Samouczek: konfigurowanie przycisku F5 BIG-IP Easy Button na potrzeby logowania jednokrotnego do systemu SAP ERP

W tym artykule dowiesz się, jak zabezpieczyć planowanie zasobów SAP Enterprise (ERP) przy użyciu identyfikatora Entra firmy Microsoft, z przewodnikiem Konfiguracja z przewodnikiem F5 BIG-IP Easy Button 16.1. Integracja big-IP z identyfikatorem Entra firmy Microsoft ma wiele korzyści:

• Platforma Zero Trust umożliwiająca zdalną pracę
• Co to jest dostęp warunkowy?
• Logowanie jednokrotne (SSO) między usługami firmy Microsoft Entra ID i BIG-IP
• Zarządzanie tożsamościami i dostępem z centrum administracyjnego firmy Microsoft Entra

Więcej informacji:

• Integrowanie F5 BIG-IP z identyfikatorem Entra firmy Microsoft
• Włącz logowanie jednokrotne dla aplikacji dla przedsiębiorstw.

Opis scenariusza

Ten scenariusz obejmuje aplikację SAP ERP korzystającą z uwierzytelniania Kerberos w celu zarządzania dostępem do chronionej zawartości.

Starsze aplikacje nie mają nowoczesnych protokołów do obsługi integracji z identyfikatorem Entra firmy Microsoft. Modernizacja jest kosztowna, wymaga planowania i wprowadza potencjalne ryzyko przestoju. Zamiast tego użyj kontrolera dostarczania aplikacji BIG-IP (ADC, BIG-IP Application Delivery Controller), aby wypełnić lukę między starszą aplikacją a nowoczesną płaszczyzną sterowania identyfikatorami poprzez przejście protokołu.

Duży adres IP przed aplikacją umożliwia nakładkę usługi przy użyciu wstępnego uwierzytelniania firmy Microsoft i logowania jednokrotnego opartego na nagłówkach. Ta konfiguracja poprawia ogólny stan zabezpieczeń aplikacji.

Architektura scenariusza

Rozwiązanie bezpiecznego dostępu hybrydowego (SHA) ma następujące składniki:

• Aplikacja SAP ERP — opublikowana usługa BIG-IP chroniona przez usługę Microsoft Entra SHA
• Microsoft Entra ID — dostawca tożsamości (SAML) security Assertion Markup Language (IdP), który weryfikuje poświadczenia użytkownika, dostęp warunkowy i logowanie jednokrotne oparte na protokole SAML do big-IP
• BIG-IP — zwrotny serwer proxy i dostawca usług SAML (SP) do aplikacji. Uwierzytelnianie delegatów BIG-IP do dostawcy tożsamości SAML wykonuje logowanie jednokrotne oparte na nagłówku do usługi SAP

Algorytm SHA obsługuje przepływy inicjowane przez dostawcę usług i dostawcę tożsamości. Na poniższej ilustracji przedstawiono przepływ inicjowany przez dostawcę usług.

1. Użytkownik łączy się z punktem końcowym aplikacji (BIG-IP).
2. Zasady dostępu BIG-IP Access Manager (APM) przekierowuje użytkownika do microsoft Entra ID (SAML IdP).
3. Identyfikator entra firmy Microsoft wstępnie uwierzytelnia użytkownika i stosuje wymuszane zasady dostępu warunkowego.
4. Użytkownik jest przekierowywany do adresu BIG-IP (SAML SP), a logowanie jednokrotne występuje z wystawionym tokenem SAML.
5. Big-IP żąda biletu Protokołu Kerberos z centrum dystrybucji kluczy (KDC).
6. Big-IP wysyła żądanie do aplikacji zaplecza z biletem Kerberos na potrzeby logowania jednokrotnego.
7. Aplikacja autoryzuje żądanie i zwraca ładunek.

Wymagania wstępne

• Bezpłatne konto microsoft Entra ID lub nowsze
  • Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure
• Big-IP lub BIG-IP Virtual Edition (VE) na platformie Azure
  • Zobacz Wdrażanie maszyny wirtualnej F5 BIG-IP Virtual Edition na platformie Azure
• Dowolne z następujących licencji F5 BIG-IP:
  • F5 BIG-IP® Best bundle
  • Licencja autonomiczna F5 BIG-IP APM
  • Licencja dodatku F5 BIG-IP APM na istniejącą licencję BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • 90-dniowa licencja na pełną wersję próbną funkcji BIG-IP
• Tożsamości użytkowników synchronizowane z katalogu lokalnego do identyfikatora Entra firmy Microsoft lub utworzone w usłudze Microsoft Entra ID i przepływane z powrotem do katalogu lokalnego
  • Zobacz: Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji
• Jedną z następujących ról: Administrator aplikacji w chmurze lub Administrator aplikacji.
• Certyfikat sieci Web SSL do publikowania usług za pośrednictwem protokołu HTTPS lub użyj domyślnych certyfikatów BIG-IP do testowania
  • Zobacz Wdrażanie maszyny wirtualnej F5 BIG-IP Virtual Edition na platformie Azure
• Środowisko SAP ERP skonfigurowane do uwierzytelniania Kerberos

Metody konfiguracji BIG-IP

W tym samouczku użyto konfiguracji z przewodnikiem 16.1 z szablonem Easy Button. Dzięki przyciskowi Easy Button administratorzy nie przechodzą między identyfikatorem Entra firmy Microsoft i dużym adresem IP w celu włączenia usług sha. Kreator konfiguracji z przewodnikiem APM i program Microsoft Graph obsługują wdrażanie i zarządzanie zasadami. Dzięki tej integracji aplikacje obsługują federację tożsamości, logowanie jednokrotne i dostęp warunkowy.

Uwaga

Zastąp przykładowe ciągi lub wartości w tym przewodniku tymi w środowisku.

Zarejestruj łatwy przycisk

Zanim klient lub usługa uzyskuje dostęp do programu Microsoft Graph, Platforma tożsamości Microsoft musi mu ufać.

Zobacz Szybki start: rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft

Zarejestruj klienta Easy Button w identyfikatorze Entra firmy Microsoft, a następnie ustanawia relację zaufania między wystąpieniami usługi SAML SP opublikowanej aplikacji BIG-IP i identyfikatorem Entra firmy Microsoft jako dostawcą tożsamości SAML.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do sekcji > Nowa rejestracja.

3. Wprowadź nazwę nowej aplikacji.

4. W obszarze Konta tylko w tym katalogu organizacyjnym określ, kto może używać aplikacji.

5. Wybierz pozycję Zarejestruj.

6. Przejdź do pozycji Uprawnienia interfejsu API.

7. Autoryzuj następujące uprawnienia aplikacji programu Microsoft Graph:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Udziel zgody administratora dla organizacji.

9. W obszarze Certyfikaty i wpisy tajne wygeneruj nowy klucz tajny klienta.

10. Zanotuj wpis tajny.

11. W obszarze Przegląd zanotuj identyfikator klienta i identyfikator dzierżawy.

Konfigurowanie przycisku Easy

1. Zainicjuj konfigurację z przewodnikiem APM.
2. Uruchom szablon Easy Button.
3. W przeglądarce zaloguj się do konsoli zarządzania F5 BIG-IP.
4. Przejdź do pozycji Uzyskaj dostęp do > konfiguracji > z przewodnikiem Integracja firmy Microsoft.
5. Wybierz pozycję Microsoft Entra Application.
6. Przejrzyj listę konfiguracji.
7. Wybierz Dalej.
8. Postępuj zgodnie z sekwencją konfiguracji w obszarze Microsoft Entra Application Configuration.

Właściwości konfiguracji

Karta Właściwości konfiguracji zawiera właściwości konta usługi i tworzy konfigurację aplikacji BIG-IP i obiekt logowania jednokrotnego. Sekcja Szczegóły konta usługi platformy Azure reprezentuje klienta zarejestrowanego jako aplikacja w dzierżawie firmy Microsoft Entra. Użyj ustawień klienta OAuth BIG-IP, aby indywidualnie zarejestrować dostawcę usługi SAML w dzierżawie z właściwościami logowania jednokrotnego. Easy Button wykonuje tę akcję dla usług BIG-IP opublikowanych i włączonych dla algorytmu SHA.

Uwaga

Niektóre ustawienia są globalne i mogą być ponownie używane do publikowania większej liczby aplikacji.

1. Wprowadź nazwę konfiguracji. Unikatowe nazwy różnią konfiguracje przycisków Easy Button.
2. W przypadku logowania jednokrotnego i nagłówków HTTP wybierz pozycję Włączone.
3. W polu Identyfikator dzierżawy, Identyfikator klienta i Klucz tajny klienta wprowadź identyfikator dzierżawy, identyfikator klienta i wpis tajny klienta zanotowany podczas rejestracji dzierżawy.
4. Wybierz pozycję Testuj połączenie. Ta akcja potwierdza, że big-IP nawiązuje połączenie z dzierżawą.
5. Wybierz Dalej.

Dostawca usług

Użyj ustawień dostawcy usług, aby zdefiniować właściwości wystąpienia usługi SAML SP aplikacji zabezpieczonej przez algorytm SHA.

1. W polu Host wprowadź publiczną w pełni kwalifikowaną nazwę domeny (FQDN) zabezpieczonej aplikacji.

2. W polu Identyfikator jednostki wprowadź identyfikator używany przez firmę Microsoft Entra ID w celu zidentyfikowania dostawcy usługi SAML żądającego tokenu.

   

3. (Opcjonalnie) Użyj ustawień zabezpieczeń, aby wskazać, że identyfikator Entra firmy Microsoft szyfruje wystawione asercji SAML. Asercji zaszyfrowanych między identyfikatorem Entra firmy Microsoft i big-IP APM zwiększają pewność, że tokeny zawartości nie są przechwytywane ani nie są naruszone.

4. W obszarze Klucz prywatny odszyfrowywania asercji wybierz pozycję Utwórz nowy.

   

5. Wybierz przycisk OK.

6. Zostanie wyświetlone okno dialogowe Importowanie certyfikatu SSL i kluczy na nowej karcie.

7. Aby zaimportować certyfikat i klucz prywatny, wybierz pozycję PKCS 12 (IIS).

8. Zamknij kartę przeglądarki, aby powrócić do karty głównej.

   

9. W polu Włącz szyfrowaną asercję zaznacz pole wyboru.

10. Jeśli włączono szyfrowanie, z listy Klucz prywatny odszyfrowywania asercji wybierz klucz prywatny certyfikatu BIG-IP APM używany do odszyfrowania asercji firmy Microsoft.

11. Jeśli włączono szyfrowanie, z listy Certyfikat odszyfrowywania asercji wybierz certyfikat BIG-IP przekazywany do identyfikatora Entra firmy Microsoft w celu zaszyfrowania wystawionych asercji SAML.

Microsoft Entra ID

Plik Easy Button zawiera szablony aplikacji dla oprogramowania Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP i ogólnego szablonu SHA.

1. Aby uruchomić konfigurację platformy Azure, wybierz pozycję > składnik systemu SAP ERP Central).

   

   Uwaga

   Informacje przedstawione w poniższych sekcjach można użyć podczas ręcznego konfigurowania nowej aplikacji SAML BIG-IP w dzierżawie firmy Microsoft Entra.

Konfiguracja platformy Azure

1. W polu Nazwa wyświetlana wprowadź nazwę aplikacji BIG-IP utworzoną w dzierżawie firmy Microsoft Entra. Nazwa jest wyświetlana na ikonie w portalu Moje aplikacje.

2. (Opcjonalnie) pozostaw pusty adres URL logowania (opcjonalnie).

   

3. Obok pozycji Klucz podpisywania wybierz pozycję Odśwież.

4. Wybierz pozycję Certyfikat podpisywania. Ta akcja lokalizuje wprowadzony certyfikat.

5. W polu Hasło klucza podpisywania wprowadź hasło certyfikatu.

6. (Opcjonalnie) Włącz opcję podpisywania. Ta opcja zapewnia, że big-IP akceptuje tokeny i oświadczenia podpisane przez identyfikator Entra firmy Microsoft

   

7. Grupy użytkowników i użytkowników są dynamicznie odpytywane z dzierżawy firmy Microsoft Entra. Grupy pomagają autoryzować dostęp do aplikacji.

8. Dodaj użytkownika lub grupę do testowania. W przeciwnym razie odmowa dostępu.

   

Atrybuty i oświadczenia użytkownika

Gdy użytkownicy uwierzytelniają się w usłudze Microsoft Entra ID, wystawiają token SAML z domyślnymi oświadczeniami i atrybutami identyfikującymi użytkownika. Karta Atrybuty użytkownika i oświadczenia zawiera domyślne oświadczenia, które mają być wystawiane dla nowej aplikacji. Służy do konfigurowania większej liczby oświadczeń.

Ten samouczek jest oparty na sufiksie domeny .com używany wewnętrznie i zewnętrznie. Do osiągnięcia funkcjonalnej implementacji logowania jednokrotnego ograniczonego delegowania protokołu Kerberos (KCD) nie są wymagane żadne inne atrybuty.

Możesz uwzględnić więcej atrybutów firmy Microsoft Entra. Na potrzeby tego samouczka system SAP ERP wymaga atrybutów domyślnych.

Dowiedz się więcej: Samouczek: Konfigurowanie menedżera zasad dostępu F5 BIG-IP na potrzeby uwierzytelniania Kerberos. Zobacz instrukcje dotyczące wielu domen lub logowania użytkownika przy użyciu alternatywnych sufiksów.

Dodatkowe atrybuty użytkownika

Karta Dodatkowe atrybuty użytkownika obsługuje systemy rozproszone wymagające atrybutów przechowywanych w innych katalogach na potrzeby rozszerzania sesji. W związku z tym atrybuty ze źródła protokołu LDAP (Lightweight Directory Access Protocol) są wstrzykiwane jako więcej nagłówków logowania jednokrotnego w celu kontrolowania dostępu opartego na rolach, identyfikatorów partnerów itd.

Uwaga

Ta funkcja nie ma korelacji z identyfikatorem Entra firmy Microsoft, ale jest innym źródłem atrybutów.

Zasady dostępu warunkowego

Zasady dostępu warunkowego są wymuszane po wstępnego uwierzytelniania firmy Microsoft. Ta akcja kontroluje dostęp na podstawie urządzeń, aplikacji, lokalizacji i sygnałów ryzyka.

Widok Dostępne zasady zawiera listę zasad dostępu warunkowego bez akcji opartych na użytkownikach.

Widok Wybrane zasady zawiera listę zasad przeznaczonych dla aplikacji w chmurze. Nie można usunąć zaznaczenia zasad wymuszanych na poziomie dzierżawy ani przenieść ich do listy Dostępne zasady.

Aby wybrać zasady dla publikowanej aplikacji:

1. Z listy Dostępne zasady wybierz zasady.
2. Wybierz strzałkę w prawo.
3. Przenieś zasady na listę Wybrane zasady .

Wybrane zasady mają zaznaczoną opcję Dołącz lub Wyklucz . Jeśli obie opcje są zaznaczone, wybrane zasady nie są wymuszane.

Uwaga

Po początkowym wybraniu tej karty zostanie wyświetlona lista zasad. Użyj przycisku odświeżania, aby wysłać zapytanie do dzierżawy. Odświeżanie jest wyświetlane po wdrożeniu aplikacji.

Właściwości serwera wirtualnego

Serwer wirtualny to obiekt płaszczyzny danych BIG-IP reprezentowany przez wirtualny adres IP. Ten serwer nasłuchuje żądań klientów do aplikacji. Odebrany ruch jest przetwarzany i oceniany względem profilu APM skojarzonego z serwerem wirtualnym. Ruch jest następnie kierowany zgodnie z zasadami.

1. Wprowadź adres docelowy. Użyj adresu IPv4/IPv6, który używa protokołu BIG-IP do odbierania ruchu klienta. Odpowiedni rekord znajduje się na serwerze nazw domen (DNS), który umożliwia klientom rozpoznawanie zewnętrznego adresu URL opublikowanej aplikacji BIG-IP do tego adresu IP. Do testowania można użyć serwera DNS hosta lokalnego komputera testowego.
2. W polu Port usługi wprowadź wartość 443.
3. Wybierz opcję HTTPS.
4. W polu Włącz port przekierowania zaznacz pole wyboru.
5. W polu Port przekierowania wprowadź liczbę i wybierz pozycję HTTP. Ta opcja przekierowuje przychodzący ruch klienta HTTP do protokołu HTTPS.
6. Wybierz utworzony profil SSL klienta. Możesz też pozostawić wartość domyślną do testowania. Profil SSL klienta włącza serwer wirtualny dla protokołu HTTPS, więc połączenia klienckie są szyfrowane za pośrednictwem protokołu Transport Layer Security (TLS).

Właściwości puli

Karta Pula aplikacji zawiera usługi za dużym adresem IP reprezentowane jako pula z serwerami aplikacji.

1. W obszarze Wybierz pulę wybierz pozycję Utwórz nową lub wybierz pulę.

2. W obszarze Metoda równoważenia obciążenia wybierz pozycję Działanie okrężne.

3. W obszarze Serwery puli wybierz węzeł serwera lub wprowadź adres IP i port dla węzła zaplecza obsługującego aplikację opartą na nagłówku.

   

Logowanie jednokrotne i nagłówki HTTP

Użyj logowania jednokrotnego, aby włączyć dostęp do opublikowanych usług BIG-IP bez wprowadzania poświadczeń. Kreator łatwego przycisku obsługuje nagłówki autoryzacji Kerberos, OAuth Bearer i HTTP na potrzeby logowania jednokrotnego. Aby uzyskać poniższe instrukcje, potrzebne jest utworzone konto delegowania Protokołu Kerberos.

1. Na stronie Logowanie jednokrotne i nagłówki HTTP w obszarze Ustawienia zaawansowane wybierz pozycję Włączone.

2. W polu Wybrany typ logowania jednokrotnego wybierz pozycję Kerberos.

3. W polu Źródło nazwy użytkownika wprowadź zmienną sesji jako źródło identyfikatora użytkownika. session.saml.last.identity przechowuje oświadczenie Firmy Microsoft Entra z identyfikatorem zalogowanym użytkownika.

4. Opcja Źródło obszaru użytkownika jest wymagana, jeśli domena użytkownika różni się od obszaru kerberos BIG-IP. W związku z tym zmienna sesji APM zawiera domenę zalogowanego użytkownika. Na przykład session.saml.last.attr.name.domain.

   

5. W przypadku centrum dystrybucji kluczy wprowadź adres IP kontrolera domeny lub nazwę FQDN, jeśli skonfigurowano usługę DNS.

6. W przypadku obsługi nazwy UPN zaznacz pole wyboru. Aplikacja APM używa głównej nazwy użytkownika (UPN) do obsługi biletów protokołu Kerberos.

7. W polu Wzorzec nazwy SPN wprowadź wartość HTTP/%h. Ta akcja informuje APM o użyciu nagłówka hosta żądania klienta i skompilowania głównej nazwy usługi (SPN), dla której żąda tokenu kerberos.

8. W polu Wyślij autoryzację wyłącz opcję dla aplikacji, które negocjują uwierzytelnianie. Na przykład Tomcat.

   

Zarządzanie sesjami

Użyj ustawień zarządzania sesjami BIG-IP, aby zdefiniować warunki po zakończeniu lub kontynuowaniu sesji użytkownika. Warunki obejmują limity dla użytkowników i adresów IP oraz odpowiednie informacje o użytkowniku.

Aby dowiedzieć się więcej, przejdź do my.f5.com dla K18390492: Zabezpieczenia | Przewodnik operacyjny BIG-IP APM

Przewodnik obsługi nie obejmuje pojedynczego wylogowania (SLO). Ta funkcja zapewnia, że sesje między dostawcą tożsamości, dużym adresem IP i agentem użytkownika zakończą się po wylogowaniu użytkowników. Przycisk Easy Button wdraża aplikację SAML w dzierżawie firmy Microsoft Entra. Wypełnia on adres URL wylogowywania punktem końcowym slo APM. Dostawca tożsamości zainicjował wylogowanie się z portalu Moje aplikacje kończy sesję BIG-IP i klienta.

Podczas wdrażania metadane federacji SAML opublikowanej aplikacji są importowane z dzierżawy. Ta akcja zapewnia punkt końcowy wylogowania SAML dla identyfikatora Entra firmy Microsoft i pomaga wylogowywaniu inicjowanym przez dostawcę usług zakończenie sesji klienta i firmy Microsoft Entra.

Wdrożenie

1. Wybierz Wdróż.
2. Sprawdź, czy aplikacja znajduje się na liście aplikacji dla przedsiębiorstw dzierżawy.
3. Za pomocą przeglądarki połącz się z zewnętrznym adresem URL aplikacji lub wybierz ikonę aplikacji w Moje aplikacje.
4. Uwierzytelnij się w identyfikatorze Entra firmy Microsoft.
5. Przekierowanie umożliwia przejście do serwera wirtualnego BIG-IP i zalogowanie się za pomocą logowania jednokrotnego.

W celu zwiększenia bezpieczeństwa można zablokować bezpośredni dostęp do aplikacji i wymusić ścieżkę za pośrednictwem big-IP.

Wdrażanie zaawansowane

Szablony konfiguracji z przewodnikiem czasami nie mają elastyczności.

Dowiedz się więcej: Samouczek: Konfigurowanie menedżera zasad dostępu F5 BIG-IP na potrzeby uwierzytelniania Kerberos.

Wyłączanie ścisłego trybu zarządzania

Alternatywnie w trybie BIG-IP można wyłączyć tryb ścisłego zarządzania Konfiguracja z przewodnikiem. Konfiguracje można zmienić ręcznie, chociaż większość konfiguracji jest zautomatyzowana za pomocą szablonów kreatora.

1. Przejdź do pozycji Uzyskaj dostęp do > konfiguracji z przewodnikiem.

2. Na końcu wiersza konfiguracji aplikacji wybierz kłódkę.

3. Obiekty BIG-IP skojarzone z opublikowaną aplikacją są odblokowywane do zarządzania. Zmiany za pośrednictwem interfejsu użytkownika kreatora nie są już możliwe.

   

   Uwaga

   Aby ponownie włączyć rygorystyczny tryb zarządzania i wdrożyć konfigurację, która zastępuje ustawienia poza interfejsem użytkownika konfiguracji z przewodnikiem, zalecamy zaawansowaną metodę konfiguracji dla usług produkcyjnych.

Rozwiązywanie problemów

Jeśli nie możesz uzyskać dostępu do aplikacji zabezpieczonej algorytmem SHA, zapoznaj się z poniższymi wskazówkami dotyczącymi rozwiązywania problemów.

• Protokół Kerberos jest wrażliwy na czas. Upewnij się, że serwery i klienci są ustawione na prawidłowy czas i zsynchronizowane z niezawodnym źródłem czasu.
• Upewnij się, że kontroler domeny i nazwa hosta aplikacji internetowej są rozpoznawane w systemie DNS.
• Upewnij się, że w środowisku nie ma zduplikowanych nazw SPN.
  • Na komputerze domeny w wierszu polecenia użyj zapytania: setspn -q HTTP/my_target_SPN

Aby zweryfikować konfigurację KCD aplikacji usług Internet Information Services (IIS), zobacz Rozwiązywanie problemów z konfiguracjami KCD dla serwer proxy aplikacji

Przejdź do techdocs.f5.com dla metody logowania jednokrotnego protokołu Kerberos

Analiza dzienników

Czasownik dziennika

Rejestrowanie BIG-IP izoluje problemy z łącznością, logowaniem jednokrotnym, naruszeniami zasad lub nieprawidłowo skonfigurowanymi mapowaniami zmiennych. Aby rozpocząć rozwiązywanie problemów, zwiększ szczegółowość dziennika.

1. Przejdź do > zasad dostępu.
2. Wybierz pozycję Dzienniki zdarzeń.
3. Wybierz Ustawienia.
4. Wybierz wiersz dla opublikowanej aplikacji.
5. Zaznacz Edytuj.
6. Wybieranie pozycji Uzyskiwanie dostępu do dzienników systemu
7. Z listy Logowania jednokrotnego wybierz pozycję Debuguj.
8. Wybierz przycisk OK.
9. Odtwórz problem.
10. Sprawdź dzienniki.

Po zakończeniu inspekcji przywróć szczegółowość dziennika, ponieważ ten tryb generuje nadmierne dane.

Komunikat o błędzie BIG-IP

Jeśli po wstępnie uwierzytelnieniu firmy Microsoft pojawi się komunikat o błędzie BIG-IP, problem może odnosić się do identyfikatora Entra firmy Microsoft do logowania jednokrotnego BIG-IP.

1. Przejdź do > dostępu.
2. Wybierz pozycję Raporty programu Access.
3. Uruchom raport o ostatniej godzinie.
4. Sprawdź dzienniki.

Użyj linku Wyświetl zmienne sesji bieżącej sesji, aby sprawdzić, czy usługa APM odbiera oczekiwane oświadczenia firmy Microsoft Entra.

Brak komunikatu o błędzie BIG-IP

Jeśli nie zostanie wyświetlony komunikat o błędzie BIG-IP, problem może być związany z żądaniem zaplecza lub big-IP do logowania jednokrotnego aplikacji.

1. Przejdź do > zasad dostępu.
2. Wybierz pozycję Aktywne sesje.
3. Wybierz link dla bieżącej sesji.
4. Użyj linku Wyświetl zmienne , aby zidentyfikować problemy z kluczem KCD, szczególnie jeśli funkcja APM BIG-IP nie uzyskuje prawidłowych identyfikatorów użytkownika i domeny ze zmiennych sesji.

Więcej informacji:

• Przejdź do devcentral.f5.com dla zmiennej APM przypisz przykłady
• Przejdź do techdocs.f5.com zmiennych sesji