Freigeben über

Tutorial: Konfigurieren von F5 BIG-IP Access Policy Manager für headerbasiertes einmaliges Anmelden

Erfahren Sie, wie Sie sicheren Hybridzugriff (Secure Hybrid Access, SHA) mit einmaligem Anmelden (Single Sign-On, SSO) für headerbasierte Anwendungen mithilfe der erweiterten Konfiguration für F5 BIG-IP implementieren. Konfigurationsvorteile, die von BIG-IP veröffentlichte Anwendungen und Microsoft Entra bieten:

  • Verbesserte Zero Trust-Governance durch Vorabauthentifizierung und bedingten Zugriff von Microsoft Entra
  • Vollständiges einmaliges Anmelden zwischen Microsoft Entra ID und BIG-IP veröffentlichten Diensten
  • Verwaltete Identitäten und Zugriff über eine einzelne Steuerungsebene

Weitere Informationen:

Beschreibung des Szenarios

In diesem Szenario gibt es eine Legacyanwendung, die über HTTP-Autorisierungsheader den Zugriff auf geschützte Inhalte steuert. Im Idealfall verwaltet Microsoft Entra ID den Anwendungszugriff. Das Legacy-System verfügt jedoch nicht über ein modernes Authentifizierungsprotokoll. Eine Modernisierung erfordert Zeit und Aufwand und führt gleichzeitig zu Kosten durch Ausfallzeiten und Risiken. Stattdessen stellen Sie zwischen öffentlichem Internet und interner Anwendung eine BIG-IP-Instanz bereit, um eingehenden Zugriff auf die Anwendung zu steuern.

Ein der Anwendung vorgeschaltetes BIG-IP ermöglicht es, den Dienst mit Microsoft Entra-Vorab-Authentifizierung und headerbasiertem SSO zu überlagern. Diese Konfiguration verbessert den Sicherheitsstatus der Anwendung.

Szenarioarchitektur

Die sichere Hybridzugriffslösung für dieses Szenario besteht aus den folgenden Komponenten:

  • Anwendung – BIG-IP zu veröffentlichender Dienst, der durch Microsoft Entra SHA geschützt werden soll
  • Microsoft Entra ID – ein SAML-Identitätsanbieter (Security Assertion Markup Language), der Benutzeranmeldeinformationen, bedingten Zugriff und SSO überprüft, für den Nachweis der Identität zum BIG-IP
    • Über SSO werden der BIG-IP-Instanz von Microsoft Entra ID erforderliche Sitzungsattribute zur Verfügung gestellt – einschließlich Benutzer-IDs
  • BIG-IP – Reverse-Proxy und SAML-Dienstanbieter (SP) für die Anwendung, wobei die Authentifizierung an den SAML IdP delegiert wird, vor der header-basierten SSO zur Backend-Anwendung.

Das folgende Diagramm veranschaulicht den Benutzerflow mit Microsoft Entra ID, BIG-IP, APM und einer Anwendung.

Diagramm des Benutzerflusses mit Microsoft Entra ID, BIG-IP, APM und einer Anwendung

  1. Der Benutzer stellt eine Verbindung mit dem SAML-Dienstanbieterendpunkt (BIG-IP) der Anwendung her.
  2. Die BIG-IP-APM-Zugriffsrichtlinie leitet Benutzer an Microsoft Entra ID (SAML IdP) um.
  3. Microsoft Entra führt eine Vorauthentifizierung von Benutzern durch und wendet Richtlinien für bedingten Zugriff an.
  4. Der Benutzer wird zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das einmalige Anmelden findet unter Verwendung des ausgestellten SAML-Tokens statt.
  5. BIG-IP fügt Microsoft Entra-Attribute als Header in die Anforderungen an die Anwendung ein.
  6. Die Anwendung autorisiert die Anforderung und gibt Nutzdaten zurück.

Voraussetzungen

Für das Szenario benötigen Sie Folgendes:

  • Azure-Abonnement
  • Eine der folgenden Rollen: Cloudanwendungsadministrator oder Anwendungsadministrator
  • Eine BIG-IP-Instanz oder Bereitstellung einer BIG-IP Virtual Edition (VE) in Azure
  • Eine der folgenden F5 BIG-IP-Lizenzen:
    • F5 BIG-IP® Best Bundle
    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™ (APM)
    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ (APM) für eine Instanz von F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 Tage gültige Testversion für sämtliche Features von BIG-IP. Siehe kostenlose Testversionen.
  • Benutzeridentitäten, die aus einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden
  • Ein SSL-Zertifikat zum Veröffentlichen von Diensten über HTTPS oder zum Verwenden von Standardzertifikaten beim Testen
  • Eine headerbasierte Anwendung oder IIS-Header-App für Testzwecke

BIG-IP-Konfigurationsmethode

Bei den folgenden Anweisungen handelt es sich um eine erweiterte Konfigurationsmethode, mit der Sie SHA flexibel implementieren können. Erstellen Sie BIG-IP-Konfigurationsobjekte manuell. Wählen Sie diese Methode für Szenarien, die nicht in den Guided Configuration-Vorlagen (Geführte Konfiguration) enthalten sind.

Hinweis

Ersetzen Sie Beispielzeichenfolgen oder -werte durch Angaben für Ihre Umgebung.

Der erste Schritt beim Implementieren von SHA besteht darin, eine SAML-Verbundvertrauensstellung zwischen BIG-IP Access Policy Manager (APM) und Microsoft Entra ID einzurichten. Die Vertrauensstellung legt die Integration für BIG-IP fest, um Vorauthentifizierung und bedingten Zugriff an Microsoft Entra ID zu übergeben, bevor Zugriff auf den veröffentlichten Dienst gewährt wird.

Weitere Informationen: Was ist bedingter Zugriff?

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.

  3. Wählen Sie im oberen Menüband +Neue Anwendung aus.

  4. Suchen Sie im Katalog nach F5.

  5. Wählen Sie F5 BIG-IP APM Microsoft Entra ID-Integration aus.

  6. Geben Sie einen Anwendungsnamen ein.

  7. Wählen Sie "Hinzufügen/Erstellen" aus.

  8. Der Name gibt den Dienst wieder.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

  1. Die neuen F5-Anwendungseigenschaften werden angezeigt.

  2. Wählen Sie "Verwalten>Einmaliges Anmelden" aus.

  3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

  4. Überspringen Sie die Aufforderung zum Speichern der Einstellungen für einmaliges Anmelden.

  5. Wählen Sie Nein, ich speichere später.

  6. Wählen Sie beim Einrichten der einmaligen Anmeldung mit SAML für die grundlegende SAML-Konfiguration das Stiftsymbol aus.

  7. Ersetzen Sie die Kennungs-URL durch die veröffentlichte BIG-IP-Dienst-URL. Beispiel: https://mytravel.contoso.com

  8. Wiederholen Sie die Antwort-URL , und schließen Sie den APM SAML-Endpunktpfad ein. Beispiel: https://mytravel.contoso.com/saml/sp/profile/post/acs

    Hinweis

    In dieser Konfiguration wird der SAML-Flow im IdP-Modus betrieben, in dem Microsoft Entra ID dem Benutzer eine SAML-Assertion ausstellt, bevor eine Weiterleitung an den BIG-IP-Dienstendpunkt der Anwendung erfolgt. BIG-IP APM unterstützt den IdP- und SP-Modus.

  9. Geben Sie für logout-URI den BIG-IP APM Single Logout (SLO)-Endpunkt ein, der vom Diensthostheader vorangestellt wird. Der SLO-URI stellt sicher, dass BIG-IP APM-Sitzungen des Benutzers nach der Microsoft Entra-Abmeldung enden. Beispiel: https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Screenshot der Grundlegenden SAML-Konfigurationseingabe für Bezeichner, Antwort-URL, Anmelde-URL usw.

    Hinweis

    Ab TMOS v16 (Traffic Management Operating System) wurde der SAML SLO-Endpunkt in /saml/sp/profile/redirect/slo geändert.

  10. Wählen Sie "Speichern" aus.

  11. Beenden Sie die SAML-Konfiguration.

  12. Überspringen Sie die Eingabeaufforderung zum Testen des einmaligen Anmeldens.

  13. Um die Benutzerattribute und Ansprüche > zu bearbeiten+ neuen Anspruch hinzufügen, wählen Sie das Stiftsymbol aus.

  14. Wählen Sie für "Name" die Option "Employeeid" aus.

  15. Wählen Sie für das Quell-Attribut"user.employeeid" aus.

  16. Wählen Sie "Speichern" aus.

Screenshot der Eingabe für das Attribut

  1. Auswählen + Hinzufügen eines Gruppenanspruchs
  2. Wählen Sie "Gruppen" aus, die dem>>" der Anwendung zugewiesen sind.

Screenshot der Eingabe für das Quellattribute im Dialogfeld

  1. Wählen Sie " Konfiguration speichern " aus.
  2. Schließen Sie die Ansicht.
  3. Beachten Sie die Eigenschaften des Abschnitts "User Attributes & Claims ". Microsoft Entra ID gibt Eigenschaften für die BIG-IP APM-Authentifizierung und das einmalige Anmelden bei der Back-End-Anwendung aus.

Screenshot von Benutzerattributen und Anspruchsinformationen wie Nachname, E-Mail-Adresse, Identität usw.

Hinweis

Fügen Sie weitere Ansprüche hinzu, die die von BIG-IP veröffentlichte Anwendung als Header erwartet. Wenn sie sich in Microsoft Entra ID befinden, werden weitere definierte Ansprüche ausgestellt. Legen Sie Verzeichnismitgliedschaften und Benutzerobjekte in Microsoft Entra ID fest, ehe Ansprüche ausgestellt werden können. Weitere Informationen finden Sie unter Konfigurieren von Gruppenansprüchen für Anwendungen mithilfe der Microsoft Entra-ID.

  1. Wählen Sie im Abschnitt "SAML-Signaturzertifikat" die Option "Herunterladen" aus.
  2. Die XML-Datei der Verbundmetadaten wird auf Ihrem Computer gespeichert.

Von Microsoft Entra ID erstellte SAML-Signaturzertifikate haben eine Lebensdauer von drei Jahren.

Microsoft Entra ID-Autorisierung

Standardmäßig gibt Microsoft Entra ID Token an Benutzer aus, denen der Zugriff auf eine Anwendung gewährt wurde.

  1. Wählen Sie in der Konfigurationsansicht der Anwendung Benutzer und Gruppen aus.
  2. Wählen Sie +Benutzer hinzufügen und in "Aufgabe hinzufügen" die Option "Benutzer und Gruppen" aus.
  3. Fügen Sie im Dialogfeld "Benutzer und Gruppen " die Benutzergruppen hinzu, die für den Zugriff auf die kopfzeilenbasierte Anwendung autorisiert sind.
  4. Wählen Sie "Auswählen" aus.
  5. Wählen Sie Zuweisen aus.

Microsoft Entra SAML-Verbundvertrauensstellung ist abgeschlossen. Als Nächstes richten Sie BIG-IP APM ein, um die mit Eigenschaften konfigurierte Webanwendung zu veröffentlichen, die die Vertrauensstellung für die SAML-Vorauthentifizierung vervollständigen.

Erweiterte Konfiguration

Konfigurieren Sie in den folgenden Abschnitten SAML, headerbasiertes SSO, Zugriffsprofil und mehr.

SAML-Konfiguration

Erstellen Sie den BIG-IP-SAML-Dienstanbieter und die entsprechenden SAML-IdP-Objekte, um den Verbund der veröffentlichten Anwendung mit Microsoft Entra ID einzurichten.

  1. Wählen Sie „Access“>Federation>SAML Service Provider>Lokale SP-Dienste>Erstellen aus.

    Screenshot der Option

  2. Geben Sie einen Namen ein.

  3. Geben Sie die entitäts-ID ein, die in der Microsoft Entra-ID definiert ist.

    Screenshot der Eingabe

  4. Treffen Sie bei den SP-Namenseinstellungen Auswahlmöglichkeiten, wenn die Entitäts-ID nicht mit dem Hostnamen der veröffentlichten URL übereinstimmt, oder wählen Sie aus, wenn sie nicht im regulären hostnamenbasierten URL-Format vorliegt. Geben Sie das externe Schema und den Hostnamen der Anwendung an, wenn die Entitäts-ID urn:mytravel:contosoonline ist.

  5. Scrollen Sie nach unten, um das neue SAML-SP-Objekt auszuwählen.

  6. Wählen Sie Bind/UnBind IdP Connectors aus.

    Screenshot der Option

  7. Wählen Sie "Neuen IdP-Connector erstellen" aus.

  8. Wählen Sie in der Dropdownliste "Aus Metadaten" aus.

    Screenshot der Option

  9. Navigieren Sie zu der XML-Datei mit den Verbundmetadaten, die Sie heruntergeladen haben.

  10. Geben Sie einen Identitätsanbieternamen für das APM-Objekt für den externen SAML-IdP ein. Beispiel: MyTravel_EntraID

Screenshot der Eingabe

  1. Wählen Sie "Neue Zeile hinzufügen" aus.
  2. Wählen Sie den neuen SAML IdP-Connector aus.
  3. Wählen Sie "Aktualisieren" aus.

Screenshot der Option

  1. Wählen Sie "OK" aus.

Screenshot der gespeicherten Einstellungen

Konfiguration der Header-SSO

Erstellen Sie ein SSO-Objekt für APM.

  1. Wählen Sie "Zugriffsprofile>/Richtlinien> "Per-Request "Richtlinien>erstellen" aus.

  2. Geben Sie einen Namen ein.

  3. Fügen Sie mindestens eine akzeptierte Sprache hinzu.

  4. Wählen Sie "Fertig" aus.

    Screenshot der Eingabe für

  5. Wählen Sie für die neue Anforderungsrichtlinie "Bearbeiten" aus.

    Screenshot der Option

  6. Der grafische Richtlinien-Editor wird geöffnet.

  7. Wählen Sie unter "Fallback" das + Symbol aus.

    Screenshot der Plusoption im Fallback-Bereich.

  8. Wählen Sie auf der Registerkarte "Allgemeiner Zweck"HTTP-Header>Element hinzufügen aus.

    Screenshot der Option

  9. Wählen Sie "Neuen Eintrag hinzufügen" aus.

  10. Erstellen Sie drei Änderungseinträge für „HTTP“ und „Header“.

  11. Geben Sie für den Kopfzeilennamen"upn" ein.

  12. Geben Sie für den Headerwert%{session.saml.last.identity} ein.

  13. Geben Sie für Header Nameemployeeid ein.

  14. Geben Sie für den Headerwert%{session.saml.last.attr.name.employeeid} ein.

  15. Geben Sie für den Kopfzeilennamengroup_authz ein.

  16. Geben Sie für den Headerwert%{session.saml.last.attr.name ein.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Hinweis

Bei APM-Sitzungsvariablen in geschweiften Klammern wird Groß- und Kleinschreibung beachtet. Es wird empfohlen, Attribute in Kleinbuchstaben anzugeben.

Screenshot der Kopfzeileneingabe unter

  1. Wählen Sie "Speichern" aus.
  2. Schließen Sie den grafischen Richtlinien-Editor.

Screenshot des visuellen Richtlinien-Editors.

Konfigurieren von Zugriffsprofilen

Ein Zugriffsprofil bindet viele APM-Elemente, die den Zugriff auf virtuelle BIG-IP-Server verwalten, einschließlich Zugriffsrichtlinien, SSO-Konfiguration und Benutzeroberflächeneinstellungen.

  1. Wählen Sie Zugriffsprofile>/Richtlinienzugriffsprofile >(Per-Session Richtlinien)>Erstellen aus.

  2. Geben Sie "MyTravel" für "Name" ein.

  3. Wählen Sie für "Profiltyp" "Alle" aus.

  4. Wählen Sie für "Akzeptierte Sprache" mindestens eine Sprache aus.

  5. wählen Sie "Fertig" aus.

    Screenshot der Einträge für Name, Profiltyp und akzeptierte Sprache.

  6. Wählen Sie für das von Ihnen erstellte Sitzungsprofil "Bearbeiten" aus.

    Screenshot der Option

  7. Der grafische Richtlinien-Editor wird geöffnet.

  8. Wählen Sie unter „Fallback“ das Symbol + aus.

    Screenshot der Plusoption.

  9. Wählen Sie Authentifizierung>SAML-Auth>Element hinzufügen aus.

    Screenshot der SAML-Authentifizierungsoption auf der Registerkarte

  10. Wählen Sie für die Konfiguration der SAML-Authentifizierung SP aus dem Dropdown-Menü "AAA Server" das von Ihnen erstellte SAML SP-Objekt aus.

  11. Wählen Sie "Speichern" aus.

Screenshot der AAA-Serverauswahl.

Attributzuordnung

Die folgenden Anweisungen sind optional. Bei einer Konfiguration für „LogonID_Mapping“ weist die Liste der aktiven BIG-IP-Sitzungen den Benutzerprinzipalnamen (UPN) des angemeldeten Benutzers und keine Sitzungsnummer auf. Nutzen Sie beim Analysieren von Protokollen oder bei der Problembehandlung diese Daten.

  1. Wählen Sie für die SAML Auth Successful Branch das + Symbol aus.

    Screenshot des Pluszeichens auf dem Zweig

  2. Wählen Sie im Popup Zuweisen>Variable zuweisen>Element hinzufügen aus.

    Screenshot der Option

  3. Geben Sie einen Namen ein.

  4. Wählen Sie im Abschnitt "Variable Zuweisen" die Option "Neue Eintragsänderung> hinzufügen" aus. Beispiel: LogonID_Mapping.

    Screenshot der Optionen

  5. Legen Sie für benutzerdefinierte Variable"session.saml.last.identity" fest.

  6. Legen Sie für die Sitzungsvariable"session.logon.last.username" fest.

  7. Wählen Sie "Fertig" aus.

  8. Wählen Sie"Speichern" aus.

  9. Wählen Sie im Zweig "Zugriffsrichtlinie erfolgreich " das Terminal "Verweigern" aus.

  10. Wählen Sie zulassen aus.

  11. Wählen Sie "Speichern" aus.

  12. Wählen Sie "Zugriffsrichtlinie übernehmen" aus.

  13. Schließen Sie den grafischen Richtlinien-Editor.

Back-End-Konfiguration

Damit BIG-IP Clientdatenverkehr ordnungsgemäß weiterleiten kann, erstellen Sie ein APM-Knotenobjekt, das den Back-End-Server darstellt, der Ihre Anwendung hostet. Platzieren Sie den Knoten in einem APM-Pool.

  1. Wählen Sie "Poolliste > für lokale Datenverkehrspools >> erstellen" aus.

  2. Geben Sie für ein Serverpoolobjekt einen Namen ein. Beispiel: MyApps_VMs.

    Screenshot der Zugriffsrichtlinie 'Anwenden'.

  3. Fügen Sie ein Poolmitgliedsobjekt hinzu.

  4. Geben Sie für den Knotennamen einen Namen für den Server ein, auf dem die Back-End-Webanwendung gehostet wird.

  5. Geben Sie für "Adresse" die IP-Adresse des Servers ein, auf dem die Anwendung gehostet wird.

  6. Geben Sie für den Dienstport den HTTP/S-Port ein, auf dem die Anwendung lauscht.

  7. Wählen Sie "Hinzufügen" aus.

    Screenshot der Eingabe für Knotenname, Adresse, Dienstport und die Option

    Hinweis

    Weitere Informationen finden Sie unter my.f5.com für K13397: Übersicht über die HTTP-Gesundheitsüberwachungsanforderungsformatierung des BIG-IP DNS-Systems.

Konfiguration des virtuellen Servers

Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse repräsentiert wird und auf Client-Anfragen an die Anwendung wartet. Empfangener Datenverkehr wird verarbeitet und anhand des APM-Zugriffsprofils ausgewertet, das dem virtuellen Server zugeordnet ist. Datenverkehr wird entsprechend der Richtlinie weitergeleitet.

  1. Wählen Sie Lokaler Datenverkehr>Virtuelle Server>Liste der virtuellen Server>Erstellen aus.

  2. Geben Sie einen virtuellen Servernamen ein.

  3. Wählen Sie für Zieladresse/-maske„Host“ aus.

  4. Geben Sie eine nicht verwendete IPv4- oder IPv6-Adresse ein, die der BIG-IP-Instanz für das Empfangen von Clientdatenverkehr zugewiesen werden soll.

  5. Wählen Sie Port, 443 und HTTPS für den Dienstport aus.

    Screenshot der Einträge für Name, Zieladressmaske und Dienstport.

  6. Wählen Sie für HTTP-Profil (Client)http aus.

  7. Wählen Sie für SSL-Profil (Client) das von Ihnen erstellte Client-SSL-Profil aus, oder lassen Sie die Standardeinstellung für Tests.

    Screenshot der Einträge für HTTP-Profilclient und SSL-Profilclient.

  8. Wählen Sie für die Quelladressenübersetzung die Option "Automatische Zuordnung" aus.

    Screenshot der Option

  9. Wählen Sie für Access-Richtlinie das zuvor erstellte Access-Profil aus. Dadurch werden das Azure AD SAML-Vorauthentifizierungsprofil und die Header-SSO-Richtlinie an den virtuellen Server gebunden.

  10. Für die Per-Request-Richtlinie wählen Sie SSO_Headers aus.

Screenshot der Einträge für Zugriffsprofil und Vorab-Anforderungsrichtlinie.

  1. Wählen Sie für den Standardpool die von Ihnen erstellten Back-End-Poolobjekte aus.
  2. Wählen Sie "Fertig" aus.

Screenshot der Option

Sitzungsverwaltung

Verwenden Sie die Einstellungen der BIG-IP-Sitzungsverwaltung, um die Bedingungen für Beendigung und Fortsetzung von Sitzungen zu bestimmen. Erstellen Sie eine Richtlinie mit Zugriffsrichtlinie>Zugriffsprofilen. Wählen Sie in der Liste eine Anwendung aus.

Im Hinblick auf SLO-Funktionalität stellt ein URI für das einmalige Abmelden (Single Log-Out) in Microsoft Entra ID sicher, dass eine vom IdP initiierte Abmeldung vom MyApps-Portal die Sitzung zwischen Client und BIG-IP APM beendet. Die für die Anwendung importierte Datei „Verbundmetadaten-XML“ stellt APM den Microsoft Entra-SAML-Abmeldeendpunkt für die vom SP initiierte Abmeldung bereit. Daher muss APM wissen, wann sich ein Benutzer abmeldet.

Wenn kein BIG-IP-Webportal vorhanden ist, können Benutzer APM nicht anweisen, sich abzumelden. Wenn sich der Benutzer von der Anwendung abmeldet, wird dieser Vorgang von der BIG-IP-Instanz nicht bemerkt. Die Anwendungssitzung kann über einmaliges Anmelden reaktiviert werden. Daher muss die vom SP initiierte Abmeldung sorgfältig geprüft werden.

Um sicherzustellen, dass Sitzungen sicher beendet werden, fügen Sie der Schaltfläche " Abmelden " ihrer Anwendung eine SLO-Funktion hinzu. Ermöglichen Sie ihm, den Client zum Microsoft Entra-SAML-Abmeldeendpunkt umzuleiten. Wechseln Sie für den SAML-Abmeldeendpunkt für Ihren Mandanten zu App-Registrierungsendpunkten>.

Wenn Sie die App nicht ändern können, aktivieren Sie für die BIG-IP-Instanz das Lauschen auf den Abmeldeaufruf der App, und lösen Sie SLO aus. Weitere Informationen:

Bereitstellen

  1. Wählen Sie Bereitstellen aus, um die Einstellungen zu übernehmen.
  2. Überprüfen Sie, ob die Anwendung in Ihrem Mandanten angezeigt wird.
  3. Ihre Anwendung wird veröffentlicht und ist über SHA, die URL oder Microsoft-Portale zugänglich.

Testen

Führen Sie den folgenden Test als Benutzer aus.

  1. Wählen Sie die externe URL der Anwendung oder im MyApps-Portal das Symbol der Anwendung aus.
  2. Authentifizieren Sie sich bei Microsoft Entra ID.
  3. Sie werden zum virtuellen BIG-IP-Server für die App umgeleitet und über einmaliges Anmelden (Single Sign-On, SSO) angemeldet.
  4. Die eingefügte Headerausgabe wird von der headerbasierten Anwendung angezeigt.

Für mehr Sicherheit blockieren Sie den direkten Zugriff auf die Anwendung, und erzwingen Sie einen Pfad durch die BIG-IP-Instanz.

Problembehandlung

Befolgen Sie die folgende Anleitung bei der Problembehandlung.

Ausführlichkeit des Protokolls

BIG-IP-Protokolle enthalten hilfreiche Informationen zum Isolieren von Authentifizierungs- und SSO-Problemen. Erhöhen des Ausführlichkeitsgrads des Protokolls:

  1. Wechseln Sie zu Richtlinienzugriff>Übersicht>Ereignisprotokolle.
  2. Wählen Sie "Einstellungen" aus.
  3. Wählen Sie die Zeile Ihrer veröffentlichten Anwendung aus.
  4. Wählen Sie"Zugriffssystemprotokolle> aus.
  5. Wählen Sie in der SSO-Liste "Debuggen" aus.
  6. Wählen Sie "OK" aus.
  7. Reproduzieren Sie das Problem.
  8. Überprüfen Sie die Protokolle.
  9. Wenn Sie fertig sind, stellen Sie die Einstellungen wieder her.

BIG-IP-Fehlermeldung

Wenn nach der Umleitung ein BIG-IP-Fehler auftritt, bezieht sich das Problem möglicherweise auf einmaliges Anmelden (Single Sign-On, SSO) von Microsoft Entra ID bei BIG-IP.

  1. Navigieren Sie zurÜbersicht über>.
  2. Wählen Sie Access-Berichte aus.
  3. Führen Sie den Bericht für die letzte Stunde aus.
  4. Überprüfen Sie die Protokolle auf Hinweise.
  5. Wählen Sie für Ihre Sitzung den Link "Sitzungsvariablen anzeigen" aus .
  6. Vergewissern Sie sich, dass APM die erwarteten Ansprüche von Microsoft Entra ID empfängt.

Keine BIG-IP-Fehlermeldung

Wenn keine BIG-IP-Fehlermeldung angezeigt wird, hängt das Problem wahrscheinlich eher mit einmaligem Anmelden der BIG-IP-Instanz bei der Back-End-Anwendung zusammen.

  1. Navigieren Sie zurÜbersicht über>.
  2. Wählen Sie "Aktive Sitzungen" aus.
  3. Wählen Sie den Link für Ihre aktive Sitzung aus.
  4. Wählen Sie den Link "Variablen anzeigen" aus, um SSO-Probleme zu ermitteln.
  5. Prüfen Sie, ob Big-IP APM die richtigen Benutzer- und Domänenbezeichner abrufen kann oder nicht.

Weitere Informationen:

Ressourcen