Partage via

Configurer F5 BIG-IP stratégie d'accès Manager pour l’authentification unique par formulaire

  • Article

Découvrez comment configurer BIG-IP Access Policy Manager (APM) de F5 et Microsoft Entra ID pour un accès hybride sécurisé (SHA) aux applications basées sur un formulaire. Les services publiés par BIG-IP pour l’authentification unique (SSO) Microsoft Entra ID ont des avantages :

En savoir plus :

Description du scénario

Pour ce scénario, il existe une application héritée interne configurée pour l’authentification par formulaire (FBA). Dans l’idéal, Microsoft Entra ID gère l’accès aux applications, car l’héritage ne dispose d’aucun protocole d’authentification moderne. La modernisation demande du temps et des efforts, et introduit un risque de temps d’arrêt. Au lieu de cela, vous pouvez déployer un BIG-IP entre l’Internet public et l’application interne. Cette configuration limite l’accès entrant à l’application.

Avec un BIG-IP devant l’application, vous pouvez superposer le service avec la pré-authentification Microsoft Entra et l’authentification unique basée sur l’en-tête. La superposition améliore l’état de la sécurité des applications.

Architecture du scénario

La solution SHA comporte les composants suivants :

  • Application : service publié par BIG-IP et protégé par SHA.
    • L’application valide les identifiants de l’utilisateur
    • Utilise n’importe quel annuaire, open source, etc.
  • Microsoft Entra ID : fournisseur d’identité (IdP) SAML (Security Assertion Markup Language) qui vérifie les informations d’identification utilisateur, l’accès conditionnel et l’authentification unique dans le BIG-IP.
    • Avec l’authentification unique, Microsoft Entra ID fournit des attributs au BIG-IP, y compris des identificateurs d'utilisateur
  • BIG-IP : proxy inverse et fournisseur de services SAML (SP) pour l’application.
    • BIG-IP délègue l’authentification au fournisseur d’identité SAML, puis effectue l’authentification unique basée sur l’en-tête auprès de l’application back-end.
    • L’authentification unique utilise les informations d’identification de l’utilisateur mises en cache auprès d’autres applications à authentification par formulaire

SHA prend en charge les flux initiés par le fournisseur de services et le fournisseur d’identité. Le diagramme suivant montre le flux lancé par le fournisseur de services.

Diagramme du flux lancé par le fournisseur de services.

  1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP).
  2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
  3. Microsoft Entra pré-authentifie l'utilisateur et applique les stratégies d'accès conditionnel appliquées.
  4. L’utilisateur est redirigé vers BIG-IP (SP SAML), et l’authentification unique s’effectue à l’aide du jeton SAML émis.
  5. BIG-IP invite l’utilisateur à entrer un mot de passe d’application et stocke celui-ci dans le cache.
  6. BIG-IP envoie une requête à l’application, et reçoit un formulaire de connexion.
  7. Le script APM renseigne le nom d’utilisateur et le mot de passe, puis soumet le formulaire.
  8. Le serveur web sert la charge utile de l’application et l’envoie au client.

Prérequis

Vous avez besoin des composants suivants :

  • Un abonnement Azure
  • Un des rôles suivants : Administrateur d’application cloud ou Administrateur d’application
  • Un BIG-IP, ou déployez BIG-IP Virtual Edition (VE) dans Azure
  • L’une des licences F5 BIG-IP suivantes :
    • Meilleur regroupement F5 BIG-IP®
    • Licence autonome F5 BIG-IP Access Policy Manager™ (APM)
    • Licence de composant additionnel F5 BIG-IP Access Policy Manager™ (APM) sur une instance de BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Essai de 90 jours des fonctionnalités complètes de BIG-IP. Consultez Essais gratuits
  • Identités utilisateur synchronisées à partir d’un annuaire local vers Microsoft Entra ID
  • Un certificat SSL pour publier des services sur HTTPS, ou utilisez les certificats par défaut lors des tests
  • Une application d’authentification basée sur un formulaire, ou configurez une application d’authentification IIS (Internet Information Services) basée sur des formulaires à des fins de test

Configuration de BIG-IP

La configuration décrite dans cet article est une implémentation SHA flexible : création manuelle d’objets de configuration BIG-IP. Adoptez cette approche pour les scénarios non couverts par les modèles Configuration guidée.

Remarque

Remplacez les exemples de chaînes ou de valeurs par ceux de votre environnement.

Inscrire F5 BIG-IP dans Microsoft Entra ID

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

L’inscription BIG-IP est la première étape de l’authentification unique entre les entités. L’application que vous créez à partir du modèle de galerie F5 BIG-IP est la partie de confiance représentant le SP SAML pour l’application publiée BIG-IP.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.
  3. Dans le volet Toutes les applications, sélectionnez Nouvelle application.
  4. Le volet Parcourir la Galerie Microsoft Entra s’ouvre.
  5. Des vignettes s’affichent pour les plateformes cloud, les applications locales et les applications recommandées. Les icônes Applications recommandées indiquent la prise en charge de l’authentification unique fédérée et du provisionnement.
  6. Dans la galerie Azure, recherchez F5.
  7. Sélectionnez Intégration Microsoft Entra ID de F5 BIG-IP APM.
  8. Entrez un Nom utilisé par la nouvelle application pour reconnaître l’instance de l’application.
  9. Sélectionnez Ajouter.
  10. Sélectionnez Créer.

Activer l’authentification unique pour F5 BIG-IP

Configurez l’inscription de BIG-IP pour satisfaire les jetons SAML demandés par BIG-IP APM.

  1. Dans le menu de gauche, dans la section Gérer, sélectionnez Authentification unique.
  2. Le volet Authentification unique s’affiche.
  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
  4. Sélectionnez Non, j’enregistrerai plus tard.
  5. Dans le volet Configurer l’authentification unique avec SAML, sélectionnez l’icône en forme de crayon.
  6. Pour Identificateur, remplacez la valeur par l’URL de l’application publiée BIG-IP.
  7. Pour URL de réponse, remplacez la valeur, mais conservez le chemin du point de terminaison de SP SAML de l’application. Avec cette configuration, le flux SAML fonctionne en mode lancé par l’IdP.
  8. Microsoft Entra ID émet une assertion SAML, puis l’utilisateur est redirigé vers le point de terminaison BIG-IP.
  9. Pour le mode lancé par le fournisseur de services, pour URL de connexion, entrez l’URL de l’application.
  10. Pour URL de déconnexion, entrez le point de terminaison Single Logout (SLO) de BIG-IP APM précédé de l’en-tête de l’hôte du service.
  11. Ainsi, les sessions utilisateur BIG-IP APM se terminent lorsque ceux-ci se déconnectent de Microsoft Entra ID.
  12. Sélectionnez Enregistrer.
  13. Fermez le volet de configuration SAML.
  14. Ignorez l’invite de test de l’authentification unique.
  15. Notez les propriétés de la section Attributs utilisateur et revendications. Microsoft Entra ID envoie les propriétés pour l’authentification BIG-IP APM et l’authentification unique à l’application principale.
  16. Dans le volet Certificat de signature SAML, sélectionnez Télécharger.
  17. Le fichier XML des métadonnées de fédération est enregistré sur votre ordinateur.

Remarque

À compter de Traffic Management Operating System (TMOS) v16, le point de terminaison SLO SAML est /saml/sp/profile/redirect/slo.

Capture d’écran des URL dans la configuration SAML.

Remarque

Les certificats de signature SAML Microsoft Entra ont une durée de vie de trois ans.

En savoir plus : Tutoriel : Gérer les certificats pour l’authentification unique fédérée

Affecter des utilisateurs et des groupes

Microsoft Entra ID émet des jetons pour les utilisateurs auxquels l’accès à une application a été accordé. Pour accorder à des utilisateurs et des groupes spécifiques l’accès à l’application :

  1. Dans le volet Vue d’ensemble de l’application F5 BIG-IP, sélectionnez Attribuer des utilisateurs et des groupes.
  2. Sélectionnez + Ajouter un utilisateur/groupe.
  3. Sélectionnez les utilisateurs et les groupes souhaités.
  4. Sélectionnez Attribuer.

Configuration BIG-IP avancée

Utilisez les instructions suivantes pour configurer BIG-IP.

Configurer les paramètres du fournisseur de services SAML

Les paramètres de SP SAML définissent les propriétés du fournisseur de services SAML qu’APM utilise pour superposer la préauthentification SAML à l’application héritée. Pour les configurer :

  1. Sélectionnez Accès>Fédération>Fournisseur de services SAML.

  2. Sélectionnez Services SP locaux.

  3. Sélectionnez Créer.

    Capture d’écran de l’option Créer sous l’onglet Fournisseur de services SAML.

  4. Dans Créer un nouveau service SP SAML, dans Nom et ID d’entité, entrez le nom et l’ID d’entité définis.

    Capture d’écran des champs Nom et ID d’entité dans Créer un nouveau service SP SAML.

    Remarque

    Les valeurs Paramètres de nom du SP sont requises si l’ID d’entité ne correspond pas à la partie nom d’hôte de l’URL publiée. Sinon, les valeurs sont requises si l’ID d’entité n’est pas au format d’URL standard basé sur le nom d’hôte.

  5. Si l’ID d’entité est urn:myvacation:contosoonline, entrez le schéma externe et le nom d’hôte de l’application.

Configurer un connecteur IdP externe

Un connecteur de fournisseur d’identité SAML définit les paramètres pour que l’APM BIG-IP fasse confiance à Microsoft Entra ID en tant que fournisseur d’identité SAML. Les paramètres connectent le fournisseur de services SAML à un IdP SAML, qui établit l’approbation de fédération entre l’APM et Microsoft Entra ID.

Pour configurer le connecteur :

  1. Sélectionnez le nouvel objet fournisseur de services SAML.

  2. Sélectionnez Lier/Délier des connecteurs d’IdP.

    Capture d’écran de l’option Lier/Délier des connecteurs d’IdP sous l’onglet Fournisseur de services SAML.

  3. Dans la liste Créer un connecteur d’IdP, sélectionnez À partir des métadonnées.

    Capture d’écran de l’option À partir des métadonnées dans la liste déroulante Créer un connecteur d’IdP.

  4. Dans le volet Créer un nouveau connecteur d’IdP SAML, recherchez le fichier XML de métadonnées de fédération que vous avez téléchargé.

  5. Entrez un Nom de fournisseur d’identité pour l’objet APM qui représente l’IdP SAML externe. Par exemple, MyVacation_EntraID.

    Capture d’écran des champs Sélectionner un fichier et Nom du fournisseur d'identité dans Créer un nouveau connecteur d’IdP SAML.

  6. Sélectionnez Ajouter une ligne.

  7. Sélectionnez le nouveau Connecteur d’IdP SAML.

  8. Sélectionnez Mettre à jour.

    Capture d’écran de l’option Mettre à jour.

  9. Cliquez sur OK.

    Capture d’écran de la boîte de dialogue Modifier les IdP SAML qui utilisent ce SP.

Configurer l’authentification unique par formulaire

Créez un objet SSO APM pour l’authentification unique FBA auprès des applications principales.

Effectuez l’authentification unique FBA en mode lancé par le client ou en mode lancé par BIG-IP. Les deux méthodes émulent une connexion d’utilisateur en injectant des identifiants dans les balises de nom d’utilisateur et de mot de passe. Le formulaire est envoyé. Les utilisateurs fournissent un mot de passe pour accéder à une application FBA. Le mot de passe est mis en cache et réutilisé pour d’autres applications FBA.

  1. Sélectionnez Accès>Authentification unique.

  2. Sélectionnez Basée sur des formulaires.

  3. Sélectionnez Créer.

  4. Pour Nom, entrez un nom descriptif. Par exemple, Contoso\FBA\sso.

  5. Pour Utiliser le modèle de SSO, sélectionnez Aucun.

  6. Pour Source du nom d’utilisateur, entrez la source du nom d’utilisateur pour prérenseigner le formulaire de collecte de mot de passe. La valeur par défaut session.sso.token.last.username fonctionne bien, car elle comporte l’UPN (nom d’utilisateur principal) Microsoft Entra ID de l’utilisateur connecté.

  7. Pour Source du mot de passe, conservez la valeur par défaut session.sso.token.last.password, la variable APM utilisée par BIG-IP pour mettre en cache les mots de passe utilisateur.

    Capture d’écran des options Nom et Utiliser le modèle de SSO sous Nouvelle Configuration SSO.

  8. Pour URI de démarrage, entrez l’URI d’ouverture de session de l’application FBA. Si l’URI de requête correspond à cette valeur d’URI, l’authentification par formulaire APM exécute l’authentification unique.

  9. Laissez le champ Action de formulaire vide. Ainsi, l’URL de requête originale est utilisée pour l’authentification unique.

  10. Pour Paramètre de formulaire pour le nom d’utilisateur, entrez l’élément du champ de nom d’utilisateur du formulaire de connexion. Utilisez les outils de développement de navigateur pour déterminer l’élément.

  11. Pour Paramètre de formulaire pour le mot de passe, entrez l’élément du champ de mot de passe du formulaire de connexion. Utilisez les outils de développement de navigateur pour déterminer l’élément.

Capture d’écran des champs URI de démarrage, Paramètre de formulaire pour le nom d’utilisateur et Paramètre de formulaire pour le mot de passe.

Capture d’écran de la page de connexion avec des légendes pour les champs de nom d’utilisateur et de mot de passe.

Pour en savoir plus, accédez à techdocs.f5.com et consultez Chapitre du manuel : Méthodes d’authentification unique.

Configurer un profil d’accès

Un profil d’accès lie les éléments APM qui gèrent l’accès aux serveurs virtuels BIG-IP, notamment les stratégies d’accès, la configuration SSO et les paramètres de l’interface utilisateur.

  1. Sélectionnez Accès>Profils / Stratégies.

  2. Sélectionnez Profils d’accès (stratégies par session).

  3. Sélectionnez Créer.

  4. Saisissez un Nom.

  5. Pour Type de profil, sélectionnez Tous.

  6. Pour Configuration SSO, sélectionnez l’objet de configuration de l’authentification unique FBA que vous avez créé.

  7. Pour Langue acceptée, sélectionnez au moins une langue.

    Capture d’écran des options et des sélections dans Profils d’accès Stratégies par session, Nouveau profil.

  8. Dans la colonne Stratégie par session, pour le profil, sélectionnez Modifier.

  9. L’éditeur de stratégie visuel APM démarre.

    Capture d’écran de l’option Modifier dans la colonne Stratégie par session.

  10. Sous fallback, sélectionnez le signe +.

Capture d’écran de l’option signe plus de l’éditeur visuel de stratégie APM sous Secours.

  1. Dans la fenêtre contextuelle, sélectionnez Authentication.
  2. Sélectionnez Auth SAML.
  3. Sélectionnez Ajouter un élément.

Capture d’écran de l’option Auth SAML.

  1. Sur SP d’authentification SAML, remplacez le Nom par Authentification Microsoft Entra.
  2. Dans la liste déroulante Serveur AAA, entrez l’objet fournisseur de services SAML que vous avez créé.

Capture d’écran montrant les paramètres du serveur d’authentification Microsoft Entra.

  1. Dans la branche Successful, sélectionnez le signe +.
  2. Dans la fenêtre contextuelle, sélectionnez Authentication.
  3. Sélectionnez Page d’ouverture de session.
  4. Sélectionnez Ajouter un élément.

Capture d’écran de l’option Page d’ouverture de session sous l’onglet Ouverture de session.

  1. Pour nom d’utilisateur, dans la colonne Lecture seule, sélectionnez Oui.

Capture d’écran de l’option Oui sur la ligne nom d'utilisateur sous l’onglet Propriétés.

  1. Pour fallback dans la page de connexion, sélectionnez le signe +. Cette action ajoute un objet de mappage d’identifiants SSO.

  2. Dans la fenêtre contextuelle, sélectionnez l’onglet Attribution.

  3. Sélectionnez Mappage des identifiants de SSO.

  4. Sélectionnez Ajouter un élément.

    Capture d’écran de l’option Mappage des identifiants de SSO sous l’onglet Attribution.

  5. Dans Attribution de variable : Mappage des identifiants de SSO, conservez les paramètres par défaut.

  6. Sélectionnez Enregistrer.

    Capture d’écran de l’option Enregistrer sous l’onglet Propriétés.

  7. Dans la zone Refuser supérieure, sélectionnez le lien.

  8. La branche Réussi passe à Autoriser.

  9. Sélectionnez Enregistrer.

(Facultatif) Configurer des mappages d’attributs

Vous pouvez ajouter une configuration LogonID_Mapping. La liste des sessions actives BIG-IP mentionne alors l’UPN de l’utilisateur connecté, et non un numéro de session. Utilisez ces informations pour analyser les journaux ou résoudre les problèmes.

  1. Pour la branche SAML Auth Successful, sélectionnez le signe +.

  2. Dans la fenêtre contextuelle, sélectionnez Attribution.

  3. Sélectionnez Attribution de variable.

  4. Sélectionnez Ajouter un élément.

    Capture d’écran de l’option Attribution de variable sous l’onglet Attribution.

  5. Sous l’onglet Propriétés, entrez un Nom. Par exemple, LogonID_Mapping.

  6. Sous Attribution de variable, sélectionnez Ajouter une nouvelle entrée.

  7. Sélectionnez modifier.

    Capture d’écran des options Ajouter une nouvelle entrée et modifier.

  8. Pour Custom Variable, utilisez session.logon.last.username.

  9. Pour Session Variable, utilisez session.saml.last.identity.

  10. Sélectionnez Terminé.

  11. Sélectionnez Enregistrer.

  12. Sélectionnez Appliquer la stratégie d’accès.

  13. Fermez l’onglet Visual Policy Editor.

Capture d’écran de la stratégie d’accès sur Appliquer la stratégie d'accès.

Configurer un pool principal

Pour permettre à BIG-IP de transférer le trafic client correctement, créez un objet de nœud BIG-IP qui représente le serveur principal qui héberge votre application. Ensuite, placez ce nœud dans un pool de serveurs BIG-IP.

  1. Sélectionnez Trafic local>Pools.

  2. Sélectionnez Liste des pools.

  3. Sélectionnez Créer.

  4. Entrez un Nom pour un objet de pool de serveurs. Par exemple, MyApps_VMs.

    Capture d’écran du champ Nom sous Nouveau pool.

  5. Pour Nom du nœud, entrez un nom d’affichage du serveur. Ce serveur héberge l’application web principale.

  6. Pour Adresse, entrez l’adresse IP de l’hôte du serveur d’applications.

  7. Pour Port de service, entrez le port HTTP/S sur lequel l’application écoute.

    Capture d’écran des champs Nom du nœud, Adresse et Port de service, et de l’option Ajouter.

    Remarque

    Les moniteurs d’intégrité nécessitent une configuration qui n’est pas abordée dans cet article. Accédez à support.f5.com et consultez l’article K13397 : Vue d’ensemble de la mise en forme des requêtes de moniteur d’intégrité HTTP pour le système DNS BIG-IP.

Configurer un serveur virtuel

Un serveur virtuel est un objet de plan de données BIG-IP représenté par une adresse IP virtuelle. Le serveur écoute les requêtes du client adressées à l’application. Tout trafic reçu est traité et évalué par rapport au profil d’accès APM associé au serveur virtuel. Le trafic est dirigé conformément à la stratégie.

Pour configurer un serveur virtuel :

  1. Sélectionnez Trafic local>Serveurs virtuels.

  2. Sélectionnez Liste des serveurs virtuels.

  3. Sélectionnez Créer.

  4. Saisissez un Nom.

  5. Pour Adresse/Masque de destination, sélectionnez Hôte et entrez une adresse IPv4 ou IPv6. L’adresse reçoit le trafic client pour l’application back-end publiée.

  6. Pour Port de service, sélectionnez Port, entrez 443, puis HTTPS.

    Capture d’écran des champs et options Nom, Adresse de destination et Port de service.

  7. Pour Profil HTTP (client), sélectionnez http.

  8. Pour Profil SSL (Client), sélectionnez le profil que vous avez créé, ou conservez la valeur par défaut à des fins de test. Cette option permet à un serveur virtuel TLS (Transport Layer Security) de publier des services via HTTPS.

    Capture d’écran des options Profil Client HTTP et Profil Client SSL.

  9. Pour Traduction de l’adresse source, sélectionnez Mappage automatique.

    Capture d’écran de la sélection Mappage automatique pour Traduction de l’adresse source.

  10. Sous Stratégie d'accès, dans la zone Profil d’accès, entrez le nom que vous avez créé. Cette action lie le profil de pré-authentification SAML de Microsoft Entra et la stratégie d’authentification unique FBA des en-têtes au serveur virtuel.

Capture d’écran de l’entrée Profil d’accès sous Stratégie d’accès.

  1. Sous Ressources, pour Pool par défaut, sélectionnez les objets de pool principal que vous avez créés.
  2. Sélectionnez Terminé.

Capture d’écran de l’option Pool par défaut sous Ressources.

Configurer les paramètres de gestion de session

Les paramètres de gestion des sessions BIG-IP définissent les conditions d’arrêt et de poursuite des sessions. Créez une stratégie dans cette zone.

  1. Accédez à Stratégie d'accès.
  2. Sélectionnez Profils d’accès.
  3. Sélectionnez Profil d’accès.
  4. Dans la liste, sélectionnez votre application.

Si vous avez défini une valeur d’URI Single Logout dans Microsoft Entra ID, une déconnexion lancée par le fournisseur d’identité à partir de MyApps met fin à la session entre le client et BIG-IP APM. Le fichier XML de métadonnées de fédération d’application importé fournit à APM le point de terminaison SAML Microsoft Entra pour la déconnexion lancée par le fournisseur de services. Veillez à ce qu’APM réponde correctement à une déconnexion de l’utilisateur.

S’il n’y a pas de portail web BIG-IP, les utilisateurs ne peuvent pas demander à APM de se déconnecter. Si l’utilisateur se déconnecte de l’application, BIG-IP n’en a pas connaissance. La session d’application peut être rétablie via l’authentification unique. Pour la déconnexion lancée par le fournisseur de services, veillez à ce que les sessions se terminent de manière sécurisée.

Vous pouvez ajouter une fonction SLO au bouton de déconnexion de votre application. Cette fonction redirige le client vers le point de terminaison de déconnexion SAML de Microsoft Entra. Pour localiser le point de terminaison de déconnexion SAML, accédez à Inscriptions des applications > Points de terminaison.

Si vous ne pouvez pas modifier l’application, faites en sorte que BIG-IP écoute l’appel de déconnexion d’application et déclenche SLO.

En savoir plus :

Application publiée

Votre application est publiée et accessible avec SHA avec l’URL de l’application ou les portails Microsoft.

L’application s’affiche en tant que ressource cible dans Accès conditionnel. En savoir plus : Créer une stratégie d’accès conditionnel.

Pour améliorer la sécurité, bloquez l’accès direct à l’application en forçant l’adoption d’un chemin par le biais de BIG-IP.

Test

  1. L’utilisateur se connecte à l’URL externe de l’application ou sélectionne l’icône de l’application dans Mes applications.

  2. L’utilisateur s’authentifie auprès de Microsoft Entra ID.

  3. L’utilisateur est redirigé vers le point de terminaison BIG-IP de l’application.

  4. L’invite de mot de passe s’affiche.

  5. APM préremplit le nom d’utilisateur avec l’UPN de Microsoft Entra ID. Le nom d’utilisateur est en lecture seule pour la cohérence de session. Masquez ce champ, si nécessaire.

  6. Les informations sont envoyées.

  7. L’utilisateur est connecté à l’application.

    Capture d’écran de la page d’accueil.

Résolution des problèmes

Lors de la résolution des problèmes, tenez compte des informations suivantes :

  • BIG-IP effectue l’authentification unique FBA lors de l’analyse du formulaire de connexion à l’URI

    • BIG-IP recherche les étiquettes d’élément de nom d’utilisateur et de mot de passe à partir de votre configuration

  • Vérifiez que les étiquettes d’éléments sont cohérentes, sinon l’authentification unique échouera

  • Les formulaires complexes générés dynamiquement peuvent nécessiter une analyse avec les outils de développement afin de comprendre le formulaire de connexion

  • Le lancement par le client est préférable pour les pages de connexion avec plusieurs formulaires

    • Vous pouvez sélectionner le nom du formulaire et personnaliser la logique du programme de traitement de formulaire JavaScript

  • Les méthodes d’authentification unique par formulaire masquent les interactions avec le formulaire afin d’optimiser l’expérience utilisateur et la sécurité :

    • Vous pouvez vérifier si les identifiants sont injectés
    • En mode initié par le client, désactivez l’envoi automatique de formulaire dans votre profil d’authentification unique
    • Utilisez les outils de développement pour désactiver les deux propriétés de style qui empêchent l’affichage de la page de connexion

    Capture d’écran de la page Propriétés.

Augmenter la verbosité du journal

Les journaux BIG-IP contiennent des informations permettant d’isoler les problèmes d’authentification et d’authentification unique. Augmentez le niveau de verbosité du journal :

  1. Accédez à Stratégie d'accès>Vue d’ensemble.
  2. Sélectionnez Journaux des événements.
  3. Cliquez sur Paramètres.
  4. Sélectionnez la ligne de votre application publiée.
  5. Sélectionnez Modifier.
  6. Sélectionnez Accéder aux journaux système.
  7. Dans la liste de l’authentification unique, sélectionnez Déboguer.
  8. Cliquez sur OK.
  9. Reproduisez le problème.
  10. Vérifiez les journaux.

Rétablissez les paramètres pour éviter les données excessives.

Message d’erreur BIG-IP

Si une erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, le problème peut être lié à l’authentification unique Microsoft Entra ID et BIG-IP.

  1. Accédez à Accès>Vue d’ensemble.
  2. Sélectionnez Rapports d’accès.
  3. Exécutez le rapport pour la dernière heure.
  4. Passez en revue les journaux à la recherche d’indices.

Utilisez le lien Afficher les variables de session pour votre session afin de déterminer si APM reçoit les revendications Microsoft Entra attendues.

Aucun message d’erreur BIG-IP

Si aucun message d’erreur BIG-IP n’apparaît, le problème peut être lié à la requête back-end ou à l’authentification unique entre BIG-IP et l’application.

  1. Sélectionnez Stratégie d’accès>Vue d’ensemble.
  2. Sélectionnez Sessions actives.
  3. Sélectionnez le lien de session active.

Utilisez le lien Afficher les variables à cet endroit pour vous aider à déterminer la cause racine, en particulier si APM ne parvient pas à obtenir l’identifiant utilisateur et le mot de passe.

Pour en savoir plus, accédez à techdocs.f5.com et consultez Chapitre du manuel : Variables de session.

Ressources