Sdílet prostřednictvím

Kurz: Konfigurace snadného tlačítka F5 BIG-IP pro jednotné přihlašování k Oracle PeopleSoft

  • Článek

V tomto článku se naučíte zabezpečit Oracle PeopleSoft (PeopleSoft) pomocí Microsoft Entra ID s F5 BIG-IP Easy Button Guided Configuration 16.1.

Integrace BIG-IP s Microsoft Entra ID pro řadu výhod:

Další informace:

Popis scénáře

Pro účely tohoto kurzu se používá aplikace PeopleSoft využívající autorizační hlavičky HTTP ke správě přístupu k chráněnému obsahu.

Starší verze aplikací nemají moderní protokoly pro podporu integrace Microsoft Entra. Modernizace je nákladná, vyžaduje plánování a představuje potenciální riziko výpadků. Místo toho použijte F5 BIG-IP Application Delivery Controller (ADC) k přemostit mezeru mezi staršími aplikacemi a moderním řízením ID s přechodem protokolu.

Před aplikací překryjete službu předběžným ověřováním Microsoft Entra a jednotným přihlašováním založeným na hlavičce. Tato akce zlepšuje stav zabezpečení aplikace.

Poznámka:

Získejte vzdálený přístup k tomuto typu aplikace pomocí proxy aplikace Microsoft Entra.
Viz vzdálený přístup k místním aplikacím prostřednictvím proxy aplikací Microsoft Entra.

Architektura scénáře

Řešení zabezpečeného hybridního přístupu (SHA) pro tento kurz obsahuje následující komponenty:

  • Aplikace PeopleSoft – Publikovaná služba BIG-IP zabezpečená microsoftem Entra SHA
  • Microsoft Entra ID – zprostředkovatel identity SAML (Security Assertion Markup Language), který ověřuje přihlašovací údaje uživatele, podmíněný přístup a jednotné přihlašování založené na SAML na BIG-IP
    • Prostřednictvím jednotného přihlašování poskytuje Microsoft Entra ID atributy relace pro BIG-IP adresu.
  • BIG-IP – reverzní proxy server a poskytovatel služeb SAML (SP) do aplikace. Deleguje ověřování na zprostředkovatele identity SAML a pak provádí jednotné přihlašování založené na hlavičce ke službě PeopleSoft.

V tomto scénáři sha podporuje toky iniciované sadou SP a IdP. Následující diagram znázorňuje tok iniciovaný aktualizací SP.

Diagram zabezpečeného hybridního přístupu s tokem iniciovaným aktualizací SP

  1. Uživatel se připojí ke koncovému bodu aplikace (BIG-IP).
  2. Zásady přístupu APM BIG-IP přesměrují uživatele na ID Microsoft Entra (SAML IdP).
  3. Microsoft Entra předvyvěřuje uživatele a použije zásady podmíněného přístupu.
  4. Uživatel se přesměruje na BIG-IP (SAML SP) a k jednotnému přihlašování dochází s vydaným tokenem SAML.
  5. BIG-IP vloží atributy Microsoft Entra jako hlavičky v požadavku do aplikace.
  6. Aplikace autorizuje požadavek a vrací datovou část.

Požadavky

  • Bezplatný účet Microsoft Entra ID nebo vyšší
  • VELKÁ IP adresa nebo virtuální edice BIG-IP (VE) v Azure
  • Některé z následujících licencí F5 BIG-IP:
    • F5 BIG-IP® Best bundle
    • Samostatná licence F5 BIG-IP APM
    • Licence doplňku F5 BIG-IP APM na stávajícím místním Traffic Manageru™ PRO BIG-IP F5 BIG-IP® (LTM)
    • 90denní úplná zkušební licence na big-IP adresu
  • Identity uživatelů synchronizované z místního adresáře do Microsoft Entra ID nebo vytvořené v Microsoft Entra ID a tok zpět do místního adresáře
  • Jedna z následujících rolí: Správce cloudových aplikací nebo Správce aplikací.
  • Webový certifikát SSL pro publikování služeb přes PROTOKOL HTTPS nebo použití výchozích certifikátů BIG-IP pro testování
  • Prostředí PeopleSoft

Konfigurace BIG-IP

Tento kurz používá konfiguraci s asistencí 16.1 se šablonou snadného tlačítka.

Díky snadnému tlačítku správci nejdou mezi Microsoft Entra ID a BIG-IP povolit služby pro SHA. Průvodce konfigurací s asistencí APM a Microsoft Graph zpracovává nasazení a správu zásad. Integrace zajišťuje, že aplikace podporují federaci identit, jednotné přihlašování a podmíněný přístup.

Poznámka:

Nahraďte ukázkové řetězce nebo hodnoty v tomto kurzu hodnotami ve vašem prostředí.

Register the Easy Button

Než klient nebo služba přistupuje k Microsoft Graphu, musí mu platforma Microsoft Identity Platform důvěřovat.

Další informace: Rychlý start: Registrace aplikace na platformě Microsoft Identity Platform

Následující pokyny vám pomůžou vytvořit registraci aplikace tenanta pro autorizaci přístupu k Graphu pomocí tlačítka Easy Button. S těmito oprávněními služba BIG-IP odešle konfigurace, které vytvoří vztah důvěryhodnosti mezi instancí SAML SP pro publikovanou aplikaci, a Microsoft Entra ID jako zprostředkovatele IDENTITY SAML.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte na Identity>Applications> Registrace aplikací > Nová registrace.

  3. Zadejte název aplikace.

  4. Pro účty v tomto organizačním adresáři zadejte, kdo aplikaci používá.

  5. Vyberte Zaregistrovat.

  6. Přejděte na oprávnění rozhraní API.

  7. Autorizovat následující oprávnění aplikace Microsoft Graph:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Udělte správci souhlas vaší organizace.

  9. Přejděte na Certifikáty a tajné kódy.

  10. Vygenerujte nový tajný klíč klienta a poznamenejte si ho.

  11. Přejděte na Přehled a poznamenejte si ID klienta a ID tenanta.

Konfigurovat tlačítko Snadné

  1. Zahajte konfiguraci APM s asistencí.
  2. Spusťte šablonu Snadné tlačítko.
  3. Přejděte do > s asistencí pro Access.
  4. Vyberte Integraci Microsoftu.
  5. Vyberte aplikaci Microsoft Entra.
  6. Zkontrolujte pořadí konfigurace.
  7. Vyberte Další.
  8. Postupujte podle pořadí konfigurace.

Snímek obrazovky s pořadím konfigurace v části Konfigurace aplikace Microsoft Entra

Vlastnosti konfigurace

Pomocí karty Vlastnosti konfigurace můžete vytvořit nové konfigurace aplikací a objekty jednotného přihlašování. Část Podrobnosti účtu služby Azure představuje klienta, který jste zaregistrovali v tenantovi Microsoft Entra jako aplikaci. Pomocí nastavení pro klienta BIG-IP OAuth zaregistrujte v tenantovi službu SAML SP s vlastnostmi jednotného přihlašování. Snadné tlačítko provede tuto akci u publikovaných a povolených služeb BIG-IP pro SHA.

Poznámka:

Některá z následujících nastavení jsou globální. Můžete je znovu použít k publikování dalších aplikací.

  1. Zadejte název konfigurace. Jedinečné názvy pomáhají rozlišovat konfigurace.
  2. V části Hlavičky jednotného přihlašování a HTTP vyberte Zapnuto.
  3. Zadejte ID tenanta , ID klienta a tajný klíč klienta, které jste si poznamenali.
  4. Potvrďte připojení BIG-IP k tenantovi.
  5. Vyberte Další.

Poskytovatel služeb

Pomocí nastavení zprostředkovatele služeb definujte vlastnosti SAML SP pro instanci APM, která představuje aplikaci zabezpečenou sha.

  1. Jako hostitel zadejte veřejný plně kvalifikovaný název domény zabezpečené aplikace.
  2. Jako ID entity zadejte identifikátor Microsoft Entra ID, který používá k identifikaci SAML SP žádajícího o token.

Snímek obrazovky s možnostmi a výběry pro poskytovatele služeb

  1. (Volitelné) U nastavení zabezpečení indikujte, že Microsoft Entra ID šifruje vydané kontrolní výrazy SAML. Tato možnost zvyšuje záruku, že tokeny obsahu nejsou zachyceny ani ohroženy daty.

  2. V seznamu privátních klíčů kontrolního dešifrování vyberte Vytvořit nový.

Snímek obrazovky Vytvořit nový v seznamu privátních klíčů pro dešifrování kontrolního výrazu

  1. Vyberte OK.
  2. Dialogové okno Importovat certifikát SSL a klíče se zobrazí na nové kartě.
  3. Jako typ importu vyberte PKCS 12 (IIS). Tato možnost importuje certifikát a privátní klíč.
  4. Zavřete kartu prohlížeče a vraťte se na hlavní kartu.

Snímek obrazovky s možnostmi a výběry pro certifikát SSL a zdroj klíčů

  1. Pro povolení šifrovaného kontrolního výrazu zaškrtněte políčko.
  2. Pokud jste povolili šifrování, vyberte v seznamu privátních klíčů dešifrování kontrolního výrazu certifikát. Tento privátní klíč je určený pro certifikát, který big-IP APM používá k dešifrování kontrolních výrazů Microsoft Entra.
  3. Pokud jste povolili šifrování, vyberte v seznamu certifikátu dešifrování kontrolního výrazu certifikát. BIG-IP nahraje tento certifikát do MICROSOFT Entra ID za účelem šifrování vydaných kontrolních výrazů SAML.

Snímek obrazovky s možnostmi a výběry pro nastavení zabezpečení

Microsoft Entra ID

Tlačítko Snadné má šablony pro Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP a obecnou šablonu SHA.

  1. Vyberte Oracle PeopleSoft.
  2. Vyberte Přidat.

Konfigurace Azure

  1. Zadejte zobrazovaný název aplikace BIG-IP, která se vytvoří v tenantovi. Název se zobrazí na ikoně v Moje aplikace.

  2. (Volitelné) Jako přihlašovací adresu URL zadejte veřejný plně kvalifikovaný název domény aplikace PeopleSoft.

  3. Vedle podpisového klíče a podpisového certifikátu vyberte aktualizovat. Tato akce vyhledá importovaný certifikát.

  4. Pro heslo podpisového klíče zadejte heslo certifikátu.

  5. (Volitelné) U možnosti podepisování vyberte požadovanou možnost. Tento výběr zajišťuje, že BIG-IP přijímá tokeny a deklarace identity podepsané id Microsoft Entra.

Snímek obrazovky s možnostmi podpisového klíče, podpisového certifikátu a podpisového klíče v části Podpisový certifikát SAML

  1. Skupiny uživatelů a uživatelů se dynamicky dotazují z tenanta Microsoft Entra.
  2. Přidejte uživatele nebo skupinu pro testování, jinak se přístup odepře.

Snímek obrazovky s možností Přidat v části Uživatelé a skupiny uživatelů

Atributy a deklarace identity uživatelů

Když se uživatel ověří, Microsoft Entra ID vydá token SAML s výchozími deklaracemi identity a atributy identifikující uživatele. Karta Atributy a deklarace identity uživatelů obsahuje výchozí deklarace identity , které se mají v nové aplikaci vydávat. Slouží ke konfiguraci dalších deklarací identity. Šablona Snadné tlačítko obsahuje deklaraci ID zaměstnance vyžadované službou PeopleSoft.

Snímek obrazovky s možnostmi a výběry atributů a deklarací identity uživatelů

V případě potřeby zahrňte další atributy Microsoft Entra. Ukázková aplikace PeopleSoft vyžaduje předdefinované atributy.

Další atributy uživatele

Karta Další atributy uživatele podporuje distribuované systémy, které vyžadují atributy, jsou uloženy v jiných adresářích pro rozšíření relace. Atributy ze zdroje LDAP se vloží jako další hlavičky jednotného přihlašování pro řízení přístupu na základě rolí, ID partnerů atd.

Poznámka:

Tato funkce nemá žádnou korelaci s ID Microsoft Entra; je to jiný zdroj atributů.

Zásady podmíněného přístupu

Zásady podmíněného přístupu se vynucují po předběžném ověření Microsoft Entra pro řízení přístupu na základě zařízení, aplikací, umístění a rizikových signálů. Zobrazení Dostupné zásady má zásady podmíněného přístupu bez uživatelských akcí. Zobrazení Vybrané zásady obsahuje zásady zaměřené na cloudové aplikace. Tyto zásady nemůžete zrušit nebo přesunout do seznamu Dostupných zásad, protože se vynucují na úrovni tenanta.

Vyberte zásadu pro aplikaci.

  1. V seznamu Dostupné zásady vyberte zásadu.
  2. Vyberte šipku doprava a přesuňte zásadu do vybraných zásad.

Vybrané zásady mají zaškrtnutou možnost Zahrnout nebo Vyloučit . Pokud jsou zaškrtnuté obě možnosti, zásada se nevynutí.

Snímek obrazovky vyloučených zásad v části Vybrané zásady na kartě Zásady podmíněného přístupu

Poznámka:

Seznam zásad se zobrazí jednou, když vyberete kartu. K dotazování tenanta použijte Průvodce aktualizací . Tato možnost se zobrazí po nasazení aplikace.

Vlastnosti virtuálního serveru

Virtuální server je objekt roviny dat BIG-IP reprezentovaný virtuální IP adresou. Server naslouchá klientským požadavkům aplikace. Přijatý provoz se zpracovává a vyhodnocuje vůči profilu APM virtuálního serveru. Provoz se pak směruje podle zásad.

  1. Jako cílovou adresu zadejte IPv4 nebo IPv6 adresu BIG-IP, která přijímá klientský provoz. V DNS se zobrazí odpovídající záznam, který klientům umožňuje přeložit externí adresu URL publikované aplikace na IP adresu. K testování použijte DNS místního hostitele testovacího počítače.
  2. Jako port služby zadejte 443 a vyberte HTTPS.
  3. U možnosti Povolit port přesměrování zaškrtněte políčko.
  4. V případě přesměrování portu zadejte 80 a vyberte HTTP. Tato možnost přesměruje příchozí provoz klienta HTTP na HTTPS.
  5. V případě profilu protokolu SSL klienta vyberte Použít existující.
  6. V části Společné vyberte možnost, kterou jste vytvořili. Pokud testujete, ponechte výchozí hodnotu. Profil SSL klienta povolí virtuální server pro protokol HTTPS, takže připojení klientů jsou šifrovaná přes protokol TLS.

Snímek obrazovky s možnostmi a možnostmi pro vlastnosti virtuálního serveru

Vlastnosti fondu

Karta Fond aplikací má služby za BIG-IP, které jsou reprezentované jako fond s aplikačními servery.

  1. Vyberte fond, vyberte Vytvořit nový nebo ho vyberte.
  2. V případě metody vyrovnávání zatížení vyberte Kruhové dotazování.
  3. U serverů fondu vyberte v části Název IP adresy nebo uzlu uzel nebo zadejte IP adresu a port pro servery, které jsou hostitelem aplikace PeopleSoft.

Snímek obrazovky s možnostmi IP adresy nebo uzlu a portů ve vlastnostech fondu

Hlavičky HTTP a jednotného přihlašování

Průvodce snadného tlačítka podporuje autorizační hlavičky Kerberos, OAuth Bearer a HTTP pro jednotné přihlašování k publikovaným aplikacím. Aplikace PeopleSoft očekává hlavičky.

  1. U hlaviček HTTP zaškrtněte políčko.
  2. V části Operace záhlaví vyberte nahradit.
  3. Jako název záhlaví zadejte PS_SSO_UID.
  4. Jako hodnotu hlavičky zadejte %{session.sso.token.last.username}.

Snímek obrazovky s položkami hodnoty Hlavička, Název záhlaví a Hlavičky v části Hlavičky jednotného přihlašování a HTTP

Poznámka:

Proměnné relace APM ve složených závorkách rozlišují malá a velká písmena. Pokud například zadáte OrclGUID a název atributu je orclguid, mapování atributů selže.

Správa relací

Nastavení správy relací BIG-IP použijte k definování podmínek pro ukončení uživatelských relací nebo pokračování. Nastavte limity pro uživatele a IP adresy a odpovídající informace o uživatelích.

Další informace najdete v tématu support.f5.com pro K18390492: Zabezpečení | Průvodce provozem APM pro BIG-IP

V provozní příručce se nevztahuje jedna funkce odhlášení (SLO), která zajišťuje ukončení relací zprostředkovatele identity, BIG-IP a uživatelských agentů, když se uživatelé odhlásí. Když snadné tlačítko vytvoří instanci aplikace SAML v tenantovi Microsoft Entra, naplní adresu URL odhlášení koncovým bodem SLO APM. Odhlášení iniciované adresou IDP z Moje aplikace ukončí relace BIG-IP a klienta.

Publikovaná data federace SAML aplikace se importují z tenanta. Tato akce poskytuje APM koncový bod pro odhlášení SAML pro ID Microsoft Entra, který zajišťuje ukončení odhlašování inicializováno SP a relace Microsoft Entra. APM musí vědět, kdy se uživatel odhlásí.

Když webový portál BIG-IP přistupuje k publikovaným aplikacím, APM zpracuje odhlášení, aby volal koncový bod odhlášení Microsoft Entra. Pokud se nepoužívá portál webtopu BIG-IP, uživatel nemůže instruovat, aby se APM odhlasil. Pokud se uživatel z aplikace odhlásí, je big-IP adresa zastaralá. Odhlašování iniciované aktualizací SP vyžaduje ukončení zabezpečené relace. Přidejte do tlačítka Odhlásit se z aplikace funkci SLO, která přesměruje klienta do koncového bodu microsoft Entra SAML nebo BIG-IP. Adresa URL koncového bodu SAML odhlaste pro vašeho tenanta v koncových bodech >registrace aplikací.

Pokud nemůžete aplikaci změnit, zvažte, jestli chcete, aby se volání odhlašování z aplikace naslouchala big-IP adresa a aktivovala SLO. Další informace naleznete v části PeopleSoft Single Logout v následující části.

Nasazení

  1. Vyberte Nasadit.
  2. Ověřte aplikaci v seznamu tenantů podnikových aplikací.
  3. Aplikace je publikovaná a přístupná pomocí SHA.

Konfigurace PeopleSoftu

Použijte Oracle Access Manager pro správu identit a přístupu aplikace PeopleSoft.

Další informace najdete v tématu o docs.oracle.com pro průvodce integrací Oracle Access Manger, integrací PeopleSoftu.

Konfigurace jednotného přihlašování Oracle Access Manageru

Nakonfigurujte Oracle Access Manager tak, aby přijímal jednotné přihlašování z BIG-IP adresy.

  1. Přihlaste se ke konzole Oracle s oprávněními správce.

Snímek obrazovky konzoly Oracle

  1. Přejděte na PeopleTools > Security.
  2. Vyberte profily uživatelů.
  3. Vyberte profily uživatelů.
  4. Vytvořte nový profil uživatele.
  5. Jako ID uživatele zadejte OAMPSFT.
  6. Jako roli uživatele zadejte uživatele PeopleSoft.
  7. Zvolte Uložit.
  8. Přejděte do webového profilu Nástroje>lidé.
  9. Vyberte webový profil.
  10. On Security tab, in Public Users, select Allow Public Access.
  11. Jako ID uživatele zadejte OAMPSFT.
  12. Zadejte heslo.
  13. Nechte konzolu Peoplesoft.
  14. Spusťte Návrhář aplikací PeopleTools.
  15. Klikněte pravým tlačítkem myši na pole LDAPAUTH .
  16. Vyberte Zobrazit kód PeopleCode.

Snímek obrazovky s možnostmi LDAPAUTH v návrháři aplikací

  1. Otevře se okna kódu LDAPAUTH .

  2. Vyhledejte funkci OAMSSO_AUTHENTICATION.

  3. Nahraďte hodnotu &defaultUserId hodnotou OAMPSFT.

    Snímek obrazovky s výchozí hodnotou ID uživatele se rovná hodnotě OAMPSFT v části Funkce

  4. Uložte záznam.

  5. Přejděte na **PeopleTools > Security.

  6. Vyberte Objekty zabezpečení.

  7. Vyberte Přihlásit se pomocí kódu PeopleCode.

  8. Povolte OAMSSO_AUTHENTICATION.

Odhlašovací protokol PeopleSoftu

Když se odhlásíte z Moje aplikace, zahájí se cíl služby PeopleSoft, který pak volá koncový bod SLO BIG-IP. BIG-IP potřebuje pokyny k provedení SLO jménem aplikace. Požádejte uživatele, aby se odhlašoval odhlasování požadavků na Službu BIG-IP a pak aktivoval SLO.

Přidání podpory SLO pro uživatele PeopleSoftu

  1. Získejte adresu URL pro odhlášení z portálu PeopleSoft.
  2. Otevřete portál ve webovém prohlížeči.
  3. Povolte ladicí nástroje.
  4. Vyhledejte prvek s ID PT_LOGOUT_MENU .
  5. Uložte cestu URL s parametry dotazu. V tomto příkladu: /psp/ps/?cmd=logout.

Snímek obrazovky s adresou URL odhlášení z PeopleSoftu

Vytvořte iRule BIG-IP pro přesměrování uživatelů na odhlašující koncový bod SAML SP: /my.logout.php3.

  1. Přejděte na **Místní seznam iRules provozu > .
  2. Vyberte Vytvořit.
  3. Zadejte název pravidla.
  4. Zadejte následující příkazové řádky.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

  1. Vyberte Dokončeno.

Přiřaďte iRule k virtuálnímu serveru BIG-IP.

  1. Přejděte do > s asistencí pro Access.
  2. Vyberte odkaz konfigurace aplikace PeopleSoft.

Snímek obrazovky s odkazem na konfiguraci aplikace PeopleSoft

  1. V horním navigačním panelu vyberte Virtuální server.
  2. V části Upřesnit nastavení vyberte *Zapnuto.

Snímek obrazovky s možností Rozšířené ověřování ve vlastnostech virtuálního serveru

  1. Posuňte se dolů.
  2. V části Společné přidejte iRule, který jste vytvořili.

Snímek obrazovky modulu irule v části Common on Virtual Server Configuration

  1. Zvolte Uložit.
  2. Vyberte Další.
  3. Pokračujte v konfiguraci nastavení.

Další informace najdete v support.f5.com pro:

Výchozí cílová stránka PeopleSoft

Přesměrujte požadavky uživatelů z kořenového adresáře ("/") na externí portál PeopleSoft, který se obvykle nachází v umístění: /psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL"

  1. Přejděte na místní provoz > iRule.
  2. Vyberte iRule_PeopleSoft.
  3. Přidejte následující příkazové řádky.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. Přiřaďte iRule k virtuálnímu serveru BIG-IP.

Potvrzení konfigurace

  1. V prohlížeči přejděte na externí adresu URL aplikace PeopleSoft nebo vyberte ikonu aplikace v Moje aplikace.

  2. Ověřte se v Microsoft Entra ID.

  3. Budete přesměrováni na virtuální server BIG-IP a přihlásíte se pomocí jednotného přihlašování.

    Poznámka:

    Můžete zablokovat přímý přístup k aplikaci, čímž vynucujete cestu prostřednictvím big-IP adresy.

Pokročilé nasazení

Někdy šablony konfigurace s asistencí nemají flexibilitu.

Další informace: Kurz: Konfigurace Správce zásad přístupu F5 BIG-IP pro jednotné přihlašování založené na hlavičce

Případně v big-IP zakažte režim striktní správy konfigurace s asistencí. Konfigurace můžete změnit ručně, i když většina konfigurací je automatizovaná pomocí šablon průvodce.

  1. Přejděte do > s asistencí pro Access.
  2. Na konci řádku vyberte zámek.

Snímek obrazovky s ikonou visacího zámku

Změny uživatelského rozhraní průvodce nejsou možné, ale objekty BIG-IP přidružené k publikované instanci aplikace jsou odemknuté pro správu.

Poznámka:

Když znovu spustíte striktní režim a nasadíte konfiguraci, přepíšou se nastavení provedená mimo konfiguraci s asistencí. Pro produkční služby doporučujeme pokročilou konfiguraci.

Řešení problému

Pomocí protokolování BIG-IP můžete izolovat problémy s připojením, jednotným přihlašováním, porušeními zásad nebo chybně nakonfigurovanými mapováními proměnných.

Úroveň podrobností protokolu

  1. Přejděte na > zásad přístupu.
  2. Vyberte protokoly událostí.
  3. Vyberte Nastavení.
  4. Vyberte řádek publikované aplikace.
  5. VyberteUpravit.
  6. Výběr přístupových systémových protokolů
  7. V seznamu jednotného přihlašování vyberte Ladit.
  8. Vyberte OK.
  9. Reprodukujte příslušný problém.
  10. Zkontrolujte protokoly.

Až budete hotovi, vraťte se k této funkci, protože podrobný režim generuje velké množství dat.

Chybová zpráva BIG-IP

Pokud se po předběžném ověření Microsoft Entra zobrazí chyba BIG-IP, je možné, že problém souvisí s MICROSOFT Entra ID s jednotným přihlašováním BIG-IP.

  1. Přejděte na > aplikace Access.
  2. Vyberte sestavy Accessu.
  3. Spusťte sestavu za poslední hodinu.
  4. Projděte si protokoly, kde najdete nápovědu.

Pomocí odkazu zobrazit relaci relace potvrďte, že APM obdrží očekávané deklarace identity Microsoft Entra.

Žádná chybová zpráva BIG-IP

Pokud se nezobrazí žádná chybová zpráva BIG-IP, problém může souviset s back-endovým požadavkem nebo big-IP sso aplikace.

  1. Přejděte na > zásad přístupu.
  2. Vyberte aktivní relace.
  3. Vyberte odkaz aktivní relace.

Pomocí odkazu Zobrazit proměnné určete problémy s jednotným přihlašováním, zejména pokud APM BIG-IP získá nesprávné atributy z proměnných relace.

Další informace: