Partager via


Tutoriel : configurer BIG-IP Easy Button F5 pour l’authentification unique à Oracle PeopleSoft

Dans cet article, apprenez à sécuriser Oracle PeopleSoft avec Microsoft Entra ID, avec la configuration guidée 16.1 de BIG-IP Easy Button F5.

Intégrez BIG-IP à Microsoft Entra ID pour de nombreux avantages :

En savoir plus :

Description du scénario

Pour ce tutoriel, nous utilisons une application PeopleSoft utilisant des en-têtes d’autorisation HTTP pour gérer l’accès au contenu protégé.

Les applications héritées ne disposent pas de protocoles modernes pour prendre en charge l’intégration de Microsoft Entra. Une modernisation est coûteuse, nécessite une planification et présente un risque potentiel de temps d’arrêt. Au lieu de cela, utilisez un contrôleur de remise d’application (ADC) F5 BIG-IP pour combler le manque entre les applications héritées et le contrôle d’ID moderne, avec la transition de protocole.

Avec une BIG-IP devant l’application, vous pouvez superposer le service avec la pré-authentification Microsoft Entra et l’authentification unique basée sur l’en-tête. Cette action améliore la posture de sécurité de l’application.

Remarque

Accédez à distance à ce type d’application avec le proxy d’application Microsoft Entra.
Voir Accès à distance aux applications sur site via le proxy d'application Microsoft Entra.

Architecture du scénario

La solution d’accès hybride sécurisé (SHA) pour ce tutoriel comprend les éléments suivants :

  • Application PeopleSoft : service publié par BIG-IP protégé par l’accès hybride sécurisé (SHA) Microsoft Entra
  • Microsoft Entra ID – Fournisseur d'identité (IdP) Security Assertion Markup Language (SAML) qui vérifie les informations d'identification de l'utilisateur, l'accès conditionnel et l'authentification unique basée sur SAML sur le BIG-IP
    • Avec l’authentification unique, Microsoft Entra ID fournit des attributs de session à BIG-IP
  • BIG-IP : proxy inverse et fournisseur de services SAML pour l’application. Il délègue l’authentification au fournisseur d’identité SAML, puis effectue une authentification unique basée sur l’en-tête auprès du service PeopleSoft.

Pour ce scénario, SHA prend en charge les flux lancés par le fournisseur de services et le fournisseur d’identité. Le diagramme suivant montre le flux lancé par le fournisseur de services.

Diagramme d’un accès hybride sécurisé avec le flux initié par le fournisseur de services.

  1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP).
  2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
  3. Microsoft Entra pré-authentifie l’utilisateur et applique les stratégies d’accès conditionnel.
  4. L’utilisateur est redirigé vers BIG-IP (SP SAML), et l’authentification unique s’effectue avec le jeton SAML émis.
  5. BIG-IP injecte les attributs Microsoft Entra sous forme d’en-têtes dans la demande envoyée à l’application.
  6. L’application autorise la demande et renvoie une charge utile.

Prérequis

Configuration de BIG-IP

Ce tutoriel utilise la Configuration guidée version 16.1 avec un modèle Easy Button.

Avec l'Easy Button, les administrateurs n'ont pas besoin d'aller entre Microsoft Entra ID et un BIG-IP pour activer les services pour SHA. L’Assistant Configuration guidée APM et Microsoft Graph gèrent le déploiement et la gestion des stratégies. L’intégration garantit que les applications prennent en charge la fédération d’identités, l’authentification unique et l’accès conditionnel.

Notes

Remplacez les exemples de chaînes ou de valeurs de ce didacticiel par ceux de votre environnement.

Inscrire Easy Button

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Avant qu’un client ou un service accède à Microsoft Graph, la plateforme d’identités Microsoft doit l’approuver.

En savoir plus : Démarrage rapide : Inscrire une application avec la plateforme d’identités Microsoft

Les instructions suivantes vous aident à créer une inscription d’application client pour autoriser l’accès Easy Button à Graph. Avec ces autorisations, BIG-IP envoie les configurations pour établir une relation d’approbation entre une instance SAML SP pour une application publiée et Microsoft Entra ID en tant qu’IdP SAML.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité> Applications> Inscriptions d’applications > Nouvelle inscription.

  3. Entrer le nom d’une application.

  4. Pour Comptes dans cet annuaire organisationnel uniquement, spécifiez qui utilise l’application.

  5. Sélectionnez Inscription.

  6. Accédez à Autorisations de l’API.

  7. Autorisez les autorisations d’application Microsoft Graph suivantes :

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Accordez le consentement administrateur à votre organisation.

  9. Accédez à Certificats et secrets.

  10. Générez une Clé secrète client et notez-la.

  11. Accédez à Vue d’ensemble, notez l’ID client et l’ID de locataire.

Configurer Easy Button

  1. Lancez la configuration guidée d’APM.
  2. Lancez le modèle Easy Button.
  3. Accédez à Access > Guided Configuration.
  4. Sélectionnez Microsoft Integration.
  5. Sélectionnez Application Microsoft Entra.
  6. Passez en revue la séquence de configuration.
  7. Sélectionnez Suivant.
  8. Suivez la séquence de configuration.

Suivez la séquence de configuration sous Configuration de lApplication Microsoft Entra.

Configuration Properties

Utilisez l’onglet Propriétés de configuration pour créer des configurations d’application et des objets SSO. La section Azure Service Account Details (Détails du compte de service Azure) représente le client que vous avez inscrit dans le locataire Microsoft Entra en tant qu’application. Utilisez les paramètres du client OAuth BIG-IP pour inscrire un fournisseur de services SAML dans le locataire, avec des propriétés d’authentification unique. Easy Button effectue cette action pour les services BIG-IP publiés et activés pour SHA.

Notes

Certains des paramètres suivants sont globaux. Vous pouvez les réutiliser afin de publier d’autres applications.

  1. Entrez un Configuration Name. Les noms uniques permettent de distinguer les configurations.
  2. Pour Authentification unique (SSO) et en-têtes HTTP, sélectionnez Activé.
  3. Saisissez l’ID de locataire, l’ID de client, et la Clé secrète client que vous avez notés.
  4. Vérifiez que BIG-IP se connecte au locataire.
  5. Cliquez sur Suivant.

Fournisseur de services

Utilisez les paramètres du Fournisseur de service pour définir les propriétés du fournisseur de services SAML pour l’instance APM qui représente l’application sécurisée par SHA.

  1. Pour Hôte, entrez le nom de domaine complet public de l’application sécurisée.
  2. Pour Entity ID, entrez l’identifiant utilisé par Microsoft Entra ID pour identifier le SP SAML demandant un jeton.

Capture d’écran des options et des sélections pour le fournisseur de service.

  1. (Facultatif) Pour les paramètres de sécurité, indiquez que Microsoft Entra ID chiffre les assertions SAML émises. Cette option renforce l’assurance que les jetons de contenu ne sont pas interceptés et que les données ne sont pas compromises.

  2. Dans la liste Clé privée de déchiffrement d’assertion, sélectionnez Créer un nouveau.

Capture d’écran de Créer nouveau dans la liste Assertion Decryption Private Key (Clé privée de déchiffrement d’assertion).

  1. Sélectionnez OK.
  2. La boîte de dialogue Import SSL Certificates and Keys (Importer des certificats et des clés SSL) s’ouvre dans un nouvel onglet.
  3. Pour Import Type, sélectionnez PKCS 12 (IIS). Cette option importe votre certificat et votre clé privée.
  4. Fermez l’onglet du navigateur pour revenir à l’onglet principal.

Capture d’écran des options et des sélections pour le certificat SSL et la source clé

  1. Pour Activer l’assertion chiffrée, activez la case.
  2. Si vous avez activé le chiffrement, sélectionnez votre certificat dans la liste Clé privée de déchiffrement d’assertion. Cette clé privée correspond au certificat qu’utilise BIG-IP APM pour déchiffrer les assertions Microsoft Entra.
  3. Si vous avez activé le chiffrement, sélectionnez votre certificat dans la liste Certificat de déchiffrement d’assertion. BIG-IP charge ce certificat dans Microsoft Entra ID pour chiffrer les assertions SAML émises.

Capture d’écran des options et des sélections de paramètres de sécurité.

Microsoft Entra ID

Easy Button fournit des modèles pour Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP et un modèle SHA générique.

  1. Sélectionnez Oracle PeopleSoft.
  2. Sélectionnez Ajouter.

Configuration d’Azure

  1. Entrez le Nom d’affichage de l’application que BIG-IP crée dans le locataire. Le nom apparaît sur une icône dans Mes applications.

  2. (Facultatif) Pour URL de connexion, entrez le nom de domaine complet public de l’application PeopleSoft.

  3. En regard des options Clé de signature et Certificat de signature, sélectionnez actualiser. Cette action localise le certificat que vous avez importé.

  4. Dans la Phrase secrète de la clé de signature, entrez le mot de passe du certificat.

  5. (Facultatif) Pour Option de signature, sélectionnez une option. Cette sélection garantit que BIG-IP accepte les jetons et les revendications signés par Microsoft Entra ID.

Capture d’écran des options de clé de signature, de certificat de signature et de phrase secrète de clé de signature sous le certificat de signature SAML.

  1. Les utilisateurs et les groupes d'utilisateurs sont interrogés dynamiquement à partir du locataire Microsoft Entra.
  2. Ajoutez un utilisateur ou un groupe pour les tests ; sinon, les accès sont refusés.

Capture d’écran de l’option Ajouter dans la section Utilisateurs et groupe d’utilisateurs.

Attributs utilisateur et revendications

Quand un utilisateur s’authentifie, Microsoft Entra ID émet un jeton SAML avec des revendications et des attributs par défaut qui identifient cet utilisateur. L’onglet Attributs utilisateur et revendications contient les revendications par défaut à émettre pour la nouvelle application. Utilisez-le pour configurer d’autres revendications. Le modèle Easy Button a la revendication d’ID d’employé requise par PeopleSoft.

Capture d’écran des options et des sélections pour Attributs utilisateur et revendications.

Si nécessaire, incluez d’autres attributs Microsoft Entra. L’exemple d’application PeopleSoft nécessite des attributs prédéfinis.

Attributs utilisateur supplémentaires

L’onglet Attributs utilisateur supplémentaires prend en charge les systèmes distribués nécessitant des attributs stockés dans d’autres répertoires pour l’augmentation de la session. Les attributs d’une source LDAP sont injectés en tant qu’en-têtes SSO supplémentaires pour contrôler l’accès en fonction des rôles et des ID de partenaire, entre autres.

Remarque

Cette fonctionnalité n'a aucune corrélation avec Microsoft Entra ID, elle constitue une autre source d'attributs.

Stratégie d’accès conditionnel

Les stratégies d’accès conditionnel sont appliquées après la pré-authentification Microsoft Entra pour contrôler l’accès en fonction de l’appareil, de l’application, de l’emplacement et des signaux de risque. La vue Stratégies disponibles contient les stratégies d’accès conditionnel sans action de l’utilisateur. L’affichage Stratégies sélectionnées répertorie les stratégies qui ciblent des applications cloud. Vous ne pouvez pas désélectionner ni déplacer ces stratégies vers la liste des stratégies disponibles, car elles sont appliquées au niveau du locataire.

Sélectionnez une stratégie pour l’application.

  1. Dans la liste Stratégies disponibles , sélectionnez une stratégie.
  2. Sélectionnez la flèche vers la droite et déplacez la stratégie vers Stratégies sélectionnées.

Les stratégies sélectionnées doivent avoir l’option Inclure ou Exclure cochée. Si les deux options sont cochées, la stratégie n’est pas appliquée.

Capture d’écran des stratégies exclues, sous Stratégies sélectionnées, sous l’onglet Stratégie d’accès conditionnel.

Notes

La liste des stratégies s’affiche une fois, lorsque vous sélectionnez l’onglet. Utilisez Actualiser pour l’Assistant afin d’interroger le locataire. Cette option apparaît une fois l’application déployée.

Propriétés du serveur virtuel

Un serveur virtuel est un objet de plan de données BIG-IP représenté par une adresse IP virtuelle. Le serveur écoute les requêtes du client adressées à l’application. Le trafic reçu est traité et évalué par rapport au profil APM de serveur virtuel. Le trafic est ensuite dirigé conformément à la stratégie.

  1. Pour Adresse de destination, entrez l’adresse IPv4 ou IPv6 utilisée par BIG-IP pour recevoir le trafic client. Un enregistrement correspondant apparaît dans DNS, ce qui permet aux clients de résoudre l’URL externe de l’application publiée sur l’adresse IP. Utilisez un DNS localhost d’ordinateur de test pour les tests.
  2. Pour Port de service, entrez 443, puis sélectionnez HTTPS.
  3. Pour Activer le port de redirection, activez la case.
  4. Pour Port de redirection, entrez 80, puis sélectionnez HTTP. Cette option redirige le trafic entrant du client HTTP vers HTTPS.
  5. Pour Profil SSL du client, sélectionnez Utiliser l’existant.
  6. Sous Courant, sélectionnez l’option que vous avez créée. En cas de test, conservez la valeur par défaut. Le profil SSL du client permet d’activer le serveur virtuel pour HTTPS afin que les connexions clientes soient chiffrées sur TLS.

Capture d’écran des options et des sélections pour les propriétés du serveur virtuel.

Propriétés du pool

L’onglet Pool d'applications a des services derrière BIG-IP, représentés comme un pool avec des serveurs d’application.

  1. Pour Sélectionner un pool, sélectionnez Créer ou sélectionnez-en un.
  2. Pour Load Balancing Method, sélectionnez Round Robin.
  3. Pour Pool Servers (Serveurs de pool), dans IP Address/Node Name (Adresse IP/nom de nœud), ou entrez une adresse IP et un port pour les serveurs hébergeant l’application PeopleSoft.

Capture d’écran des options IP Address/Node Name (Adresse IP/Nom de nœud) et Port sur les propriétés du pool.

Authentification unique et en-têtes HTTP

L’Assistant Easy Buttonprend en charge Kerberos, OAuth Bearer et les en-têtes d’autorisation HTTP pour l’authentification unique pour les applications publiées. L’application PeopleSoft attend des en-têtes.

  1. Pour En-têtes HTTP, cochez la case.
  2. Pour Opération d’en-tête, sélectionnez remplacer.
  3. Pour Header Name (Nom de l’en-tête), entrez PS_SSO_UID.
  4. Pour Valeur de l’en-tête, entrez %{session.sso.token.last.username}.

Capture d’écran des entrées de valeur Opération d’en-tête, Nom d’en-tête et En-tête sous Authentification unique et en-têtes HTTP.

Remarque

Les variables de session APM entre accolades respectent la casse. Par exemple, si vous entrez OrclGUID et que le nom de l’attribut est orclguid, le mappage de l’attribut échoue.

Gestion des sessions

Utilisez les paramètres de gestion de session BIG-IP pour définir des conditions d’arrêt ou de continuation des sessions utilisateur. Définissez des limites pour les utilisateurs et les adresses IP, ainsi que des informations utilisateur correspondantes.

Pour en savoir plus, accédez à support.f5.com et consultez K18390492 : Security | BIG-IP APM operations guide

La fonctionnalité Single Log Out (SLO) n’est pas couverte dans ce guide des opérations. Elle garantit que les sessions entre le fournisseur d’identité, BIG-IP et l’agent utilisateur se terminent lorsque les utilisateurs se déconnectent. Lorsqu’Easy Button instancie une application SAML dans votre locataire Microsoft Entra, il remplit l’URL de déconnexion avec le point de terminaison SLO APM. La déconnexion lancée par le fournisseur d’identité à partir de Mes applications met fin aux sessions BIG-IP et clientes.

Les données de fédération SAML de l’application publiée sont importées à partir du locataire. Cette action fournit à l'APM le point de terminaison de déconnexion SAML pour Microsoft Entra ID, qui assure la déconnexion initiée par le SP à mettre fin au client et aux sessions Microsoft Entra. L’APM doit savoir quand un utilisateur se déconnecte.

Si le portail webtop BIG-IP accède aux applications publiées, APM traite une déconnexion pour appeler le point de terminaison de déconnexion Microsoft Entra. Si le portail webtop BIG-IP n’est pas utilisé, l’utilisateur ne peut pas demander à APM de se déconnecter. Si l’utilisateur se déconnecte de l’application, BIG-IP n’en a pas connaissance. La déconnexion initiée par le fournisseur de services nécessite un arrêt de session sécurisé. Ajoutez une fonction SLO au bouton de déconnexion de votre application pour rediriger votre client vers le point de terminaison de déconnexion Microsoft Entra SAML ou BIG-IP. L’URL du point de terminaison de déconnexion SAML de votre locataire dans Inscriptions d’applications > Points de terminaison.

Si vous ne pouvez pas modifier l’application, faites en sorte que BIG-IP écoute l’appel de déconnexion d’application et déclenche SLO. Pour plus d’informations, consultez Single Logout PeopleSoft dans la section suivante.

Déploiement

  1. Sélectionnez Déployer.
  2. Vérifiez l’application dans la liste de locataires d’applications d’entreprise.
  3. L’application est publiée et accessible avec SHA.

Configurer PeopleSoft

Utilisez Oracle Access Manager pour la gestion des identités et des accès des applications PeopleSoft.

Pour en savoir plus, consultez le Guide d’intégration d’Oracle Access Manager – Intégration de PeopleSoft sur le site docs.oracle.com.

Configurer l’authentification unique Oracle Access Manager

Configurez Oracle Access Manager pour qu’il accepte l’authentification unique à partir de BIG-IP.

  1. Connectez-vous à la console Oracle avec des autorisations d’administrateur.

Capture d’écran de la console Oracle.

  1. Accédez à PeopleTools > Security (Sécurité).
  2. Sélectionnez User Profiles (Profils utilisateur).
  3. Sélectionnez User Profiles (Profils utilisateur).
  4. Créez un profil utilisateur.
  5. Pour User ID (ID d’utilisateur), entrez OAMPSFT.
  6. Pour User Role (Rôle d’utilisateur), entrez Utilisateur PeopleSoft.
  7. Cliquez sur Enregistrer.
  8. Accédez à PeopleTools>Web Profile (Profil web).
  9. Sélectionnez le profil web.
  10. Sous l’onglet Security (Sécurité), dans Public Users (Utilisateurs publics), sélectionnez Allow Public Access (Autoriser l’accès public).
  11. Pour User ID (ID d’utilisateur), entrez OAMPSFT.
  12. Entrez le Password.
  13. Quittez la console Peoplesoft.
  14. Démarrez PeopleTools Application Designer.
  15. Cliquez avec le bouton droit sur le champ LDAPAUTH.
  16. Sélectionnez View PeopleCode (Afficher PeopleCode).

Capture d’écran des options LDAPAUTH sous Application Designer.

  1. La fenêtre de code LDAPAUTH s’ouvre.

  2. Recherchez la fonction OAMSSO_AUTHENTICATION.

  3. Remplacez la valeur &defaultUserId par OAMPSFT.

    Capture d’écran de la valeur d’ID d’utilisateur égal à OAMPSFT sous Function (Fonction).

  4. Enregistrez l’enregistrement.

  5. Accédez à **PeopleTools > Security (Sécurité).

  6. Sélectionnez Security Objects (Objets de sécurité).

  7. Sélectionnez Sign on PeopleCode (Se connecter à PeopleCode).

  8. Activez OAMSSO_AUTHENTICATION.

PeopleSoft Single Logout

Lorsque vous vous déconnectez de Mes applications, SLO PeopleSoft est lancé, ce qui à son tour appelle le point de terminaison SLO BIG-IP. BIG-IP a besoin d’instructions pour exécuter SLO pour le compte de l’application. Faites en sorte que BIG-IP écoute les demandes de déconnexion de l’utilisateur auprès de PeopleSoft, puis déclenche le SLO.

Ajoutez la prise en charge de SLO pour les utilisateurs PeopleSoft.

  1. Obtenez l’URL de déconnexion du portail PeopleSoft.
  2. Ouvrez le portail avec un navigateur web.
  3. Activez les outils de débogage.
  4. Recherchez l’élément avec l’ID PT_LOGOUT_MENU.
  5. Enregistrez le chemin d’accès de l’URL avec les paramètres de requête. Dans cet exemple : /psp/ps/?cmd=logout.

Capture d’écran montrant l’URL de déconnexion de PeopleSoft.

Créez une iRule BIG-IP pour rediriger les utilisateurs vers le point de terminaison de déconnexion du fournisseur de services SAML : /my.logout.php3.

  1. Accédez à **Local Traffic (Trafic local) > iRules List (Liste d’iRules).
  2. Sélectionnez Create (Créer).
  3. Entrez un nom pour la règle.
  4. Entrez les lignes de commande suivantes.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

  1. Sélectionnez Finished.

Attribuez cette iRule au serveur virtuel BIG-IP.

  1. Accédez à Access > Guided Configuration.
  2. Sélectionnez le lien configuration de l’application PeopleSoft.

Capture d’écran du lien de configuration de l’application PeopleSoft.

  1. Dans la barre de navigation supérieure, sélectionnez Virtual Server (Serveur virtuel).
  2. Pour accéder aux paramètres avancés, sélectionnez *On.

Capture d’écran de l’option Advanced Settings (Paramètres avancés) dans Virtual Server Properties (Propriétés du serveur virtuel).

  1. Faites défiler vers le bas.
  2. Sous Common (Courant), ajoutez l’iRule que vous avez créée.

Capture d’écran de l’iRule sous Common (Courant) dans Virtual Server Configuration (Configuration du serveur virtuel).

  1. Sélectionnez Enregistrer.
  2. Sélectionnez Suivant.
  3. Continuez pour configurer les paramètres.

Pour en savoir plus, accédez au site support.f5.com pour consulter :

Page d’accueil PeopleSoft par défaut

Redirigez les requêtes de l’utilisateur depuis la racine (« / ») vers le portail PeopleSoft externe, qui est généralement situé ici : « /psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL ».

  1. Accédez à Local Traffic (Trafic local) > iRules List (Liste d’iRules).
  2. Sélectionnez iRule_PeopleSoft.
  3. Ajoutez les lignes de commande suivantes.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. Attribuez cette iRule au serveur virtuel BIG-IP.

Confirmer la configuration

  1. Avec un navigateur, accédez à l’URL externe de l’application PeopleSoft ou sélectionnez l’icône de l’application dans Mes Applications.

  2. Authentifiez-vous auprès de Microsoft Entra ID.

  3. Vous êtes redirigé vers le serveur virtuel BIG-IP et connecté avec l’authentification unique.

    Notes

    Vous pouvez bloquer l’accès direct à l’application en forçant l’adoption d’un chemin par le biais de BIG-IP.

Déploiement avancé

Les modèles de configuration guidée manquent parfois de flexibilité.

En savoir plus : Didacticiel : configurer F5 BIG-IP Access Policy Manager pour l’authentification unique basée sur l’en-tête

Vous pouvez également désactiver le mode de gestion stricte Configuration guidée dans BIG-IP. Vous pouvez modifier manuellement les configurations. Toutefois, la plupart des configurations sont automatisées avec des modèles d’Assistant.

  1. Accédez à Access > Guided Configuration.
  2. À la fin de la ligne, sélectionnez le cadenas.

Capture d’écran de l’option cadenas.

Les modifications effectuées avec l’interface utilisateur de l’Assistant ne pas possibles, mais tous les objets BIG-IP associés à l’instance publiée de l’application sont déverrouillés pour gestion.

Notes

Si vous réactivez le mode strict et déployez une configuration, les réglages effectués en dehors de l’interface utilisateur Configuration guidée sont remplacés. Nous vous recommandons la configuration avancée pour les services de production.

Résolution des problèmes

L’utilisation de la journalisation BIG-IP pour isoler toutes sortes de problèmes liés à la connectivité, à l’authentification unique, aux violations de stratégies ou aux mappages de variables mal configurés.

Verbosité du journal

  1. Accédez à Access Policy > Overview.
  2. Sélectionnez Event Logs.
  3. Sélectionnez Paramètres.
  4. Sélectionnez la ligne de votre application publiée.
  5. SélectionnezModifier.
  6. Sélectionnez Accéder aux journaux système
  7. Dans la liste de l’authentification unique, sélectionnez Debug.
  8. Sélectionnez OK.
  9. Reproduisez votre problème.
  10. Inspectez les données.

Lorsque vous avez terminé, rétablissez la fonctionnalité, car le mode détaillé génère beaucoup de données.

Message d’erreur BIG-IP

Si une erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, il est possible que le problème soit lié à Microsoft Entra ID vers l'authentification unique BIG-IP.

  1. Accédez à Accéder > Vue d’ensemble.
  2. Sélectionnez Access reports.
  3. Exécutez le rapport pour la dernière heure.
  4. Passez en revue les journaux à la recherche d’éventuels indices.

Utilisez le lien de session View Session (Afficher la session) pour vérifier qu’APM reçoit les revendications Microsoft Entra attendues.

Aucun message d’erreur BIG-IP

Si aucun message d’erreur BIG-IP n’apparaît, le problème peut être lié à la requête back-end ou à l’authentification unique entre BIG-IP et l’application.

  1. Accédez à Access Policy > Overview.
  2. Sélectionnez Active Sessions.
  3. Sélectionnez le lien de session active.

Utilisez le lien Afficher les variables pour déterminer les problèmes d’authentification unique, en particulier si APM BIG-IP obtient des attributs incorrects à partir de variables de session.

En savoir plus :