Tutorial: Mengonfigurasi Access Policy Manager BIG-IP F5 untuk autentikasi Kerberos

  • Artikel
  • 18 menit untuk membaca

Dalam tutorial ini, Anda akan belajar cara mengimplementasi Secure Hybrid Access (SHA) dengan akses menyeluruh (SSO) ke aplikasi Kerberos menggunakan konfigurasi lanjutan BIG-IP F5.

Mengaktifkan layanan BIG-IP yang diterbitkan untuk Azure Active Directory (Azure AD) SSO memberikan banyak manfaat, termasuk:

  • Meningkatkan tata kelola Zero Trust melalui pra-autentikasi Azure AD dan Akses Bersyarat

  • Akses menyeluruh (SSO) penuh antara Azure AD dan layanan yang diterbitkan BIG-IP.

  • Manajemen identitas dan akses dari sarana kontrol tunggal, portal Azure

Untuk mempelajari semua keuntungan, lihat Mengintegrasikan BIG-IP F5 dengan Azure Active Directory dan Apa itu akses menyeluruh pada Azure Active Directory?.

Deskripsi Skenario

Untuk skenario ini, Anda akan mengonfigurasi aplikasi lini bisnis penting untuk Autentikasi Kerberos, juga dikenal sebagai Autentikasi Windows Terintegrasi (NTLM).

Untuk mengintegrasikan aplikasi langsung dengan Azure AD, aplikasi perlu mendukung beberapa bentuk protokol berbasis federasi seperti Security Assertion Markup Language (SAML). Tetapi karena modernisasi aplikasi memperkenalkan potensi risiko downtime, ada opsi lain yang bisa dipilih.

Saat menggunakan Kerberos Constrained Delegation (KCD) untuk SSO, Anda dapat menggunakan Proksi Aplikasi Azure AD untuk mengakses aplikasi dari jarak jauh. Dalam pengaturan ini, Anda dapat mencapai transisi protokol yang diperlukan untuk menjembatani aplikasi warisan ke sarana kontrol identitas modern.

Pendekatan lain adalah dengan menggunakan Application Delivery Controller BIG-IP F5. Pendekatan ini memungkinkan overlay aplikasi dengan Azure AD pra-autentikasi dan SSO KCD. Pendekatan ini secara signifikan meningkatkan postur Zero Trust keseluruhan aplikasi.

Arsitektur skenario

Solusi SHA untuk skenario ini terdiri dari elemen-elemen berikut:

  • Aplikasi: Layanan berbasis Kerberos back-end yang diterbitkan secara eksternal oleh BIG-IP dan dilindungi oleh SHA.

  • BIG-IP: Fungsi proksi terbalik yang memungkinkan penerbitan aplikasi back-end. Access Policy Manager (APM) kemudian melakukan overlay aplikasi yang diterbitkan dengan fungsi SSO dan penyedia layanan (SP) SAML.

  • Azure AD: Identity provider (IdP) bertanggung jawab untuk memverifikasi kredensial pengguna, Akses Bersyarat Azure AD, dan SSO ke APM BIG-IP melalui SAML.

  • KDC: Peran Key Distribution Center pada pengendali domain (DC). Peran ini mengeluarkan tiket Kerberos.

Gambar berikut menggambarkan alur yang dimulai SP SAML untuk skenario ini, tetapi juga mendukung alur yang dimulai IdP.

Diagram of the scenario architecture.

Langkah Deskripsi
1 Pengguna terhubung ke titik akhir aplikasi (BIG-IP).
2 Kebijakan akses BIG-IP mengalihkan pengguna ke Azure AD (SAML IdP).
3 Azure AD mengautentikasi pengguna dan menerapkan kebijakan Akses Bersyarat yang berlaku.
4 Pengguna diarahkan ke BIG-IP (SAML SP), dan SSO dilakukan melalui token SAML yang dikeluarkan.
5 BIG-IP mengautentikasi pengguna dan meminta tiket Kerberos dari KDC.
6 BIG-IP mengirimkan permintaan ke aplikasi back-end, bersama dengan tiket Kerberos untuk SSO.
7 Aplikasi mengotorisasi permintaan dan mengembalikan payload.

Prasyarat

Pengalaman BIG-IP sebelumnya tidak diperlukan, tetapi Anda akan memerlukan:

  • Langganan gratis Azure AD atau langganan tingkat tinggi.

  • BIG-IP lama, atau sebarkan BIG-IP Virtual Edition di Azure.

  • Salah satu lisensi BIG-IP F5 berikut menawarkan:

    • Paket terbaik F5 BIG-IP

    • Lisensi mandiri APM BIG-IP F5

    • Lisensi add-on APM BIG-IP F5 pada BIG-IP Local Traffic Manager yang ada

    • Lisensi uji coba fitur lengkap BIG-IP 90 hari

  • Identitas pengguna disinkronkan dari direktori lokal ke Azure AD atau dibuat langsung dalam Azure AD dan mengalir kembali ke direktori lokal Anda.

  • Akun dengan izin Administrator Aplikasi Azure Active Directory.

  • Sertifikat server Web untuk layanan penerbitan melalui HTTPS atau gunakan sertifikat BIG-IP default saat pengujian.

  • Aplikasi Kerberos yang sudah ada atau siapkan aplikasi Internet Information Services (IIS) untuk KCD SSO.

Metode konfigurasi BIG-IP

Ada banyak metode untuk mengonfigurasi BIG-IP untuk skenario ini, termasuk dua opsi berbasis templat dan konfigurasi lanjutan. Artikel ini mencakup pendekatan lanjutan yang menyediakan cara yang lebih fleksibel dalam menerapkan SHA yang aman dengan membuat semua objek konfigurasi BIG-IP secara manual. Anda juga akan menggunakan pendekatan ini untuk skenario yang tidak tercakup oleh templat konfigurasi terpandu.

Catatan

Semua contoh untai (karakter) atau nilai dalam artikel ini harus diganti dengan untai (karakter)yang digunakan untuk lingkungan Anda yang sebenarnya.

Daftarkan BIG-IP F5 dalam Microsoft Azure AD

Sebelum BIG-IP dapat menyerahkan pra-autentikasi ke Microsoft Azure AD, aplikasi tersebut harus terdaftar di penyewa Anda. Ini adalah langkah pertama dalam membangun SSO antar kedua entitas. Ini tidak berbeda dengan membuat IdP mengetahui pihak yang mengandalkan SAML. Dalam hal ini, aplikasi yang Anda buat dari templat galeri BIG-IP F5 adalah pihak yang diandalkan yang mewakili SAML SP untuk aplikasi BIG-IP yang diterbitkan.

  1. Masuk ke portal Azure AD menggunakan akun dengan izin Administrator Aplikasi.

  2. Dari panel navigasi di sebelah kiri, pilih layanan Azure Active Directory.

  3. Di menu kiri, pilih aplikasi Enterprise. Panel Semua aplikasi membuka dan menampilkan daftar aplikasi di penyewa Azure AD Anda.

  4. Di panel Aplikasi perusahaan, pilih Aplikasi baru.

  5. Panel Jelajahi Galeri Azure Active Directory terbuka dan menampilkan ubin untuk platform cloud, aplikasi lokal, dan aplikasi unggulan. Aplikasi yang tercantum di bagian Aplikasi unggulan memiliki ikon yang menunjukkan jika aplikasi mendukung SSO federasi dan provisi.

    Cari F5 di galeri Azure, dan pilih integrasi Azure AD APM BIG-IP F5.

  6. Berikan nama untuk aplikasi baru untuk mengenali instans aplikasi. Pilih Tambah/Buat untuk menambahkannya ke penyewa Anda.

Mengaktifkan SSO ke BIG-IP F5

Selanjutnya, konfigurasikan pendaftaran BIG-IP untuk memenuhi token SAML yang diminta oleh APM BIG-IP:

  1. Di bagian Kelola di menu sebelah kiri, pilih Akses menyeluruh untuk membuka panel Akses menyeluruh untuk pengeditan.

  2. Pada halaman Pilih metode SSO, pilih SAML diikuti oleh Tidak, Saya akan menyimpannya nanti untuk melewati perintah.

  3. Di halaman panel Siapkan SSO dengan SAML, pilih ikon pena untuk mengedit Konfigurasi SAML Dasar. Buat pengeditan ini:

    1. Ganti nilai Pengidentifikasi yang telah ditentukan sebelumnya dengan URL untuk aplikasi yang diterbitkan BIG-IP Anda.

    2. Ganti nilai URL Balasan tetapi pertahankan jalur untuk titik akhir SAML SP aplikasi.

      Dalam konfigurasi ini, aliran SAML akan beroperasi dalam mode yang dimulai oleh IdP. Dalam mode tersebut, Azure AD mengeluarkan pernyataan SAML sebelum pengguna diarahkan ke titik akhir BIG-IP untuk aplikasi.

    3. Untuk menggunakan mode yang dimulai SP, isi URL Masuk dengan URL aplikasi.

    4. Untuk Url Logout, masukkan titik akhir keluar tunggal (SLO) BIG-IP APM, yang diawali dengan header host layanan yang sedang diterbitkan. Langkah ini memastikan bahwa sesi APM BIG-IP pengguna berakhir setelah pengguna keluar dari Azure AD.

    Screenshot for editing basic SAML configuration.

    Catatan

    Dari TMOS v16, titik akhir SAML SLO telah diubah menjadi /saml/sp/profile/redirect/slo.

  4. Pilih Simpan sebelum menutup panel konfigurasi SAML dan lompati perintah pengujian SSO.

  5. Catat properti bagian Atribut Pengguna & Klaim. Azure AD akan mengeluarkan properti ini kepada pengguna untuk autentikasi BIG-IP APM dan untuk SSO ke aplikasi back-end.

  6. Di bagian Sertifikat Penandatanganan SAML, pilih Unduh untuk menyimpan file XML Metadata Federasi ke komputer Anda.

    Screenshot that shows selections for editing a SAML signing certificate.

Sertifikat penandatanganan SAML yang dibuat oleh Azure AD memiliki masa pakai selama tiga tahun. Untuk informasi selengkapnya, lihat Mengelola sertifikat untuk SSO terfederasi.

Tetapkan pengguna dan grup

Secara default, Azure AD hanya akan memberikan token kepada pengguna yang telah diberi akses ke layanan. Untuk memberikan akses pengguna dan grup tertentu ke aplikasi:

  1. Pada panel Gambaran umum aplikasi BIG-IP F5, pilih Tetapkan Pengguna dan grup.

  2. Pilih +Tambahkan pengguna/grup.

    Screenshot that shows the button for assigning users and groups.

  3. Pilih pengguna dan grup, lalu pilih Tetapkan untuk menetapkannya ke aplikasi Anda.

Mengonfigurasikan Active Directory KCD

Agar APM BIG-IP melakukan SSO ke aplikasi backend atas nama pengguna, KCD harus dikonfigurasi dalam domain Active Directory target. Mendelegasikan autentikasi juga mengharuskan APM BIG-IP disediakan dengan akun layanan domain.

Untuk skenario dalam artikel ini, aplikasi dihost di server APP-VM-01 dan berjalan dalam konteks akun layanan bernama web_svc_account, bukan identitas komputer. Akun layanan pendelegasian yang menetapkan ke APM adalah BIG-IP-F5.

Membuat akun delegasi APM BIG-IP

Karena BIG-IP tidak mendukung akun layanan terkelola grup, buat akun pengguna standar untuk digunakan sebagai akun layanan APM:

  1. Masukkan perintah PowerShell berikut ini. Ganti nilai UserPrincipalName dan SamAccountName dengan nilai untuk lingkungan Anda.

    New-ADUser -Name "F5 BIG-IP Delegation Account" UserPrincipalName host/f5-big-ip.contoso.com@contoso.com SamAccountName "f5-big-ip" -PasswordNeverExpires $true Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

  2. Buat nama prinsipal layanan (SPN) untuk digunakan akun layanan APM saat Anda melakukan delegasi ke akun layanan aplikasi web:

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @Add="host/f5-big-ip.contoso.com"}

  3. Pastikan SPN sekarang ditampilkan terhadap akun layanan APM:

    Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Sebelum Anda menentukan SPN target yang harus didelegasikan oleh akun layanan APM untuk aplikasi web, lihat konfigurasi SPN yang ada:

    1. Periksa apakah aplikasi web Anda berjalan dalam konteks komputer atau akun layanan khusus.

    2. Gunakan perintah berikut untuk mengkuerikan objek akun di Active Directory untuk melihat SPN yang ditentukan. Ganti <name_of_account> dengan akun untuk lingkungan Anda.

      Get-ADUser -identity <name_of_account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  5. Anda dapat menggunakan SPN apa pun yang Anda lihat didefinisikan terhadap akun layanan aplikasi web. Tetapi demi keamanan, yang terbaik adalah menggunakan SPN khusus yang cocok dengan header host aplikasi.

    Misalnya, karena header host aplikasi web kami dalam contoh ini adalah myexpenses.contoso.com, kami akan menambahkan HTTP/myexpenses.contoso.com ke objek akun layanan aplikasi di Active Directory:

    Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

    Atau jika aplikasi berjalan dalam konteks mesin, Anda akan menambahkan SPN ke objek akun komputer di Active Directory:

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Dengan SPN yang ditentukan, Anda sekarang perlu membangun kepercayaan untuk delegasi akun layanan APM ke layanan tersebut. Konfigurasi akan bervariasi bergantung pada topologi instans BIG-IP dan server aplikasi Anda.

Mengonfigurasi BIG-IP dan aplikasi target dalam domain yang sama

  1. Mengatur kepercayaan untuk akun layanan APM untuk mendelegasikan autentikasi:

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. Akun layanan APM kemudian perlu mengetahui SPN target mana yang dipercaya untuk didelegasikan. Dengan kata lain, akun layanan APM perlu mengetahui layanan mana yang diizinkan untuk meminta tiket Kerberos. Tetapkan SPN target ke akun layanan yang menjalankan aplikasi web Anda:

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

Jika diinginkan, Anda juga dapat menyelesaikan tugas tersebut melalui snap-in Pengguna dan Komputer Active Directory Microsoft Management Console (MMC) pada pengendali domain.

Mengonfigurasi BIG-IP dan aplikasi target dalam domain yang berbeda

Dimulai dengan Windows Server 2012, KCD lintas domain menggunakan delegasi terbatas berbasis sumber daya. Batasan untuk layanan telah ditransfer dari administrator domain ke administrator layanan. Delegasi ini memungkinkan administrator layanan back-end untuk mengizinkan atau menolak SSO. Ini juga memperkenalkan pendekatan yang berbeda pada delegasi konfigurasi, yang hanya mungkin jika Anda menggunakan PowerShell atau ADSI Edit.

Anda dapat menggunakan properti PrincipalsAllowedToDelegateToAccount akun layanan aplikasi (komputer atau akun layanan khusus) untuk memberikan delegasi dari BIG-IP. Untuk skenario ini, gunakan perintah PowerShell berikut pada pengendali domain (Windows Server 2012 R2 atau lebih baru) dalam domain yang sama dengan aplikasi.

Jika layanan web_svc_account berjalan dalam konteks akun pengguna, gunakan perintah ini:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Jika layanan web_svc_account berjalan dalam konteks akun komputer, gunakan perintah ini:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Untuk informasi lebih lanjut, lihat Kerberos Constrained Delegation di seluruh domain.

Konfigurasi lanjutan BIG-IP

Sekarang Anda dapat melanjutkan dengan menyiapkan konfigurasi BIG-IP.

Mengonfigurasi pengaturan penyedia layanan SAML

Pengaturan penyedia layanan SAML menentukan properti SP SAML yang akan digunakan APM untuk overlay aplikasi lama dengan pra-autentikasi SAML. Untuk mengonfigurasinya:

  1. Dari browser, masuk ke konsol manajemen BIG-IP F5.

  2. Pilih Akses>Federasi>Penyedia Layanan SAML>Layanan SP Lokal>Buat.

    Screenshot that shows the button for creating a local SAML service provider service.

  3. Berikan nilai Nama dan ID Entitas yang Anda simpan saat Anda mengonfigurasi SSO untuk Azure AD sebelumnya.

    Screenshot that shows name and entity I D values entered for a new SAML service provider service.

  4. Anda tidak perlu menentukan Pengaturan Nama SP jika ID entitas SAML cocok dengan URL untuk aplikasi yang diterbitkan.

    Misalnya, jika ID entitas adalah urn:myexpenses:contosoonline, Anda perlu menyediakan nilai Skema dan Host sebagai https dan myexpenses.contoso.com. Tetapi jika ID entitas adalah https://myexpenses.contoso.com, Anda tidak perlu memberikan informasi ini.

Mengonfigurasi konektor IdP eksternal

Konektor IdP SAML mendefinisikan pengaturan yang diperlukan bagi APM BIG-IP untuk mempercayai Azure Active Directory sebagai IdP SAML-nya. Pengaturan ini akan memetakan SAML SP ke IDP SAML, membangun kepercayaan federasi antara APM dan Azure AD. Untuk mengonfigurasi konektor:

  1. Gulir ke bawah untuk memilih objek SAML SP baru, lalu pilih Ikat/Lepas Konektor IdP.

    Screenshot that shows the button for binding or unbinding identity provider connectors.

  2. Pilih Buat Konektor IdP Baru>Dari Metadata.

    Screenshot that shows selections for creating new identity provider connector from metadata.

  3. Telusuri ke file XML metadata federasi yang Anda unduh sebelumnya dan berikan nilai Nama Penyedia Identitas untuk objek APM yang akan mewakili IdP SAML eksternal. Contoh berikut menunjukkan MyExpenses_AzureAD.

    Screenshot that shows example values for the federation metadata X M L file and the identity provider name.

  4. Pilih Tambahkan Baris Baru untuk memilih nilai Konektor IdP SAMLbaru, lalu pilih Perbarui.

    Screenshot that shows selections for choosing a new identity provider connector.

  5. Pilih OK untuk menyimpan pengaturan.

Mengonfigurasi Kerberos SSO

Di bagian ini, Anda membuat objek SSO APM untuk melakukan KCD SSO untuk aplikasi back-end. Untuk menyelesaikan langkah ini, Anda akan memerlukan akun delegasi APM yang telah dibuat sebelumnya.

Pilih Akses>Akses Menyeluruh>Kerberos>Buat dan berikan informasi berikut:

  • Nama: Anda dapat menggunakan nama deskriptif. Setelah Anda membuatnya, aplikasi lain yang diterbitkan juga dapat menggunakan objek Kerberos SSO APM. Misalnya, Contoso_KCD_sso dapat digunakan untuk beberapa aplikasi yang diterbitkan untuk seluruh domain Contoso. Tetapi MyExpenses_KCD_sso dapat digunakan hanya untuk satu aplikasi.

  • Sumber Nama Pengguna: Menentukan sumber ID pengguna yang lebih dipilih. Anda dapat menentukan variabel sesi APM sebagai sumbernya, tetapi session.saml.last.identity biasanya yang terbaik karena berisi ID pengguna yang masuk yang berasal dari klaim Azure AD.

  • Sumber Realm Pengguna: Sumber ini diperlukan dalam skenario di mana domain pengguna berbeda dengan realm Kerberos yang akan digunakan untuk KCD. Jika pengguna berada dalam domain tepercaya terpisah, Anda membuat APM mengetahui dengan menentukan variabel sesi APM yang berisi domain pengguna yang masuk. Misalnya session.saml.last.attr.name.domain. Anda juga akan melakukan ini dalam skenario di mana UPN pengguna didasarkan pada akhiran alternatif.

  • Kerberos Realm: Masukkan akhiran domain pengguna dalam huruf besar.

  • KDC: Masukkan alamat IP pengendali domain. (Atau masukkan nama domain yang sepenuhnya memenuhi syarat jika DNS dikonfigurasi dan efisien.)

  • Dukungan UPN: Pilih kotak centang ini jika sumber nama pengguna tertentu dalam format UPN, misalnya jika menggunakan variabel session.saml.last.identity.

  • Nama Akun dan Kata Sandi Akun: Berikan kredensial akun layanan APM untuk melakukan KCD.

  • Pola SPN: Jika Anda menggunakan HTTP/%h, APM kemudian menggunakan header host dari permintaan klien untuk membangun SPN yang meminta token Kerberos.

  • Kirim Otorisasi: Nonaktifkan opsi ini untuk aplikasi yang memilih autentikasi negosiasi, daripada menerima token Kerberos dalam permintaan pertama (misalnya, Tomcat).

Screenshot that shows selections for configuring Kerberos single sign-on.

Anda dapat membiarkan KDC tidak terdefinisi jika realm pengguna berbeda dengan realm server back-end. Aturan ini juga berlaku untuk skenario realm multi-domain. Jika Anda membiarkan KDC tidak terdefinisi, BIG-IP akan mencoba menemukan realm Kerberos melalui pencarian DNS catatan SRV untuk domain server back-end. Jadi semestinya nama domain sama dengan nama realm. Jika nama domain berbeda dari nama ranah, itu harus ditentukan dalam file /etc/krb5.conf.

Pemrosesan Kerberos SSO paling cepat terjadi ketika KDC ditentukan oleh alamat IP. Pemrosesan Kerberos SSO lebih lambat terjadi ketika KDC ditentukan oleh nama host. Karena kueri DNS tambahan, pemrosesan bahkan jauh lebih lambat ketika KDC dibiarkan tidak terdefinisi. Untuk alasan ini, Anda harus memastikan DNS Anda berkinerja optimal sebelum memindahkan bukti konsep (POC) ke dalam produksi.

Catatan

Jika server back-end berada di beberapa realm, Anda harus membuat objek konfigurasi SSO terpisah untuk setiap realm.

Anda dapat menyuntikkan header sebagai bagian dari permintaan SSO ke aplikasi back-end. Cukup ubah pengaturan Properti Umum dari Dasar hingga Lanjutan.

Untuk informasi lebih lanjut tentang mengonfigurasi APM untuk KCD SSO, lihat artikel F5 tentang Gambaran Umum delegasi Kerberos yang dibatasi.

Mengonfigurasi profil akses

Profil akses mengikat banyak elemen APM yang mengelola akses ke server virtual BIG-IP. Elemen-elemen ini termasuk kebijakan akses, konfigurasi SSO, dan pengaturan UI.

  1. Pilih Akses>Profil/Kebijakan>Profil Akses (Kebijakan Per Sesi) >Buat, lalu berikan properti umum ini:

    • Nama: Misalnya, masukkan MyExpenses.

    • Jenis Profil: Pilih Semua.

    • Konfigurasi SSO: Pilih objek konfigurasi KCD SSO yang baru saja Anda buat.

    • Bahasa yang Diterima: Tambahkan minimal satu bahasa.

    Screenshot that shows selections for creating an access profile.

  2. Pilih Edit untuk profil per sesi yang baru saja Anda buat.

    Screenshot that shows the button for editing a per-session profile.

  3. Ketika editor kebijakan visual terbuka, pilih tanda tambah (+) di sebelah fallback.

    Screenshot that shows the plus sign next to fallback.

  4. Di dialog pop-up, pilih Autentikasi>SAML Auth>Tambahkan Item.

    Screenshot that shows selections for adding a SAML authentication item.

  5. Untuk konfigurasi SP autentikasi SAML, atur opsi AAA Server untuk menggunakan objek SP SAML yang Anda buat sebelumnya.

    Screenshot that shows the list box for configuring an A A A server.

  6. Pilih tautan di kotak Tolak atas untuk mengubah cabang Berhasil menjadi Izinkan, lalu pilih Simpan.

    Screenshot that shows changing the successful branch to Allow.

Mengonfigurasi pemetaan atribut

Meskipun ini bersifat opsional, menambahkan konfigurasi LogonID_Mapping memungkinkan daftar sesi aktif BIG-IP menampilkan UPN pengguna yang masuk, bukan nomor sesi. Informasi ini berguna saat Anda menganalisis log atau pemecahan masalah.

  1. Pilih simbol + untuk cabang SAML Auth Berhasil.

  2. Di dialog pop-up, pilih Tugas>Tetapkan Variabel>Tambahkan Item.

    Screenshot that shows the option for assigning custom variables.

  3. Masukkan Nama.

  4. Pada panel Tetapkan Variabel, pilih Tambahkan entri baru>ubah. Contoh berikut menunjukkan LogonID_Mapping dalam kotak Nama.

    Screenshot that shows selections for adding an entry for variable assignment.

  5. Atur kedua variabel:

    • Variabel Kustom; Masukkan session.logon.last.username.
    • Variabel Sesi: Masukkan session.saml.last.identity.

  6. Pilih Selesai>Simpan.

  7. Pilih terminal Tolak dari cabang Berhasil kebijakan akses dan ubah menjadi Izinkan. Lalu pilih Simpan.

  8. Terapkan pengaturan tersebut dengan memilih Terapkan Kebijakan Akses, lalu tutup editor kebijakan visual.

    Screenshot of the button for applying an access policy.

Mengonfigurasi kumpulan back-end

Agar BIG-IP mengetahui ke mana harus meneruskan lalu lintas klien, Anda perlu membuat objek node BIG-IP yang mewakili server ujung-belakang yang menghosting aplikasi Anda. Kemudian, tempatkan node tersebut di kumpulan server BIG-IP.

  1. Pilih Lalu Lintas Lokal>Kumpulan>Daftar Kumpulan>Buat dan berikan nama untuk objek kumpulan server. Misalnya, masukkan MyApps_VMs.

    Screenshot that shows selections for creatng an advanced back-end pool.

  2. Tambahkan objek anggota kumpulan dengan detail sumber daya berikutt:

    • Nama Node: Nama tampilan opsional untuk server yang menghosting aplikasi web back-end.
    • Alamat: Alamat IP server yang menghosting aplikasi.
    • Port Layanan: Port HTTP/S yang didengarkan aplikasi.

    Screenshot that shows entries for adding a pool member object.

Catatan

Pemantauan kesehatan memerlukan konfigurasi tambahan yang tidak dibahas dalam artikel ini.

Mengonfigurasi server virtual

Server virtual adalah objek data plane BIG-IP yang diwakili oleh alamat IP virtual yang mendengarkan permintaan klien ke aplikasi. Setiap lalu lintas yang diterima diproses dan dievaluasi terhadap profil akses APM yang terkait dengan server virtual, sebelum diarahkan sesuai dengan hasil dan pengaturan kebijakan.

Untuk mengonfigurasi server virtual:

  1. Pilih Lalu Lintas Lokal>Server Virtual>Daftar Server Virtual>Buat.

  2. Berikan server virtual dengan nilai Nama dan alamat IPv4/IPv6 yang belum dialokasikan untuk objek BIG-IP yang ada atau perangkat pada jaringan yang terhubung. Alamat IP akan dikhususkan untuk menerima lalu lintas klien untuk aplikasi back-end yang diterbitkan. Kemudian tetapkan Port Layanan ke 443.

    Screenshot that shows selections and entries for configuring a virtual server.

  3. Tetapkan Profil HTTP (Klien) menjadi http.

  4. Aktifkan server virtual untuk Keamanan Lapisan Transportasi yang memungkinkan layanan dipublikasikan melalui HTTPS. Untuk Profil SSL (Klien), pilih profil yang Anda buat sebagai bagian dari prasyarat. (Atau biarkan default jika Anda sedang melakukan pengujian.)

    Screenshot that shows selections for H T T P profile and S S L profile for the client.

  5. Ubah Terjemahan Alamat Sumber menjadi Peta Otomatis.

    Screenshot to change source address translation

  6. Di bawah Kebijakan Akses, atur Profil Akses berdasarkan profil yang Anda buat sebelumnya. Langkah ini mengikat profil pra-autentikasi Azure AD SAML dan kebijakan KCD SSO ke server virtual.

    Screenshot that shows the box for setting an access profile for an access policy.

  7. Atur Kumpulan Default untuk menggunakan objek kumpulan back-end yang Anda buat di bagian sebelumnya. Lalu pilih Selesai.

    Screenshot that shows selecting a default pool.

Mengonfigurasi pengaturan manajemen sesi

Pengaturan manajemen sesi BIG-IP menentukan kondisi ketika sesi pengguna dihentikan atau diizinkan untuk melanjutkan, membatasi pengguna serta alamat IP, dan halaman kesalahan. Anda dapat membuat kebijakan sendiri di sini. Buka Kebijakan Akses >Profil Akses>Profil Akses dan pilih aplikasi Anda dari daftar.

Jika Anda menetapkan URI Keluar Tunggal di Azure AD, tindakan ini akan memastikan proses keluar yang dimulai IdP dari portal MyApps juga mengakhiri sesi antara klien dengan APM BIG-IP. Setelah mengimpor federasi aplikasi, XML metadata kemudian menyediakan APM dengan titik akhir logout SAML Azure AD untuk aktivitas keluar yang dimulai SP. Tetapi agar ini benar-benar efektif, APM perlu tahu persis kapan pengguna keluar.

Pertimbangkan skenario di mana portal web BIG-IP tidak digunakan. Pengguna tidak memiliki cara untuk menginstruksikan APM agar keluar. Meskipun pengguna keluar dari aplikasi itu sendiri, BIG-IP secara teknis tidak menyadari hal ini, sehingga sesi aplikasi dapat dengan mudah dipulihkan melalui SSO. Untuk alasan ini, aktivitas keluar yang dimulai SP memerlukan pertimbangan yang cermat untuk memastikan sesi dihentikan dengan aman ketika tidak lagi diperlukan.

Salah satu cara untuk mencapai hal ini adalah dengan menambahkan fungsi SLO ke tombol keluar pada aplikasi Anda. Fungsi ini dapat mengarahkan klien Anda ke titik akhir keluar SAML Azure AD. Anda dapat menemukan titik akhir keluar SAML ini di Registrasi Aplikasi>Titik Akhir.

Jika Anda tidak dapat mengubah aplikasi, pertimbangkan untuk mendengarkan BIG-IP untuk panggilan keluar aplikasi. Saat mendeteksi permintaan, ini akan memicu SLO.

Untuk informasi selengkapnya, lihat artikel F5 ini tentang Mengonfigurasi penghentian sesi otomatis (logout) berdasarkan nama file yang direferensikan URI dan Gambaran Umum opsi Sertakan Logout URI.

Ringkasan

Aplikasi Anda sekarang akan diterbitkan dan dapat diakses melalui SHA, baik secara langsung melalui URL-nya atau melalui portal aplikasi Microsoft. Aplikasi ini juga harus dilihat sebagai sumber daya target di Azure AD Conditional Access.

Untuk meningkatkan keamanan, organisasi yang menggunakan pola ini juga dapat mempertimbangkan untuk memblokir semua akses langsung ke aplikasi. Memblokir semua akses langsung akan memaksa jalur yang ketat melalui BIG-IP.

Langkah berikutnya

Sebagai pengguna, buka browser dan sambungkan ke URL eksternal aplikasi. Anda juga dapat memilih ikon aplikasi dari portal Microsoft MyApps. Setelah Anda mengautentikasi terhadap penyewa Azure AD, Anda akan diarahkan ke titik akhir BIG-IP untuk aplikasi dan secara otomatis masuk melalui SSO.

Screenshot of the an example application's website.

Akses tamu Microsoft Azure AD B2B

SHA juga mendukung akses tamu Microsoft Azure AD B2B. Identitas tamu disinkronkan dari penyewa Microsoft Azure AD Anda ke domain Kerberos target Anda. Penting untuk memiliki representasi lokal objek tamu bagi BIG-IP untuk melakukan KCD SSO ke aplikasi back-end.

Pecahkan masalah

Mungkin ada banyak alasan atas kegagalan untuk mengakses aplikasi yang dilindungi SHA, termasuk kesalahan konfigurasi. Pertimbangkan poin-poin berikut saat memecahkan masalah apa pun:

  • Kerberos sensitif terhadap waktu. Sehingga mengharuskan server dan klien diatur ke waktu yang tepat dan jika memungkinkan, disinkronkan ke sumber waktu yang dapat diandalkan.

  • Pastikan nama host untuk pengendali domain dan aplikasi web dapat diselesaikan di DNS.

  • Pastikan tidak ada SPN duplikat di lingkungan Anda dengan menjalankan kueri berikut di baris perintah: setspn -q HTTP/my_target_SPN.

Catatan

Untuk memvalidasi bahwa aplikasi IIS dikonfigurasi dengan tepat untuk KCD, lihat Memecahkan Masalah konfigurasi delegasi Kerberos yang dibatasi untuk Proksi Aplikasi. Artikel F5 tentang bagaimana APM menangani Kerberos SSO juga merupakan sumber yang berharga.

Masalah Autentikasi dan SSO

Log BIG-IP adalah sumber informasi yang dapat diandalkan. Untuk meningkatkan tingkat verbositas log:

  1. Buka Kebijakan Akses>Ringkasan>Log Peristiwa>Pengaturan.

  2. Pilih baris untuk aplikasi yang Anda terbitkan. Kemudian, pilih Edit>Access Log Sistem.

  3. Pilih Debug dari daftar SSO, lalu pilih OK. Anda sekarang dapat merekonstruksi masalah sebelum melihat log tetapi ingat untuk menggantinya kembali setelah selesai.

Jika Anda melihat kesalahan bermerek BIG-IP segera setelah pra-autentikasi Azure AD berhasil, mungkin masalah tersebut terkait dengan SSO dari Azure AD ke BIG-IP. Untuk mengetahui:

  1. Buka Akses>Gambaran Umum>Akses laporan.

  2. Jalankan laporan selama satu jam terakhir untuk mengetahui apakah log memberikan petunjuk apa pun. Tautan Lihat variabel sesi untuk sesi Anda juga akan membantu memahami apakah APM menerima klaim yang diharapkan dari Azure AD.

Jika Anda tidak melihat halaman kesalahan BIG-IP, kemungkinan besar masalahnya berkaitan dengan permintaan back-end atau SSO dari BIG-IP ke aplikasi. Untuk mengetahui:

  1. Buka Kebijakan Akses>Ringkasan>Sesi Aktif.

  2. Pilih tautan untuk sesi aktif Anda. Tautan Lihat Variabel di lokasi ini mungkin juga membantu Anda menentukan akar penyebab masalah KCD, terutama jika APM BIG-IP gagal memperoleh pengidentifikasi pengguna dan domain yang tepat.

Untuk bantuan mendiagnosis masalah terkait KCD, lihat panduan penyebaran F5 BIG-IP Mengonfigurasi Delegasi Terkendala Kerberos.

Sumber Daya Tambahan: