Udostępnij za pośrednictwem

Samouczek: konfigurowanie przycisku F5 BIG-IP Easy Button na potrzeby logowania jednokrotnego opartego na nagłówkach i protokołu LDAP

  • Artykuł

W tym artykule dowiesz się, jak zabezpieczyć aplikacje oparte na nagłówku i protokole LDAP przy użyciu identyfikatora Entra firmy Microsoft, korzystając z konfiguracji z przewodnikiem F5 BIG-IP Easy Button 16.1. Zintegrowanie big-IP z identyfikatorem Entra firmy Microsoft zapewnia wiele korzyści:

  • Ulepszony ład: Zobacz, platforma Zero Trust, aby włączyć pracę zdalną i dowiedzieć się więcej na temat wstępnego uwierzytelniania firmy Microsoft
  • Pełne logowanie jednokrotne (SSO) między usługami firmy Microsoft Entra ID i BIG-IP
  • Zarządzanie tożsamościami i dostępem z jednej płaszczyzny sterowania — centrum administracyjne firmy Microsoft Entra

Aby dowiedzieć się więcej o dodatkowych korzyściach, zobacz F5 BIG-IP and Microsoft Entra integration (Integracja F5 BIG-IP i Microsoft Entra).

Opis scenariusza

Ten scenariusz koncentruje się na klasycznej, starszej aplikacji korzystającej z nagłówków autoryzacji HTTP pochodzących z atrybutów katalogu LDAP w celu zarządzania dostępem do chronionej zawartości.

Ponieważ jest ona starsza, aplikacja nie ma nowoczesnych protokołów do obsługi bezpośredniej integracji z identyfikatorem Entra firmy Microsoft. Możesz zmodernizować aplikację, ale jest kosztowna, wymaga planowania i wprowadza ryzyko potencjalnego przestoju. Zamiast tego możesz użyć kontrolera dostarczania aplikacji F5 BIG-IP (ADC), aby wypełnić lukę między starszą aplikacją a nowoczesną płaszczyzną sterowania identyfikatorami z przejściem protokołu.

Posiadanie dużego adresu IP przed aplikacją umożliwia nakładkę usługi przy użyciu wstępnego uwierzytelniania firmy Microsoft Entra i logowania jednokrotnego opartego na nagłówkach, co poprawia ogólny stan zabezpieczeń aplikacji.

Architektura scenariusza

Rozwiązanie bezpiecznego dostępu hybrydowego dla tego scenariusza ma następujące funkcje:

  • Aplikacja — opublikowana usługa BIG-IP, która ma być chroniona przez bezpieczny dostęp hybrydowy (SHA) firmy Microsoft Entra ID
  • Microsoft Entra ID — dostawca tożsamości (SAML) security Assertion Markup Language (IDL), który weryfikuje poświadczenia użytkownika, dostęp warunkowy i logowanie jednokrotne oparte na protokole SAML do big-IP. W przypadku logowania jednokrotnego identyfikator Entra firmy Microsoft udostępnia adres BIG-IP z wymaganymi atrybutami sesji.
  • System HR — oparta na protokole LDAP baza danych pracowników jako źródło prawdy dla uprawnień aplikacji
  • BIG-IP — zwrotny serwer proxy i dostawca usług SAML (SP) do aplikacji, delegowanie uwierzytelniania do dostawcy tożsamości SAML przed wykonaniem logowania jednokrotnego opartego na nagłówku do aplikacji zaplecza

Algorytm SHA w tym scenariuszu obsługuje przepływy inicjowane przez dostawcę usług i dostawcę tożsamości. Na poniższej ilustracji przedstawiono przepływ zainicjowany przez dostawcę usług.

Diagram przepływu inicjowanego przez dostawcę bezpiecznego dostępu hybrydowego.

  1. Użytkownik łączy się z punktem końcowym aplikacji (BIG-IP)
  2. Zasady dostępu big-IP APM przekierowuje użytkownika do identyfikatora Microsoft Entra (SAML IdP)
  3. Identyfikator entra firmy Microsoft wstępnie uwierzytelnia użytkownika i stosuje wymuszane zasady dostępu warunkowego
  4. Użytkownik jest przekierowywany do adresu BIG-IP (SAML SP), a logowanie jednokrotne jest wykonywane przy użyciu wystawionego tokenu SAML
  5. Funkcja BIG-IP żąda więcej atrybutów z systemu HR opartego na protokole LDAP
  6. Big-IP wprowadza atrybuty systemu Microsoft Entra ID i HR jako nagłówki w żądaniu do aplikacji
  7. Aplikacja autoryzuje dostęp przy użyciu wzbogaconych uprawnień sesji

Wymagania wstępne

Wcześniejsze środowisko BIG-IP nie jest konieczne, ale potrzebne są następujące elementy:

  • Bezpłatne konto platformy Azure lub subskrypcja wyższej warstwy
  • Duży adres IP lub wdrażanie wersji wirtualnej BIG-IP (VE) na platformie Azure
  • Dowolne z następujących licencji F5 BIG-IP:
    • F5 BIG-IP® Best bundle
    • Licencja autonomiczna programu F5 BIG-IP Access Policy Manager™ (APM)
    • Licencja dodatku programu F5 BIG-IP Access Policy Manager™ (APM) na big-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90-dniowa bezpłatna wersja próbna produktu BIG-IP
  • Tożsamości użytkowników synchronizowane z katalogu lokalnego do identyfikatora Entra firmy Microsoft
  • Jedną z następujących ról: Administrator aplikacji w chmurze lub Administrator aplikacji.
  • Certyfikat sieci Web SSL do publikowania usług za pośrednictwem protokołu HTTPS lub użyj domyślnych certyfikatów BIG-IP podczas testowania
  • Aplikacja oparta na nagłówku lub skonfigurować prostą aplikację nagłówka usług IIS na potrzeby testowania
  • Katalog użytkownika obsługujący protokół LDAP, taki jak Windows Active Directory Lightweight Directory Services (AD LDS), OpenLDAP itd.

Konfiguracja big-IP

W tym samouczku użyto konfiguracji z przewodnikiem 16.1 z szablonem Easy Button. Dzięki przyciskowi Easy Button administratorzy nie przechodzą tam i z powrotem między identyfikatorem Microsoft Entra ID i big-IP, aby włączyć usługi dla algorytmu SHA. Wdrażanie i zarządzanie zasadami jest obsługiwane między kreatorem konfiguracji z przewodnikiem APM i programem Microsoft Graph. Ta integracja między aplikacjami BIG-IP APM i Microsoft Entra ID zapewnia, że aplikacje obsługują federację tożsamości, logowanie jednokrotne i dostęp warunkowy firmy Microsoft Entra, zmniejszając obciążenie administracyjne.

Uwaga

Zastąp przykładowe ciągi lub wartości w tym przewodniku tymi dla środowiska.

Zarejestruj łatwy przycisk

Aby klient lub usługa mogła uzyskać dostęp do programu Microsoft Graph, jest ona zaufana przez Platforma tożsamości Microsoft.

Ten pierwszy krok umożliwia utworzenie rejestracji aplikacji dzierżawy w celu autoryzowania dostępu do funkcji Graph przy użyciu przycisku Easy Button . Przy użyciu tych uprawnień big-IP można wypchnąć konfiguracje w celu ustanowienia zaufania między wystąpieniem usługi SAML SP dla opublikowanej aplikacji i identyfikatorem Entra firmy Microsoft jako dostawcą tożsamości SAML.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do sekcji >

  3. Wprowadź nazwę wyświetlaną aplikacji. Na przykład przycisk F5 BIG-IP Easy.

  4. Określ, kto może używać kont aplikacji >tylko w tym katalogu organizacyjnym.

  5. Wybierz pozycję Zarejestruj.

  6. Przejdź do pozycji Uprawnienia interfejsu API i autoryzuj następujące uprawnienia aplikacji programu Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. Udziel zgody administratora dla organizacji.

  8. W obszarze Certyfikaty i wpisy tajne wygeneruj nowy klucz tajny klienta. Zanotuj ten wpis tajny.

  9. W obszarze Przegląd zanotuj identyfikator klienta i identyfikator dzierżawy.

Konfigurowanie przycisku Easy

Zainicjuj konfigurację z przewodnikiem APM, aby uruchomić szablon Easy Button.

  1. Przejdź do pozycji Uzyskaj dostęp do > i wybierz pozycję >.

  2. Przejrzyj listę kroków i wybierz pozycję Dalej

  3. Aby opublikować aplikację, wykonaj kroki.

    Zrzut ekranu przedstawiający przepływ konfiguracji w obszarze Konfiguracja z przewodnikiem.

Właściwości konfiguracji

Karta Właściwości konfiguracji tworzy konfigurację aplikacji BIG-IP i obiekt logowania jednokrotnego. Sekcja Szczegóły konta usługi platformy Azure reprezentuje klienta zarejestrowanego wcześniej w dzierżawie firmy Microsoft Entra jako aplikację. Te ustawienia umożliwiają klientowi OAuth BIG-IP zarejestrowanie dostawcy usługi SAML w dzierżawie przy użyciu właściwości logowania jednokrotnego, które należy skonfigurować ręcznie. Easy Button wykonuje tę akcję dla każdej usługi BIG-IP opublikowanej i włączonej dla algorytmu SHA.

Niektóre z tych ustawień są globalne, dlatego można ponownie użyć do publikowania większej liczby aplikacji, skracając czas wdrażania i nakład pracy.

  1. Wprowadź unikatową nazwę konfiguracji, aby administratorzy mogli odróżnić konfiguracje przycisku łatwego.
  2. Włącz logowanie jednokrotne i nagłówki HTTP.
  3. Wprowadź identyfikator dzierżawy, identyfikator klienta i wpis tajny klienta zanotowany podczas rejestrowania klienta przycisku łatwego w dzierżawie.
  4. Upewnij się, że big-IP może nawiązać połączenie z dzierżawą.
  5. Wybierz Dalej.

Dostawca usług

Ustawienia dostawcy usług definiują właściwości wystąpienia usługi SAML SP aplikacji chronionej za pomocą algorytmu SHA.

  1. Wprowadź wartość Host, publiczna w pełni kwalifikowana nazwa domeny (FQDN) chronionej aplikacji.

  2. Wprowadź identyfikator jednostki. Identyfikator entra firmy Microsoft używa do identyfikowania dostawcy usługi SAML żądającego tokenu. Użyj opcjonalnych ustawień zabezpieczeń, aby określić, czy identyfikator Entra firmy Microsoft szyfruje wystawione aseracje SAML. Szyfrowanie asercji między identyfikatorem Entra firmy Microsoft i big-IP APM zapewnia pewność, że tokeny zawartości nie mogą być przechwytywane, a dane osobowe lub firmowe nie mogą zostać naruszone.

  3. Z listy Klucz prywatny odszyfrowywania asercji wybierz pozycję Utwórz nowy

    Zrzut ekranu przedstawiający opcję Utwórz nowy w obszarze Klucz prywatny odszyfrowywania asercji w obszarze Ustawienia zabezpieczeń.

  4. Wybierz przycisk OK. Zostanie otwarte okno dialogowe Importowanie certyfikatu SSL i kluczy na nowej karcie.

  5. Wybierz pozycję PKCS 12 (IIS), aby zaimportować certyfikat i klucz prywatny. Po aprowizacji zamknij kartę przeglądarki, aby powrócić do karty głównej.

    Zrzut ekranu przedstawiający pozycje Typ importu, Certyfikat i Nazwa klucza, Źródło klucza certyfikatu i Hasło

  6. Zaznacz pole wyboru Włącz szyfrowaną asercję.

  7. Jeśli włączono szyfrowanie, wybierz certyfikat z listy Klucz prywatny odszyfrowywania asercji. Big-IP APM używa tego klucza prywatnego certyfikatu do odszyfrowywania asercji Firmy Microsoft.

  8. Jeśli włączono szyfrowanie, wybierz certyfikat z listy Certyfikat odszyfrowywania asercji. Big-IP przekazuje ten certyfikat do identyfikatora Entra firmy Microsoft w celu zaszyfrowania wystawionych asercji SAML.

    Zrzut ekranu przedstawiający wpisy certyfikatu odszyfrowywania asercji i odszyfrowywania asercji w ustawieniach zabezpieczeń.

Microsoft Entra ID

Ta sekcja zawiera właściwości do ręcznego skonfigurowania nowej aplikacji SAML BIG-IP w dzierżawie firmy Microsoft Entra. Plik Easy Button zawiera szablony aplikacji dla rozwiązań Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP i SHA dla innych aplikacji.

W tym scenariuszu wybierz pozycję > integrację identyfikatora entra firmy Microsoft).

Konfiguracja platformy Azure

  1. Wprowadź nazwę wyświetlaną aplikacji utworzonej przez big-IP w dzierżawie firmy Microsoft Entra i ikonę widoczną dla użytkowników w portalu MyApps.

  2. Nie wprowadź żadnego wpisu dla adresu URL logowania (opcjonalnie).

  3. Aby zlokalizować zaimportowany certyfikat, wybierz ikonę Odśwież obok pozycji Klucz podpisywania i Certyfikat podpisywania.

  4. Wprowadź hasło certyfikatu w polu Hasło klucza podpisywania.

  5. Włącz opcję podpisywania (opcjonalnie), aby upewnić się, że big-IP akceptuje tokeny i oświadczenia podpisane przez identyfikator Firmy Microsoft Entra.

    Zrzut ekranu przedstawiający wpisy klucza podpisywania, certyfikatu podpisywania i hasła klucza podpisywania w certyfikacie podpisywania SAML.

  6. Grupy użytkowników i użytkowników są dynamicznie odpytywane z dzierżawy firmy Microsoft Entra i autoryzują dostęp do aplikacji. Dodaj użytkownika lub grupę do testowania. W przeciwnym razie odmowa dostępu.

    Zrzut ekranu przedstawiający opcję Dodaj w grupach użytkowników i użytkowników.

Atrybuty i oświadczenia użytkownika

Po uwierzytelnieniu użytkownika identyfikator Entra firmy Microsoft wystawia token SAML z domyślnym zestawem oświadczeń i atrybutów jednoznacznie identyfikujących użytkownika. Karta Atrybuty użytkownika i oświadczenia zawiera domyślne oświadczenia, które mają być wystawiane dla nowej aplikacji. Umożliwia również skonfigurowanie większej liczby oświadczeń.

W tym przykładzie dołącz jeszcze jeden atrybut:

  1. W polu Nazwa oświadczenia wprowadź identyfikator employeeid.

  2. W polu Atrybut źródłowy wprowadź user.employeeid.

    Zrzut ekranu przedstawiający wartość employeeid w obszarze Dodatkowe oświadczenia w obszarze Atrybuty użytkownika i Oświadczenia.

Dodatkowe atrybuty użytkownika

Na karcie Dodatkowe atrybuty użytkownika można włączyć rozszerzenie sesji dla systemów rozproszonych, takich jak Oracle, SAP i inne implementacje oparte na języku JAVA wymagające atrybutów przechowywanych w innych katalogach. Atrybuty pobierane ze źródła LDAP mogą być wstrzykiwane jako więcej nagłówków logowania jednokrotnego w celu kontrolowania dostępu na podstawie ról, identyfikatorów partnerów itd.

  1. Włącz opcję Ustawienia zaawansowane.

  2. Zaznacz pole wyboru Atrybuty LDAP.

  3. W obszarze Wybierz serwer uwierzytelniania wybierz pozycję Utwórz nowy.

  4. W zależności od konfiguracji wybierz opcję Użyj puli lub Trybu połączenia z serwerem bezpośrednim , aby podać adres serwera docelowej usługi LDAP. W przypadku korzystania z pojedynczego serwera LDAP wybierz pozycję Bezpośredni.

  5. W polu Port usługi wprowadź wartość 389, 636 (Secure) lub inny port używany przez usługę LDAP.

  6. W polu Nazwa wyróżniająca wyszukiwania podstawowego wprowadź nazwę wyróżniającą lokalizacji zawierającej konto, za pomocą których uwierzytelnia się APM, dla zapytań usługi LDAP.

    Zrzut ekranu przedstawiający wpisy właściwości serwera LDAP w obszarze Dodatkowe atrybuty użytkownika.

  7. W polu Wyszukaj nazwę WYRÓŻNIAJĄCą wprowadź nazwę wyróżniającą lokalizacji zawierającej obiekty konta użytkownika, które zapytania APM za pośrednictwem protokołu LDAP.

  8. Ustaw obie opcje członkostwa na Wartość Brak i dodaj nazwę atrybutu obiektu użytkownika, który ma zostać zwrócony z katalogu LDAP. W tym scenariuszu: eventroles.

    Zrzut ekranu przedstawiający wpisy właściwości zapytania LDAP.

Zasady dostępu warunkowego

Zasady dostępu warunkowego są wymuszane po wstępnym uwierzytelnieniu firmy Microsoft w celu kontrolowania dostępu na podstawie urządzeń, aplikacji, lokalizacji i sygnałów ryzyka.

Widok Dostępne zasady zawiera listę zasad dostępu warunkowego, które nie obejmują akcji użytkownika.

W widoku Wybrane zasady są wyświetlane zasady przeznaczone dla wszystkich zasobów. Tych zasad nie można usunąć ani przenieść do listy Dostępne zasady, ponieważ są one wymuszane na poziomie dzierżawy.

Aby wybrać zasady, które mają zostać zastosowane do publikowanej aplikacji:

  1. Na liście Dostępne zasady wybierz zasady.

  2. Wybierz strzałkę w prawo i przenieś ją na listę Wybrane zasady .

    Uwaga

    Wybrane zasady mają zaznaczoną opcję Dołącz lub Wyklucz . Jeśli obie opcje są zaznaczone, wybrane zasady nie są wymuszane.

    Zrzut ekranu przedstawiający wykluczone zasady w obszarze Wybrane zasady w obszarze Zasady dostępu warunkowego.

    Uwaga

    Lista zasad jest wyliczana raz, gdy początkowo wybierzesz tę kartę. Użyj przycisku Odśwież, aby ręcznie wymusić na kreatorze wykonywanie zapytań dotyczących dzierżawy. Ten przycisk jest wyświetlany po wdrożeniu aplikacji.

Właściwości serwera wirtualnego

Serwer wirtualny to obiekt płaszczyzny danych BIG-IP reprezentowany przez wirtualny adres IP nasłuchujący żądań klientów do aplikacji. Odebrany ruch jest przetwarzany i oceniany względem profilu APM skojarzonego z serwerem wirtualnym przed skierowaniem zgodnie z zasadami.

  1. Wprowadź adres docelowy, dostępny adres IPv4/IPv6, którego może użyć big-IP do odbierania ruchu klienta. W serwerze nazw domen (DNS) powinien istnieć odpowiedni rekord, który umożliwia klientom rozpoznawanie zewnętrznego adresu URL opublikowanej aplikacji BIG-IP do tego adresu IP zamiast aplikacji. Używanie testowego hosta lokalnego komputera DNS jest akceptowalne do testowania.

  2. W polu Port usługi wprowadź wartość 443 i HTTPS.

  3. Zaznacz pole Wyboru Włącz port przekierowania, a następnie wprowadź przekierowanie przychodzącego ruchu klienta HTTP do protokołu HTTPS.

  4. Profil SSL klienta włącza serwer wirtualny dla protokołu HTTPS, więc połączenia klienckie są szyfrowane za pośrednictwem protokołu Transport Layer Security (TLS). Wybierz utworzony profil SSL klienta lub pozostaw wartość domyślną podczas testowania.

    Zrzut ekranu przedstawiający pozycje Adres docelowy, Port usługi i Typowe wpisy w obszarze Właściwości ogólne właściwości serwera wirtualnego.

Właściwości puli

Karta Pula aplikacji zawiera usługi stojące za dużym adresem IP reprezentowane jako pula z co najmniej jednym serwerem aplikacji.

  1. Wybierz jedną z opcji Wybierz pulę. Utwórz nową pulę lub wybierz jedną.

  2. Wybierz metodę równoważenia obciążenia, taką jak działanie okrężne.

  3. W obszarze Serwery puli wybierz węzeł lub określ adres IP i port dla serwera obsługującego aplikację opartą na nagłówku.

    Zrzut ekranu przedstawiający pozycje Adres IP/Nazwa węzła i Port w obszarze Pula aplikacji we właściwościach puli.

Uwaga

Nasza aplikacja zaplecza znajduje się na porcie HTTP 80. Przełącz się na 443, jeśli używasz protokołu HTTPS.

Logowanie jednokrotne i nagłówki HTTP

Włączenie logowania jednokrotnego umożliwia użytkownikom dostęp do opublikowanych usług BIG-IP bez wprowadzania poświadczeń. Kreator łatwego przycisku obsługuje nagłówki autoryzacji Kerberos, OAuth Bearer i HTTP na potrzeby logowania jednokrotnego.

Aby skonfigurować opcje, użyj poniższej listy.

  • Operacja nagłówka: Wstawianie

  • Nazwa nagłówka: upn

  • Wartość nagłówka: %{session.saml.last.identity}

  • Operacja nagłówka: Wstawianie

  • Nazwa nagłówka: employeeid

  • Wartość nagłówka: %{session.saml.last.attr.name.employeeid}

  • Operacja nagłówka: Wstawianie

  • Nazwa nagłówka: eventroles

  • Wartość nagłówka: %{session.ldap.last.attr.eventroles}

    Zrzut ekranu przedstawiający wpisy nagłówków logowania jednokrotnego w obszarze Nagłówki logowania jednokrotnego w nagłówkach SSO i HTTP.

Uwaga

Zmienne sesji APM w nawiasach klamrowych są uwzględniane wielkości liter. Jeśli na przykład wprowadzisz orclGUID, a nazwa atrybutu Entra firmy Microsoft to orclguid, wystąpi błąd mapowania atrybutów.

Ustawienia zarządzania sesjami

Ustawienia zarządzania sesjami BIG-IP definiują warunki, w których sesje użytkowników są przerywane lub mogą być kontynuowane, limity dla użytkowników i adresów IP oraz odpowiednie informacje o użytkowniku. Zapoznaj się z artykułem F5 K18390492: Zabezpieczenia | Przewodnik po operacjach big-IP APM zawiera szczegółowe informacje na temat tych ustawień.

To, co nie zostało omówione, to funkcja pojedynczego wylogowania (SLO), która zapewnia sesje między dostawcą tożsamości, dużym adresem IP i agentem użytkownika zakończą się po wylogowaniu użytkowników. Gdy przycisk Easy Button tworzy wystąpienie aplikacji SAML w dzierżawie firmy Microsoft Entra, wypełnia adres URL wylogowywania za pomocą punktu końcowego slo usługi APM. Wylogowywanie inicjowane przez dostawcę tożsamości z portalu Microsoft Entra Moje aplikacje kończy sesję między big-IP a klientem.

Metadane federacji SAML opublikowanej aplikacji są importowane z dzierżawy, co zapewnia APM punkt końcowy wylogowania SAML dla identyfikatora Entra firmy Microsoft. Ta akcja gwarantuje, że wylogowywanie inicjowane przez dostawcę usług kończy sesję między klientem a identyfikatorem Entra firmy Microsoft. Aplikacja APM musi wiedzieć, kiedy użytkownik wylogował się z aplikacji.

Jeśli portal big-IP webtop jest używany do uzyskiwania dostępu do opublikowanych aplikacji, usługa APM przetwarza wylogowanie się w celu wywołania punktu końcowego wylogowywanie firmy Microsoft. Rozważ jednak scenariusz polegający na tym, że w portalu webtop big-IP nie jest używany. Użytkownik nie może poinstruować APM, aby wylogował się. Nawet jeśli użytkownik wylogował się z aplikacji, big-IP jest nieświadomy. W związku z tym rozważ wylogowanie inicjowane przez dostawcę usług, aby zapewnić bezpieczne zakończenie sesji. Funkcję SLO można dodać do przycisku Wylogowywanie aplikacji, aby umożliwić przekierowanie klienta do punktu końcowego wylogowania firmy Microsoft Entra SAML lub BIG-IP. Adres URL punktu końcowego wylogowywania SAML dla dzierżawy znajduje się w punktach końcowych >rejestracji aplikacji.

Jeśli nie możesz wprowadzić zmiany w aplikacji, rozważ użycie funkcji nasłuchiwania big-IP dla wywołania wylogowania aplikacji, a po wykryciu, że żądanie wyzwoli cel slo. Zapoznaj się ze wskazówkami oracle PeopleSoft SLO, aby dowiedzieć się więcej o regułach iRules big-IP. Aby uzyskać więcej informacji na temat korzystania z reguł iRules big-IP, zobacz:

Podsumowanie

Ten ostatni krok zawiera podział konfiguracji.

Wybierz pozycję Wdróż , aby zatwierdzić ustawienia i sprawdź, czy aplikacja znajduje się na liście dzierżaw aplikacji dla przedsiębiorstw.

Aplikacja jest publikowana i dostępna za pośrednictwem algorytmu SHA przy użyciu adresu URL lub za pośrednictwem portali aplikacji firmy Microsoft. W celu zwiększenia bezpieczeństwa organizacje korzystające z tego wzorca mogą blokować bezpośredni dostęp do aplikacji. Ta akcja wymusza ścisłą ścieżkę przez big-IP.

Następne kroki

W przeglądarce w portalu Microsoft MyApps nawiąż połączenie z zewnętrznym adresem URL aplikacji lub wybierz ikonę aplikacji. Po uwierzytelnieniu względem identyfikatora Entra firmy Microsoft nastąpi przekierowanie do serwera wirtualnego BIG-IP dla aplikacji i zalogowanie się za pomocą logowania jednokrotnego.

W celu zwiększenia bezpieczeństwa organizacje korzystające z tego wzorca mogą blokować bezpośredni dostęp do aplikacji. Ta akcja wymusza ścisłą ścieżkę przez big-IP.

Wdrażanie zaawansowane

Szablony konfiguracji z przewodnikiem mogą nie mieć elastyczności, aby osiągnąć określone wymagania.

W trybie BIG-IP można wyłączyć tryb ścisłego zarządzania Konfiguracja z przewodnikiem. Następnie można ręcznie zmienić konfiguracje, chociaż większość konfiguracji jest zautomatyzowana za pomocą szablonów opartych na kreatorze.

W przypadku konfiguracji aplikacji możesz przejść do pozycji Uzyskaj dostęp do >konfiguracji z przewodnikiem i wybrać małą ikonę kłódki po prawej stronie wiersza.

Zrzut ekranu przedstawiający opcję kłódki.

W tym momencie zmiany w interfejsie użytkownika kreatora nie są już możliwe, ale wszystkie obiekty BIG-IP skojarzone z opublikowanym wystąpieniem aplikacji są odblokowywane w celu bezpośredniego zarządzania.

Uwaga

Ponowne włączanie trybu ścisłego i wdrażanie konfiguracji zastępuje wszystkie ustawienia wykonywane poza interfejsem użytkownika konfiguracji z przewodnikiem. Zalecamy zaawansowaną metodę konfiguracji usług produkcyjnych.

Rozwiązywanie problemów

Rejestrowanie BIG-IP

Rejestrowanie big-IP może pomóc wyizolować problemy z łącznością, logowaniem jednokrotnym, naruszeniami zasad lub nieprawidłowo skonfigurowanymi mapowaniami zmiennych.

Aby rozwiązać problemy, można zwiększyć poziom szczegółowości dziennika.

  1. Przejdź do >> przeglądu > zasad dostępu.
  2. Wybierz wiersz dla opublikowanej aplikacji, a następnie edytuj > dzienniki systemu dostępu.
  3. Z listy Logowania jednokrotnego wybierz pozycję Debuguj, a następnie przycisk OK.

Odtwórz problem, a następnie sprawdź dzienniki, ale przywróć to ustawienie po zakończeniu. Tryb pełny generuje znaczne ilości danych.

Strona błędu BIG-IP

Jeśli po wstępnym uwierzytelnieniu firmy Microsoft wystąpi błąd BIG-IP, problem jest związany z logowaniem jednokrotnym z identyfikatora Entra firmy Microsoft do big-IP.

  1. Przejdź do > programu Access>.
  2. Uruchom raport dla ostatniej godziny, aby sprawdzić, czy dzienniki zawierają jakiekolwiek wskazówki.
  3. Użyj linku Wyświetl zmienne dla sesji, aby dowiedzieć się, czy APM otrzymuje oczekiwane oświadczenia od identyfikatora Entra firmy Microsoft.

Żądanie zaplecza

Jeśli nie ma strony błędu, problem prawdopodobnie jest związany z żądaniem zaplecza lub logowaniem jednokrotnym z big-IP do aplikacji.

  1. Przejdź do pozycji Przegląd > zasad > dostępu Aktywne sesje i wybierz link dla aktywnej sesji.
  2. Aby pomóc głównej przyczyny problemu, użyj linku Wyświetl zmienne , szczególnie jeśli funkcja APM BIG-IP nie może uzyskać odpowiednich atrybutów z identyfikatora Entra firmy Microsoft lub innego źródła.

Weryfikowanie konta usługi APM

Aby zweryfikować konto usługi APM dla zapytań LDAP, użyj następującego polecenia w powłoce powłoki Bash BIG-IP. Potwierdź uwierzytelnianie i kwerendę obiektu użytkownika.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Aby uzyskać więcej informacji, zobacz artykuł F5 K11072: Konfigurowanie uwierzytelniania zdalnego LDAP dla usługi Active Directory. Możesz użyć tabeli referencyjnej BIG-IP, aby ułatwić diagnozowanie problemów związanych z protokołem LDAP w dokumencie AskF5, zapytaniu LDAP.