Tutorial: Konfigurieren von F5 BIG-IP Easy Button für Kerberos-basiertes Single Sign-On

  • Artikel

Erfahren Sie, wie Sie Kerberos-basierte Anwendungen mit Microsoft Entra ID mithilfe von F5 BIG-IP Easy Button Guided Configuration 16.1 schützen.

Die Integration einer BIG-IP in Microsoft Entra ID bietet viele Vorteile. Dazu zählen:

Weitere Informationen zu den Vorteilen finden Sie im Artikel Integrieren von F5 BIG-IP in Microsoft Entra.

Beschreibung des Szenarios

In diesem Szenario wird eine Legacyanwendung mit Kerberos-Authentifizierung (auch als integrierte Windows-Authentifizierung (IWA) bezeichnet) verwendet, um den Zugriff auf geschützte Inhalte zu steuern.

Da es sich um eine Legacyanwendung handelt, fehlen moderne Protokolle, um eine direkte Integration in Microsoft Entra ID zu unterstützen. Sie können die Anwendung modernisieren. Dies ist jedoch kostspielig, erfordert eine sorgfältige Planung und birgt das Risiko potenzieller Ausfallzeiten. Stattdessen wird ein F5 BIG-IP-Anwendungsbereitstellungscontroller (Application Delivery Controller, ADC) verwendet, um die Lücke zwischen der Legacyanwendung und der modernen ID-Steuerungsebene durch einen Protokollübergang zu schließen.

Eine BIG-IP-Instanz vor der Anwendung ermöglicht die Überlagerung des Diensts mit der Microsoft Entra-Vorauthentifizierung und dem headerbasierten Single Sign-On, was den Sicherheitsstatus der Anwendung erhöht.

Hinweis

Organisationen erhalten über den Microsoft Entra-Anwendungsproxy Remotezugriff auf diese Art von Anwendung.

Szenarioarchitektur

Die Lösung für sicheren Hybridzugriff (Secure Hybrid Access, SHA) für dieses Szenario umfasst die folgenden Komponenten:

  • Anwendung: Von BIG-IP veröffentlichter Dienst, der durch SHA von Microsoft Entra geschützt werden soll. Der Anwendungshost ist in die Domäne eingebunden.
  • Microsoft Entra ID: SAML-Identitätsanbieter (Security Assertion Markup Language), der Benutzeranmeldeinformationen, bedingten Zugriff und SAML-basiertes Single Sign-On für den BIG-IP-Dienst überprüft. Durch die SSO-Funktionalität stellt Microsoft Entra ID BIG-IP die erforderlichen Sitzungsattribute bereit.
  • Key Distribution Center (KDC): KDC-Rolle auf einem Domänencontroller (DC), der Kerberos-Tickets ausstellt.
  • BIG-IP: Reverseproxy und SAML-Dienstanbieter (Service Provider, SP) für die Anwendung, wobei die Authentifizierung an den SAML-Identitätsanbieter delegiert wird, bevor Kerberos-basiertes Single Sign-On bei der Back-End-Anwendung durchgeführt wird.

SHA für dieses Szenario unterstützt SP- und IdP-initiierte Flows. In der folgenden Abbildung ist der SP-initiierte Flow dargestellt.

Diagramm des Ablaufs des Dienstanbieterszenarios.

  1. Der Benutzer stellt eine Verbindung mit dem Anwendungsendpunkt (BIG-IP) her.
  2. Die BIG-IP Access Policy Manager (APM) leitet Benutzer an Microsoft Entra ID (SAML IdP) um.
  3. Microsoft Entra ID führt eine Vorabauthentifizierung der Benutzer durch und wendet die jeweiligen erzwungene Richtlinien für bedingten Zugriff an
  4. Der Benutzer wird an BIG-IP (SAML SP) weitergeleitet und SSO wird mit einem ausgestellten SAML-Token durchgeführt.
  5. BIG-IP fordert vom KDC ein Kerberos-Ticket an.
  6. BIG-IP sendet Anforderung an Backend-Anwendung zusammen mit Kerberos-Ticket für SSO
  7. Die Anwendung autorisiert die Anforderung und sendet die Nutzdaten zurück

Voraussetzungen

Vorherige Erfahrungen mit BIG-IP sind nicht erforderlich, Sie benötigen aber Folgendes:

  • Ein kostenloses Azure-Konto oder ein höherwertiges Konto
  • Eine BIG-IP-Instanz oder Bereitstellen einer BIG-IP Virtual Edition (VE) in Azure
  • Eine der folgenden F5 BIG-IP-Lizenzen:
    • F5 BIG-IP® Best Bundle
    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager (APM)
    • Add-On-Lizenz für F5 BIG-IP APM für eine BIG-IP-Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90-tägige kostenlose Testlizenz von BIG-IP
  • Benutzeridentitäten, die von einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden oder in Microsoft Entra ID erstellt und in Ihr lokales Verzeichnis zurückgeleitet werden
  • Eine der folgenden Rollen: Cloudanwendungsadministrator oder Anwendungsadministrator
  • Ein SSL-Webzertifikat für die Veröffentlichung von Diensten über HTTPS (alternativ können zum Testen die BIG-IP-Standardzertifikate verwendet werden)
  • Eine Kerberos-Anwendung oder lernen, SSO mit Internetinformationsdienste (IIS) unter Windows zu konfigurieren.

BIG-IP-Konfigurationsmethoden

In diesem Tutorial wird die Verwendung der Guided Configuration 16.1 mit Easy Button-Vorlage behandelt. Mit Easy Button müssen Administrator*innen nicht mehr zwischen Microsoft Entra ID und BIG-IP hin und her wechseln, um Dienste für SHA zu aktivieren. Bereitstellung und Richtlinienverwaltung erfolgen durch den APM-Assistenten für Guided Configuration und Microsoft Graph. Durch die Integration zwischen BIG-IP APM und Microsoft Entra ID wird sichergestellt, dass Anwendungen einen Identitätsverbund, Single Sign-On (SSO) und den bedingten Zugriff von Microsoft Entra unterstützen, wodurch sich der Verwaltungsaufwand reduziert.

Hinweis

Ersetzen Sie die Beispielzeichenfolgen oder -werte in diesem Artikel durch die Zeichenfolgen oder Werte für Ihre Umgebung.

Registrieren von „Easy Button“

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Ein Client oder Dienst wird von Microsoft Identity Platform als vertrauenswürdig eingestuft und kann dann auf Microsoft Graph zugreifen. Durch diese Aktion wird die Registrierung einer Mandanten-App erstellt, um den Easy Button-Zugriff auf Microsoft Graph zu autorisieren. Durch diese Berechtigungen pusht BIG-IP die Konfigurationen zum Einrichten einer Vertrauensstellung zwischen einer SAML-Dienstanbieterinstanz für eine veröffentlichte Anwendung und Microsoft Entra ID als SAML-Identitätsanbieter (IdP).

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen > Neue Registrierung.

  3. Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Zum Beispiel „F5 BIG-IP Easy Button“.

  4. Geben Sie an, wer die Anwendung verwenden darf >Nur Konten in diesem Organisationsverzeichnis.

  5. Wählen Sie Registrieren aus.

  6. Navigieren Sie zu API-Berechtigungen, und autorisieren Sie die folgenden Anwendungsberechtigungen für Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. Erteilen Sie die Administratoreinwilligung für Ihre Organisation.

  8. Generieren Sie unter Zertifikate & Geheimnisse einen neuen geheimen Clientschlüssel. Notieren Sie sich dieses Geheimnis.

  9. Wechseln Sie zu Übersicht, und notieren Sie sich die Client-ID und die Mandanten-ID.

Konfigurieren von „Easy Button“

Initiieren Sie die geführte APM-Konfiguration Guided Configuration, um die Vorlage Easy Button zu starten.

  1. Navigieren Sie zu Zugang > Geführte Konfiguration > Microsoft-Integration und wählen Sie Microsoft Entra-Anwendung aus.

  2. Überprüfen Sie die Konfigurationsschritte, und wählen Sie Weiter aus.

  3. Führen Sie die folgenden Schritte aus, um Ihre Anwendung zu veröffentlichen.

    Screenshot: Konfigurationsablauf für Guided Configuration.

Konfigurationseigenschaften

Auf der Registerkarte Konfigurationseigenschaften werden eine BIG-IP-Anwendungskonfiguration und ein neues SSO-Objekt erstellt. Im Abschnitt Details zum Azure-Dienstkonto kann der Client, den Sie zuvor in Ihrem Microsoft Entra-Mandanten registriert haben, als Anwendung dargestellt werden. Diese Einstellungen ermöglichen es einem BIG-IP-OAuth-Client, mit den von Ihnen manuell konfigurierten SSO-Eigenschaften einen SAML-Dienstanbieter in Ihrem Mandanten zu registrieren. Easy Button führt diese Aktion für jeden BIG-IP-Dienst durch, der veröffentlicht und für SHA aktiviert ist.

Bei einigen Einstellungen handelt es sich um globale Einstellungen, die zum Veröffentlichen weiterer Anwendungen wiederverwendet werden können. Dadurch verringern sich Bereitstellungszeit und -aufwand.

  1. Geben Sie einen eindeutigen Konfigurationsnamen an.
  2. Aktivieren Sie Single Sign-On (SSO) & HTTP-Header.
  3. Geben Sie die Werte für Mandanten-ID, Client-ID und den geheimen Clientschlüssel ein, die Sie beim Registrieren des Easy Button-Clients in Ihrem Mandanten notiert haben.
  4. Vergewissern Sie sich, dass BIG-IP eine Verbindung mit Ihrem Mandanten herstellen kann.
  5. Wählen Sie Weiter aus.

Dienstanbieter

Die Einstellungen für den Dienstanbieter sind die Eigenschaften für die SAML-SP-Instanz der durch SHA geschützten Anwendung.

  1. Geben Sie unter Host den öffentlichen vollqualifizierten Domänennamen (FQDN) der zu sichernden Anwendung ein.

  2. Geben Sie für Entitäts-ID den Bezeichner ein, den Microsoft Entra ID zum Identifizieren des SAML-Dienstanbieters verwendet, der ein Token anfordert.

    Screenshot der Host- und Entitäts-ID-Einträge für den Dienstanbieter.

Die optionalen Sicherheitseinstellungen geben an, ob ausgestellte SAML-Assertionen von Microsoft Entra ID verschlüsselt werden sollen. Das Verschlüsseln von Assertionen zwischen Microsoft Entra ID und dem BIG-IP APM erhöht die Sicherheit, dass Inhaltstoken nicht abgefangen und persönliche Daten oder Unternehmensdaten nicht kompromittiert werden können.

  1. Wählen Sie in der Liste Privater Schlüssel zum Entschlüsseln von Assertionen die Option Neu erstellen aus.

Screenshot: Option „Neu erstellen“ in den Sicherheitseinstellungen.

  1. Wählen Sie OK aus. Daraufhin wird das Dialogfeld SSL-Zertifikat und -Schlüssel importieren angezeigt.
  2. Wählen Sie PKCS 12 (IIS) aus, um Ihr Zertifikat und Ihren privaten Schlüssel zu importieren.
  3. Schließen Sie nach der Bereitstellung die Browserregisterkarte, um zur Hauptregisterkarte zurückzukehren.

Screenshot: Importtyp, Zertifikat- und Schlüsselname, Zertifikat- und Schlüsselquelle und Kennworteinträge.

  1. Aktivieren Sie das Kontrollkästchen Verschlüsselte Assertion aktivieren.
  2. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie Ihr Zertifikat in der Liste Privater Schlüssel zum Entschlüsseln von Assertionen aus. Dieser private Schlüssel ist für das Zertifikat, das BIG-IP APM zum Entschlüsseln von Microsoft Entra-Assertionen verwendet.
  3. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie Ihr Zertifikat in der Liste Zertifikat zum Entschlüsseln von Assertionen aus. BIG-IP lädt dieses Zertifikat in Microsoft Entra ID hoch, um die ausgestellten SAML-Assertionen zu verschlüsseln.

Screenshot: Einträge „Privater Schlüssel zum Entschlüsseln von Assertionen“ und „Zertifikate zum Entschlüsseln von Assertionen“.

Microsoft Entra ID

Dieser Abschnitt definiert die Eigenschaften zum manuellen Konfigurieren einer neuen BIG-IP-SAML-Anwendung in Ihrem Microsoft Entra-Mandanten. Easy Button verfügt über Anwendungsvorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP Enterprise Resource Planning (ERP) und eine SHA-Vorlage für andere Apps.

Wählen Sie in diesem Szenario die Optionen F5 BIG-IP APM Microsoft Entra ID-Integration > Hinzufügen aus.

Azure-Konfiguration

  1. Geben Sie einen Anzeigenamen für die App, die BIG-IP in Ihrem Microsoft Entra-Mandanten erstellt, und das Symbol ein, das im Portal „Meine Apps“ angezeigt wird.

  2. Lassen Sie das Feld Anmelde-URL (optional) leer, um die IdP-initiierte Anmeldung zu ermöglichen.

  3. Wählen Sie neben dem Signaturschlüssel und neben dem Signaturzertifikat das Symbol Aktualisieren aus, um das von Ihnen importierte Zertifikat zu suchen.

  4. Geben Sie unter Passphrase für Signaturschlüssel das Zertifikatkennwort ein.

  5. Aktivieren Sie Signaturoption (optional), um sicherzustellen, dass BIG-IP von Microsoft Entra ID signierte Token und Ansprüche akzeptiert.

    Screenshot: Einträge für Signaturschlüssel, Signaturzertifikat und Signaturschlüsselpassphrase im SAML-Signaturzertifikat.

  6. Benutzer*innen und Benutzergruppen werden von Ihrem Microsoft Entra-Mandanten dynamisch abgefragt und zum Autorisieren des Zugriffs auf die Anwendung verwendet. Fügen Sie zum Testen einen Benutzer oder eine Gruppe hinzu. Andernfalls wird der Zugriff verweigert.

    Screenshot: Option „Hinzufügen“ für Benutzer und Benutzergruppen.

Benutzerattribute und Ansprüche

Wenn Benutzer*innen sich bei Microsoft Entra ID authentifizieren, wird ein SAML-Token mit einem Standardsatz von Ansprüchen und Attributen ausgegeben, das den Benutzer bzw. die Benutzerin identifiziert. Auf der Registerkarte Benutzerattribute und Ansprüche werden die Standardansprüche angezeigt, die für die neue Anwendung ausgestellt werden sollen. Verwenden Sie diese, um weitere Ansprüche zu konfigurieren.

Die Infrastruktur basiert auf dem Domänensuffix „.com“, das intern und extern verwendet wird. Es sind keine weiteren Attribute erforderlich, um eine funktionale SSO-Implementierung für die eingeschränkte Kerberos-Delegierung (KCD) zu erreichen. Im Tutorial zur erweiterten Konfiguration finden Sie Szenarien für mehrere Domänen oder Benutzeranmeldungen mit alternativen Suffixen.

Screenshot: Benutzerattribute und -ansprüche.

Zusätzliche Benutzerattribute

Die Registerkarte Zusätzliche Benutzerattribute unterstützt verschiedene verteilte Systeme, die in anderen Verzeichnissen gespeicherte Attribute für die Sitzungserweiterung erfordern. Aus einer LDAP-Quelle (Lightweight Directory Access Protocol) abgerufene Attribute können als SSO-Header eingefügt werden, um den Zugriff anhand von Rollen, Partner-IDs usw. zu steuern.

Hinweis

Dieses Feature hängt nicht mit Microsoft Entra ID zusammen, sondern ist eine andere Quelle von Attributen.

Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff werden nach der Microsoft Entra-Vorabauthentifizierung erzwungen, um den Zugriff basierend auf Gerät, Anwendung, Standort und Risikosignalen zu steuern.

In der Ansicht Verfügbare Richtlinien werden Richtlinien für den bedingten Zugriff ohne benutzerbasierte Aktionen angezeigt.

In der Ansicht Ausgewählte Richtlinien werden Richtlinien für Cloud-Apps angezeigt. Auf Mandantenebene erzwungene Richtlinien können Sie nicht abwählen oder in die Liste der verfügbaren Richtlinien verschieben.

Gehen Sie wie folgt vor, um eine Richtlinie auszuwählen, die auf die zu veröffentlichende Anwendung angewendet werden soll:

  1. Wählen Sie in der Liste Verfügbare Richtlinien eine Richtlinie aus.
  2. Wählen Sie den Pfeil nach rechts aus, und verschieben Sie die Richtlinie in die Liste Ausgewählte Richtlinien.

Für ausgewählte Richtlinien muss entweder die Option Einschließen oder Ausschließen aktiviert sein. Wenn beide Optionen aktiviert sind, wird die ausgewählte Richtlinie nicht durchgesetzt.

Screenshot: Ausgeschlossene Richtlinien unter „Ausgewählte Richtlinien“ in der Richtlinie für bedingten Zugriff.

Hinweis

Die Richtlinienliste wird einmalig angezeigt, nachdem Sie zu dieser Registerkarte gewechselt sind. Sie können die Schaltfläche Aktualisieren verwenden, um den Assistenten manuell zum Abfragen Ihres Mandanten zu zwingen. Diese Schaltfläche wird jedoch erst nach der Bereitstellung der Anwendung angezeigt.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird, die auf Clientanforderungen für die Anwendung lauscht. Der empfangene Datenverkehr wird verarbeitet und anhand des APM-Profils ausgewertet, das dem virtuellen Server zugeordnet ist. Der Datenverkehr wird entsprechend der Richtlinie geleitet.

  1. Geben Sie eine Zieladresse ein, eine verfügbare IPv4-/IPv6-Adresse, die von BIG-IP zum Empfangen von Clientdatenverkehr verwendet werden kann. Es ist ein entsprechender DNS-Eintrag (Domänennamenserver) vorhanden, sodass Clients anstelle der Anwendung die externe URL Ihrer veröffentlichten BIG-IP-Anwendung in diese IP-Adresse auflösen können. Für Testzwecke ist die Verwendung des Localhost-DNS eines Test-PCs akzeptabel.

  2. Geben Sie als Dienstport Port „443“ für HTTPS ein.

  3. Aktivieren Sie Umleitungsport aktivieren, und geben Sie dann den Umleitungsport ein, der den eingehenden HTTP-Clientdatenverkehr an HTTPS umleitet.

  4. Mit dem Client-SSL-Profil wird der virtuelle Server für HTTPS aktiviert, sodass Clientverbindungen über Transport Layer Security (TLS) verschlüsselt werden. Wählen Sie das Client-SSL-Profil aus, das Sie zur Erfüllung der Voraussetzungen erstellt haben, oder übernehmen Sie zum Testen die Standardeinstellung.

    Screenshot: Zieladresse, Dienstport und allgemeine Einträge in den Eigenschaften des virtuellen Servers.

Pooleigenschaften

Auf der Registerkarte Anwendungspool werden die Dienste hinter einer BIG-IP-Instanz aufgeführt, dargestellt als Pool mit Anwendungsservern.

  1. Unter Pool auswählen können Sie einen neuen Pool erstellen oder einen vorhandenen Pool auswählen.

  2. Wählen Sie eine Lastenausgleichsmethode (z. B. „Round Robin“) aus.

  3. Wählen Sie unter Poolserver einen Serverknoten aus, oder geben Sie eine IP-Adresse und einen Port für den Back-End-Knoten an, der die headerbasierte Anwendung hostet.

    Screenshot: IP-Adresse/Knotenname und Porteinträge in den Pooleigenschaften.

Die Back-End-Anwendung wird an HTTP-Port 80 ausgeführt. Wenn Ihre Anwendung unter HTTPS ausgeführt wird, können Sie den Port auf „443“ festlegen.

Single Sign-On und HTTP-Header

Durch Aktivieren von SSO können Benutzer auf veröffentlichte BIG-IP-Dienste zugreifen, ohne Anmeldeinformationen eingeben zu müssen. Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO. Verwenden Sie im Rahmen dieser Anweisungen das von Ihnen erstellte Konto für die Kerberos-Delegierung.

Aktivieren Sie Kerberos und Erweiterte Einstellungen, und geben Sie Folgendes ein:

  • Quelle des Benutzernamens: Der bevorzugte Benutzername, der für Single Sign-On zwischengespeichert werden soll. Sie können eine Sitzungsvariable als Quelle der Benutzer-ID angeben, aber session.saml.last.identity funktioniert besser, weil darin der Microsoft Entra-Anspruch mit der angemeldeten Benutzer-ID enthalten ist.

  • Quelle des Benutzerbereichs: Erforderlich, wenn sich die Benutzerdomäne vom Kerberos-Bereich von BIG-IP unterscheidet. In diesem Fall enthält die APM-Sitzungsvariable die angemeldete Benutzerdomäne. Beispiel: session.saml.last.attr.name.domain

    Screenshot: Eintrag zur Quelle des Benutzernamens für Single Sign-On und HTTP-Header.

  • KDC: Die IP-Adresse eines Domänencontrollers oder der FQDN, wenn DNS konfiguriert und wirksam ist

  • UPN-Unterstützung: Aktivieren Sie diese Option, damit APM den Benutzerprinzipalnamen (User Principal Name, UPN) für Kerberos-Tickets verwendet.

  • SPN-Muster: Verwenden Sie „HTTP/%h“, um APM anzuweisen, den Hostheader der Clientanforderung zu verwenden und den Dienstprinzipalnamen (SPN, Server Principal Name) zu erstellen, für den ein Kerberos-Token angefordert wird.

  • Autorisierung senden: Deaktivieren Sie diese Option für Anwendungen, die eine Authentifizierung aushandeln, statt das Kerberos-Token in der ersten Anforderung zu erhalten. Zum Beispiel Tomcat.

    Screenshot: Einträge für die Konfiguration der SSO-Methode

Sitzungsverwaltung

Die Einstellungen für die Sitzungsverwaltung von BIG-IP definieren die Bedingungen, unter denen Benutzersitzungen beendet oder fortgesetzt werden, sowie Grenzwerte für Benutzer und IP-Adressen und die entsprechenden Benutzerinformationen. Im AskF5-Artikel K18390492: Security | BIG-IP APM Operations Guide finden Sie Einzelheiten zu den Einstellungen.

Nicht abgedeckt ist die Funktionalität für das einmalige Abmelden (Single Log-Out, SLO), die sicherstellt, dass Sitzungen zwischen IdP, BIG-IP und dem Benutzer-Agent nach der Benutzerabmeldung beendet werden. Wenn der Easy Button eine SAML-Anwendung in Ihrem Microsoft Entra-Mandanten instanziiert, wird die Abmelde-URL mit dem APM-SLO-Endpunkt aufgefüllt. Eine vom IdP initiierte Abmeldung im Microsoft Entra-Portal „Meine Apps“ beendet die Sitzung zwischen BIG-IP und einem Client.

Die SAML-Verbundmetadaten für die veröffentlichte Anwendung werden aus Ihrem Mandanten importiert, wodurch APM der SAML-Abmeldeendpunkt für Microsoft Entra ID bereitgestellt wird. Diese Aktion sorgt dafür, dass eine vom Dienstanbieter initiierte Abmeldung die Sitzung zwischen einem Client und Microsoft Entra ID beendet. Der APM muss wissen, wenn sich ein Benutzer von der Anwendung abmeldet.

Wenn das BIG-IP-Webtop-Portal auf veröffentlichte Anwendungen zugreift, wird eine Abmeldung vom APM so verarbeitet, dass der Microsoft Entra-Abmeldeendpunkt aufgerufen wird. In einem Szenario, in dem das Webtop-Portal von BIG-IP nicht verwendet wird, können die Benutzer*innen die APM-Instanz jedoch nicht anweisen, sie abzumelden. Selbst wenn sich Benutzer*innen von der Anwendung abmelden, ist dies für BIG-IP nicht erkennbar. Deshalb müssen Sie bei einer SP-initiierten Abmeldung sicherstellen, dass die Sitzungen sicher beendet werden. Sie können der Abmeldeschaltfläche Ihrer Anwendung eine SLO-Funktion hinzufügen, damit Ihr Client an den Microsoft Entra-SAML- oder BIG-IP-Abmeldeendpunkt umgeleitet wird.

Die URL für den SAML-Abmeldeendpunkt für Ihren Mandanten finden Sie unter App-Registrierungen > Endpunkte.

Wenn Sie die App nicht ändern können, sollte BIG-IP auf den Abmeldeaufruf der Anwendung lauschen und beim Erkennen der Anforderung das einmalige Abmelden auslösen. Weitere Informationen zu BIG-IP iRules finden Sie im Leitfaden zum einmaligen Abmelden von Oracle PeopleSoft. Weitere Informationen zur Verwendung von BIG-IP iRules finden Sie in den folgenden Artikeln:

Zusammenfassung

In diesem Abschnitt finden Sie eine Aufschlüsselung Ihrer Konfigurationen.

Wählen Sie Bereitstellen aus, um die Einstellungen zu committen, und vergewissern Sie sich, dass die Anwendung in der Mandantenliste mit Unternehmensanwendungen enthalten ist.

KCD-Konfigurationen

Damit BIG-IP APM Single Sign-On bei der Back-End-Anwendung im Namen von Benutzern durchführen kann, müssen Sie das Schlüsselverteilungscenter (Key Distribution Center, KCD) in der Zieldomäne konfigurieren. Zum Delegieren der Authentifizierung müssen Sie ein Domänendienstkonto für die BIG-IP APM-Instanz bereitstellen.

Überspringen Sie diesen Abschnitt, wenn Ihr APM-Dienstkonto und die Delegierung bereits eingerichtet sind. Melden Sie sich andernfalls mit einem Administratorkonto bei einem Domänencontroller an.

In diesem Szenario wird die Anwendung auf dem Server „APP-VM-01“ gehostet und im Kontext eines Dienstkontos mit dem Namen „web_svc_account“ und nicht im Kontext der Computeridentität ausgeführt. Das APM zugewiesene delegierende Dienstkonto ist F5-BIG-IP.

Erstellen eines BIG-IP APM-Delegationskontos

BIG-IP unterstützt keine gruppenverwalteten Dienstkonten (group Managed Service Accounts, gMSA). Daher müssen Sie für das APM-Dienstkonto ein Standardbenutzerkonto erstellen.

  1. Geben Sie den folgenden PowerShell-Befehl ein. Ersetzen Sie die Werte UserPrincipalName und SamAccountName durch Ihre Umgebungswerte. Aus Sicherheitsgründen sollten Sie einen dedizierten Dienstprinzipalnamen verwenden, der dem Hostheader der Anwendung entspricht.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName $HOST_SPN SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

    HOST_SPN = host/f5-big-ip.contoso.com@contoso.com

    Hinweis

    Wenn der Host verwendet wird, delegiert jede Anwendung, die auf dem Host ausgeführt wird, das Konto, während bei Verwendung von HTTPS nur Vorgänge im Zusammenhang mit dem HTTP-Protokoll zugelassen werden.

  2. Erstellen Sie einen Dienstprinzipalnamen (Service Principal Name, SPN) für das APM-Dienstkonto, das beim Delegieren an das Dienstkonto der Webanwendung verwendet werden soll:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{ Add="host/f5-big-ip.contoso.com" }

    Hinweis

    Es ist obligatorisch, den Host/Teil im Format UserPrincipleName (host/name.domain@domain) oder ServicePrincipleName (host/name.domain) einzuschließen.

  3. Bevor Sie den Ziel-SPN angeben, zeigen Sie dessen SPN-Konfiguration an. Stellen Sie sicher, dass der SPN für das APM-Dienstkonto angezeigt wird. Das APM-Dienstkonto delegiert für die Webanwendung:

    • Überprüfen Sie, ob Ihre Webanwendung im Computerkontext oder im Kontext eines dedizierten Dienstkontos ausgeführt wird.

    • Im Computer-Kontext verwenden Sie den folgenden Befehl, um das Kontoobjekt abzufragen und die definierten Benutzerprinzipalnamen anzuzeigen. Ersetzen Sie <name_of_account> durch das Konto für Ihre Umgebung.

      Get-ADComputer -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Beispiel: Get-User -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

    • Verwenden Sie für das dedizierte Dienstkonto den folgenden Befehl, um das Kontoobjekt abzufragen und die definierten Benutzerprinzipalnamen anzuzeigen. Ersetzen Sie <name_of_account> durch das Konto für Ihre Umgebung.

      Get-User -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

      Zum Beispiel:

      Get-Computer -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Wenn die Anwendung im Computerkontext ausgeführt wird, fügen Sie den SPN zum Objekt des Computerkontos hinzu.

    Set-Computer -Identity APP-VM-01 -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Nach der Definition der Dienstprinzipalnamen richten Sie eine Vertrauensstellung für den APM-Dienstkontodelegaten für diesen Dienst ein. Die Konfiguration hängt von der Topologie Ihrer BIG-IP-Instanz und Ihres Anwendungsservers ab.

Konfigurieren der BIG-IP-Instanz und der Zielanwendung in derselben Domäne

  1. Legen Sie die Vertrauensstellung für das APM-Dienstkonto fest, um die Authentifizierung zu delegieren:

    Get-User -Identity f5-big-ip | Set-AccountControl -TrustedToAuthForDelegation $true

  2. Das APM-Dienstkonto muss wissen, an welchen Ziel-Dienstprinzipalnamen delegiert werden kann. Legen Sie das Dienstkonto, mit dem Ihre Webanwendung ausgeführt wird, als Ziel-Dienstprinzipalnamen fest:

    Set-User -Identity f5-big-ip -Add @{ 'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com') }

    Hinweis

    Sie können diese Aufgaben über das MMC-Snap-In (Microsoft Management Console) „Benutzer und Computer“ auf einem Domänencontroller ausführen.

BIG-IP und Anwendung in verschiedenen Domänen

In der Windows Server 2012-Version und höher verwendet die domänenübergreifende KCD die ressourcenbasierte eingeschränkte Delegierung (Resource-Based Constrained Delegation, RCD). Die Beschränkungen für einen Dienst werden vom Domänenadministrator an den Dienstadministrator übertragen. Diese Delegierung ermöglicht es dem Administrator des Back-End-Diensts, SSO zuzulassen oder zu verweigern. Durch diese Situation ergibt sich ein anderer Ansatz bei der Konfigurationsdelegierung, der bei Verwendung von PowerShell möglich ist.

Sie können die Eigenschaft „PrincipalsAllowedToDelegateToAccount“ des Anwendungsdienstkontos (Computerkonto oder dediziertes Dienstkonto) verwenden, um die Delegierung von BIG-IP zu gewähren. Verwenden Sie in diesem Szenario den folgenden PowerShell-Befehl auf einem Domänencontroller (ab Windows Server 2012 R2) in derselben Domäne, in der sich auch die Anwendung befindet.

Verwenden Sie einen Dienstprinzipalnamen, der für das Dienstkonto einer Webanwendung definiert ist. Aus Sicherheitsgründen sollten Sie einen dedizierten Dienstprinzipalnamen verwenden, der dem Hostheader der Anwendung entspricht. Da der Hostheader der Webanwendung in diesem Beispiel myexpenses.contoso.com lautet, fügen Sie HTTP/myexpenses.contoso.com dem Dienstkontoobjekt der Anwendung hinzu:

Set-User -Identity web_svc_account -ServicePrincipalNames @{ Add="http/myexpenses.contoso.com" }

Beachten Sie für die folgenden Befehle den Kontext.

Verwenden Sie die folgenden Befehle, wenn der Dienst „web_svc_account“ im Kontext eines Benutzerkontos ausgeführt wird:

$big-ip= Get-Computer -Identity f5-big-ip -server dc.contoso.com

``Set-User -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount`

$big-ip Get-User web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Verwenden Sie die folgenden Befehle, wenn der Dienst „web_svc_account“ im Kontext eines Computerkontos ausgeführt wird:

$big-ip= Get-Computer -Identity f5-big-ip -server dc.contoso.com

Set-Computer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount

$big-ip Get-Computer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Weitere Informationen finden Sie unter Eingeschränkte Kerberos-Delegierung über Domänengrenzen hinweg.

App-Ansicht

Stellen Sie in einem Browser eine Verbindung mit der externen URL der Anwendung her, oder wählen Sie im Microsoft-Portal „Meine Apps“ das Symbol der Anwendung aus. Nach Sie sich bei Microsoft Entra ID authentifiziert haben, werden Sie zum virtuellen BIG-IP-Server für die Anwendung umgeleitet und per SSO angemeldet.

Screenshot: Externe URL der Anwendung

Um die Sicherheit zu erhöhen, können Organisationen, die dieses Muster verwenden, den direkten Zugriff auf die Anwendung blockieren und einen strikten Pfad über die BIG-IP erzwingen.

Microsoft Entra B2B-Gastzugriff

Microsoft Entra-B2B-Gastzugriff wird in diesem Szenario unterstützt, wobei Gastidentitäten von Ihrem Microsoft Entra-Mandanten an das Verzeichnis weitergeleitet werden, das von der Anwendung für die Autorisierung verwendet wird. Ohne lokale Darstellung eines Gastobjekts in AD kann BIG-IP kein Kerberos-Ticket für KCD-SSO bei der Back-End-Anwendung erhalten.

Erweiterte Bereitstellung

Die Guided Configuration-Vorlagen bieten möglicherweise nicht die Flexibilität, um einige Anforderungen zu erfüllen. Informationen zu diesen Szenarien finden Sie unter Erweiterte Konfiguration für Kerberos-basiertes SSO.

Alternativ können Sie in BIG-IP den strikten Verwaltungsmodus von Guided Configuration deaktivieren. Sie können Ihre Konfigurationen zwar manuell ändern, die meisten Ihrer Konfigurationen werden jedoch über die assistentenbasierten Vorlagen automatisiert.

Sie können zu Zugriff > Geführte Konfiguration navigieren und ganz rechts in der Zeile für Ihre Anwendungskonfigurationen das kleine Vorhängeschlosssymbol auswählen.

Screenshot der Vorhängeschlossoption.

An diesem Punkt sind keine Änderungen über die Benutzeroberfläche des Assistenten möglich, aber alle BIG-IP-Objekte, die der veröffentlichten Instanz der Anwendung zugeordnet sind, werden für die Verwaltung entsperrt.

Hinweis

Wenn Sie den Strict-Modus erneut aktivieren und eine Konfiguration bereitstellen, werden die außerhalb der Guided Configuration-Benutzeroberfläche vorgenommenen Einstellungen überschrieben. Daher empfehlen wir für Produktionsdienste die erweiterte Konfigurationsmethode.

Problembehandlung

Beachten Sie bei der Behandlung von Kerberos-SSO-Problemen die folgenden Aspekte.

  • Kerberos ist zeitabhängig und erfordert daher, dass Server und Clients auf die richtige Uhrzeit eingestellt sind und nach Möglichkeit mit einer zuverlässigen Zeitquelle synchronisiert werden.
  • Stellen Sie sicher, dass der Hostname für den Domänencontroller und die Webanwendung im DNS auflösbar ist.
  • Stellen Sie sicher, dass in Ihrer AD-Umgebung keine doppelten Dienstprinzipalnamen vorhanden sind. Führen Sie dazu auf einem Domänen-PC über die Befehlszeile die folgende Abfrage aus: setspn -q HTTP/my_target_SPN

Anhand unseres Leitfadens für den Anwendungsproxy können Sie überprüfen, ob eine IIS-Anwendung für KCD konfiguriert ist. Weitere Informationen finden Sie auch im AskF5-Artikel Kerberos Single Sign-On Method.

Protokollanalyse: Erhöhen der Ausführlichkeit

Mithilfe der BIG-IP-Protokollierung können Sie Probleme mit der Konnektivität, SSO, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen isolieren. Beginnen Sie mit der Problembehandlung, indem Sie den Ausführlichkeitsgrad des Protokolls erhöhen.

  1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht > Ereignisprotokolle > Einstellungen.
  2. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung aus, und wählen Sie dann Bearbeiten > Auf Systemprotokolle zugreifen aus.
  3. Wählen Sie in der SSO-Liste die Option Debuggen und anschließend OK aus.

Reproduzieren Sie Ihr Problem, und überprüfen Sie die Protokolle. Stellen Sie nach Abschluss des Vorgangs das Feature wieder her, da im ausführlichen Modus viele Daten generiert werden.

BIG-IP-Fehlerseite

Wenn nach der Microsoft Entra-Vorauthentifizierung ein BIG-IP-Fehler auftritt, bezieht sich das Problem möglicherweise auf den SSO-Vorgang von Microsoft Entra ID bei BIG-IP.

  1. Navigieren Sie zu Zugriff > Übersicht > Zugriff auf Berichte.
  2. Führen Sie den Bericht für die letzte Stunde aus, um in den Protokollen nach Hinweisen zu suchen.
  3. Verwenden Sie den Link Sitzungsvariablen anzeigen, um nachzuvollziehen, ob APM die erwarteten Ansprüche von Microsoft Entra ID empfängt.

Back-End-Anforderung

Wenn keine Fehlerseite angezeigt wird, hängt das Problem wahrscheinlich mit der Back-End-Anforderung oder dem Single Sign-On von BIG-IP bei der Anwendung zusammen.

  1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht > Aktive Sitzungen.
  2. Wählen Sie den Link für Ihre aktive Sitzung aus. Der hier vorhandene Link Variablen anzeigen kann auch zur Ermittlung der Grundursache von KCD-Problemen beitragen, insbesondere wenn BIG-IP APM nicht die richtigen Benutzer- und Domänenbezeichner aus den Sitzungsvariablen abrufen kann.

Weitere Informationen finden Sie unter: