Tutorial: Konfigurieren von F5 BIG-IP Easy Button für einmaliges Anmelden (Single Sign-On, SSO) bei Oracle JDE

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie Oracle JD Edwards (JDE) mit Microsoft Entra ID mithilfe von F5 BIG-IP Easy Button Guided Configuration schützen.

Die Integration von BIG-IP in Microsoft Entra ID bietet viele Vorteile:

Weitere Informationen:

Beschreibung des Szenarios

In diesem Tutorial verwenden Sie eine Oracle JDE-Anwendung, die HTTP-Autorisierungsheader verwendet, um den Zugriff auf geschützte Inhalte zu verwalten.

Legacyanwendungen fehlt es an modernen Protokollen zur Unterstützung der Integration in Microsoft Entra. Die Modernisierung ist kostspielig, erfordert Planung und birgt das Risiko potenzieller Ausfallzeiten. Verwenden Sie stattdessen einen F5 BIG-IP Application Delivery Controller (ADC), um die Lücke zwischen Legacyanwendungen und moderner ID-Steuerung mit Protokollübergang zu schließen.

Mit einer der App vorgeschalteten BIG-IP-Instanz überlagern Sie den Dienst mit Microsoft Entra-Vorauthentifizierung und headerbasiertem SSO. Dadurch wird der Sicherheitsstatus der Anwendung verbessert.

Szenarioarchitektur

Die SHA-Lösung für dieses Szenario besteht aus mehreren Komponenten:

  • Oracle JDE-Anwendung: Veröffentlichter BIG-IP-Dienst, der durch SHA von Microsoft Entra geschützt wird
  • Microsoft Entra ID: SAML(Security Assertion Markup Language)-Identitätsanbieter (IdP), der Benutzeranmeldeinformationen, bedingten Zugriff und SAML-basiertes einmaliges Anmelden für BIG-IP überprüft
    • Durch die SSO-Funktionalität stellt Microsoft Entra ID BIG-IP die erforderlichen Sitzungsattribute bereit
  • BIG-IP: Reverseproxy und SAML-Dienstanbieter (SP) für die Anwendung
    • BIG-IP delegiert die Authentifizierung an den SAML-Identitätsanbieter (Identity Provider, IdP) und führt dann headerbasiertes einmaliges Anmelden beim Oracle-Dienst aus.

In diesem Tutorial unterstützt SHA SP- und IdP-initiierte Flows. Die folgende Abbildung veranschaulicht den durch den SP eingeleiteten Flow.

Diagram of secure hybrid access with SP-initiated flow.

  1. Der Benutzer stellt eine Verbindung mit dem Anwendungsendpunkt (BIG-IP) her.
  2. Die BIG-IP-APM-Zugriffsrichtlinie leitet Benutzer an Microsoft Entra ID (SAML IdP) um.
  3. Microsoft Entra führt eine Vorauthentifizierung von Benutzern durch und wendet Richtlinien für bedingten Zugriff an.
  4. Der Benutzer wird zu BIG-IP umgeleitet (SAML-SP). SSO erfolgt mit einem ausgestellten SAML-Token.
  5. BIG-IP fügt Microsoft Entra-Attribute als Header in die Anwendungsanforderung ein.
  6. Die Anwendung autorisiert die Anforderung und gibt Nutzdaten zurück.

Voraussetzungen

  • Ein Microsoft Entra ID Free-Konto oder höher
  • Eine BIG-IP-Instanz oder BIG-IP Virtual Edition (VE) in Azure
  • Eine der folgenden F5 BIG-IP-Lizenzen:
    • F5 BIG-IP® Best Bundle
    • F5 BIG-IP APM eigenständige Lizenz
    • F5 BIG-IP APM Zusatzlizenz für eine vorhandene BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 Tage gültige Testlizenz für sämtliche Features von BIG-IP.
  • Benutzeridentitäten, die von einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden oder in Microsoft Entra ID erstellt und an das lokale Verzeichnis weitergegeben werden
  • Eine der folgenden Rollen: Globaler Administrator, Cloudanwendungsadministrator oder Anwendungsadministrator
  • Ein SSL-Webzertifikat zur Veröffentlichung von Diensten über HTTPS oder BIG-IP-Standardzertifikate für Testzwecke
  • Eine Oracle JDE-Umgebung

BIG-IP-Konfiguration

In diesem Tutorial wird die Verwendung der Guided Configuration 16.1 mit Easy Button-Vorlage behandelt. Mit Easy Button müssen Administrator*innen nicht mehr zwischen Microsoft Entra ID und BIG-IP wechseln, um Dienste für SHA zu aktivieren. Bereitstellung und Richtlinienverwaltung erfolgen durch den APM-Assistenten für Guided Configuration und Microsoft Graph. Durch die Integration wird sichergestellt, dass Anwendungen Identitätsverbund, SSO und bedingten Zugriff unterstützen.

Hinweis

Ersetzen Sie die Beispielzeichenfolgen oder -werte in diesem Tutorial durch die Zeichenfolgen oder Werte für Ihre Umgebung.

Registrieren von Easy Button

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Bevor ein Client oder Dienst auf Microsoft Graph zugreift, muss die Microsoft Identity Platform diesem vertrauen.

Weitere Informationen: Schnellstart: Registrieren einer Anwendung bei der Microsoft Identity Platform

Anhand der folgenden Anweisungen können Sie eine Mandanten-App-Registrierung erstellen, um den Easy Button-Zugriff auf Graph zu autorisieren. Durch diese Berechtigungen pusht BIG-IP die Konfigurationen zum Einrichten einer Vertrauensstellung zwischen einer SAML-Dienstanbieterinstanz für eine veröffentlichte Anwendung und Microsoft Entra ID als SAML-Identitätsanbieter (IdP).

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen>Neue Registrierung.

  3. Geben Sie unter Name einen Anwendungsnamen ein.

  4. Geben Sie unter Nur Konten in diesem Organisationsverzeichnis an, wer die Anwendung verwendet.

  5. Wählen Sie Registrieren.

  6. Navigieren Sie zu API-Berechtigungen.

  7. Autorisieren Sie die folgenden Microsoft Graph-Anwendungsberechtigungen:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Application.ReadWrite.OwnedBy
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Erteilen Sie Ihrer Organisation die Administratoreinwilligung.

  9. Wechseln Sie zu Zertifikate & Geheimnisse.

  10. Generieren Sie einen neuen geheimen Clientschlüssel, und notieren Sie sich diesen.

  11. Navigieren Sie zu Übersicht, und notieren Sie sich die Client-ID und die Mandanten-ID.

Konfigurieren von Easy Button

  1. Leiten Sie in APM die Guided Configuration (Geführte Konfiguration) ein.

  2. Starten Sie die Easy Button-Vorlage.

  3. Navigieren Sie zu Access > Guided Configuration (Zugriff > Geführte Konfiguration).

  4. Wählen Sie Microsoft-Integration aus.

  5. Wählen Sie Microsoft Entra-Anwendungsproxy aus.

  6. Überprüfen Sie die Konfigurationsfolge.

  7. Klicken Sie auf Weiter.

  8. Folgen Sie der Konfigurationsfolge.

    Screenshot of configuration sequence under Microsoft Entra Application Configuration.

Configuration Properties

Verwenden Sie die Registerkarte Konfigurationseigenschaften, um eine neue Anwendungskonfiguration und SSO-Objekte zu erstellen. Im Abschnitt Details zum Azure-Dienstkonto wird der Client, den Sie im Microsoft Entra-Mandanten registriert haben, als Anwendung dargestellt. Verwenden Sie die Einstellungen für den BIG-IP OAuth-Client, um einen SAML-Dienstanbieter mit SSO-Eigenschaften im Mandanten zu registrieren. Easy Button führt diese Aktion für von BIG-IP veröffentlichte und für SHA aktivierte Dienste aus.

Hinweis

Einige der folgenden Einstellungen sind global. Sie können sie wiederverwenden, um weitere Anwendungen zu veröffentlichen.

  1. Wählen Sie für Einmaliges Anmelden (SSO) und HTTP-Headers die Option Ein aus.

  2. Geben Sie unter Mandanten-ID, Client-ID und „Geheimer Clientschlüssel“ die Werte ein, die Sie sich notiert hatten.

  3. Vergewissern Sie sich, dass die BIG-IP-Instanz eine Verbindung mit dem Mandanten herstellen kann.

  4. Klicken Sie auf Weiter.

    Screenshot of options and selections for Configuration Properties.

Dienstanbieter

Die Dienstanbietereinstellungen definieren die Eigenschaften der SAML-SP-Instanz der durch SHA geschützten Anwendung.

  1. Geben Sie unter Host den öffentlichen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) der geschützten Anwendung ein.

  2. Geben Sie für Entitäts-ID den Bezeichner ein, den Microsoft Entra ID zum Identifizieren des SAML-Dienstanbieters verwendet, der ein Token anfordert.

    Screenshot of options and selections for Service Provider.

  3. (Optional) Geben Sie unter Sicherheitseinstellungen an, ob ausgestellte SAML-Assertionen von Microsoft Entra ID verschlüsselt werden sollen. Diese Option sorgt für mehr Sicherheit, indem verhindert wird, dass Inhaltstoken abgefangen oder Daten kompromittiert werden können.

  4. Wählen Sie in der Liste Privater Schlüssel zur Assertion-Entschlüsselung die Option Neu erstellen aus.

    Screenshot of Create New in the Assertion Decryption Private Key list.

  5. Wählen Sie OK aus.

  6. Das Dialogfeld Import SSL Certificate and Keys (SSL-Zertifikat und Schlüssel importieren) wird auf einer neuen Registerkarte geöffnet.

  7. Wählen Sie unter Importtyp die Option PKCS 12 (IIS) aus. Mit dieser Option werden Ihr Zertifikat und Ihr privater Schlüssel importiert.

  8. Schließen Sie die Browserregisterkarte, um zur Hauptregisterkarte zurückzukehren.

    Screenshot of options and selections for SSL Certificate and Key Source.

  9. Aktivieren Sie das Kontrollkästchen Verschlüsselte Assertion aktivieren.

  10. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie in der Liste Privater Schlüssel zur Entschlüsselung von Assertionen Ihr Zertifikat aus. Dieser private Schlüssel ist für das Zertifikat, das BIG-IP APM zum Entschlüsseln von Microsoft Entra-Assertionen verwendet.

  11. Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie in der Liste Zertifikat zum Entschlüsseln von Assertionen Ihr Zertifikat aus. BIG-IP lädt dieses Zertifikat in Microsoft Entra ID hoch, um ausgestellte SAML-Assertionen zu verschlüsseln.

Screenshot of options and selections for Security Settings.

Microsoft Entra ID

Easy Button umfasst Vorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP sowie eine allgemeine SHA-Vorlage.

  1. Wählen Sie JD Edwards Protected by F5 BIG-IP aus.
  2. Klicken Sie auf Hinzufügen.

Azure-Konfiguration

  1. Geben Sie den Anzeigenamen für die App ein, die BIG-IP im Mandanten erstellt. Der Name wird in Meine Apps mit einem Symbol angezeigt.

  2. (Optional) Geben Sie unter Anmelde-URL den öffentlichen FQDN der PeopleSoft-Anwendung ein.

  3. Wählen Sie neben dem Signaturschlüssel und neben dem Signaturzertifikat jeweils Aktualisieren aus. Mit dieser Aktion wird das von Ihnen importierte Zertifikat gesucht.

  4. Geben Sie unter Passphrase für Signaturschlüssel das Zertifikatkennwort ein.

  5. (Optional) Wählen Sie unter Signaturoption eine Option aus. Durch diese Auswahl wird sichergestellt, dass BIG-IP von Microsoft Entra ID signierte Token und Ansprüche akzeptiert.

    Screenshot of Signing Key, Signing Certificate, and Signing Key Passprhase options under SAML Signing Certificate.

  6. Benutzer und Benutzergruppen werden vom Microsoft Entra ID-Mandanten dynamisch abgefragt.

  7. Fügen Sie zum Testen einzelne Benutzer*innen oder eine Gruppe hinzu. Andernfalls wird der Zugriff verweigert.

    Screenshot of the Add option under Users And User Groups.

Benutzerattribute und Ansprüche

Wenn sich ein Benutzer authentifiziert, stellt Microsoft Entra ID ein SAML-Token mit Standardansprüchen und -attributen zum Identifizieren des Benutzers aus. Auf der Registerkarte Benutzerattribute & Ansprüche werden die Standardansprüche gezeigt, die für die neue Anwendung ausgestellt werden sollen. Verwenden Sie diese, um weitere Ansprüche zu konfigurieren.

Screenshot of options and selections for User Attributes & Claims.

Fügen Sie bei Bedarf andere Microsoft Entra Attribute ein. Das Oracle JDE-Szenario erfordert Standardattribute.

Zusätzliche Benutzerattribute

Die Registerkarte Zusätzliche Benutzerattribute unterstützt verteilte Systeme, die in anderen Verzeichnissen gespeicherte Attribute für die Sitzungserweiterung erfordern. Attribute aus einer LDAP-Quelle werden als zusätzliche SSO-Header eingefügt, um den Zugriff basierend auf Rollen, Partner-IDs usw. zu steuern.

Hinweis

Dieses Feature hängt nicht mit Microsoft Entra ID zusammen. Es handelt sich dabei um eine andere Attributquelle.

Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff werden nach der Microsoft Entra-Vorabauthentifizierung erzwungen, um den Zugriff basierend auf Gerät, Anwendung, Standort und Risikosignalen zu steuern. Die Ansicht Verfügbare Richtlinien enthält Richtlinien für bedingten Zugriff ohne Benutzeraktionen. Die Ansicht Ausgewählte Richtlinien enthält Richtlinien für Cloud-Apps. Sie können diese Richtlinien nicht deaktivieren oder in die Liste „Verfügbare Richtlinien“ verschieben, da sie auf Mandantenebene durchgesetzt werden.

Wählen Sie eine Richtlinie für die Anwendung aus.

  1. Wählen Sie in der Liste Verfügbare Richtlinien eine Richtlinie aus.
  2. Wählen Sie den Pfeil nach rechts aus, und verschieben Sie die Richtlinie in die Liste Ausgewählte Richtlinien.

Für ausgewählte Richtlinien ist entweder die Option Einschließen oder Ausschließen aktiviert. Wenn beide Optionen aktiviert sind, wird die Richtlinie nicht durchgesetzt.

Screenshot of excluded policies under Selected Policies on the Conditional Access Policy tab.

Hinweis

Die Richtlinienliste wird einmal angezeigt, wenn Sie die Registerkarte auswählen. Verwenden Sie Aktualisieren, damit der Assistent den Mandanten abfragt. Diese Option wird angezeigt, nachdem die Anwendung bereitgestellt wurde.

Eigenschaften eines virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird. Der Server lauscht auf Clientanforderungen an die Anwendung. Der empfangene Datenverkehr wird verarbeitet und anhand des APM-Profils des virtuellen Servers ausgewertet. Datenverkehr wird anschließend entsprechend der Richtlinie weitergeleitet.

  1. Geben Sie unter Zieladresse die IPv4- oder IPv6-Adresse ein, die BIG-IP zum Empfangen des Clientdatenverkehrs verwendet. Im DNS wird ein entsprechender Eintrag angezeigt, anhand dessen die Clients die externe URL der veröffentlichten Anwendung in die IP-Adresse auflösen können. Verwenden Sie zum Testen auf einem Testcomputer das DNS von localhost.

  2. Geben Sie unter Dienstport die Portnummer 443 ein, und wählen Sie HTTPS aus.

  3. Aktivieren Sie das Kontrollkästchen Umleitungsport aktivieren.

  4. Geben Sie unter Umleitungsport die Portnummer 80 ein, und wählen Sie HTTP aus. Diese Option leitet eingehenden HTTP-Clientdatenverkehr an HTTPS um.

  5. Wählen Sie unter SSL-Clientprofil die Option Vorhandenes verwenden aus.

  6. Wählen Sie unter Allgemein die von Ihnen erstellte Option aus. Übernehmen Sie beim Durchführen von Tests die Standardeinstellung. Mit dem SSL-Clientprofil wird der virtuelle Server für HTTPS aktiviert, sodass Clientverbindungen über TLS verschlüsselt werden.

    Screenshot of options and selections for Virtual Server Properties.

Pooleigenschaften

Auf der Registerkarte Anwendungspool werden die Dienste hinter einer BIG-IP-Instanz aufgeführt, dargestellt als Pool mit Anwendungsservern.

  1. Wählen Sie unter Pool auswählen die Option Neu erstellen aus, oder wählen Sie einen Pool aus.

  2. Wählen Sie als Load Balancing Method (Lastenausgleichsmethode) Roundrobin aus.

  3. Wählen Sie unter Poolserver in der Liste IP-Adresse/Knotenname einen Knoten aus, oder geben Sie eine IP-Adresse und einen Port für die Server ein, auf denen die Oracle JDE-Anwendung gehostet wird.

    Screenshot of IP Address/Node Name and Port options on Pool Properties.

Einmaliges Anmelden und HTTP-Header

Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO bei veröffentlichten Anwendungen. Die PeopleSoft-Anwendung erwartet Header.

  1. Aktivieren Sie das Kontrollkästchen HTTP-Header.

  2. Wählen Sie unter Header Operation (Headervorgang) Replace (Ersetzen) aus.

  3. Geben Sie unter Headername die Zeichenfolge JDE_SSO_UID ein.

  4. Geben Sie für Header Value (Headerwert) %{session.sso.token.last.username} ein.

    Screenshot of Header Operation, Header Name, and Header value entries under Single Sign-On & HTTP Headers.

    Hinweis

    Bei APM-Sitzungsvariablen in geschweiften Klammern wird die Groß- und Kleinschreibung unterschieden. Wenn Sie beispielsweise „OrclGUID“ eingeben, der Attributname jedoch „orclguid“ lautet, schlägt die Attributzuordnung fehl.

Sitzungsverwaltung

Verwenden Sie die Einstellungen der BIG-IP-Sitzungsverwaltung, um Bedingungen für die Beendigung und Fortsetzung von Benutzersitzungen zu definieren. Legen Sie Grenzwerte für Benutzer und IP-Adressen fest, und geben Sie entsprechende Benutzerinformationen an.

Weitere Informationen finden Sie auf support.f5.com unter K18390492: Security | BIG-IP APM operations guide (K18390492: Sicherheit | BIG-IP APM-Betriebsleitfaden)

Die Funktion für einmaliges Abmelden (Single Log-Out, SLO) wird im Betriebsleitfaden nicht behandelt. Diese Funktion stellt sicher, dass IdP-, BIG-IP- und Benutzer-Agent-Sitzungen beendet werden, wenn sich Benutzer abmelden. Wenn Easy Button eine SAML-Anwendung im Microsoft Entra-Mandanten instanziiert, wird die Abmelde-URL mit dem APM-SLO-Endpunkt aufgefüllt. Eine IdP-initiierte Abmeldung von Meine Apps beendet BIG-IP- und Clientsitzungen.

Die SAML-Verbunddaten für die veröffentlichte Anwendung werden aus dem Mandanten importiert. Durch diese Aktion erhält der APM den SAML-Abmeldeendpunkt für Microsoft Entra ID, wodurch sichergestellt wird, dass die SP-initiierte Abmeldung Client- und Microsoft Entra-Sitzungen beendet. Der APM muss wissen, wann sich ein Benutzer abmeldet.

Wenn das BIG-IP-Webtop-Portal auf veröffentlichte Anwendungen zugreift, wird eine Abmeldung vom APM so verarbeitet, dass der Microsoft Entra-Abmeldeendpunkt aufgerufen wird. Wenn das BIG-IP-Webtop-Portal nicht verwendet wird, kann der Benutzer den APM nicht anweisen, die Abmeldung auszuführen. Wenn sich der Benutzer von der Anwendung abmeldet, wird dies von der BIG-IP-Instanz nicht bemerkt. Eine SP-initiierte Abmeldung erfordert eine sichere Sitzungsbeendigung. Fügen Sie der Schaltfläche Abmelden Ihrer Anwendung eine SLO-Funktion hinzu, um Ihren Client zum Microsoft Entra-SAML- oder BIG-IP-Abmeldeendpunkt umzuleiten. Die URL des SAML-Abmeldeendpunkts für Ihren Mandanten finden Sie unter App-Registrierungen > Endpunkte.

Wenn Sie die App nicht ändern können, sollten Sie festlegen, dass die BIG-IP-Instanz auf Abmeldeaufrufe von Anwendungen lauscht, um dann SLO auszulösen.

Weitere Informationen finden Sie unter dem folgenden Link: Tutorial: Konfigurieren von BIG-IP Easy Button von F5 für einmaliges Anmelden bei Oracle PeopleSoft, Einmaliges Abmelden von PeopleSoft

Weitere Informationen finden Sie auf „support.f5.com“ unter den folgenden Links:

Bereitstellung

  1. Klicken Sie auf Bereitstellen.
  2. Vergewissern Sie sich, dass die Anwendung in der Liste „Unternehmensanwendungen“ des Mandanten aufgeführt ist.

Bestätigen der Konfiguration

  1. Stellen Sie in einem Browser eine Verbindung mit der externen URL der Oracle JDE-Anwendung her, oder wählen Sie in Meine Apps das entsprechende Anwendungssymbol aus.

  2. Authentifizieren Sie sich bei Microsoft Entra ID.

  3. Sie werden zum virtuellen BIG-IP-Server für die Anwendung umgeleitet und über SSO angemeldet.

    Hinweis

    Sie können den direkten Zugriff auf die Anwendung blockieren und dadurch einen Pfad über BIG-IP erzwingen.

Erweiterte Bereitstellung

In einigen Fällen sind die Guided Configuration-Vorlagen nicht flexibel genug.

Weitere Informationen finden Sie unter dem folgenden Link: Tutorial: Konfigurieren von F5 BIG-IP Access Policy Manager für headerbasiertes einmaliges Anmelden

Sie können alternativ in BIG-IP den strikten Verwaltungsmodus von Guided Configuration deaktivieren. Sie können Konfigurationen manuell ändern, die meisten Konfigurationen sind aber mit Assistentenvorlagen automatisiert.

  1. Navigieren Sie zu Access > Guided Configuration (Zugriff > Geführte Konfiguration).

  2. Wählen Sie am Ende der Leiste das Vorhängeschloss aus.

    Screenshot of the padlock icon.

Es sind keine Änderungen über die Benutzeroberfläche des Assistenten möglich, die der veröffentlichten Anwendungsinstanz zugeordneten BIG-IP-Objekte sind jedoch für die Verwaltung entsperrt.

Hinweis

Wenn Sie den strikten Modus erneut aktivieren und eine Konfiguration bereitstellen, werden die außerhalb von Guided Configuration festgelegten Einstellungen überschrieben. Für Produktionsdienste empfehlen wir die erweiterte Konfiguration.

Problembehandlung

Mithilfe der BIG-IP-Protokollierung können Sie Probleme mit der Konnektivität, SSO, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen isolieren.

Ausführlichkeit des Protokolls

  1. Navigieren Sie zu Zugriffsrichtlinie > Übersicht.
  2. Wählen Sie Ereignisprotokolle aus.
  3. Wählen Sie Settingsaus.
  4. Wählen Sie die Zeile Ihrer veröffentlichten Anwendung aus.
  5. Wählen Sie Bearbeiten aus.
  6. Wählen Sie Auf Systemprotokolle zugreifen aus.
  7. Wählen Sie in der Liste „SSO“ die Option Debug (Debuggen) aus.
  8. Klicken Sie auf OK.
  9. Reproduzieren Sie Ihr Problem.
  10. Untersuchen Sie die Protokolle.

Stellen Sie dieses Feature nach Abschluss des Vorgangs wieder her, weil im ausführlichen Modus viele Daten generiert werden.

BIG-IP-Fehlermeldung

Wenn nach der Microsoft Entra-Vorauthentifizierung eine BIG-IP-Fehlermeldung angezeigt wird, bezieht sich das Problem möglicherweise auf das einmalige Anmelden von Microsoft Entra ID bei BIG-IP.

  1. Navigieren Sie zu Access > Overview (Zugriff > Übersicht).
  2. Wählen Sie Access reports (Auf Berichte zugreifen) aus.
  3. Führen Sie den Bericht für die letzte Stunde aus.
  4. Überprüfen Sie die Protokolle auf Hinweise.

Verwenden Sie den Link Sitzung anzeigen für die Sitzung, um zu bestätigen, dass APM die erwarteten Microsoft Entra-Ansprüche empfängt.

Keine BIG-IP-Fehlermeldung

Wenn keine BIG-IP-Fehlermeldung angezeigt wird, hängt das Problem möglicherweise mit der Back-End-Anforderung oder dem einmaligen Anmelden von BIG-IP bei der Anwendung zusammen.

  1. Navigieren Sie zu Access Policy > Overview (Zugriffsrichtlinie > Übersicht).
  2. Wählen Sie Aktive Sitzungen aus.
  3. Wählen Sie den Link der aktiven Sitzung aus.

Verwenden Sie den Link Variablen anzeigen, um SSO-Probleme zu ermitteln, insbesondere wenn BIG-IP APM falsche Attribute aus Sitzungsvariablen abruft.

Weitere Informationen: