Delen via

F5 BIG-IP Access Policy Manager configureren voor de formulier-gebaseerde eenmalige aanmelding

  • Artikel

Meer informatie over het configureren van F5 BIG-IP Access Policy Manager (APM) en Microsoft Entra ID voor beveiligde hybride toegang (SHA) voor toepassingen op basis van formulieren. Big-IP gepubliceerde services voor eenmalige aanmelding van Microsoft Entra (SSO) biedt voordelen:

Meer informatie:

Beschrijving van scenario

Voor het scenario is er een interne verouderde toepassing geconfigureerd voor verificatie op basis van formulieren (FBA). In het ideale instantie beheert Microsoft Entra ID de toegang tot toepassingen, omdat verouderde protocollen voor moderne verificatie ontbreken. Modernisering kost tijd en moeite, wat het risico op downtime introduceert. Implementeer in plaats daarvan een BIG-IP tussen het openbare internet en de interne toepassing. Met deze configuratie wordt binnenkomende toegang tot de toepassing gepoort.

Met een BIG-IP-adres vóór de toepassing kunt u de service overlays met vooraf verificatie en SSO op basis van headers van Microsoft Entra. De overlay verbetert het beveiligingspostuur van toepassingen.

Scenario-architectuur

De SHA-oplossing heeft de volgende onderdelen:

  • Toepassing - BIG-IP gepubliceerde service die wordt beveiligd door SHA.
    • De toepassing valideert gebruikersreferenties
    • Elke map, open source enzovoort gebruiken
  • Microsoft Entra ID - IdP (Security Assertion Markup Language) waarmee gebruikersreferenties, voorwaardelijke toegang en eenmalige aanmelding worden gecontroleerd op het BIG-IP-adres.
    • Met eenmalige aanmelding biedt Microsoft Entra ID kenmerken aan het BIG-IP-adres, inclusief gebruikers-id's
  • BIG-IP : reverse-proxy en SAML-serviceprovider (SP) naar de toepassing.
    • BIG-IP-delegering van verificatie aan de SAML IdP voert vervolgens eenmalige aanmelding op basis van headers uit naar de back-endtoepassing.
    • Eenmalige aanmelding maakt gebruik van de gebruikersreferenties in de cache voor andere op formulieren gebaseerde verificatietoepassingen

SHA ondersteunt door SP- en IdP geïnitieerde stromen. In het volgende diagram ziet u de door SP geïnitieerde stroom.

Diagram van de door de serviceprovider geïnitieerde stroom.

  1. De gebruiker maakt verbinding met het eindpunt van de toepassing (BIG-IP).
  2. Big-IP APM-toegangsbeleid leidt de gebruiker om naar Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra voert vooraf verificatie uit voor de gebruiker en past afgedwongen beleid voor voorwaardelijke toegang toe.
  4. De gebruiker wordt omgeleid naar BIG-IP (SAML SP) en eenmalige aanmelding vindt plaats met een uitgegeven SAML-token.
  5. BIG-IP vraagt de gebruiker een wachtwoord voor de toepassing en slaat het op in de cache.
  6. BIG-IP verzendt een aanvraag naar de toepassing en ontvangt een aanmeldingsformulier.
  7. De APM-scripting vult de gebruikersnaam en het wachtwoord in en verzendt vervolgens het formulier.
  8. De webserver dient nettolading van toepassingen en verzendt deze naar de client.

Vereisten

U hebt de volgende onderdelen nodig:

  • Een Azure-abonnement
  • Een van de volgende rollen: Cloudtoepassingsbeheerder of Toepassingsbeheerder
  • Een BIG-IP of een BIG-IP Virtual Edition (VE) implementeren in Azure
  • Een van de volgende F5 BIG-IP-licenties:
    • F5 BIG-IP® Best bundle
    • Zelfstandige licentie voor F5 BIG-IP Access Policy Manager™ (APM)
    • F5 BIG-IP Access Policy Manager™ (APM) uitbreidingslicentie op een BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Proefversie van 90 dagen voor volledige BIG-IP-functionaliteit. Bekijk gratis proefversies
  • Gebruikersidentiteiten gesynchroniseerd vanuit een on-premises directory naar Microsoft Entra-id
  • Een SSL-certificaat voor het publiceren van services via HTTPS of het gebruik van standaardcertificaten tijdens het testen
    • SSL-profiel weergeven
  • Een toepassing voor verificatie op basis van formulieren of een IIS-app (Internet Information Services) voor verificatie op basis van formulieren (FBA) instellen voor testen

BIG-IP-configuratie

De configuratie in dit artikel is een flexibele SHA-implementatie: handmatig maken van BIG-IP-configuratieobjecten. Gebruik deze benadering voor scenario's die niet worden behandeld in de sjablonen voor begeleide configuratie.

Notitie

Vervang voorbeeldtekenreeksen of -waarden door de tekenreeksen of waarden uit uw omgeving.

F5 BIG-IP registreren in Microsoft Entra ID

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

BIG-IP-registratie is de eerste stap voor eenmalige aanmelding tussen entiteiten. De app die u maakt op basis van de F5 BIG-IP-galeriesjabloon is de relying party, die de SAML SP vertegenwoordigt voor de gepubliceerde BIG-IP-toepassing.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.
  3. Selecteer nieuwe toepassing in het deelvenster Alle toepassingen.
  4. Het deelvenster Bladeren in microsoft Entra Gallery wordt geopend.
  5. Tegels worden weergegeven voor cloudplatformen, on-premises toepassingen en aanbevolen toepassingen. Pictogrammen van aanbevolen toepassingen geven ondersteuning aan van federatieve eenmalige aanmelding en inrichting.
  6. Zoek in de Azure-galerie naar F5.
  7. Selecteer F5 BIG-IP APM Microsoft Entra ID-integratie.
  8. Voer een naam in die de nieuwe toepassing gebruikt om het toepassingsexemplaren te herkennen.
  9. Selecteer Toevoegen.
  10. Selecteer Maken.

Eenmalige aanmelding inschakelen voor F5 BIG-IP

Configureer de BIG-IP-registratie om te voldoen aan SAML-tokens die door BIG-IP APM worden aangevraagd.

  1. Selecteer in het linkermenu in de sectie Beheren de optie Eenmalige aanmelding.
  2. Het deelvenster Eenmalige aanmelding wordt weergegeven.
  3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.
  4. Selecteer Nee, ik sla het later op.
  5. Selecteer in het deelvenster Eenmalige aanmelding instellen met SAML het penpictogram .
  6. Vervang voor id de waarde door de gepubliceerde BIG-IP-toepassings-URL.
  7. Vervang voor antwoord-URL de waarde, maar behoud het pad voor het SAML SP-eindpunt van de toepassing. Met deze configuratie werkt de SAML-stroom in de door IdP geïnitieerde modus.
  8. Microsoft Entra ID geeft een SAML-assertie uit, waarna de gebruiker wordt omgeleid naar het BIG-IP-eindpunt.
  9. Voer voor door SP geïnitieerde modus voor aanmeldings-URL de toepassings-URL in.
  10. Voer voor afmeldings-URL het SLO-eindpunt (BIG-IP APM single logout) in dat wordt voorafgegaan door de hostheader van de service.
  11. Vervolgens eindigt BIG-IP APM-gebruikerssessies wanneer gebruikers zich afmelden bij Microsoft Entra ID.
  12. Selecteer Opslaan.
  13. Sluit het deelvenster SAML-configuratie.
  14. Sla de testprompt voor eenmalige aanmelding over.
  15. Noteer de eigenschappen van de sectie Gebruikerskenmerken en claims . Microsoft Entra ID geeft de eigenschappen voor BIG-IP APM-verificatie en eenmalige aanmelding voor de back-endtoepassing uit.
  16. Selecteer Downloaden in het deelvenster SAML-handtekeningcertificaat.
  17. Het XML-bestand met federatieve metagegevens wordt opgeslagen op uw computer.

Notitie

Vanaf Traffic Management Operating System (TMOS) v16 is /saml/sp/profile/redirect/slohet SAML SLO-eindpunt.

Schermopname van URL's in de SAML-configuratie.

Notitie

Microsoft Entra SAML-handtekeningcertificaten hebben een levensduur van drie jaar.

Meer informatie: Zelfstudie: Certificaten beheren voor federatieve eenmalige aanmelding

Gebruikers en groepen toewijzen

Microsoft Entra ID geeft tokens uit voor gebruikers die toegang tot een toepassing hebben verleend. Specifieke gebruikers en groepen toegang verlenen tot toepassingen:

  1. In het overzichtsvenster van de F5 BIG-IP-toepassingselecteert u Gebruikers en groepen toewijzen.
  2. Selecteer +Gebruiker/groep toevoegen.
  3. Selecteer de gewenste gebruikers en groepen.
  4. Selecteer Toewijzen.

Geavanceerde CONFIGURATIE van BIG-IP

Gebruik de volgende instructies om BIG-IP te configureren.

Instellingen configureren voor SAML 2.0-providers

MET SAML SP-instellingen worden de SAML SP-eigenschappen gedefinieerd die door APM worden gebruikt om de verouderde toepassing te overlayen met preauthentication voor SAML. Ga als volgt te werk om de configuratie uit te voeren:

  1. Selecteer Access>Federation>SAML Service Provider.

  2. Selecteer Lokale SP-services.

  3. Selecteer Maken.

    Schermopname van de optie Maken op het tabblad SAML Service Provider.

  4. Voer bij Nieuwe SAML SP-service voor naam en entiteits-id de gedefinieerde naam en entiteits-id in.

    Schermopname van de velden Naam en Entiteits-id onder Nieuwe SAML SP-service maken.

    Notitie

    Waarden voor SP-naaminstellingen zijn vereist als de entiteits-id niet overeenkomt met het hostnaamgedeelte van de gepubliceerde URL. Of waarden zijn vereist als de entiteits-id niet de normale url-indeling op basis van hostnamen heeft.

  5. Als de entiteits-id is urn:myvacation:contosoonline, voert u het externe schema en de hostnaam van de toepassing in.

Een externe IdP-connector configureren

Een SAML IdP-connector definieert instellingen voor de BIG-IP APM om Microsoft Entra-id te vertrouwen als SAML IdP. De instellingen verbinden de SAML-serviceprovider met een SAML IdP, waarmee de federatieve vertrouwensrelatie tussen de APM- en Microsoft Entra-id tot stand wordt gebracht.

De connector configureren:

  1. Selecteer het nieuwe SAML-serviceproviderobject.

  2. Selecteer Bindings-/UnbBind IdP-connectors.

    Schermopname van de optie Binding unbind IdP Connectors op het tabblad SAML Service Provider.

  3. Selecteer in de lijst Nieuwe IdP-connector maken de optie Uit metagegevens.

    Schermopname van de optie Van metagegevens in de vervolgkeuzelijst Nieuwe IdP-connector maken.

  4. Blader in het deelvenster Nieuwe SAML IdP-connector maken naar het XML-bestand met federatieve metagegevens dat u hebt gedownload.

  5. Voer een id-providernaam in voor het APM-object dat de externe SAML IdP vertegenwoordigt. Bijvoorbeeld MyVacation_EntraID.

    Schermopname van de velden Bestands- en id-providernaam selecteren in Nieuwe SAML IdP-connector maken.

  6. Selecteer Nieuwe rij toevoegen.

  7. Selecteer de nieuwe SAML IdP-connector.

  8. Selecteer Bijwerken.

    Schermopname van de optie Bijwerken.

  9. Selecteer OK.

    Schermopname van de SAML ID's bewerken die dit SP-dialoogvenster gebruiken.

Eenmalige aanmelding op basis van formulieren configureren

Maak een APM SSO-object voor FBA SSO voor back-endtoepassingen.

Voer eenmalige aanmelding van FBA uit in de door de client geïnitieerde modus of door BIG-IP geïnitieerde modus. Met beide methoden wordt een gebruikersaanmelding geëmuleren door referenties in de gebruikersnaam en wachtwoordtags te injecteren. Het formulier wordt verzonden. Gebruikers bieden een wachtwoord voor toegang tot een FBA-toepassing. Het wachtwoord wordt in de cache opgeslagen en opnieuw gebruikt voor andere FBA-toepassingen.

  1. Selecteer Eenmalige aanmelding van Access>.

  2. Selecteer Formulieren op basis van.

  3. Selecteer Maken.

  4. Voer bij Naam een beschrijvende naam in. Bijvoorbeeld Contoso\FBA\sso.

  5. Selecteer Geen voor het gebruik van SSO-sjabloon.

  6. Voer voor Gebruikersnaambron de gebruikersnaambron in om het formulier voor het verzamelen van wachtwoorden vooraf in te vullen. De standaardinstelling session.sso.token.last.username werkt goed, omdat deze de aangemelde gebruiker Microsoft Entra User Principal Name (UPN) heeft.

  7. Voor wachtwoordbron moet u de standaardvariabele session.sso.token.last.password APM-variabele BIG-IP gebruiken om gebruikerswachtwoorden in de cache op te cachen.

    Schermopname van de opties voor naam en gebruik SSO-sjabloon onder Nieuwe SSO-configuratie.

  8. Voer voor de start-URI de aanmeldings-URI van de FBA-toepassing in. Als de aanvraag-URI overeenkomt met deze URI-waarde, voert de APM-verificatie op basis van een formulier eenmalige aanmelding uit.

  9. Laat het veld leeg voor formulieractie. Vervolgens wordt de oorspronkelijke aanvraag-URL gebruikt voor eenmalige aanmelding.

  10. Voer voor formulierparameter voor gebruikersnaam het veldelement voor de gebruikersnaam van het aanmeldingsformulier in. Gebruik de ontwikkelhulpprogramma's van de browser om het element te bepalen.

  11. Voer voor formulierparameter voor wachtwoord het veldelement voor het aanmeldingswachtwoord in. Gebruik de ontwikkelhulpprogramma's van de browser om het element te bepalen.

Schermopname van de velden Start URI, formulierparameter voor gebruikersnaam en formulierparameter voor wachtwoord.

Schermopname van de aanmeldingspagina met bijschriften voor veld gebruikersnaam en wachtwoordveld.

Ga voor meer informatie naar techdocs.f5.com voor Handmatig hoofdstuk: Methoden voor eenmalige aanmelding.

Een toegangsprofiel configureren

Een toegangsprofiel verbindt de APM-elementen die de toegang tot virtuele BIG-IP-servers beheren, waaronder toegangsbeleid, configuratie van eenmalige aanmelding en ui-instellingen.

  1. Selecteer Toegangsprofielen>/beleid.

  2. Selecteer Toegangsprofielen (beleid per sessie).

  3. Selecteer Maken.

  4. Voer bij Naam een naam in.

  5. Selecteer Alles voor Profieltype.

  6. Selecteer voor configuratie van eenmalige aanmelding het FBA SSO-configuratieobject dat u hebt gemaakt.

  7. Selecteer ten minste één taal voor Geaccepteerde taal.

    Schermopname van opties en selecties voor toegangsprofielen per sessiebeleid, nieuw profiel.

  8. Selecteer Bewerken in de kolom Beleid per sessie voor het profiel.

  9. De APM Visual Policy Editor wordt gestart.

    Schermopname van de optie Bewerken in de kolom Beleid per sessie.

  10. Selecteer het + teken onder terugval.

Schermopname van de optie plusteken voor APM Visual Policy Editor onder terugval.

  1. Selecteer Verificatie in het pop-upvenster.
  2. Selecteer SAML-verificatie.
  3. Selecteer Item toevoegen.

Schermopname van de optie SAML-verificatie.

  1. Wijzig op SAML-verificatie-SP de naam in Microsoft Entra-verificatie.
  2. Voer in de vervolgkeuzelijst AAA Server het SAML-serviceproviderobject in dat u hebt gemaakt.

Schermopname van de microsoft Entra-verificatieserverinstellingen.

  1. Selecteer het + teken in de vertakking Geslaagd.
  2. Selecteer Verificatie in het pop-upvenster.
  3. Selecteer aanmeldingspagina.
  4. Selecteer Item toevoegen.

Schermopname van de optie Aanmeldingspagina op het tabblad Aanmelden.

  1. Als gebruikersnaam selecteert u Ja in de kolom Alleen-lezen.

Schermopname van de optie Ja in de rij gebruikersnaam op het tabblad Eigenschappen.

  1. Selecteer het teken voor de terugval op de + aanmeldingspagina. Met deze actie wordt een SSO-referentietoewijzingsobject toegevoegd.

  2. Selecteer in het pop-upvenster het tabblad Toewijzing .

  3. Selecteer SSO-referentietoewijzing.

  4. Selecteer Item toevoegen.

    Schermopname van de optie Referentietoewijzing voor eenmalige aanmelding op het tabblad Toewijzing.

  5. Behoud bij Variabele toewijzen: referentietoewijzing voor eenmalige aanmelding de standaardinstellingen.

  6. Selecteer Opslaan.

    Schermopname van de optie Opslaan op het tabblad Eigenschappen.

  7. Selecteer de koppeling in het bovenste vak Weigeren .

  8. De geslaagde vertakking verandert in Toestaan.

  9. Selecteer Opslaan.

(Optioneel) Kenmerktoewijzingen configureren

U kunt een LogonID_Mapping configuratie toevoegen. Vervolgens heeft de lijst met actieve BIG-IP-sessies de UPN van de aangemelde gebruiker, niet een sessienummer. Gebruik deze informatie voor het analyseren van logboeken of het oplossen van problemen.

  1. Selecteer het + teken voor de SAML-verificatie geslaagde vertakking.

  2. Selecteer Toewijzing in het pop-upvenster.

  3. Selecteer Variabele toewijzen.

  4. Selecteer Item toevoegen.

    Schermopname van de optie Variabele toewijzen op het tabblad Toewijzing.

  5. Voer op het tabblad Eigenschappen een naam in. Bijvoorbeeld LogonID_Mapping.

  6. Selecteer onder Variabele toewijzen de optie Nieuwe vermelding toevoegen.

  7. Selecteer Wijzigen.

    Schermopname van de optie Nieuwe invoer toevoegen en de optie Wijzigen.

  8. Voor aangepaste variabele gebruikt u session.logon.last.username.

  9. Voor sessievariabele, gebruiker session.saml.last.identity.

  10. Selecteer Voltooid.

  11. Selecteer Opslaan.

  12. Selecteer Toegangsbeleid toepassen.

  13. Sluit de Visual Policy Editor.

Schermopname van het toegangsbeleid voor Het toepassen van toegangsbeleid.

Een back-endgroep configureren

Als u BIG-IP wilt inschakelen om clientverkeer correct door te sturen, maakt u een BIG-IP-knooppuntobject dat de back-endserver vertegenwoordigt die als host fungeert voor uw toepassing. Plaats dit knooppunt vervolgens in een BIG-IP-servergroep.

  1. Selecteer lokale verkeersgroepen>.

  2. Selecteer De lijst met groepen.

  3. Selecteer Maken.

  4. Voer een naam in voor een servergroepobject. Bijvoorbeeld MyApps_VMs.

    Schermopname van het veld Naam onder Nieuwe pool.

  5. Voer bij Knooppuntnaam een weergavenaam van de server in. Deze server fungeert als host voor de back-endwebtoepassing.

  6. Voer bij Adres het IP-adres van de host van de toepassingsserver in.

  7. Voer voor servicepoort de HTTP/S-poort in waarop de toepassing luistert.

    Schermopname van de velden Knooppuntnaam, Adres, Servicepoort en de optie Toevoegen.

    Notitie

    Voor statusmonitors is een configuratie vereist die in dit artikel niet wordt behandeld. Ga naar support.f5.com voor K13397: Overzicht van aanvraagopmaak van HTTP-statusmonitor voor het BIG-IP DNS-systeem.

Een virtuele server configureren

Een virtuele server is een BIG-IP-gegevensvlakobject dat wordt vertegenwoordigd door een virtueel IP-adres. De server luistert naar clientaanvragen naar de toepassing. Ontvangen verkeer wordt verwerkt en geëvalueerd op basis van het APM-toegangsprofiel dat is gekoppeld aan de virtuele server. Het verkeer wordt volgens het beleid omgeleid.

Een virtuele server configureren:

  1. Selecteer Virtuele servers voor lokaal verkeer>.

  2. Selecteer lijst met virtuele servers.

  3. Selecteer Maken.

  4. Voer bij Naam een naam in.

  5. Voor doeladres/masker selecteert u Host en voert u een IPv4- of IPv6-adres in. Het adres ontvangt clientverkeer voor de gepubliceerde back-endtoepassing.

  6. Voor servicepoort selecteert u Poort, voert u 443 in en selecteert u HTTPS.

    Schermopname van de velden Naam, Doeladres en Servicepoort.

  7. Selecteer http voor HTTP-profiel (client).

  8. Voor SSL-profiel (client) selecteert u het profiel dat u hebt gemaakt of laat u de standaardwaarde voor testen staan. Met deze optie kan een virtuele server voor Transport Layer Security (TLS) services publiceren via HTTPS.

    Schermopname van de opties http-profielclient en SSL-profielclient.

  9. Voor bronadresomzetting selecteert u Automatisch toewijzen.

    Schermopname van de selectie automatisch toewijzen voor bronadresomzetting.

  10. Voer onder Toegangsbeleid in het vak Toegangsprofiel de naam in die u hebt gemaakt. Met deze actie wordt het preauthentication-profiel van Microsoft Entra SAML en het FBA SSO-beleid gekoppeld aan de virtuele server.

Schermopname van de vermelding Toegangsprofiel onder Toegangsbeleid.

  1. Selecteer onder Resources voor Standaardgroep de back-endpoolobjecten die u hebt gemaakt.
  2. Selecteer Voltooid.

Schermopname van de optie Standaardgroep onder Resources.

Instellingen voor sessiebeheer configureren

Instellingen voor BIG-IP-sessiebeheer definiëren voorwaarden voor het beëindigen en vervolgen van sessies. Maak beleid op dit gebied.

  1. Ga naar Toegangsbeleid.
  2. Selecteer Access-profielen.
  3. Selecteer Toegangsprofiel.
  4. Selecteer uw toepassing in de lijst.

Als u één afmeldings-URI-waarde hebt gedefinieerd in Microsoft Entra ID, beëindigt IdP geïnitieerde afmelding bij MyApps de client en de BIG-IP APM-sessie. Het XML-bestand met geïmporteerde federatieve metagegevens van de toepassing biedt de APM het Microsoft Entra SAML-eindpunt voor door SP geïnitieerde afmelding. Zorg ervoor dat de APM correct reageert op een gebruiker die zich afmeldt.

Als er geen BIG-IP-webportal is, kunnen gebruikers de APM niet instrueren zich af te melden. Als de gebruiker zich afmeldt bij de toepassing, is BIG-IP vergeteld. De toepassingssessie kan opnieuw worden ingesteld via eenmalige aanmelding. Zorg ervoor dat sessies veilig worden beëindigd voor door SP geïnitieerde afmelding.

U kunt een SLO-functie toevoegen aan de afmeldingsknop van uw toepassing. Met deze functie wordt de client omgeleid naar het afmeldingseindpunt van Microsoft Entra SAML. Ga naar Eindpunten voor app-registraties om het eindpunt voor SAML-afmelding > te vinden.

Als u de app niet kunt wijzigen, laat u de BIG-IP luisteren naar de aanroep afmelden en SLO activeren.

Meer informatie:

Gepubliceerde toepassing

Uw toepassing is gepubliceerd en toegankelijk met SHA met de app-URL of Microsoft-portals.

De toepassing wordt weergegeven als doelresource in voorwaardelijke toegang. Meer informatie: Een beleid voor voorwaardelijke toegang bouwen.

Voor betere beveiliging blokkeert u directe toegang tot de toepassing en dwingt u een pad af via het BIG-IP-adres.

Testen

  1. De gebruiker maakt verbinding met de externe URL van de toepassing of in Mijn apps en selecteert het toepassingspictogram.

  2. De gebruiker verifieert zich bij Microsoft Entra-id.

  3. De gebruiker wordt omgeleid naar het BIG-IP-eindpunt voor de toepassing.

  4. De wachtwoordprompt wordt weergegeven.

  5. De APM vult de gebruikersnaam in met de UPN van Microsoft Entra ID. De gebruikersnaam heeft het kenmerk Alleen-lezen voor sessieconsistentie. Verberg dit veld, indien nodig.

  6. De informatie wordt ingediend.

  7. De gebruiker is aangemeld bij de toepassing.

    Schermopname van welkomstpagina.

Problemen oplossen

Houd bij het oplossen van problemen rekening met de volgende informatie:

  • BIG-IP voert eenmalige aanmelding van FBA uit terwijl het aanmeldingsformulier wordt geparseerd op de URI

    • BIG-IP zoekt de tags voor gebruikersnaam en wachtwoordelement uit uw configuratie

  • Bevestigen dat elementtags consistent zijn of dat eenmalige aanmelding mislukt

  • Complexe formulieren die dynamisch worden gegenereerd, vereisen mogelijk analyse van ontwikkelhulpprogramma's om inzicht te hebben in het aanmeldingsformulier

  • Clientinitiatie is beter voor aanmeldingspagina's met meerdere formulieren

    • U kunt de formuliernaam selecteren en de JavaScript-formulierhandlerlogica aanpassen

  • FBA SSO-methoden verbergen formulierinteracties om de gebruikerservaring en beveiliging te optimaliseren:

    • U kunt controleren of de referenties zijn geïnjecteerd
    • Schakel in de door de client geïnitieerde modus automatisch verzenden van formulieren uit in uw SSO-profiel
    • Ontwikkelhulpprogramma's gebruiken om de twee stijleigenschappen uit te schakelen die verhinderen dat de aanmeldingspagina wordt weergegeven

    Schermopname van de pagina Eigenschappen.

Vergroot de uitgebreidheid van logboeken

BIG-IP-logboeken bevatten informatie over het isoleren van verificatie- en SSO-problemen. Vergroot het uitbreidingsniveau van het logboek:

  1. Ga naar Overzicht van toegangsbeleid>.
  2. Selecteer gebeurtenislogboeken.
  3. Selecteer Instellingen.
  4. Selecteer de rij van uw gepubliceerde toepassing.
  5. Selecteer Bewerken.
  6. Selecteer Systeemlogboeken van Access.
  7. Selecteer Fouten opsporen in de lijst met eenmalige aanmelding.
  8. Selecteer OK.
  9. Reproduceer het probleem.
  10. Bekijk de logboeken.

Stel de instellingen terug, anders zijn er overmatige gegevens.

BIG-IP-foutbericht

Als er een BIG-IP-fout wordt weergegeven na verificatie vooraf door Microsoft Entra, kan het probleem betrekking hebben op Microsoft Entra ID en BIG-IP SSO.

  1. Ga naar Access-overzicht>.
  2. Selecteer Access-rapporten.
  3. Voer het rapport uit voor het afgelopen uur.
  4. Bekijk de logboeken voor aanwijzingen.

Gebruik de koppeling Sessievariabelen weergeven voor uw sessie om te bepalen of de APM verwachte Microsoft Entra-claims ontvangt.

Geen BIG-IP-foutbericht

Als er geen BIG-IP-foutbericht wordt weergegeven, kan het probleem betrekking hebben op de back-endaanvraag of BIG-IP-to-application SSO.

  1. Selecteer Overzicht van toegangsbeleid>.
  2. Selecteer Actieve sessies.
  3. Selecteer de actieve sessiekoppeling.

Gebruik de koppeling Variabelen weergeven op deze locatie om de hoofdoorzaak te bepalen, met name als de APM de juiste gebruikers-id en het juiste wachtwoord niet kan verkrijgen.

Ga naar techdocs.f5.com voor handmatig hoofdstuk: Sessievariabelen voor meer informatie.

Resources