البرنامج التعليمي: تمكين الوصول المختلط الآمن للتطبيقات باستخدام Azure Active Directory B2C وF5 BIG-IP

  • مقالة

تعلم كيفية تكامل Azure Active Directory B2C (Azure AD B2C) مع F5 BIG-IP Access Policy Manager (APM). يمكنك عرض التطبيقات القديمة بأمان على الإنترنت من خلال أمان BIG-IP، مع المصادقة المسبقة ل B2C Azure AD والوصول المشروط (CA) وتسجيل الدخول الأحادي (SSO). تركز F5 Inc. على تسليم الخدمات المتصلة وأمانها وأدائها وتوافرها، بما في ذلك الحوسبة والتخزين وموارد الشبكة. وتوفر الأجهزة والبرامج النمطية وحلول الأجهزة الظاهرية الجاهزة للسحابة.

توزيع وحدة تحكم تسليم التطبيقات F5 BIG-IP (ADC) كبوابة آمنة بين الشبكات الخاصة والإنترنت. هناك ميزات للفحص على مستوى التطبيق وعناصر التحكم في الوصول القابلة للتخصيص. إذا تم توزيعه كوكيل عكسي، فاستخدم BIG-IP لتمكين الوصول المختلط الآمن إلى تطبيقات الأعمال، مع طبقة وصول هوية موحدة تديرها APM.

انتقل إلى f5.com الموارد والأوراق التقنية من أجل: تكوين الوصول الآمن بسهولة إلى جميع تطبيقاتك عبر معرف Microsoft Entra

المتطلبات الأساسية

لبدء الاستخدام، تحتاج إلى ما يلي:

  • اشتراك Azure
  • مستأجر متاجرة عمل-مستهلك Azure AD مرتبط باشتراك Azure
  • BIG-IP أو بيئة BIG-IP الظاهرية (VE) تجريبية منشورة على Azure
  • أي من تراخيص F5 BIG-IP التالية:
    • F5 BIG-IP® أفضل مجموعة
    • مدير نهج وصول F5 BIG-IP ذو ترخيص مستقل
    • ترخيص الوظيفة الإضافية ل F5 BIG-IP Access Policy Manager™ على BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 يوماً BIG-IP ميزة كاملة ترخيص تجريبي
  • تطبيق ويب يستند إلى العنوان أو تطبيق IIS للاختبار
  • شهادة SSL لنشر الخدمات عبر HTTPS، أو استخدام الافتراضي أثناء الاختبار

وصف السيناريو

يعتمد السيناريو التالي على العنوان، ولكن يمكنك استخدام هذه الطرق لتحقيق Kerberos SSO.

بالنسبة لهذا السيناريو، يعتمد الوصول إلى تطبيق داخلي على تلقي عناوين تخويل HTTP من نظام وسيط قديم. يمكن توجيه وكلاء المبيعات إلى مجالات المحتوى المعنية. يجب توسيع الخدمة إلى قاعدة مستهلكين أوسع. تتم ترقية التطبيق لخيارات مصادقة المستهلك، أو يتم استبداله.

من الناحية المثالية، تدعم ترقية التطبيق الإدارة المباشرة والحوكمة باستخدام وحدة تحكم حديثة. ومع ذلك، فإن الوقت والجهد المبذولين للتحديث يقدمان التكاليف ووقت التعطل المحتمل. بدلا من ذلك، قم بتوزيع BIG-IP Virtual Edition (VE) بين الإنترنت العام وشبكة Azure الظاهرية الداخلية (VNet) لبوابة الوصول باستخدام Azure AD B2C. يتيح BIG-IP أمام التطبيق تراكب الخدمة مع المصادقة المسبقة Azure AD B2C وتسجيل الدخول الأحادي المستند إلى العنوان، ما يحسن وضع أمان التطبيق.

يحتوي حل الوصول المختلط الآمن على المكونات التالية:

  • التطبيق - خدمة خلفية محمية بواسطة الوصول المختلط الآمن Azure AD B2C وBIG-IP
  • Azure AD B2C - موفر الهوية (IdP) وخادم تخويل OpenID Connect (OIDC) الذي يتحقق من بيانات اعتماد المستخدم والمصادقة متعددة العوامل وتسجيل الدخول الأحادي إلى BIG-IP APM
  • BIG-IP - وكيل عكسي للتطبيق. BIG-IP APM هو عميل OIDC، وتفويض المصادقة إلى خادم تخويل OIDC، قبل تسجيل الدخول الأحادي المستند إلى العنوان إلى الخدمة الخلفية.

يوضح الرسم التخطيطي التالي التدفق الذي بدأه موفر الخدمة (SP) لهذا السيناريو.

لقطة شاشة للتدفق الذي بدأه موفر الخدمة.

  1. يتصل المستخدم بنقطة نهاية التطبيق. BIG-IP هو موفر الخدمة.
  2. يقوم عميل BIG-IP APM OIDC بإعادة توجيه المستخدم إلى نقطة نهاية مستأجر B2C Azure AD، خادم تخويل OIDC
  3. Azure AD مستأجر B2C يصادق المستخدم مسبقا ويطبق نهج الوصول المشروط
  4. Azure للدليل النشط لمتاجرة عمل-مستهلك يعيد توجيه المستخدم مرة أخرى إلى SP مع رمز التخويل
  5. عميل OIDC يطلب من خادم التخويل تبادل رمز التخويل لرمز مميز معرف
  6. منح APM IP BIG وصول المستخدم وحقن رؤوس HTTP في طلب العميل الذي أُعيد توجيهه إلى التطبيق

تكوين Azure AD B2C

لتمكين BIG-IP مع مصادقة B2C Azure AD، استخدم مستأجر B2C Azure AD مع تدفق مستخدم أو نهج مخصص.

راجع البرنامج التعليمي: إنشاء تدفقات المستخدمين والنهج المخصصة في Azure AD B2C

إنشاء سمات مخصصة

احصل على سمات مخصصة من كائنات مستخدم B2C Azure AD أو IdPs الموحدة أو موصلات واجهة برمجة التطبيقات أو تسجيل المستخدم. قم بتضمين السمات في الرمز المميز الذي ينتقل إلى التطبيق.

تتوقع التطبيقات القديمة سمات محددة، لذا قم بتضمينها في تدفق المستخدم الخاص بك. يمكنك استبدالها بالسمات التي يتطلبها تطبيقك. أو إذا كنت تقوم بإعداد تطبيق اختبار باستخدام الإرشادات، فاستخدم أي رؤوس.

  1. سجل الدخول إلى مدخل Microsoft Azure كمسؤول عام.
  2. في الجزء الأيسر، حدد User attributes.
  3. حدد Add لإنشاء سمتين مخصصتين.
  4. بالنسبة إلى معرف العامل، حدد نوع بيانات السلسلة.
  5. بالنسبة إلى Agent Geo، حدد String Data Type.

إضافة سمات إلى تدفق المستخدم

  1. في القائمة اليسرى، انتقل إلى Policies>User flows.
  2. حدد النهج الخاص بك، على سبيل المثال، B2C_1_SignupSignin.
  3. حدد User attributes.
  4. أضف كلا السمتين المخصصتين.
  5. أضف سمة اسم العرض . يتم تجميع هذه السمات أثناء تسجيل المستخدم.
  6. اختر مطالبات التطبيق.
  7. أضف كلا السمتين المخصصتين.
  8. أضف اسم العرض. تنتقل هذه السمات إلى BIG-IP.
  9. حدد تشغيل تدفق المستخدم.
  10. في قائمة تدفق المستخدم، في شريط التنقل الأيسر، تحقق من المطالبات للسمات المحددة.

تعرف على المزيد: البرنامج التعليمي: إنشاء تدفقات المستخدمين والنهج المخصصة في Azure AD B2C

اتحاد Azure للدليل النشط لمتاجرة عمل-مستهلك

توحيد BIG-IP Azure AD B2C للثقة المتبادلة. سجل BIG-IP في مستأجر Azure AD B2C كتطبيق OIDC.

  1. في المدخل، حدد App registrations>New registration.
  2. أدخل اسم تطبيق، على سبيل المثال، HeaderApp1.
  3. من Supported account types، حدد Accounts in any identity provider or organizational directory (for authenticating users with user flows) .
  4. ضمن Redirect URI، حدد Web.
  5. أدخل FQDN العام للخدمة المحمية.
  6. أدخل المسار.
  7. اترك التحديدات المتبقية.
  8. اختر ⁧تسجيل⁧.
  9. انتقل إلى Certificates & secrets>+ New client secret.
  10. أدخل اسما وصفيا
  11. أدخل TTL للبيانات السرية المستخدمة من قبل BIG-IP.
  12. لاحظ سر العميل لتكوين BIG-IP.

عنوان URI لإعادة التوجيه هو نقطة نهاية BIG-IP. بعد المصادقة، يرسل خادم التخويل (Azure AD B2C) المستخدمين إلى نقطة النهاية.

تعرف على المزيد: البرنامج التعليمي: تسجيل تطبيق ويب في Azure AD B2C Azure AD B2C.

تكوين BIG-IP

لتكوين BIG-IP، استخدم التكوين الإرشادي v.7/8. تم تصميم إطار عمل سير العمل للوصول إلى طبولوجيا وينجز النشر السريع لخدمة الويب.

إصدار التكوين الإرشادي

  1. لتأكيد الإصدار، سجل الدخول إلى تكوين ويب BIG-IP باستخدام حساب مسؤول.
  2. انتقل إلى Access>Guided Configuration.
  3. يظهر الإصدار في الزاوية العلوية اليمنى.

لترقية التكوين الإرشادي، انتقل إلى my.f5.com K85454683 : ترقية التكوين الإرشادي F5 BIG-IP على نظام BIG-IP.

ملفات تعريف SSL

استخدم BIG-IP الذي تم تكوينه مع ملف تعريف SSL للعميل لتأمين نسبة استخدام الشبكة من جانب العميل عبر TLS. قم باستيراد شهادة تطابق اسم المجال، المستخدم بواسطة عنوان URL العام لتطبيقك. نوصي باستخدام مرجع مصدق عام، ولكن يمكنك استخدام الشهادات الموقعة ذاتيا BIG-IP للاختبار.

لإضافة الشهادات وإدارتها في BIG-IP VE، انتقل إلى techdocs.f5.com لنظام BIG-IP: إدارة SSL.

التكوين الإرشادي

  1. لتشغيل معالج التوزيع، في تكوين الويب، انتقل إلى Access>Guided Configuration.
  2. حدد Federation>F5 ك OAuth Client و Resource Server.
  3. لاحظ ملخص التدفق لهذا السيناريو.
  4. حدد ⁧⁩التالي⁧⁩.
  5. يبدأ المعالج.

خصائص OAuth

في الأقسام التالية، حدد الخصائص لتمكين الاتحاد بين BIG-IP APM وخادم تخويل OAuth، Azure AD مستأجر B2C. يشار إلى OAuth خلال تكوين BIG-IP. يستخدم الحل OIDC، وهي طبقة هوية على بروتوكول OAuth 2.0. يتحقق عملاء OIDC من هوية المستخدم ويحصلون على معلومات ملف تعريف أخرى.

اسم التهيئة

يساعد اسم عرض التكوين على التمييز بين تكوينات التوزيع في التكوين الإرشادي. لا يمكنك تغيير الاسم، ويظهر فقط في طريقة عرض التكوين الإرشادي.

الوضع

BIG-IP APM هو عميل OIDC، لذلك حدد خيار العميل.

محلل DNS

يجب أن يحل الهدف المحدد عناوين IP العامة لنقاط نهاية Azure AD B2C. حدد محلل DNS عام، أو أنشئ محلل جديد.

إعدادات الموفر

تكوين Azure AD B2C كمعرف OAuth2. يحتوي التكوين الإرشادي على Azure AD قوالب B2C، ولكن ليس نطاقات معينة.

أضف موفرا جديدا وقم بتكوينه:

OAuth الخصائص العامة

الخصائص الوصف
نوع موفر OAuth مخصص
اختر موفر OAuth إنشاء موفر OAuth جديد أو استخدامه
الاسم اسم عرض لمعرف B2C. يظهر هذا الاسم للمستخدمين كخيار موفر عند تسجيل الدخول
نوع الرمز المميز رمز JSON على الويب

إعدادات سياسة OAuth

الخصائص الوصف
النطاق اترك فراغاً. تتم إضافة نطاق OpenID لتسجيل دخول المستخدم تلقائيا
نوع المنحة التعليمة البرمجية للتخويل
تمكين الاتصال OpenID حدد الخيار لوضع عميل APM OAuth في وضع OIDC
نوع التدفق التعليمة البرمجية للتخويل

إعدادات موفر OAuth

يشير OpenID URI التالي إلى نقطة نهاية بيانات التعريف المستخدمة من قبل عملاء OIDC لاكتشاف معلومات IdP مثل تمرير شهادة التوقيع.

  1. حدد موقع نقطة نهاية بيانات التعريف لمستأجر Azure AD B2C. الانتقال إلىنقاط نهايةتسجيلات> التطبيق.
  2. انسخ URI لمستند بيانات تعريف Azure AD B2C OpenID Connect. على سبيل المثال، ⁧https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configuration⁩.
  3. قم بتحديث URI بخصائصك، https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configuration.
  4. الصق URI في المستعرض.
  5. عرض بيانات تعريف OIDC لمستأجر Azure AD B2C.
الخاصية الوصف
الجمهور معرف عميل التطبيق الذي يمثل BIG-IP في مستأجر Azure AD B2C
مصادقة URI نقطة نهاية التخويل في بياناتك للتعريف OIDC لمتاجرة عمل-مستهلك
رمز مميز URI نقطة نهاية الرمز المميز في بياناتك للتعريف Azure للدليل النشط لمتاجرة عمل-مستهلك
طلب معلومات المستخدم URI اتركه فارغًا. لا يدعم Azure AD B2C هذه الميزة
OpenID URI نقطة نهاية بيانات تعريف OpenID URI التي أنشأتها
تجاهل التحقق من صحة الشهادة منتهية الصلاحية ترك دون تحديد
السماح بشهادة تكوين JWK موقعة ذاتياً حدد الخيار
حزمة المرجع المصدَّق الموثوق بها حدد ca-bundle.crt لاستخدام السلطات الافتراضية الموثوق بها F5
الفاصل الزمني للاكتشاف قم بتوفير فاصل زمني ل BIG-IP للاستعلام عن مستأجر Azure AD B2C للتحديثات. الحد الأدنى للفاصل الزمني في إصدار AGC 16.1 0.0.19، هو 5 دقائق.

إعدادات خادم OAuth

بالنسبة لخادم تخويل OIDC، كونه مستأجر B2C Azure AD.

الخاصية الأوصاف
معرف العميل معرف عميل التطبيق الذي يمثل BIG-IP في مستأجر Azure AD B2C
سر العميل سر عميل التطبيق
ملف تعريف SSL خادم العميل قم بتعيين ملف تعريف SSL للتأكد من اتصال APM مع Azure AD B2C IdP عبر TLS. حدد serverssl الافتراضية.

إعدادات طلب OAuth

تطلب BIG-IP Azure AD طلبات B2C في مجموعة الطلبات المكونة مسبقا. ومع ذلك، كانت الطلبات مشوهة، وتفتقد إلى معلمات مهمة. لذلك، أنشأناها يدويا.

طلب الرمز المميز: ممكن

الخاصية الوصف
اختر طلب OAuth إنشاء جديد
أسلوب HTTP POST
تمكين الرؤوس غير محدد
تمكين المعلمات محدد
المعلمة اسم المعلمة قيمة المعلمة
client_id client_id غير متوفر
نونس نونس غير متوفر
redirect_uri redirect_uri غير متوفر
النطاق النطاق غير متوفر
response_type response_type غير متوفر
client_secret client_secret غير متوفر
مخصص grant_type authorization_code

طلب إعادة توجيه المصادقة: ممكن

الخاصية الوصف
اختر طلب OAuth إنشاء جديد
أسلوب HTTP GET
نوع المطالبة بلا
تمكين الرؤوس غير محدد
تمكين المعلمات محدد
المعلمة اسم المعلمة قيمة المعلمة
client_id client_id غير متوفر
redirect_uri redirect_uri غير متوفر
response_type response_type غير متوفر
النطاق النطاق غير متوفر
نونس نونس غير متوفر

طلب تحديث الرمز المميز: معطل يمكنك تمكين وتكوين حسب الحاجة.

طلب OpenID UserInfo: معطل غير مدعوم في مستأجري Azure AD B2C العموميين.

خصائص الخادم الظاهري

إنشاء خادم ظاهري BIG-IP لاعتراض طلبات العميل الخارجية للخدمة الخلفية المحمية بالوصول المختلط الآمن. قم بتعيين عنوان IP للخادم الظاهري إلى سجل DNS العام لنقطة نهاية خدمة BIG-IP التي تمثل التطبيق. استخدم خادما ظاهريا إذا كان متوفرا، وإلا قم بتوفير الخصائص التالية.

الخاصية الوصف
عنوان الوجهة IP الخاص أو العام الذي يصبح نقطة نهاية خدمة BIG-IP للتطبيق الخلفي
منفذ الخدمة: HTTPS
تمكين منفذ إعادة التوجيه حدد بحيث تتم إعادة توجيه المستخدمين تلقائيا من http إلى https
إعادة توجيه المنفذ HTTP
ملف تعريف SSL للعميل قم بتبديل ملف التعريف المحدد clientssl مسبقا مع الملف الذي يحتوي على شهادة SSL الخاصة بك. يمكنك الاختبار باستخدام ملف التعريف الافتراضي. ولكن من المحتمل أن يتسبب في تنبيه المستعرض.

خصائص التجمع

تظهر الخدمات الخلفية في BIG-IP كتجمع، مع خادم تطبيق واحد أو أكثر توجه إليه الخوادم الظاهرية نسبة استخدام الشبكة الواردة المباشرة. حدد تجمعا، وإلا أنشئ تجمعا جديدا.

الخاصية الوصف
طريقة موازنة التحميل حدد Round Robin
خادم تجمع IP داخلي للتطبيق الخلفي
منفذ منفذ الخدمة للتطبيق الخلفي

ملاحظة

تأكد من أن BIG-IP لديه خط رؤية لعنوان خادم التجمع.

⁩إعدادات SSO⁧

يدعم BIG-IP خيارات تسجيل الدخول الأحادي، ولكن في وضع عميل OAuth يقتصر التكوين الإرشادي على Kerberos أو عناوين HTTP. قم بتمكين تسجيل الدخول الأحادي واستخدم المعلومات التالية ل APM لتعيين السمات الواردة المحددة إلى الرؤوس الصادرة.

الخاصية الوصف
عملية الرأس إدراج
اسم الرأس الاسم
قيمة الرأس %{session.oauth.client.last.id_token.name}
عملية الرأس إدراج
اسم الرأس معرف العامل
قيمة الرأس %{session.oauth.client.last.id_token.extension_AgentGeo}

ملاحظة

متغيرات جلسة APM بين أقواس متعرجة حساسة لحالة الأحرف. يؤدي إدخال agentid، عند إرسال اسم سمة B2C Azure AD ك AgentID، إلى فشل تعيين السمة. تعريف السمات بأحرف صغيرة. في Azure AD B2C، يطالب تدفق المستخدم المستخدم بمزيد من السمات، باستخدام اسم السمة في المدخل. لذلك، استخدم حالة الجملة بدلا من الأحرف الصغيرة.

لقطة شاشة لإعدادات تسجيل الدخول الأحادي، بما في ذلك النوع والرؤوس.

خصائص التخصيص

تخصيص لغة ومظهر الشاشات التي يراها المستخدمون في تدفق نهج الوصول إلى APM. تحرير رسائل الشاشة والمطالبات وتغيير تخطيطات الشاشة والألوان والصور وترجمة التسميات التوضيحية والأوصاف والرسائل.

في الحقل النصي رأس النموذج ، استبدل F5 Networks السلسلة باسم تريده.

خصائص إدارة الجلسة

استخدم إعدادات إدارة جلسة BIG-IP لتحديد الشروط التي تنهي جلسات العمل أو تسمح لها بالمتابعة. تعيين حدود للمستخدمين وعناوين IP وصفحات الخطأ. نوصي بتنفيذ تسجيل الخروج الأحادي (SLO)، والذي ينهي الجلسات بأمان، ما يقلل من مخاطر الوصول غير المصرح به.

توزيع الإعدادات

حدد Deploy لتثبيت الإعدادات وإنشاء الوصول المختلط الآمن لكائنات BIG-IP و APM إلى التطبيق. يظهر التطبيق كمورد هدف في الوصول المشروط. لزيادة الأمان، حظر الوصول المباشر إلى التطبيق، وبالتالي فرض مسار من خلال BIG-IP.

تعرف على المزيد: حماية الهوية والوصول المشروط Azure AD B2C

اختبار تدفق تسجيل الدخول

  1. كمستخدم، انتقل إلى عنوان URL الخارجي للتطبيق.
  2. تظهر صفحة تسجيل الدخول إلى عميل OAuth الخاصة ب BIG-IP.
  3. سجل الدخول باستخدام منحة رمز التخويل. لإزالة هذه الخطوة، راجع قسم التكوينات التكميلية .
  4. قم بالتسجيل والمصادقة مقابل مستأجر B2C Azure AD.

الصور التالية هي مربع حوار تسجيل دخول المستخدم وصفحة ترحيب تسجيل الدخول.

لقطة شاشة لمربع حوار تسجيل دخول المستخدم.

لقطة شاشة لصفحة الترحيب بتسجيل الدخول.

لزيادة الأمان، حظر الوصول المباشر إلى التطبيق، وبالتالي فرض مسار من خلال BIG-IP.

التكوينات التكميلية

تسجيل الخروج الأحادي (SLO)

يدعم Azure AD B2C موفر الهوية (IdP) وتسجيل الخروج من التطبيق. انظر، تسجيل الخروج الأحادي.

لتحقيق SLO، قم بتمكين وظيفة تسجيل الخروج للتطبيق لاستدعاء نقطة نهاية تسجيل الخروج Azure AD B2C. بعد ذلك، يصدر Azure AD B2C إعادة توجيه نهائية إلى BIG-IP. يضمن هذا الإجراء إنهاء جلسة APM لتطبيق المستخدم.

عملية SLO بديلة هي تمكين BIG-IP من الاستماع للطلب، عند تحديد زر تسجيل الخروج للتطبيقات. عند الكشف عن الطلب، فإنه يستدعي إلى نقطة نهاية تسجيل الخروج Azure AD B2C. يمنع هذا النهج إجراء تغييرات على التطبيق.

لمعرفة المزيد من BIG-IP iRules، انتقل إلى support.f5.com K42052145: تكوين إنهاء الجلسة التلقائي (تسجيل الخروج) استنادا إلى اسم ملف مرجعه URI.

ملاحظة

بغض النظر عن النهج، تأكد من أن مستأجر B2C Azure AD يعرف نقطة نهاية تسجيل الخروج من APM.

  1. في المدخل، انتقل إلى إدارة>البيان.
  2. حدد موقع الخاصية logoutUrl . يقرأ خاليا.
  3. أضف عنوان URI لتسجيل الخروج بعد APM: https://<mysite.com>/my.logout.php3

ملاحظة

<mysite.com> هو BIG-IP FQDN لتطبيقك المستند إلى العنوان.

تدفق تسجيل الدخول الأمثل

لتحسين تجربة تسجيل دخول المستخدم، قم بقمع مطالبة تسجيل دخول مستخدم OAuth التي تظهر قبل Microsoft Entra المصادقة المسبقة.

  1. انتقل إلى Access>Guided Configuration.

  2. في أقصى يمين الصف، حدد أيقونة القفل .

  3. يفتح التطبيق المستند إلى العنوان التكوين الصارم.

    لقطة شاشة لإدخال الحالة والاسم والنوع؛ أيقونة القفل أيضا.

يؤدي إلغاء تأمين التكوين الصارم إلى منع التغييرات باستخدام واجهة مستخدم المعالج. ترتبط كائنات BIG-IP بالمثيل المنشور للتطبيق، وهي مفتوحة للإدارة المباشرة.

  1. انتقل إلى Access>Profiles/ Policies>Access Profiles (النهج لكل جلسة).

  2. بالنسبة لكائن نهج التطبيق، في العمود نهج لكل جلسة عمل، حدد تحرير.

    لقطة شاشة لخيار

  3. لحذف كائن نهج صفحة تسجيل الدخول إلى OAuth ، حدد X.

  4. في المطالبة، اتصل بالعقدة السابقة.

    لقطة شاشة لخيار X على كائن نهج صفحة تسجيل الدخول إلى OAuth.

  5. في الزاوية العلوية اليمنى، حدد تطبيق نهج الوصول.

  6. أغلق علامة تبويب محرر المرئيات.

عند محاولة الاتصال بالتطبيق، تظهر صفحة تسجيل الدخول Azure AD B2C.

ملاحظة

إذا قمت بإعادة تمكين الوضع الصارم ونشر تكوين، فستتم الكتابة فوق الإعدادات التي يتم إجراؤها خارج واجهة مستخدم التكوين الإرشادي. تنفيذ هذا السيناريو عن طريق إنشاء كائنات التكوين يدويا لخدمات الإنتاج.

استكشاف الأخطاء وإصلاحها

استخدم إرشادات استكشاف الأخطاء وإصلاحها التالية إذا تم منع الوصول إلى التطبيق المحمي.

إسهاب السجل

تحتوي سجلات BIG-IP على معلومات لعزل المصادقة ومشكلات تسجيل الدخول الأحادي. زيادة مستوى إسهاب السجل.

  1. انتقل إلى سياسة الوصول>نظرة عامة>سجلات الأحداث>الإعدادات.
  2. حدد الصف لتطبيقك المنشور ثم حرّر>سجلات نظام الوصول.
  3. من قائمة SSO، حدد Debug.
  4. حدد "OK".
  5. قبل مراجعة السجلات، أعد إنتاج المشكلة.

عند الانتهاء، قم بإعادة الإعدادات السابقة.

رسالة خطأ BIG-IP

إذا رأيت رسالة خطأ BIG-IP بعد Azure AD مصادقة B2C، فقد تتعلق المشكلة ب SSO من معرف Microsoft Entra إلى BIG-IP.

  1. انتقل إلى تقارير الوصول>نظرة عامة>علىالوصول .
  2. تشغيل التقرير للساعة الأخيرة
  3. راجع السجلات بحثا عن أدلة.
  4. حدد الارتباط View session variables .
  5. حدد ما إذا كانت APM تتلقى المطالبات Microsoft Entra المتوقعة.

لا توجد رسالة خطأ BIG-IP

إذا لم تظهر رسالة خطأ BIG-IP، فقد تكون المشكلة مرتبطة بطلب النهاية الخلفية، أو SSO من BIG-IP إلى التطبيق.

  1. انتقل إلى سياسة الوصول>نظرة عامة>جلسات النشاط.
  2. حدد الارتباط للجلسة النشطة.
  3. حدد الارتباط View Variables .
  4. راجع لتحديد السبب الجذري، خاصة إذا كان BIG-IP APM يحصل على سمات جلسة عمل غير دقيقة.
  5. استخدم سجلات التطبيق للمساعدة في فهم ما إذا كان قد تلقى السمات كعناوين.

مشكلة معروفة في التكوين الإرشادي v8

إذا كنت تستخدم Guided Configuration v8، فإن مشكلة معروفة تنشئ الخطأ التالي بعد نجاح مصادقة B2C Azure AD. قد تكون المشكلة هي عدم تمكين AGC لإعداد JWT التلقائي أثناء التوزيع. لا يمكن ل APM الحصول على مفاتيح توقيع الرمز المميز الحالية. تعمل هندسة F5 على التحقيق في السبب الجذري.

لقطة شاشة لرسالة الخطأ التي تم رفض الوصول إليها.

يوفر نفس سجل الوصول التفاصيل.

لقطة شاشة توضح تفاصيل رسالة السجل.

تمكين الإعداد يدويا

  1. انتقل إلى Access>Guided Configuration.
  2. في أقصى يمين الصف للتطبيق المستند إلى الرأس، حدد القفل.
  3. انتقل إلى Access>Federation>OAuth Client/Resource Server>Providers.
  4. حدد الموفر لتكوين Azure للدليل النشط لمتاجرة عمل-مستهلك.
  5. حدد المربع استخدام JWT التلقائي .
  6. حدد اكتشاف.
  7. حدد ⁧⁩حفظ⁧⁩.
  8. يحتوي حقل المفتاح (JWT) على معرف مفتاح شهادة توقيع الرمز المميز (KID) من بيانات تعريف OpenID URI.
  9. في الزاوية العلوية اليمنى، حدد تطبيق نهج الوصول.
  10. حدد ⁧⁩Apply⁧⁩.

لمزيد من المعلومات، انتقل إلى techdocs.f5.com لعميل OAuth ونصائح استكشاف الأخطاء وإصلاحها لخادم الموارد