Kurz: Konfigurace snadného tlačítka F5 BIG-IP pro jednotné přihlašování k Oracle Lidé Soft

  • Článek

V tomto článku se naučíte zabezpečit Oracle Lidé Soft (Lidé Soft) pomocí Microsoft Entra ID s F5 BIG-IP Easy Button Guided Configuration 16.1.

Integrace BIG-IP s Microsoft Entra ID pro řadu výhod:

Další informace:

Popis scénáře

Pro účely tohoto kurzu se používá aplikace Lidé Soft, která ke správě přístupu k chráněnému obsahu používá autorizační hlavičky HTTP.

Starší verze aplikací nemají moderní protokoly pro podporu integrace Microsoft Entra. Modernizace je nákladná, vyžaduje plánování a představuje potenciální riziko výpadků. Místo toho použijte F5 BIG-IP Application Delivery Controller (ADC) k přemostit mezeru mezi staršími aplikacemi a moderním řízením ID s přechodem protokolu.

Před aplikací překryjete službu předběžným ověřováním Microsoft Entra a jednotným přihlašováním založeným na hlavičce. Tato akce zlepšuje stav zabezpečení aplikace.

Poznámka:

Získejte vzdálený přístup k tomuto typu aplikace pomocí proxy aplikace Microsoft Entra.
Viz vzdálený přístup k místním aplikacím prostřednictvím proxy aplikací Microsoft Entra.

Architektura scénáře

Řešení zabezpečeného hybridního přístupu (SHA) pro tento kurz obsahuje následující komponenty:

  • Lidé Soft Application – publikovaná služba BIG-IP zabezpečená microsoftem Entra SHA
  • Microsoft Entra ID – zprostředkovatel identity SAML (Security Assertion Markup Language), který ověřuje přihlašovací údaje uživatele, podmíněný přístup a jednotné přihlašování založené na SAML na BIG-IP
    • Prostřednictvím jednotného přihlašování poskytuje Microsoft Entra ID atributy relace pro BIG-IP adresu.
  • BIG-IP – reverzní proxy server a poskytovatel služeb SAML (SP) do aplikace. Deleguje ověřování na zprostředkovatele identity SAML a pak provádí jednotné přihlašování založené na hlavičce ke službě Lidé Soft.

V tomto scénáři sha podporuje toky iniciované sadou SP a IdP. Následující diagram znázorňuje tok iniciovaný aktualizací SP.

Diagram of secure hybrid access with SP initiated flow.

  1. Uživatel se připojí ke koncovému bodu aplikace (BIG-IP).
  2. Zásady přístupu APM BIG-IP přesměrují uživatele na ID Microsoft Entra (SAML IdP).
  3. Microsoft Entra předvyvěřuje uživatele a použije zásady podmíněného přístupu.
  4. Uživatel se přesměruje na BIG-IP (SAML SP) a k jednotnému přihlašování dochází s vydaným tokenem SAML.
  5. BIG-IP vloží atributy Microsoft Entra jako hlavičky v požadavku do aplikace.
  6. Aplikace autorizuje požadavek a vrací datovou část.

Požadavky

  • Bezplatný účet Microsoft Entra ID nebo vyšší
  • VELKÁ IP adresa nebo virtuální edice BIG-IP (VE) v Azure
  • Některé z následujících licencí F5 BIG-IP:
    • F5 BIG-IP® Best bundle
    • Samostatná licence F5 BIG-IP APM
    • Licence doplňku F5 BIG-IP APM na stávajícím místním Traffic Manageru™ PRO BIG-IP F5 BIG-IP® (LTM)
    • 90denní úplná zkušební licence na big-IP adresu
  • Identity uživatelů synchronizované z místního adresáře do Microsoft Entra ID nebo vytvořené v Microsoft Entra ID a tok zpět do místního adresáře
  • Jedna z následujících rolí: Globální Správa istrator, Cloud Application Správa istrator nebo Application Správa istrator.
  • Webový certifikát SSL pro publikování služeb přes PROTOKOL HTTPS nebo použití výchozích certifikátů BIG-IP pro testování
  • Prostředí Lidé Soft

Konfigurace BIG-IP

Tento kurz používá konfiguraci s asistencí 16.1 se šablonou snadného tlačítka.

Díky snadnému tlačítku správci nejdou mezi Microsoft Entra ID a BIG-IP povolit služby pro SHA. Průvodce konfigurací s asistencí APM a Microsoft Graph zpracovává nasazení a správu zásad. Integrace zajišťuje, že aplikace podporují federaci identit, jednotné přihlašování a podmíněný přístup.

Poznámka:

Nahraďte ukázkové řetězce nebo hodnoty v tomto kurzu hodnotami ve vašem prostředí.

Register the Easy Button

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Než klient nebo služba přistupuje k Microsoft Graphu, musí mu platforma Microsoft Identity Platform důvěřovat.

Další informace: Rychlý start: Registrace aplikace na platformě Microsoft Identity Platform

Následující pokyny vám pomůžou vytvořit registraci aplikace tenanta pro autorizaci přístupu k Graphu pomocí tlačítka Easy Button. S těmito oprávněními služba BIG-IP odešle konfigurace, které vytvoří vztah důvěryhodnosti mezi instancí SAML SP pro publikovanou aplikaci, a Microsoft Entra ID jako zprostředkovatele IDENTITY SAML.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte na Identity>Applications> Registrace aplikací > Nová registrace.

  3. Zadejte název aplikace.

  4. Pro účty v tomto organizačním adresáři zadejte, kdo aplikaci používá.

  5. Vyberte Zaregistrovat.

  6. Přejděte na oprávnění rozhraní API.

  7. Autorizovat následující oprávnění aplikace Microsoft Graph:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Udělte správci souhlas vaší organizace.

  9. Přejděte na Certifikáty a tajné kódy.

  10. Vygenerujte nový tajný klíč klienta a poznamenejte si ho.

  11. Přejděte na Přehled a poznamenejte si ID klienta a ID tenanta.

Konfigurovat tlačítko Snadné

  1. Zahajte konfiguraci APM s asistencí.
  2. Spusťte šablonu Snadné tlačítko.
  3. Přejděte do konfigurace s asistencí pro Access>.
  4. Vyberte Integraci Microsoftu.
  5. Vyberte aplikaci Microsoft Entra.
  6. Zkontrolujte pořadí konfigurace.
  7. Vyberte Další.
  8. Postupujte podle pořadí konfigurace.

Screenshot of configuration sequence under Microsoft Entra Application Configuration.

Vlastnosti konfigurace

Pomocí karty Vlastnosti konfigurace můžete vytvořit nové konfigurace aplikací a objekty jednotného přihlašování. Část Podrobnosti účtu služby Azure představuje klienta, který jste zaregistrovali v tenantovi Microsoft Entra jako aplikaci. Pomocí nastavení pro klienta BIG-IP OAuth zaregistrujte v tenantovi službu SAML SP s vlastnostmi jednotného přihlašování. Snadné tlačítko provede tuto akci u publikovaných a povolených služeb BIG-IP pro SHA.

Poznámka:

Některá z následujících nastavení jsou globální. Můžete je znovu použít k publikování dalších aplikací.

  1. Zadejte název konfigurace. Jedinečné názvy pomáhají rozlišovat konfigurace.
  2. V části Hlavičky jednotného přihlašování a HTTP vyberte Zapnuto.
  3. Zadejte ID tenanta , ID klienta a tajný klíč klienta, které jste si poznamenali.
  4. Potvrďte připojení BIG-IP k tenantovi.
  5. Vyberte Další.

Screenshot of options and selections for Configuration Properties.

Poskytovatel služeb

Pomocí nastavení zprostředkovatele služeb definujte vlastnosti SAML SP pro instanci APM, která představuje aplikaci zabezpečenou sha.

  1. Jako hostitel zadejte veřejný plně kvalifikovaný název domény zabezpečené aplikace.
  2. Jako ID entity zadejte identifikátor Microsoft Entra ID, který používá k identifikaci SAML SP žádajícího o token.

Screenshot of options and selections for Service Provider.

  1. (Volitelné) V případě Nastavení zabezpečení indikujte, že ID Microsoft Entra šifruje vydané kontrolní výrazy SAML. Tato možnost zvyšuje záruku, že tokeny obsahu nejsou zachyceny ani ohroženy daty.

  2. V seznamu privátních klíčů kontrolního dešifrování vyberte Vytvořit nový.

Screenshot Create New in the Assertion Decryption Private Key list.

  1. Vyberte OK.
  2. Dialogové okno Importovat certifikát SSL a klíče se zobrazí na nové kartě.
  3. Jako typ importu vyberte PKCS 12 (IIS). Tato možnost importuje certifikát a privátní klíč.
  4. Zavřete kartu prohlížeče a vraťte se na hlavní kartu.

Screenshot of options and selections for SSL Certificate and Key Source

  1. Pro povolení šifrovaného kontrolního výrazu zaškrtněte políčko.
  2. Pokud jste povolili šifrování, vyberte v seznamu privátních klíčů dešifrování kontrolního výrazu certifikát. Tento privátní klíč je určený pro certifikát, který big-IP APM používá k dešifrování kontrolních výrazů Microsoft Entra.
  3. Pokud jste povolili šifrování, vyberte v seznamu certifikátu dešifrování kontrolního výrazu certifikát. BIG-IP nahraje tento certifikát do MICROSOFT Entra ID za účelem šifrování vydaných kontrolních výrazů SAML.

Screenshot of options and selections for Security Settings.

Microsoft Entra ID

Tlačítko Easy Button obsahuje šablony pro Oracle Lidé Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP a obecnou šablonu SHA.

  1. Vyberte Oracle Lidé Soft.
  2. Vyberte Přidat.

Konfigurace Azure

  1. Zadejte zobrazovaný název aplikace BIG-IP, která se vytvoří v tenantovi. Název se zobrazí na ikoně v Moje aplikace.

  2. (Volitelné) Jako přihlašovací adresu URL zadejte veřejný plně kvalifikovaný název domény aplikace Lidé Soft.

  3. Vedle podpisového klíče a podpisového certifikátu vyberte aktualizovat. Tato akce vyhledá importovaný certifikát.

  4. Pro heslo podpisového klíče zadejte heslo certifikátu.

  5. (Volitelné) U možnosti podepisování vyberte požadovanou možnost. Tento výběr zajišťuje, že BIG-IP přijímá tokeny a deklarace identity podepsané id Microsoft Entra.

Screenshot of Signing Key, Signing Certificate, and Signing Key Passprhase options under SAML Signing Certificate.

  1. Skupiny uživatelů a uživatelů se dynamicky dotazují z tenanta Microsoft Entra.
  2. Přidejte uživatele nebo skupinu pro testování, jinak se přístup odepře.

Screenshot of the Add option under Users And User Groups.

Atributy a deklarace identity uživatelů

Když se uživatel ověří, Microsoft Entra ID vydá token SAML s výchozími deklaracemi identity a atributy identifikující uživatele. Karta Atributy a deklarace identity uživatelů obsahuje výchozí deklarace identity , které se mají v nové aplikaci vydávat. Slouží ke konfiguraci dalších deklarací identity. Šablona Snadné tlačítko obsahuje deklaraci ID zaměstnance, kterou vyžaduje Lidé Soft.

Screenshot of options and selections for User Attributes & Claims.

V případě potřeby zahrňte další atributy Microsoft Entra. Ukázková aplikace Lidé Soft vyžaduje předdefinované atributy.

Další atributy uživatele

Karta Další atributy uživatele podporuje distribuované systémy, které vyžadují atributy, jsou uloženy v jiných adresářích pro rozšíření relace. Atributy ze zdroje LDAP se vloží jako další hlavičky jednotného přihlašování pro řízení přístupu na základě rolí, ID partnerů atd.

Poznámka:

Tato funkce nemá žádnou korelaci s ID Microsoft Entra; je to jiný zdroj atributů.

Zásady podmíněného přístupu

Zásady podmíněného přístupu se vynucují po předběžném ověření Microsoft Entra pro řízení přístupu na základě zařízení, aplikací, umístění a rizikových signálů. Zobrazení Dostupné zásady má zásady podmíněného přístupu bez uživatelských akcí. Zobrazení Vybrané zásady obsahuje zásady zaměřené na cloudové aplikace. Tyto zásady nemůžete zrušit nebo přesunout do seznamu Dostupných zásad, protože se vynucují na úrovni tenanta.

Vyberte zásadu pro aplikaci.

  1. V seznamu Dostupné zásady vyberte zásadu.
  2. Vyberte šipku doprava a přesuňte zásadu do vybraných zásad.

Vybrané zásady mají zaškrtnutou možnost Zahrnout nebo Vyloučit . Pokud jsou zaškrtnuté obě možnosti, zásada se nevynutí.

Screenshot of excluded policies under Selected Policies on the Conditional Access Policy tab.

Poznámka:

Seznam zásad se zobrazí jednou, když vyberete kartu. K dotazování tenanta použijte Průvodce aktualizací . Tato možnost se zobrazí po nasazení aplikace.

Vlastnosti virtuálního serveru

Virtuální server je objekt roviny dat BIG-IP reprezentovaný virtuální IP adresou. Server naslouchá klientským požadavkům aplikace. Přijatý provoz se zpracovává a vyhodnocuje vůči profilu APM virtuálního serveru. Provoz se pak směruje podle zásad.

  1. Jako cílovou adresu zadejte IPv4 nebo IPv6 adresu BIG-IP, která přijímá klientský provoz. V DNS se zobrazí odpovídající záznam, který klientům umožňuje přeložit externí adresu URL publikované aplikace na IP adresu. K testování použijte DNS místního hostitele testovacího počítače.
  2. Jako port služby zadejte 443 a vyberte HTTPS.
  3. U možnosti Povolit port přesměrování zaškrtněte políčko.
  4. V případě přesměrování portu zadejte 80 a vyberte HTTP. Tato možnost přesměruje příchozí provoz klienta HTTP na HTTPS.
  5. V případě profilu protokolu SSL klienta vyberte Použít existující.
  6. V části Společné vyberte možnost, kterou jste vytvořili. Pokud testujete, ponechte výchozí hodnotu. Profil SSL klienta povolí virtuální server pro protokol HTTPS, takže připojení klientů jsou šifrovaná přes protokol TLS.

Screenshot of options and selections for Virtual Server Properties.

Vlastnosti fondu

Karta Fond aplikací má služby za BIG-IP, které jsou reprezentované jako fond s aplikačními servery.

  1. Vyberte fond, vyberte Vytvořit nový nebo ho vyberte.
  2. V případě metody vyrovnávání zatížení vyberte Kruhové dotazování.
  3. U serverů fondu vyberte v části Název IP adresy nebo uzlu uzel nebo zadejte IP adresu a port pro servery, které jsou hostitelem aplikace Lidé Soft.

Screenshot of IP Address/Node Name and Port options on Pool Properties.

Hlavičky HTTP a jednotného přihlašování

Průvodce snadného tlačítka podporuje autorizační hlavičky Kerberos, OAuth Bearer a HTTP pro jednotné přihlašování k publikovaným aplikacím. Aplikace Lidé Soft očekává hlavičky.

  1. U hlaviček HTTP zaškrtněte políčko.
  2. V části Operace záhlaví vyberte nahradit.
  3. Jako název záhlaví zadejte PS_SSO_UID.
  4. Jako hodnotu hlavičky zadejte %{session.sso.token.last.username}.

Screenshot of Header Operation, Header Name, and Header value entries under Single sign-On & HTTP Headers.

Poznámka:

Proměnné relace APM ve složených závorkách rozlišují malá a velká písmena. Pokud například zadáte OrclGUID a název atributu je orclguid, mapování atributů selže.

Správa relací

Nastavení správy relací BIG-IP použijte k definování podmínek pro ukončení uživatelských relací nebo pokračování. Nastavte limity pro uživatele a IP adresy a odpovídající informace o uživatelích.

Další informace najdete v tématu support.f5.com pro K18390492: Zabezpečení | Průvodce provozem APM pro BIG-IP

V provozní příručce se nevztahuje jedna funkce odhlášení (SLO), která zajišťuje ukončení relací zprostředkovatele identity, BIG-IP a uživatelských agentů, když se uživatelé odhlásí. Když snadné tlačítko vytvoří instanci aplikace SAML v tenantovi Microsoft Entra, naplní adresu URL odhlášení koncovým bodem SLO APM. Odhlášení iniciované adresou IDP z Moje aplikace ukončí relace BIG-IP a klienta.

Publikovaná data federace SAML aplikace se importují z tenanta. Tato akce poskytuje APM koncový bod pro odhlášení SAML pro ID Microsoft Entra, který zajišťuje ukončení odhlašování inicializováno SP a relace Microsoft Entra. APM musí vědět, kdy se uživatel odhlásí.

Když webový portál BIG-IP přistupuje k publikovaným aplikacím, APM zpracuje odhlášení, aby volal koncový bod odhlášení Microsoft Entra. Pokud se nepoužívá portál webtopu BIG-IP, uživatel nemůže instruovat, aby se APM odhlasil. Pokud se uživatel z aplikace odhlásí, je big-IP adresa zastaralá. Odhlašování iniciované aktualizací SP vyžaduje ukončení zabezpečené relace. Přidejte do tlačítka Odhlásit se z aplikace funkci SLO, která přesměruje klienta do koncového bodu microsoft Entra SAML nebo BIG-IP. Adresa URL koncového bodu SAML odhlaste pro vašeho tenanta v koncových bodech >registrace aplikací.

Pokud nemůžete aplikaci změnit, zvažte, jestli chcete, aby se volání odhlašování z aplikace naslouchala big-IP adresa a aktivovala SLO. Další informace najdete v tématu Lidé Soft Single Logout v následující části.

Nasazení

  1. Vyberte Nasadit.
  2. Ověřte aplikaci v seznamu tenantů podnikových aplikací.
  3. Aplikace je publikovaná a přístupná pomocí SHA.

Konfigurace Lidé Soft

Použijte Oracle Access Manager pro správu identit a přístupu aplikací Lidé Soft.

Další informace najdete v tématu o docs.oracle.com pro průvodce integrací Oracle Access Manger, integrací Lidé Soft.

Konfigurace jednotného přihlašování Oracle Access Manageru

Nakonfigurujte Oracle Access Manager tak, aby přijímal jednotné přihlašování z BIG-IP adresy.

  1. Přihlaste se ke konzole Oracle s oprávněními správce.

Screenshot of the Oracle console.

  1. Přejděte na Lidé Nástroje > zabezpečení.
  2. Vyberte profily uživatelů.
  3. Vyberte profily uživatelů.
  4. Vytvořte nový profil uživatele.
  5. Jako ID uživatele zadejte OAMPSFT.
  6. Jako roli uživatele zadejte Lidé Soft User.
  7. Zvolte Uložit.

Screenshot of User ID on the Roles tab, User Profiles.

  1. Přejděte do webového profilu nástroje Lidé>.
  2. Vyberte webový profil.
  3. On Security tab, in Public Users, select Allow Public Access.
  4. Jako ID uživatele zadejte OAMPSFT.
  5. Zadejte heslo.

Screenshot of options and selections for Public Users.

  1. Ponechte konzolu Lidé soft.
  2. Spusťte návrháře aplikací Lidé Tools.
  3. Klikněte pravým tlačítkem myši na pole LDAPAUTH .
  4. Vyberte Zobrazit Lidé Code.

Screenshot of LDAPAUTH options under Application Designer.

  1. Otevře se okna kódu LDAPAUTH .

  2. Vyhledejte funkci OAMSSO_AUTHENTICATION.

  3. Nahraďte hodnotu &defaultUserId hodnotou OAMPSFT.

    Screenshot of default User ID value equals OAMPSFT under Function.

  4. Uložte záznam.

  5. Přejděte na **Lidé Nástroje > zabezpečení.

  6. Vyberte Objekty zabezpečení.

  7. Vyberte Přihlásit se Lidé Code.

  8. Povolte OAMSSO_AUTHENTICATION.

Lidé Soft Single Logout

Když se odhlásíte z Moje aplikace, zahájí se Lidé Soft SLO, který pak volá koncový bod SLO BIG-IP. BIG-IP potřebuje pokyny k provedení SLO jménem aplikace. Požádejte uživatele, aby odhlasoval požadavky na Lidé Soft a pak aktivoval SLO.

Přidání podpory SLO pro uživatele Lidé Soft

  1. Získejte adresu URL pro odhlášení z portálu Lidé Soft.
  2. Otevřete portál ve webovém prohlížeči.
  3. Povolte ladicí nástroje.
  4. Vyhledejte prvek s ID PT_LOGOUT_MENU .
  5. Uložte cestu URL s parametry dotazu. V tomto příkladu: /psp/ps/?cmd=logout.

Screenshot of PeopleSoft logout URL.

Vytvořte iRule BIG-IP pro přesměrování uživatelů na odhlašující koncový bod SAML SP: /my.logout.php3.

  1. Přejděte na **Místní seznam iRules provozu > .
  2. Vyberte Vytvořit.
  3. Zadejte název pravidla.
  4. Zadejte následující příkazové řádky.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

  1. Vyberte Dokončeno.

Přiřaďte iRule k virtuálnímu serveru BIG-IP.

  1. Přejděte do konfigurace s asistencí pro Access>.
  2. Vyberte odkaz konfigurace aplikace Lidé Soft.

Screenshot of the PeopleSoft application configuration link.

  1. V horním navigačním panelu vyberte Virtuální server.
  2. V části Upřesnit Nastavení vyberte *Zapnuto.

Screenshot of the Advanced Aettings option on Virtual Server Properties.

  1. Posuňte se dolů.
  2. V části Společné přidejte iRule, který jste vytvořili.

Screenshot of the irule under Common on Virtual Server Configuration.

  1. Zvolte Uložit.
  2. Vyberte Další.
  3. Pokračujte v konfiguraci nastavení.

Další informace najdete v support.f5.com pro:

Výchozí cílová stránka Lidé Soft

Přesměrujte požadavky uživatelů z kořenového adresáře ("/") na externí portál Lidé Soft, který se obvykle nachází v umístění: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL"

  1. Přejděte na místní provoz > iRule.
  2. Vyberte iRule_Lidé Soft.
  3. Přidejte následující příkazové řádky.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. Přiřaďte iRule k virtuálnímu serveru BIG-IP.

Potvrzení konfigurace

  1. V prohlížeči přejděte na externí adresu URL aplikace Lidé Soft nebo vyberte ikonu aplikace v Moje aplikace.

  2. Ověřte se v Microsoft Entra ID.

  3. Budete přesměrováni na virtuální server BIG-IP a přihlásíte se pomocí jednotného přihlašování.

    Poznámka:

    Můžete zablokovat přímý přístup k aplikaci, čímž vynucujete cestu prostřednictvím big-IP adresy.

Pokročilé nasazení

Někdy šablony konfigurace s asistencí nemají flexibilitu.

Další informace: Kurz: Konfigurace Správce zásad přístupu F5 BIG-IP pro jednotné přihlašování založené na hlavičce

Případně v big-IP zakažte režim striktní správy konfigurace s asistencí. Konfigurace můžete změnit ručně, i když většina konfigurací je automatizovaná pomocí šablon průvodce.

  1. Přejděte do konfigurace s asistencí pro Access>.
  2. Na konci řádku vyberte zámek.

Screenshot of the padlock icon.

Změny uživatelského rozhraní průvodce nejsou možné, ale objekty BIG-IP přidružené k publikované instanci aplikace jsou odemknuté pro správu.

Poznámka:

Když znovu spustíte striktní režim a nasadíte konfiguraci, přepíšou se nastavení provedená mimo konfiguraci s asistencí. Pro produkční služby doporučujeme pokročilou konfiguraci.

Řešení problému

Pomocí protokolování BIG-IP můžete izolovat problémy s připojením, jednotným přihlašováním, porušeními zásad nebo chybně nakonfigurovanými mapováními proměnných.

Úroveň podrobností protokolu

  1. Přejděte na Přehled zásad > přístupu.
  2. Vyberte protokoly událostí.
  3. Vyberte Nastavení.
  4. Vyberte řádek publikované aplikace.
  5. VyberteUpravit.
  6. Výběr přístupových systémových protokolů
  7. V seznamu jednotného přihlašování vyberte Ladit.
  8. Vyberte OK.
  9. Reprodukujte příslušný problém.
  10. Zkontrolujte protokoly.

Až budete hotovi, vraťte se k této funkci, protože podrobný režim generuje velké množství dat.

Chybová zpráva BIG-IP

Pokud se po předběžném ověření Microsoft Entra zobrazí chyba BIG-IP, je možné, že problém souvisí s MICROSOFT Entra ID s jednotným přihlašováním BIG-IP.

  1. Přejděte na Přehled aplikace Access>.
  2. Vyberte sestavy Accessu.
  3. Spusťte sestavu za poslední hodinu.
  4. Projděte si protokoly, kde najdete nápovědu.

Pomocí odkazu zobrazit relaci relace potvrďte, že APM obdrží očekávané deklarace identity Microsoft Entra.

Žádná chybová zpráva BIG-IP

Pokud se nezobrazí žádná chybová zpráva BIG-IP, problém může souviset s back-endovým požadavkem nebo big-IP sso aplikace.

  1. Přejděte na Přehled zásad > přístupu.
  2. Vyberte aktivní relace.
  3. Vyberte odkaz aktivní relace.

Pomocí odkazu Zobrazit proměnné určete problémy s jednotným přihlašováním, zejména pokud APM BIG-IP získá nesprávné atributy z proměnných relace.

Další informace: