Explicador de métodos SSO do APM
Os oito métodos de SSO que o próprio capítulo do APM define, cada cartão carregando o veredito que decide indisponibilidades: um objeto SSO mal configurado de qualquer método não-formulário pode desabilitar o SSO de todos os métodos naquela sessão do usuário; Form Based e Forms - Client Initiated são os únicos isentos. O Kerberos entrega sua lista completa de pré-requisitos, incluindo a linha que vale emoldurar: o Kerberos SSO do APM não precisa nem usa um arquivo keytab.
Identidade e tokensRoda localmente no seu navegador. Nada do que você digita sai desta página.
Endpoint da APIGEThttps://ronutz.com/api/v1/f5-apm-sso-explainerDocumentado, não servido. Abre a especificação.
Referências
- BIG-IP APM: Authentication and Single Sign-On 14.0 - Single Sign-On Methods (the eight-method list; the isolation paragraph: a misconfigured object for Basic/NTLMv1/NTLMv2/Kerberos/OAuth Bearer/SAML can disable SSO for all methods in the session, the two form methods exempt; HTTP Basic's base64 header; the 225-character name bound)
- BIG-IP APM 12.1 - Single Sign-On Methods (the NTLMv2 quirk verbatim: more than one WWW-Authenticate: NTLM header in a 401 makes NTLMv2 SSO fail, expected behavior)
- BIG-IP APM 15.1 - Kerberos Single Sign-On Method (delegation account per server realm, SPN-format Account Name, uppercase realm, the no-keytab line verbatim, password-less front-door pairing; 17.1 adds the multi-realm RBCD guidance)
- BIG-IP APM Single Sign-On Configuration Guide (the Forms - Client Initiated flow: logon-page detection, inserted JavaScript, and the password parameter assigned a password token rather than the actual user password; NTLM Domain defaulting to session.logon.last.domain)