Kurz: Konfigurace snadného tlačítka F5 BIG-IP pro jednotné přihlašování k Oracle EBS

V tomto článku se dozvíte, jak zabezpečit Oracle Enterprise Business Suite (EBS) pomocí Azure Active Directory (Azure AD) prostřednictvím konfigurace F5 s průvodcem big-IP Easy Button.

Integrace VELKÉ IP adresy se službou Azure AD nabízí řadu výhod, mezi které patří:

Další informace o všech výhodách najdete v článku o integraci F5 BIG-IP a Azure AD a o tom, co je přístup k aplikacím a jednotné přihlašování pomocí Azure AD.

Popis scénáře

Tento scénář se zabývá klasickou aplikací Oracle EBS , která ke správě přístupu k chráněnému obsahu používá hlavičky autorizace HTTP .

Starší verze aplikace nemá moderní protokoly pro podporu přímé integrace se službou Azure AD. Aplikace je možné modernizovat, ale je nákladná, vyžaduje pečlivé plánování a představuje riziko potenciálních výpadků. Místo toho se F5 BIG-IP Application Delivery Controller (ADC) používá k přemístit mezeru mezi starší aplikací a moderní řídicí rovinou ID prostřednictvím přechodu protokolu.

Použití velké IP adresy před aplikací nám umožňuje překrytí služby pomocí předběžného ověřování Azure AD a jednotného přihlašování založeného na hlavičce, což výrazně zlepšuje celkový stav zabezpečení aplikace.

Architektura scénáře

Řešení zabezpečeného hybridního přístupu pro tento scénář je tvořeno několika komponentami, včetně vícevrstvé architektury Oracle:

Aplikace Oracle EBS: Publikovaná služba BIG-IP, která se má chránit pomocí Azure AD SHA.

Azure AD: Zprostředkovatel identity (SAML) identity (Security Assertion Markup Language) zodpovědný za ověření přihlašovacích údajů uživatele, podmíněného přístupu (CA) a jednotného přihlašování založeného na SAML na BIG-IP. Azure AD prostřednictvím jednotného přihlašování poskytuje big-IP adresu s libovolnými požadovanými atributy relace.

Oracle Internet Directory (OID): Hostuje uživatelskou databázi. Big-IP kontroluje atributy autorizace prostřednictvím protokolu LDAP.

Oracle AccessGate: Před vydáním přístupových souborů cookie EBS ověřuje atributy autorizace prostřednictvím back-channel pomocí služby OID.

VELKÁ IP ADRESA: Reverzní proxy server a poskytovatel služeb SAML (SP) do aplikace, delegování ověřování na zprostředkovatele IDENTITY SAML před provedením jednotného přihlašování založeného na hlavičce k aplikaci Oracle.

Sha pro tento scénář podporuje toky iniciované aktualizací SP i IdP. Následující obrázek znázorňuje tok iniciovaný aktualizací SP.

Secure hybrid access - SP initiated flow

Postup Popis
1 Uživatel se připojí ke koncovému bodu aplikace (BIG-IP)
2 Zásady přístupu APM s velkými IP adresami přesměrují uživatele na Azure AD (IDP SAML)
3 Azure AD předem ověří uživatele a použije všechny vynucené zásady podmíněného přístupu.
4 Uživatel se přesměruje zpět na BIG-IP (SAML SP) a jednotné přihlašování se provádí pomocí vydaného tokenu SAML.
5 Big-IP provádí dotaz LDAP pro atribut unique ID (UID) uživatele.
6 Big-IP vloží vrácený atribut UID jako hlavičku user_orclguid v požadavku na soubor cookie relace EBS do Oracle AccessGate.
7 Oracle AccessGate ověřuje UID ve službě Oracle Internet Directory (OID) a problémy s přístupem k souboru cookie EBS
8 Hlavičky uživatelů EBS a soubory cookie odeslané do aplikace a vrátí datovou část uživateli.

Požadavky

Předchozí prostředí BIG-IP není nutné, ale potřebujete:

  • Bezplatné předplatné Azure AD nebo vyšší

  • Existující BIG-IP nebo nasazení virtuální edice BIG-IP (VE) v Azure

  • Některé z následujících skladových položek licencí F5 BIG-IP

    • F5 BIG-IP® Best bundle

    • Samostatná licence F5 BIG-IP Access Policy Manager™ (APM)

    • Doplněk F5 BIG-IP Access Policy Manager™ (APM) pro stávající místní Traffic Manager ™ BIG-IP F5 BIG-IP® (LTM)

    • 90denní licence na plnou zkušební verzi big-IP adresy.

  • Identity uživatelů synchronizované z místního adresáře do Azure AD nebo vytvořené přímo v Azure AD a tok zpět do místního adresáře

  • Účet s oprávněními správce aplikace Azure AD

  • Webový certifikát SSL pro publikování služeb přes HTTPS nebo při testování použijte výchozí certifikáty BIG-IP.

  • Existující sada Oracle EBS, včetně Oracle AccessGate a OID s povoleným protokolem LDAP (Oracle Internet Database)

Metody konfigurace BIG-IP

Pro tento scénář existuje mnoho metod konfigurace BIG-IP, včetně dvou možností založených na šablonách a pokročilé konfigurace. Tento kurz se zabývá nejnovější konfigurací s asistencí 16.1, která nabízí šablonu snadného tlačítka. Díky snadnému tlačítku se správci už nebudou mezi Azure AD a big-IP pustit zpět a povolit služby pro SHA. Správa nasazení a zásad se zpracovává přímo mezi průvodcem konfigurace s asistencí APM a microsoft Graph. Díky této bohaté integraci mezi big-IP APM a Azure AD zajistíte, aby aplikace mohly rychle a snadno podporovat federaci identit, jednotné přihlašování a podmíněný přístup Azure AD, což snižuje režijní náklady na správu.

Poznámka

Všechny ukázkové řetězce nebo hodnoty odkazované v tomto průvodci by měly být nahrazeny hodnotami pro vaše skutečné prostředí.

Tlačítko Zaregistrovat snadné

Než klient nebo služba budou mít přístup ke službě Microsoft Graph, musí být Microsoft identity platform důvěryhodná.

Tento první krok vytvoří registraci aplikace tenanta, která se použije k autorizaci přístupu k snadnému tlačítku pro Graph. Prostřednictvím těchto oprávnění bude možné odesílat konfigurace potřebné k navázání vztahu důvěryhodnosti mezi instancí služby SAML SP pro publikovanou aplikaci a službou Azure AD jako zprostředkovatele identity SAML.

  1. Přihlášení k portálu Azure AD pomocí práv správce aplikací

  2. V levém navigačním podokně vyberte službu Azure Active Directory.

  3. V části Spravovat vyberte Registrace aplikací > Nová registrace.

  4. Zadejte zobrazovaný název aplikace. Například tlačítko F5 BIG-IP Easy Button

  5. Určete, kdo může používat účty aplikace >pouze v tomto organizačním adresáři.

  6. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.

  7. Přejděte na oprávnění rozhraní API a povolte následující oprávnění aplikace Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Udělení souhlasu správce pro vaši organizaci

  9. Přejděte na Tajné kódy certifikátů&, vygenerujte nový tajný klíč klienta a poznamenejte si ho.

  10. Přejděte na přehled a poznamenejte si ID klienta a ID tenanta.

Tlačítko Konfigurovat snadné

Spusťte šablonu snadného tlačítka a spusťte konfiguraci APM s asistencí.

  1. Přejděte do části Integrace Microsoftu s asistencí > pro přístup > a vyberte aplikaci Azure AD.

    Screenshot for Configure Easy Button- Install the template

  2. Zkontrolujte seznam kroků konfigurace a vyberte Další.

    Screenshot for Configure Easy Button - List configuration steps

  3. Postupujte podle posloupnosti kroků potřebných k publikování aplikace.

    Configuration steps flow

Vlastnosti konfigurace

Karta Vlastnosti konfigurace vytvoří konfiguraci aplikace BIG-IP a objekt jednotného přihlašování. Zvažte část Podrobnosti účtu služby Azure , která představuje klienta, který jste zaregistrovali ve svém tenantovi Azure AD dříve jako aplikaci. Tato nastavení umožňují klientovi OAuth velké IP adresy jednotlivě zaregistrovat službu SAML SP přímo ve vašem tenantovi spolu s vlastnostmi jednotného přihlašování, které byste normálně nakonfigurovali ručně. Snadné tlačítko to provede pro každou publikovanou a povolenou službu BIG-IP pro SHA.

Některá z těchto nastavení jsou globální nastavení, takže je možné znovu použít k publikování dalších aplikací, což dále snižuje dobu nasazení a úsilí.

  1. Zadejte jedinečný název konfigurace , který správci umožňuje snadno rozlišit konfigurace snadného tlačítka.

  2. Povolení hlaviček HTTP s jedním Sign-On (SSO) &

  3. Zadejte ID tenanta, ID klienta a tajný klíč klienta , který jste si poznamenali při registraci klienta Easy Button ve vašem tenantovi.

  4. Než vyberete Další, potvrďte, že se big-IP adresa může úspěšně připojit k vašemu tenantovi.

     Screenshot for Configuration General and Service Account properties

Poskytovatel služeb

Nastavení poskytovatele služeb definuje vlastnosti instance SAML SP aplikace chráněné pomocí SHA.

  1. Zadejte hostitele. Jedná se o veřejný plně kvalifikovaný název domény zabezpečené aplikace.

  2. Zadejte ID entity. Jedná se o identifikátor, který Azure AD použije k identifikaci služby SAML SP, která požaduje token.

    Screenshot for Service Provider settings

    Dále v části volitelné Nastavení zabezpečení určete, jestli má Služba Azure AD šifrovat vydané kontrolní výrazy SAML. Šifrování kontrolních výrazů mezi Azure AD a big-IP APM poskytuje jistotu, že tokeny obsahu nelze zachytit a osobní nebo firemní data by se mohly ohrozit.

  3. V seznamu privátních klíčů pro dešifrování kontrolního výrazu vyberte Vytvořit nový.

    Screenshot for Configure Easy Button- Create New import

  4. Vyberte OK. Otevře se dialogové okno Importovat certifikát SSL a klíče na nové kartě.

  5. Vyberte PKCS 12 (IIS) a naimportujte certifikát a privátní klíč. Po zřízení zavřete kartu prohlížeče, abyste se vrátili na hlavní kartu.

    Screenshot for Configure Easy Button- Import new cert

  6. Kontrola povolení šifrovaného kontrolního výrazu

  7. Pokud jste povolili šifrování, vyberte certifikát ze seznamu privátních klíčů pro dešifrování kontrolního výrazu . Jedná se o privátní klíč certifikátu, který APM BIG-IP používá k dešifrování kontrolních výrazů Azure AD.

  8. Pokud jste povolili šifrování, vyberte certifikát ze seznamu certifikátů pro dešifrování kontrolního výrazu . Jedná se o certifikát, který big-IP nahraje do Azure AD pro šifrování vydaných kontrolních výrazů SAML.

    Screenshot for Service Provider security settings

Azure Active Directory

Tato část definuje všechny vlastnosti, které byste normálně použili k ruční konfiguraci nové aplikace SAML s velkými IP adresami v rámci tenanta Azure AD. Easy Button poskytuje sadu předdefinovaných šablon aplikací pro Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP a obecnou šablonu SHA pro všechny ostatní aplikace. Pro tento scénář vyberte Přidat Oracle E-Business Suite>.

Screenshot for Azure configuration add BIG-IP application

Konfigurace Azure

  1. Zadejte zobrazovaný název aplikace, kterou velká IP adresa vytvoří ve vašem tenantovi Azure AD, a ikonu, kterou uživatelé uvidí na portálu MyApps.

  2. V adrese URL přihlášení (volitelné) zadejte veřejný plně kvalifikovaný název domény aplikace EBS, která je zabezpečená, spolu s výchozí cestou pro domovskou stránku Oracle EBS.

    Screenshot for Azure configuration add display info

  3. Výběrem ikony aktualizace vedle podpisového klíče a podpisového certifikátu vyhledejte certifikát, který jste naimportovali dříve.

  4. Zadejte heslo certifikátu do přístupového hesla podpisového klíče.

  5. Povolit možnost podepisování (volitelné). Tím se zajistí, že big-IP adresa přijímá pouze tokeny a deklarace identity podepsané službou Azure AD.

    Screenshot for Azure configuration - Add signing certificates info

  6. Skupiny uživatelů a uživatelů se dynamicky dotazují z tenanta Azure AD a používají se k autorizaci přístupu k aplikaci. Přidejte uživatele nebo skupinu, kterou můžete později použít k testování, jinak bude veškerý přístup odepřen.

    Screenshot for Azure configuration - Add users and groups

Deklarace identity atributů & uživatele

Když se uživatel úspěšně ověří, Azure AD vydá token SAML s výchozí sadou deklarací identity a atributů jedinečným způsobem identifikujícího uživatele. Na kartě Deklarace identity atributů & uživatele se zobrazují výchozí deklarace identity, které se mají pro novou aplikaci vydávat. Umožňuje také nakonfigurovat více deklarací identity.

Screenshot for user attributes and claims

V případě potřeby můžete zahrnout další atributy Azure AD, ale scénář Oracle EBS vyžaduje pouze výchozí atributy.

Další atributy uživatele

Karta Další atributy uživatele může podporovat různé distribuované systémy vyžadující atributy uložené v jiných adresářích pro rozšíření relace. Atributy načtené ze zdroje LDAP se pak dají vkládat jako další hlavičky jednotného přihlašování pro další řízení přístupu na základě rolí, ID partnerů atd.

  1. Povolení možnosti Upřesnit Nastavení

  2. Zaškrtněte políčko Atributy LDAP .

  3. Výběr možnosti Vytvořit nový v volbě Ověřovací server

  4. V závislosti na nastavení vyberte Použít fond nebo režim přímého připojení serveru. To poskytuje adresu serveru cílové služby LDAP. Pokud používáte jeden server LDAP, vyberte Direct.

  5. Zadejte port služby jako 3060 (výchozí), 3161 (zabezpečený) nebo jakýkoli jiný port, na který služba Oracle LDAP pracuje

  6. Zadejte dn základního vyhledávání (rozlišující název), ze kterého chcete hledat. Tento název dn vyhledávání slouží k hledání skupin v celém adresáři.

  7. Nastavte dn správce na přesný rozlišující název účtu, který bude APM používat k ověřování dotazů LDAP spolu s heslem.

    Screenshot for additional user attributes

  8. Ponechat všechny výchozí atributy schématu LDAP

    Screenshot for LDAP schema attributes

  9. V části Vlastnosti dotazu LDAP nastavte Hodnotu hledání na základní uzel serveru LDAP, ze kterého chcete vyhledat objekty uživatelů.

  10. Přidejte název atributu objektu uživatele, který se musí vrátit z adresáře LDAP. Pro EBS je výchozí hodnota orclguid

    Screenshot for LDAP query properties.png

Zásady podmíněného přístupu

Zásady podmíněného přístupu se vynucují po předběžném ověřování Azure AD, které řídí přístup na základě zařízení, aplikace, umístění a rizikových signálů.

Zobrazení Dostupných zásad ve výchozím nastavení zobrazí seznam všech zásad podmíněného přístupu, které neobsahují akce založené na uživatelích.

Ve výchozím nastavení se zobrazí zobrazení Vybraných zásad , které cílí na všechny cloudové aplikace. Tyto zásady nelze zrušit nebo přesunout do seznamu Dostupných zásad, protože se vynucují na úrovni tenanta.

Pokud chcete vybrat zásadu, kterou chcete použít pro publikovanou aplikaci:

  1. V seznamu Dostupných zásad vyberte požadovanou zásadu.

  2. Vyberte šipku doprava a přesuňte ji do seznamu Vybraných zásad .

    Vybrané zásady by měly mít zaškrtnutou možnost Zahrnout nebo Vyloučit . Pokud jsou obě možnosti zaškrtnuté, zásady se nevynucují.

    Screenshot for CA policies

Poznámka

Seznam zásad je výčtem pouze jednou při prvním přepnutí na tuto kartu. Tlačítko aktualizovat je k dispozici pro ruční vynucení dotazování průvodce na tenanta, ale toto tlačítko se zobrazí pouze v případě, že byla aplikace nasazena.

Vlastnosti virtuálního serveru

Virtuální server je objekt roviny dat BIG-IP reprezentovaný virtuální IP adresou, která naslouchá klientským požadavkům aplikace. Veškerý přijatý provoz se zpracuje a vyhodnotí vůči profilu APM přidruženému k virtuálnímu serveru před směrováním podle výsledků a nastavení zásad.

  1. Zadejte cílovou adresu. Jedná se o libovolnou dostupnou adresu IPv4/IPv6, kterou může big-IP adresa použít k příjmu provozu klienta. V DNS by měl existovat také odpovídající záznam, který klientům umožňuje přeložit externí adresu URL publikované aplikace BIG-IP na tuto IP adresu místo samotného zlišení aplikace. Použití DNS místního hostitele testovacího počítače je pro testování v pořádku.

  2. Zadejte port služby jako 443 pro HTTPS.

  3. Zkontrolujte povolit port přesměrování a zadejte port přesměrování. Přesměruje příchozí provoz klienta HTTP na HTTPS.

  4. Profil SSL klienta povolí virtuální server pro protokol HTTPS, aby byla připojení klientů šifrovaná přes protokol TLS. Vyberte profil SSL klienta , který jste vytvořili jako součást požadavků, nebo při testování ponechte výchozí nastavení.

    Screenshot for Virtual server

Vlastnosti fondu

Karta Fond aplikací podrobně popisuje služby za velkou IP adresou, reprezentované jako fond obsahující jeden nebo více aplikačních serverů.

  1. Vyberte fond. Vytvoření nového fondu nebo výběr existujícího fondu

  2. Volba metody vyrovnávání zatížení jako kruhového dotazování

  3. U serverů fondu vyberte existující uzel nebo zadejte IP adresu a port pro servery hostující aplikaci Oracle EBS.

    Screenshot for Application pool

  4. Fond přístupových bran určuje servery, které Oracle EBS používá k mapování ověřeného uživatele jednotného přihlašování na relaci Oracle E-Business Suite. Aktualizace serverů fondu s IP adresou a portem aplikačních serverů Oracle hostujících aplikaci

    Screenshot for AccessGate pool

Jedno Sign-On & hlavičky HTTP

Průvodce easy button podporuje autorizační hlavičky Kerberos, OAuth Bearer a HTTP pro jednotné přihlašování k publikovaným aplikacím. Vzhledem k tomu, že aplikace Oracle EBS očekává hlavičky, povolte hlavičky HTTP a zadejte následující vlastnosti.

  • Operace záhlaví: nahradit

  • Název záhlaví: USER_NAME

  • Hodnota záhlaví: %{session.sso.token.last.username}

  • Operace záhlaví: nahradit

  • Název záhlaví: USER_ORCLGUID

  • Hodnota záhlaví: %{session.ldap.last.attr.orclguid}

     Screenshot for SSO and HTTP headers

Poznámka

Proměnné relace APM definované v rámci složených závorek jsou citlivé na malá a malá písmena. Pokud například zadáte OrclGUID při definování názvu atributu Azure AD jako orclguid, způsobí selhání mapování atributů.

Správa relací

Nastavení správy relací BIG-IPs slouží k definování podmínek, za kterých jsou relace uživatelů ukončeny nebo povolené, omezení pro uživatele a IP adresy a odpovídající informace o uživateli. Podrobnosti o těchto nastaveních najdete v dokumentaci F5 .

Tady se ale nevztahuje funkce SLO (Single Log-Out), která zajišťuje, že všechny relace mezi zprostředkovatele identity, big-IP a uživatelským agentem se ukončí při odhlášení uživatelů. Když tlačítko Easy Button vytvoří instanci aplikace SAML ve vašem tenantovi Azure AD, naplní také adresu URL odhlášení koncovým bodem SLO APM. Tímto způsobem služba IdP iniciovala odhlášení z portálu Azure AD MyApps také ukončí relaci mezi velkými IP adresami a klientem.

Kromě toho se z vašeho tenanta importují také metadata federace SAML pro publikovanou aplikaci, která poskytuje APM koncový bod odhlášení SAML pro Azure AD. Tím se zajistí ukončení relace mezi klientem a Službou Azure AD, která iniciovala odhlášení sp. Aby to ale bylo skutečně efektivní, musí APM přesně vědět, kdy se uživatel odhlásí z aplikace.

Pokud se k přístupu k publikovaným aplikacím používá portál webovéhotopu BIG-IP, pak by se odhlašování z ní zpracovalo pomocí APM, aby také volal koncový bod odhlášení Azure AD. Představte si ale scénář, kdy se portál webtopu BIG-IP nepoužívá, pak uživatel nemá možnost instruovat APM, aby se odhlasil. I když se uživatel odhlásí ze samotné aplikace, je pro tuto aplikaci technicky nezapomnělý. Z tohoto důvodu proto musí sp iniciované odhlášení pečlivě zvážit, aby se zajistilo, že relace jsou bezpečně ukončeny, pokud už není potřeba. Jedním ze způsobů, jak toho dosáhnout, by bylo přidání funkce SLO do vašich aplikací odhlásit se, aby mohl přesměrovat klienta do koncového bodu pro odhlášení z Azure AD SAML nebo BIG-IP. Adresu URL koncového bodu pro odhlášení SAML pro vašeho tenanta najdete v koncových bodech > registrace aplikací.

Pokud je změna aplikace bez přechodu, zvažte, jestli chcete, aby velké IP adresy naslouchaly volání odhlašování aplikace a při zjištění požadavku aktivovalo SLO. Projděte si naše pokyny k programu Oracle PeopleSoft SLO pro použití irules BIG-IP k dosažení tohoto cíle. Další podrobnosti o použití protokolu BIG-IP iRules k dosažení tohoto postupu najdete v článku F5 znalostní báze Konfigurace automatického ukončení relace (odhlášení) na základě názvu souboru odkazovaného na identifikátor URI a přehled možnosti Zahrnutí identifikátoru URI pro odhlášení.

Souhrn

Tento poslední krok obsahuje rozpis konfigurací. Výběrem možnosti Nasadit potvrďte všechna nastavení a ověřte, že aplikace teď existuje v seznamu tenantů Enterprise aplikací.

Další kroky

V prohlížeči se připojte k externí adrese URL aplikace Oracle EBS nebo vyberte ikonu aplikace na portálu Microsoft MyApps. Po ověření ve službě Azure AD budete přesměrováni na virtuální server BIG-IP pro aplikaci a automaticky se přihlásíte přes jednotné přihlašování.

V případě zvýšeného zabezpečení by organizace, které tento model používají, mohly také zvážit blokování veškerého přímého přístupu k aplikaci, a tím vynucovat striktní cestu přes big-IP adresu.

Pokročilé nasazení

V případech, kdy šablony konfigurace s asistencí nemají flexibilitu pro dosažení konkrétnějších požadavků. Tyto scénáře najdete v tématu Pokročilá konfigurace pro jednotné přihlašování založené na hlavičkách. Případně vám big-IP adresa poskytne možnost zakázat režim striktní správy konfigurace s asistencí. To vám umožní ručně upravit konfigurace, i když je většina konfigurací automatizovaná prostřednictvím šablon založených na průvodci.

Můžete přejít na Konfiguraci s asistencí accessu > a vybrat malou ikonu zámku úplně vpravo od řádku pro konfigurace aplikací.

Screenshot for Configure Easy Button - Strict Management

V tomto okamžiku už nejsou možné změny prostřednictvím uživatelského rozhraní průvodce, ale všechny objekty BIG-IP přidružené k publikované instanci aplikace budou odemknuty pro přímou správu.

Poznámka

Opětovné povolení přísného režimu a nasazení konfigurace přepíše všechna nastavení provedená mimo uživatelské rozhraní konfigurace s asistencí, proto doporučujeme pokročilou metodu konfigurace pro produkční služby.

Řešení potíží

Příčinou selhání přístupu k chráněné aplikaci SHA může být libovolný počet faktorů. Protokolování big-IP adres může rychle izolovat nejrůznější problémy s připojením, jednotným přihlašováním, porušením zásad nebo chybně nakonfigurovanými mapováními proměnných. Začněte řešit potíže zvýšením úrovně podrobností protokolu.

  1. Přechod na protokoly událostí přehledu >> zásad > přístupu Nastavení

  2. Vyberte řádek publikované aplikace a potom upravte > protokoly systému přístupu.

  3. V seznamu jednotného přihlašování vyberte Ladit a pak OK.

Reprodukujte váš problém a pak zkontrolujte protokoly, ale nezapomeňte tento problém přepnout zpět, protože podrobný režim generuje velké množství dat.

Pokud se okamžitě po úspěšném předběžném ověřování Azure AD zobrazí chyba s značkou BIG-IP, je možné, že problém souvisí s jednotným přihlašováním z Azure AD na big-IP adresu.

  1. Přechod na sestavy accessového > přehledu >

  2. Spusťte sestavu za poslední hodinu, abyste zjistili, jestli protokoly poskytují nějaké stopy. Odkaz Zobrazit proměnné relací pro vaši relaci také pomůže pochopit, jestli služba APM přijímá očekávané deklarace identity ze služby Azure AD.

Pokud se stránka s chybou BIG-IP nezobrazí, problém pravděpodobně souvisí s back-endovým požadavkem nebo jednotným přihlašováním z velké IP adresy k aplikaci.

  1. V takovém případě přejděte na aktivní relace přehledu > zásad > přístupu a vyberte odkaz pro aktivní relaci.

  2. Odkaz Zobrazit proměnné v tomto umístění může také pomoct s hlavními příčinami problémů s jednotným přihlašováním, zejména pokud služba APM s velkými IP adresami nedokáže získat správné atributy z Azure AD nebo jiného zdroje.

Další informace najdete v tématu Přiřazení proměnných APM s velkými IP adresami a referenční informace k proměnným relací F5 BIG-IP .

Následující příkaz z prostředí Bash ověří účet služby APM používaný pro dotazy LDAP a dokáže úspěšně ověřit a dotazovat objekt uživatele:

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Další informace najdete v tomto článku f5 znalostní báze Konfigurace vzdáleného ověřování LDAP pro službu Active Directory. K dispozici je také skvělá referenční tabulka BIG-IP, která pomáhá diagnostikovat problémy související s protokolem LDAP v tomto článku znalostní báze F5 v dotazu LDAP.