Delen via

Zelfstudie: F5 BIG-IP Easy Button configureren voor eenmalige aanmelding bij Oracle EBS

  • Artikel

Leer hoe u Oracle E-Business Suite (EBS) beveiligt met behulp van Microsoft Entra ID, met F5 BIG-IP Easy Button Guided Configuration. Het integreren van een BIG-IP met Microsoft Entra ID heeft veel voordelen:

Meer informatie:

Beschrijving van scenario

In dit scenario wordt de klassieke Oracle EBS-toepassing behandeld die HTTP-autorisatieheaders gebruikt om de toegang tot beveiligde inhoud te beheren.

Verouderde toepassingen hebben geen moderne protocollen ter ondersteuning van Microsoft Entra-integratie. Modernisering is kostbaar, tijdrovend en introduceert downtimerisico's. Gebruik in plaats daarvan een F5 BIG-IP Application Delivery Controller (ADC) om de kloof tussen oudere toepassingen en het moderne id-besturingsvlak te overbruggen, met protocolovergang.

Een BIG-IP-adres vóór de app maakt overlay van de service mogelijk met vooraf verificatie en op headers gebaseerde eenmalige aanmelding van Microsoft Entra. Deze configuratie verbetert het beveiligingspostuur van toepassingen.

Scenario-architectuur

De SHA-oplossing (Secure Hybrid Access) heeft de volgende onderdelen:

  • Oracle EBS-toepassing - BIG-IP-gepubliceerde service die moet worden beveiligd door Microsoft Entra SHA
  • Microsoft Entra ID - IdP (Security Assertion Markup Language) waarmee gebruikersreferenties, voorwaardelijke toegang en eenmalige aanmelding op basis van SAML worden gecontroleerd op big-IP
    • Met eenmalige aanmelding biedt Microsoft Entra ID BIG-IP-sessiekenmerken
  • Oracle Internet Directory (OID) - fungeert als host voor de gebruikersdatabase
    • BIG-IP verifieert autorisatiekenmerken met LDAP
  • Oracle E-Business Suite AccessGate : valideert autorisatiekenmerken met de OID-service en geeft vervolgens EBS-toegangscookies uit
  • BIG-IP - reverse-proxy en SAML-serviceprovider (SP) naar de toepassing
    • Verificatie wordt gedelegeerd aan de SAML IdP, waarna eenmalige aanmelding op basis van headers naar de Oracle-toepassing plaatsvindt

SHA ondersteunt door SP- en IdP geïnitieerde stromen. In het volgende diagram ziet u de door SP geïnitieerde stroom.

Diagram van beveiligde hybride toegang op basis van de door SP geïnitieerde stroom.

  1. De gebruiker maakt verbinding met het eindpunt van de toepassing (BIG-IP).
  2. Big-IP APM-toegangsbeleid leidt de gebruiker om naar Microsoft Entra ID (SAML IdP).
  3. Microsoft Entra voert vooraf verificatie uit voor de gebruiker en past beleid voor voorwaardelijke toegang toe.
  4. De gebruiker wordt omgeleid naar BIG-IP (SAML SP) en eenmalige aanmelding vindt plaats met behulp van het uitgegeven SAML-token.
  5. BIG-IP voert een LDAP-query uit voor het UID-kenmerk (User Unique ID).
  6. BIG-IP injecteert het geretourneerde UID-kenmerk als user_orclguid header in Oracle EBS-sessiecookieaanvraag naar Oracle AccessGate.
  7. Oracle AccessGate valideert UID op basis van de OID-service en geeft Oracle EBS-toegangscookies door.
  8. Oracle EBS-gebruikersheaders en -cookie die naar de toepassing worden verzonden en retourneert de nettolading aan de gebruiker.

Vereisten

U hebt de volgende onderdelen nodig:

  • Een Azure-abonnement
  • Een rol cloudtoepassingsbeheerder of toepassingsbeheerder.
  • Een BIG-IP of een BIG-IP Virtual Edition (VE) implementeren in Azure
  • Een van de volgende F5 BIG-IP-licentie-SKU's:
    • F5 BIG-IP® Best bundle
    • Zelfstandige licentie voor F5 BIG-IP Access Policy Manager™ (APM)
    • F5 BIG-IP Access Policy Manager™ (APM) uitbreidingslicentie op een BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Proefversie van 90 dagen voor volledige BIG-IP-functionaliteit. Zie, gratis proefversies.
  • Gebruikersidentiteiten gesynchroniseerd vanuit een on-premises directory naar Microsoft Entra-id
  • Een SSL-certificaat voor het publiceren van services via HTTPS of het gebruik van standaardcertificaten tijdens het testen
  • Een Oracle EBS, Oracle AccessGate en een Met LDAP ingeschakelde Oracle Internet Database (OID)

BIG-IP-configuratiemethode

In deze zelfstudie wordt gebruikgemaakt van de sjabloon Voor begeleide configuratie v16.1 Easy Button. Met de Easy Button gaan beheerders niet meer heen en weer om services voor SHA in te schakelen. De wizard Begeleide configuratie van APM en Microsoft Graph verwerken implementatie en beleidsbeheer. Deze integratie zorgt ervoor dat toepassingen ondersteuning bieden voor identiteitsfederatie, eenmalige aanmelding en voorwaardelijke toegang, waardoor administratieve overhead wordt verminderd.

Notitie

Vervang voorbeeldtekenreeksen of -waarden door de tekenreeksen of waarden in uw omgeving.

De knop Easy registreren

Voordat een client of service toegang heeft tot Microsoft Graph, moet het Microsoft Identity Platform dit vertrouwen.

Meer informatie: Quickstart: Een toepassing registreren bij het Microsoft Identity Platform

Maak een tenant-app-registratie om de Easy Button-toegang tot Graph te autoriseren. De BIG-IP pusht configuraties om een vertrouwensrelatie tot stand te brengen tussen een SAML SP-exemplaar voor gepubliceerde toepassing en Microsoft Entra-id als de SAML IdP.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar > Nieuwe registratie.

  3. Voer een toepassingsnaam in. Bijvoorbeeld F5 BIG-IP Easy Button.

  4. Geef op wie de toepassingsaccounts >alleen in deze organisatiemap mag gebruiken.

  5. Selecteer Registreren.

  6. Navigeer naar API-machtigingen.

  7. Autoriseren van de volgende Microsoft Graph-toepassingsmachtigingen:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Beheerderstoestemming verlenen voor uw organisatie.

  9. Ga naar Certificaten en geheimen.

  10. Genereer een nieuw clientgeheim. Noteer het clientgeheim.

  11. Ga naar Overzicht. Noteer de client-id en tenant-id.

De knop Eenvoudig configureren

  1. Start de begeleide configuratie van APM.

  2. Start de sjabloon Easy Button .

  3. Navigeer naar > met begeleide configuratie > van Access.

  4. Selecteer Microsoft Entra Application.

  5. Controleer de configuratieopties.

  6. Selecteer Volgende.

  7. Gebruik de afbeelding om uw toepassing te publiceren.

    Schermopname van afbeelding die configuratiegebieden aangeeft.

Configuratie-eigenschappen

Met het tabblad Configuratie-eigenschappen maakt u een BIG-IP-toepassingsconfiguratie en SSO-object. De sectie Details van het Azure-serviceaccount vertegenwoordigt de client die u hebt geregistreerd in uw Microsoft Entra-tenant als een toepassing. Met deze instellingen registreert een BIG-IP OAuth-client een SAML SP in uw tenant, met SSO-eigenschappen. Easy Button voert deze actie uit voor BIG-IP-services die zijn gepubliceerd en ingeschakeld voor SHA.

Als u tijd en moeite wilt besparen, gebruikt u globale instellingen om andere toepassingen te publiceren.

  1. Voer een configuratienaam in.
  2. Voor eenmalige aanmelding (SSO) en HTTP-headers selecteert u Aan.
  3. Voer voor tenant-id, client-id en clientgeheim in wat u hebt genoteerd tijdens de registratie van de Easy Button-client.
  4. Bevestig dat het BIG-IP-adres verbinding maakt met uw tenant.
  5. Selecteer Volgende.

Serviceprovider

Gebruik serviceproviderinstellingen voor de eigenschappen van het SAML SP-exemplaar van de beveiligde toepassing.

  1. Voer voor Host de openbare FQDN van de toepassing in.

  2. Voer voor Entiteits-id de id in die door Microsoft Entra ID wordt gebruikt voor de SAML SP die een token aanvraagt.

    Schermopname van invoer en opties van serviceprovider.

  3. (Optioneel) Schakel in Beveiligingsinstellingen de optie Versleutelde assertie in- of uitschakelen. Het versleutelen van asserties tussen Microsoft Entra ID en de BIG-IP APM betekent dat de inhoudstokens niet kunnen worden onderschept, noch dat er inbreuk is gemaakt op persoonlijke of bedrijfsgegevens.

  4. Selecteer Nieuwe maken in de lijst Persoonlijke sleutel assertieontsleuteling

    Schermopname van Nieuwe opties maken in de vervolgkeuzelijst Persoonlijke sleutel voor Assertion Decryption.

  5. Selecteer OK.

  6. Het dialoogvenster SSL-certificaat en sleutels importeren wordt weergegeven op een nieuw tabblad.

  7. Selecteer PKCS 12 (IIS).

  8. Het certificaat en de persoonlijke sleutel worden geïmporteerd.

  9. Sluit het browsertabblad om terug te keren naar het hoofdtabblad.

    Schermopname van invoer voor importtype, certificaat en sleutelnaam en wachtwoord.

  10. Selecteer Versleutelde assertie inschakelen.

  11. Voor ingeschakelde versleuteling selecteert u in de lijst met persoonlijke sleutel van Assertion Decryption de persoonlijke sleutel van het certificaat die BIG-IP APM gebruikt om Microsoft Entra-asserties te ontsleutelen.

  12. Voor ingeschakelde versleuteling selecteert u in de lijst met Assertion Decryption Certificate het certificaat DAT BIG-IP uploadt naar Microsoft Entra ID om de uitgegeven SAML-asserties te versleutelen.

    Schermopname van geselecteerde certificaten voor Assertion Decryption Private Key en Assertion Decryption Certificate.

Microsoft Entra ID

Easy Button heeft toepassingssjablonen voor Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP en een algemene SHA-sjabloon. De volgende schermopname is de optie Oracle E-Business Suite onder Azure Configuration.

  1. Selecteer Oracle E-Business Suite.
  2. Selecteer Toevoegen.

Azure-configuratie

  1. Voer een weergavenaam in voor de app DIE BIG-IP maakt in uw Microsoft Entra-tenant en het pictogram op MyApps.

  2. Voer in de aanmeldings-URL (optioneel) de openbare FQDN van de EBS-toepassing in.

  3. Voer het standaardpad in voor de oracle EBS-startpagina.

  4. Selecteer naast de handtekeningsleutel en het handtekeningcertificaat het vernieuwingspictogram .

  5. Zoek het certificaat dat u hebt geïmporteerd.

  6. Voer bij de wachtwoordzin voor ondertekeningssleutel het certificaatwachtwoord in.

  7. (Optioneel) Optie voor ondertekening inschakelen. Deze optie zorgt ervoor dat BIG-IP tokens en claims accepteert die zijn ondertekend door Microsoft Entra ID.

    Schermopname van opties en vermeldingen voor handtekeningsleutel, handtekeningcertificaat en wachtwoordzin voor ondertekeningssleutels.

  8. Voor gebruikers- en gebruikersgroepen voegt u een gebruiker of groep toe om te testen, anders wordt alle toegang geweigerd. Gebruikers en gebruikersgroepen worden dynamisch opgevraagd vanuit de Microsoft Entra-tenant en autoriseren toegang tot de toepassing.

    Schermopname van de optie Toevoegen onder Gebruikers- en gebruikersgroepen.

Gebruikerskenmerken en claims

Wanneer een gebruiker wordt geverifieerd, geeft Microsoft Entra ID een SAML-token uit met standaardclaims en kenmerken die de gebruiker identificeren. Het tabblad Gebruikerskenmerken en -claims bevat standaardclaims voor de nieuwe toepassing. Gebruik dit gebied om meer claims te configureren. Voeg indien nodig Microsoft Entra-kenmerken toe, maar voor het Oracle EBS-scenario zijn de standaardkenmerken vereist.

Schermopname van opties en vermeldingen voor gebruikerskenmerken en claims.

Aanvullende gebruikerskenmerken

Het tabblad Extra gebruikerskenmerken ondersteunt gedistribueerde systemen waarvoor kenmerken zijn vereist die zijn opgeslagen in mappen voor sessie-uitbreiding. Kenmerken die zijn opgehaald uit een LDAP-bron, worden toegevoegd als meer SSO-headers om de toegang te beheren op basis van rollen, partner-id, enzovoort.

  1. Schakel de optie Geavanceerde instellingen in.

  2. Schakel het selectievakje LDAP-kenmerken in.

  3. Selecteer Nieuwe maken in De verificatieserver kiezen.

  4. Afhankelijk van uw installatie selecteert u de verbindingsmodus Pool of Directe server gebruiken voor het adres van de doel-LDAP-serviceserver. Selecteer Direct voor één LDAP-server.

  5. Voer voor servicepoort 3060 (standaard), 3161 (veilig) of een andere poort in voor de Oracle LDAP-service.

  6. Voer een DN voor basiszoekopdrachten in. Gebruik de DN (Distinguished Name) om te zoeken naar groepen in een directory.

  7. Voer voor beheerders-DN de DN-naam in van het account dat APM gebruikt om LDAP-query's te verifiëren.

  8. Voer voor beheerderswachtwoord het wachtwoord in.

    Schermopname van opties en vermeldingen voor aanvullende gebruikerskenmerken.

  9. Laat de standaard LDAP-schemakenmerken staan.

    Schermopname van LDAP-schemakenmerken

  10. Voer onder LDAP-queryeigenschappen het basisknooppunt van de LDAP-server in voor het zoeken van gebruikersobjecten.

  11. Voer voor vereiste kenmerken de kenmerknaam van het gebruikersobject in die moet worden geretourneerd vanuit de LDAP-directory. Voor EBS is de standaardwaarde orclguid.

    Schermopname van vermeldingen en opties voor LDAP-query-eigenschappen

Beleid voor voorwaardelijke toegang

Beleid voor voorwaardelijke toegang bepaalt de toegang op basis van apparaat-, toepassings-, locatie- en risicosignalen. Beleidsregels worden afgedwongen na verificatie vooraf door Microsoft Entra. De weergave Beschikbaar beleid bevat beleidsregels voor voorwaardelijke toegang zonder gebruikersacties. De weergave Geselecteerd beleid bevat beleidsregels voor cloud-apps. U kunt deze beleidsregels niet deselecteren of naar Beschikbaar beleid verplaatsen omdat ze worden afgedwongen op tenantniveau.

Ga als volgende te werk om een beleid te selecteren voor de toepassing die moet worden gepubliceerd:

  1. Selecteer een beleid in Beschikbaar beleid.

  2. Selecteer de pijl-rechts.

  3. Het beleid verplaatsen naar Geselecteerd beleid.

    Notitie

    De optie Opnemen of Uitsluiten is geselecteerd voor sommige beleidsregels. Als beide opties zijn ingeschakeld, wordt het beleid niet afgedwongen.

    Schermopname van de optie Uitsluiten geselecteerd voor vier beleidsregels.

    Notitie

    Selecteer het tabblad Beleid voor voorwaardelijke toegang en de beleidslijst wordt weergegeven. Selecteer Vernieuwen en de wizard voert query's uit op uw tenant. Vernieuwen wordt weergegeven voor geïmplementeerde toepassingen.

Eigenschappen van virtuele server

Een virtuele server is een BIG-IP-gegevensvlakobject dat wordt vertegenwoordigd door een virtueel IP-adres dat luistert naar aanvragen van de toepassingsclient. Ontvangen verkeer wordt verwerkt en geëvalueerd op basis van het APM-profiel dat is gekoppeld aan de virtuele server. Vervolgens wordt verkeer omgeleid volgens het beleid.

  1. Voer een doeladres in, een IPv4- of IPv6-adres dat BIG-IP gebruikt om clientverkeer te ontvangen. Zorg ervoor dat een overeenkomstige record in DNS waarmee clients de externe URL, van de gepubliceerde BIG-IP-toepassing, kunnen omzetten in het IP-adres. Gebruik een localhost-DNS voor testcomputers voor testen.

  2. Voer voor servicepoort 443 in en selecteer HTTPS.

  3. Selecteer Omleidingspoort inschakelen.

  4. Voer voor omleidingspoort 80 in en selecteer HTTP. Met deze actie wordt binnenkomend HTTP-clientverkeer omgeleid naar HTTPS.

  5. Selecteer het client-SSL-profiel dat u hebt gemaakt of laat de standaardwaarde voor testen staan. Client SSL-profiel schakelt de virtuele server voor HTTPS in. Clientverbindingen worden versleuteld via TLS.

    Schermopname van opties en selecties voor Eigenschappen van virtuele server.

Groepseigenschappen

Het tabblad Groep van toepassingen bevat services achter een BIG-IP, een groep met een of meer toepassingsservers.

  1. Selecteer een groep, selecteer Nieuwe maken of selecteer een andere optie.

  2. Selecteer Round Robin voor taakverdelingsmethode.

  3. Selecteer en voer onder Poolservers een IP-adres/knooppuntnaam en -poort in voor de servers waarop Oracle EBS wordt gehost.

  4. Selecteer HTTPS.

    Schermopname van opties en selecties voor pooleigenschappen

  5. Bevestig onder Toegangspoortgroep het subpad van de toegangspoort.

  6. Voor poolservers selecteert en voert u een IP-adres/knooppuntnaam en -poort in voor de servers waarop Oracle EBS wordt gehost.

  7. Selecteer HTTPS.

    Schermopname van opties en vermeldingen voor Access Gate Pool.

Eenmalige aanmelding en HTTP-headers

De wizard Easy Button ondersteunt Kerberos-, OAuth Bearer- en HTTP-autorisatieheaders voor eenmalige aanmelding bij gepubliceerde toepassingen. De Oracle EBS-toepassing verwacht headers, waardoor HTTP-headers worden ingeschakeld.

  1. Selecteer HTTP-headers bij eenmalige aanmelding en HTTP-headers.

  2. Selecteer vervangen voor headerbewerking.

  3. Voer bij Koptekstnaam USER_NAME in.

  4. Voer voor headerwaarde %{session.sso.token.last.username} in.

  5. Selecteer vervangen voor headerbewerking.

  6. Voer bij Koptekstnaam USER_ORCLGUID in.

  7. Voer voor headerwaarde %{session.ldap.last.attr.orclguid} in.

    Schermopname van vermeldingen en selecties voor headerbewerking, headernaam en headerwaarde.

    Notitie

    APM-sessievariabelen in accolades zijn hoofdlettergevoelig.

Sessiebeheer

Gebruik BIG-IP-sessiebeheer om voorwaarden te definiëren voor het beëindigen of vervolg van gebruikerssessies.

Ga voor meer informatie naar support.f5.com voor K18390492: Beveiliging | Handleiding voor BIG-IP APM-bewerkingen

De functionaliteit voor eenmalige afmelding (SLO) zorgt ervoor dat sessies tussen de IdP, BIG-IP en de gebruikersagent worden beëindigd wanneer gebruikers zich afmelden. Wanneer met de Easy Button een SAML-toepassing wordt geïnstitueert in uw Microsoft Entra-tenant, wordt de afmeldings-URL gevuld met het APM SLO-eindpunt. Door IdP geïnitieerde afmelding, vanuit de Mijn apps-portal, beëindigt de sessie tussen het BIG-IP-adres en een client.

Zie Microsoft Mijn apps

De SAML-federatiemetagegevens voor de gepubliceerde toepassing worden geïmporteerd uit de tenant. Deze actie biedt de APM het saml-afmeldingseindpunt voor Microsoft Entra-id. Vervolgens beëindigt door SP geïnitieerde afmelding de client- en Microsoft Entra-sessie. Zorg ervoor dat de APM weet wanneer een gebruiker zich afmeldt.

Als u de BIG-IP-webtopportal gebruikt voor toegang tot gepubliceerde toepassingen, verwerkt APM een afmelding om het microsoft Entra-afmeldingseindpunt aan te roepen. Als u de BIG-IP-webtopportal niet gebruikt, kan de gebruiker de APM niet instrueren zich af te melden. Als de gebruiker zich afmeldt bij de toepassing, is het BIG-IP-adres vergeten bij de actie. Zorg ervoor dat door SP geïnitieerde afmeldingstriggers beveiligde sessies beëindigen. Voeg een SLO-functie toe aan de knop Afmelden voor toepassingen om de client om te leiden naar het microsoft Entra SAML- of BIG-IP-afmeldingseindpunt. Zoek de EINDPUNT-URL voor SAML-afmelding voor uw tenant in Eindpunten voor app-registraties>.

Als u de app niet kunt wijzigen, moet u de BIG-IP-aanroep laten luisteren naar de afmeldingsoproep van de toepassing en vervolgens SLO activeren.

Meer informatie:

Implementeren

  1. Selecteer Implementeren om instellingen door te voeren.
  2. Controleer of de toepassing wordt weergegeven in de lijst met tenant enterprise-toepassingen.

Testen

  1. Maak vanuit een browser verbinding met de externe URL van de Oracle EBS-toepassing of selecteer het toepassingspictogram in de Mijn apps.
  2. Verifiëren bij Microsoft Entra-id.
  3. U wordt omgeleid naar de virtuele BIG-IP-server voor de toepassing en aangemeld met eenmalige aanmelding.

Voor betere beveiliging blokkeert u directe toegang tot toepassingen, waardoor een pad via het BIG-IP-adres wordt afgedwongen.

Geavanceerde implementatie

Soms ontbreken de sjablonen voor begeleide configuraties flexibiliteit voor vereisten.

Meer informatie: Zelfstudie: F5 BIG-IP's Access Policy Manager configureren voor eenmalige aanmelding op basis van headers.

Configuraties handmatig wijzigen

U kunt ook in BIG-IP de strikte beheermodus Begeleide configuratie uitschakelen om configuraties handmatig te wijzigen. Wizardsjablonen automatiseren de meeste configuraties.

  1. Navigeer naar de begeleide toegangsconfiguratie>.

  2. Selecteer aan de rechterkant van de rij voor uw toepassingsconfiguratie het hangslotpictogram .

    Schermopname van het hangslotpictogram

Nadat u de strikte modus hebt uitgeschakeld, kunt u geen wijzigingen aanbrengen met de wizard. BIG-IP-objecten die zijn gekoppeld aan het gepubliceerde app-exemplaar, worden echter ontgrendeld voor beheer.

Notitie

Als u de strikte modus opnieuw inschakelt, worden de instellingen voor nieuwe configuraties overschreven zonder de begeleide configuratie. We raden de geavanceerde configuratiemethode voor productieservices aan.

Probleemoplossing

Gebruik de volgende instructies om problemen op te lossen.

Vergroot de uitgebreidheid van logboeken

Gebruik BIG-IP-logboekregistratie om problemen met connectiviteit, SSO, beleidsschendingen of onjuist geconfigureerde variabeletoewijzingen te isoleren. Verhoog het uitgebreidheidsniveau van het logboek.

  1. Navigeer naar > voor overzicht van toegangsbeleid >.
  2. Selecteer Instellingen.
  3. Selecteer de rij voor uw gepubliceerde toepassing.
  4. Selecteer > bewerken.
  5. Selecteer Fouten opsporen in de lijst met eenmalige aanmelding.
  6. Selecteer OK.
  7. Reproduceer het probleem.
  8. Inspecteer de logboeken.

Wijzig de instellingen omdat uitgebreide modus overmatige gegevens genereert.

BIG-IP-foutbericht

Als er een BIG-IP-fout wordt weergegeven na verificatie vooraf door Microsoft Entra, kan het probleem betrekking hebben op Microsoft Entra ID en BIG-IP SSO.

  1. Navigeer naar **Toegangsoverzicht > .
  2. Selecteer Access-rapporten.
  3. Voer het rapport uit voor het afgelopen uur.
  4. Bekijk de logboeken voor aanwijzingen.

Gebruik de koppeling Sessie weergeven voor uw sessie om te bevestigen dat de APM verwachte Microsoft Entra-claims ontvangt.

Geen BIG-IP-foutbericht

Als er geen BIG-IP-foutpagina wordt weergegeven, kan het probleem betrekking hebben op de back-endaanvraag of BIG-IP en toepassings-SSO.

  1. Navigeer naar > van toegangsbeleid.
  2. Selecteer Actieve sessies.
  3. Selecteer de koppeling voor uw actieve sessie.

Gebruik de koppeling Variabelen weergeven om problemen met eenmalige aanmelding te onderzoeken, met name als de BIG-IP APM geen juiste kenmerken ophaalt uit de Microsoft Entra-id of een andere bron.

Meer informatie:

Het APM-serviceaccount valideren

Gebruik de volgende bash-shellopdracht om het APM-serviceaccount voor LDAP-query's te valideren. Met de opdracht worden gebruikersobjecten geverifieerd en opgevraagd.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Meer informatie: