Tutorial: Mengonfigurasi F5 BIG-IP Easy Button untuk Kerberos SSO

  • Artikel
  • 18 menit untuk membaca

Pada artikel ini, pelajari cara mengamankan aplikasi berbasis Kerberos menggunakan Microsoft Azure Active Directory (Azure AD), melalui konfigurasi terpandu BIG-IP Easy Button F5.

Mengintegrasikan BIG-IP dengan Azure Active Directory (Azure AD) memberikan banyak manfaat, termasuk:

Untuk mempelajari semua keuntungannya, lihat artikel tentang integrasi F5 BIG-IP dan Azure Active Directory dan apa itu akses aplikasi dan akses menyeluruh dengan Azure Active Directory.

Deskripsi skenario

Skenario ini melihat aplikasi lama klasik yang menggunakan otentikasi Kerberos, juga dikenal sebagai NTLM, untuk membuka akses ke konten yang dilindungi.

Berstatus warisan, aplikasi ini tidak memiliki protokol modern untuk mendukung integrasi langsung dengan Azure AD. Aplikasi ini dapat dimodernisasi, tetapi memerlukan banyak sumber daya, perencanaan yang matang, dan memiliki risiko terjadinya waktu henti. Sebagai gantinya, Application Delivery Controller (ADC) BIG-IP F5 digunakan untuk menjembatani celah antara aplikasi warisan dan panel kontrol ID modern, melalui transisi protokol.

Memiliki BIG-IP di depan aplikasi memungkinkan kami untuk melapisi layanan dengan pra-autentikasi Azure AD dan SSO berbasis header, secara signifikan meningkatkan postur keamanan aplikasi secara keseluruhan.

Catatan

Organisasi juga dapat memperoleh akses jarak jauh ke jenis aplikasi ini dengan Proksi Aplikasi Azure AD

Arsitektur skenario

Solusi SHA untuk skenario ini terdiri dari hal berikut ini:

Aplikasi: Layanan BIG-IP yang diterbitkan yang akan dilindungi dan SHA Azure AD. Host aplikasi ini bergabung dengan domain dan terintegrasi dengan Active Directory (AD).

Azure AD: Penyedia Identitas (IdP) SAML bertanggung jawab untuk verifikasi info masuk pengguna, Akses Bersyarat (CA), dan SSO berbasis SAML ke BIG-IP. Melalui SSO, Azure AD menyediakan BIG-IP dengan atribut sesi apa pun yang diperlukan.

KDC: Peran Key Distribution Center (KDC) pada Pengendali Domain (DC), mengeluarkan tiket Kerberos.

BIG-IP: Membalikkan proksi dan penyedia layanan (SP) SAML ke aplikasi, mendelegasikan autentikasi ke IdP SAML, sebelum melakukan SSO berbasis Kerberos ke aplikasi backend.

SHA untuk skenario ini mendukung alur yang dimulai SP dan IdP. Gambar berikut mengilustrasikan alur yang dimulai SP.

Scenario architecture

Langkah-langkah Deskripsi
1 Pengguna terhubung ke titik akhir aplikasi (BIG-IP)
2 Kebijakan akses APM BIG-IP mengalihkan pengguna ke Azure AD (SAML IdP)
3 Azure AD melakukan pra-autentikasi pada pengguna dan menerapkan kebijakan Akses Bersyarat yang berlaku
4 Pengguna diarahkan ke BIG-IP (SAML SP) dan SSO dilakukan menggunakan token SAML yang dikeluarkan
5 BIG-IP meminta tiket Kerberos dari KDC
6 BIG-IP mengirim permintaan untuk aplikasi backend, bersama dengan tiket Kerberos untuk SSO
7 Aplikasi mengotorisasi permintaan dan mengembalikan payload

Prasyarat

Pengalaman BIG-IP sebelumnya tidak diperlukan, namun Anda akan memerlukan:

  • Langganan gratis Microsoft Azure Active Directory atau yang lebih tinggi

  • BIG-IP lama atau sebarkan BIG-IP Virtual Edition (VE) di Azure

  • Salah satu lisensi BIG-IP F5 berikut

    • F5 BIG-IP® Bundel terbaik

    • Lisensi mandiri APM BIG-IP F5

    • Lisensi add-on APM BIG-IP F5 pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) yang ada

    • Fitur lengkap 90 hari BIG-IP lisensi uji coba.

  • Identitas pengguna disinkronkan dari direktori lokal ke Azure AD, atau dibuat langsung dalam Azure AD dan mengalir kembali ke direktori lokal Anda

  • Akun dengan izin admin Aplikasi Microsoft Azure AD

  • Sertifikat Web SSL untuk layanan penerbitan melalui HTTPS, atau gunakan sertifikat BIG-IP default saat pengujian

  • Aplikasi Kerberos yang sudah ada atau siapkan aplikasi IIS (Layanan Informasi Internet) untuk KCD SSO

Metode konfigurasi BIG-IP

Ada banyak metode untuk mengonfigurasi BIG-IP untuk skenario ini, termasuk dua opsi berbasis templat dan konfigurasi lanjutan. Tutorial ini mencakup Konfigurasi Terpandu 16.1 terbaru yang menawarkan template Easy Button. Dengan Easy Button, admin tidak perlu lagi bolak-balik antara Azure AD dan BIG-IP guna mengaktifkan layanan untuk SHA. Penyebaran dan pengelolaan kebijakan ditangani langsung antara wizard Konfigurasi Terpandu APM dan Microsoft Graph. Integrasi antara APM BIG-IP dan Azure AD yang kaya ini memastikan bahwa aplikasi dapat dengan cepat dan mudah mendukung penggabungan identitas, SSO, dan Akses Bersyarat Azure AD, sehingga mengurangi overhead administratif.

Catatan

Semua contoh string atau nilai yang dirujuk di seluruh panduan ini harus diganti dengan string yang ada di lingkungan Anda yang sebenarnya.

Mendaftarkan Easy Button

Sebelum klien atau layanan dapat mengakses Microsoft Graph, keduanya harus dipercaya oleh platform identitas Microsoft.

Langkah pertama ini menciptakan pendaftaran aplikasi penyewa yang akan digunakan untuk mengotorisasi akses Tombol Mudah ke Graph. Melalui izin ini, BIG-IP akan diizinkan untuk mendorong konfigurasi yang diperlukan untuk membangun kepercayaan antara instans SAML SP untuk aplikasi yang diterbitkan, dan Azure AD sebagai IdP SAML.

  1. Masuk ke portal Azure AD menggunakan akun dengan hak Administratif Aplikasi

  2. Dari panel navigasi kiri, pilih Layanan Microsoft Azure Active Directory

  3. Di bawah Kelola, pilih Pendaftaran aplikasi Pendaftaran baru

  4. Masukkan Nama tampilan aplikasi Anda. Misalnya, Easy Button BIG-IP F5

  5. Tentukan siapa yang dapat menggunakan aplikasi >>

  6. Pilih Daftar untuk menyelesaikan pendaftaran aplikasi awal

  7. Navigasikan ke Izin API dan otorisasi izin Aplikasi Microsoft Graph berikut:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grup.Baca.Semua
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • Pengguna.Baca.Semua

  8. Berikan persetujuan admin untuk organisasi Anda

  9. Di bilah Sertifikat Rahasia, buat rahasia klien baru dan catat

  10. Dari bilah Ringkasan, perhatikan ID Klien dan ID Penyewa

Mengonfigurasi Easy Button

Mulai Konfigurasi Terpandu APM untuk meluncurkan Template Tombol Mudah.

  1. Buka Akses Konfigurasi Terpandu > Microsoft Integration dan pilih >.

    Screenshot for Configure Easy Button- Install the template

  2. Tinjau daftar langkah-langkah konfigurasi dan pilih Berikutnya

    Screenshot for Configure Easy Button - List configuration steps

  3. Ikuti urutan langkah-langkah yang diperlukan untuk menerbitkan aplikasi Anda.

    Configuration steps flow

Properti Konfigurasi

Tab Properti Konfigurasi membuat konfigurasi aplikasi BIG-IP dan objek SSO. Pertimbangkan bagian Detail Akun Layanan Azure untuk mewakili klien yang Anda daftarkan di penyewa Azure AD sebelumnya, sebagai aplikasi. Pengaturan ini memungkinkan klien OAuth BIG-IP untuk mendaftarkan SAML SP secara individual langsung di penyewa Anda, bersama dengan properti SSO yang biasanya Anda konfigurasikan secara manual. Tombol Mudah melakukan ini untuk setiap layanan BIG-IP yang diterbitkan dan diaktifkan untuk SHA.

Beberapa di antaranya adalah pengaturan global yang dapat digunakan kembali untuk menerbitkan lebih banyak aplikasi, sehingga semakin mengurangi waktu dan upaya penyebaran.

  1. Berikan Nama Konfigurasi yang unik sehingga admin dapat dengan mudah membedakan antara konfigurasi Easy Button

  2. Aktifkan Akses Menyeluruh (SSO) Header HTTP

  3. Masukkan Id Penyewa, ID Klien, dan Rahasia Klien yang Anda catat saat mendaftarkan klien Tombol Mudah di penyewa Anda.

    Screenshot for Configuration General and Service Account properties

Sebelum Anda memilih Berikutnya, konfirmasi bahwa BIG-IP dapat berhasil terhubung ke penyewa Anda.

Penyedia Layanan

Pengaturan Penyedia Layanan menentukan properti untuk instans SAML SP dari aplikasi yang dilindungi melalui SHA.

  1. Masukkan Host. Ini adalah FQDN publik dari aplikasi yang diamankan

  2. Masukkan ID Entitas. Ini adalah pengidentifikasi yang akan digunakan Azure AD untuk mengidentifikasi SP SAML yang meminta token

    Screenshot for Service Provider settings

Pengaturan Keamanan opsional menentukan apakah Azure AD harus mengenkripsi pernyataan SAML yang diterbitkan. Mengenkripsi pernyataan antara Azure AD dan APM BIG-IP memberikan jaminan tambahan bahwa token konten tidak dapat disadap, dan data pribadi atau perusahaan dapat disusupi.

  1. Dari daftar Kunci Privat Dekripsi Pernyataan, pilih Buat Baru

Screenshot for Configure Easy Button- Create New import

  1. PilihOK. Ini membuka dialog Impor Sertifikat dan Kunci SSL di tab baru

  2. Pilih **PKCS 12 (IIS) ** untuk mengimpor sertifikat dan kunci privat Anda. Setelah diprovisikan tutup tab browser untuk kembali ke tab utama.

Screenshot for Configure Easy Button- Import new cert

  1. Memeriksa Aktifkan Pernyataan Terenkripsi

  2. Jika Anda telah mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Kunci Privat Dekripsi Pernyataan. Ini adalah kunci privat untuk sertifikat yang akan digunakan APM BIG-IP untuk mendekripsi pernyataan Azure AD

  3. Jika Anda telah mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Sertifikat Dekripsi Pernyataan. Ini adalah sertifikat yang akan diunggah BIG-IP ke Azure AD untuk mengenkripsi pernyataan SAML yang dikeluarkan.

Screenshot for Service Provider security settings

Azure Active Directory

Bagian ini menentukan semua properti yang biasanya Anda gunakan untuk mengonfigurasi aplikasi SAML BIG-IP baru secara manual dalam penyewa Azure AD Anda. Tombol Mudah menyediakan satu set template aplikasi yang telah ditentukan sebelumnya untuk Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP serta template SHA generik untuk aplikasi lainnya. Untuk skenario ini pilih Intergrasi Azure AD APM BIG-IP F5 > Tambahkan.

Screenshot for Azure configuration add BIG-IP application

Konfigurasi Azure

  1. Masukkan Nama Tampilan aplikasi yang dibuat oleh BIG-IP di penyewa Azure AD Anda, dan ikon yang akan dilihat pengguna di portal MyApps.

  2. Biarkan URL Masuk (opsional) tetap kosong untuk mengaktifkan aktivitas masuk yang dimulai IdP.

    Screenshot for Azure configuration add display info

  3. Pilih ikon refresh di samping Kunci Penandatanganan dan Sertifikat Penandatanganan untuk menemukan sertifikat yang Anda impor sebelumnya

  4. Masukkan kata sandi sertifikat di Frase Sandi Kunci Penandatanganan

  5. Aktifkan Opsi Penandatanganan (opsional). Ini memastikan bahwa BIG-IP hanya menerima token dan klaim yang ditandatangani oleh Azure AD

    Screenshot for Azure configuration - Add signing certificates info

  6. Grup Pengguna dan Pengguna secara dinamis dikueri dari penyewa Azure AD Anda dan digunakan untuk mengotorisasi akses ke aplikasi. Tambahkan pengguna atau grup yang dapat Anda gunakan nanti untuk pengujian, jika tidak, semua akses akan ditolak

    Screenshot for Azure configuration - Add users and groups

Atribut Pengguna & Klaim

Saat pengguna berhasil mengautentikasi ke Azure AD, Azure AD mengeluarkan token SAML dengan kumpulan klaim dan atribut default yang mengidentifikasi pengguna secara unik. Tab Atribut Klaim Pengguna menunjukkan klaim default yang akan dikeluarkan untuk aplikasi baru. Ini juga memungkinkan Anda mengonfigurasi lebih banyak klaim.

Karena infrastruktur AD kami didasarkan pada akhiran domain .com yang digunakan baik secara internal maupun eksternal, kami tidak memerlukan atribut tambahan apa pun untuk mencapai implementasi SSO KCD yang fungsional. Lihat tutorial tingkat lanjut untuk kasus di mana Anda memiliki beberapa domain atau akses masuk pengguna menggunakan akhiran alternatif.

Screenshot for user attributes and claims

Atribut Pengguna Tambahan

Tab Atribut Pengguna Tambahan dapat mendukung berbagai sistem terdistribusi yang memerlukan atribut yang disimpan di direktori lain, untuk augmentasi sesi. Atribut yang diambil dari sumber LDAP kemudian dapat dimasukkan sebagai header SSO tambahan untuk mengontrol akses lebih lanjut berdasarkan peran, ID Mitra, dll.

Screenshot for additional user attributes

Catatan

Fitur ini tidak memiliki korelasi dengan Azure AD, tetapi merupakan sumber atribut lain.

Kebijakan Akses Bersyarat

Kebijakan CA diberlakukan setelah pasca autentikasi Azure AD, untuk mengontrol akses berdasarkan perangkat, aplikasi, lokasi, dan sinyal risiko.

Tampilan Kebijakan yang Tersedia, secara default, akan mencantumkan semua kebijakan CA yang tidak menyertakan tindakan berbasis pengguna.

Secara default, daftar Kebijakan Terpilih menampilkan semua kebijakan yang menargetkan Semua aplikasi cloud. Kebijakan ini tidak dapat dibatalkan pilihannya atau dipindahkan ke daftar Kebijakan yang Tersedia karena diberlakukan pada tingkat penyewa.

Untuk memilih kebijakan yang akan diterapkan pada aplikasi yang diterbitkan:

  1. Pilih kebijakan yang diinginkan di daftar Kebijakan yang Tersedia
  2. Pilih panah kanan dan pindahkan ke daftar Kebijakan Terpilih

Kebijakan terpilih harus mencentang opsi Sertakan atau Kecualikan. Jika kedua opsi dicentang, kebijakan yang dipilih tidak diterapkan.

Screenshot for CA policies

Catatan

Daftar kebijakan disebutkan hanya sekali saat pertama kali beralih ke tab ini. Tombol refresh tersedia untuk memaksa wizard secara manual mengkueri penyewa Anda, tetapi tombol ini hanya ditampilkan saat aplikasi telah disebarkan.

Properti Server Virtual

Server virtual adalah objek data plane BIG-IP yang diwakili oleh alamat IP virtual yang mendengarkan permintaan klien ke aplikasi. Setiap lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM yang terkait dengan server virtual, sebelum diarahkan sesuai dengan hasil dan pengaturan kebijakan.

  1. Masukkan Alamat Tujuan. Ini adalah alamat IPv4/IPv6 yang tersedia yang dapat digunakan BIG-IP untuk menerima lalu lintas klien. Catatan yang sesuai juga harus ada di DNS, memungkinkan klien untuk menyelesaikan URL eksternal aplikasi BIG-IP Anda yang diterbitkan ke IP ini, alih-alih aplikasi itu sendiri. Menggunakan DNS localhost PC uji aman untuk pengujian.

  2. Masukkan Port Layanan sebagai 443 untuk HTTPS

  3. Centang Aktifkan Port Pengalihan lalu masukkan Port Pengalihan. Ini mengalihkan lalu lintas klien HTTP yang masuk ke HTTPS

  4. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui TLS. Pilih Profil SSL Klien yang Anda buat sebagai bagian dari prasyarat atau tinggalkan default saat pengujian

    Screenshot for Virtual server

Properti Kumpulan

Tab Kelompok Aplikasi merinci layanan di balik BIG-IP yang diwakili sebagai kumpulan, yang berisi satu atau beberapa aplikasi.

  1. Pilih dari Pilih Kumpulan. Buat kumpulan baru atau pilih yang sudah ada

  2. Pilih Metode Penyeimbang Beban sebagai Round Robin

  3. Untuk Kumpulan Server, pilih node server yang ada atau tentukan IP dan port untuk node backend yang menghosting aplikasi berbasis header

    Screenshot for Application pool

Aplikasi backend kami berjalan pada port HTTP 80. Anda dapat mengalihkan ini ke 443 jika aplikasi Anda berjalan di HTTPS.

Akses Menyeluruh & Header HTTP

Mengaktifkan SSO memungkinkan pengguna mengakses layanan yang diterbitkan BIG-IP tanpa harus memasukkan info masuk. Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO. Anda akan memerlukan akun delegasi Kerberos yang dibuat lebih awal untuk menyelesaikan langkah ini.

Aktifkan Kerberos dan Tampilkan Pengaturan Tingkat Lanjut untuk memasukkan hal berikut:

  • Sumber Nama Pengguna: Menentukan nama pengguna pilihan untuk cache untuk SSO. Anda dapat memberikan variabel sesi apa pun sebagai sumber ID pengguna, tetapi session.saml.last.identity cenderung bekerja paling baik karena memegang klaim Azure AD yang berisi ID pengguna yang masuk

  • Sumber Realm Pengguna: Diperlukan jika domain pengguna berbeda dengan realm kerberos BIG-IP. Dalam hal ini, variabel sesi APM akan berisi domain pengguna yang masuk. Misalnya, session.saml.last.attr.name.domain

    Screenshot for SSO and HTTP headers

  • KDC: IP dari Domain Controller (Atau FQDN jika DNS dikonfigurasi efisien)

  • Dukungan UPN: Aktifkan APM untuk menggunakan UPN untuk tiket kerberos

  • Pola SPN: Gunakan HTTP/%h untuk memberitahukan APM agar menggunakan header host dari permintaan klien dan membangun SPN yang meminta token Kerberos.

  • Kirim Otorisasi: Nonaktif untuk aplikasi yang memilih negosiasi autentikasi, bukan menerima token kerberos dalam permintaan pertama. Misalnya, Tomcat.

    Screenshot for SSO method configuration

Manajemen Sesi

Pengaturan pengelolaan sesi BIG-IP digunakan untuk menentukan kondisi saat sesi pengguna dihentikan atau diizinkan untuk dilanjutkan, batas untuk pengguna dan alamat IP, dan info pengguna terkait. Lihat dokumen F5 untuk detail tentang pengaturan ini.

Apa yang tidak tercakup di sini adalah fungsionalitas Keluar Tunggal (SLO), yang memastikan semua sesi antara IdP, BIG-IP, dan agen pengguna dihentikan setelah pengguna keluar. Saat Tombol Mudah membuat aplikasi SAML di penyewa Azure AD Anda, itu juga mengisi Url Keluar dengan titik akhir SLO APM. Dengan begitu IdP yang memulai proses keluar dari portal MyApps Azure AD juga mengakhiri sesi antara BIG-IP dan klien.

Seiring dengan ini metadata federasi SAML untuk aplikasi yang diterbitkan juga diimpor dari penyewa Anda, menyediakan APM dengan titik akhir keluar SAML untuk Azure AD. Ini memastikan keluar yang dimulai SP mengakhiri sesi antara klien dan Azure AD. Tetapi agar benar-benar efektif, APM perlu tahu persis kapan pengguna keluar dari aplikasi.

Jika portal webtop BIG-IP digunakan untuk mengakses aplikasi yang diterbitkan maka keluar dari sana akan diproses oleh APM untuk juga memanggil titik akhir keluar Azure AD. Tetapi pertimbangkan skenario di mana portal webtop BIG-IP tidak digunakan, lalu pengguna tidak memiliki cara untuk menginstruksikan APM untuk keluar. Bahkan jika pengguna keluar dari aplikasi itu sendiri, BIG-IP secara teknis tidak menyadari hal ini. Jadi untuk alasan ini, keluar yang dimulai SP perlu pertimbangan yang cermat untuk memastikan sesi dihentikan dengan aman ketika tidak lagi diperlukan. Salah satu cara untuk mencapai hal ini adalah dengan menambahkan fungsi SLO ke tombol keluar aplikasi Anda, sehingga dapat mengarahkan klien Anda ke titik akhir keluar Azure AD SAML atau BIG-IP. Titik akhir keluar URL untuk SAML untuk penyewa Anda dapat ditemukan di Titik Akhir > Pendaftaran Aplikasi.

Jika membuat perubahan pada aplikasi tidak dapat dilakukan, maka pertimbangkan untuk meminta BIG-IP mendengarkan panggilan keluar aplikasi, dan setelah mendeteksi permintaan itu memicu SLO. Lihat panduan SLO Oracle PeopleSoft kami untuk menggunakan irules BIG-IP untuk mencapai hal ini. Detail lebih lanjut tentang menggunakan BIG-IP iRules untuk mencapai ini tersedia di artikel pengetahuan F5 Mengonfigurasi penghentian sesi otomatis (keluar) berdasarkan nama file yang direferensikan URI dan Ringkasan opsi Sertakan URI Keluar.

Ringkasan

Langkah terakhir ini memberikan perincian konfigurasi Anda. Pilih Sebarkan untuk menerapkan semua pengaturan dan memverifikasi bahwa aplikasi telah ada di daftar penyewa aplikasi Enterprise.

Konfigurasi KCD Active Directory Domain Services

Agar APM BIG-IP melakukan SSO ke aplikasi backend atas nama pengguna, KCD harus dikonfigurasi dalam domain AD target. Mendelegasikan autentikasi juga mengharuskan APM BIG-IP disediakan dengan akun layanan domain.

Lewati bagian ini jika akun layanan dan delegasi APM Anda sudah disiapkan, jika tidak, masuk ke pengendali domain dengan akun admin.

Untuk skenario kami, aplikasi dihost di server APP-VM-01 dan berjalan dalam konteks akun layanan bernama web_svc_account, bukan identitas komputer. Akun layanan mendelegasikan yang ditugaskan ke APM akan disebut BIG-IP-F5.

Membuat akun delegasi APM BIG-IP

Karena BIG-IP tidak mendukung Akun Layanan Terkelola grup (gMSA), buat akun pengguna standar untuk digunakan sebagai akun layanan APM:

  1. Ganti nilai UserPrincipalName dan SamAccountName dengan nilai untuk lingkungan Anda.

    New-ADUser -Name "F5 BIG-IP Delegation Account" -UserPrincipalName host/f5-big-ip.contoso.com@contoso.com -SamAccountName "f5-big-ip" -PasswordNeverExpires $true -Enabled $true -AccountPassword (Read-Host -AsSecureString "Account Password")

  2. Buat Nama Prinsipal Layanan (SPN) untuk digunakan akun layanan APM saat melakukan delegasi ke akun layanan aplikasi web.

    Set-AdUser -Identity f5-big-ip -ServicePrincipalNames @{Add="host/f5-big-ip.contoso.com"}

  3. Pastikan SPN sekarang ditampilkan terhadap akun layanan APM.

    Get-ADUser -identity f5-big-ip -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  4. Sebelum menentukan target SPN yang harus didelegasikan oleh akun layanan APM untuk aplikasi web, Anda perlu melihat konfigurasi SPN yang ada. Periksa apakah aplikasi web Anda berjalan dalam konteks komputer atau akun layanan khusus. Selanjutnya, kueri objek akun tersebut di AD untuk melihat SPNs yang ditentukan. Ganti <name_of_account> dengan akun untuk lingkungan Anda.

    Get-ADUser -identity <name_of _account> -properties ServicePrincipalNames | Select-Object -ExpandProperty ServicePrincipalNames

  5. Anda dapat menggunakan SPN apa pun yang Anda lihat didefinisikan terhadap akun layanan aplikasi web, tetapi demi keamanan yang terbaik adalah menggunakan SPN khusus yang cocok dengan header host aplikasi. Misalnya, karena header host aplikasi web kami adalah myexpenses.contoso.com, kami akan menambahkan HTTP/myexpenses.contoso.com ke objek akun layanan aplikasi di AD.

    Set-AdUser -Identity web_svc_account -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

    Atau jika aplikasi berjalan dalam konteks komputer, kami akan menambahkan SPN ke objek akun komputer di AD.

    Set-ADComputer -Identity APP-VM-01 -ServicePrincipalNames @{Add="http/myexpenses.contoso.com"}

Dengan SPN yang ditetapkan, akun layanan APM sekarang perlu dipercaya untuk mendelegasikan ke layanan tersebut. Konfigurasi akan bervariasi tergantung pada topologi BIG-IP dan server aplikasi Anda.

Mengonfigurasi BIG-IP dan aplikasi target dalam domain yang sama

  1. Mengatur kepercayaan untuk akun layanan APM untuk mendelegasikan autentikasi

    Get-ADUser -Identity f5-big-ip | Set-ADAccountControl -TrustedToAuthForDelegation $true

  2. Akun layanan APM kemudian perlu mengetahui target SPN mana yang dipercaya untuk didelegasikan, Atau dengan kata lain layanan mana yang diizinkan untuk meminta tiket Kerberos. Tetapkan target SPN ke akun layanan yang menjalankan aplikasi web Anda.

    Set-ADUser -Identity f5-big-ip -Add @{'msDS-AllowedToDelegateTo'=@('HTTP/myexpenses.contoso.com')}

Jika diinginkan, Anda juga dapat menyelesaikan tugas-tugas ini melalui Pengguna Active Directory dan Komputer MMC (Microsoft Management Console) pada pengendali domain.

BIG-IP dan aplikasi dalam domain yang berbeda

Dimulai dengan Windows Server 2012, KCD lintas domain menggunakan delegasi terbatas berbasis Sumber Daya (RCD). Batasan untuk layanan telah ditransfer dari administrator domain ke administrator layanan. Hal ini memungkinkan administrator layanan back-end untuk mengizinkan atau menolak SSO. Ini juga memperkenalkan pendekatan yang berbeda pada delegasi konfigurasi, yang hanya mungkin menggunakan PowerShell atau ADSIEdit.

Properti PrincipalsAllowedToDelegateToAccount milik akun layanan aplikasi (komputer atau akun layanan khusus) dapat digunakan untuk memberikan delegasi dari BIG-IP. Untuk skenario ini, gunakan perintah PowerShell berikut pada Domain Controller DC (2012 R2+) dalam domain yang sama dengan aplikasi.

Jika layanan web_svc_account berjalan dalam konteks akun pengguna:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADUser -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADUser web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Jika layanan web_svc_account berjalan dalam konteks akun komputer:

$big-ip= Get-ADComputer -Identity f5-big-ip -server dc.contoso.com Set-ADComputer -Identity web_svc_account -PrincipalsAllowedToDelegateToAccount $big-ip Get-ADComputer web_svc_account -Properties PrincipalsAllowedToDelegateToAccount

Untuk informasi lebih lanjut, lihat Kerberos Constrained Delegation di seluruh domain.

Langkah berikutnya

Dari browser, sambungkan ke URL eksternal aplikasi atau pilih ikon aplikasi di portal Microsoft MyApps. Setelah mengautentikasi ke Azure AD, Anda akan diarahkan ke server virtual BIG-IP untuk aplikasi dan secara otomatis masuk melalui SSO.

Screenshot for App views

Untuk keamanan yang lebih baik, organisasi yang menggunakan pola ini juga dapat mempertimbangkan untuk memblokir semua akses langsung ke aplikasi, sehingga memaksa jalur yang ketat melalui BIG-IP.

Akses tamu Microsoft Azure AD B2B

Akses tamu Azure AD B2B didukung untuk skenario ini, dengan meminta identitas tamu mengalir turun dari penyewa Azure AD Anda ke direktori yang digunakan aplikasi untuk otorisasi. Tanpa representasi lokal dari objek tamu di AD, BIG-IP akan gagal menerima tiket kerberos untuk SSO KCD ke aplikasi backend.

Penyebaran tingkat lanjut

Mungkin ada kasus di mana templat Konfigurasi Terpandu tidak memiliki fleksibilitas untuk mencapai serangkaian persyaratan tertentu. Untuk skenario tersebut, lihat Konfigurasi Tingkat Lanjut untuk SSO berbasis kerberos.

Atau, BIG-IP memberi Anda opsi untuk menonaktifkan mode manajemen ketat Konfigurasi Terpandu. Ini memungkinkan Anda menyesuaikan konfigurasi secara manual, meskipun sebagian besar konfigurasi Anda bersifat otomatis melalui template berbasis wizard.

Anda dapat membuka Akses Konfigurasi Terpandu dan pilih ikon gembok kecil di baris paling kanan untuk konfigurasi aplikasi.

Screenshot for Configure Easy Button - Strict Management

Pada saat itu, perubahan melalui UI wizard tidak mungkin lagi, tetapi semua objek BIG-IP yang terkait dengan instans aplikasi yang diterbitkan akan dibuka kuncinya untuk pengelolaan langsung.

Catatan

Mengaktifkan kembali mode ketat dan menyebarkan konfigurasi akan menimpa pengaturan apa pun yang dijalankan di luar UI Konfigurasi Terpandu. Oleh karena itu kami menyarankan metode konfigurasi tingkat lanjut untuk layanan produksi.

Pemecahan Masalah

Kegagalan untuk mengakses aplikasi yang dilindungi SHA dapat disebabkan oleh sejumlah faktor. Jika pemecahan masalah SSO kerberos muncul, ketahui hal-hal berikut.

  • Kerberos sensitif terhadap waktu, sehingga mengharuskan server dan klien diatur ke waktu yang tepat dan jika memungkinkan disinkronkan ke sumber waktu yang dapat diandalkan

  • Pastikan nama host untuk pengendali domain dan aplikasi web dapat diselesaikan di DNS

  • Pastikan tidak ada SPN duplikat di lingkungan AD Anda dengan menjalankan kueri berikut di baris perintah pada PC domain: setspn -q HTTP/my_target_SPN

Anda dapat merujuk ke panduan Proxy Aplikasi kami untuk memvalidasi aplikasi IIS yang dikonfigurasi dengan tepat untuk KCD. Artikel F5 tentang bagaimana APM menangani Kerberos SSO juga merupakan sumber yang berharga.

Analisis log

Pengelogan BIG-IP dapat membantu dengan cepat mengisolasi segala macam masalah dengan konektivitas, SSO, pelanggaran kebijakan, atau pemetaan variabel yang salah dikonfigurasi. Mulai pemecahan masalah dengan meningkatkan tingkat verbositas log.

  1. Buka Kebijakan Akses Ringkasan > Log Peristiwa > Pengaturan

  2. Pilih baris untuk aplikasi Anda yang diterbitkan, lalu Edit Log Sistem Akses

  3. Pilih Debug dari daftar SSO, lalu pilih OK.

Reproduksi masalah Anda, kemudian periksa log-nya, tetapi ingat untuk mengembalikannya ketika selesai karena mode verbose menghasilkan banyak data.

Jika Anda melihat kesalahan bertanda BIG-IP segera setelah pra-autentikasi Azure AD berhasil, masalah ini kemungkinan berkaitan dengan SSO dari Azure Active Directory ke BIG-IP.masalah ini kemungkinan berkaitan dengan SSO dari Azure AD ke BIG-IP.

  1. Navigasikan ke laporan Akses Gambaran Umum > Mengakses

  2. Jalankan laporan selama satu jam terakhir untuk mengetahui apakah log memberikan petunjuk apa pun. Tautan Lihat variabel sesi untuk sesi Anda juga akan membantu memahami apakah APM menerima klaim yang diharapkan dari Azure Active Directory.

Jika Anda tidak melihat halaman kesalahan BIG-IP, masalahnya kemungkinan besar berkaitan dengan permintaan backend atau SSO dari BIG-IP ke aplikasi.

  1. Navigasikan ke Sesi Aktif Gambaran Umum > Kebijakan Akses

  2. Pilih tautan untuk sesi aktif Anda. Tautan Lihat Variabel di lokasi ini mungkin juga membantu menemukan akar penyebab masalah KCD, terutama jika APM BIG-IP gagal memperoleh pengidentifikasi pengguna dan domain yang tepat dari variabel sesi.

Lihat contoh penetapan variabel BIG-IP APM dan referensi variabel sesi F5 BIG-IP untuk info selengkapnya.