Tutorial: Konfigurieren von BIG-IP Easy Button von F5 für headerbasiertes einmaliges Anmelden

  • Artikel

Erfahren Sie, wie Sie sichere headerbasierte Anwendungen mit Microsoft Entra ID über F5 BIG-IP Easy Button Guided Configuration v16.1 schützen.

Die Integration einer BIG-IP in Microsoft Entra ID bietet viele Vorteile. Dazu zählen:

  • Verbesserte Zero Trust-Governance durch Vorabauthentifizierung und bedingten Zugriff von Microsoft Entra
  • Vollständiges einmaliges Anmelden zwischen Microsoft Entra ID und BIG-IP veröffentlichten Diensten
  • Verwaltete Identitäten und Zugriff über eine einzelne Steuerungsebene

Weitere Informationen:

Beschreibung des Szenarios

In diesem Szenario wird eine klassische Legacyanwendung behandelt, die HTTP-Autorisierungsheader zum Verwalten des Zugriffs auf geschützte Inhalte verwendet. Legacyanwendungen fehlen moderne Protokolle, um die direkte Integration in Microsoft Entra ID zu unterstützen. Die Modernisierung ist kostspielig, zeitaufwändig und bringt ein Ausfallrisiko mit sich. Verwenden Sie stattdessen einen F5 BIG-IP Application Delivery Controller (ADC), um die Lücke zwischen Legacyanwendung und moderner ID-Steuerungsebene (mit Protokollübergang) zu schließen.

Ein der Anwendung vorgeschaltetes BIG-IP ermöglicht es, den Dienst mit Microsoft Entra-Vorab-Authentifizierung und headerbasiertem SSO zu überlagern. Diese Konfiguration verbessert den gesamten Sicherheitsstatus der Anwendung.

Hinweis

Mit dem Microsoft Entra-Anwendungsproxy können Organisationen Remotezugriff auf diesen Anwendungstyp erhalten. Erfahren Sie mehr: Remotezugriff auf lokale Anwendungen über den Microsoft Entra-Anwendungsproxy

Szenarioarchitektur

Die SHA-Lösung enthält Folgendes:

  • Anwendung: Von BIG-IP veröffentlichter Dienst, der durch SHA von Microsoft Entra geschützt wird
  • Microsoft Entra ID: SAML-Identitätsanbieter (Security Assertion Markup Language), der Benutzeranmeldeinformationen, bedingten Zugriff und SAML-basiertes einmaliges Anmelden für den BIG-IP-Dienst überprüft. Durch die SSO-Funktionalität stellt Microsoft Entra ID BIG-IP die Sitzungsattribute bereit.
  • BIG-IP: Reverseproxy und SAML-Dienstanbieter (Service Provider, SP) für die Anwendung, der die Authentifizierung an den SAML-Identitätsanbieter delegiert, bevor headerbasiertes einmaliges Anmelden bei der Back-End-Anwendung durchgeführt wird.

Für dieses Szenario unterstützt SHA durch SP und IdP eingeleitete Flows. Die folgende Abbildung veranschaulicht den durch SP eingeleiteten Flow.

Diagramm der Konfiguration mit einem SP-initiierten Flow.

  1. Der Benutzer stellt eine Verbindung mit dem Anwendungsendpunkt (BIG-IP) her.
  2. Die BIG-IP-APM-Zugriffsrichtlinie leitet Benutzer an Microsoft Entra ID (SAML IdP) um.
  3. Microsoft Entra führt eine Vorauthentifizierung von Benutzern durch und wendet Richtlinien für bedingten Zugriff an.
  4. Der Benutzer wird zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das einmalige Anmelden findet unter Verwendung des ausgestellten SAML-Tokens statt.
  5. BIG-IP fügt Microsoft Entra-Attribute als Header in die Anwendungsanforderung ein.
  6. Die Anwendung autorisiert die Anforderung und gibt Nutzdaten zurück.

Voraussetzungen

Für das Szenario benötigen Sie Folgendes:

  • Azure-Abonnement
  • Eine der folgenden Rollen: Globaler Administrator, Cloudanwendungsadministrator oder Anwendungsadministrator
  • Eine BIG-IP-Instanz oder Bereitstellung einer BIG-IP Virtual Edition (VE) in Azure
  • Eine der folgenden F5 BIG-IP-Lizenzen:
    • F5 BIG-IP® Best Bundle
    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM)
    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 Tage gültige Testversion für sämtliche Features von BIG-IP. Mehr dazu finden Sie unter Kostenlose Testversionen
  • Benutzeridentitäten, die aus einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden
  • Ein SSL-Webzertifikat zur Veröffentlichung von Diensten über HTTPS oder BIG-IP-Standardzertifikate für Testzwecke
  • Eine headerbasierte Anwendung oder Einrichten einer IIS-Header-App für Testzwecke

BIG-IP-Konfiguration

In diesem Tutorial wird Guided Configuration v16.1 mit einer Easy Button-Vorlage verwendet. Die Easy Button-Vorlage erspart Administratoren Umwege beim Aktivieren von SHA-Diensten. Bereitstellung und Richtlinienverwaltung erfolgen durch den Assistenten für Guided Configuration und Microsoft Graph. Die Integration zwischen BIG-IP APM und Microsoft Entra stellt sicher, dass Anwendungen Identitätsverbund, einmaliges Anmelden (Single Sign-On, SSO) und bedingten Zugriff unterstützen.

Hinweis

Ersetzen Sie die Beispielzeichenfolgen oder -werte durch die Zeichenfolgen oder Werte für Ihre Umgebung.

Registrieren von “Easy Button“

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Bevor ein Client oder Dienst auf Microsoft Graph zugreift, muss die Microsoft Identity Platform diesem vertrauen.

Weitere Informationen: Schnellstart: Registrieren einer Anwendung bei der Microsoft Identity Platform.

Erstellen Sie die Registrierung einer Mandanten-App, um den Easy Button-Zugriff auf Graph zu autorisieren. Durch diese Berechtigungen pusht BIG-IP die Konfigurationen zum Einrichten einer Vertrauensstellung zwischen einer SAML-Dienstanbieterinstanz für eine veröffentlichte Anwendung und Microsoft Entra ID als SAML-Identitätsanbieter (IdP).

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen>Neue Registrierung.

  3. Wählen Sie unter Verwalten Folgendes aus: App-Registrierungen > Neue Registrierung.

  4. Geben Sie unter Name einen Anwendungsnamen ein.

  5. Geben Sie an, wer die Anwendung verwendet.

  6. Wählen Sie Nur Konten in diesem Organisationsverzeichnis aus.

  7. Wählen Sie Registrieren.

  8. Navigieren Sie zu API-Berechtigungen.

  9. Autorisieren Sie die folgenden Microsoft Graph-Anwendungsberechtigungen:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Application.ReadWrite.OwnedBy
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  10. Erteilen Sie die Administratoreinwilligung für Ihre Organisation.

  11. Generieren Sie unter Zertifikate und Geheimnisse einen neuen geheimen Clientschlüssel. Notieren Sie den geheimen Clientschlüssel.

  12. Wechseln Sie zu Übersicht, und notieren Sie die Client-ID und die Mandanten-ID.

Konfigurieren von “Easy Button“

  1. Starten Sie die geführte APM-Konfiguration.

  2. Starten Sie die Easy Button-Vorlage.

  3. Navigieren Sie zu Zugriff > Gesteuerte Konfiguration.

  4. Wählen Sie Microsoft-Integration aus

  5. Wählen Sie Microsoft Entra-Anwendungsproxy aus.

  6. Überprüfen Sie die Konfigurationsschritte.

  7. Wählen Sie Weiter aus.

  8. Verwenden Sie die dargestellte Abfolge der Schritte, um Ihre Anwendung zu veröffentlichen.

    Diagramm der Veröffentlichungssequenz.

Configuration Properties

Verwenden Sie die Registerkarte Konfigurationseigenschaften, um eine BIG-IP-Anwendungskonfiguration und ein SSO-Objekt zu erstellen. Azure-Dienstkontodetails stellen den Client dar, den Sie im Microsoft Entra-Mandanten registriert haben. Verwenden Sie die Einstellungen für den BIG-IP OAuth-Client, um einen SAML-Dienstanbieter mit SSO-Eigenschaften in Ihrem Mandanten zu registrieren. Easy Button führt diese Aktion für veröffentlichte und für SHA aktivierte BIG-IP-Dienste aus.

Sie können die Einstellungen wiederverwenden, um weitere Anwendungen zu veröffentlichen.

  1. Geben Sie einen Konfigurationsnamen ein.

  2. Wählen Sie für Einmaliges Anmelden (SSO) und HTTP-Headers die Option Ein aus.

  3. Geben Sie unter Mandanten-ID, Client-ID und Geheimer Clientschlüssel die Werte ein, die Sie notiert hatten.

  4. Vergewissern Sie sich, dass BIG-IP eine Verbindung mit Ihrem Mandanten herstellen kann.

  5. Wählen Sie Weiter aus.

    Screenshot der Einträge und Optionen für Konfigurationseigenschaften.

Dienstanbieter

Definieren Sie unter „Dienstanbietereinstellungen“ die Einstellungen der SAML-Dienstanbieterinstanz für die durch SHA geschützte Anwendung.

  1. Geben Sie einen Host ein, den öffentlichen FQDN der Anwendung.

  2. Geben Sie unter Entitäts-ID einen Bezeichner ein, den Microsoft Entra ID zum Identifizieren des SAML-Dienstanbieters verwendet, der ein Token anfordert.

    Screenshot der Eingabefelder für den Dienstanbieter.

  3. (Optional) Wählen Sie unter Sicherheitseinstellungen die Option Verschlüsselungsassertion aktivieren aus, damit Microsoft Entra ID ausgestellte SAML-Assertionen verschlüsseln kann. Microsoft Entra ID- und BIG-IP APM-Verschlüsselungsassertionen tragen dazu bei, sicherzustellen, dass weder Inhaltstoken abgefangen noch persönliche oder Unternehmensdaten kompromittiert werden.

  4. Wählen Sie unter Sicherheitseinstellungen in der Liste Privater Schlüssel zur Assertion-Entschlüsselung die Option Neu erstellen aus.

    Screenshot der Option „Neu erstellen“ in der Liste „Privater Schlüssel zur Assertion-Entschlüsselung“.

  5. Klicken Sie auf OK.

  6. Daraufhin wird das Dialogfeld SSL-Zertifikat und -Schlüssel importieren angezeigt.

  7. Wählen Sie unter Importtyp die Option PKCS 12 (IIS) aus. Diese Aktion importiert das Zertifikat und den privaten Schlüssel.

  8. Wählen Sie unter Zertifikat und Schlüsselname die Option Neu aus, und geben Sie die Eingabe ein.

  9. Geben Sie das Kennwort ein.

  10. Wählen Sie Importieren aus.

  11. Schließen Sie die Browserregisterkarte, um zur Hauptregisterkarte zurückzukehren.

Screenshot: Auswahl und Einträge für die SSL-Zertifikatschlüsselquelle.

  1. Aktivieren Sie das Kontrollkästchen Verschlüsselte Assertion aktivieren.
  2. Wenn Sie Verschlüsselung aktiviert haben, wählen Sie in der Liste Privater Schlüssel zur Assertion-Entschlüsselung das Zertifikat aus. BIG-IP APM verwendet diesen privaten Zertifikatschlüssel, um Microsoft Entra-Assertionen zu entschlüsseln.
  3. Wenn Sie Verschlüsselung aktiviert haben, wählen Sie in der Liste Zertifikat zur Assertion-Entschlüsselung das Zertifikat aus. BIG-IP lädt dieses Zertifikat in Microsoft Entra ID hoch, um die ausgestellten SAML-Assertionen zu verschlüsseln.

Screenshot von zwei Einträgen und einer Option für Sicherheitseinstellungen.

Microsoft Entra ID

Verwenden Sie die folgenden Anweisungen, um eine neue BIG-IP SAML-Anwendung in Ihrem Microsoft Entra-Mandanten zu konfigurieren. Easy Button umfasst Anwendungsvorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP sowie eine allgemeine SHA-Vorlage.

  1. Wählen Sie in Azure-Konfiguration unter Konfigurationseigenschaftendie Option F5 BIG-IP APM Microsoft Entra ID-Integration aus.
  2. Wählen Sie Hinzufügen aus.

Azure-Konfiguration

  1. Geben Sie unter Display Name (Anzeigename) eine Anwendung ein, die BIG-IP im Microsoft Entra-Mandanten erstellt. Benutzer sehen den Namen mit einem Symbol in Microsoft Meine Apps.

  2. Überspringen Sie die Anmelde-URL (optional).

  3. Wählen Sie neben Signaturschlüssel und SignaturzertifikatAktualisieren aus, um nach dem zuvor importierten Zertifikat zu suchen.

  4. Geben Sie unter Passphrase für Signaturschlüssel das Zertifikatkennwort ein.

  5. (Optional) Aktivieren Sie Signaturoption, um sicherzustellen, dass BIG-IP von Microsoft Entra ID signierte Token und Ansprüche akzeptiert.

    Screenshot zeigt Azure Konfiguration - Informationen des Signaturzertifikats hinzufügen

  6. Eingaben für Benutzer und Benutzergruppen werden dynamisch abgefragt.

    Wichtig

    Fügen Sie zum Testen einen Benutzer oder eine Gruppe hinzu. Andernfalls wird der Zugriff verweigert. Wählen Sie unter Benutzer und Benutzergruppen die Option + Hinzufügen aus.

    Screenshot der Option „Hinzufügen“ für Benutzer*innen und Benutzergruppen.

Benutzerattribute und Ansprüche

Wenn sich ein Benutzer authentifiziert, gibt Microsoft Entra ID ein SAML-Token mit Ansprüchen und Attributen aus, das den Benutzer identifiziert. Die Registerkarte Benutzerattribute und Ansprüche enthält Standardansprüche für die Anwendung. Verwenden Sie die Registerkarte, um weitere Ansprüche zu konfigurieren.

Schließen Sie ein weiteres Attribut ein:

  1. Geben Sie als Headernameemployeeid ein.

  2. Geben Sie als Quellattributuser.employeeid ein.

    Screenshot der Werte unter „Zusätzliche Ansprüche“.

Zusätzliche Benutzerattribute

Aktivieren Sie auf der Registerkarte Zusätzliche Benutzerattribute die Sitzungserweiterung. Verwenden Sie dieses Feature für verteilte Systeme wie Oracle, SAP und andere JAVA-Implementierungen, für die Attribute in anderen Verzeichnissen gespeichert werden müssen. Attribute, die aus einer LDAP-Quelle (Lightweight Directory Access Protocol) abgerufen werden, werden als weitere SSO-Header eingefügt. Mit dieser Aktion können Sie den Zugriff auf der Grundlage von Rollen, Partner-IDs usw. steuern.

Hinweis

Dieses Feature hat keine Korrelation mit Microsoft Entra ID. Es handelt sich um eine Attributquelle. 

Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff steuern den Zugriff auf der Grundlage von Gerät, Anwendung, Standort und Risikosignalen.

  • Suchen Sie unter Verfügbare Richtlinien nach Richtlinien für bedingten Zugriff ohne Benutzeraktionen
  • Suchen Sie unter Ausgewählte Richtlinien nach der Cloud-App-Richtlinie
    • Sie können diese Richtlinien nicht deaktivieren oder in die Liste „Verfügbare Richtlinien“ verschieben, da sie auf Mandantenebene durchgesetzt werden.

So wählen Sie eine Richtlinie aus, die auf die zu veröffentlichende Anwendung angewendet werden soll:

  1. Wählen Sie auf der Registerkarte Richtlinie für bedingten Zugriff in der Liste Verfügbare Richtlinien eine Richtlinie aus.
  2. Wählen Sie den Pfeil nach rechts aus, und verschieben Sie die Richtlinie in die Liste Ausgewählte Richtlinien.

Hinweis

Sie können für eine Richtlinie die Option Einschließen oder Ausschließen auswählen. Wenn beide Optionen ausgewählt sind, wird die Richtlinie nicht durchgesetzt.

Screenshot der Option „Ausschließen“, die für Richtlinien in „Ausgewählte Richtlinien“ aktiviert ist.

Hinweis

Die Liste der Richtlinien wird angezeigt, wenn Sie die Registerkarte Richtlinie für bedingten Zugriff auswählen. Wählen Sie Aktualisieren aus, dann fragt der Assistent den Mandanten ab. Die Aktualisierung wird angezeigt, nachdem eine Anwendung bereitgestellt wurde.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird. Der Server lauscht auf Clientanforderungen an die Anwendung. Der empfangene Datenverkehr wird verarbeitet und anhand des APM-Profils ausgewertet, das dem virtuellen Server zugeordnet ist. Der Datenverkehr wird entsprechend der Richtlinie geleitet.

  1. Geben Sie unter Zieladresse eine IPv4- oder IPv6-Adresse ein, die BIG-IP zum Empfangen von Clientdatenverkehr verwendet. Achten Sie darauf, dass ein entsprechender Eintrag auf dem Domänennamenserver (DNS) vorhanden ist, damit Clients die externe URL der veröffentlichten BIG-IP-Anwendung in diese IP-Adresse auflösen können. Sie können zu Testzwecken die localhost-DNS des Computers verwenden.

  2. Geben Sie unter Dienstport443 ein, und wählen Sie HTTPS aus.

  3. Aktivieren Sie das Kontrollkästchen Umleitungsport aktivieren.

  4. Geben Sie einen Wert für Umleitungsport ein. Diese Option leitet eingehenden HTTP-Clientdatenverkehr an HTTPS um.

  5. Wählen Sie das Client-SSL-Profil aus, das Sie erstellt haben, oder übernehmen Sie zum Testen die Standardeinstellung. Mit dem Client-SSL-Profil wird der virtuelle Server für HTTPS aktiviert, sodass Clientverbindungen über TLS verschlüsselt werden.

    Screenshot: Zieladresse, Dienstport und ein ausgewähltes Profil in den Eigenschaften des virtuellen Servers.

Pooleigenschaften

Auf der Registerkarte Anwendungspool werden die Dienste hinter einer BIG-IP-Instanz aufgeführt und als Pool mit einem oder mehreren Anwendungsservern dargestellt.

  1. Wählen Sie unter Pool auswählendie Option Neu erstellen aus, oder wählen Sie einen anderen Pool aus.

  2. Wählen Sie als LastenausgleichsmethodeRoundrobin aus.

  3. Wählen Sie als Poolserver einen Knoten aus, oder wählen Sie eine IP-Adresse und einen Port für den Server aus, der die headerbasierte Anwendung hostet.

    Screenshot: IP-Adresse oder Knotenname und Porteinträge in den Pooleigenschaften.

    Hinweis

    Die Microsoft-Back-End-Anwendung befindet sich am HTTP-Port 80. Wenn Sie HTTPS auswählen, verwenden Sie 443.

Einmaliges Anmelden und HTTP-Header

Mit einmaligem Anmelden können Benutzer auf veröffentlichte BIG-IP-Dienste zugreifen, ohne Anmeldeinformationen eingeben zu müssen. Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO.

  1. Fügen Sie in Einmaliges Anmelden und HTTP-Headers unter SSO-Headers als HeadervorgangEinfügen aus

  2. Verwenden Sie als Headernamenupn.

  3. Verwenden Sie als Headerwert%{session.saml.last.identity}.

  4. Wählen Sie unter HeadervorgangEinfügen aus.

  5. Verwenden Sie unter Headername die Zeichenfolge employeeid.

  6. Verwenden Sie als Headerwert%{session.saml.last.attr.name.employeeid}.

    Screenshot der Einträge und ausgewählten Optionen für SSO-Header.

    Hinweis

    Bei APM-Sitzungsvariablen in geschweiften Klammern wird die Groß- und Kleinschreibung unterschieden. Inkonsistenzen führen zu Fehlern bei der Attributzuordnung.

Sitzungsverwaltung

Verwenden Sie die Einstellungen der BIG-IP-Sitzungsverwaltung, um die Bedingungen für die Beendigung und Fortsetzung von Sitzungen zu definieren.

Weitere Informationen finden Sie unter support.f5.com, und lesen Sie K18390492: Sicherheit | BIG-IP APM-Betriebshandbuch

Das einmalige Abmelden (Single Log Out, SLO) stellt sicher, dass IdP-, BIG-IP- und Benutzer-Agent-Sitzungen beendet werden, wenn Benutzer sich abmelden. Wenn Easy Button eine SAML-Anwendung in Ihrem Microsoft Entra-Mandanten instanziiert, wird die Abmelde-URL mit dem APM-SLO-Endpunkt aufgefüllt. Die durch IdP eingeleitete Abmeldung von Meine Apps beendet BIG-IP- und Clientsitzungen.

Weitere Informationen finden Sie unter Meine Apps

Die SAML-Verbundmetadaten für die veröffentlichte Anwendung werden aus Ihrem Mandanten importiert. Der Import stellt dem APM den SAML-Abmeldeendpunkt für Microsoft Entra ID zur Verfügung. Diese Aktion sorgt dafür, dass eine vom Dienstanbieter eingeleitete Abmeldung Client- und Microsoft Entra-Sitzungen beendet. Stellen Sie sicher, dass der APM weiß, wann eine Benutzerabmeldung erfolgt.

Wenn das BIG-IP-Webtop-Portal auf veröffentlichte Anwendungen zugreift, wird eine Abmeldung von der APM-Instanz so verarbeitet, dass der Microsoft Entra-Abmeldeendpunkt aufgerufen wird. Wenn das BIG-IP-Webportal nicht verwendet wird, können Benutzer die APM nicht anweisen, sich abzumelden. Wenn sich der Benutzer von der Anwendung abmeldet, wird dies von BIG-IP nicht bemerkt. Stellen Sie daher sicher, dass vom Dienstanbieter eingeleitete Abmeldungen Sitzungen sicher beenden. Sie können der Schaltfläche Abmelden einer Anwendung eine SLO-Funktion hinzufügen, damit Ihr Client an den Microsoft Entra-SAML- oder BIG-IP-Abmeldeendpunkt umgeleitet wird. Um die Endpunkt-URL für die SAML-Abmeldung für Ihren Mandanten zu finden, wechseln Sie zu App-Registrierungen > Endpunkte.

Wenn Sie die App nicht ändern können, aktivieren Sie in BIG-IP das Lauschen auf den Abmeldeaufruf der App, und lösen Sie SLO aus.

Weitere Informationen:

Bereitstellen

Die Bereitstellung liefert eine Aufschlüsselung Ihrer Konfigurationen.

  1. Wählen Sie Bereitstellen aus, um Ihre Einstellungen zu committen.
  2. Überprüfen Sie die Anwendung in der Liste der Unternehmensanwendungen Ihres Mandanten.
  3. Ihre Anwendung wird veröffentlicht und ist über SHA, über die URL oder die Microsoft-Anwendungsportale zugänglich.

Testen

  1. Stellen Sie in einem Browser eine Verbindung mit der externen URL der Anwendung her, oder wählen Sie in Meine Apps das Symbol der Anwendung aus.
  2. Authentifizieren Sie sich bei Microsoft Entra ID.
  3. Sie werden zum virtuellen BIG-IP-Server für die Anwendung umgeleitet und über einmaliges Anmelden (Single Sign-On, SSO) angemeldet.

Der folgende Screenshot zeigt die Ausgabe von eingeschleusten Headern der headerbasierten Anwendung.

Screenshot: UPN, Mitarbeiter-ID und Ereignisrollen unter Servervariablen.

Hinweis

Sie können den direkten Zugriff auf die Anwendung blockieren und dadurch einen Pfad über BIG-IP erzwingen.

Erweiterte Bereitstellung

Für einige Szenarios fehlt es den Vorlagen für die geführte Konfiguration an Flexibilität.

Weitere Informationen Tutorial: Konfigurieren von Access Policy Manager von F5 BIG-IP für headerbasiertes einmaliges Anmelden.

In BIG-IP können Sie den strikten Verwaltungsmodus für Guided Configuration deaktivieren. Ändern Sie dann Konfigurationen manuell, allerdings sind die meisten Konfigurationen mit Assistentenvorlagen automatisiert.

  1. Navigieren Sie zu Zugriff > Geführte Konfiguration, um den Strict-Modus zu deaktivieren.

  2. Wählen Sie in der Zeile für die Anwendungskonfiguration das Vorhängeschlosssymbol aus.

  3. Alle BIG-IP-Objekte, die der veröffentlichten Instanz der Anwendung zugeordnet sind, werden für die Verwaltung entsperrt. Änderungen mit dem Assistenten sind nicht mehr möglich.

    Screenshot: Symbol „Vorhängeschloss“.

    Hinweis

    Wenn Sie den Strict-Modus erneut aktivieren und eine Konfiguration bereitstellen, überschreibt die Aktion Einstellungen, die nicht in der geführten Konfiguration enthalten sind. Für Produktionsdienste wird die erweiterte Konfiguration empfohlen.

Problembehandlung

Verwenden Sie die folgende Anleitung bei der Problembehandlung.

Ausführlichkeit der Protokolle

BIG-IP-Protokolle können dazu beitragen, Probleme mit Konnektivität, einmaligem Anmelden, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen zu isolieren. Erhöhen Sie zur Problembehandlung den Ausführlichkeitsgrad des Protokolls.

  1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht.
  2. Wählen Sie Ereignisprotokolle aus.
  3. Wählen Sie Settingsaus.
  4. Wählen Sie die Zeile Ihrer veröffentlichten Anwendung aus
  5. Wählen Sie Bearbeiten aus.
  6. Wählen Sie Auf Systemprotokolle zugreifen aus.
  7. Wählen Sie in der SSO-Liste Debuggen aus.
  8. Klicken Sie auf OK.
  9. Reproduzieren Sie das Problem.
  10. Untersuchen Sie die Protokolle.

Hinweis

Setzen Sie dieses Feature zurück, wenn Sie fertig sind. Im ausführlichen Modus werden übermäßige Datenmengen generiert.

BIG-IP-Fehlermeldung

Wenn nach Microsoft Entra Vorauthentifizierung eine BIG-IP-Fehlermeldung angezeigt wird, kann sich das Problem auf Microsoft Entra einmaliges Anmelden von ID-zu-BIG-IP beziehen.

  1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht.
  2. Wählen Sie Zugriffsberichte aus.
  3. Führen Sie den Bericht für die letzte Stunde aus.
  4. Überprüfen Sie die Protokolle auf Hinweise.

Verwenden Sie den Link Sitzungsvariablen anzeigen für Ihre Sitzung, um zu ermitteln, ob der APM erwartete Microsoft Entra-Ansprüche empfängt.

Keine BIG-IP-Fehlermeldung

Wenn keine BIG-IP-Fehlermeldung angezeigt wird, hängt das Problem möglicherweise mit der Back-End-Anforderung oder dem einmaligen Anmelden von BIG-IP bei der Anwendung zusammen.

  1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht.
  2. Wählen Sie Aktive Sitzungen aus.
  3. Wählen Sie den Link der aktiven Sitzung aus.

Verwenden Sie den Link Variablen anzeigen, um SSO-Probleme zu ermitteln, insbesondere, wenn BIG-IP APM nicht die richtigen Attribute erhält.

Weitere Informationen: