Delen via

Zelfstudie: F5 BIG-IP Easy Button configureren voor eenmalige aanmelding op basis van headers en LDAP

  • Artikel

In dit artikel leert u hoe u header- en LDAP-toepassingen kunt beveiligen met behulp van Microsoft Entra ID, met behulp van de begeleide configuratie van F5 BIG-IP Easy Button 16.1. Het integreren van een BIG-IP met Microsoft Entra ID biedt veel voordelen:

Zie F5 BIG-IP- en Microsoft Entra-integratie voor meer informatie over meer voordelen.

Beschrijving van scenario

Dit scenario is gericht op de klassieke, verouderde toepassing die gebruikmaakt van HTTP-autorisatieheaders die afkomstig zijn van LDAP-adreslijstkenmerken, om de toegang tot beveiligde inhoud te beheren.

Omdat deze verouderd is, ontbreekt de toepassing aan moderne protocollen ter ondersteuning van een directe integratie met Microsoft Entra-id. U kunt de app moderniseren, maar het is kostbaar, vereist planning en introduceert risico's op potentiële downtime. In plaats daarvan kunt u een F5 BIG-IP Application Delivery Controller (ADC) gebruiken om de kloof tussen de verouderde toepassing en het moderne id-besturingsvlak te overbruggen, met protocolovergang.

Als u een BIG-IP-adres voor de app hebt, wordt de overlay van de service mogelijk gemaakt met vooraf verificatie en SSO op basis van headers van Microsoft Entra, waardoor het algehele beveiligingspostuur van de toepassing wordt verbeterd.

Scenario-architectuur

De veilige hybride toegangsoplossing voor dit scenario heeft:

  • Toepassing - BIG-IP-gepubliceerde service die moet worden beveiligd door Microsoft Entra ID beveiligde hybride toegang (SHA)
  • Microsoft Entra ID - IdP (Security Assertion Markup Language) waarmee gebruikersreferenties, voorwaardelijke toegang en eenmalige aanmelding op basis van SAML worden gecontroleerd op big-IP. Met eenmalige aanmelding biedt Microsoft Entra ID de BIG-IP met vereiste sessiekenmerken.
  • HR-systeem : op LDAP gebaseerde werknemersdatabase als bron van waarheid voor toepassingsmachtigingen
  • BIG-IP - Omgekeerde proxy en SAML-serviceprovider (SP) naar de toepassing, verificatie delegeren aan de SAML IdP, voordat u eenmalige aanmelding op basis van headers uitvoert naar de back-endtoepassing

SHA voor dit scenario ondersteunt door SP en IdP geïnitieerde stromen. In de volgende afbeelding ziet u de door SP geïnitieerde stroom.

Diagram van de door SP geïnitieerde stroom voor beveiligde hybride toegang.

  1. De gebruiker maakt verbinding met het eindpunt van de toepassing (BIG-IP)
  2. BIG-IP APM-toegangsbeleid leidt de gebruiker om naar Microsoft Entra ID (SAML IdP)
  3. Microsoft Entra ID verifieert vooraf de gebruiker en past afgedwongen beleid voor voorwaardelijke toegang toe
  4. Gebruiker wordt omgeleid naar BIG-IP (SAML-serviceprovider) en eenmalige aanmelding wordt uitgevoerd met behulp van een uitgegeven SAML-token
  5. BIG-IP vraagt meer kenmerken aan van het HR-systeem op basis van LDAP
  6. BIG-IP injecteert Microsoft Entra ID- en HR-systeemkenmerken als headers in aanvraag naar toepassing
  7. Toepassing autoriseert toegang met verrijkte sessiemachtigingen

Vereisten

Eerdere BIG-IP-ervaring is niet nodig, maar u hebt het volgende nodig:

  • Een gratis Azure-account of een abonnement met een hogere laag
  • Een BIG-IP of een BIG-IP Virtual Edition (VE) implementeren in Azure
  • Een van de volgende F5 BIG-IP-licenties:
    • F5 BIG-IP® Best bundle
    • Zelfstandige licentie voor F5 BIG-IP Access Policy Manager™ (APM)
    • F5 BIG-IP Access Policy Manager™ (APM) uitbreidingslicentie op een BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Gratis proefversie van BIG-IP-producten van 90 dagen
  • Gebruikersidentiteiten gesynchroniseerd vanuit een on-premises directory naar Microsoft Entra-id
  • Een van de volgende rollen: Cloudtoepassingsbeheerder of Toepassingsbeheerder.
  • Een SSL-webcertificaat voor het publiceren van services via HTTPS of standaard BIG-IP-certificaten gebruiken tijdens het testen
  • Een toepassing op basis van headers of een eenvoudige IIS-header-app instellen voor testen
  • Een gebruikersmap die LDAP ondersteunt, zoals Windows Active Directory Lightweight Directory Services (AD LDS), OpenLDAP, enzovoort.

BIG-IP-configuratie

In deze zelfstudie wordt gebruikgemaakt van begeleide configuratie 16.1 met een eenvoudige knopsjabloon. Met de Easy Button gaan beheerders niet heen en weer tussen Microsoft Entra ID en een BIG-IP om services voor SHA in te schakelen. Het implementatie- en beleidsbeheer wordt afgehandeld tussen de wizard Begeleide configuratie van APM en Microsoft Graph. Deze integratie tussen BIG-IP APM en Microsoft Entra ID zorgt ervoor dat toepassingen identiteitsfederatie, eenmalige aanmelding en voorwaardelijke toegang van Microsoft Entra ondersteunen, waardoor administratieve overhead wordt verminderd.

Notitie

Vervang voorbeeldtekenreeksen of -waarden in deze handleiding door tekenreeksen of waarden voor uw omgeving.

Easy Button registreren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Voordat een client of service toegang heeft tot Microsoft Graph, wordt deze vertrouwd door het Microsoft Identity Platform.

Met deze eerste stap maakt u een tenant-app-registratie om de easy button-toegang tot Graph te autoriseren. Met deze machtigingen kan het BIG-IP de configuraties pushen om een vertrouwensrelatie tot stand te brengen tussen een SAML SP-exemplaar voor gepubliceerde toepassing en Microsoft Entra-id als de SAML IdP.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar > Nieuwe registratie.

  3. Voer een weergavenaam voor uw toepassing in. Bijvoorbeeld F5 BIG-IP Easy Button.

  4. Geef op wie de toepassingsaccounts >alleen in deze organisatiemap mag gebruiken.

  5. Selecteer Registreren.

  6. Navigeer naar API-machtigingen en autoriseer de volgende Microsoft Graph-toepassingsmachtigingen:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. Beheerderstoestemming verlenen voor uw organisatie.

  8. Genereer op Certificaten en geheimen een nieuw clientgeheim. Noteer dit geheim.

  9. Noteer in overzicht de client-id en tenant-id.

De knop Eenvoudig configureren

Start de begeleide APM-configuratie om de sjabloon Easy Button te starten.

  1. Navigeer naar De begeleide configuratie > van Access > Microsoft Integration en selecteer Microsoft Entra Application.

  2. Bekijk de lijst met stappen en selecteer Volgende

  3. Volg de stappen om uw toepassing te publiceren.

    Schermopname van de configuratiestroom in Begeleide configuratie.

Configuratie-eigenschappen

Met het tabblad Configuratie-eigenschappen maakt u een BIG-IP-toepassingsconfiguratie en SSO-object. De sectie Details van het Azure-serviceaccount vertegenwoordigt de client die u eerder hebt geregistreerd in uw Microsoft Entra-tenant als toepassing. Met deze instellingen kan een BIG-IP OAuth-client een SAML SP registreren in uw tenant, met de eigenschappen voor eenmalige aanmelding die u handmatig zou configureren. Easy Button voert deze actie uit voor elke BIG-IP-service die is gepubliceerd en ingeschakeld voor SHA.

Sommige van deze instellingen zijn globaal, dus kunnen opnieuw worden gebruikt om meer toepassingen te publiceren, waardoor de implementatietijd en moeite worden verminderd.

  1. Voer een unieke configuratienaam in, zodat beheerders onderscheid kunnen maken tussen easy button-configuraties.
  2. Eenmalige aanmelding (SSO) en HTTP-headers inschakelen.
  3. Voer de tenant-id, client-id en clientgeheim in die u hebt genoteerd bij het registreren van de Easy Button-client in uw tenant.
  4. Controleer of het BIG-IP-adres verbinding kan maken met uw tenant.
  5. Selecteer Volgende.

Serviceprovider

Met de instellingen van de serviceprovider worden de eigenschappen bepaald voor de instantie van de SAML-serviceprovider van de toepassing die is beveiligd via SHA.

  1. Voer Host in, de openbare FQDN (Fully Qualified Domain Name) van de toepassing die wordt beveiligd.

  2. Voer entiteits-id in, de id die microsoft Entra-id gebruikt om de SAML SP te identificeren die een token aanvraagt. Gebruik de optionele beveiligingsinstellingen om op te geven of Microsoft Entra ID SAML-asserties versleutelt. Het versleutelen van asserties tussen Microsoft Entra ID en de BIG-IP APM biedt zekerheid dat de inhoudstokens niet kunnen worden onderschept en dat persoonlijke of bedrijfsgegevens niet kunnen worden aangetast.

  3. Selecteer Nieuwe maken in de lijst Persoonlijke sleutel assertieontsleuteling

    Schermopname van de optie Nieuwe maken onder Persoonlijke sleutel voor Assertion Decryption in Beveiligingsinstellingen.

  4. Selecteer OK. Het dialoogvenster SSL-certificaat en sleutels importeren wordt geopend op een nieuw tabblad.

  5. Selecteer PKCS 12 (IIS) om uw certificaat en persoonlijke sleutel te importeren. Sluit na het inrichten het browsertabblad om terug te keren naar het hoofdtabblad.

    Schermopname van invoertype, certificaat- en sleutelnaam, certificaatsleutelbron en wachtwoordvermeldingen

  6. Schakel Versleutelde assertie in.

  7. Als u versleuteling hebt ingeschakeld, selecteert u uw certificaat in de lijst met persoonlijke sleutel van Assertion Decryption. BIG-IP APM gebruikt deze persoonlijke certificaatsleutel om Microsoft Entra-asserties te ontsleutelen.

  8. Als u versleuteling hebt ingeschakeld, selecteert u uw certificaat in de lijst met Assertion Decryption Certificate . BIG-IP uploadt dit certificaat naar Microsoft Entra ID om de uitgegeven SAML-asserties te versleutelen.

    Schermopname van vermeldingen van de persoonlijke sleutel van Assertion Decryption en Assertion Decryption Certificate in Beveiligingsinstellingen.

Microsoft Entra ID

Deze sectie bevat eigenschappen voor het handmatig configureren van een nieuwe BIG-IP SAML-toepassing in uw Microsoft Entra-tenant. Easy Button heeft toepassingssjablonen voor Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP en een SHA-sjabloon voor andere apps.

Voor dit scenario selecteert u F5 BIG-IP APM Microsoft Entra ID Integration > Add.

Azure-configuratie

  1. Voer de weergavenaam in van de app die door het BIG-IP-adres wordt gemaakt in uw Microsoft Entra-tenant en het pictogram dat gebruikers zien in de MyApps-portal.

  2. Voer geen vermelding in voor aanmeldings-URL (optioneel).

  3. Als u het certificaat wilt zoeken dat u hebt geïmporteerd, selecteert u het pictogram Vernieuwen naast de handtekeningsleutel en het handtekeningcertificaat.

  4. Voer het certificaatwachtwoord in de wachtwoordzin voor ondertekeningssleutel in.

  5. Schakel ondertekeningsoptie in (optioneel) om ervoor te zorgen dat BIG-IP tokens en claims accepteert die zijn ondertekend door Microsoft Entra ID.

    Schermopname van vermeldingen in handtekeningsleutel, handtekeningcertificaat en wachtwoordzin voor ondertekeningssleutels op SAML-handtekeningcertificaat.

  6. Gebruikers- en gebruikersgroepen worden dynamisch opgevraagd vanuit uw Microsoft Entra-tenant en autoriseren toegang tot de toepassing. Voeg een gebruiker of groep toe om te testen, anders wordt de toegang geweigerd.

    Schermopname van de optie Toevoegen in gebruikers- en gebruikersgroepen.

Gebruikerskenmerken en claims

Wanneer een gebruiker wordt geverifieerd, geeft Microsoft Entra ID een SAML-token uit met een standaardset claims en kenmerken die de gebruiker uniek identificeren. Op het tabblad Gebruikerskenmerken & Claims worden de standaardclaims weergegeven die moeten worden opgegeven voor de nieuwe toepassing. Hiermee kunt u ook nog andere claims configureren.

Neem voor dit voorbeeld nog een kenmerk op:

  1. Voer voor Claimnaam employeeid in.

  2. Voer voor bronkenmerk user.employeeid in.

    Schermopname van de employeeid-waarde onder Aanvullende claims in Gebruikerskenmerken en -claims.

Aanvullende gebruikerskenmerken

Op het tabblad Aanvullende gebruikerskenmerken kunt u sessievergroting inschakelen voor gedistribueerde systemen, zoals Oracle, SAP en andere implementaties op basis van JAVA waarvoor kenmerken zijn opgeslagen in andere mappen. Kenmerken die zijn opgehaald uit een LDAP-bron, kunnen worden geïnjecteerd als meer SSO-headers om de toegang te beheren op basis van rollen, partner-id's enzovoort.

  1. Schakel de optie Geavanceerde instellingen in.

  2. Schakel het selectievakje LDAP-kenmerken in.

  3. Selecteer Nieuwe maken in De verificatieserver kiezen.

  4. Afhankelijk van uw installatie selecteert u de modus Pool of Directe serververbinding gebruiken om het serveradres van de doel-LDAP-service op te geven. Als u één LDAP-server gebruikt, selecteert u Direct.

  5. Voer voor servicepoort 389, 636 (veilig) of een andere poort in die uw LDAP-service gebruikt.

  6. Voer voor Basiszoekopdrachten-DN de DN-naam in van de locatie met het account waarmee de APM wordt geverifieerd, voor LDAP-servicequery's.

    Schermopname van vermeldingen in LDAP-servereigenschappen in aanvullende gebruikerskenmerken.

  7. Voor DN zoeken voert u de DN-naam in van de locatie met de gebruikersaccountobjecten die de APM-query's via LDAP opvraagt.

  8. Stel beide lidmaatschapsopties in op Geen en voeg de naam van het gebruikersobjectkenmerk toe dat moet worden geretourneerd vanuit de LDAP-directory. Voor dit scenario: eventroles.

    Schermopname van vermeldingen in LDAP-queryeigenschappen.

Beleid voor voorwaardelijke toegang

Beleid voor voorwaardelijke toegang wordt afgedwongen na verificatie vooraf van Microsoft Entra om de toegang te beheren op basis van apparaat-, toepassings-, locatie- en risicosignalen.

De weergave Beschikbaar beleid bevat beleidsregels voor voorwaardelijke toegang die geen gebruikersacties bevatten.

In de weergave Geselecteerd beleid ziet u beleidsregels die zijn gericht op alle resources. Deze beleidsregels kunnen niet worden gedeselecteerd of verplaatst naar de lijst Met beschikbare beleidsregels, omdat ze worden afgedwongen op tenantniveau.

Een beleid selecteren dat moet worden toegepast op de toepassing die wordt gepubliceerd:

  1. Selecteer een beleid in de lijst Beschikbare beleidsregels .

  2. Selecteer de pijl-rechts en verplaats deze naar de lijst Geselecteerde beleidsregels .

    Notitie

    Geselecteerde beleidsregels hebben een optie Opnemen of Uitsluiten ingeschakeld. Als beide opties zijn ingeschakeld, wordt het geselecteerde beleid niet afgedwongen.

    Schermopname van uitgesloten beleidsregels onder Geselecteerd beleid voor voorwaardelijke toegang.

    Notitie

    De beleidslijst wordt eenmaal opgesomd wanneer u dit tabblad in eerste instantie selecteert. Gebruik de knop Vernieuwen om de wizard handmatig te dwingen een query uit te voeren op uw tenant. Deze knop wordt weergegeven wanneer de toepassing wordt geïmplementeerd.

Eigenschappen van virtuele server

Een virtuele server is een BIG-IP-gegevensvlakobject dat wordt vertegenwoordigd door een virtueel IP-adres dat luistert naar clientaanvragen voor de toepassing. Ontvangen verkeer wordt verwerkt en geëvalueerd op basis van het APM-profiel dat is gekoppeld aan de virtuele server, voordat het wordt omgeleid volgens het beleid.

  1. Voer het doeladres in, een beschikbaar IPv4/IPv6-adres dat het BIG-IP-adres kan gebruiken om clientverkeer te ontvangen. Er moet een overeenkomende record in DNS (Domain Name Server) zijn, waarmee clients de externe URL van uw BIG-IP-gepubliceerde toepassing naar dit IP-adres kunnen omzetten in plaats van de toepassing. Het gebruik van een localhost-DNS voor een test-PC is acceptabel voor testen.

  2. Voer voor servicepoort 443 en HTTPS in.

  3. Schakel omleidingspoort in en voer vervolgens omleidingspoort in omleiden van binnenkomend HTTP-clientverkeer naar HTTPS.

  4. Met het CLIENT SSL-profiel kan de virtuele server voor HTTPS worden ingeschakeld, zodat clientverbindingen worden versleuteld via TLS (Transport Layer Security). Selecteer het client-SSL-profiel dat u hebt gemaakt of laat de standaardwaarde staan tijdens het testen.

    Schermopname van doeladres, servicepoort en algemene vermeldingen onder Algemene eigenschappen op eigenschappen van virtuele server.

Groepseigenschappen

Het tabblad Groep van toepassingen bevat de services achter een BIG-IP die wordt weergegeven als een groep, met een of meer toepassingsservers.

  1. Kies uit Een groep selecteren. Maak een nieuwe pool of selecteer er een.

  2. Kies de taakverdelingsmethode , zoals Round Robin.

  3. Selecteer voor poolservers een knooppunt of geef een IP en poort op voor de server die als host fungeert voor de headertoepassing.

    Schermopname van IP-adres-/knooppuntnaam en poortvermeldingen onder Toepassingsgroep in pooleigenschappen.

Notitie

Onze back-endtoepassing bevindt zich op HTTP-poort 80. Schakel over naar 443 als uw https is.

Eenmalige aanmelding en HTTP-headers

Als u eenmalige aanmelding inschakelt, hebben gebruikers toegang tot gepubliceerde BIG-IP-services zonder referenties in te voeren. De wizard Easy Button ondersteunt Kerberos-, OAuth Bearer- en HTTP-autorisatieheaders voor eenmalige aanmelding.

Gebruik de volgende lijst om opties te configureren.

  • Headerbewerking: Invoegen

  • Headernaam: upn

  • Headerwaarde: %{session.saml.last.identity}

  • Headerbewerking: Invoegen

  • Headernaam: employeeid

  • Headerwaarde: %{session.saml.last.attr.name.employeeid}

  • Headerbewerking: Invoegen

  • Headernaam: eventroles

  • Headerwaarde: %{session.ldap.last.attr.eventroles}

    Schermopname van vermeldingen in SSO Headers onder SSO Headers in SSO en HTTP Headers.

Notitie

APM-sessievariabelen in accolades zijn hoofdlettergevoelig. Als u bijvoorbeeld OrclGUID invoert en de microsoft Entra-kenmerknaam orclguid is, treedt er een kenmerktoewijzingsfout op.

Instellingen voor sessiebeheer

Met de sessiebeheerinstellingen big-IP's worden de voorwaarden gedefinieerd waaronder gebruikerssessies worden beëindigd of mogen doorgaan, limieten voor gebruikers en IP-adressen en bijbehorende gebruikersgegevens. Raadpleeg het F5-artikel K18390492: Beveiliging | Handleiding voor BIG-IP APM-bewerkingen voor meer informatie over deze instellingen.

Wat niet wordt behandeld, is slo-functionaliteit (Single Log Out), die ervoor zorgt dat sessies tussen de IdP, het BIG-IP en de gebruikersagent worden beëindigd wanneer gebruikers zich afmelden. Wanneer met de Easy Button een SAML-toepassing wordt geïnstitueert in uw Microsoft Entra-tenant, wordt de afmeldings-URL gevuld met het APM SLO-eindpunt. Een door IdP geïnitieerde afmelding vanuit de Microsoft Entra Mijn apps-portal beëindigt de sessie tussen het BIG-IP-adres en een client.

De SAML-federatiemetagegevens voor de gepubliceerde toepassing worden geïmporteerd vanuit uw tenant, waarmee de APM het eindpunt voor afmelden voor SAML voor Microsoft Entra-id biedt. Deze actie zorgt ervoor dat een door SP geïnitieerde afmelding de sessie tussen een client en Microsoft Entra-id beëindigt. De APM moet weten wanneer een gebruiker zich afmeldt bij de toepassing.

Als de BIG-IP-webtopportal wordt gebruikt voor toegang tot gepubliceerde toepassingen, verwerkt APM afmelding om het microsoft Entra-afmeldingseindpunt aan te roepen. Houd echter rekening met een scenario waarin de BIG-IP-webtopportal niet wordt gebruikt. De gebruiker kan de APM niet instrueren zich af te melden. Zelfs als de gebruiker zich afmeldt bij de toepassing, is het BIG-IP vergeten. Overweeg daarom door SP geïnitieerde afmelding om ervoor te zorgen dat sessies veilig worden beëindigd. U kunt een SLO-functie toevoegen aan een afmeldingsknop voor een toepassing, zodat uw client kan worden omgeleid naar het afmeldingseindpunt van Microsoft Entra SAML of BIG-IP. De URL voor saml-afmeldingseindpunt voor uw tenant bevindt zich in eindpunten voor app-registraties>.

Als u geen wijziging kunt aanbrengen in de app, kunt u overwegen om het BIG-IP-nummer te laten luisteren naar de afmeldingsoproep van de toepassing en bij het detecteren van de aanvraag wordt slo geactiveerd. Raadpleeg de Oracle PeopleSoft SLO-richtlijnen voor meer informatie over BIG-IP iRules. Zie voor meer informatie over het gebruik van BIG-IP iRules:

Samenvatting

Deze laatste stap bevat een uitsplitsing van uw configuraties.

Selecteer Implementeren om instellingen door te voeren en controleer of de toepassing in uw tenantlijst met Bedrijfstoepassingen staat.

Uw toepassing is gepubliceerd en toegankelijk via SHA, hetzij met de BIJBEHORENDE URL of via Microsoft-toepassingsportals. Voor betere beveiliging kunnen organisaties die dit patroon gebruiken, directe toegang tot de toepassing blokkeren. Deze actie dwingt een strikt pad door het BIG-IP.

Volgende stappen

Maak vanuit een browser in de Microsoft MyApps-portal verbinding met de externe URL van de toepassing of selecteer het toepassingspictogram. Nadat u zich hebt geverifieerd voor Microsoft Entra ID, wordt u omgeleid naar de virtuele BIG-IP-server voor de toepassing en aangemeld via eenmalige aanmelding.

Voor betere beveiliging kunnen organisaties die dit patroon gebruiken, directe toegang tot de toepassing blokkeren. Deze actie dwingt een strikt pad door het BIG-IP.

Geavanceerde implementatie

De sjablonen voor begeleide configuratie kunnen niet flexibel zijn om specifieke vereisten te bereiken.

In BIG-IP kunt u de begeleide configuratie strikt beheermodus uitschakelen. Vervolgens kunt u uw configuraties handmatig wijzigen, hoewel het grootste deel van uw configuraties wordt geautomatiseerd via de sjablonen op basis van de wizard.

Voor uw toepassingsconfiguraties kunt u naar > Begeleide toegangsconfiguratie navigeren en het kleine hangslotpictogram uiterst rechts van de rij selecteren.

Schermopname van de hangslotoptie.

Op dit moment zijn wijzigingen met de gebruikersinterface van de wizard niet meer mogelijk, maar alle BIG-IP-objecten die zijn gekoppeld aan het gepubliceerde exemplaar van de toepassing worden ontgrendeld voor direct beheer.

Notitie

Als u de strikte modus opnieuw inschakelt en een configuratie implementeert, worden alle instellingen die buiten de gebruikersinterface voor begeleide configuratie worden uitgevoerd, overschreven. We raden de geavanceerde configuratiemethode voor productieservices aan.

Probleemoplossing

BIG-IP-logboekregistratie

BIG-IP-logboekregistratie kan helpen bij het isoleren van problemen met connectiviteit, SSO, beleidsschendingen of onjuist geconfigureerde variabeletoewijzingen.

Als u problemen wilt oplossen, kunt u het uitbreidingsniveau van het logboek verhogen.

  1. Navigeer naar Instellingen voor gebeurtenislogboeken van toegangsbeleidsoverzicht >>>.
  2. Selecteer de rij voor uw gepubliceerde toepassing en bewerk > vervolgens Toegangssysteemlogboeken.
  3. Selecteer Fouten opsporen in de lijst met eenmalige aanmelding en klik vervolgens op OK.

Reproduceer uw probleem en inspecteer de logboeken, maar zet deze instelling terug wanneer u klaar bent. Uitgebreide modus genereert aanzienlijke hoeveelheden gegevens.

BIG-IP-foutpagina

Als er een BIG-IP-fout wordt weergegeven na de pre-verificatie van Microsoft Entra, is het mogelijk dat het probleem betrekking heeft op eenmalige aanmelding van Microsoft Entra-id naar het BIG-IP-adres.

  1. Navigeer naar Access Overview > Access-rapporten>.
  2. Voer het rapport uit voor het afgelopen uur om te zien of de logboeken aanwijzingen bieden.
  3. Gebruik de koppeling Variabelen weergeven voor uw sessie om te begrijpen of de APM de verwachte claims van Microsoft Entra-id ontvangt.

Back-endaanvraag

Als er geen foutpagina is, is het probleem waarschijnlijk gerelateerd aan de back-endaanvraag of SSO van het BIG-IP-adres naar de toepassing.

  1. Navigeer naar Actieve sessies voor toegangsbeleidsoverzicht >> en selecteer de koppeling voor uw actieve sessie.
  2. Als u de hoofdoorzaak van het probleem wilt helpen, gebruikt u de koppeling Variabelen weergeven, met name als de BIG-IP APM de juiste kenmerken niet ophaalt uit De Microsoft Entra-id of een andere bron.

Het APM-serviceaccount valideren

Gebruik de volgende opdracht uit de BIG-IP-bash-shell om het APM-serviceaccount voor LDAP-query's te valideren. Verificatie en query van een gebruikersobject bevestigen.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Zie het F5-artikel K11072: Externe LDAP-verificatie configureren voor Active Directory voor meer informatie. U kunt een BIG-IP-referentietabel gebruiken om LDAP-gerelateerde problemen te diagnosticeren in het Document AskF5, LDAP-query.