Delen via

Zelfstudie: Eenmalige aanmelding configureren tussen Microsoft Entra ID en de BIG-IP Easy Button van F5 voor eenmalige aanmelding op basis van headers

  • Artikel

In deze zelfstudie leert u hoe u F5 integreert met Microsoft Entra ID. Wanneer u F5 integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra-id beheren wie toegang heeft tot F5.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij F5.
  • Beheer uw accounts op één centrale locatie.

Notitie

F5 BIG-IP APM Nu kopen.

Beschrijving van scenario

In dit scenario wordt gekeken naar de klassieke verouderde toepassing met behulp van HTTP-autorisatieheaders om de toegang tot beveiligde inhoud te beheren.

Als de toepassing verouderd is, ontbreken moderne protocollen ter ondersteuning van een directe integratie met Microsoft Entra-id. De toepassing kan worden gemoderniseerd, maar dat kost handenvol geld, vereist een zorgvuldige planning en brengt risico's op potentiële downtime met zich mee. In plaats daarvan wordt een F5 BIG-IP-ADC (Application Delivery Controller) gebruikt om de kloof tussen de verouderde toepassing en het moderne id-beheervlak te overbruggen via een protocolovergang.

Als u een BIG-IP-adres voor de toepassing hebt, kunnen we de service overlays maken met vooraf verificatie en SSO op basis van headers van Microsoft Entra, waardoor de algehele beveiligingspostuur van de toepassing aanzienlijk wordt verbeterd.

Notitie

Organisaties kunnen ook externe toegang krijgen tot dit type toepassing met microsoft Entra-toepassingsproxy.

Scenario-architectuur

De SHA-oplossing voor dit scenario bestaat uit:

Toepassing: big-IP gepubliceerde service die moet worden beveiligd door Microsoft Entra SHA.

Microsoft Entra ID: IdP (Security Assertion Markup Language) die verantwoordelijk is voor de verificatie van gebruikersreferenties, voorwaardelijke toegang en eenmalige aanmelding op basis van SAML voor big-IP. Via eenmalige aanmelding biedt Microsoft Entra ID het BIG-IP-adres met alle vereiste sessiekenmerken.

BIG-IP: een omgekeerde proxy en SAML-serviceprovider voor de toepassing, waarbij verificatie aan de SAML-IdP wordt gedelegeerd, voordat eenmalige aanmelding op basis van headers voor de back-endtoepassing wordt uitgevoerd.

SHA ondersteunt voor dit scenario door SP en IdP gestarte stromen. In de volgende afbeelding ziet u de door SP geïnitieerde stroom.

Schermopname van beveiligde hybride toegang - door SP geïnitieerde stroom.

Stappen Beschrijving
1 De gebruiker maakt verbinding met het eindpunt van de toepassing (BIG-IP)
2 BIG-IP APM-toegangsbeleid leidt de gebruiker om naar Microsoft Entra ID (SAML IdP)
3 Microsoft Entra ID verifieert vooraf de gebruiker en past afgedwongen beleid voor voorwaardelijke toegang toe
4 Gebruiker wordt omgeleid naar BIG-IP (SAML-serviceprovider) en eenmalige aanmelding wordt uitgevoerd met behulp van een uitgegeven SAML-token
5 BIG-IP injecteert Microsoft Entra-kenmerken als headers in aanvraag voor de toepassing
6 Toepassing autoriseert aanvraag en retourneert nettolading

Vereisten

Eerdere ervaring met BIG-IP is niet noodzakelijk, maar u hebt het volgende nodig:

  • Een gratis abonnement op Microsoft Entra ID of hoger.

  • Een bestaande BIG-IP of een BIG-IP Virtual Edition (VE) implementeren in Azure.

  • Een van de volgende F5 BIG-IP-licentie-SKU's.

    • F5 BIG-IP® Beste bundel.

    • Zelfstandige licentie voor F5 BIG-IP Access Policy Manager™ (APM).

    • Invoegtoepassingslicentie voor F5 BIG-IP Access Policy Manager™ (APM) in een bestaande BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM).

    • Licentie voor proefversie van BIG-IP met volledige functionaliteit voor 90 dagen.

  • Gebruikersidentiteiten die zijn gesynchroniseerd vanuit een on-premises adreslijst naar Microsoft Entra-id.

  • Een account met microsoft Entra Application Administrator-machtigingen.

  • Een SSL-webcertificaat voor het publiceren van services via HTTPS of standaard-BIG-IP-certificaten gebruiken tijdens het testen.

  • Een bestaande toepassing op basis van headers of een eenvoudige IIS-header-app instellen voor testen.

BIG-IP-configuratiemethoden

Er zijn veel methoden om BIG-IP te configureren voor dit scenario, waaronder twee op sjablonen gebaseerde opties en een geavanceerde configuratie. Deze zelfstudie gaat over de nieuwste begeleide configuratie 16.1 met een Easy button-sjabloon. Met de Easy Button gaan beheerders niet meer heen en weer tussen Microsoft Entra ID en een BIG-IP om services voor SHA in te schakelen. Het implementatie- en beleidsbeheer wordt rechtstreeks afgehandeld tussen de wizard Begeleide configuratie van APM en Microsoft Graph. Deze uitgebreide integratie tussen BIG-IP APM en Microsoft Entra ID zorgt ervoor dat toepassingen snel, eenvoudig ondersteuning kunnen bieden voor identiteitsfederatie, eenmalige aanmelding en voorwaardelijke toegang van Microsoft Entra, waardoor administratieve overhead wordt verminderd.

Notitie

Alle voorbeeldtekenreeksen of -waarden waarnaar in deze handleiding wordt verwezen, moeten worden vervangen door die voor uw werkelijke omgeving.

Easy Button registreren

Voordat een client of service toegang heeft tot Microsoft Graph, moet deze worden vertrouwd door het Microsoft-identiteitsplatform.

Met deze eerste stap maakt u een tenant-app-registratie die wordt gebruikt voor het autoriseren van de toegang van Easy Button tot Graph. Via deze machtigingen kan het BIG-IP de configuraties pushen die nodig zijn om een vertrouwensrelatie tot stand te brengen tussen een SAML SP-exemplaar voor een gepubliceerde toepassing en Microsoft Entra-id als saml-id.

  1. Meld u aan bij Azure Portal met behulp van een account met beheerdersrechten voor toepassingen.

  2. Selecteer in het linkernavigatiedeelvenster de Microsoft Entra ID-service .

  3. Selecteer onder Beheren App-registraties> Nieuwe registratie.

  4. Voer een weergavenaam in voor uw toepassing, zoals F5 BIG-IP Easy Button.

  5. Geef op wie de toepassingsaccounts >alleen in deze organisatiemap mag gebruiken.

  6. Selecteer Registreren om de initiële app-registratie te voltooien.

  7. Navigeer naar API-machtigingen en autoriseer de volgende Microsoft Graph-toepassingsmachtigingen:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Beheerderstoestemming verlenen voor uw organisatie.

  9. Genereer op de blade Certificaten en geheimen een nieuw clientgeheim en noteer het.

  10. Noteer de client-id en tenant-id op de blade Overzicht.

Easy Button configureren

Start de begeleide configuratie van APM om de sjabloon Easy Button te starten.

  1. Navigeer naar De begeleide configuratie > van Access > Microsoft Integration en selecteer Microsoft Entra Application.

  2. Als u de oplossing configureert met behulp van de onderstaande stappen, worden de vereiste objecten gemaakt, bekijkt u de lijst met configuratiestappen en selecteert u Volgende.

  3. Volg onder Begeleide configuratie de volgorde van de stappen die nodig zijn om uw toepassing te publiceren.

Configuratie-eigenschappen

Met het tabblad Configuratie-eigenschappen maakt u een BIG-IP-toepassingsconfiguratie en SSO-object. Overweeg de sectie Details van het Azure-serviceaccount om de client weer te geven die u eerder hebt geregistreerd in uw Microsoft Entra-tenant, als een toepassing. Met deze instellingen kan de OAuth-client van BIG IP afzonderlijk een SAML SP rechtstreeks in uw tenant registreren, samen met de eigenschappen voor eenmalige aanmelding die u normaal gesproken handmatig configureert. Easy Button doet dit voor elke BIG-IP-service die wordt gepubliceerd en ingeschakeld voor SHA.

Sommige van deze zijn globale instellingen, zodat ze opnieuw kunnen worden gebruikt voor het publiceren van meer toepassingen, waardoor de implementatietijd en moeite worden verminderd.

  1. Voer een unieke configuratienaam in, zodat beheerders eenvoudig onderscheid kunnen maken tussen Easy Button-configuraties.

  2. Eenmalige aanmelding (SSO) en HTTP-headers inschakelen.

  3. Voer tenant-id, client-id en clientgeheim in welke u hebt genoteerd bij het registreren van de Easy Button-client in uw tenant.

  4. Bevestig dat het BIG-IP-adres verbinding kan maken met uw tenant en selecteer vervolgens Volgende.

    Schermopname van de eigenschappen Configuratie algemeen en serviceaccount.

Serviceprovider

Met de instellingen van de serviceprovider worden de eigenschappen bepaald voor de instantie van de SAML-serviceprovider van de toepassing die is beveiligd via SHA.

  1. Voer de host in. Dit is de openbare FQDN van de toepassing die wordt beveiligd.

  2. Voer de entiteits-id in. Dit is de id die microsoft Entra-id gebruikt om de SAML SP te identificeren die een token aanvraagt.

    Schermopname van serviceproviderinstellingen.

    De optionele beveiligingsinstellingen geven aan of microsoft Entra-id uitgegeven SAML-asserties moet versleutelen. Het versleutelen van asserties tussen Microsoft Entra ID en de BIG-IP APM biedt extra zekerheid dat de inhoudstokens niet kunnen worden onderschept en dat er inbreuk wordt gemaakt op persoonlijke of bedrijfsgegevens.

  3. Selecteer Nieuwe maken in de lijst met persoonlijke sleutel voor Assertion Decryption.

    Schermopname van de knop Easy configureren- Nieuwe import maken.

  4. Selecteer OK. Hiermee opent u het dialoogvenster SSL-certificaat en -sleutels importeren op een nieuw tabblad.

  5. Selecteer PKCS 12 (IIS) om uw certificaat en persoonlijke sleutel te importeren. Sluit het browsertabblad zodra het is ingericht om terug te keren naar het hoofdtabblad.

    Schermopname van de knop Easy configureren: nieuw certificaat importeren.

  6. Schakel Versleutelde assertie in.

  7. Als u versleuteling hebt ingeschakeld, selecteert u uw certificaat in de lijst Persoonlijke sleutel assertieontsleuteling. Dit is de persoonlijke sleutel voor het certificaat dat BIG-IP APM gebruikt om Microsoft Entra-asserties te ontsleutelen.

  8. Als u versleuteling hebt ingeschakeld, selecteert u uw certificaat in de lijst Certificaat assertieontsleuteling. Dit is het certificaat dat BIG-IP naar Microsoft Entra ID uploadt voor het versleutelen van de uitgegeven SAML-asserties.

Schermopname van beveiligingsinstellingen voor serviceproviders.

Microsoft Entra ID

In deze sectie worden alle eigenschappen gedefinieerd die u normaal gesproken zou gebruiken voor het handmatig configureren van een nieuwe BIG-IP SAML-toepassing binnen uw Microsoft Entra-tenant. Easy Button biedt een set vooraf gedefinieerde toepassingssjablonen voor Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP en algemene SHA-sjablonen voor andere apps.

Voor dit scenario selecteert u op de pagina Azure-configuratie F5 BIG-IP APM Azure AD-integratie>

Azure-configuratie

Voer op de pagina Azure-configuratie de volgende stappen uit:

  1. Voer onder Configuratie-eigenschappen de weergavenaam in van de app die door het BIG-IP-adres wordt gemaakt in uw Microsoft Entra-tenant en het pictogram dat de gebruikers zien in de MyApps-portal.

  2. Voer niets in de aanmeldings-URL in (optioneel) om door IdP geïnitieerde aanmelding in te schakelen.

  3. Selecteer het vernieuwingspictogram naast de handtekeningsleutel en het handtekeningcertificaat om het certificaat te vinden dat u eerder hebt geïmporteerd.

  4. Voer het wachtwoord van het certificaat in de wachtwoordzin voor ondertekeningssleutel in.

  5. Optie voor ondertekening (optioneel) inschakelen. Dit zorgt ervoor dat BIG-IP alleen tokens en claims accepteert die zijn ondertekend door Microsoft Entra ID.

    Schermopname voor Azure-configuratie: informatie over handtekeningcertificaten toevoegen.

  6. Gebruikers- en gebruikersgroepen worden dynamisch opgevraagd vanuit uw Microsoft Entra-tenant en worden gebruikt om toegang tot de toepassing te autoriseren. Voeg een gebruiker of groep toe die u later kunt gebruiken voor testen, anders wordt alle toegang geweigerd.

    Schermopname van Azure-configuratie - Gebruikers en groepen toevoegen.

Gebruikerskenmerken en claims

Wanneer een gebruiker is geverifieerd, geeft Microsoft Entra ID een SAML-token uit met een standaardset claims en kenmerken die de gebruiker uniek identificeren. Op het tabblad Gebruikerskenmerken & Claims worden de standaardclaims weergegeven die moeten worden opgegeven voor de nieuwe toepassing. Hiermee kunt u ook nog andere claims configureren.

In dit voorbeeld kunt u nog één kenmerk toevoegen:

  1. Voer de naam van de koptekst in als employeeid.

  2. Voer het bronkenmerk in als user.employeeid.

    Schermopname van gebruikerskenmerken en -claims.

Aanvullende gebruikerskenmerken

Op het tabblad Aanvullende gebruikerskenmerken kunt u sessievergroting inschakelen die vereist is voor verschillende gedistribueerde systemen, zoals Oracle, SAP en andere op JAVA gebaseerde implementaties waarvoor kenmerken moeten zijn opgeslagen in andere mappen. Kenmerken die zijn opgehaald uit een LDAP-bron, kunnen vervolgens worden geïnjecteerd als extra SSO-headers om de toegang verder te beheren op basis van rollen, partner-id's, enzovoort.

Notitie

Deze functie heeft geen correlatie met Microsoft Entra-id, maar is een andere bron van kenmerken. 

Beleid voor voorwaardelijke toegang

Beleid voor voorwaardelijke toegang wordt afgedwongen na verificatie vooraf van Microsoft Entra, om de toegang te beheren op basis van apparaat-, toepassings-, locatie- en risicosignalen.

In de weergave Beschikbaar beleid worden standaard alle beleidsregels voor voorwaardelijke toegang weergegeven die geen acties op basis van gebruikers bevatten.

In de weergave Geselecteerd beleid worden standaard alle beleidsregels weergegeven die zijn gericht op alle resources. De selectie van deze beleidsregels kan niet worden uitgeschakeld. Ook kunnen ze niet naar de lijst Beschikbare beleidsregels worden verplaatst omdat ze worden afgedwongen op tenantniveau.

Een beleid selecteren dat moet worden toegepast op de toepassing die wordt gepubliceerd:

  1. Selecteer het gewenste beleid in de lijst Beschikbare beleidsregels .
  2. Selecteer de pijl-rechts en verplaats deze naar de lijst Geselecteerde beleidsregels .

Voor geselecteerde beleidsregels moet de optie Opnemen of Uitsluiten zijn ingeschakeld. Als beide opties zijn ingeschakeld, wordt het geselecteerde beleid niet afgedwongen.

Schermopname van beleid voor voorwaardelijke toegang.

Notitie

De beleidslijst wordt slechts eenmaal in z'n geheel weergegeven wanneer u voor het eerst overschakelt naar dit tabblad. Er is een knop Vernieuwen beschikbaar om de wizard handmatig te dwingen om een query uit te voeren voor uw tenant, maar deze knop wordt alleen weergegeven wanneer de toepassing is geïmplementeerd.

Eigenschappen van virtuele server

Een virtuele server is een BIG-IP-gegevensvlakobject dat wordt vertegenwoordigd door een virtueel IP-adres dat luistert naar clientaanvragen bij de toepassing. Ontvangen verkeer wordt verwerkt en geëvalueerd op basis van het APM-profiel dat is gekoppeld aan de virtuele server, voordat het wordt omgeleid op basis van de beleidsresultaten en -instellingen.

  1. Voer Doeladres in. Dit is elk beschikbaar IPv4-/IPv6-adres dat door BIG-IP kan worden gebruikt om clientverkeer te ontvangen. Er moet ook een overeenkomende record aanwezig zijn in DNS, zodat clients de externe URL van uw gepubliceerde BIG-IP-toepassing naar dit IP-adres kunnen omzetten in plaats van de toepassing zelf. Het gebruik van de localhost-DNS van een test-pc is prima om te testen.

  2. Voer servicepoort in als 443 voor HTTPS.

  3. Schakel Omleidingspoort inschakelen in en voer vervolgens de omleidingspoort in. Hiermee wordt binnenkomend HTTP-clientverkeer omgeleid naar HTTPS.

  4. Met het SSL-profiel van de client wordt de virtuele server voor HTTPS ingeschakeld, zodat clientverbindingen worden versleuteld via TLS. Selecteer het client-SSL-profiel dat u hebt gemaakt als onderdeel van de vereisten of laat de standaardwaarde staan tijdens het testen.

    Schermopname van virtuele server.

Groepseigenschappen

Het tabblad Groep van toepassingen bevat informatie over de services achter een BIG-IP die worden weergegeven als een groep, met een of meer toepassingsservers.

  1. Kies uit Een groep selecteren. Maak een nieuwe pool of selecteer een bestaande groep.

  2. Kies de taakverdelingsmethode als Round Robin.

  3. Voor Poolservers selecteert u een bestaand knooppunt of geeft u een IP en poort op voor de server die als host fungeert voor de toepassing op basis van headers.

    Schermopname van groep van toepassingen.

Onze back-endtoepassing bevindt zich op HTTP-poort 80, maar wordt uiteraard overgeschakeld naar 443 als HTTPS als dit voor u van toepassing is.

Eenmalige aanmelding en HTTP-headers

Als u eenmalige aanmelding inschakelt, hebben gebruikers toegang tot gepubliceerde BIG-IP-services zonder dat zij referenties hoeven in te voeren. De wizard voor Easy Button ondersteunt Kerberos-, OAuth Bearer- en HTTP-autorisatieheaders voor eenmalige aanmelding, waarvan we bij de laatste het volgende kunnen configureren.

  • Headerbewerking:Insert

  • Koptekstnaam:upn

  • Kopwaarde:%{session.saml.last.identity}

  • Headerbewerking:Insert

  • Koptekstnaam:employeeid

  • Kopwaarde:%{session.saml.last.attr.name.employeeid}

    Schermopname van SSO- en HTTP-headers.

Notitie

APM-sessievariabelen die binnen accolades zijn gedefinieerd, zijn hoofdlettergevoelig. Als u bijvoorbeeld OrclGUID invoert wanneer de microsoft Entra-kenmerknaam wordt gedefinieerd als orclguid, veroorzaakt dit een kenmerktoewijzingsfout.

Sessiebeheer

De BIG-IP sessiebeheerinstellingen worden gebruikt om de voorwaarden te definiëren waaronder gebruikerssessies worden beëindigd of mogen doorgaan, limieten voor gebruikers en IP-adressen, en bijbehorende gebruikersinformatie. Raadpleeg de documentatie van F5 voor meer informatie over deze instellingen.

Wat hier echter niet wordt behandeld, is SLO-functionaliteit (Single Log-Out), die ervoor zorgt dat alle sessies tussen de IdP, het BIG-IP en de gebruikersagent worden beëindigd als gebruikers zich afmelden. Wanneer met de Easy Button een SAML-toepassing wordt geïnstitueert in uw Microsoft Entra-tenant, wordt ook de afmeldings-URL gevuld met het SLO-eindpunt van APM. Op die manier beëindigt IdP de sessie tussen het BIG-IP-adres en een client via de Microsoft Entra Mijn apps-portal.

Daarnaast worden de metagegevens van de SAML-federatie voor de gepubliceerde toepassing ook geïmporteerd vanuit uw tenant, waardoor de APM het SAML-afmeldingseindpunt voor Microsoft Entra-id biedt. Dit zorgt ervoor dat door SP geïnitieerde afmeldingen de sessie tussen een client en Microsoft Entra-id beëindigen. Maar dit is pas echt doeltreffend als de APM precies weet wanneer een gebruiker zich afmeldt bij een toepassing.

Als de BIG-IP-webtopportal wordt gebruikt voor toegang tot gepubliceerde toepassingen, wordt een afmelding daar verwerkt door de APM om ook het microsoft Entra-afmeldingseindpunt aan te roepen. Maar u kunt een scenario overwegen waarbij de BIG-IP-webtopportal niet wordt gebruikt. De gebruiker heeft dan geen mogelijkheid om de APM te laten afmelden. Zelfs als de gebruiker zich afmeldt bij de toepassing zelf, is het BIG-IP daarvan technisch niet op de hoogte. Om die reden moet een door de serviceprovider geïnitieerde afmelding zorgvuldig worden overwogen om ervoor te zorgen dat sessies veilig worden beëindigd wanneer ze niet meer nodig zijn. Een manier om dit te bereiken, is door een SLO-functie toe te voegen aan de afmeldingsknop van uw toepassingen, zodat uw client kan worden omgeleid naar het microsoft Entra SAML- of BIG-IP-afmeldingseindpunt. De URL van het SAML-afmeldingseindpunt voor uw tenant vindt u in App-registraties > Eindpunten.

Als het niet mogelijk is om een wijziging aan te brengen in de app, kunt de BIG-IP laten luisteren naar de afmeldingsoproep van de toepassing en deze na detectie van de aanvraag SLO laten activeren. Raadpleeg de Oracle PeopleSoft SLO-richtlijnen voor het gebruik van BIG-IP-regels om dit te bereiken. Meer informatie over het gebruik van BIG-IP-iRules om dit te bereiken is beschikbaar in het F5-kennisartikel Automatische sessie-beëindiging configureren (afmelden) op basis van een bestandsnaam met een URI-verwijzing en Overzicht van de optie Afmeldings-URI opnemen.

Samenvatting

Deze laatste stap bevat een uitsplitsing van uw configuraties. Selecteer Implementeren om alle instellingen door te voeren en controleer of de toepassing nu voorkomt in de lijst met tenants met 'Bedrijfstoepassingen'.

Uw toepassing is nu gepubliceerd en toegankelijk via SHA, rechtstreeks via de URL of via de toepassingsportals van Microsoft.

Volgende stappen

Maak vanuit een browser verbinding met de externe URL van de toepassing of selecteer het pictogram van de toepassing in de Microsoft MyApps-portal. Na verificatie met Microsoft Entra ID wordt u omgeleid naar de virtuele BIG-IP-server voor de toepassing en automatisch aangemeld via eenmalige aanmelding.

Voor een betere beveiliging kunnen organisaties die dit patroon gebruiken er ook voor kiezen alle directe toegang tot de toepassing te blokkeren, waardoor een strikt pad wordt opgelegd via het BIG-IP.

Geavanceerde implementatie

Er kunnen gevallen zijn waarin de begeleide configuratiesjablonen niet de flexibiliteit hebben om specifiekere vereisten te bereiken. Raadpleeg Geavanceerde configuratie voor op headers gebaseerde eenmalige aanmelding voor deze scenario's.

Het BIG-IP biedt u ook de optie om de strikte beheermodus van begeleide configuratie uit te schakelen. Hierdoor kunt u uw configuraties handmatig aanpassen, ook al worden de meeste van uw configuraties geautomatiseerd via de sjablonen op basis van de wizard.

U kunt naar Toegang > Begeleide configuratie navigeren en het kleine hangslotpictogram helemaal rechts van de rij selecteren voor de configuraties van uw toepassingen.

Schermopname van de knop Easy configureren - Strikt beheer.

Op dat moment zijn wijzigingen via de gebruikersinterface van de wizard niet meer mogelijk, maar alle BIG-IP-objecten die zijn gekoppeld aan het gepubliceerde exemplaar van de toepassing worden ontgrendeld voor direct beheer.

Notitie

Het opnieuw inschakelen van de strikte modus en het implementeren van een configuratie overschrijft alle instellingen die buiten de gebruikersinterface van de begeleide configuratie worden uitgevoerd. Daarom wordt de geavanceerde configuratiemethode voor productieservices aanbevolen.

Probleemoplossing

Toegang tot een met SHA beveiligde toepassing kan worden veroorzaakt door een willekeurig aantal factoren. BIG-IP-logboekregistratie kan helpen bij het snel isoleren van allerlei problemen met connectiviteit, SSO, beleidsschendingen of onjuist geconfigureerde variabeletoewijzingen. Begin met het oplossen van problemen door het uitgebreidheidsniveau van het logboek te verhogen.

  1. Navigeer naar Instellingen voor gebeurtenislogboeken van toegangsbeleidsoverzicht >>>.

  2. Selecteer de rij voor uw gepubliceerde toepassing en bewerk > vervolgens Toegangssysteemlogboeken.

  3. Selecteer Fouten opsporen in de lijst met eenmalige aanmelding en selecteer vervolgens OK.

Reproduceer uw probleem en inspecteer vervolgens de logboeken, maar vergeet niet om dit terug te zetten wanneer u gereed bent, aangezien de uitgebreide modus veel gegevens genereert.

Als er een big-IP-merkfout wordt weergegeven direct na een geslaagde verificatie van Microsoft Entra, is het mogelijk dat het probleem betrekking heeft op eenmalige aanmelding van Microsoft Entra ID naar het BIG-IP-adres.

  1. Navigeer naar Access Overview > Access-rapporten>.

  2. Voer het rapport uit voor het afgelopen uur om te zien of de logboeken aanwijzingen bieden. De koppeling Sessievariabelen weergeven voor uw sessie helpt ook te begrijpen of de APM de verwachte claims van Microsoft Entra ID ontvangt.

Als u geen BIG-IP-foutpagina ziet, is het probleem waarschijnlijk meer gerelateerd aan de back-endaanvraag of de eenmalige aanmelding van het BIG-IP-adres naar de toepassing.

  1. In dat geval gaat u naar Actieve sessies voor toegangsbeleidsoverzicht >> en selecteert u de koppeling voor uw actieve sessie.

  2. De koppeling Variabelen weergeven op deze locatie kan ook de hoofdoorzaak van SSO-problemen helpen, met name als de BIG-IP APM de juiste kenmerken van Microsoft Entra-id of een andere bron niet kan verkrijgen.

Raadpleeg het F5-kennisartikel Externe LDAP-verificatie voor Active Directory configureren voor meer informatie. Er is ook een geweldige BIG-IP-referentietabel om LDAP-gerelateerde problemen in dit F5-kennisartikel over LDAP-query te diagnosticeren.