTTP Headers>Add Item (HTTP-Header > Element hinzufügen) aus.

    Screenshot der Option „HTTP-Header“.

  9. Wählen Sie Add new entry (Neuen Eintrag hinzufügen) aus.

  10. Erstellen Sie drei Änderungseinträge für „HTTP“ und „Header“.

  11. Geben Sie für Header Name (Headername) upn ein.

  12. Geben Sie für Header Value (Headerwert) %{session.saml.last.identity} ein.

  13. Geben Sie für Header Name (Headername) employeeid ein.

  14. Geben Sie für Header Value (Headerwert) %{session.saml.last.attr.name.employeeid} ein.

  15. Geben Sie für Header Name (Headername) group_authz ein.

  16. Geben Sie für Header Value (Headerwert) %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups} ein.

Hinweis

Bei APM-Sitzungsvariablen in geschweiften Klammern wird Groß- und Kleinschreibung beachtet. Es wird empfohlen, Attribute in Kleinbuchstaben anzugeben.

Screenshot der Headereingabe unter „HTTP Header Modify“ (HTTP-Header ändern) auf der Registerkarte „Properties“ (Eigenschaften).

  1. Wählen Sie Speichern aus.
  2. Schließen Sie den grafischen Richtlinien-Editor.

Screenshot des grafischen Richtlinien-Editors.

Konfigurieren von Zugriffsprofilen

Ein Zugriffsprofil bindet viele APM-Elemente, die den Zugriff auf virtuelle BIG-IP-Server verwalten, einschließlich Zugriffsrichtlinien, SSO-Konfiguration und Benutzeroberflächeneinstellungen.

  1. Wählen Sie Access>Profiles / Policies>Access Profiles (Per-Session Policies)>Create (Zugriff > Profile/Richtlinien > Zugriffsrichtlinien [Sitzungsbezogene Richtlinien] > Erstellen) aus.

  2. Geben Sie für Name die Zeichenfolge MyTravel ein.

  3. Wählen Sie für Profile Type (Profiltyp) All (Alle) aus.

  4. Wählen Sie für Accepted Language (Akzeptierte Sprache) mindestens eine Sprache aus.

  5. Wählen Sie Finished (Fertig) aus.

    Screenshot der Einträge für Name, Profiltyp und akzeptierte Sprache.

  6. Wählen Sie für das soeben erstellte Profil pro Sitzung Bearbeiten aus.

    Screenshot der Option „Edit“ (Bearbeiten) in der Spalte „Per-Session Policy“ (Sitzungsbezogene Richtlinie).

  7. Der grafische Richtlinien-Editor wird geöffnet.

  8. Wählen Sie unter „Fallback“ das Symbol + aus.

    Screenshot der Option „Plus“.

  9. Wählen Sie Authentication>SAML Auth>Add Item (Authentifizierung > SAML-Authentifizierung > Element hinzufügen) aus.

    Screenshot der Option „SAML-Authentifizierung“ auf der Registerkarte „Authentifizierung“.

  10. Wählen Sie für die Konfiguration SAML authentication SP (SAML-Authentifizierung für SP) in der Dropdownliste AAA Server das von Ihnen erstellte SAML-SP-Objekt aus.

  11. Wählen Sie Speichern aus.

Screenshot der Auswahl für „AAA Server“.

Attributzuordnung

Die folgenden Anweisungen sind optional. Bei einer Konfiguration für „LogonID_Mapping“ weist die Liste der aktiven BIG-IP-Sitzungen den Benutzerprinzipalnamen (UPN) des angemeldeten Benutzers und keine Sitzungsnummer auf. Nutzen Sie beim Analysieren von Protokollen oder bei der Problembehandlung diese Daten.

  1. Wählen Sie für die Verzweigung SAML Auth Successful (SAML-Authentifizierung erfolgreich) das Symbol + aus.

    Screenshot des Plussymbols in der Verzweigung „SAML Auth Successful“ (SAML-Authentifizierung erfolgreich).

  2. Wählen Sie im Popupfenster Assignment>Variable Assign>Add Item (Zuweisung > Variable zuweisen > Element hinzufügen) aus.

    Screenshot der Option „Variable Assign“ (Variable zuweisen) auf der Registerkarte „Assignment“ (Zuweisung).

  3. Geben Sie unter Name einen Namen ein.

  4. Wählen Sie im Abschnitt Variable Assign (Variable zuweisen) Add new entry>Change (Neuen Eintrag hinzufügen > Ändern) aus. Beispiel: LogonID_Mapping.

    Screenshot der Optionen „Add new entry“ (Neuen Eintrag hinzufügen) und „Change“ (Ändern).

  5. Legen Sie session.saml.last.identity für Custom Variable (Benutzerdefinierte Variable) fest.

  6. Legen Sie session.logon.last.username für Session Variable (Sitzungsvariable) fest.

  7. Wählen Sie Finished (Fertig) aus.

  8. Wählen SieSpeichern aus.

  9. Wählen Sie in der Verzweigung Access Policy Successful (Zugriffsrichtlinie erfolgreich) die Option Deny (Verweigern) aus.

  10. Wählen Sie Zulassen aus.

  11. Wählen Sie Speichern aus.

  12. Wählen Sie Zugriffsrichtlinie anwenden aus.

  13. Schließen Sie den grafischen Richtlinien-Editor.

Back-End-Konfiguration

Damit BIG-IP Clientdatenverkehr ordnungsgemäß weiterleiten kann, erstellen Sie ein APM-Knotenobjekt, das den Back-End-Server darstellt, der Ihre Anwendung hostet. Platzieren Sie den Knoten in einem APM-Pool.

  1. Wählen Sie Local Traffic > Pools > Pool List > Create (Lokaler Datenverkehr > Poolliste > Erstellen) aus.

  2. Geben Sie einen Namen für ein Serverpoolobjekt ein. Beispiel: MyApps_VMs.

    Screenshot von „Apply Access Policy“ (Zugriffsrichtlinie anwenden).

  3. Fügen Sie ein Poolmitgliedsobjekt hinzu.

  4. Geben Sie für Node Name (Knotenname) einen Namen für den Server ein, der die Back-End-Webanwendung hostet

  5. Geben Sie in Address (Adresse) die IP-Adresse des Servers ein, der die Anwendung hostet.

  6. Geben Sie für Service Port (Dienstport) den HTTP/S-Port ein, an dem die Anwendung lauscht.

  7. Wählen Sie Hinzufügen.

    Screenshot der Eingabe für den Knotennamen, die Adresse und den Dienstport sowie der Option „Add“ (Hinzufügen).

    Hinweis

    Weitere Informationen finden Sie auf my.f5.com unter K13397: Overview of HTTP health monitor request formatting for the BIG-IP DNS system (K13397: Übersicht über die Formatierung von HTTP-Integritätsmonitoranforderungen für das BIG-IP-DNS-System).

Konfiguration des virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse repräsentiert wird und auf Client-Anfragen an die Anwendung wartet. Empfangener Datenverkehr wird verarbeitet und anhand des APM-Zugriffsprofils ausgewertet, das dem virtuellen Server zugeordnet ist. Datenverkehr wird entsprechend der Richtlinie weitergeleitet.

  1. Wählen Sie Local Traffic>Virtual Servers>Virtual Server List>Create (Lokaler Datenverkehr > Virtuelle Server > Liste virtueller Server Erstellen) aus.

  2. Geben Sie einen Namen für den virtuellen Server ein.

  3. Wählen Sie Host unter Destination Address/Mask (Zieladresse/Maske) aus.

  4. Geben Sie eine nicht verwendete IPv4- oder IPv6-Adresse ein, die der BIG-IP-Instanz für das Empfangen von Clientdatenverkehr zugewiesen werden soll.

  5. Wählen Sie für Service Port (Dienstport) nacheinander Port, 443 und HTTPS aus.

    Screenshot der Einträge für „Name“, „Destination Address/Mask“ (Zieladresse/Maske) und „Service Port“ (Dienstport).

  6. Wählen Sie http für HTTP Profile (Client) [HTTP-Profil (Client)] aus.

  7. Wählen Sie für SSL Profile (Client) [SSL-Profil (Client)] das Profil aus, das Sie erstellt haben, oder übernehmen Sie für Tests die Standardeinstellung.

    Screenshot der Einträge für HTTP-Profilclient und SSL-Profilclient.

  8. Wählen Sie unter Source Address Translation (Quelladressübersetzung) die Option Auto Map (Automatische Zuordnung) aus.

    Screenshot der Option „Source Address Translation“ (Quelladressübersetzung).

  9. Wählen Sie unter Access Policy (Zugriffsrichtlinie) das zuvor erstellte Access Profile (Zugriffsprofil) aus. Dadurch werden das Azure AD SAML-Vorauthentifizierungsprofil und die Header-SSO-Richtlinie an den virtuellen Server gebunden.

  10. Wählen Sie für Per-Request Policy (Anforderungsbezogene Richtlinie) SSO_Headers aus.

Screenshot der Einträge für Zugriffsprofil und anforderungsbezogene Richtlinie.

  1. Wählen Sie für Default Pool (Standardpool) die von Ihnen erstellten Back-End-Poolobjekte aus.
  2. Wählen Sie Finished (Fertig) aus.

Screenshot der Option „Default Pool“ (Standardpool) unter „Resources“ (Ressourcen).

Sitzungsverwaltung

Verwenden Sie die Einstellungen der BIG-IP-Sitzungsverwaltung, um die Bedingungen für Beendigung und Fortsetzung von Sitzungen zu bestimmen. Erstellen Sie eine Richtlinie über Access Policy>Access Profiles (Zugriffsrichtlinie > Zugriffsprofile). Wählen Sie in der Liste eine Anwendung aus.

Im Hinblick auf SLO-Funktionalität stellt ein URI für das einmalige Abmelden (Single Log-Out) in Microsoft Entra ID sicher, dass eine vom IdP initiierte Abmeldung vom MyApps-Portal die Sitzung zwischen Client und BIG-IP APM beendet. Die für die Anwendung importierte Datei „Verbundmetadaten-XML“ stellt APM den Microsoft Entra-SAML-Abmeldeendpunkt für die vom SP initiierte Abmeldung bereit. Daher muss APM wissen, wann sich ein Benutzer abmeldet.

Wenn kein BIG-IP-Webportal vorhanden ist, können Benutzer APM nicht anweisen, sich abzumelden. Wenn sich der Benutzer von der Anwendung abmeldet, wird dieser Vorgang von der BIG-IP-Instanz nicht bemerkt. Die Anwendungssitzung kann über einmaliges Anmelden reaktiviert werden. Daher muss die vom SP initiierte Abmeldung sorgfältig geprüft werden.

Um zu gewährleisten, dass Sitzungen sicher beendet werden, fügen Sie der Schaltfläche Abmelden Ihrer Anwendung eine SLO-Funktion hinzu. Ermöglichen Sie ihm, den Client zum Microsoft Entra-SAML-Abmeldeendpunkt umzuleiten. Den SAML-Abmeldeendpunkt für Ihren Mandanten finden Sie unter App-Registrierungen>Endpunkte.

Wenn Sie die App nicht ändern können, aktivieren Sie für die BIG-IP-Instanz das Lauschen auf den Abmeldeaufruf der App, und lösen Sie SLO aus. Weitere Informationen:

Bereitstellen

  1. Wählen Sie Deploy (Bereitstellen) aus, um Ihre Einstellungen zu übernehmen.
  2. Überprüfen Sie, ob die Anwendung in Ihrem Mandanten angezeigt wird.
  3. Ihre Anwendung wird veröffentlicht und ist über SHA, die URL oder Microsoft-Portale zugänglich.

Testen

Führen Sie den folgenden Test als Benutzer aus.

  1. Wählen Sie die externe URL der Anwendung oder im MyApps-Portal das Symbol der Anwendung aus.

  2. Authentifizieren Sie sich bei Microsoft Entra ID.

  3. Sie werden zum virtuellen BIG-IP-Server für die App umgeleitet und über einmaliges Anmelden (Single Sign-On, SSO) angemeldet.

  4. Die eingefügte Headerausgabe wird von der headerbasierten Anwendung angezeigt.

    Screenshot mit Servervariablen wie UPN, Employee ID (Mitarbeiter-ID) und Group Authorization (Gruppenautorisierung).

Für mehr Sicherheit blockieren Sie den direkten Zugriff auf die Anwendung, und erzwingen Sie einen Pfad durch die BIG-IP-Instanz.

Problembehandlung

Befolgen Sie die folgende Anleitung bei der Problembehandlung.

Ausführlichkeit des Protokolls

BIG-IP-Protokolle enthalten hilfreiche Informationen zum Isolieren von Authentifizierungs- und SSO-Problemen. Erhöhen des Ausführlichkeitsgrads des Protokolls:

  1. Navigieren Sie zu Access Policy>Overview>Event Logs (Zugriffsrichtlinie > Übersicht > Ereignisprotokolle).
  2. Wählen Sie Settingsaus.
  3. Wählen Sie die Zeile Ihrer veröffentlichten Anwendung aus.
  4. Wählen Sie Bearbeiten>Auf Systemprotokolle zugreifen aus.
  5. Wählen Sie in der Liste „SSO“ die Option Debug (Debuggen) aus.
  6. Klicken Sie auf OK.
  7. Reproduzieren Sie das Problem.
  8. Überprüfen Sie die Protokolle.
  9. Wenn Sie fertig sind, stellen Sie die Einstellungen wieder her.

BIG-IP-Fehlermeldung

Wenn nach der Umleitung ein BIG-IP-Fehler auftritt, bezieht sich das Problem möglicherweise auf einmaliges Anmelden (Single Sign-On, SSO) von Microsoft Entra ID bei BIG-IP.

  1. Navigieren Sie zu Access Policy>Overview (Zugriffsrichtlinie > Übersicht).
  2. Wählen Sie Access reports (Auf Berichte zugreifen) aus.
  3. Führen Sie den Bericht für die letzte Stunde aus.
  4. Überprüfen Sie die Protokolle auf Hinweise.
  5. Wählen Sie für Ihre Sitzung den Link View session variables (Sitzungsvariablen anzeigen) aus.
  6. Vergewissern Sie sich, dass APM die erwarteten Ansprüche von Microsoft Entra ID empfängt.

Keine BIG-IP-Fehlermeldung

Wenn keine BIG-IP-Fehlermeldung angezeigt wird, hängt das Problem wahrscheinlich eher mit einmaligem Anmelden der BIG-IP-Instanz bei der Back-End-Anwendung zusammen.

  1. Navigieren Sie zu Access Policy>Overview (Zugriffsrichtlinie > Übersicht).
  2. Wählen Sie Active Sessions (Aktive Sitzungen) aus.
  3. Wählen Sie den Link für Ihre aktive Sitzung aus.
  4. Wählen Sie den Link View Variables (Variablen anzeigen) aus, um Probleme mit einmaligem Anmelden zu ermitteln.
  5. Prüfen Sie, ob Big-IP APM die richtigen Benutzer- und Domänenbezeichner abrufen kann oder nicht.

Weitere Informationen:

Ressourcen