Sdílet prostřednictvím

Kurz: Konfigurace snadného tlačítka F5 BIG-IP pro jednotné přihlašování založené na hlavičce a PROTOKOLU LDAP

  • Článek

V tomto článku se dozvíte, jak zabezpečit hlavičky a aplikace založené na protokolu LDAP pomocí Microsoft Entra ID pomocí F5 BIG-IP Easy Button Guided Configuration 16.1. Integrace BIG-IP se službou Microsoft Entra ID přináší mnoho výhod:

Další informace o výhodách najdete v tématu F5 BIG-IP a integrace Microsoft Entra.

Popis scénáře

Tento scénář se zaměřuje na klasickou starší aplikaci využívající autorizační hlavičky HTTP zdrojové z atributů adresáře LDAP pro správu přístupu k chráněnému obsahu.

Vzhledem k tomu, že je starší verze, aplikace nemá moderní protokoly pro podporu přímé integrace s Microsoft Entra ID. Aplikaci můžete modernizovat, ale je nákladná, vyžaduje plánování a představuje riziko potenciálního výpadku. Místo toho můžete použít F5 BIG-IP Application Delivery Controller (ADC) k přemístit mezeru mezi starší aplikací a moderní řídicí rovinou ID s přechodem protokolu.

Před aplikací je k zajištění velké IP adresy možné překrytí služby pomocí předběžného ověřování Microsoft Entra a jednotného přihlašování založeného na hlavičce, což zlepšuje celkový stav zabezpečení aplikace.

Architektura scénáře

Řešení zabezpečeného hybridního přístupu pro tento scénář obsahuje:

  • Aplikace – publikovaná služba BIG-IP, která má být chráněna zabezpečeným hybridním přístupem (SHA) Microsoft Entra ID
  • Microsoft Entra ID – Zprostředkovatel identity SAML (Security Assertion Markup Language), který ověřuje přihlašovací údaje uživatele, podmíněný přístup a jednotné přihlašování založené na SAML na BIG-IP. S jednotným přihlašováním poskytuje Microsoft Entra ID BIG-IP s požadovanými atributy relace.
  • Systém personálního oddělení – Databáze zaměstnanců založená na protokolu LDAP jako zdroj pravdy pro oprávnění aplikace
  • BIG-IP – Reverzní proxy server a poskytovatel služeb SAML (SP) do aplikace, delegování ověřování na zprostředkovatele IDENTITY SAML před provedením jednotného přihlašování založeného na hlavičce do back-endové aplikace

Sha pro tento scénář podporuje toky iniciované sadou SP a IdP. Následující obrázek znázorňuje tok iniciovaný aktualizací SP.

Diagram toku iniciovaného zabezpečeným hybridním přístupem

  1. Uživatel se připojí ke koncovému bodu aplikace (BIG-IP).
  2. Zásady přístupu APM BIG-IP přesměrují uživatele na Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra ID předem ověřuje uživatele a používá vynucené zásady podmíněného přístupu.
  4. Uživatel se přesměruje na BIG-IP (SAML SP) a jednotné přihlašování se provádí pomocí vydaného tokenu SAML.
  5. Požadavky BIG-IP na další atributy ze systému HR založeného na protokolu LDAP
  6. BIG-IP vloží atributy Microsoft Entra ID a HR jako hlavičky v požadavku na aplikaci.
  7. Aplikace autorizuje přístup pomocí rozšířeného oprávnění relace.

Požadavky

Předchozí prostředí BIG-IP není nutné, ale potřebujete:

  • Bezplatný účet Azure nebo předplatné vyšší úrovně
  • BIG-IP nebo nasaďte virtuální edici BIG-IP (VE) v Azure.
  • Některé z následujících licencí F5 BIG-IP:
    • F5 BIG-IP® Best bundle
    • Samostatná licence F5 BIG-IP Access Policy Manager™ (APM)
    • Doplněk F5 BIG-IP Access Policy Manager (APM) na místním Traffic Manageru™™ (LTM) s velkými IP adresami F5 BIG-IP®
    • 90denní bezplatná zkušební verze produktu BIG-IP
  • Identity uživatelů synchronizované z místního adresáře do Microsoft Entra ID
  • Jedna z následujících rolí: Správce cloudových aplikací nebo Správce aplikací.
  • Webový certifikát SSL pro publikování služeb přes PROTOKOL HTTPS nebo použití výchozích certifikátů BIG-IP při testování
  • Aplikace založená na hlavičce nebo nastavení jednoduché hlavičkové aplikace IIS pro testování
  • Uživatelský adresář, který podporuje protokol LDAP, například službu AD LDS (Windows Active Directory Lightweight Directory Services), OpenLDAP atd.

Konfigurace BIG-IP

Tento kurz používá konfiguraci s asistencí 16.1 se šablonou Snadné tlačítko. Díky snadnému tlačítku se správci mezi Microsoft Entra ID a BIG-IP nevrátí zpět, aby povolili služby pro SHA. Správa nasazení a zásad se zpracovává mezi průvodcem konfigurací S asistencí APM a Microsoft Graphem. Tato integrace mezi BIG-IP APM a Microsoft Entra ID zajišťuje, aby aplikace podporovaly federaci identit, jednotné přihlašování a podmíněný přístup Microsoft Entra a snížily režijní náklady na správu.

Poznámka:

Nahraďte ukázkové řetězce nebo hodnoty v tomto průvodci hodnotami pro vaše prostředí.

Tlačítko Registrovat snadné

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Než bude mít klient nebo služba přístup k Microsoft Graphu, je důvěryhodná platformou Microsoft Identity Platform.

Tento první krok vytvoří registraci aplikace tenanta, která autorizuje přístup k Graphu pomocí tlačítka Easy Button . S těmito oprávněními může BIG-IP odesílat konfigurace, které vytvoří vztah důvěryhodnosti mezi instancí SAML SP pro publikovanou aplikaci a Microsoft Entra ID jako zprostředkovatele IDENTITY SAML.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte do aplikace> identit>Registrace aplikací> Nová registrace.

  3. Zadejte zobrazovaný název aplikace. Například F5 BIG-IP Easy Button.

  4. Určete, kdo může používat účty aplikace >pouze v tomto organizačním adresáři.

  5. Vyberte Zaregistrovat.

  6. Přejděte na oprávnění rozhraní API a autorizujete následující oprávnění aplikace Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. Udělte správci souhlas pro vaši organizaci.

  8. V certifikátech a tajných klíčích vygenerujte nový tajný klíč klienta. Poznamenejte si tento tajný kód.

  9. V přehledu si poznamenejte ID klienta a ID tenanta.

Konfigurovat tlačítko Snadné

Spuštěním konfigurace S asistencí APM spusťte šablonu Snadné tlačítko.

  1. Přejděte do části Přístup s asistencí konfigurace > Microsoft Integration a vyberte Aplikaci Microsoft Entra>.

  2. Zkontrolujte seznam kroků a vyberte Další.

  3. Pokud chcete aplikaci publikovat, postupujte podle pokynů.

    Snímek obrazovky s tokem konfigurace v konfiguraci s asistencí

Vlastnosti konfigurace

Karta Vlastnosti konfigurace vytvoří konfiguraci aplikace BIG-IP a objekt jednotného přihlašování. Část Podrobnosti účtu služby Azure představuje klienta, který jste zaregistrovali v tenantovi Microsoft Entra dříve jako aplikaci. Tato nastavení umožňují klientovi BIG-IP OAuth zaregistrovat ve vašem tenantovi SP SAML SP s vlastnostmi jednotného přihlašování, které byste nakonfigurovali ručně. Snadné tlačítko provede tuto akci pro každou službu BIG-IP publikovanou a povolenou pro SHA.

Některá z těchto nastavení jsou globální, proto je možné znovu použít k publikování více aplikací, což zkracuje dobu nasazení a úsilí.

  1. Zadejte jedinečný název konfigurace, aby správci mohli rozlišovat mezi konfiguracemi snadného tlačítka.
  2. Povolte hlavičky jednotného přihlašování a HTTP.
  3. Zadejte ID tenanta, ID klienta a tajný klíč klienta, které jste si poznamenali při registraci klienta Snadné tlačítko ve vašem tenantovi.
  4. Ověřte, že se big-IP adresa může připojit k vašemu tenantovi.
  5. Vyberte Další.

Poskytovatel služeb

Nastavení zprostředkovatele služeb definuje vlastnosti instance SAML SP aplikace chráněné pomocí SHA.

  1. Zadejte hostitele, veřejný plně kvalifikovaný název domény (FQDN) aplikace, která je zabezpečená.

  2. Zadejte ID entity, identifikátor Microsoft Entra ID používá k identifikaci SAML SP požadující token. Pomocí volitelného nastavení zabezpečení určete, jestli Id Entra šifruje vydané kontrolní výrazy SAML. Šifrování kontrolních výrazů mezi Microsoft Entra ID a BIG-IP APM zajišťuje, že tokeny obsahu nelze zachytit a osobní nebo firemní data nelze ohrozit.

  3. V seznamu privátních klíčů kontrolního dešifrování vyberte Vytvořit nový.

    Snímek obrazovky s možností Vytvořit nový v části Privátní klíč kontrolního dešifrování v nastavení zabezpečení

  4. Vyberte OK. Otevře se dialogové okno Importovat certifikát a klíče SSL na nové kartě.

  5. Vyberte PKCS 12 (IIS) a importujte certifikát a privátní klíč. Po zřízení se zavřete kartu prohlížeče a vraťte se na hlavní kartu.

    Snímek obrazovky s importem typu, názvu certifikátu a klíče, zdrojem klíče certifikátu a položkami hesel

  6. Zkontrolujte povolení šifrovaného kontrolního výrazu.

  7. Pokud jste povolili šifrování, vyberte certifikát ze seznamu privátních klíčů kontrolního dešifrování. Big-IP APM používá tento privátní klíč certifikátu k dešifrování kontrolních výrazů Microsoft Entra.

  8. Pokud jste povolili šifrování, vyberte certifikát ze seznamu certifikátu kontrolního dešifrování. BIG-IP nahraje tento certifikát do MICROSOFT Entra ID za účelem šifrování vydaných kontrolních výrazů SAML.

    Snímek obrazovky s položkami privátního klíče kontrolního dešifrování a dešifrovacího certifikátu kontrolního výrazu v nastavení zabezpečení

Microsoft Entra ID

Tato část obsahuje vlastnosti pro ruční konfiguraci nové aplikace SAML BIG-IP ve vašem tenantovi Microsoft Entra. Easy Button obsahuje šablony aplikací pro Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP a šablonu SHA pro jiné aplikace.

Pro tento scénář vyberte F5 BIG-IP APM Microsoft Entra ID Integration > Add.

Konfigurace Azure

  1. Zadejte zobrazovaný název aplikace, kterou big-IP adresa vytvoří ve vašem tenantovi Microsoft Entra, a ikonu, kterou uživatelé uvidí na portálu MyApps.

  2. Pro přihlašovací adresu URL (volitelné) nezadáte žádnou položku.

  3. Pokud chcete najít importovaný certifikát, vyberte ikonu Aktualizovat vedle podpisového klíče a podpisového certifikátu.

  4. Do hesla podpisového klíče zadejte heslo certifikátu.

  5. Povolte možnost podepisování (volitelné), abyste zajistili, že BIG-IP přijímá tokeny a deklarace identity podepsané id Microsoft Entra.

    Snímek obrazovky s položkami podpisového klíče, podpisového certifikátu a podpisového klíče v podpisových certifikátech SAML

  6. Skupiny uživatelů a uživatelů se dynamicky dotazují z vašeho tenanta Microsoft Entra a autorizuje přístup k aplikaci. Přidejte uživatele nebo skupinu pro testování, jinak se přístup odepře.

    Snímek obrazovky s možností Přidat pro skupiny uživatelů a uživatelů

Atributy a deklarace identity uživatelů

Když se uživatel ověří, Microsoft Entra ID vydá token SAML s výchozí sadou deklarací identity a atributů, které jednoznačně identifikují uživatele. Na kartě Atributy uživatele a deklarace identity se zobrazují výchozí deklarace identity , které se mají v nové aplikaci vydat. Umožňuje také nakonfigurovat další deklarace identity.

V tomto příkladu uveďte jeden další atribut:

  1. Do pole Jméno deklarace zadejte id zaměstnance.

  2. Do atributu Source zadejte user.employeeid.

    Snímek obrazovky s hodnotou employeeid v části Další deklarace identity u atributů a deklarací identity uživatele

Další atributy uživatele

Na kartě Další atributy uživatele můžete povolit rozšíření relací pro distribuované systémy, jako jsou Oracle, SAP a další implementace založené na jazyce JAVA, které vyžadují atributy uložené v jiných adresářích. Atributy načtené ze zdroje LDAP je možné vkládat jako další hlavičky jednotného přihlašování pro řízení přístupu na základě rolí, ID partnerů atd.

  1. Povolte možnost Upřesnit nastavení.

  2. Zaškrtněte políčko Atributy LDAP.

  3. V části Zvolit ověřovací server vyberte Vytvořit nový.

  4. V závislosti na nastavení vyberte režim Použít fond nebo Přímé připojení k serveru a zadejte adresu serveru cílové služby LDAP. Pokud používáte jeden server LDAP, vyberte Direct.

  5. Pro port služby zadejte 389, 636 (zabezpečený) nebo jiný port, který služba LDAP používá.

  6. Do pole DN základního vyhledávání zadejte rozlišující název umístění obsahujícího účet, kterým se APM ověřuje, pro dotazy služby LDAP.

    Snímek obrazovky s položkami vlastností serveru LDAP u dalších atributů uživatele

  7. Do pole Název vyhledávání zadejte rozlišující název umístění obsahující objekty uživatelského účtu, které APM dotazuje prostřednictvím protokolu LDAP.

  8. Nastavte obě možnosti členství na None a přidejte název atributu objektu uživatele, který se má vrátit z adresáře LDAP. Pro tento scénář: eventroles.

    Snímek obrazovky s položkami vlastností dotazu LDAP

Zásady podmíněného přístupu

Zásady podmíněného přístupu se vynucují po předběžném ověření Microsoft Entra pro řízení přístupu na základě zařízení, aplikace, umístění a rizikových signálů.

Zobrazení Dostupných zásad uvádí zásady podmíněného přístupu, které nezahrnují akce uživatele.

Zobrazení Vybrané zásady zobrazuje zásady, které cílí na všechny prostředky. Tyto zásady nelze zrušit nebo přesunout do seznamu Dostupných zásad, protože se vynucují na úrovni tenanta.

Pokud chcete vybrat zásadu, kterou chcete použít pro publikovanou aplikaci:

  1. V seznamu Dostupné zásady vyberte zásadu.

  2. Vyberte šipku doprava a přesuňte ji do seznamu Vybrané zásady .

    Poznámka:

    Vybrané zásady mají zaškrtnutou možnost Zahrnout nebo Vyloučit . Pokud jsou zaškrtnuté obě možnosti, nevynucuje se vybraná zásada.

    Snímek obrazovky vyloučených zásad v části Vybrané zásady v zásadách podmíněného přístupu

    Poznámka:

    Seznamzásadch Pomocí tlačítka Aktualizovat ručně vynutíte, aby se průvodce dotazuje na vašeho tenanta. Toto tlačítko se zobrazí při nasazení aplikace.

Vlastnosti virtuálního serveru

Virtuální server je objekt roviny dat BIG-IP reprezentovaný virtuální IP adresou, která naslouchá klientským požadavkům na aplikaci. Přijatý provoz se zpracovává a vyhodnocuje vůči profilu APM přidruženému k virtuálnímu serveru před směrováním podle zásad.

  1. Zadejte cílovou adresu, dostupnou adresu IPv4/IPv6, kterou může big-IP adresa použít k příjmu provozu klienta. Na serveru DNS (Domain Name Server) by měl existovat odpovídající záznam, který umožňuje klientům přeložit externí adresu URL publikované aplikace BIG-IP na tuto IP adresu místo aplikace. Použití dns místního hostitele testovacího počítače je přijatelné pro testování.

  2. Jako port služby zadejte 443 a HTTPS.

  3. Zkontrolujte povolení přesměrování portu a pak zadejte Přesměrovat port pro přesměrování příchozího provozu klienta HTTP na HTTPS.

  4. Profil SSL klienta povolí virtuální server pro protokol HTTPS, takže připojení klientů jsou šifrovaná přes protokol TLS (Transport Layer Security). Vyberte profil SSL klienta, který jste vytvořili, nebo při testování ponechte výchozí nastavení.

    Snímek obrazovky s cílovou adresou, portem služby a běžnými položkami v části Obecné vlastnosti ve vlastnostech virtuálního serveru

Vlastnosti fondu

Karta Fond aplikací obsahuje služby za big-IP adresou reprezentovanou jako fond s jedním nebo více aplikačními servery.

  1. Vyberte z nabídky Vybrat fond. Vytvořte nový fond nebo ho vyberte.

  2. Zvolte metodu vyrovnávání zatížení, jako je kruhové dotazování.

  3. Pro servery fondu vyberte uzel nebo zadejte IP adresu a port pro server, který je hostitelem aplikace založené na hlavičce.

    Snímek obrazovky s názvem IP adresy nebo uzly a položkami portů ve fondu aplikací ve vlastnostech fondu

Poznámka:

Naše back-endová aplikace se nachází na portu HTTP 80. Pokud je váš protokol HTTPS, přepněte na 443.

Jednotné přihlašování a hlavičky HTTP

Povolení jednotného přihlašování umožňuje uživatelům přistupovat k publikovaným službám BIG-IP bez zadávání přihlašovacích údajů. Průvodce snadného tlačítka podporuje autorizační hlavičky Kerberos, OAuth Bearer a HTTP pro jednotné přihlašování.

Ke konfiguraci možností použijte následující seznam.

  • Operace záhlaví: Vložení

  • Název záhlaví: hlavní název

  • Hodnota záhlaví: %{session.saml.last.identity}

  • Operace záhlaví: Vložení

  • Název záhlaví: employeeid

  • Hodnota záhlaví: %{session.saml.last.attr.name.employeeid}

  • Operace záhlaví: Vložení

  • Název hlavičky: eventroles

  • Hodnota záhlaví: %{session.ldap.last.attr.eventroles}

    Snímek obrazovky s položkami hlaviček jednotného přihlašování v části Hlavičky jednotného přihlašování pro jednotné přihlašování a hlavičky HTTP

Poznámka:

Proměnné relace APM ve složených závorkách rozlišují malá a velká písmena. Pokud například zadáte OrclGUID a název atributu Microsoft Entra je orclguid, dojde k selhání mapování atributů.

Nastavení správy relací

Nastavení správy relací BIG-IP adres definuje podmínky, za kterých se relace uživatelů ukončí nebo smí pokračovat, omezení pro uživatele a IP adresy a odpovídající informace o uživateli. Projděte si článek F5 K18390492: Zabezpečení | Podrobné informace o těchto nastaveních najdete v provozní příručce BIG-IP APM.

Nezabývá se funkcemi SLO (Single Log Out), které zajišťují relace mezi zprostředkovatelem identity, BIG-IP a agentem uživatele, který se odhlásí. Když tlačítko Easy vytvoří instanci aplikace SAML ve vašem tenantovi Microsoft Entra, naplní adresu URL pro odhlášení koncovým bodem APM SLO. Odhlášení iniciované adresou IDP z portálu Microsoft Entra Moje aplikace ukončí relaci mezi BIG-IP a klientem.

Federační metadata SAML pro publikovanou aplikaci se naimportují z vašeho tenanta, což poskytuje APM koncový bod pro odhlášení SAML pro Microsoft Entra ID. Tato akce zajistí, že odhlášení iniciované aktualizací SP ukončí relaci mezi klientem a ID Microsoft Entra. APM musí vědět, kdy se uživatel odhlásí z aplikace.

Pokud se k přístupu k publikovaným aplikacím používá webovýtop BIG-IP, pak se APM odhlásí, aby volal koncový bod odhlášení Microsoft Entra. Zvažte ale scénář, ve kterém se nepoužívá portál webtopu BIG-IP. Uživatel nemůže dát pokyn, aby se APM odhlasil. I v případě, že se uživatel z aplikace odhlásí, je BIG-IP zastaralá. Proto zvažte odhlášení iniciované aktualizací SP, abyste zajistili bezpečné ukončení relací. K tlačítku Pro odhlášení aplikace můžete přidat funkci SLO, aby mohl přesměrovat klienta do koncového bodu Microsoft Entra SAML nebo BIG-IP odhlášení. Adresa URL koncového bodu pro odhlášení SAML pro vašeho tenanta je v koncových bodech >registrace aplikací.

Pokud nemůžete v aplikaci provést změnu, zvažte, jestli nechcete, aby volání odhlašování aplikace naslouchal big-IP adres, a po zjištění požadavku, aby aktivoval SLO. Další informace o irules BIG-IP najdete v doprovodných materiálech oracle PeopleSoft SLO. Další informace o používání iRules BIG-IP najdete tady:

Shrnutí

Tento poslední krok obsahuje rozpis konfigurací.

Výběrem možnosti Nasadit potvrďte nastavení a ověřte, že je aplikace v seznamu tenantů podnikových aplikací.

Vaše aplikace je publikovaná a přístupná prostřednictvím SHA, ať už s její adresou URL, nebo prostřednictvím portálů aplikací Microsoftu. V případě zvýšeného zabezpečení můžou organizace, které tento model používají, blokovat přímý přístup k aplikaci. Tato akce vynutí striktní cestu přes BIG-IP.

Další kroky

V prohlížeči se na portálu Microsoft MyApps připojte k externí adrese URL aplikace nebo vyberte ikonu aplikace. Po ověření vůči Microsoft Entra ID budete přesměrováni na virtuální server BIG-IP pro aplikaci a přihlášení prostřednictvím jednotného přihlašování.

Podívejte se na následující snímek obrazovky s výstupem vložených hlaviček v aplikaci založené na hlavičkách.

Snímek obrazovky s výstupními hodnotami v části Proměnné serveru v části Moje události

V případě zvýšeného zabezpečení můžou organizace, které tento model používají, blokovat přímý přístup k aplikaci. Tato akce vynutí striktní cestu přes BIG-IP.

Pokročilé nasazení

Šablony konfigurace s asistencí můžou mít flexibilitu pro dosažení konkrétních požadavků.

V BIG-IP můžete zakázat režim striktní správy konfigurace s asistencí. Konfigurace pak můžete změnit ručně, i když se většina konfigurací automatizuje prostřednictvím šablon založených na průvodci.

U konfigurací aplikací můžete přejít na Konfiguraci s asistencí accessu > a vybrat malou ikonu visacího zámku na pravé straně řádku.

Snímek obrazovky s možností visacího zámku

V tuto chvíli už nejsou možné změny uživatelského rozhraní průvodce, ale všechny objekty BIG-IP přidružené k publikované instanci aplikace jsou odemknuté pro přímou správu.

Poznámka:

Opětovné povolení přísného režimu a nasazení konfigurace přepíše všechna nastavení provedená mimo uživatelské rozhraní konfigurace s asistencí. Pro produkční služby doporučujeme pokročilou metodu konfigurace.

Řešení problému

Protokolování BIG-IP

Protokolování BIG-IP může pomoct izolovat problémy s připojením, jednotným přihlašováním, porušeními zásad nebo chybně nakonfigurovanými mapováními proměnných.

Při řešení potíží můžete zvýšit úroveň podrobností protokolu.

  1. Přejděte do nastavení protokolů událostí přehledu > > zásad > přístupu.
  2. Vyberte řádek publikované aplikace a pak upravte > systémové protokoly accessu.
  3. V seznamu jednotného přihlašování vyberte Ladit a pak OK.

Reprodukujte váš problém a pak zkontrolujte protokoly, ale po dokončení se vraťte k tomuto nastavení. Podrobný režim generuje značné objemy dat.

Chybová stránka BIG-IP

Pokud se po předběžném ověření Microsoft Entra zobrazí chyba BIG-IP, je možné, že problém souvisí s jednotným přihlašováním z Microsoft Entra ID s BIG-IP.

  1. Přejděte k sestavám accessového > přehledu>.
  2. Spuštěním sestavy za poslední hodinu zkontrolujte, jestli protokoly neobsahují nějaké informace.
  3. Pomocí odkazu Zobrazit proměnné pro vaši relaci zjistěte, jestli APM přijímá očekávané deklarace identity z Microsoft Entra ID.

Back-endový požadavek

Pokud se nezobrazí žádná chybová stránka, problém pravděpodobně souvisí s back-endovým požadavkem nebo jednotným přihlašováním z BIG-IP adresy k aplikaci.

  1. Přejděte do aktivních relací přehledu > zásad > přístupu a vyberte odkaz pro aktivní relaci.
  2. Pokud chcete pomoct s původní příčinou problému, použijte odkaz Zobrazit proměnné , zejména pokud BIG-IP APM nedokáže získat správné atributy z Microsoft Entra ID nebo jiného zdroje.

Ověření účtu služby APM

Pokud chcete ověřit účet služby APM pro dotazy LDAP, použijte následující příkaz z prostředí Bash BIG-IP. Potvrďte ověřování a dotazování objektu uživatele.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Další informace najdete v článku F5 K11072: Konfigurace vzdáleného ověřování LDAP pro Active Directory. Referenční tabulku BIG-IP můžete použít k diagnostice problémů souvisejících s protokolem LDAP v dokumentu AskF5, dotazu LDAP.