Udostępnij za pośrednictwem

Konfigurowanie programu F5 BIG-IP Access Policy Manager na potrzeby logowania jednokrotnego opartego na formularzach

  • Artykuł

Dowiedz się, jak skonfigurować program F5 BIG-IP Access Policy Manager (APM) i microsoft Entra ID na potrzeby bezpiecznego dostępu hybrydowego (SHA) do aplikacji opartych na formularzach. Usługi opublikowane przez big-IP dla logowania jednokrotnego (SSO) firmy Microsoft mają następujące korzyści:

  • Ulepszono ład zero trust za pośrednictwem wstępnego uwierzytelniania firmy Microsoft i dostępu warunkowego
  • Pełne logowanie jednokrotne między usługami firmy Microsoft Entra ID i BIG-IP
  • Tożsamości zarządzane i dostęp z jednej płaszczyzny sterowania

Więcej informacji:

Opis scenariusza

W scenariuszu istnieje wewnętrzna starsza aplikacja skonfigurowana do uwierzytelniania opartego na formularzach (FBA). W idealnym przypadku usługa Microsoft Entra ID zarządza dostępem do aplikacji, ponieważ starsza wersja nie ma nowoczesnych protokołów uwierzytelniania. Modernizacja wymaga czasu i nakładu pracy, co spowoduje ryzyko przestoju. Zamiast tego należy wdrożyć big-IP między publicznym Internetem a aplikacją wewnętrzną. Ta konfiguracja bramuje dostęp przychodzący do aplikacji.

Za pomocą adresu BIG-IP przed aplikacją możesz nakładać usługę przy użyciu wstępnego uwierzytelniania firmy Microsoft i logowania jednokrotnego opartego na nagłówku. Nakładka zwiększa poziom zabezpieczeń aplikacji.

Architektura scenariusza

Rozwiązanie SHA ma następujące składniki:

  • Aplikacja — opublikowana usługa BIG-IP chroniona przez algorytm SHA.
    • Aplikacja weryfikuje poświadczenia użytkownika
    • Użyj dowolnego katalogu, open source itd.
  • Microsoft Entra ID — dostawca tożsamości języka SAML (Security Assertion Markup Language), który weryfikuje poświadczenia użytkownika, dostęp warunkowy i logowanie jednokrotne do big-IP.
    • W przypadku logowania jednokrotnego identyfikator Entra firmy Microsoft udostępnia atrybuty big-IP, w tym identyfikatory użytkowników
  • BIG-IP — zwrotny serwer proxy i dostawca usług SAML (SP) do aplikacji.
    • Następnie delegowanie uwierzytelniania big-IP do dostawcy tożsamości SAML wykonuje logowanie jednokrotne oparte na nagłówku do aplikacji zaplecza.
    • Logowanie jednokrotne używa buforowanych poświadczeń użytkownika względem innych aplikacji uwierzytelniania opartych na formularzach

Algorytm SHA obsługuje przepływy inicjowane przez dostawcę usług i dostawcę tożsamości. Na poniższym diagramie przedstawiono przepływ inicjowany przez dostawcę usług.

Diagram przepływu inicjowanego przez dostawcę usług.

  1. Użytkownik łączy się z punktem końcowym aplikacji (BIG-IP).
  2. Zasady dostępu big-IP APM przekierowuje użytkownika do microsoft Entra ID (SAML IdP).
  3. Firma Microsoft Entra wstępnie uwierzytelnia użytkownika i stosuje wymuszane zasady dostępu warunkowego.
  4. Użytkownik jest przekierowywany do adresu BIG-IP (SAML SP), a logowanie jednokrotne odbywa się przy użyciu wystawionego tokenu SAML.
  5. Big-IP monituje użytkownika o hasło aplikacji i zapisuje je w pamięci podręcznej.
  6. Big-IP wysyła żądanie do aplikacji i otrzymuje formularz logowania.
  7. Skrypt APM wypełnia nazwę użytkownika i hasło, a następnie przesyła formularz.
  8. Serwer internetowy obsługuje ładunek aplikacji i wysyła go do klienta.

Wymagania wstępne

Potrzebne są następujące składniki:

  • Subskrypcja platformy Azure
    • Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure
  • Jedna z następujących ról: Administrator aplikacji w chmurze lub Administrator aplikacji
  • Duży adres IP lub wdrażanie wersji wirtualnej BIG-IP (VE) na platformie Azure
  • Dowolne z następujących licencji F5 BIG-IP:
    • F5 BIG-IP® Best bundle
    • Licencja autonomiczna programu F5 BIG-IP Access Policy Manager™ (APM)
    • Licencja dodatku programu F5 BIG-IP Access Policy Manager™ (APM) na big-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90-dniowa pełna wersja próbna funkcji BIG-IP. Zobacz bezpłatne wersje próbne
  • Tożsamości użytkowników synchronizowane z katalogu lokalnego do identyfikatora Entra firmy Microsoft
  • Certyfikat SSL do publikowania usług za pośrednictwem protokołu HTTPS lub używania certyfikatów domyślnych podczas testowania
  • Aplikacja uwierzytelniania oparta na formularzach lub skonfigurować aplikację internetowego uwierzytelniania opartego na formularzach (FBA) usług Internet Information Services (IIS) na potrzeby testowania

Konfiguracja big-IP

Konfiguracja w tym artykule to elastyczna implementacja sha: ręczne tworzenie obiektów konfiguracji BIG-IP. Użyj tego podejścia w scenariuszach, w których szablony konfiguracji z przewodnikiem nie są omówione.

Uwaga

Zastąp przykładowe ciągi lub wartości tymi ze środowiska.

Rejestrowanie F5 BIG-IP w usłudze Microsoft Entra ID

Rejestracja big-IP jest pierwszym krokiem logowania jednokrotnego między jednostkami. Aplikacja utworzona na podstawie szablonu galerii BIG-IP F5 jest podmiotem uzależnionym reprezentującym dostawcę usług SAML dla opublikowanej aplikacji BIG-IP.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
  3. W okienku Wszystkie aplikacje wybierz pozycję Nowa aplikacja.
  4. Zostanie otwarte okienko Przeglądaj galerię Microsoft Entra.
  5. Kafelki są wyświetlane dla platform w chmurze, aplikacji lokalnych i polecanych aplikacji. Polecane ikony aplikacji wskazują obsługę federacyjnego logowania jednokrotnego i aprowizacji.
  6. W galerii platformy Azure wyszukaj frazę F5.
  7. Wybierz pozycję F5 BIG-IP APM Integracja identyfikatora entra firmy Microsoft.
  8. Wprowadź nazwę używaną przez nową aplikację do rozpoznawania wystąpienia aplikacji.
  9. Wybierz Dodaj.
  10. Wybierz pozycję Utwórz.

Włączanie logowania jednokrotnego na F5 BIG-IP

Skonfiguruj rejestrację BIG-IP w celu spełnienia tokenów SAML, które wysyłają żądania BIG-IP APM.

  1. W menu po lewej stronie w sekcji Zarządzanie wybierz pozycję Logowanie jednokrotne.
  2. Zostanie wyświetlone okienko Logowanie jednokrotne .
  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
  4. Wybierz pozycję Nie, zapiszę później.
  5. W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę pióra.
  6. W polu Identyfikator zastąp wartość adresem URL opublikowanej aplikacji BIG-IP.
  7. W polu Adres URL odpowiedzi zastąp wartość , ale zachowaj ścieżkę punktu końcowego SAML SP aplikacji. W przypadku tej konfiguracji przepływ SAML działa w trybie inicjowanym przez dostawcę tożsamości.
  8. Identyfikator entra firmy Microsoft wystawia asercji SAML, a następnie użytkownik jest przekierowywany do punktu końcowego BIG-IP.
  9. W przypadku trybu inicjowanego przez dostawcę usług w polu Adres URL logowania wprowadź adres URL aplikacji.
  10. W polu Adres URL wylogowywania wprowadź punkt końcowy logowania jednokrotnego (SLO) BIG-IP APM poprzedzony nagłówkiem hosta usługi.
  11. Następnie sesje użytkownika BIG-IP APM kończą się, gdy użytkownicy wylogowyją się z identyfikatora Entra firmy Microsoft.
  12. Wybierz pozycję Zapisz.
  13. Zamknij okienko konfiguracji SAML.
  14. Pomiń wiersz testu logowania jednokrotnego.
  15. Zanotuj właściwości sekcji Atrybuty użytkownika i oświadczenia . Identyfikator entra firmy Microsoft wystawia właściwości uwierzytelniania big-IP APM i logowania jednokrotnego do aplikacji zaplecza.
  16. W okienku Certyfikat podpisywania SAML wybierz pozycję Pobierz.
  17. Plik XML metadanych federacji jest zapisywany na komputerze.

Uwaga

Od systemu operacyjnego zarządzania ruchem (TMOS) w wersji 16 punkt końcowy SLO protokołu SAML to /saml/sp/profile/redirect/slo.

Zrzut ekranu przedstawiający adresy URL w konfiguracji protokołu SAML.

Uwaga

Certyfikaty podpisywania SAML firmy Microsoft mają okres eksploatacji wynoszący trzy lata.

Dowiedz się więcej: Samouczek: zarządzanie certyfikatami na potrzeby federacyjnego logowania jednokrotnego

Przypisywanie użytkowników i grup

Identyfikator Entra firmy Microsoft wystawia tokeny dla użytkowników, którym udzielono dostępu do aplikacji. Aby przyznać określonym użytkownikom i grupom dostęp do aplikacji:

  1. W okienku przeglądu aplikacji F5 BIG-IP wybierz pozycję Przypisz użytkowników i grupy.
  2. Wybierz pozycję + Dodaj użytkownika/grupę.
  3. Wybierz żądanych użytkowników i grupy.
  4. Zaznacz Przypisz.

Zaawansowana konfiguracja big-IP

Aby skonfigurować big-IP, wykonaj poniższe instrukcje.

Konfigurowanie ustawień dostawcy usług SAML

Ustawienia dostawcy usług SAML definiują właściwości dostawcy usług SAML używane przez usługę APM do nakładania starszej aplikacji z wstępnego uwierzytelniania SAML. Aby je skonfigurować:

  1. Wybierz pozycję Uzyskaj dostęp do>> usług SAML.

  2. Wybierz pozycję Lokalne usługi SP.

  3. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający opcję Utwórz na karcie Dostawca usług SAML.

  4. W obszarze Create New SAML SP Service (Utwórz nową usługę SAML SP) w polu Name (Nazwa ) i Entity ID (Identyfikator jednostki) wprowadź zdefiniowaną nazwę i identyfikator jednostki.

    Zrzut ekranu przedstawiający pola Nazwa i Identyfikator jednostki w obszarze Tworzenie nowej usługi SAML SP.

    Uwaga

    Wartości ustawień nazwy dostawcy usługi są wymagane, jeśli identyfikator jednostki nie jest zgodny z częścią nazwy hosta opublikowanego adresu URL. Lub wartości są wymagane, jeśli identyfikator jednostki nie jest w zwykłym formacie adresu URL opartym na nazwie hosta.

  5. Jeśli identyfikator jednostki to urn:myvacation:contosoonline, wprowadź schemat zewnętrzny aplikacji i nazwę hosta.

Konfigurowanie zewnętrznego łącznika dostawcy tożsamości

Łącznik dostawcy tożsamości SAML definiuje ustawienia dla aplikacji BIG-IP APM, aby ufać identyfikatorowi Entra firmy Microsoft jako dostawcy tożsamości SAML. Ustawienia łączą dostawcę usługi SAML z dostawcą tożsamości SAML, który ustanawia relację zaufania federacji między APM i identyfikatorem Entra firmy Microsoft.

Aby skonfigurować łącznik:

  1. Wybierz nowy obiekt dostawcy usług SAML.

  2. Wybierz pozycję Bind/UnbBind IdP Connectors (Powiązania/Odłącz łączniki dostawcy tożsamości).

    Zrzut ekranu przedstawiający opcję Powiąż powiązania łączników dostawcy tożsamości na karcie Dostawca usług SAML.

  3. Na liście Create New IdP Connector (Tworzenie nowego łącznika dostawcy tożsamości) wybierz pozycję From Metadata (Z metadanych).

    Zrzut ekranu przedstawiający opcję Z metadanych na liście rozwijanej Utwórz nowy łącznik dostawcy tożsamości.

  4. W okienku Tworzenie nowego łącznika dostawcy tożsamości SAML przejdź do pobranego pliku XML metadanych federacji.

  5. Wprowadź nazwę dostawcy tożsamości dla obiektu APM, który reprezentuje zewnętrzny dostawcę tożsamości SAML. Na przykład MyVacation_EntraID.

    Zrzut ekranu przedstawiający pola Select File and Identity Provider name (Wybieranie pól nazwy pliku i dostawcy tożsamości) w obszarze Create New SAML IdP Connector (Tworzenie nowego łącznika dostawcy tożsamości SAML).

  6. Wybierz pozycję Dodaj nowy wiersz.

  7. Wybierz nowy łącznik dostawcy tożsamości SAML.

  8. Wybierz Aktualizuj.

    Zrzut ekranu przedstawiający opcję Aktualizuj.

  9. Wybierz przycisk OK.

    Zrzut ekranu przedstawiający okno dialogowe Edytowanie identyfikatorów SAML korzystających z tego dostawcy usług.

Konfigurowanie logowania jednokrotnego opartego na formularzach

Utwórz obiekt logowania jednokrotnego APM dla logowania jednokrotnego FBA do aplikacji zaplecza.

Wykonaj logowanie jednokrotne FBA w trybie inicjowanym przez klienta lub trybie inicjowanym przez big-IP. Obie metody emulują logowanie użytkownika, wstrzykiwając poświadczenia do tagów nazwy użytkownika i hasła. Formularz jest przesyłany. Użytkownicy zapewniają hasło dostępu do aplikacji FBA. Hasło jest buforowane i ponownie używane dla innych aplikacji FBA.

  1. Wybierz pozycję Uzyskaj dostęp do>logowania jednokrotnego.

  2. Wybierz pozycję Formularze oparte.

  3. Wybierz pozycję Utwórz.

  4. W polu Nazwa wprowadź opisową nazwę. Na przykład Contoso\FBA\sso.

  5. W obszarze Użyj szablonu logowania jednokrotnego wybierz pozycję Brak.

  6. W polu Źródło nazwy użytkownika wprowadź źródło nazwy użytkownika, aby wstępnie wypełnić formularz zbierania haseł. Ustawienie domyślne session.sso.token.last.username działa dobrze, ponieważ ma zalogowanego użytkownika Microsoft Entra User Principal Name (UPN).

  7. W polu Źródło hasła zachowaj domyślną session.sso.token.last.password zmienną APM big-IP używaną do buforowania haseł użytkowników.

    Zrzut ekranu przedstawiający opcje Nazwa i Użyj szablonu logowania jednokrotnego w obszarze Nowa konfiguracja logowania jednokrotnego.

  8. W polu Start URI wprowadź identyfikator URI logowania aplikacji FBA. Jeśli identyfikator URI żądania jest zgodny z tą wartością identyfikatora URI, uwierzytelnianie oparte na formularzu APM wykonuje logowanie jednokrotne.

  9. W polu Akcja formularza pozostaw ją pustą. Następnie oryginalny adres URL żądania jest używany do logowania jednokrotnego.

  10. W polu Parametr formularza dla nazwy użytkownika wprowadź element pola nazwy użytkownika formularza logowania. Użyj narzędzi deweloperskich przeglądarki, aby określić element.

  11. W polu Parametr formularza dla hasła wprowadź element pola hasła formularza logowania. Użyj narzędzi deweloperskich przeglądarki, aby określić element.

Zrzut ekranu przedstawiający pola Początkowy identyfikator URI, Parametr formularza dla nazwy użytkownika i Parametr formularza dla pól Hasło.

Zrzut ekranu przedstawiający stronę logowania z objaśnieniami pola nazwy użytkownika i pola hasła.

Aby dowiedzieć się więcej, przejdź do techdocs.f5.com dla rozdziału ręcznego: metody logowania jednokrotnego.

Konfigurowanie profilu dostępu

Profil dostępu wiąże elementy APM, które zarządzają dostępem do serwerów wirtualnych BIG-IP, w tym zasad dostępu, konfiguracji logowania jednokrotnego i ustawień interfejsu użytkownika.

  1. Wybierz pozycję Profile dostępu>/zasady.

  2. Wybierz pozycję Profile dostępu (zasady dla sesji).

  3. Wybierz pozycję Utwórz.

  4. W polu Nazwa wprowadź nazwę.

  5. W polu Typ profilu wybierz pozycję Wszystkie.

  6. W obszarze Konfiguracja logowania jednokrotnego wybierz utworzony obiekt konfiguracji logowania jednokrotnego FBA.

  7. W polu Zaakceptowany język wybierz co najmniej jeden język.

    Zrzut ekranu przedstawiający opcje i opcje dotyczące profilów dostępu na zasady sesji, nowy profil.

  8. W kolumnie Zasady sesji dla profilu wybierz pozycję Edytuj.

  9. Zostanie uruchomiony Edytor zasad wizualnych APM.

    Zrzut ekranu przedstawiający opcję Edytuj w kolumnie Zasady sesji.

  10. W obszarze rezerwowym+ wybierz znak.

Zrzut ekranu przedstawiający opcję edytora zasad wizualizacji APM i znaku w obszarze rezerwowym.

  1. W oknie podręcznym wybierz pozycję Uwierzytelnianie.
  2. Wybierz pozycję Uwierzytelnianie SAML.
  3. Wybierz pozycję Dodaj element.

Zrzut ekranu przedstawiający opcję uwierzytelniania SAML.

  1. W przypadku uwierzytelniania SAML SP zmień nazwę na Microsoft Entra auth.
  2. Na liście rozwijanej Serwer usługi AAA wprowadź utworzony obiekt dostawcy usług SAML.

Zrzut ekranu przedstawiający ustawienia serwera uwierzytelniania Entra firmy Microsoft.

  1. W gałęzi Powodzenie wybierz + znak.
  2. W oknie podręcznym wybierz pozycję Uwierzytelnianie.
  3. Wybierz pozycję Strona logowania.
  4. Wybierz pozycję Dodaj element.

Zrzut ekranu przedstawiający opcję Strona logowania na karcie Logowanie.

  1. W polu nazwa użytkownika w kolumnie Tylko do odczytu wybierz pozycję Tak.

Zrzut ekranu przedstawiający opcję Tak w wierszu nazwy użytkownika na karcie Właściwości.

  1. W przypadku powrotu strony logowania wybierz + znak. Ta akcja dodaje obiekt mapowania poświadczeń logowania jednokrotnego.

  2. W oknie podręcznym wybierz kartę Przypisanie .

  3. Wybierz pozycję Mapowanie poświadczeń logowania jednokrotnego.

  4. Wybierz pozycję Dodaj element.

    Zrzut ekranu przedstawiający opcję Mapowanie poświadczeń logowania jednokrotnego na karcie Przypisanie.

  5. Na zmiennej Przypisywanie: mapowanie poświadczeń logowania jednokrotnego zachowaj ustawienia domyślne.

  6. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający opcję Zapisz na karcie Właściwości.

  7. W górnym polu Odmów wybierz link.

  8. Gałąź Powodzenie zmienia się na Zezwalaj.

  9. Wybierz pozycję Zapisz.

(Opcjonalnie) Konfigurowanie mapowań atrybutów

Możesz dodać konfigurację LogonID_Mapping. Następnie lista aktywnych sesji BIG-IP zawiera nazwę UPN zalogowanego użytkownika, a nie numer sesji. Te informacje służą do analizowania dzienników lub rozwiązywania problemów.

  1. W gałęzi SAML Auth Successful (Powodzenie+ uwierzytelniania SAML) wybierz znak.

  2. W oknie podręcznym wybierz pozycję Przypisanie.

  3. Wybierz pozycję Przypisz zmienną.

  4. Wybierz pozycję Dodaj element.

    Zrzut ekranu przedstawiający opcję Przypisywanie zmiennej na karcie Przypisanie.

  5. Na karcie Właściwości wprowadź nazwę. Na przykład LogonID_Mapping.

  6. W obszarze Przypisanie zmiennej wybierz pozycję Dodaj nowy wpis.

  7. Wybierz pozycję Zmień.

    Zrzut ekranu przedstawiający opcję Dodaj nowy wpis i opcję zmiany.

  8. W przypadku zmiennej niestandardowej użyj polecenia session.logon.last.username.

  9. W przypadku zmiennej sesji użytkownik session.saml.last.identity.

  10. Wybierz pozycję Zakończono.

  11. Wybierz pozycję Zapisz.

  12. Wybierz pozycję Zastosuj zasady dostępu.

  13. Zamknij Edytor zasad wizualizacji.

Zrzut ekranu przedstawiający zasady dostępu w sekcji Zastosuj zasady dostępu.

Konfigurowanie puli zaplecza

Aby umożliwić poprawne przekazywanie ruchu klienta przez big-IP, utwórz obiekt węzła BIG-IP reprezentujący serwer zaplecza hostujący aplikację. Następnie umieść ten węzeł w puli serwerów BIG-IP.

  1. Wybierz pozycję Pule ruchu lokalnego>.

  2. Wybierz pozycję Lista puli.

  3. Wybierz pozycję Utwórz.

  4. Wprowadź nazwę obiektu puli serwerów. Na przykład MyApps_VMs.

    Zrzut ekranu przedstawiający pole Nazwa w obszarze Nowa pula.

  5. W polu Nazwa węzła wprowadź nazwę wyświetlaną serwera. Ten serwer hostuje aplikację internetową zaplecza.

  6. W polu Adres wprowadź adres IP hosta serwera aplikacji.

  7. W polu Port usługi wprowadź port HTTP/S, na który nasłuchuje aplikacja.

    Zrzut ekranu przedstawiający pola Nazwa węzła, Adres, Port usługi i Dodaj.

    Uwaga

    Monitory kondycji wymagają konfiguracji, która nie obejmuje tego artykułu. Przejdź do support.f5.com dla K13397: Omówienie formatowania żądań monitora kondycji HTTP dla systemu DNS BIG-IP.

Konfigurowanie serwera wirtualnego

Serwer wirtualny to obiekt płaszczyzny danych BIG-IP reprezentowany przez wirtualny adres IP. Serwer nasłuchuje żądań klientów do aplikacji. Każdy odebrany ruch jest przetwarzany i oceniany względem profilu dostępu APM skojarzonego z serwerem wirtualnym. Ruch jest kierowany zgodnie z zasadami.

Aby skonfigurować serwer wirtualny:

  1. Wybierz pozycję >

  2. Wybierz pozycję Lista serwerów wirtualnych.

  3. Wybierz pozycję Utwórz.

  4. W polu Nazwa wprowadź nazwę.

  5. W polu Adres docelowy/Maska wybierz pozycję Host i wprowadź adres IPv4 lub IPv6. Adres odbiera ruch klienta dla opublikowanej aplikacji zaplecza.

  6. W polu Port usługi wybierz pozycję Port, wprowadź wartość 443 i wybierz pozycję HTTPS.

    Zrzut ekranu przedstawiający pola Nazwa, Adres docelowy i Port usługi oraz opcje.

  7. W polu Profil HTTP (klient) wybierz pozycję http.

  8. W polu Profil SSL (klient) wybierz utworzony profil lub pozostaw wartość domyślną do testowania. Ta opcja umożliwia serwer wirtualny zabezpieczeń warstwy transportu (TLS) do publikowania usług za pośrednictwem protokołu HTTPS.

    Zrzut ekranu przedstawiający opcje klienta profilu HTTP i klienta profilu SSL.

  9. W obszarze Translacja adresów źródłowych wybierz pozycję Automapuj.

    Zrzut ekranu przedstawiający wybór opcji Automatyczne mapowania dla tłumaczenia adresów źródłowych.

  10. W obszarze Zasady dostępu w polu Profil dostępu wprowadź nazwę utworzoną. Ta akcja wiąże profil wstępnego uwierzytelniania SAML firmy Microsoft i zasady logowania jednokrotnego FBA z serwerem wirtualnym.

Zrzut ekranu przedstawiający wpis Profil dostępu w obszarze Zasady dostępu.

  1. W obszarze Zasoby w obszarze Pula domyślna wybierz utworzone obiekty puli zaplecza.
  2. Wybierz pozycję Zakończono.

Zrzut ekranu przedstawiający opcję Domyślna pula w obszarze Zasoby.

Konfigurowanie ustawień zarządzania sesjami

Ustawienia zarządzania sesjami BIG-IP definiują warunki zakończenia sesji i kontynuacji. Utwórz zasady w tym obszarze.

  1. Przejdź do pozycji Zasady dostępu.
  2. Wybierz pozycję Profile dostępu.
  3. Wybierz pozycję Profil dostępu.
  4. Z listy wybierz aplikację.

Jeśli zdefiniowano wartość identyfikatora URI logowania jednokrotnego w identyfikatorze Entra firmy Microsoft, wylogowywanie inicjowane przez dostawcę tożsamości z usługi MyApps kończy klienta i sesję big-IP APM. Zaimportowany plik XML metadanych federacji aplikacji udostępnia plik APM z punktem końcowym Microsoft Entra SAML na potrzeby wylogowania inicjowanego przez dostawcę usług. Upewnij się, że aplikacja APM prawidłowo reaguje na wylogowanie użytkownika.

Jeśli nie ma portalu internetowego BIG-IP, użytkownicy nie mogą poinstruować APM, aby się wylogował. Jeśli użytkownik wylogowa się z aplikacji, big-IP nie jest obojętny. Sesja aplikacji może zostać przywrócona za pomocą logowania jednokrotnego. W przypadku wylogowania inicjowanego przez dostawcę usług upewnij się, że sesje zakończą się bezpiecznie.

Możesz dodać funkcję SLO do przycisku wylogowywanie aplikacji. Ta funkcja przekierowuje klienta do punktu końcowego wylogowania microsoft Entra SAML. Aby zlokalizować punkt końcowy wylogowania SAML, przejdź do > rejestracji aplikacji.

Jeśli nie możesz zmienić aplikacji, upewnij się, że nasłuchuje big-IP dla wywołania wylogowania aplikacji i wyzwolenia celu SLO.

Więcej informacji:

Opublikowana aplikacja

Aplikacja jest publikowana i dostępna za pomocą algorytmu SHA z adresem URL aplikacji lub portalami firmy Microsoft.

Aplikacja jest wyświetlana jako zasób docelowy w dostępie warunkowym. Dowiedz się więcej: Tworzenie zasad dostępu warunkowego.

W celu zwiększenia bezpieczeństwa zablokuj bezpośredni dostęp do aplikacji, wymuszając ścieżkę przez big-IP.

Test

  1. Użytkownik łączy się z zewnętrznym adresem URL aplikacji lub w Moje aplikacje i wybiera ikonę aplikacji.
  2. Użytkownik uwierzytelnia się w usłudze Microsoft Entra ID.
  3. Użytkownik jest przekierowywany do punktu końcowego BIG-IP dla aplikacji.
  4. Zostanie wyświetlony monit o hasło.
  5. APM wypełnia nazwę użytkownika nazwą UPN z identyfikatora Entra firmy Microsoft. Nazwa użytkownika jest tylko do odczytu na potrzeby spójności sesji. Ukryj to pole w razie potrzeby.
  6. Informacje są przesyłane.
  7. Użytkownik jest zalogowany do aplikacji.

Rozwiązywanie problemów

Podczas rozwiązywania problemów należy wziąć pod uwagę następujące informacje:

  • Big-IP wykonuje logowanie jednokrotne FBA, ponieważ analizuje formularz logowania w identyfikatorze URI

    • Big-IP szuka tagów elementów nazwy użytkownika i hasła z konfiguracji

  • Potwierdzanie, że tagi elementów są spójne lub logowanie jednokrotne kończy się niepowodzeniem

  • Formularze złożone generowane dynamicznie mogą wymagać analizy narzędzi deweloperskich w celu zrozumienia formularza logowania

  • Inicjowanie klienta jest lepsze w przypadku stron logowania z wieloma formularzami

    • Możesz wybrać nazwę formularza i dostosować logikę obsługi formularzy JavaScript

  • Metody logowania jednokrotnego FBA ukrywają interakcje formularzy w celu zoptymalizowania środowiska użytkownika i zabezpieczeń:

    • Możesz sprawdzić, czy poświadczenia są wstrzykiwane
    • W trybie inicjowanym przez klienta wyłącz automatyczne przesyłanie formularza w profilu logowania jednokrotnego
    • Użyj narzędzi deweloperskich, aby wyłączyć dwie właściwości stylu, które uniemożliwiają wyświetlenie strony logowania

    Zrzut ekranu przedstawiający stronę Właściwości.

Zwiększanie szczegółowości dziennika

Dzienniki BIG-IP zawierają informacje dotyczące izolowania uwierzytelniania i problemów z logowaniem jednokrotnym. Zwiększ poziom szczegółowości dziennika:

  1. Przejdź do pozycji Przegląd zasad>dostępu.
  2. Wybierz pozycję Dzienniki zdarzeń.
  3. Wybierz Ustawienia.
  4. Wybierz wiersz opublikowanej aplikacji.
  5. Zaznacz Edytuj.
  6. Wybierz pozycję Uzyskaj dostęp do dzienników systemu.
  7. Na liście Logowanie jednokrotne wybierz pozycję Debuguj.
  8. Wybierz przycisk OK.
  9. Odtwórz problem.
  10. Przejrzyj dzienniki.

Przywróć ustawienia, w przeciwnym razie występują nadmierne dane.

Komunikat o błędzie BIG-IP

Jeśli po wstępnym uwierzytelnieniu firmy Microsoft wystąpi błąd BIG-IP, problem może być związany z identyfikatorem Entra firmy Microsoft i logowaniem jednokrotnym BIG-IP.

  1. Przejdź do pozycji Przegląd dostępu>.
  2. Wybierz pozycję Raporty programu Access.
  3. Uruchom raport o ostatniej godzinie.
  4. Przejrzyj dzienniki, aby uzyskać wskazówki.

Użyj linku Wyświetl zmienne sesji dla sesji, aby określić, czy program APM odbiera oczekiwane oświadczenia firmy Microsoft Entra.

Brak komunikatu o błędzie BIG-IP

Jeśli nie zostanie wyświetlony komunikat o błędzie BIG-IP, problem może być związany z żądaniem zaplecza lub logowaniem jednokrotnym BIG-IP-to-application.

  1. Wybierz pozycję Przegląd zasad>dostępu.
  2. Wybierz pozycję Aktywne sesje.
  3. Wybierz link aktywnej sesji.

Użyj linku Wyświetl zmienne w tej lokalizacji, aby określić główną przyczynę, szczególnie jeśli program APM nie może uzyskać poprawnego identyfikatora użytkownika i hasła.

Aby dowiedzieć się więcej, przejdź do techdocs.f5.com ręcznego rozdziału: zmienne sesji.

Zasoby