Zelfstudie: F5 BIG-IP Easy Button configureren voor eenmalige aanmelding bij Oracle PeopleSoft

In dit artikel leert u hoe u Oracle PeopleSoft (PeopleSoft) beveiligt met Behulp van Microsoft Entra ID, met F5 BIG-IP Easy Button Guided Configuration 16.1.

Integreer BIG-IP met Microsoft Entra ID voor veel voordelen:

• Verbeterde Zero Trust-governance via preauthenticatie en voorwaardelijke toegang van Microsoft Entra
  • Zie, Zero Trust Framework om extern werk in te schakelen
  • Wat is voorwaardelijke toegang?
• Eenmalige aanmelding (SSO) tussen Microsoft Entra ID en big-IP gepubliceerde services
• Identiteiten en toegang beheren vanuit het Microsoft Entra-beheercentrum

Meer informatie:

• F5 BIG-IP integreren met Microsoft Entra ID
• Eenmalige aanmelding inschakelen voor bedrijfstoepassing

Beschrijving van scenario

Voor deze zelfstudie gebruikt u een PeopleSoft-toepassing met BEHULP van HTTP-autorisatieheaders om de toegang tot beveiligde inhoud te beheren.

Verouderde toepassingen hebben geen moderne protocollen ter ondersteuning van Microsoft Entra-integratie. Modernisering is kostbaar, vereist planning en introduceert potentiële downtimerisico's. Gebruik in plaats daarvan een F5 BIG-IP Application Delivery Controller (ADC) om de kloof tussen oudere toepassingen en modern ID-beheer te overbruggen, met protocolovergang.

Met een BIG-IP-adres voor de app overlayt u de service met vooraf verificatie en op headers gebaseerde eenmalige aanmelding van Microsoft Entra. Deze actie verbetert het beveiligingspostuur van de toepassing.

Notitie

Krijg externe toegang tot dit type toepassing met microsoft Entra-toepassingsproxy.
Zie, Externe toegang tot on-premises toepassingen via de Microsoft Entra-toepassingsproxy.

Scenario-architectuur

De SHA-oplossing (Secure Hybrid Access) voor deze zelfstudie bevat de volgende onderdelen:

• PeopleSoft-toepassing - BIG-IP gepubliceerde service beveiligd door Microsoft Entra SHA
• Microsoft Entra ID - IdP (Security Assertion Markup Language) waarmee gebruikersreferenties, voorwaardelijke toegang en eenmalige aanmelding op basis van SAML worden gecontroleerd op big-IP
  • Via SSO biedt Microsoft Entra ID sessiekenmerken aan het BIG-IP-adres
• BIG-IP : reverse-proxy en SAML-serviceprovider (SP) naar de toepassing. De verificatie wordt gedelegeerd aan de SAML IdP en voert vervolgens eenmalige aanmelding op basis van headers uit naar de PeopleSoft-service.

Voor dit scenario ondersteunt SHA door SP- en IdP geïnitieerde stromen. In het volgende diagram ziet u de door SP geïnitieerde stroom.

1. De gebruiker maakt verbinding met het eindpunt van de toepassing (BIG-IP).
2. Big-IP APM-toegangsbeleid leidt de gebruiker om naar Microsoft Entra ID (SAML IdP).
3. Microsoft Entra voert vooraf verificatie uit voor de gebruiker en past beleid voor voorwaardelijke toegang toe.
4. De gebruiker wordt omgeleid naar BIG-IP (SAML SP) en eenmalige aanmelding vindt plaats met een uitgegeven SAML-token.
5. BIG-IP injecteert Microsoft Entra-kenmerken als headers in de aanvraag voor de toepassing.
6. Toepassing autoriseert aanvraag en retourneert nettolading.

Vereisten

• Een gratis Microsoft Entra ID-account of hoger
  • Als u nog geen account hebt, kunt u een gratis Azure-account krijgen
• Een BIG-IP of een BIG-IP Virtual Edition (VE) in Azure
  • Zie F5 BIG-IP Virtual Edition-VM implementeren in Azure
• Een van de volgende F5 BIG-IP-licenties:
  • F5 BIG-IP® Best bundle
  • Zelfstandige F5 BIG-IP APM-licentie
  • Invoegtoepassingslicentie voor F5 BIG-IP APM in een bestaande BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Licentie voor volledige proefversie van BIG-IP van 90 dagen
• Gebruikersidentiteiten die zijn gesynchroniseerd vanuit een on-premises adreslijst naar Microsoft Entra-id of die zijn gemaakt in Microsoft Entra-id en zijn teruggegaan naar de on-premises directory
  • Zie Microsoft Entra Connect Sync: Synchronisatie begrijpen en aanpassen
• Een van de volgende rollen: Cloudtoepassingsbeheerder of Toepassingsbeheerder.
• Een SSL-webcertificaat voor het publiceren van services via HTTPS of het gebruik van standaard-BIG-IP-certificaten voor testen
  • Zie F5 BIG-IP Virtual Edition-VM implementeren in Azure
• Een PeopleSoft-omgeving

BIG-IP-configuratie

In deze zelfstudie wordt gebruikgemaakt van Begeleide configuratie 16.1 met een eenvoudige knopsjabloon.

Met de Easy Button gaan beheerders niet tussen Microsoft Entra ID en een BIG-IP om services voor SHA in te schakelen. De wizard Begeleide configuratie van APM en Microsoft Graph verwerken implementatie en beleidsbeheer. De integratie zorgt ervoor dat toepassingen identiteitsfederatie, eenmalige aanmelding en voorwaardelijke toegang ondersteunen.

Notitie

Vervang voorbeeldtekenreeksen of -waarden in deze zelfstudie door tekenreeksen of waarden in uw omgeving.

De knop Easy registreren

Voordat een client of service toegang heeft tot Microsoft Graph, moet het Microsoft Identity Platform dit vertrouwen.

Meer informatie: Quickstart: Een toepassing registreren bij het Microsoft Identity Platform

Met de volgende instructies kunt u een tenant-app-registratie maken om Easy Button-toegang tot Graph te autoriseren. Met deze machtigingen pusht het BIG-IP de configuraties om een vertrouwensrelatie tot stand te brengen tussen een SAML SP-exemplaar voor gepubliceerde toepassing en Microsoft Entra-id als de SAML IdP.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identiteitstoepassingen>> App-registraties > Nieuwe registratie.

3. Voer een toepassingsnaam in.

4. Geef voor accounts in deze organisatiemap alleen op wie de toepassing gebruikt.

5. Selecteer Registreren.

6. Navigeer naar API-machtigingen.

7. Autoriseren van de volgende Microsoft Graph-toepassingsmachtigingen:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Beheerderstoestemming verlenen aan uw organisatie.

9. Ga naar Certificaten en geheimen.

10. Genereer een nieuw clientgeheim en noteer het.

11. Ga naar Overzicht en noteer de client-id en tenant-id.

De knop Eenvoudig configureren

1. Start de begeleide configuratie van APM.
2. Start de sjabloon Easy Button.
3. Navigeer naar de begeleide toegangsconfiguratie>.
4. Selecteer Microsoft Integration.
5. Selecteer Microsoft Entra Application.
6. Controleer de configuratiereeks.
7. Selecteer Volgende
8. Volg de configuratiereeks.

Configuratie-eigenschappen

Gebruik het tabblad Configuratie-eigenschappen om nieuwe toepassingsconfiguraties en SSO-objecten te maken. De sectie Details van het Azure-serviceaccount vertegenwoordigt de client die u hebt geregistreerd in de Microsoft Entra-tenant als een toepassing. Gebruik de instellingen voor de BIG-IP OAuth-client om een SAML SP te registreren in de tenant, met SSO-eigenschappen. Easy Button voert deze actie uit voor BIG-IP-services die zijn gepubliceerd en ingeschakeld voor SHA.

Notitie

Sommige van de volgende instellingen zijn globaal. U kunt ze opnieuw gebruiken om meer toepassingen te publiceren.

1. Voer een configuratienaam in. Unieke namen helpen bij het onderscheiden van configuraties.
2. Voor eenmalige aanmelding (SSO) en HTTP-headers selecteert u Aan.
3. Voer de tenant-id , client-id en clientgeheim in die u hebt genoteerd.
4. Bevestig dat het BIG-IP-adres verbinding maakt met de tenant.
5. Selecteer Volgende.

Serviceprovider

Gebruik de instellingen van de serviceprovider om SAML SP-eigenschappen te definiëren voor het APM-exemplaar dat de met SHA beveiligde toepassing vertegenwoordigt.

1. Voer voor Host de openbare FQDN van de beveiligde toepassing in.
2. Voer voor entiteits-id de id in die door Microsoft Entra ID wordt gebruikt om de SAML SP te identificeren die een token aanvraagt.

3. (Optioneel) Voor Beveiligingsinstellingen geeft u aan dat Microsoft Entra ID SAML-asserties versleutelt. Met deze optie wordt de zekerheid vergroot dat inhoudstokens niet worden onderschept, noch gegevens die zijn aangetast.

4. Selecteer Nieuwe maken in de lijst met persoonlijke sleutel voor Assertion Decryption.

5. Selecteer OK.
6. Het dialoogvenster SSL-certificaat en sleutels importeren wordt weergegeven op een nieuw tabblad.
7. Selecteer PKCS 12 (IIS) als importtype. Met deze optie importeert u uw certificaat en persoonlijke sleutel.
8. Sluit het browsertabblad om terug te keren naar het hoofdtabblad.

9. Schakel voor Versleutelde assertie inschakelen het selectievakje in.
10. Als u versleuteling hebt ingeschakeld, selecteert u uw certificaat in de lijst met persoonlijke sleutel voor Assertion Decryption. Deze persoonlijke sleutel is bedoeld voor het certificaat dat BIG-IP APM gebruikt om Microsoft Entra-asserties te ontsleutelen.
11. Als u versleuteling hebt ingeschakeld, selecteert u uw certificaat in de lijst met Assertion Decryption Certificate . BIG-IP uploadt dit certificaat naar Microsoft Entra ID om uitgegeven SAML-asserties te versleutelen.

Microsoft Entra ID

De Easy Button heeft sjablonen voor Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP en een algemene SHA-sjabloon.

1. Selecteer Oracle PeopleSoft.
2. Selecteer Toevoegen.

Azure-configuratie

1. Voer de weergavenaam in voor de app DIE BIG-IP maakt in de tenant. De naam wordt weergegeven op een pictogram in Mijn apps.

2. (Optioneel) Voer voor de aanmeldings-URL de openbare FQDN van de PeopleSoft-toepassing in.

3. Selecteer vernieuwen naast de ondertekeningssleutel en het handtekeningcertificaat. Met deze actie wordt het certificaat gevonden dat u hebt geïmporteerd.

4. Voer het certificaatwachtwoord in voor de wachtwoordzin voor ondertekeningssleutels.

5. (Optioneel) Selecteer een optie voor ondertekeningsoptie. Deze selectie zorgt ervoor dat BIG-IP tokens en claims accepteert die zijn ondertekend door Microsoft Entra ID.

6. Gebruikers- en gebruikersgroepen worden dynamisch opgevraagd vanuit de Microsoft Entra-tenant.
7. Voeg een gebruiker of groep toe om te testen, anders wordt de toegang geweigerd.

Gebruikerskenmerken en claims

Wanneer een gebruiker wordt geverifieerd, geeft Microsoft Entra ID een SAML-token uit met standaardclaims en kenmerken die de gebruiker identificeren. Het tabblad Gebruikerskenmerken en -claims bevat standaardclaims voor de nieuwe toepassing. Gebruik deze om meer claims te configureren. De sjabloon Easy Button heeft de werknemer-id-claim die is vereist voor PeopleSoft.

Neem indien nodig andere Microsoft Entra-kenmerken op. Voor de voorbeeldtoepassing PeopleSoft zijn vooraf gedefinieerde kenmerken vereist.

Aanvullende gebruikerskenmerken

Het tabblad Aanvullende gebruikerskenmerken ondersteunt gedistribueerde systemen waarvoor kenmerken zijn vereist, worden opgeslagen in andere mappen voor sessie-uitbreiding. Kenmerken van een LDAP-bron worden geïnjecteerd als meer SSO-headers om de toegang te beheren op basis van rollen, partner-id's enzovoort.

Notitie

Deze functie heeft geen correlatie met Microsoft Entra-id; het is een andere kenmerkbron.

Beleid voor voorwaardelijke toegang

Beleidsregels voor voorwaardelijke toegang worden afgedwongen na verificatie vooraf door Microsoft Entra om de toegang te beheren op basis van apparaat-, toepassings-, locatie- en risicosignalen. De weergave Beschikbaar beleid bevat beleidsregels voor voorwaardelijke toegang zonder gebruikersacties. De weergave Geselecteerde beleidsregels bevat beleidsregels die gericht zijn op cloud-apps. U kunt deze beleidsregels niet deselecteren of verplaatsen naar de lijst Met beschikbare beleidsregels omdat deze worden afgedwongen op tenantniveau.

Selecteer een beleid voor de toepassing.

1. Selecteer een beleid in de lijst Beschikbare beleidsregels .
2. Selecteer de pijl-rechts en verplaats het beleid naar Geselecteerd beleid.

Voor geselecteerde beleidsregels is de optie Opnemen of Uitsluiten ingeschakeld. Als beide opties zijn ingeschakeld, wordt het beleid niet afgedwongen.

Notitie

De beleidslijst wordt eenmaal weergegeven wanneer u het tabblad selecteert. Gebruik Vernieuwen voor de wizard om een query uit te voeren op de tenant. Deze optie wordt weergegeven nadat de toepassing is geïmplementeerd.

Eigenschappen van virtuele server

Een virtuele server is een BIG-IP-gegevensvlakobject dat wordt vertegenwoordigd door een virtueel IP-adres. De server luistert naar clientaanvragen naar de toepassing. Ontvangen verkeer wordt verwerkt en geëvalueerd op basis van het APM-profiel van de virtuele server. Vervolgens wordt verkeer omgeleid volgens het beleid.

1. Voer voor doeladres het IPv4- of IPv6-adres big-IP-adres in voor het ontvangen van clientverkeer. Er wordt een bijbehorende record weergegeven in DNS, waarmee clients de externe URL van de gepubliceerde toepassing naar het IP-adres kunnen omzetten. Gebruik een localhost-DNS voor testcomputers voor testen.
2. Voer voor servicepoort 443 in en selecteer HTTPS.
3. Schakel het selectievakje in voor Omleidingspoort inschakelen.
4. Voer voor omleidingspoort 80 in en selecteer HTTP. Met deze optie wordt binnenkomend HTTP-clientverkeer omgeleid naar HTTPS.
5. Selecteer Bestaand gebruiken voor client-SSL-profiel.
6. Selecteer onder Algemeen de optie die u hebt gemaakt. Als u test, laat u de standaardwaarde staan. Met client-SSL-profiel kan de virtuele server voor HTTPS worden ingeschakeld, zodat clientverbindingen worden versleuteld via TLS.

Groepseigenschappen

Het tabblad Groep van toepassingen bevat services achter een BIG-IP, weergegeven als een groep met toepassingsservers.

1. Als u een pool selecteert, selecteert u Nieuwe maken of selecteert u er een.
2. Selecteer Round Robin voor taakverdelingsmethode.
3. Voor poolservers selecteert u in IP-adres/knooppuntnaam een knooppunt of voert u een IP-adres en poort in voor servers die als host fungeren voor de PeopleSoft-toepassing.

Eenmalige aanmelding en HTTP-headers

De wizard Easy Button ondersteunt Kerberos-, OAuth Bearer- en HTTP-autorisatieheaders voor eenmalige aanmelding bij gepubliceerde toepassingen. De PeopleSoft-toepassing verwacht headers.

1. Schakel het selectievakje in voor HTTP-headers.
2. Selecteer vervangen voor headerbewerking.
3. Voer PS_SSO_UID in bij kopnaam.
4. Voer voor headerwaarde %{session.sso.token.last.username} in.

Notitie

APM-sessievariabelen in accolades zijn hoofdlettergevoelig. Als u bijvoorbeeld OrclGUID invoert en de kenmerknaam orclguid is, mislukt de kenmerktoewijzing.

Sessiebeheer

Gebruik instellingen voor BIG-IP-sessiebeheer om voorwaarden te definiëren voor beëindiging of voortzetting van gebruikerssessies. Stel limieten in voor gebruikers en IP-adressen en bijbehorende gebruikersgegevens.

Ga voor meer informatie naar support.f5.com voor K18390492: Beveiliging | Handleiding voor BIG-IP APM-bewerkingen

Niet gedekt in de bedieningshandleiding is de functionaliteit voor eenmalige afmelding (SLO), waardoor idP-, BIG-IP- en gebruikersagentsessies worden beëindigd wanneer gebruikers zich afmelden. Wanneer met de Easy Button een SAML-toepassing wordt geïnstitueert in de Microsoft Entra-tenant, wordt de afmeldings-URL gevuld met het APM SLO-eindpunt. Door IdP geïnitieerde afmelding bij Mijn apps beëindigt BIG-IP- en clientsessies.

Gepubliceerde SAML-federatiegegevens worden geïmporteerd uit de tenant. Deze actie biedt de APM het SAML-afmeldingseindpunt voor Microsoft Entra-id, waardoor sp-geïnitieerde afmelding de client en Microsoft Entra-sessies beëindigt. De APM moet weten wanneer een gebruiker zich afmeldt.

Wanneer de BIG-IP-webtopportal toegang heeft tot gepubliceerde toepassingen, verwerkt de APM een afmelding om het Microsoft Entra-afmeldingseindpunt aan te roepen. Als de BIG-IP-webtopportal niet wordt gebruikt, kan de gebruiker de APM niet instrueren zich af te melden. Als de gebruiker zich afmeldt bij de toepassing, is het BIG-IP vergeten. Door SP geïnitieerde afmelding vereist beveiligde sessie-beëindiging. Voeg een SLO-functie toe aan de knop Afmelden van uw toepassing om uw client om te leiden naar het afmeldingseindpunt van Microsoft Entra SAML of BIG-IP. De EINDPUNT-URL voor SAML-afmelding voor uw tenant in Eindpunten voor app-registraties>.

Als u de app niet kunt wijzigen, kunt u overwegen om de BIG-IP-listen voor afmeldingsgesprekken voor toepassingen uit te voeren en SLO te activeren. Zie PeopleSoft Single Logout in de volgende sectie voor meer informatie.

Implementatie

1. Selecteer Implementeren.
2. Controleer de toepassing in de tenantlijst met bedrijfstoepassingen.
3. De toepassing wordt gepubliceerd en toegankelijk met SHA.

PeopleSoft configureren

Gebruik Oracle Access Manager voor identiteits- en toegangsbeheer voor PeopleSoft-toepassingen.

Voor meer informatie, hebt u o docs.oracle.com voor Oracle Access Manger Integration Guide, Integrating PeopleSoft

Eenmalige aanmelding voor Oracle Access Manager configureren

Configureer Oracle Access Manager om eenmalige aanmelding van big-IP te accepteren.

1. Meld u aan bij de Oracle-console met beheerdersmachtigingen.

2. Navigeer naar PeopleTools > Security.
3. Selecteer Gebruikersprofielen.
4. Selecteer Gebruikersprofielen.
5. Maak een nieuw gebruikersprofiel.
6. Voer OAMPSFT in voor gebruikers-id
7. Voer voor de gebruikersrol PeopleSoft-gebruiker in.
8. Selecteer Opslaan.
9. Navigeer naar Het webprofiel van People Tools>.
10. Selecteer het webprofiel.
11. Selecteer Openbare toegang toestaan op het tabblad Beveiliging in Openbare gebruikers.
12. Voer OAMPSFT in voor gebruikers-id.
13. Voer het wachtwoord in.
14. Laat de Peoplesoft-console staan.
15. Start PeopleTools Application Designer.
16. Klik met de rechtermuisknop op het veld LDAPAUTH .
17. Selecteer PeopleCode weergeven.

18. De vensters ldapAUTH-code worden geopend.

19. Zoek de functie OAMSSO_AUTHENTICATION .

20. Vervang de waarde &defaultUserId door OAMPSFT.

    

21. Sla de record op.

22. Navigeer naar **PeopleTools > Security.

23. Selecteer Beveiligingsobjecten.

24. Selecteer Sign on PeopleCode.

25. Schakel OAMSSO_AUTHENTICATION in.

PeopleSoft Single Logout

Wanneer u zich afmeldt bij Mijn apps, wordt PeopleSoft SLO gestart, waardoor het BIG-IP SLO-eindpunt op zijn beurt wordt aanroepen. BIG-IP heeft instructies nodig om SLO uit te voeren namens de toepassing. Laat de BIG-IP luisteren naar afmeldingsaanvragen van gebruikers bij PeopleSoft en activeer vervolgens SLO.

Voeg SLO-ondersteuning toe voor PeopleSoft-gebruikers.

1. Haal de afmeldings-URL van de PeopleSoft-portal op.
2. Open de portal met een webbrowser.
3. Schakel de hulpprogramma's voor foutopsporing in.
4. Zoek het element met de PT_LOGOUT_MENU-id .
5. Sla het URL-pad op met de queryparameters. In dit voorbeeld: /psp/ps/?cmd=logout.

Maak een BIG-IP iRule om gebruikers om te leiden naar het afmeldingseindpunt samL SP: /my.logout.php3.

1. Navigeer naar de lijst **Lokaal verkeer > iRules.
2. Selecteer Maken.
3. Voer een regelnaam in.
4. Voer de volgende opdrachtregels in.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

5. Selecteer Voltooid.

Wijs de iRule toe aan de BIG-IP Virtual Server.

1. Navigeer naar de begeleide toegangsconfiguratie>.
2. Selecteer de koppeling voor de configuratie van de PeopleSoft-toepassing.

3. Selecteer Virtuele server in de bovenste navigatiebalk.
4. Voor Geavanceerde instellingen selecteert u *Aan.

4. Schuif naar beneden.
5. Voeg onder Common de iRule toe die u hebt gemaakt.

5. Selecteer Opslaan.
6. Selecteer Volgende.
7. Ga door met het configureren van instellingen.

Ga voor meer informatie naar support.f5.com voor:

• K42052145: automatische sessiebeëindiging configureren (afmelden) op basis van een URI-bestandsnaam
• K12056: overzicht van de optie Afmeldings-URI opnemen

Standaard op PeopleSoft-landingspagina

Gebruikersaanvragen van de hoofdmap ("/") omleiden naar de externe PeopleSoft-portal, meestal in: "/psc/ps/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL"

1. Navigeer naar Lokaal verkeer > iRule.
2. Selecteer iRule_PeopleSoft.
3. Voeg de volgende opdrachtregels toe.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

4. Wijs de iRule toe aan de BIG-IP Virtual Server.

Configuratie bevestigen

1. Ga in een browser naar de externe URL van de PeopleSoft-toepassing of selecteer het toepassingspictogram in Mijn apps.

2. Verifiëren bij Microsoft Entra-id.

3. U wordt omgeleid naar de virtuele BIG-IP-server en u bent aangemeld met eenmalige aanmelding.

   Notitie

   U kunt directe toegang tot de toepassing blokkeren, waardoor een pad wordt afgedwongen via het BIG-IP-adres.

Geavanceerde implementatie

Soms ontbreken de sjablonen voor begeleide configuraties flexibiliteit.

Meer informatie: Zelfstudie: F5 BIG-IP-toegangsbeleidsbeheer configureren voor eenmalige aanmelding op basis van headers

U kunt ook in BIG-IP de strikte beheermodus voor begeleide configuratie uitschakelen. U kunt configuraties handmatig wijzigen, hoewel de meeste configuraties worden geautomatiseerd met wizardsjablonen.

1. Navigeer naar de begeleide toegangsconfiguratie>.
2. Selecteer aan het einde van de rij het hangslot.

Wijzigingen met de gebruikersinterface van de wizard zijn niet mogelijk, maar BIG-IP-objecten die zijn gekoppeld aan het gepubliceerde exemplaar van de toepassing worden ontgrendeld voor beheer.

Notitie

Wanneer u de strikte modus opnieuw kunt inschakelen en een configuratie implementeert, worden instellingen die buiten begeleide configuratie worden uitgevoerd, overschreven. We raden een geavanceerde configuratie aan voor productieservices.

Probleemoplossing

Gebruik BIG-IP-logboekregistratie om problemen met connectiviteit, SSO, beleidsschendingen of onjuist geconfigureerde variabeletoewijzingen te isoleren.

Uitgebreidheid van logboeken

1. Navigeer naar > van toegangsbeleid.
2. Selecteer gebeurtenislogboeken.
3. Selecteer Instellingen.
4. Selecteer de rij van uw gepubliceerde toepassing.
5. SelecteerBewerken.
6. Systeemlogboeken van Access selecteren
7. Selecteer Fouten opsporen in de lijst met eenmalige aanmelding.
8. Selecteer OK.
9. Reproduceer het probleem.
10. Inspecteer de logboeken.

Als u klaar bent, kunt u deze functie herstellen omdat de uitgebreide modus veel gegevens genereert.

BIG-IP-foutbericht

Als er een BIG-IP-fout wordt weergegeven nadat Microsoft Entra vooraf is geverifieerd, is het mogelijk dat het probleem betrekking heeft op Microsoft Entra-id naar BIG-IP SSO.

1. Navigeer naar Overzicht van Access>.
2. Selecteer Access-rapporten.
3. Voer het rapport uit voor het afgelopen uur.
4. Bekijk de logboeken voor aanwijzingen.

Gebruik de sessiekoppeling Weergeven van de sessie om te bevestigen dat de APM verwachte Microsoft Entra-claims ontvangt.

Geen BIG-IP-foutbericht

Als er geen BIG-IP-foutbericht wordt weergegeven, is het probleem mogelijk gerelateerd aan de back-endaanvraag of BIG-IP-to-application SSO.

1. Navigeer naar > van toegangsbeleid.
2. Selecteer Actieve sessies.
3. Selecteer de actieve sessiekoppeling.

Gebruik de koppeling Variabelen weergeven om problemen met eenmalige aanmelding vast te stellen, met name als BIG-IP APM onjuiste kenmerken van sessievariabelen verkrijgt.

Meer informatie:

• Ga naar devcentral.f5.com voor voorbeelden van APM-variabelen toewijzen
• Ga naar techdocs.f5.com voor sessievariabelen