在本文中,您将学习如何将 Kemp LoadMaster 集成到 Microsoft Entra ID 中。 将 Kemp LoadMaster Microsoft Entra 集成与 Microsoft Entra ID 集成后,可以:
- 在 Microsoft Entra ID 中控制谁有权访问 Kemp LoadMaster Microsoft Entra 集成。
- 允许用户使用其 Microsoft Entra 帐户自动登录到 Kemp LoadMaster Microsoft Entra 集成。
- 在中心位置管理帐户。
先决条件
本文中概述的方案假定你已具备以下先决条件:
- 已启用 Kemp LoadMaster Microsoft Entra 集成单一登录 (SSO) 的订阅。
注意
此集成也可以通过 Microsoft Entra 美国政府云环境使用。 你可以在“Microsoft Entra 美国政府云应用程序库”中找到此应用程序,并以公有云相同的方式对其进行配置。
方案描述
本文中,您将在测试环境中配置并测试 Microsoft Entra SSO。
- Kemp LoadMaster Microsoft Entra 集成支持 IDP 发起的 SSO。
从库中添加 Kemp LoadMaster Microsoft Entra 集成
要配置 Kemp LoadMaster Microsoft Entra 集成与 Microsoft Entra ID 的集成,需要从库中将 Kemp LoadMaster Microsoft Entra 集成添加到托管 SaaS 应用列表。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 请导航到 Entra ID>企业应用>新应用。
- 在“从库中添加”部分的搜索框中,键入“Kemp LoadMaster Microsoft Entra 集成”。
- 在结果面板中选择“Kemp LoadMaster Microsoft Entra 集成”,然后添加该应用。 在该应用添加到租户时等待几秒钟。
或者,也可以使用企业应用配置向导。 在此向导中,还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 详细了解 Microsoft 365 向导。
配置并测试 Kemp LoadMaster Microsoft Entra 集成的 Microsoft Entra 单一登录
使用名为 B.Simon 的测试用户配置并测试 Kemp LoadMaster Microsoft Entra 集成的 Microsoft Entra 单一登录。 若要使 SSO 正常工作,需要在 Microsoft Entra 用户与 Kemp LoadMaster Microsoft Entra 集成中的相关用户之间建立关联。
若要配置并测试 Kemp LoadMaster Microsoft Entra 集成的 Microsoft Entra 单一登录,请执行以下步骤:
配置 Microsoft Entra SSO - 使用户能够使用此功能。
- 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
- 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
配置 Kemp LoadMaster Microsoft Entra 集成 SSO - 在应用程序端配置单一登录设置。
-
- 为 Kemp LoadMaster Microsoft Entra 集成创建 Kerberos 委派帐户
- Kemp LoadMaster Microsoft Entra 集成 KCD(Kerberos 委派帐户)
- Kemp LoadMaster Microsoft Entra 集成 ESP
- 创建 Kemp LoadMaster Microsoft Entra 集成测试用户 - 在 Kemp LoadMaster Microsoft Entra 集成中创建一个与 B.Simon 对应的用户,该用户链接到 Microsoft Entra 中 B.Simon 的表示形式。
测试 SSO - 验证配置是否正常工作。
配置 Microsoft Entra SSO
按照以下步骤启用 Microsoft Entra SSO。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用>Kemp LoadMaster Microsoft Entra 集成>单点登录。
在“选择单一登录方法”页上选择“SAML” 。
在 “使用 SAML 设置单一登录 ”页上,选择 基本 SAML 配置的 铅笔图标以编辑设置。
在“基本 SAML 配置”部分,输入以下字段的值:
a。 在“标识符(实体 ID)”文本框中,键入 URL:
b. 在“回复 URL”文本框中键入 URL:
注意
这些值不是真实的。 请使用实际标识符和回复 URL 更新这些值。 请联系 Kemp LoadMaster Microsoft Entra 集成客户端支持团队获取这些值。 还可参考“基本 SAML 配置”部分中显示的模式。
在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分中找到“证书(Base64)”和“联合元数据 XML”,选择“下载”以下载证书和联合元数据 XML 文件并将其保存在计算机上。
在“设置 Kemp LoadMaster Microsoft Entra 集成”部分,根据要求复制相应的 URL。
创建和分配 Microsoft Entra 测试用户
请遵循创建和分配用户帐户快速指南中的指引,创建一个名为 B.Simon 的测试用户帐户。
配置 Kemp LoadMaster Microsoft Entra 集成 SSO
发布 Web 服务器
创建虚拟服务
转到 Kemp LoadMaster Microsoft Entra 集成 LoadMaster Web UI >“虚拟服务”>“新增”。
选择“添加新”。
指定虚拟服务的参数。
a。 虚拟地址
b. 端口
选项c. 服务名称(可选)
d。 协议
导航到“实际服务器”部分。
选择“添加新”。
指定实际服务器的参数。
a。 选择“允许远程地址”
b. 键入实际服务器地址
选项c. 端口
d。 转发方法
e。 重量
f。 连接限制
g。 选择“添加此真实服务器”
证书和安全性
在 Kemp LoadMaster Microsoft Entra 集成上导入证书
进入 Kemp LoadMaster Microsoft Entra 集成 Web 门户 >“证书和安全性”>“SSL 证书”。
在“管理证书”>“证书配置”下。
选择“导入证书”。
指定包含证书的文件的名称。 文件还可以包含私钥。 如果文件不包含私钥,则还必须指定包含私钥的文件。 证书可以采用 .PEM 或 .PFX (IIS) 格式。
在“证书文件”中点击“选择文件”。
选择密钥文件(可选)。
选择“保存”。
SSL 加速
转到 Kemp LoadMaster Web UI >“虚拟服务”>“查看/修改服务”。
在“操作”下选择“修改”。
选择 SSL 属性(运行于第 7 层)。
a。 在 SSL 加速中选择“已启用”。
b. 在“可用证书”下,选择导入的证书并选择
>符号。选项c. 在“分配的证书”中显示所需的 SSL 证书后,选择“ 设置证书”。
注意
请确保选择 “设置证书”。
Kemp LoadMaster Microsoft Entra 集成 SAML 配置文件
导入 IdP 证书
转到 Kemp LoadMaster Microsoft Entra 集成 Web 控制台。
在“证书和颁发机构”下选择“中间证书”。
a。 在“添加新的中间证书”中选择“选择文件”。
b. 导航到以前从 Microsoft Entra 企业应用程序下载的证书文件。
选项c. 选择“打开”。
d。 在“证书名称”中提供名称。
e。 选择“添加证书”。
创建身份验证策略
转到“虚拟服务”下的“管理 SSO”。
a。 在为其指定名称后,选择“添加新客户端配置”下的“添加”。
b. 在“身份验证协议”下选择“SAML”。
选项c. 在“IdP 预配”下选择“元数据文件”。
d。 选择“选择文件”。
e。 导航到以前从 Azure 门户下载的 XML。
f。 选择“打开”,然后选择“导入 IdP MetaData 文件”。
g。 从“IdP 证书”中选择中间证书。
h. 设置应与 Azure 门户中创建的标识匹配的 SP 实体 ID。
一. 选择“设置 SP 实体 ID”。
设置身份验证
在 Kemp LoadMaster Microsoft Entra 集成 Web 控制台上。
选择“虚拟服务”。
选择“查看/修改服务”。
选择“修改”并导航到 ESP 选项。
a。 选择“启用 ESP”。
b. 在“客户端身份验证模式”中选择“SAML”。
选项c. 选择以前在 SSO 域中创建的客户端身份验证。
d。 在“允许的虚拟主机”中键入主机名,然后选择“设置允许的虚拟主机”。
e。 在“允许的虚拟目录”中键入 /* (基于访问要求),然后选择“设置允许的目录”。
验证更改
浏览应用程序 URL。
此时应显示租户登录页,而不是之前未经身份验证的访问。
配置基于 Kerberos 的身份验证
为 Kemp LoadMaster Microsoft Entra 集成创建 Kerberos 委派帐户
创建用户帐户(在此示例中为 AppDelegation)。
a。 选择“属性编辑器”选项卡。
b. 导航到 servicePrincipalName。
选项c. 选择 servicePrincipalName,然后选择“编辑”。
d。 在“要添加的值”字段中键入 http/kcduser,然后选择“添加”。
e。 选择“应用”和“确定”。 必须先关闭窗口,然后再次打开(以查看新的“委派”选项卡)。
再次打开用户属性窗口,“委派”选项卡会变为可用。
选择“委派”选项卡。
a。 选择“仅信任此用户作为指定服务的委派”。
b. 选择“使用任何身份验证协议”。
选项c. 添加实际服务器并将 http 添加为服务。
d。 选中“扩展”复选框。
e。 你可以看到所有服务器以及有主机名和 FQDN。
f。 选择“确定”。
注意
在应用程序/网站上设置适用的 SPN。 用于在设置了应用程序池标识时访问应用程序。 若要使用 FQDN 名称访问 IIS 应用程序,请转到实际服务器命令提示符并键入 SetSpn 及所需参数。 例如 Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser。
Kemp LoadMaster Microsoft Entra 集成 KCD(Kerberos 委派帐户)
转到 Kemp LoadMaster Microsoft Entra 集成 Web 控制台 >“虚拟服务”>“管理 SSO”。
a。 导航到“服务器端单一登录配置”。
b. 在 "添加新 Server-Side 配置" 中输入 "名称",然后选择 "添加"。
选项c. 在“身份验证协议”中选择“Kerberos 约束委派”。
d。 在“Kerberos 领域”中键入域名。
e。 选择“设置 Kerberos 域”
f。 在“Kerberos 密钥分发中心”中键入域控制器 IP 地址。
g。 选择“设置 Kerberos KDC”。
h. 在“Kerberos 可信用户名”中键入 KCD 用户名。
一. 选择“设置 KDC 受信任的用户名”。
j. 在“Kerberos 可信用户密码”中键入密码。
k. 选择“设置 KCD 受信任的用户密码”。
Kemp LoadMaster Microsoft Entra 集成 ESP
转到“虚拟服务”>“查看/修改服务”。
a。 在虚拟服务的 Nick Name 上选择“修改”。
b. 选择 ESP 选项。
选项c. 在“服务器身份验证模式”下,选择“KCD”。
d。 在“服务器端配置”下,选择以前创建的服务器端配置文件。
创建 Kemp LoadMaster Microsoft Entra 集成测试用户
在本部分,你将在 Kemp LoadMaster Microsoft Entra 集成中创建名为 B.Simon 的用户。 在 Kemp LoadMaster Microsoft Entra 集成支持团队的配合下,将用户添加到 Kemp LoadMaster Microsoft Entra 集成平台。 使用单一登录前,必须先创建并激活用户。
测试 SSO
在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。
选择 测试此应用程序,您将自动登录到您已为其配置 SSO 的 Kemp LoadMaster Microsoft Entra 集成。
你可使用 Microsoft 的“我的应用”。 在“我的应用”中选择 Kemp LoadMaster Microsoft Entra 集成磁贴后,应会自动登录到您为其设置了 SSO 的 Kemp LoadMaster Microsoft Entra 集成。 有关“我的应用”的详细信息,请参阅“我的应用”简介。
相关内容
配置 Kemp LoadMaster Microsoft Entra 集成后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。