البرنامج التعليمي: تمكين الوصول المختلط الآمن للتطبيقات باستخدام Azure Active Directory B2C وF5 BIG-IP
تعلم كيفية تكامل Azure Active Directory B2C (Azure AD B2C) مع F5 BIG-IP Access Policy Manager (APM). يمكنك عرض التطبيقات القديمة بأمان على الإنترنت من خلال أمان BIG-IP، مع المصادقة المسبقة ل B2C Azure AD والوصول المشروط (CA) وتسجيل الدخول الأحادي (SSO). تركز F5 Inc. على تسليم الخدمات المتصلة وأمانها وأدائها وتوافرها، بما في ذلك الحوسبة والتخزين وموارد الشبكة. وتوفر الأجهزة والبرامج النمطية وحلول الأجهزة الظاهرية الجاهزة للسحابة.
توزيع وحدة تحكم تسليم التطبيقات F5 BIG-IP (ADC) كبوابة آمنة بين الشبكات الخاصة والإنترنت. هناك ميزات للفحص على مستوى التطبيق وعناصر التحكم في الوصول القابلة للتخصيص. إذا تم توزيعه كوكيل عكسي، فاستخدم BIG-IP لتمكين الوصول المختلط الآمن إلى تطبيقات الأعمال، مع طبقة وصول هوية موحدة تديرها APM.
انتقل إلى f5.com الموارد والأوراق التقنية من أجل: تكوين الوصول الآمن بسهولة إلى جميع تطبيقاتك عبر معرف Microsoft Entra
المتطلبات الأساسية
لبدء الاستخدام، تحتاج إلى ما يلي:
- اشتراك Azure
- إذا لم يكن لديك حساب، فاحصل على حساب Azure مجاني
- مستأجر متاجرة عمل-مستهلك Azure AD مرتبط باشتراك Azure
- BIG-IP أو بيئة BIG-IP الظاهرية (VE) تجريبية منشورة على Azure
- أي من تراخيص F5 BIG-IP التالية:
- F5 BIG-IP® أفضل مجموعة
- مدير نهج وصول F5 BIG-IP ذو ترخيص مستقل
- ترخيص الوظيفة الإضافية ل F5 BIG-IP Access Policy Manager™ على BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
- 90 يوماً BIG-IP ميزة كاملة ترخيص تجريبي
- تطبيق ويب يستند إلى العنوان أو تطبيق IIS للاختبار
- راجع إعداد تطبيق IIS
- شهادة SSL لنشر الخدمات عبر HTTPS، أو استخدام الافتراضي أثناء الاختبار
- راجع ملف تعريف SSL
وصف السيناريو
يعتمد السيناريو التالي على العنوان، ولكن يمكنك استخدام هذه الطرق لتحقيق Kerberos SSO.
بالنسبة لهذا السيناريو، يعتمد الوصول إلى تطبيق داخلي على تلقي عناوين تخويل HTTP من نظام وسيط قديم. يمكن توجيه وكلاء المبيعات إلى مجالات المحتوى المعنية. يجب توسيع الخدمة إلى قاعدة مستهلكين أوسع. تتم ترقية التطبيق لخيارات مصادقة المستهلك، أو يتم استبداله.
من الناحية المثالية، تدعم ترقية التطبيق الإدارة المباشرة والحوكمة باستخدام وحدة تحكم حديثة. ومع ذلك، فإن الوقت والجهد المبذولين للتحديث يقدمان التكاليف ووقت التعطل المحتمل. بدلا من ذلك، قم بتوزيع BIG-IP Virtual Edition (VE) بين الإنترنت العام وشبكة Azure الظاهرية الداخلية (VNet) لبوابة الوصول باستخدام Azure AD B2C. يتيح BIG-IP أمام التطبيق تراكب الخدمة مع المصادقة المسبقة Azure AD B2C وتسجيل الدخول الأحادي المستند إلى العنوان، ما يحسن وضع أمان التطبيق.
يحتوي حل الوصول المختلط الآمن على المكونات التالية:
- التطبيق - خدمة خلفية محمية بواسطة الوصول المختلط الآمن Azure AD B2C وBIG-IP
- Azure AD B2C - موفر الهوية (IdP) وخادم تخويل OpenID Connect (OIDC) الذي يتحقق من بيانات اعتماد المستخدم والمصادقة متعددة العوامل وتسجيل الدخول الأحادي إلى BIG-IP APM
- BIG-IP - وكيل عكسي للتطبيق. BIG-IP APM هو عميل OIDC، وتفويض المصادقة إلى خادم تخويل OIDC، قبل تسجيل الدخول الأحادي المستند إلى العنوان إلى الخدمة الخلفية.
يوضح الرسم التخطيطي التالي التدفق الذي بدأه موفر الخدمة (SP) لهذا السيناريو.
- يتصل المستخدم بنقطة نهاية التطبيق. BIG-IP هو موفر الخدمة.
- يقوم عميل BIG-IP APM OIDC بإعادة توجيه المستخدم إلى نقطة نهاية مستأجر B2C Azure AD، خادم تخويل OIDC
- Azure AD مستأجر B2C يصادق المستخدم مسبقا ويطبق نهج الوصول المشروط
- Azure للدليل النشط لمتاجرة عمل-مستهلك يعيد توجيه المستخدم مرة أخرى إلى SP مع رمز التخويل
- عميل OIDC يطلب من خادم التخويل تبادل رمز التخويل لرمز مميز معرف
- منح APM IP BIG وصول المستخدم وحقن رؤوس HTTP في طلب العميل الذي أُعيد توجيهه إلى التطبيق
تكوين Azure AD B2C
لتمكين BIG-IP مع مصادقة B2C Azure AD، استخدم مستأجر B2C Azure AD مع تدفق مستخدم أو نهج مخصص.
راجع البرنامج التعليمي: إنشاء تدفقات المستخدمين والنهج المخصصة في Azure AD B2C
إنشاء سمات مخصصة
احصل على سمات مخصصة من كائنات مستخدم B2C Azure AD أو IdPs الموحدة أو موصلات واجهة برمجة التطبيقات أو تسجيل المستخدم. قم بتضمين السمات في الرمز المميز الذي ينتقل إلى التطبيق.
تتوقع التطبيقات القديمة سمات محددة، لذا قم بتضمينها في تدفق المستخدم الخاص بك. يمكنك استبدالها بالسمات التي يتطلبها تطبيقك. أو إذا كنت تقوم بإعداد تطبيق اختبار باستخدام الإرشادات، فاستخدم أي رؤوس.
- سجل الدخول إلى مدخل Microsoft Azure كمسؤول عام.
- في الجزء الأيسر، حدد User attributes.
- حدد Add لإنشاء سمتين مخصصتين.
- بالنسبة إلى معرف العامل، حدد نوع بيانات السلسلة.
- بالنسبة إلى Agent Geo، حدد String Data Type.
إضافة سمات إلى تدفق المستخدم
- في القائمة اليسرى، انتقل إلى Policies>User flows.
- حدد النهج الخاص بك، على سبيل المثال، B2C_1_SignupSignin.
- حدد User attributes.
- أضف كلا السمتين المخصصتين.
- أضف سمة اسم العرض . يتم تجميع هذه السمات أثناء تسجيل المستخدم.
- اختر مطالبات التطبيق.
- أضف كلا السمتين المخصصتين.
- أضف اسم العرض. تنتقل هذه السمات إلى BIG-IP.
- حدد تشغيل تدفق المستخدم.
- في قائمة تدفق المستخدم، في شريط التنقل الأيسر، تحقق من المطالبات للسمات المحددة.
تعرف على المزيد: البرنامج التعليمي: إنشاء تدفقات المستخدمين والنهج المخصصة في Azure AD B2C
اتحاد Azure للدليل النشط لمتاجرة عمل-مستهلك
توحيد BIG-IP Azure AD B2C للثقة المتبادلة. سجل BIG-IP في مستأجر Azure AD B2C كتطبيق OIDC.
- في المدخل، حدد App registrations>New registration.
- أدخل اسم تطبيق، على سبيل المثال، HeaderApp1.
- من Supported account types، حدد Accounts in any identity provider or organizational directory (for authenticating users with user flows) .
- ضمن Redirect URI، حدد Web.
- أدخل FQDN العام للخدمة المحمية.
- أدخل المسار.
- اترك التحديدات المتبقية.
- اختر تسجيل.
- انتقل إلى Certificates & secrets>+ New client secret.
- أدخل اسما وصفيا
- أدخل TTL للبيانات السرية المستخدمة من قبل BIG-IP.
- لاحظ سر العميل لتكوين BIG-IP.
عنوان URI لإعادة التوجيه هو نقطة نهاية BIG-IP. بعد المصادقة، يرسل خادم التخويل (Azure AD B2C) المستخدمين إلى نقطة النهاية.
تعرف على المزيد: البرنامج التعليمي: تسجيل تطبيق ويب في Azure AD B2C Azure AD B2C.
تكوين BIG-IP
لتكوين BIG-IP، استخدم التكوين الإرشادي v.7/8. تم تصميم إطار عمل سير العمل للوصول إلى طبولوجيا وينجز النشر السريع لخدمة الويب.
إصدار التكوين الإرشادي
- لتأكيد الإصدار، سجل الدخول إلى تكوين ويب BIG-IP باستخدام حساب مسؤول.
- انتقل إلى Access>Guided Configuration.
- يظهر الإصدار في الزاوية العلوية اليمنى.
لترقية التكوين الإرشادي، انتقل إلى my.f5.com K85454683 : ترقية التكوين الإرشادي F5 BIG-IP على نظام BIG-IP.
ملفات تعريف SSL
استخدم BIG-IP الذي تم تكوينه مع ملف تعريف SSL للعميل لتأمين نسبة استخدام الشبكة من جانب العميل عبر TLS. قم باستيراد شهادة تطابق اسم المجال، المستخدم بواسطة عنوان URL العام لتطبيقك. نوصي باستخدام مرجع مصدق عام، ولكن يمكنك استخدام الشهادات الموقعة ذاتيا BIG-IP للاختبار.
لإضافة الشهادات وإدارتها في BIG-IP VE، انتقل إلى techdocs.f5.com لنظام BIG-IP: إدارة SSL.
التكوين الإرشادي
- لتشغيل معالج التوزيع، في تكوين الويب، انتقل إلى Access>Guided Configuration.
- حدد Federation>F5 ك OAuth Client و Resource Server.
- لاحظ ملخص التدفق لهذا السيناريو.
- حدد التالي.
- يبدأ المعالج.
خصائص OAuth
في الأقسام التالية، حدد الخصائص لتمكين الاتحاد بين BIG-IP APM وخادم تخويل OAuth، Azure AD مستأجر B2C. يشار إلى OAuth خلال تكوين BIG-IP. يستخدم الحل OIDC، وهي طبقة هوية على بروتوكول OAuth 2.0. يتحقق عملاء OIDC من هوية المستخدم ويحصلون على معلومات ملف تعريف أخرى.
اسم التهيئة
يساعد اسم عرض التكوين على التمييز بين تكوينات التوزيع في التكوين الإرشادي. لا يمكنك تغيير الاسم، ويظهر فقط في طريقة عرض التكوين الإرشادي.
الوضع
BIG-IP APM هو عميل OIDC، لذلك حدد خيار العميل.
محلل DNS
يجب أن يحل الهدف المحدد عناوين IP العامة لنقاط نهاية Azure AD B2C. حدد محلل DNS عام، أو أنشئ محلل جديد.
إعدادات الموفر
تكوين Azure AD B2C كمعرف OAuth2. يحتوي التكوين الإرشادي على Azure AD قوالب B2C، ولكن ليس نطاقات معينة.
أضف موفرا جديدا وقم بتكوينه:
OAuth الخصائص العامة
الخصائص | الوصف |
---|---|
نوع موفر OAuth | مخصص |
اختر موفر OAuth | إنشاء موفر OAuth جديد أو استخدامه |
الاسم | اسم عرض لمعرف B2C. يظهر هذا الاسم للمستخدمين كخيار موفر عند تسجيل الدخول |
نوع الرمز المميز | رمز JSON على الويب |
إعدادات سياسة OAuth
الخصائص | الوصف |
---|---|
النطاق | اترك فراغاً. تتم إضافة نطاق OpenID لتسجيل دخول المستخدم تلقائيا |
نوع المنحة | التعليمة البرمجية للتخويل |
تمكين الاتصال OpenID | حدد الخيار لوضع عميل APM OAuth في وضع OIDC |
نوع التدفق | التعليمة البرمجية للتخويل |
إعدادات موفر OAuth
يشير OpenID URI التالي إلى نقطة نهاية بيانات التعريف المستخدمة من قبل عملاء OIDC لاكتشاف معلومات IdP مثل تمرير شهادة التوقيع.
- حدد موقع نقطة نهاية بيانات التعريف لمستأجر Azure AD B2C. الانتقال إلىنقاط نهايةتسجيلات> التطبيق.
- انسخ URI لمستند بيانات تعريف Azure AD B2C OpenID Connect. على سبيل المثال،
https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configuration
. - قم بتحديث URI بخصائصك،
https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configuration
. - الصق URI في المستعرض.
- عرض بيانات تعريف OIDC لمستأجر Azure AD B2C.
الخاصية | الوصف |
---|---|
الجمهور | معرف عميل التطبيق الذي يمثل BIG-IP في مستأجر Azure AD B2C |
مصادقة URI | نقطة نهاية التخويل في بياناتك للتعريف OIDC لمتاجرة عمل-مستهلك |
رمز مميز URI | نقطة نهاية الرمز المميز في بياناتك للتعريف Azure للدليل النشط لمتاجرة عمل-مستهلك |
طلب معلومات المستخدم URI | اتركه فارغًا. لا يدعم Azure AD B2C هذه الميزة |
OpenID URI | نقطة نهاية بيانات تعريف OpenID URI التي أنشأتها |
تجاهل التحقق من صحة الشهادة منتهية الصلاحية | ترك دون تحديد |
السماح بشهادة تكوين JWK موقعة ذاتياً | حدد الخيار |
حزمة المرجع المصدَّق الموثوق بها | حدد ca-bundle.crt لاستخدام السلطات الافتراضية الموثوق بها F5 |
الفاصل الزمني للاكتشاف | قم بتوفير فاصل زمني ل BIG-IP للاستعلام عن مستأجر Azure AD B2C للتحديثات. الحد الأدنى للفاصل الزمني في إصدار AGC 16.1 0.0.19، هو 5 دقائق. |
إعدادات خادم OAuth
بالنسبة لخادم تخويل OIDC، كونه مستأجر B2C Azure AD.
الخاصية | الأوصاف |
---|---|
معرف العميل | معرف عميل التطبيق الذي يمثل BIG-IP في مستأجر Azure AD B2C |
سر العميل | سر عميل التطبيق |
ملف تعريف SSL خادم العميل | قم بتعيين ملف تعريف SSL للتأكد من اتصال APM مع Azure AD B2C IdP عبر TLS. حدد serverssl الافتراضية. |
إعدادات طلب OAuth
تطلب BIG-IP Azure AD طلبات B2C في مجموعة الطلبات المكونة مسبقا. ومع ذلك، كانت الطلبات مشوهة، وتفتقد إلى معلمات مهمة. لذلك، أنشأناها يدويا.
طلب الرمز المميز: ممكن
الخاصية | الوصف |
---|---|
اختر طلب OAuth | إنشاء جديد |
أسلوب HTTP | POST |
تمكين الرؤوس | غير محدد |
تمكين المعلمات | محدد |
المعلمة | اسم المعلمة | قيمة المعلمة |
---|---|---|
client_id | client_id | غير متوفر |
نونس | نونس | غير متوفر |
redirect_uri | redirect_uri | غير متوفر |
النطاق | النطاق | غير متوفر |
response_type | response_type | غير متوفر |
client_secret | client_secret | غير متوفر |
مخصص | grant_type | authorization_code |
طلب إعادة توجيه المصادقة: ممكن
الخاصية | الوصف |
---|---|
اختر طلب OAuth | إنشاء جديد |
أسلوب HTTP | GET |
نوع المطالبة | بلا |
تمكين الرؤوس | غير محدد |
تمكين المعلمات | محدد |
المعلمة | اسم المعلمة | قيمة المعلمة |
---|---|---|
client_id | client_id | غير متوفر |
redirect_uri | redirect_uri | غير متوفر |
response_type | response_type | غير متوفر |
النطاق | النطاق | غير متوفر |
نونس | نونس | غير متوفر |
طلب تحديث الرمز المميز: معطل يمكنك تمكين وتكوين حسب الحاجة.
طلب OpenID UserInfo: معطل غير مدعوم في مستأجري Azure AD B2C العموميين.
خصائص الخادم الظاهري
إنشاء خادم ظاهري BIG-IP لاعتراض طلبات العميل الخارجية للخدمة الخلفية المحمية بالوصول المختلط الآمن. قم بتعيين عنوان IP للخادم الظاهري إلى سجل DNS العام لنقطة نهاية خدمة BIG-IP التي تمثل التطبيق. استخدم خادما ظاهريا إذا كان متوفرا، وإلا قم بتوفير الخصائص التالية.
الخاصية | الوصف |
---|---|
عنوان الوجهة | IP الخاص أو العام الذي يصبح نقطة نهاية خدمة BIG-IP للتطبيق الخلفي |
منفذ الخدمة: | HTTPS |
تمكين منفذ إعادة التوجيه | حدد بحيث تتم إعادة توجيه المستخدمين تلقائيا من http إلى https |
إعادة توجيه المنفذ | HTTP |
ملف تعريف SSL للعميل | قم بتبديل ملف التعريف المحدد clientssl مسبقا مع الملف الذي يحتوي على شهادة SSL الخاصة بك. يمكنك الاختبار باستخدام ملف التعريف الافتراضي. ولكن من المحتمل أن يتسبب في تنبيه المستعرض. |
خصائص التجمع
تظهر الخدمات الخلفية في BIG-IP كتجمع، مع خادم تطبيق واحد أو أكثر توجه إليه الخوادم الظاهرية نسبة استخدام الشبكة الواردة المباشرة. حدد تجمعا، وإلا أنشئ تجمعا جديدا.
الخاصية | الوصف |
---|---|
طريقة موازنة التحميل | حدد Round Robin |
خادم تجمع | IP داخلي للتطبيق الخلفي |
منفذ | منفذ الخدمة للتطبيق الخلفي |
ملاحظة
تأكد من أن BIG-IP لديه خط رؤية لعنوان خادم التجمع.
إعدادات SSO
يدعم BIG-IP خيارات تسجيل الدخول الأحادي، ولكن في وضع عميل OAuth يقتصر التكوين الإرشادي على Kerberos أو عناوين HTTP. قم بتمكين تسجيل الدخول الأحادي واستخدم المعلومات التالية ل APM لتعيين السمات الواردة المحددة إلى الرؤوس الصادرة.
الخاصية | الوصف |
---|---|
عملية الرأس | إدراج |
اسم الرأس | الاسم |
قيمة الرأس | %{session.oauth.client.last.id_token.name} |
عملية الرأس | إدراج |
اسم الرأس | معرف العامل |
قيمة الرأس | %{session.oauth.client.last.id_token.extension_AgentGeo} |
ملاحظة
متغيرات جلسة APM بين أقواس متعرجة حساسة لحالة الأحرف. يؤدي إدخال agentid، عند إرسال اسم سمة B2C Azure AD ك AgentID، إلى فشل تعيين السمة. تعريف السمات بأحرف صغيرة. في Azure AD B2C، يطالب تدفق المستخدم المستخدم بمزيد من السمات، باستخدام اسم السمة في المدخل. لذلك، استخدم حالة الجملة بدلا من الأحرف الصغيرة.
خصائص التخصيص
تخصيص لغة ومظهر الشاشات التي يراها المستخدمون في تدفق نهج الوصول إلى APM. تحرير رسائل الشاشة والمطالبات وتغيير تخطيطات الشاشة والألوان والصور وترجمة التسميات التوضيحية والأوصاف والرسائل.
في الحقل النصي رأس النموذج ، استبدل F5 Networks
السلسلة باسم تريده.
خصائص إدارة الجلسة
استخدم إعدادات إدارة جلسة BIG-IP لتحديد الشروط التي تنهي جلسات العمل أو تسمح لها بالمتابعة. تعيين حدود للمستخدمين وعناوين IP وصفحات الخطأ. نوصي بتنفيذ تسجيل الخروج الأحادي (SLO)، والذي ينهي الجلسات بأمان، ما يقلل من مخاطر الوصول غير المصرح به.
توزيع الإعدادات
حدد Deploy لتثبيت الإعدادات وإنشاء الوصول المختلط الآمن لكائنات BIG-IP و APM إلى التطبيق. يظهر التطبيق كمورد هدف في الوصول المشروط. لزيادة الأمان، حظر الوصول المباشر إلى التطبيق، وبالتالي فرض مسار من خلال BIG-IP.
تعرف على المزيد: حماية الهوية والوصول المشروط Azure AD B2C
اختبار تدفق تسجيل الدخول
- كمستخدم، انتقل إلى عنوان URL الخارجي للتطبيق.
- تظهر صفحة تسجيل الدخول إلى عميل OAuth الخاصة ب BIG-IP.
- سجل الدخول باستخدام منحة رمز التخويل. لإزالة هذه الخطوة، راجع قسم التكوينات التكميلية .
- قم بالتسجيل والمصادقة مقابل مستأجر B2C Azure AD.
الصور التالية هي مربع حوار تسجيل دخول المستخدم وصفحة ترحيب تسجيل الدخول.
لزيادة الأمان، حظر الوصول المباشر إلى التطبيق، وبالتالي فرض مسار من خلال BIG-IP.
التكوينات التكميلية
تسجيل الخروج الأحادي (SLO)
يدعم Azure AD B2C موفر الهوية (IdP) وتسجيل الخروج من التطبيق. انظر، تسجيل الخروج الأحادي.
لتحقيق SLO، قم بتمكين وظيفة تسجيل الخروج للتطبيق لاستدعاء نقطة نهاية تسجيل الخروج Azure AD B2C. بعد ذلك، يصدر Azure AD B2C إعادة توجيه نهائية إلى BIG-IP. يضمن هذا الإجراء إنهاء جلسة APM لتطبيق المستخدم.
عملية SLO بديلة هي تمكين BIG-IP من الاستماع للطلب، عند تحديد زر تسجيل الخروج للتطبيقات. عند الكشف عن الطلب، فإنه يستدعي إلى نقطة نهاية تسجيل الخروج Azure AD B2C. يمنع هذا النهج إجراء تغييرات على التطبيق.
لمعرفة المزيد من BIG-IP iRules، انتقل إلى support.f5.com K42052145: تكوين إنهاء الجلسة التلقائي (تسجيل الخروج) استنادا إلى اسم ملف مرجعه URI.
ملاحظة
بغض النظر عن النهج، تأكد من أن مستأجر B2C Azure AD يعرف نقطة نهاية تسجيل الخروج من APM.
- في المدخل، انتقل إلى إدارة>البيان.
- حدد موقع الخاصية
logoutUrl
. يقرأ خاليا. - أضف عنوان URI لتسجيل الخروج بعد APM:
https://<mysite.com>/my.logout.php3
ملاحظة
<mysite.com>
هو BIG-IP FQDN لتطبيقك المستند إلى العنوان.
تدفق تسجيل الدخول الأمثل
لتحسين تجربة تسجيل دخول المستخدم، قم بقمع مطالبة تسجيل دخول مستخدم OAuth التي تظهر قبل Microsoft Entra المصادقة المسبقة.
انتقل إلى Access>Guided Configuration.
في أقصى يمين الصف، حدد أيقونة القفل .
يفتح التطبيق المستند إلى العنوان التكوين الصارم.
يؤدي إلغاء تأمين التكوين الصارم إلى منع التغييرات باستخدام واجهة مستخدم المعالج. ترتبط كائنات BIG-IP بالمثيل المنشور للتطبيق، وهي مفتوحة للإدارة المباشرة.
انتقل إلى Access>Profiles/ Policies>Access Profiles (النهج لكل جلسة).
بالنسبة لكائن نهج التطبيق، في العمود نهج لكل جلسة عمل، حدد تحرير.
لحذف كائن نهج صفحة تسجيل الدخول إلى OAuth ، حدد X.
في المطالبة، اتصل بالعقدة السابقة.
في الزاوية العلوية اليمنى، حدد تطبيق نهج الوصول.
أغلق علامة تبويب محرر المرئيات.
عند محاولة الاتصال بالتطبيق، تظهر صفحة تسجيل الدخول Azure AD B2C.
ملاحظة
إذا قمت بإعادة تمكين الوضع الصارم ونشر تكوين، فستتم الكتابة فوق الإعدادات التي يتم إجراؤها خارج واجهة مستخدم التكوين الإرشادي. تنفيذ هذا السيناريو عن طريق إنشاء كائنات التكوين يدويا لخدمات الإنتاج.
استكشاف الأخطاء وإصلاحها
استخدم إرشادات استكشاف الأخطاء وإصلاحها التالية إذا تم منع الوصول إلى التطبيق المحمي.
إسهاب السجل
تحتوي سجلات BIG-IP على معلومات لعزل المصادقة ومشكلات تسجيل الدخول الأحادي. زيادة مستوى إسهاب السجل.
- انتقل إلى سياسة الوصول>نظرة عامة>سجلات الأحداث>الإعدادات.
- حدد الصف لتطبيقك المنشور ثم حرّر>سجلات نظام الوصول.
- من قائمة SSO، حدد Debug.
- حدد "OK".
- قبل مراجعة السجلات، أعد إنتاج المشكلة.
عند الانتهاء، قم بإعادة الإعدادات السابقة.
رسالة خطأ BIG-IP
إذا رأيت رسالة خطأ BIG-IP بعد Azure AD مصادقة B2C، فقد تتعلق المشكلة ب SSO من معرف Microsoft Entra إلى BIG-IP.
- انتقل إلى تقارير الوصول>نظرة عامة>علىالوصول .
- تشغيل التقرير للساعة الأخيرة
- راجع السجلات بحثا عن أدلة.
- حدد الارتباط View session variables .
- حدد ما إذا كانت APM تتلقى المطالبات Microsoft Entra المتوقعة.
لا توجد رسالة خطأ BIG-IP
إذا لم تظهر رسالة خطأ BIG-IP، فقد تكون المشكلة مرتبطة بطلب النهاية الخلفية، أو SSO من BIG-IP إلى التطبيق.
- انتقل إلى سياسة الوصول>نظرة عامة>جلسات النشاط.
- حدد الارتباط للجلسة النشطة.
- حدد الارتباط View Variables .
- راجع لتحديد السبب الجذري، خاصة إذا كان BIG-IP APM يحصل على سمات جلسة عمل غير دقيقة.
- استخدم سجلات التطبيق للمساعدة في فهم ما إذا كان قد تلقى السمات كعناوين.
مشكلة معروفة في التكوين الإرشادي v8
إذا كنت تستخدم Guided Configuration v8، فإن مشكلة معروفة تنشئ الخطأ التالي بعد نجاح مصادقة B2C Azure AD. قد تكون المشكلة هي عدم تمكين AGC لإعداد JWT التلقائي أثناء التوزيع. لا يمكن ل APM الحصول على مفاتيح توقيع الرمز المميز الحالية. تعمل هندسة F5 على التحقيق في السبب الجذري.
يوفر نفس سجل الوصول التفاصيل.
تمكين الإعداد يدويا
- انتقل إلى Access>Guided Configuration.
- في أقصى يمين الصف للتطبيق المستند إلى الرأس، حدد القفل.
- انتقل إلى Access>Federation>OAuth Client/Resource Server>Providers.
- حدد الموفر لتكوين Azure للدليل النشط لمتاجرة عمل-مستهلك.
- حدد المربع استخدام JWT التلقائي .
- حدد اكتشاف.
- حدد حفظ.
- يحتوي حقل المفتاح (JWT) على معرف مفتاح شهادة توقيع الرمز المميز (KID) من بيانات تعريف OpenID URI.
- في الزاوية العلوية اليمنى، حدد تطبيق نهج الوصول.
- حدد Apply.
لمزيد من المعلومات، انتقل إلى techdocs.f5.com لعميل OAuth ونصائح استكشاف الأخطاء وإصلاحها لخادم الموارد