다음을 통해 공유


양식 기반 SSO에 F5 BIG-IP 액세스 정책 관리자 구성

양식 기반 애플리케이션에 대한 SHA(보안 하이브리드 액세스)를 위해 F5 BIG-IP APM(액세스 정책 관리자) 및 Microsoft Entra ID를 구성하는 방법을 알아봅니다. Microsoft Entra Single Sign-On용 BIG-IP 게시 서비스에는 다음과 같은 이점이 있습니다.

자세히 보기:

시나리오 설명

이 시나리오의 경우 FBA(양식 기반 인증)용으로 구성된 내부 레거시 애플리케이션이 있습니다. 레거시에는 최신 인증 프로토콜이 없기 때문에 이상적으로는 Microsoft Entra ID가 애플리케이션 액세스를 관리합니다. 현대화에는 시간과 노력이 필요하므로 가동 중지 시간이 발생할 위험이 있습니다. 대신 공용 인터넷과 내부 애플리케이션 간에 BIG-IP를 배포합니다. 이 구성은 애플리케이션에 대한 인바운드 액세스를 게이트합니다.

애플리케이션 앞에 BIG-IP를 배치하면 Microsoft Entra 사전 인증 및 헤더 기반 SSO로 서비스를 오버레이할 수 있습니다. 오버레이는 애플리케이션 보안 태세를 개선합니다.

시나리오 아키텍처

SHA 솔루션에는 다음과 같은 구성 요소가 있습니다.

  • 애플리케이션 - SHA로 보호되는 BIG-IP 게시 서비스.
    • 애플리케이션이 사용자 자격 증명의 유효성을 검사합니다.
    • 모든 디렉토리, 오픈 소스 등을 사용합니다.
  • Microsoft Entra ID - 사용자 자격 증명, 조건부 액세스 및 BIG-IP에 대한 SSO를 확인하는 SAML(Security Assertion Markup Language) IdP(ID 공급자).
    • SSO를 통해 Microsoft Entra ID는 사용자 ID를 포함하여 BIG-IP에 특성을 제공합니다.
  • BIG-IP - 애플리케이션에 대한 역방향 프록시 및 SAML SP(서비스 공급자)입니다.
    • 그런 다음 SAML IdP에 대한 BIG-IP 위임 인증이 백 엔드 애플리케이션에 대한 헤더 기반 SSO를 수행합니다.
    • SSO는 다른 양식 기반 인증 애플리케이션에 대해 캐시된 사용자 자격 증명을 사용합니다.

SHA는 SP 및 IdP 시작 흐름을 지원합니다. 다음 다이어그램은 SP 시작 흐름을 보여 줍니다.

서비스 공급자 시작 흐름 다이어그램

  1. 사용자가 애플리케이션 엔드포인트(BIG-IP)에 연결합니다.
  2. BIG-IP APM 액세스 정책은 사용자를 Microsoft Entra ID(SAML IdP)로 리디렉션합니다.
  3. Microsoft Entra는 사용자를 사전 인증하고 적용된 조건부 액세스 정책을 적용합니다.
  4. 사용자가 BIG-IP(SAML SP)로 리디렉션되고, 발급된 SAML 토큰을 사용하여 SSO가 수행됩니다.
  5. BIG-IP는 사용자에게 애플리케이션 암호를 묻는 메시지를 표시하고 캐시에 저장합니다.
  6. BIG-IP는 애플리케이션에 요청을 보내고 로그인 양식을 받습니다.
  7. APM 스크립팅이 사용자 이름과 암호를 채운 다음 양식을 제출합니다.
  8. 웹 서버는 애플리케이션 페이로드를 제공하고 클라이언트에 보냅니다.

필수 조건

다음 구성 요소가 필요합니다.

  • Azure 구독
  • 클라우드 애플리케이션 관리자 또는 애플리케이션 관리자 역할 중 하나
  • BIG-IP 또는 Azure에 BIG-IP VE(Virtual Edition) 배포
  • 다음 F5 BIG-IP 라이선스 중 하나:
    • F5 BIG-IP® Best 번들
    • F5 BIG-IP APM(Access Policy Manager)™ 독립 실행형 라이선스
    • BIG-IP F5 BIG-IP® LTM(Local Traffic Manager)™에 대한 F5 BIG-IP Access Policy Manager™(APM) 추가 기능 라이선스
    • BIG-IP 전체 기능 90일 평가판 무료 평가판을 참조하세요.
  • 온-프레미스 디렉터리에서 Microsoft Entra ID로 동기화된 사용자 ID
  • HTTPS를 통한 서비스 게시 또는 테스트 중 기본 인증서 사용을 위한 SSL 인증서
  • 양식 기반 인증 애플리케이션 또는 테스트를 위한 IIS(인터넷 정보 서비스) FBA(양식 기반 인증) 앱을 설정합니다.

BIG-IP 구성

이 문서에 있는 구성은 유연한 SHA 구현인 BIG-IP 구성 개체를 수동으로 만드는 것입니다. 단계별 구성 템플릿에서 다루지 않는 시나리오에 이 방법을 사용할 수 있습니다.

참고 항목

문자열 또는 값 예를 사용자 환경의 문자열이나 값으로 바꿉니다.

Microsoft Entra ID에 F5 BIG-IP 등록

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

BIG-IP 등록은 엔터티 간의 SSO에 대한 첫 번째 단계입니다. F5 BIG-IP 갤러리 템플릿에서 만드는 앱은 BIG-IP 게시 애플리케이션의 SAML SP를 나타내는 신뢰 당사자입니다.

  1. 최소한 클라우드 애플리케이션 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>애플리케이션>엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동합니다.
  3. 모든 애플리케이션 창에서 새 애플리케이션을 선택합니다.
  4. Microsoft Entra 갤러리 찾아보기 창이 열립니다.
  5. 타일은 클라우드 플랫폼, 온-프레미스 애플리케이션 및 주요 애플리케이션에 대해 표시됩니다. 주요 애플리케이션 아이콘은 페더레이션된 SSO 및 프로비전이 지원된다는 의미입니다.
  6. Azure 갤러리에서 F5를 검색합니다.
  7. F5 BIG-IP APM Microsoft Entra ID 통합을 선택합니다.
  8. 새 애플리케이션이 사용하는 이름을 입력하여 애플리케이션 인스턴스를 인식합니다.
  9. 추가를 선택합니다.
  10. 만들기를 실행합니다.

F5 BIG-IP에 SSO 사용

BIG-IP 등록을 구성하여 BIG-IP APM에서 요청한 SAML 토큰을 완료합니다.

  1. 왼쪽 메뉴의 관리 섹션에서 Single Sign-On을 선택합니다.
  2. Single Sign-On 창이 나타납니다.
  3. Single Sign-On 방법 선택 페이지에서 SAML을 선택합니다.
  4. 아니요, 나중에 저장을 선택합니다.
  5. SAML로 Single Sign-On 설정 창에서 아이콘을 선택합니다.
  6. 식별자의 경우 값을 BIG-IP 게시된 애플리케이션 URL로 바꿉니다.
  7. 회신 URL의 경우 값을 바꿉니다. 단, 애플리케이션 SAML SP 엔드포인트 경로는 그대로 유지합니다. 이 구성에서 SAML 흐름은 IdP 시작 모드에서 작동합니다.
  8. Microsoft Entra ID가 SAML 어설션을 발급하면 사용자가 BIG-IP 엔드포인트로 리디렉션됩니다.
  9. SP 시작 모드의 경우 로그온 URL에 애플리케이션 URL을 입력합니다.
  10. 로그아웃 URL의 경우 서비스 호스트 헤더가 앞에 추가된 BIG-IP APM SLO(단일 로그아웃) 엔드포인트를 입력합니다.
  11. 그런 다음 BIG-IP APM 사용자 세션은 사용자가 Microsoft Entra ID에서 로그아웃하면 종료됩니다.
  12. 저장을 선택합니다.
  13. SAML 구성 창을 닫습니다.
  14. SSO 테스트 프롬프트를 건너뜁니다.
  15. 사용자 특성 및 클레임 섹션 속성을 확인합니다. Microsoft Entra ID는 BIG-IP APM 인증을 위한 속성과 백 엔드 애플리케이션에 대한 SSO를 발급합니다.
  16. SAML 서명 인증서 창에서 다운로드를 선택합니다.
  17. 페더레이션 메타데이터 XML 파일이 컴퓨터에 저장됩니다.

참고 항목

TMOS(트래픽 관리 운영 체제) v16부터 SAML SLO 엔드포인트는 /saml/sp/profile/redirect/slo입니다.

SAML 구성의 URL 스크린샷.

참고 항목

Microsoft Entra SAML 서명 인증서의 수명은 3년입니다.

자세한 정보: 페더레이션된 Single Sign-On에 대한 인증서 관리

사용자 및 그룹 할당

Microsoft Entra ID는 애플리케이션에 대한 액세스 권한이 부여된 사용자에게 토큰을 발급합니다. 특정 사용자 및 그룹 애플리케이션에 액세스 권한을 부여하려면 다음을 수행합니다.

  1. F5 BIG-IP 애플리케이션의 개요 창에서 사용자 및 그룹 할당을 선택합니다.
  2. + 사용자/그룹 추가를 선택합니다.
  3. 원하는 사용자 및 그룹을 선택합니다.
  4. 할당을 선택합니다.

BIG-IP 고급 구성

다음 지침을 사용하여 BIG-IP를 구성합니다.

SAML 서비스 공급자 설정 구성

SAML SP 설정은 APM이 SAML 사전 인증으로 레거시 애플리케이션을 오버레이하는 데 사용할 SAML SP 속성을 정의합니다. 구성하려면 다음을 수행합니다.

  1. 액세스>페더레이션>SAML 서비스 공급자를 선택합니다.

  2. 로컬 SP 서비스를 선택합니다.

  3. 만들기를 실행합니다.

    SAML 서비스 공급자 탭에 있는 만들기 옵션 스크린샷.

  4. 새 SAML SP 서비스 만들기에서 이름엔터티 ID에 정의된 이름과 엔터티 ID를 입력합니다.

    새 SAML SP 서비스 만들기 아래의 이름 및 엔터티 ID 필드 스크린샷.

    참고 항목

    엔터티 ID가 게시된 URL의 호스트 이름 부분과 일치하지 않는 경우 SP 이름 설정 값이 필요합니다. 또는 엔터티 ID가 일반 호스트 이름 기반 URL 형식이 아닌 경우 값이 필요합니다.

  5. 엔터티 ID가 urn:myvacation:contosoonline면 애플리케이션 외부 체계 및 호스트 이름을 입력합니다.

외부 IdP 커넥터 구성

SAML IdP 커넥터는 BIG-IP APM에 대한 설정을 정의하여 Microsoft Entra ID를 SAML IdP로 신뢰합니다. 이 설정은 SAML 서비스 공급자를 SAML IdP에 연결하여 APM과 Microsoft Entra ID 간의 페더레이션 신뢰를 설정합니다.

커넥터를 구성하려면 다음을 수행합니다.

  1. 새 SAML 서비스 공급자 개체를 선택합니다.

  2. IdP 커넥터 바인딩/바인딩 해제를 선택합니다.

    SAML 서비스 공급자 탭에 있는 IdP 커넥터 바인딩/바인딩 해제 옵션 스크린샷

  3. 새 IdP 커넥터 만들기 목록에서 메타데이터에서를 선택합니다.

    새 IdP 커넥터 만들기 드롭다운 목록에 있는 메타데이터에서 옵션의 스크린샷

  4. 새 SAML IdP 커넥터 만들기 창에서 다운로드한 페더레이션 메타데이터 XML 파일을 찾습니다.

  5. APM 개체의 경우 외부 SAML IdP를 나타내는 ID 공급자 이름을 제공합니다. 예를 들어, MyVacation_EntraID입니다.

    새 SAML IdP 커넥터 만들기에 있는 파일 선택 및 ID 공급자 이름 필드의 스크린샷

  6. 새 행 추가를 선택합니다.

  7. 새로운 SAML IdP 커넥터를 선택합니다.

  8. 업데이트를 선택합니다.

    업데이트 옵션의 스크린샷

  9. 확인을 선택합니다.

    해당 SP를 사용하는 SAML IdP 편집 대화 상자의 스크린샷

양식 기반 SSO 구성

백 엔드 애플리케이션에 대한 FBA SSO의 APM SSO 개체를 만듭니다.

클라이언트 시작 모드 또는 BIG-IP 시작 모드에서 FBA SSO를 수행합니다. 두 방법 모두 사용자 이름과 암호 태그에 자격 증명을 삽입하여 사용자 로그온을 에뮬레이트합니다. 양식이 제출되었습니다. 사용자는 FBA 애플리케이션에 액세스하기 위한 암호를 제공합니다. 암호는 캐시되어 다른 FBA 애플리케이션에 다시 사용됩니다.

  1. 액세스>Single Sign-On을 선택합니다.

  2. 양식 기반을 선택합니다.

  3. 만들기를 실행합니다.

  4. 이름에 설명이 포함된 이름을 입력합니다. 예를 들면 Contoso\FBA\sso와 같습니다.

  5. SSO 템플릿 사용에 대해 없음을 선택합니다.

  6. 사용자 이름 원본의 경우 사용자 이름 원본을 입력하여 암호 수집 양식을 미리 입력합니다. 기본 session.sso.token.last.username은 로그인된 사용자 Microsoft Entra UPN(사용자 계정 이름)이 있으므로 잘 작동합니다.

  7. 암호 원본의 경우 기본값인 BIG-IP가 사용자 암호를 캐시하는 데 사용하는 APM 변수인 session.sso.token.last.password를 유지합니다.

    새로운 SSO 구성 아래에 있는 이름 및 SSO 템플릿 사용 옵션의 스크린샷

  8. 시작 URI에 FBA 애플리케이션 로그온 URI를 입력합니다. 요청 URI가 이 URI 값과 일치하는 경우 APM 양식 기반 인증은 SSO를 실행합니다.

  9. 양식 작업의 경우 비워 둡니다. 그러면 원래 요청 URL이 SSO에 사용됩니다.

  10. 사용자 이름에 대한 양식 매개 변수의 경우 로그인 양식 사용자 이름 필드 요소를 입력합니다. 브라우저 개발 도구를 사용하여 요소를 확인합니다.

  11. 암호에 대한 양식 매개 변수의 경우 로그인 양식 암호 필드 요소를 입력합니다. 브라우저 개발 도구를 사용하여 요소를 확인합니다.

시작 URI, 사용자 이름에 대한 양식 매개 변수 및 암호에 대한 양식 매개 변수 필드의 스크린샷

사용자 이름 필드 및 암호 필드에 대한 설명선이 포함된 로그인 페이지의 스크린샷

자세한 내용은 techdocs.f5.com에서 수동 챕터: Single Sign-On 방법을 참조하세요.

액세스 프로필 구성

액세스 프로필은 액세스 정책, SSO 구성 및 UI 설정을 포함하여 BIG-IP 가상 서버에 대한 액세스를 관리하는 APM 요소를 바인딩합니다.

  1. 액세스>프로필/정책을 선택합니다.

  2. 액세스 프로필(세션별 정책)을 선택합니다.

  3. 만들기를 실행합니다.

  4. 이름을 입력합니다.

  5. 프로필 유형에 대해 모두를 선택합니다.

  6. SSO 구성에 대해 이전에 만든 FBA SSO 구성 개체를 선택합니다.

  7. 수락된 언어에 대해 하나 이상의 언어를 선택합니다.

    액세스 프로필 세션당 정책, 새 프로필에 있는 옵션 및 선택 사항의 스크린샷

  8. 세션별 정책 열에서 프로필에 대해 편집을 선택합니다.

  9. APM 시각적 정책 편집기가 시작됩니다.

    세션별 정책 열의 편집 옵션 스크린샷

  10. 대체에서 + 기호를 선택합니다.

대체 아래에 있는 APM 시각적 정책 편집기 더하기 기호의 스크린샷

  1. 팝업에서 인증을 선택합니다.
  2. SAML 인증을 선택합니다.
  3. 항목 추가를 선택합니다.

SAML 인증 옵션의 스크린샷

  1. SAML 인증 SP에서 이름Microsoft Entra 인증으로 변경합니다.
  2. AAA 서버 드롭다운에서 이전에 만든 SAML 서비스 공급자 개체를 입력합니다.

Microsoft Entra 인증 서버 설정을 보여 주는 스크린샷.

  1. 성공 분기에서 + 기호를 선택합니다.
  2. 팝업에서 인증을 선택합니다.
  3. 로그온 페이지를 선택합니다.
  4. 항목 추가를 선택합니다.

로그온 탭에 있는 로그온 페이지 옵션의 스크린샷

  1. 사용자 이름의 경우 읽기 전용 열에서 를 선택합니다.

속성 탭의 사용자 이름 행에 있는 예 옵션의 스크린샷

  1. 로그인 페이지 대체의 경우 + 기호를 선택합니다. 이 작업은 SSO 자격 증명 매핑 개체를 추가합니다.

  2. 팝업에서 할당 탭을 선택합니다.

  3. SSO 자격 증명 매핑을 선택합니다.

  4. 항목 추가를 선택합니다.

    할당 탭의 SSO 자격 증명 매핑 옵션 스크린샷

  5. 변수 할당: SSO 자격 증명 매핑에서 기본 설정을 유지합니다.

  6. 저장을 선택합니다.

    속성 탭에 있는 저장 옵션의 스크린샷

  7. 위쪽 거부 상자에서 링크를 선택합니다.

  8. 성공한 분기가 허용으로 변경됩니다.

  9. 저장을 선택합니다.

(선택 사항) 특성 매핑 구성

LogonID_Mapping 구성을 추가할 수 있습니다. 그러면 BIG-IP 활성 세션 목록에는 세션 번호가 아닌 로그인한 사용자 UPN이 있습니다. 로그 분석 또는 문제 해결에 이 정보를 사용합니다.

  1. SAML 인증 성공 분기에 대해 + 기호를 선택합니다.

  2. 팝업에서 할당을 선택합니다.

  3. 변수 할당을 선택합니다.

  4. 항목 추가를 선택합니다.

    할당 탭의 변수 할당 옵션 스크린샷.

  5. 속성 탭에서 이름을 입력합니다. 예를 들면 LogonID_Mapping과 같습니다.

  6. 변수 할당에서 새 항목 추가를 선택합니다.

  7. 변경을 선택합니다.

    새 항목 추가 옵션 및 변경 옵션 스크린샷

  8. 사용자 지정 변수의 경우 session.logon.last.username을 사용합니다.

  9. 세션 변수의 경우 session.saml.last.identity를 사용합니다.

  10. 마침을 선택합니다.

  11. 저장을 선택합니다.

  12. 액세스 정책 적용을 선택합니다.

  13. 시각적 정책 편집기를 닫습니다.

액세스 정책 적용의 액세스 정책 스크린샷

백 엔드 풀 구성

BIG-IP가 클라이언트 트래픽을 올바르게 전달하도록 하려면 애플리케이션을 호스트하는 백 엔드 서버를 나타내는 BIG-IP 노드 개체를 만들어야 합니다. 그런 다음 해당 노드를 BIG-IP 서버 풀에 배치합니다.

  1. 로컬 트래픽>을 선택합니다.

  2. 풀 목록을 선택합니다.

  3. 만들기를 실행합니다.

  4. 서버 풀 개체의 이름을 입력합니다. 예를 들면 MyApps_VMs와 같습니다.

    새로운 풀 아래의 이름 필드 스크린샷

  5. 노드 이름에 서버 표시 이름을 입력합니다. 이 서버는 백 엔드 웹 애플리케이션을 호스트합니다.

  6. 주소에 애플리케이션 서버 호스트 IP 주소를 입력합니다.

  7. 서비스 포트에 애플리케이션이 수신 대기 중인 HTTP/S 포트를 입력합니다.

    노드 이름, 주소, 서비스 포트 필드 및 추가 옵션의 스크린샷

    참고 항목

    상태 모니터에는 이 문서에서 다루지 않는 구성이 필요합니다. support.f5.com으로 이동하여 K13397: BIG-IP DNS 시스템에 대한 HTTP 상태 모니터 요청 형식 개요를 참조하세요.

가상 서버 구성

가상 서버는 가상 IP 주소로 표시되는 BIG-IP 데이터 평면 개체입니다. 서버는 애플리케이션에 대한 클라이언트 요청을 수신 대기합니다. 수신된 트래픽은 가상 서버와 연결된 APM 액세스 프로필에 대해 처리되고 평가됩니다. 트래픽은 정책에 따라 전달됩니다.

가상 서버를 구성하려면 다음을 수행합니다.

  1. 로컬 트래픽>가상 서버를 선택합니다.

  2. 가상 서버 목록을 선택합니다.

  3. 만들기를 실행합니다.

  4. 이름을 입력합니다.

  5. 대상 주소/마스크호스트를 선택하고 IPv4 또는 IPv6 주소를 입력합니다. 이 주소는 게시된 백 엔드 애플리케이션에 대한 클라이언트 트래픽을 수신합니다.

  6. 서비스 포트포트를 선택하고 443을 입력한 후 HTTPS를 선택합니다.

    이름, 대상 주소 및 서비스 포트 필드 및 옵션의 스크린샷

  7. HTTP 프로필(클라이언트)의 경우 http를 선택합니다.

  8. SSL 프로필(클라이언트)의 경우 이전에 만든 프로필을 선택하거나 테스트를 위해 기본값을 그대로 둡니다. 이 옵션을 사용하면 TLS(전송 계층 보안)용 가상 서버가 HTTPS를 통해 서비스를 게시할 수 있습니다.

    HTTP 프로필 클라이언트 및 SSL 프로필 클라이언트 옵션의 스크린샷

  9. 원본 주소 변환의 경우 자동 맵을 선택합니다.

    원본 주소 변환에 대한 자동 맵 선택의 스크린샷

  10. 액세스 정책액세스 프로필 상자에 이전에 만든 이름을 입력합니다. 이 작업은 Microsoft Entra SAML 사전 인증 프로필과 FBA SSO 정책을 가상 서버에 바인딩합니다.

액세스 정책 아래의 액세스 프로필 항목 스크린샷.

  1. 리소스기본 풀에서 이전에 만든 백 엔드 풀 개체를 선택합니다.
  2. 마침을 선택합니다.

리소스 아래의 기본 풀 옵션 스크린샷.

세션 관리 설정 구성

BIG-IP 세션 관리 설정은 세션 종료 및 연속에 대한 조건을 정의합니다. 이 영역에서 정책을 만듭니다.

  1. 액세스 정책으로 이동합니다.
  2. 액세스 프로필을 선택합니다.
  3. 액세스 프로필을 선택합니다.
  4. 목록에서 애플리케이션을 선택합니다.

Microsoft Entra ID에 단일 로그아웃 URI 값을 정의한 경우 MyApps에서 IdP가 시작한 로그아웃은 클라이언트와 BIG-IP APM 세션을 종료합니다. 가져온 애플리케이션 페더레이션 메타데이터 XML 파일은 APM에 SP 시작 로그아웃을 위한 Microsoft Entra SAML 엔드포인트를 제공합니다. APM이 사용자 로그아웃에 올바르게 응답하는지 확인합니다.

BIG-IP 웹 포털이 없는 경우 사용자는 APM에 로그아웃하도록 지시할 수 없습니다. 사용자가 애플리케이션에서 로그아웃하는 경우 BIG-IP는 알 수 없는 것입니다. 애플리케이션 세션은 SSO를 통해 복원할 수 있습니다. 따라서 세션이 안전하게 종료되도록 SP 시작 로그아웃을 고려합니다.

애플리케이션 로그아웃 단추에 SLO 함수를 추가할 수 있습니다. 이 함수는 클라이언트를 Microsoft Entra SAML 로그아웃 엔드포인트로 리디렉션합니다. SAML 로그아웃 엔드포인트를 찾으려면 앱 등록 > 엔드포인트로 이동합니다.

앱을 변경할 수 없는 경우 BIG-IP가 앱 로그아웃 호출을 수신하고 SLO를 트리거하도록 합니다.

자세히 보기:

게시된 애플리케이션

애플리케이션은 앱 URL 또는 Microsoft 포털을 사용하여 SHA를 통해 게시 및 액세스할 수 있습니다.

애플리케이션이 조건부 액세스의 대상 리소스로 나타납니다. 자세한 내용: 조건부 액세스 정책 빌드

보안 향상을 위해 애플리케이션에 대한 직접 액세스를 차단하여 BIG-IP를 통한 경로를 강제할 수 있습니다.

테스트

  1. 사용자는 애플리케이션 외부 URL 또는 내 앱에 연결하여 애플리케이션 아이콘을 선택합니다.

  2. 사용자가 Microsoft Entra ID로 인증합니다.

  3. 사용자가 애플리케이션의 BIG-IP 엔드포인트로 리디렉션됩니다.

  4. 암호 프롬프트가 나타납니다.

  5. APM은 Microsoft Entra ID의 UPN으로 사용자 이름을 채웁니다. 사용자 이름은 세션 일관성을 위해 읽기 전용이 됩니다. 필요한 경우 이 필드를 숨깁니다.

  6. 정보가 제출됩니다.

  7. 사용자가 애플리케이션에 로그인되어 있습니다.

    시작 페이지의 스크린샷.

문제 해결

문제 해결 시 다음 정보를 고려합니다.

  • BIG-IP는 URI에서 로그인 양식을 구문 분석할 때 FBA SSO를 수행합니다.

    • BIG-IP는 구성에서 사용자 이름 및 암호 요소 태그를 찾습니다.
  • 요소 태그가 일관성이 있는지, 아니면 SSO가 실패하는지 확인

  • 동적으로 생성된 복잡한 양식에는 로그인 양식을 이해하기 위해 개발 도구 분석이 필요할 수 있습니다.

  • 클라이언트 시작은 여러 양식이 있는 로그인 페이지에 더 좋습니다.

    • 양식 이름을 선택하고 JavaScript 양식 처리기 로직을 사용자 지정할 수 있습니다.
  • FBA SSO 방식은 양식 상호 작용을 숨겨 사용자 환경과 보안을 최적화합니다.

    • 자격 증명이 삽입되었는지 확인할 수 있습니다.
    • 클라이언트 시작 모드에서는 SSO 프로필에서 양식 자동 제출을 비활성화합니다.
    • 개발 도구를 사용하여 로그인 페이지가 표시되지 않도록 하는 두 가지 스타일 속성을 사용하지 않도록 설정합니다.

    속성 창의 스크린샷

로그 세부 정보 표시 늘리기

BIG-IP 로그에는 인증 및 SSO 문제를 격리하는 정보가 포함되어 있습니다. 로그 세부 정보 표시 수준을 높입니다.

  1. 액세스 정책>개요로 이동합니다.
  2. 이벤트 로그를 선택합니다.
  3. 설정을 선택합니다.
  4. 게시된 애플리케이션의 행을 선택합니다.
  5. 편집을 선택합니다.
  6. 시스템 로그 액세스를 선택합니다.
  7. SSO 목록에서 디버그를 선택합니다.
  8. 확인을 선택합니다.
  9. 이슈를 재현합니다.
  10. 로그를 검토합니다.

설정을 되돌립니다. 그러지 않으면 과도한 데이터가 포함됩니다.

BIG-IP 오류 메시지

Microsoft Entra 사전 인증 후 BIG-IP 오류가 나타나는 경우 문제는 Microsoft Entra ID 및 BIG-IP SSO와 관련이 있을 수 있습니다.

  1. 액세스>개요로 이동합니다.
  2. 보고서 액세스를 선택합니다.
  3. 지난 1시간 동안 보고서를 실행합니다.
  4. 로그에 단서가 있는지 검토합니다.

APM이 예상되는 Microsoft Entra 클레임을 수신하는지 확인하려면 해당 세션의 세션 변수 보기 링크를 사용합니다.

BIG-IP 오류 메시지 없음

BIG-IP 오류 메시지가 표시되지 않으면 이 문제는 백 엔드 요청 또는 BIG-IP에서 애플리케이션으로의 SSO와 관련 있을 수 있습니다.

  1. 액세스 정책>개요를 선택합니다.
  2. 활성 세션을 선택합니다.
  3. 활성 세션 링크를 선택합니다.

특히 APM이 올바른 사용자 ID와 암호를 얻지 못하는 경우 이 위치의 변수 보기 링크를 사용하여 근본 원인을 파악하는 데 도움을 받습니다.

자세한 내용은 techdocs.f5.com에서 수동 챕터: 세션 변수를 참조하세요.

리소스