- Artikel
- 14Minuten Lesedauer
In diesem Artikel erfahren Sie, wie Sie sicheren Hybridzugriff (Secure Hybrid Access, SHA) mit einmaligem Anmelden (Single Sign-On, SSO) für headerbasierte Anwendungen mithilfe der erweiterten BIG-IP-Konfiguration von F5 implementieren.
Das Konfigurieren veröffentlichter BIG-IP-Anwendungen in AzureAD bietet zahlreiche Vorteile:
Verbesserte Zero Trust-Governance durch die Vorauthentifizierung in AzureAD und bedingten Zugriff
Vollständiges einmaliges Anmelden (Single Sign-On, SSO) zwischen Azure AD und veröffentlichten BIG-IP-Diensten
Verwalten der Identitäten und des Zugriffs über eine zentrale Steuerungsebene: das Azure-Portal
Informationen zu allen Vorteilen finden Sie im Abschnitt F5-BIG-IP- und Azure-AD-Integration und Was bedeutet ein anwendungsbasierter Zugriff und einmaliges Anmelden bei Azure AD.
Beschreibung des Szenarios
In diesem Szenario verwenden wir eine Legacyanwendung, die HTTP-Autorisierungsheader verwendet, um den Zugriff auf geschützte Inhalte zu steuern.
Im Idealfall sollte der Anwendungszugriff direkt von AzureAD verwaltet werden. Da es sich aber um eine Legacyanwendung handelt, steht kein modernes Authentifizierungsprotokoll zur Verfügung. Die Modernisierung wäre mit erheblichem Arbeits- und Zeitaufwand verbunden und würde unvermeidbare Kosten und potenzielle Downtime nach sich ziehen. Stattdessen wird eine zwischen dem öffentlichen Internet und der internen Anwendung bereitgestellte BIG-IP-Instanz verwendet, um den eingehenden Zugriff auf die Anwendung zu steuern.
Mit einer BIG-IP-Instanz vor der Anwendung können wir den Dienst mit AzureAD-Vorauthentifizierung und headerbasiertem einmaligem Anmelden überlagern und so die Gesamtsicherheit der Anwendung erheblich verbessern.
Szenarioarchitektur
Die sichere Hybridzugriffslösung für dieses Szenario besteht aus den folgenden Komponenten:
Anwendung: Veröffentlichter BIG-IP-Dienst, der durch SHA von AzureAD geschützt werden soll.
AzureAD: SAML-IdP (Security Assertion Markup Language, Identity Provider), der für die Überprüfung der Benutzeranmeldeinformationen, für den bedingten Zugriff (Conditional Access, CA) und für das einmalige Anmelden (Single Sign-On, SSO) bei BIG-IP zuständig ist. Über SSO werden BIG-IP von AzureAD alle erforderlichen Sitzungsattribute zur Verfügung gestellt– einschließlich Benutzer-IDs.
BIG-IP: Reverse Proxy und SAML Service Provider (SP) für die Anwendung, wobei die Authentifizierung an den SAML IdP delegiert wird, bevor ein headerbasiertes einmaliges Anmelden für die Backend-Anwendung durchgeführt wird.
| Schritt | BESCHREIBUNG |
|---|---|
| 1. | Der Benutzer stellt eine Verbindung mit dem SAML-Dienstanbieterendpunkt (BIG-IP) der Anwendung her. |
| 2. | Die BIG-IPAPM-Zugriffsrichtlinie leitet den Benutzer zu AzureAD (SAML-Identitätsanbieter) um. |
| 3. | AzureAD führt die Vorauthentifizierung des Benutzers durch und wendet ggf. erzwungene ZS-Richtlinien an. |
| 4. | Der Benutzer wird zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das einmalige Anmelden wird unter Verwendung des ausgestellten SAML-Tokens durchgeführt. |
| 5. | BIG-IP fügt AzureAD-Attribute als Header in die Anforderung für die Anwendung ein. |
| 6. | Die Anwendung autorisiert die Anforderung und gibt Nutzdaten zurück. |
Voraussetzungen
Vorherige Erfahrungen mit BIG-IP sind nicht erforderlich, aber Sie benötigen:
Eine kostenloses Abonnement (oder höher) von AzureAD
Eine vorhandene BIG-IP-Adresse oder Bereitstellen einer BIG-IP Virtual Edition (VE) in Azure
Eine der folgenden F5BIG-IP-Lizenz-SKUs
F5BIG-IP® Best Bundle
Eigenständige Lizenz für F5BIG-IP Access Policy Manager™ (APM)
Add-On-Lizenz für F5BIG-IP Access Policy Manager™ (APM) für eine bereits vorhandene Instanz von F5BIG-IP® Local Traffic Manager™ (LTM)
90-Tage-Testlizenz für sämtliche Features von BIG-IP
Benutzeridentitäten, die aus dem lokalen Verzeichnis mit AzureAD synchronisiert wurden
Ein Konto mit den Berechtigungen eines AzureAD-Anwendungsadministrators
SSL-Zertifikat zum Veröffentlichen von Diensten über HTTPS oder Verwenden von Standardzertifikaten für Testzwecke
Eine vorhandene headerbasierte Anwendung oder Einrichten einer IIS-Head-App für Testzwecke
BIG-IP-Konfigurationsmethoden
Es gibt viele Methoden, BIG-IP für dieses Szenario zu konfigurieren, darunter zwei vorlagenbasierte Optionen und eine erweiterte Konfiguration. In diesem Artikel wird der fortgeschrittene Ansatz behandelt, der eine flexiblere Methode zur Implementierung von SHA bietet, indem alle BIG-IP-Konfigurationsobjekte manuell erstellt werden. Dieser Ansatz kann auch für Szenarien verwendet werden, die nicht von den Vorlagen für die geführte Konfiguration abgedeckt sind.
Hinweis
Alle Beispielzeichenfolgen oder -werte in diesem Artikel müssen durch Angaben aus Ihrer tatsächlichen Umgebung ersetzt werden.
Hinzufügen von F5BIG-IP aus dem AzureAD-Anwendungskatalog
Das Einrichten einer SAML-Verbundvertrauensstellung zwischen BIG-IP APM und Azure AD ist einer der ersten Schritte bei der Implementierung von SHA. Es legt die Integration fest, die für BIG-IP erforderlich ist, um die Vorab-Authentifizierung und bedingten Zugriff an Azure AD zu übergeben, bevor Zugriff auf den veröffentlichten Dienst gewährt wird.
Melden Sie sich mit einem Konto mit Administratorrechten für die Anwendung beim Azure-Portal an.
Wählen Sie im linken Navigationsbereich den Dienst Azure Active Directory aus.
Navigieren Sie zu Unternehmensanwendungen, und wählen Sie auf dem oberen Menüband + Neue Anwendung aus.
Suchen Sie im Katalog nach F5, und wählen Sie die AzureAD-Integration für F5BIG-IP APM aus.
Geben Sie einen Namen für die Anwendung an, und wählen Sie dann Hinzufügen/Erstellen aus, um sie Ihrem Mandanten hinzuzufügen. Der Name sollte den jeweiligen Dienst widerspiegeln,
Konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) von Azure AD
Navigieren Sie in der Ansicht der Eigenschaften der neuen F5-Anwendung zu Manage>Single sign-on (Verwalten > Einmaliges Anmelden).
Wählen Sie auf der Seite Methode für einmaliges Anmelden auswählen die Option SAML aus und überspringen Sie die Aufforderung zum Speichern der Einstellungen für einmaliges Anmelden, indem Sie Nein, ich speichere es später auswählen.
Wählen Sie im Menü Einmaliges Anmelden (SSO) mit SAML einrichten das Stiftsymbol für Grundlegende SAML-Konfiguration aus, um die folgenden Informationen anzugeben:
See AlsoBIG-IP Cloud Edition Solution GuideConfigure F5 BIG-IP Access Policy Manager for Kerberos authentication - Microsoft Entraa. Ersetzen Sie die vordefinierte Bezeichner-URL durch die URL für Ihren veröffentlichten BIG-IP-Dienst. Zum Beispiel,
https://mytravel.contoso.comb. Gehen Sie mit der Antwort-URL genauso vor, aber geben Sie den Pfad für den SAML-Endpunkt von APM an. Zum Beispiel,
https://mytravel.contoso.com/saml/sp/profile/post/acsHinweis
In dieser Konfiguration würde der SAML-Fluss im IdP-initiierten Modus arbeiten, in dem Azure AD dem Benutzer eine SAML-Assertion ausstellt, bevor er an den BIG-IP-Serviceendpunkt für die Anwendung weitergeleitet wird. Big-IP APM unterstützt sowohl den IdP- als auch den SP-initiierten Modus.
c. Geben Sie für
Logout URIden SLO-Endpunkt (Single Logout, einmaliges Abmelden) des BIG-IP APM ein, der durch den Hostheader des veröffentlichten Diensts vorangestellt wird. Durch die Bereitstellung eines SLO-URI wird sichergestellt, dass die BIG-IP-APM-Sitzung des Benutzers beendet wurde, nachdem er sich von Azure AD abgemeldet hat. Zum Beispiel,https://mytravel.contoso.com/saml/sp/profile/redirect/slr
Hinweis
Von TMOS v16 wurde der SAML-SLO-Endpunkt in
/saml/sp/profile/redirect/slogeändert.Wählen Sie vor dem Beenden der SAML-Konfigurations-Karte Speichern aus und überspringen Sie die SSO-Testaufforderung.
Wählen Sie das Stiftsymbol aus, um Benutzerattribute & Ansprüche > + Neuen Anspruch hinzufügen zu bearbeiten.
Legen Sie die Anspruchseigenschaften wie folgt fest, und wählen Sie dann Speichern aus.
Eigenschaft BESCHREIBUNG Name Employeeid Quellattribut user.employeeid Wählen Sie + Gruppenanspruch hinzufügen und dann der Anwendung zugewiesene Gruppen>Quellattribut>sAMAccountName (sAMAKontoname) aus.
Speichern Sie die Konfiguration und schließen Sie die Karte.
Beachten Sie die Eigenschaften des Abschnitts Benutzerattribute & Ansprüche. Azure AD gibt Benutzern diese Eigenschaften für die BIG-IP-APM-Authentifizierung und das einmalige Anmelden für die Back-End-Anwendung aus:
Sie können auch andere spezifische Ansprüche hinzufügen, die Ihre veröffentlichte BIG-IP-Anwendung möglicherweise als Header erwartet. Ansprüche, die zusätzlich zum Standardsatz definiert werden, werden nur ausgegeben, wenn sie in Azure AD vorhanden sind. Ebenso müssen Mitgliedschaften von Rollen oder Gruppen im Verzeichnis auch für ein Benutzerobjekt in AzureAD definiert werden, bevor sie als Anspruch ausgestellt werden können.
Wählen Sie im Abschnitt SAML-Signaturzertifikat die Schaltfläche Downloadaus, um die Datei Verbund-XML-Metadaten auf Ihrem Computer zu speichern.
Von Azure AD erstellte SAML-Signaturzertifikate haben eine Lebensdauer von 3 Jahren und sollten mithilfe des veröffentlichten Leitfadens verwaltet werden.
AzureAD-Autorisierung
Standardmäßig gibt AzureAD nur Token für Benutzer aus, denen der Zugriff auf eine Anwendung gewährt wurde.
Wählen Sie in der Konfigurationsansicht der Anwendung die Option Benutzer und Gruppen aus.
Wählen Sie +Benutzer hinzufügen und anschließend auf dem Blatt Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
Fügen Sie im Dialogfeld Benutzer und Gruppen die Gruppen von Benutzern hinzu, die für den Zugriff auf die interne headerbasierte Anwendung autorisiert sind. Wählen Sie danach Auswählen>Zuweisen aus.
Damit ist der Teil der SAML-Verbundvertrauensstellung in AzureAD abgeschlossen. Der BIG-IP APM kann nun so eingerichtet werden, dass die interne Webanwendung veröffentlicht und mit den entsprechenden Eigenschaften konfiguriert wird, um die Vertrauensstellung für die SAML-Vorabauthentifizierung abzuschließen.
Erweiterte Konfiguration
SAML-Konfiguration
In den folgenden Schritten werden der BIG-IP-SAML-Dienstanbieter und die entsprechenden SAML-IdP-Objekte erstellt, die zum Abschließen des Verbunds der veröffentlichten Anwendung mit Azure AD erforderlich sind.
Wählen Sie Access>Federation>SAML Service Provider>Local SP Services>Create aus.
Geben Sie einen Namen und genau dieselbe Entitäts-ID an, die in Azure AD zuvor definiert wurde.
Die Einstellungen für den SP-Namen sind nur erforderlich, wenn die Entitäts-ID nicht exakt mit dem Teil des Hostnamens der veröffentlichten URL übereinstimmt oder wenn kein reguläres Format für die Hostnamen-URL verwendet wird. Geben Sie das externe Schema und den Hostnamen der zu veröffentlichenden Anwendung an, wenn die Entitäts-ID
urn:mytravel:contosoonlineist.Scrollen Sie nach unten zum neuen SAML-SP-Objekt und wählen Sie IDP-Connectors binden/trennen (Bind/UnBind IDP Connectors) aus.
Wählen Sie Create New IDP Connector (Neuen IDP-Connector erstellen) und dann im Dropdownmenü den Eintrag From Metadata (Aus Metadaten) aus.
Navigieren Sie zur XML-Datei der Verbundmetadaten, die Sie zuvor heruntergeladen haben, und geben Sie für das APM-Objekt, das den externen SAML-IdP darstellt, einen Identitätsanbieternamen (Identity Provider Name) an. Zum Beispiel,
MyTravel_AzureADWählen Sie Neue Zeile hinzufügen aus, um den neuen SAML IdP-Connectorund dann Update auszuwählen.
Wählen Sie OK, um die Einstellungen zu speichern.
Konfiguration der Header-SSO
Erstellen Sie ein APM-SSO-Objekt zum Durchführen des einmaligen Anmeldens von Headern für die Back-End-Anwendung.
Wählen Sie Zugriff>Zugriffsprofile/Richtlinien>pro Anforderungsrichtlinien>Erstellen aus.
Geben Sie einen eindeutigen Profilnamen an, fügen Sie unter Akzeptierte Sprache mindestens eine Sprache hinzu, und wählen Sie dann Fertigstellen aus. Beispiel: SSO_Headers
Wählen Sie den Link Bearbeiten für die neue Richtlinie pro Anforderung aus, die Sie soeben erstellt haben.
Nachdem der Editor für visuelle Richtlinien gestartet wurde, wählen Sie das Symbol + neben dem Fallback aus.
Wechseln Sie im Popup-Fenster zur Registerkarte Universell, um HTTP-Header>Element hinzufügen auszuwählen.
Wählen Sie Neuen Eintrag hinzufügen aus, um drei separate Einträge HTTP-Header-Änderung zu erstellen, indem Sie Folgendes verwenden:
(Video) Create An Excel Delivery Application With Mobile App Sync, Scheduler & Dashboard [FREE DOWNLOAD]Eigenschaft Beschreibung Headername upn Headerwert %{session.saml.last.identity} Headername employeeid Headerwert %{session.saml.last.attr.name.employeeid} Headername group_authz Headerwert %{session.saml.last.attr.name. http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}Hinweis
Bei APM-Sitzungsvariablen, die in geschweiften Klammern definiert sind, wird zwischen Groß- und Kleinschreibung unterschieden. So führt die Eingabe „EmployeeID“ zu einem Attributs-Zuordnungsfehler, wenn der AzureAD-Attributsname als „employeeid“ gesendet wird. Sofern nicht erforderlich, wird empfohlen, alle Attribute in Kleinbuchstaben zu definieren.
Wählen Sie anschließend Speichern aus und schließen Sie den Editor für visuelle Richtlinien.
Konfigurieren von Zugriffsprofilen
Ein Zugriffsprofil bindet viele APM-Elemente, die den Zugriff auf virtuelle BIG-IP-Server verwalten, einschließlich Zugriffsrichtlinien, SSO-Konfiguration und Benutzeroberflächeneinstellungen.
Navigieren Sie zu Zugriff>Zugriffsprofile / Richtlinien>Zugriffsprofile (Pro-Sitzungs-Richtlinien)>Erstellen aus, um die folgenden Informationen anzugeben, und wählen Sie anschließend Fertiggestellt aus:
Eigenschaft BESCHREIBUNG Name MyTravel Profiltyp Alle Akzeptierte Sprache Fügen Sie mindestens eine Sprache hinzu Wählen Sie den Link Bearbeiten für das Pro-Sitzungs-Profil aus, das Sie gerade erstellt haben.
Nachdem der Editor für visuelle Richtlinien gestartet wurde, wählen Sie das Symbol + neben dem Fallback aus.
Wählen Sie im Popup Authentifizierung>SAML-Authentifizierung>Element hinzufügen (Add item) aus.
Wählen Sie für die Konfiguration des SAML-Authentifizierungs-SP die Option AAA-Server, um das zuvor von Ihnen erstellte SAML-SP-Objekt zu verwenden, und wählen Sie dann Speichern aus.
Attributzuordnung
Das Hinzufügen einer LogonID_Mapping-Konfiguration ist zwar optional, ermöglicht aber, dass in der BIG-IP-Liste der aktiven Sitzungen der UPN des angemeldeten Benutzers anstelle einer Sitzungsnummer angezeigt wird Dies ist nützlich für die Analyse von Protokollen oder die Problembehandlung.
Wählen Sie das Symbol + für die Verzweigung SAML Auth Successful (SAML-Authentifizierung erfolgreich) aus.
Wählen Sie im Popupfenster Zuweisung>Variable zuweisen>Element hinzufügen aus.
Geben Sie einen beschreibenden Namen an und wählen Sie im Abschnitt Variable zuweisen die Option Neuen Eintrag hinzufügen>ändern aus. Beispiel: LogonID_Mapping.
Legen Sie die beiden Variablen so fest, dass Folgendes verwendet wird, und wählen Sie dann Fertiggestellt>Speichern aus:
Eigenschaft BESCHREIBUNG Benutzerdefinierte Variable session.saml.last.identity Sitzungsvariable session.logon.last.username Wählen Sie das Terminal Verweigern des Zugriffsrichtlinien-Zweigs Erfolgreich aus und ändern Sie ihn in Zulassen ab, anschließend Speichern.
Bestätigen Sie diese Einstellungen, indem Sie Zugriffsrichtlinie anwenden (Apply Access Policy) auswählen, und schließen Sie dann die Registerkarte des Editors für visuelle Richtlinien.
Konfiguration des Back-End-Pools
Damit BIG-IP weiß, wohin der Clientdatenverkehr weitergeleitet werden soll, müssen Sie ein APM-Knotenobjekt erstellen, das den Back-End-Server darstellt, der Ihre Anwendung hosten soll, und dann müssen Sie diesen Knoten in einem APM-Pool platzieren.
Wählen Sie Lokaler Datenverkehr > Pools > Poolliste > Erstellen aus, und geben Sie einen Namen für ein Serverpoolobjekt an. Beispiel: MyApps_VMs
Fügen Sie ein Poolmitgliedsobjekt mit den folgenden Angaben hinzu:
Eigenschaft BESCHREIBUNG Node Name (Knotenname) Optionaler Anzeigename für den Server, der die Back-End-Webanwendung hostet Adresse IP-Adresse des Servers, der die Anwendung hostet Service Port (Dienstport) Der HTTP/S-Port, den die Anwendung abhört (Video) Learn How To Use Twilio to Send Unlimited SMS & Text Messages From Excel To Anyone [Free Download]
Hinweis
Integritätsmonitore erfordern eine zusätzliche Konfiguration, die in diesem Tutorial nicht behandelt wird.
Konfiguration des virtuellen Servers
Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse repräsentiert wird und auf Client-Anfragen an die Anwendung wartet. Jeder empfangene Datenverkehr wird verarbeitet und anhand des APM-Zugriffsprofils ausgewertet, das dem virtuellen Server zugeordnet ist, bevor er gemäß den Richtlinienergebnissen und -einstellungen weitergeleitet wird.
Wählen Sie Lokaler Datenverkehr>Virtuelle Server>Liste der virtuellen Server>Erstellen (Local Traffic > Virtual Servers > Virtual Server List > Create) aus.
Geben Sie dem virtuellen Server einen Namen, eine nicht verwendete IP-Adresse IPv4 / IPv6, die der BIG-IP zugewiesen werden kann, um Clientdatenverkehr zu empfangen, und legen Sie denDienstport auf 443 fest.
HTTP-Profil: Legen Sie dieses auf http fest.
SSL-Profil (Client) : Aktiviert Transport Layer Security (TLS) und ermöglicht die Veröffentlichung von Diensten über HTTPS. Wählen Sie das Client-SSL-Profil aus, das Sie als Teil der Vorbedingungen erstellt haben, oder belassen Sie die Standardeinstellung, wenn Sie testen.
Ändern Sie die Option Quelladressenübersetzung in Automatische Zuordnung.
Legen Sie unterZugriffsrichtlinie das zuvor erstellte Zugriffsprofil fest. Dadurch werden das Azure AD-SAML-Vorabauthentifizierungsprofil und die Header-SSO-Richtlinie an den virtuellen Server gebunden.
Legen Sie abschließend den Standardpool auf das Back-End-Poolobjekt fest, das sie im vorherigen Abschnitt erstellt haben, dann wählen Sie Fertiggestellt aus.
Sitzungsverwaltung
Eine BIG-IP-Sitzungsverwaltungseinstellung wird verwendet, um die Bedingungen zu definieren, unter denen Benutzersitzungen beendet oder fortgesetzt werden dürfen, sowie Grenzwerte für Benutzer und IP-Adressen sowie Fehlerseiten festzulegen. Sie können Ihre eigene Richtlinie erstellen, indem Sie auf Zugriffsrichtlinie>Zugriffsprofile klicken und Ihre Anwendung aus der Liste auswählen.
Im Hinblick auf die SLO-Funktionalität wird durch die Definition einer URI für einmaliges Abmelden (Single Log-Out) in Azure AD sichergestellt, dass eine vom IdP initiierte Abmeldung vom MyApps-Portal auch die Sitzung zwischen dem Client und dem BIG-IP-APM beendet. Nach dem Import der Federation-Metadaten der Anwendung stellt xml dem APM den Azure AD SAML-Logout-Endpunkt für SP-initiierte Sign-Outs zur Verfügung. Damit dies wirklich effektiv ist, muss der APM genau wissen, wann sich ein Benutzer abmeldet.
Nehmen wir ein Szenario, in dem ein BIG-IP-Webportal nicht verwendet wird und der Benutzer keine Möglichkeit hat, den APM anzuweisen, sich abzumelden. Selbst wenn sich der Benutzer von der Anwendung selbst abmeldet, ist dies für BIG-IP technisch nicht erkennbar, sodass die Anwendungssitzung problemlos über SSO wiederhergestellt werden kann. Aus diesem Grund muss die SP-initiierte Abmeldesitzung sorgfältig überdingt werden, um sicherzustellen, dass Sitzungen sicher beendet werden, wenn sie nicht mehr benötigt werden.
Eine Möglichkeit, dies zu erreichen, ist das Hinzufügen einer SLO-Funktion zu Ihrer Abmeldeschaltfläche für Anwendungen, damit ihr Client an den Azure AD SAML-Abmeldeendpunkt umgeleitet werden kann. Den SAML-Abmeldeendpunkt für Ihren Mandanten finden Sie unter App Registrations>Endpoints.
Wenn eine Änderung der Anwendung nicht möglich ist, sollte die BIG-IP auf den Abmeldeaufruf der Anwendung warten und bei Erkennung der Anforderung SLO auslösen. Weitere Informationen zur Verwendung von BIG-IP-iRules finden Sie im Abschnitt K42052145 und im Abschnitt K12056.
Zusammenfassung
In diesem letzten Schritt werden alle angewendeten Einstellungen vor Ihrer Bestätigung unterbrochen. Wählen Sie Bereitstellen aus, um alle Einstellungen zu bestätigen, und überprüfen Sie, ob die Anwendung in Ihrem Mandanten erschienen ist.
Ihre Anwendung ist nun veröffentlicht und über SHA zugänglich– entweder direkt über die URL oder über die Anwendungsportale von Microsoft.
Nächste Schritte
Starten Sie als Benutzer einen Browser und stellen Sie eine Verbindung mit der externen URL der Anwendung her oder wählen Sie im Microsoft MyApps-Portal das Symbol der Anwendung aus. Nach der Authentifizierung bei Azure AD werden Sie zum virtuellen BIG-IP-Server für die Anwendung weitergeleitet und durch SSO (einmaliges Anmelden) automatisch angemeldet.Die Ausgabe der eingefügten Header, die von unserer headerbasierten Anwendung angezeigt werden, wird gezeigt.
Um die Sicherheit zu erhöhen, könnten Organisationen, die dieses Muster verwenden, auch erwägen, den direkten Zugriff auf die Anwendung zu blockieren, sodass ein strikter Pfad über BIG-IP erzwungen wird.
Problembehandlung
Wenn der Zugriff auf die SHA-geschützte Anwendung nicht möglich ist, kann das an verschiedenen Faktoren liegen, z.B. an einer falschen Konfiguration.
BIG-IP-Protokolle sind eine hervorragende Informationsquelle zum Filtern aller Authentifizierungs- und SSO-Probleme. Bei der Problembehandlung sollten Sie die Ausführlichkeitsstufe des Protokolls hochsetzen, indem Sie zu Zugriffsrichtlinie>Übersicht>Ereignis-Protokolle>Einstellungen navigieren. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung und dann Edit>Access System Logs (Bearbeiten > Auf Systemprotokolle zugreifen) aus. Wählen Sie Debug (Debuggen) in der SSO-Liste und dann OK aus. Sie können ihr Problem jetzt reproduzieren, bevor Sie sich die Protokolle ansehen. Denken Sie jedoch daran, dies nach Abschluss wieder rückgängig zu machen.
Wenn unmittelbar nach der erfolgreichen AzureAD-Vorabauthentifizierung ein mit BIG-IP gekennzeichneter Fehler angezeigt wird, ist es möglich, dass sich das Problem auf das einmalige Anmelden aus AzureAD bei BIG-IP zurückzuführen ist. Navigieren Sie zu Access>Overview>Access reports (Zugriff, Übersicht, Zugriffsberichte) aus und führen Sie den Bericht für die letzte Stunde aus, um Protokolle mit hinweisenden Informationen zu sehen. Der Link View session variables (Sitzungsvariablen anzeigen) für Ihre Sitzung hilft auch zu verstehen, ob APM die erwarteten Ansprüche von AzureAD empfängt.
Wenn keine BIG-IP-Fehlerseite angezeigt wird, hängt das Problem wahrscheinlich eher mit dem einmaligen Anmelden aus BIG-IP bei der Back-End-Anwendung zusammen. Navigieren Sie in diesem Fall zu Zugriffslichtlinie>Übersicht>Aktive Sitzungen (Access Policy > Overview > Active Sessions) und wählen Sie den Link für Ihre aktive Sitzung aus. Der Link Variablen anzeigen (View Variables) an dieser Stelle kann auch bei der Ermittlung der eigentlichen Ursache der Probleme beim einmaligen Anmelden helfen, insbesondere dann, wenn die BIG-IP-APM die richtige Benutzer- und Domänen-Kennung nicht abrufen kann.
Weitere Informationen finden Sie unter Beispiele für Zuweisungen von BIG-IP-APM-Variablen und unter Empfehlung für F5-BIG-IP-Sitzungsvariablen.
Zusätzliche Ressourcen
Für weiterführende Informationen lesen Sie bitte diese Artikel:
Das Ende der Passwörter, verzichten Sie auf Passwörter
Was ist bedingter Zugriff?
„Zero Trust“-Framework von Microsoft zum Ermöglichen von Remotearbeit