# Explicador de métodos SSO do APM

> Os oito métodos de SSO que o próprio capítulo do APM define, cada cartão carregando o veredito que decide indisponibilidades: um objeto SSO mal configurado de qualquer método não-formulário pode desabilitar o SSO de todos os métodos naquela sessão do usuário; Form Based e Forms - Client Initiated são os únicos isentos. O Kerberos entrega sua lista completa de pré-requisitos, incluindo a linha que vale emoldurar: o Kerberos SSO do APM não precisa nem usa um arquivo keytab.

- Tool: https://ronutz.com/pt-BR/tools/f5-apm-sso-explainer
- Family: Identidade e tokens

---

# Explicador de métodos SSO do APM

O trabalho do BIG-IP Zero Trust Access (antigo BIG-IP APM - Access Policy Manager) depois da autenticação é continuar autenticando por você, e o capítulo de Single Sign-On Methods define exatamente oito jeitos de fazer isso: HTTP Basic, NTLMv1, NTLMv2, Kerberos com delegação restrita, Form Based, Forms - Client Initiated, OAuth Bearer e SAML. Esta ferramenta renderiza cada um como um cartão com seu mecanismo, seu encanamento de credenciais, seus pré-requisitos e suas peculiaridades, tudo condensado fielmente do capítulo e dos guias específicos de cada método.

O veredito em cada cartão é o próprio parágrafo de raio de explosão do capítulo, e ele é a manchete operacional: um objeto SSO mal configurado de HTTP Basic, NTLMv1, NTLMv2, Kerberos, OAuth Bearer ou SAML pode desabilitar o SSO de todos os métodos de autenticação naquela sessão do usuário. Form Based e Forms - Client Initiated são os únicos dois métodos que não são desabilitados quando o objeto de outro método quebra. Uma configuração Kerberos SSO ruim e toda aplicação da sessão pode perder seu SSO; uma configuração de formulário ruim e só aquela aplicação perde. Essa assimetria decide o cuidado que cada classe de objeto merece.

O cartão do Kerberos carrega a lista completa de pré-requisitos: uma conta de delegação no Active Directory por realm de servidor, seu SPN inserido como Account Name em formato SPN, o realm em maiúsculas, Resource-Based Constrained Delegation para ambientes multi-realm, e a linha do próprio manual, que vale emoldurar: o Kerberos SSO do APM não precisa nem usa um arquivo keytab. Suas portas de entrada naturais são os métodos em que a senha nunca viaja em texto claro, certificados de cliente e NTLM entre os exemplos do próprio capítulo. O NTLMv2 carrega a peculiaridade documentada de que um 401 com mais de um cabeçalho WWW-Authenticate: NTLM faz o SSO falhar, comportamento esperado segundo o manual. O Forms - Client Initiated carrega o detalhe mais engenhoso do seu desenho: o JavaScript que o APM insere atribui ao parâmetro de senha um token em vez da senha real, então a credencial nunca fica na página.

A nota de encanamento em cada consulta amarra os métodos à maquinaria: agentes da access policy populam as variáveis de sessão que o SSO consome, sendo a fiação clássica uma Logon Page seguida de SSO Credential Mapping, alimentando session.logon.last.* em session.sso.token.last.*.

Tudo roda localmente; nada do que você digita sai da página.

## Standards and references

- [BIG-IP APM: Authentication and Single Sign-On 14.0 - Single Sign-On Methods (the eight-method list; the isolation paragraph: a misconfigured object for Basic/NTLMv1/NTLMv2/Kerberos/OAuth Bearer/SAML can disable SSO for all methods in the session, the two form methods exempt; HTTP Basic's base64 header; the 225-character name bound)](https://techdocs.f5.com/en-us/bigip-14-0-0/big-ip-access-policy-manager-authentication-and-single-sign-on-14-0-0/single-sign-on-methods.html) - the method table's mechanisms and the isolation verdict on every card
- [BIG-IP APM 12.1 - Single Sign-On Methods (the NTLMv2 quirk verbatim: more than one WWW-Authenticate: NTLM header in a 401 makes NTLMv2 SSO fail, expected behavior)](https://techdocs.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-authentication-single-sign-on-12-1-0/23.html) - the NTLMv2 quirk
- [BIG-IP APM 15.1 - Kerberos Single Sign-On Method (delegation account per server realm, SPN-format Account Name, uppercase realm, the no-keytab line verbatim, password-less front-door pairing; 17.1 adds the multi-realm RBCD guidance)](https://techdocs.f5.com/en-us/bigip-15-1-0/big-ip-access-policy-manager-single-sign-on-concepts-configuration/kerberos-single-sign-on-method.html) - the Kerberos card's prerequisites
- [BIG-IP APM Single Sign-On Configuration Guide (the Forms - Client Initiated flow: logon-page detection, inserted JavaScript, and the password parameter assigned a password token rather than the actual user password; NTLM Domain defaulting to session.logon.last.domain)](https://techdocs.f5.com/en-us/bigip-17-1-0/big-ip-access-policy-manager-single-sign-on-concepts-configuration/single-sign-on-methods.html) - the FBCI card and the session-variable wiring notes

## Related reading

- [Acesso e identidade no BIG-IP 21.1: DCR, SAML nativo e o IPsec volta para casa](https://ronutz.com/pt-BR/learn/bigip-21x-access-identity.md): A camada de acesso do BIG-IP 21.1 se moderniza em quatro direções ao mesmo tempo: o Dynamic Client Registration do OAuth 2.0 (RFC 7591) deixa clientes, incluindo sistemas de IA agêntica, registrarem a si mesmos com um Initial Access Token; o SAML pelo navegador padrão do sistema vira nativo no Windows e no macOS, destravando fluxos FIDO2 e Entra ID sem as velhas iRules; o Edge Client ganha túneis VPN IPsec de verdade ao lado do SSL-VPN; e o elenco de apoio inclui HTTP Connector em políticas per-session, ES13 no Portal Access e inspeção de endpoint em Ubuntu ARM64.
- [Métodos SSO do APM: Um Objeto Ruim Pode Apagar a Sessão Inteira](https://ronutz.com/pt-BR/learn/bigip-apm-sso-methods.md): O capítulo do APM define oito métodos de SSO e declara um raio de explosão que a maioria dos desenhos ignora: um objeto mal configurado de qualquer método não-formulário pode desabilitar o SSO de todos os métodos da sessão; os dois métodos de formulário são os únicos isentos. Mais os pré-requisitos do Kerberos (sem keytab, nas palavras do próprio manual), a peculiaridade do cabeçalho único do NTLMv2 e o token de senha do FBCI.
- [Variáveis de Sessão: Onde o APM Guarda Tudo Que Aprendeu](https://ronutz.com/pt-BR/learn/bigip-apm-session-variables.md): Toda ação de access policy escreve seus resultados em variáveis session.*, nomeadas por uma anatomia que o manual desenha e lidas por três sintaxes oficiais. A camada tem um contrato que vale memorizar: variáveis seguras são criptografadas, escondidas de relatórios e logs, e legíveis só com -secure, o que faz de um mcget puro numa senha a clássica leitura vazia silenciosa.
