Partager via

Configurer F5 BIG-IP Access Policy Manager pour l’authentification unique par formulaire

  • Article

Découvrez comment configurer BIG-IP Access Policy Manager (APM) de F5 et Microsoft Entra ID pour un accès hybride sécurisé aux applications basées sur un formulaire. Les services publiés par BIG-IP pour l’authentification unique (SSO) Microsoft Entra ID ont des avantages :

En savoir plus :

Description du scénario

Pour ce scénario, il existe une application héritée interne configurée pour l’authentification par formulaire (FBA). Dans l’idéal, Microsoft Entra ID gère l’accès aux applications, car l’héritage ne dispose d’aucun protocole d’authentification moderne. La modernisation demande du temps et des efforts, et introduit un risque de temps d’arrêt. Au lieu de cela, vous pouvez déployer BIG-IP entre l’Internet public et l’application interne. Cette configuration limite l’accès entrant à l’application.

Avec BIG-IP devant l’application, vous pouvez superposer le service avec la pré-authentification Microsoft Entra et l’authentification unique basée sur l’en-tête. La superposition améliore la posture de sécurité des applications.

Architecture du scénario

La solution SHA utilise les composants suivants :

  • Application : service publié par BIG-IP et protégé par SHA.
    • L’application valide les informations d’identification de l’utilisateur par rapport à Active Directory
    • Utilisez n’importe quel annuaire, y compris les services AD LDS (Active Directory Lightweight Directory Services), open source, et ainsi de suite
  • Microsoft Entra ID : fournisseur d’identité (IdP) SAML (Security Assertion Markup Language) qui vérifie les informations d’identification utilisateur, l’accès conditionnel et l’authentification unique dans BIG-IP.
    • Avec l’authentification unique, Microsoft Entra ID fournit des attributs à BIG-IP, y compris des identifiants utilisateur
  • BIG-IP : proxy inverse et fournisseur de services SAML pour l’application.
    • BIG-IP délègue l’authentification au fournisseur d’identité SAML, puis effectue l’authentification unique basée sur l’en-tête auprès de l’application back-end
    • L’authentification unique utilise les informations d’identification de l’utilisateur mises en cache auprès d’autres applications à authentification par formulaire

SHA prend en charge les flux lancés par le fournisseur de services et le fournisseur d’identité. Le diagramme suivant montre le flux lancé par le fournisseur de services.

Diagramme du flux lancé par le fournisseur de services.

  1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP).
  2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
  3. Microsoft Entra pré-authentifie l'utilisateur et applique les stratégies d'accès conditionnel appliquées.
  4. L’utilisateur est redirigé vers BIG-IP (SP SAML), et l’authentification unique s’effectue à l’aide du jeton SAML émis.
  5. BIG-IP invite l’utilisateur à entrer un mot de passe d’application et stocke celui-ci dans le cache.
  6. BIG-IP envoie une requête à l’application, et reçoit un formulaire de connexion.
  7. Le script APM renseigne le nom d’utilisateur et le mot de passe, puis soumet le formulaire.
  8. Le serveur web sert la charge utile de l’application et l’envoie au client.

Prérequis

Vous avez besoin des composants suivants :

  • Un abonnement Azure
  • Un des rôles suivants : Administrateur d’application cloud ou Administrateur d’application
  • Un BIG-IP, ou déployez BIG-IP Virtual Edition (VE) dans Azure
  • L’une des licences F5 BIG-IP suivantes :
    • F5 BIG-IP® Best bundle
    • Licence autonome F5 BIG-IP Access Policy Manager™ (APM)
    • Licence de composant additionnel F5 BIG-IP Access Policy Manager™ (APM) sur une instance de BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Essai de 90 jours des fonctionnalités complètes de BIG-IP Consultez Free Trials
  • Identités utilisateur synchronisées à partir d’un répertoire local vers Microsoft Entra ID
  • Un certificat SSL pour publier des services sur HTTPS, ou utilisez les certificats par défaut lors des tests
  • Une application existante avec authentification par formulaire, ou configurez une application IIS FBA à des fins de test

Configuration de BIG-IP

La configuration décrite dans cet article est une implémentation SHA flexible : création manuelle d’objets de configuration BIG-IP. Adoptez cette approche pour les scénarios non couverts par les modèles Guided Configuration.

Notes

Remplacez les exemples de chaînes ou de valeurs par ceux de votre environnement.

Inscrire F5 BIG-IP dans Microsoft Entra ID

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

L’inscription BIG-IP est la première étape de l’authentification unique entre les entités. L’application que vous créez à partir du modèle de galerie F5 BIG-IP est la partie de confiance représentant le SP SAML pour l’application publiée BIG-IP.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.
  3. Dans le volet Toutes les applications, sélectionnez Nouvelle application.
  4. Le volet Parcourir la Galerie Microsoft Entra s’ouvre.
  5. Des vignettes s’affichent pour les plateformes cloud, les applications locales et les applications recommandées. Les icônes Applications recommandées indiquent la prise en charge de l’authentification unique fédérée et du provisionnement.
  6. Dans la galerie Azure, recherchez F5.
  7. Sélectionnez Intégration Microsoft Entra ID de F5 BIG-IP APM.
  8. Entrez un Nom utilisé par la nouvelle application pour reconnaître l’instance de l’application.
  9. Sélectionnez Ajouter.
  10. Sélectionnez Create (Créer).

Activer l’authentification unique pour F5 BIG-IP

Configurez l’inscription de BIG-IP pour satisfaire les jetons SAML demandés par BIG-IP APM.

  1. Dans le menu de gauche, dans la section Gérer, sélectionnez Authentification unique.
  2. Le volet Authentification unique s’affiche.
  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
  4. Sélectionnez Non, j’enregistrerai plus tard.
  5. Dans le volet Configurer l’authentification unique avec SAML, sélectionnez l’icône en forme de crayon.
  6. Pour Identificateur, remplacez la valeur par l’URL de l’application publiée BIG-IP.
  7. Pour URL de réponse, remplacez la valeur, mais conservez le chemin du point de terminaison de SP SAML de l’application. Avec cette configuration, le flux SAML fonctionne en mode lancé par l’IdP. Microsoft Entra ID émet une assertion SAML, puis l’utilisateur est redirigé vers le point de terminaison BIG-IP.
  8. Pour le mode lancé par le fournisseur de services, pour URL de connexion, entrez l’URL de l’application.
  9. Pour URL de déconnexion, entrez le point de terminaison Single Logout (SLO) de BIG-IP APM précédé de l’en-tête de l’hôte du service. Ainsi, les sessions utilisateur BIG-IP APM se termineront lorsqu’elles se déconnecteront de Microsoft Entra ID.

Capture d’écran des URL dans la configuration SAML.

Notes

À compter de Traffic Management Operating System (TMOS) v16, le point de terminaison SLO SAML est /saml/sp/profile/redirect/slo.

  1. Sélectionnez Enregistrer.
  2. Fermez le volet de configuration SAML.
  3. Ignorez l’invite de test de l’authentification unique.
  4. Notez les propriétés de la section Attributs utilisateur et revendications. Microsoft Entra ID envoie les propriétés pour l’authentification BIG-IP APM et l’authentification unique à l’application principale.
  5. Dans le volet Certificat de signature SAML, sélectionnez Télécharger.
  6. Le fichier XML des métadonnées de fédération est enregistré sur votre ordinateur.

Capture d’écran d’une option Téléchargement sous Certificat de signature SAML.

Remarque

Les certificats de signature SAML Microsoft Entra ont une durée de vie de trois ans.

En savoir plus : Tutoriel : Gérer les certificats pour l’authentification unique fédérée

Affecter des utilisateurs et des groupes

Microsoft Entra ID émet des jetons pour les utilisateurs auxquels l’accès à une application a été accordé. Pour accorder à des utilisateurs et des groupes spécifiques l’accès à l’application :

  1. Dans le volet Vue d’ensemble de l’application F5 BIG-IP, sélectionnez Attribuer des utilisateurs et des groupes.
  2. Sélectionnez + Ajouter un utilisateur/groupe.
  3. Sélectionnez les utilisateurs et les groupes souhaités.
  4. Sélectionnez Attribuer.

Configuration BIG-IP avancée

Utilisez les instructions suivantes pour configurer BIG-IP.

Configurer les paramètres du fournisseur de services SAML

Les paramètres de SP SAML définissent les propriétés du fournisseur de services SAML qu’APM utilise pour superposer la préauthentification SAML à l’application héritée. Pour les configurer :

  1. Sélectionnez Access>Federation>SAML Service Provider.

  2. Sélectionnez Local SP Services.

  3. Sélectionnez Créer.

    Capture d’écran de l’option Create sous l’onglet SAML Service Provider.

  4. Dans le volet Create New SAML SP Service, pour Name et Entity ID, entrez le nom et l’ID d’entité définis.

    Capture d’écran des champs Name et Entity ID dans Create New SAML SP Service.

    Notes

    Les valeurs SP Name Settings sont requises si l’ID d’entité ne correspond pas à la partie nom d’hôte de l’URL publiée. Ou bien, les valeurs sont requises si l’ID d’entité n’est pas au format d’URL standard basé sur le nom d’hôte.

  5. Si l’ID d’entité est urn:myvacation:contosoonline, entrez le schéma externe et le nom d’hôte de l’application.

Configurer un connecteur IdP externe

Un connecteur de fournisseur d’identité SAML définit les paramètres pour que l’APM BIG-IP fasse confiance à Microsoft Entra ID en tant que fournisseur d’identité SAML. Les paramètres connectent le fournisseur de services SAML à un IdP SAML, qui établit l’approbation de fédération entre l’APM et Microsoft Entra ID.

Pour configurer le connecteur :

  1. Sélectionnez le nouvel objet fournisseur de services SAML.

  2. Sélectionnez Bind/UnbBind IdP Connectors.

    Capture d’écran de l’option Bind Unbind IdP Connectors sous l’onglet SAML Service Provider.

  3. Dans la liste Create New IdP Connector, sélectionnez From Metadata.

    Capture d’écran de l’option From Metadata dans la liste déroulante Create New IdP Connector.

  4. Dans le volet Create New SAML IdP Connector, recherchez le fichier XML de métadonnées de fédération que vous avez téléchargé.

  5. Entrez un nom de fournisseur d’identité (Identity Provider Name) pour l’objet APM qui représente l’IdP SAML externe. Par exemple, MyVacation_EntraID.

    Capture d’écran des champs Select File et Identity Provider Name dans Create New SAML IdP Connector.

  6. Sélectionnez Add New Row.

  7. Sélectionnez le nouveau SAML IdP Connector.

  8. Sélectionnez Mettre à jour.

    Capture d’écran de l’option Update.

  9. Sélectionnez OK.

    Capture d’écran de la boîte de dialogue Edit SAML IdPs that use this SP.

Configurer l’authentification unique par formulaire

Créez un objet d’authentification unique APM pour l’authentification unique FBA auprès des applications back-end.

Effectuez l’authentification unique FBA en mode lancé par le client ou en mode lancé par BIG-IP. Les deux méthodes émulent une connexion d’utilisateur en injectant des informations d’identification dans les balises de nom d’utilisateur et de mot de passe. Le formulaire est envoyé. Les utilisateurs fournissent un mot de passe pour accéder à une application FBA. Le mot de passe est mis en cache et réutilisé pour d’autres applications FBA.

  1. Sélectionnez Access>Single Sign-on.

  2. Sélectionnez Forms Based.

  3. Sélectionnez Create (Créer).

  4. Pour Name, entrez un nom descriptif. Par exemple, Contoso\FBA\sso.

  5. Pour Use SSO Template, sélectionnez None.

  6. Pour Username Source, entrez la source du nom d’utilisateur pour prérenseigner le formulaire de collecte de mot de passe. La valeur par défaut session.sso.token.last.username fonctionne bien, car elle comporte l’UPN (nom d’utilisateur principal) Microsoft Entra ID de l’utilisateur connecté.

  7. Pour Password Source, conservez la valeur par défaut session.sso.token.last.password, la variable APM utilisée par BIG-IP pour mettre en cache les mots de passe utilisateur.

    Capture d’écran des options Name et Use SSO Template sous New SSO Configuration.

  8. Pour Start URI, entrez l’URI d’ouverture de session de l’application FBA. Si l’URI de requête correspond à cette valeur d’URI, l’authentification par formulaire APM exécute l’authentification unique.

  9. Laissez le champ Form Action vide. Ainsi, l’URL de requête originale est utilisée pour l’authentification unique.

  10. Pour Form Parameter for Username, entrez l’élément du champ de nom d’utilisateur du formulaire de connexion. Utilisez les outils de développement de navigateur pour déterminer l’élément.

  11. Pour Form Parameter for Password, entrez l’élément du champ de mot de passe du formulaire de connexion. Utilisez les outils de développement de navigateur pour déterminer l’élément.

Capture d’écran des champs Start URI, Form Parameter For User Name et Form Parameter For Password.

Capture d’écran de la page de connexion avec des légendes pour les champs de nom d’utilisateur et de mot de passe.

Pour en savoir plus, accédez à techdocs.f5.com et consultez Manual Chapter: Single sign-on methods.

Configurer un profil d’accès

Un profil d’accès lie les éléments APM qui gèrent l’accès aux serveurs virtuels BIG-IP, notamment les stratégies d’accès, la configuration SSO et les paramètres de l’interface utilisateur.

  1. Sélectionnez Access>Profiles / Policies.

  2. Sélectionnez Access Profiles (Per-Session Policies).

  3. Sélectionnez Create (Créer).

  4. Saisissez un Nom.

  5. Pour Profile Type, sélectionnez All.

  6. Pour SSO Configuration, sélectionnez l’objet de configuration de l’authentification unique FBA que vous avez créé.

  7. Pour Accepted Language, sélectionnez au moins une langue.

    Capture d’écran des options et des sélections dans Access Profiles Per Session Policies, New Profile.

  8. Dans la colonne Per-Session Policy, pour le profil, sélectionnez Edit.

  9. L’éditeur de stratégie visuelle APM démarre.

    Capture d’écran de l’option Edit dans la colonne Per-Session Policy.

  10. Sous fallback, sélectionnez le signe +.

Capture d’écran de l’option signe plus de l’éditeur de stratégie visuelle APM sous fallback.

  1. Dans la fenêtre contextuelle, sélectionnez Authentication.
  2. Sélectionnez SAML Auth.
  3. Sélectionnez Ajouter un élément.

Capture d’écran de l’option SAML Auth.

  1. Sur le fournisseur de services d’authentification SAML, remplacez le Nom par Microsoft Entra authentification.
  2. Dans la liste déroulante AAA Server, entrez l’objet fournisseur de services SAML que vous avez créé.

Capture d’écran montrant les paramètres du serveur d’authentification Microsoft Entra.

  1. Dans la branche Successful, sélectionnez le signe +.
  2. Dans la fenêtre contextuelle, sélectionnez Authentication.
  3. Sélectionnez Logon Page.
  4. Sélectionnez Ajouter un élément.

Capture d’écran de l’option Logon Page sous l’onglet Logon.

  1. Pour username, dans la colonne Read Only, sélectionnez Yes.

Capture d’écran de l’option Yes sur la ligne username sous l’onglet Properties.

  1. Pour fallback dans la page de connexion, sélectionnez le signe +. Cette action ajoute un objet de mappage d’informations d’identification SSO.

  2. Dans la fenêtre contextuelle, sélectionnez l’onglet Assignment.

  3. Sélectionnez SSO Credential Mapping.

  4. Sélectionnez Ajouter un élément.

    Capture d’écran de l’option SSO Credential Mapping sous l’onglet Assignment.

  5. Dans Variable Assign: SSO Credential Mapping, conservez les paramètres par défaut.

  6. Sélectionnez Enregistrer.

    Capture d’écran de l’option Save sous l’onglet Properties.

  7. Dans la zone Deny supérieure, sélectionnez le lien.

  8. La branche Successful passe à Allow.

  9. Sélectionnez Enregistrer.

(Facultatif) Configurer des mappages d’attributs

Vous pouvez ajouter une configuration LogonID_Mapping. La liste des sessions actives BIG-IP mentionne alors l’UPN de l’utilisateur connecté, et non un numéro de session. Utilisez ces informations pour analyser les journaux ou résoudre les problèmes.

  1. Pour la branche SAML Auth Successful, sélectionnez le signe +.

  2. Dans la fenêtre contextuelle, sélectionnez Assignment.

  3. Sélectionnez Variable Assign.

  4. Sélectionnez Ajouter un élément.

    Capture d’écran de l’option Attribuer la variable sous l’onglet Affectation.

  5. Sous l’onglet Properties, entrez un nom (Name). Par exemple, LogonID_Mapping.

  6. Sous Variable Assign, sélectionnez Add new entry.

  7. Sélectionnez change.

    Capture d’écran des options Add new entry et change.

  8. Pour Custom Variable, utilisez session.logon.last.username.

  9. Pour Session Variable, utilisez session.saml.last.identity.

  10. Sélectionnez Finished.

  11. Sélectionnez Enregistrer.

  12. Sélectionnez Apply Access Policy (Appliquer la stratégie d’accès).

  13. Fermez l’onglet Visual Policy Editor.

Capture d’écran de la stratégie d’accès dans Apply Access Policy.

Configurer un pool principal

Pour permettre à BIG-IP de transférer le trafic client correctement, créez un objet de nœud BIG-IP qui représente le serveur back-end qui héberge votre application. Ensuite, placez ce nœud dans un pool de serveurs BIG-IP.

  1. Sélectionnez Local Traffic>Pools.

  2. Sélectionnez Pool List.

  3. Sélectionnez Create (Créer).

  4. Entrez un nom (Name) pour un objet de pool de serveurs. Par exemple, MyApps_VMs.

    Capture d’écran du champ Name sous New Pool.

  5. Pour Node Name, entrez un nom d’affichage du serveur. Ce serveur héberge l’application web back-end.

  6. Pour Address, entrez l’adresse IP de l’hôte du serveur d’applications.

  7. Pour Service Port, entrez le port HTTP/S sur lequel l’application écoute.

    Capture d’écran des champs Node Name, Address et Service Port, et de l’option Add.

    Notes

    Les moniteurs d’intégrité nécessitent une configuration qui n’est pas abordée dans cet article. Accédez à support.f5.com et consultez l’article K13397: Overview of HTTP health monitor request formatting for the BIG-IP DNS system.

Configurer un serveur virtuel

Un serveur virtuel est un objet de plan de données BIG-IP représenté par une adresse IP virtuelle. Le serveur écoute les requêtes du client adressées à l’application. Tout trafic reçu est traité et évalué par rapport au profil d’accès APM associé au serveur virtuel. Le trafic est dirigé conformément à la stratégie.

Pour configurer un serveur virtuel :

  1. Sélectionnez Local Traffic>Virtual Servers.

  2. Sélectionnez Virtual Server List.

  3. Sélectionnez Create (Créer).

  4. Saisissez un Nom.

  5. Pour Destination Address/Mask, sélectionnez Host et entrez une adresse IPv4 ou IPv6. L’adresse reçoit le trafic client pour l’application back-end publiée.

  6. Pour Service Port, sélectionnez Port, entrez 443, puis HTTPS.

    Capture d’écran des champs et options Name, Destination Address et Service Port.

  7. Pour HTTP Profile (Client), sélectionnez http.

  8. Pour SSL Profile (Client), sélectionnez le profil que vous avez créé, ou conservez la valeur par défaut à des fins de test. Cette option permet à un serveur virtuel TLS (Transport Layer Security) de publier des services via HTTPS.

    Capture d’écran des options HTTP Profile Client et SSL Profile Client.

  9. Pour Source Address Translation, sélectionnez Auto Map.

    Capture d’écran de la sélection Auto Map pour Source Address Translation.

  10. Sous Access Policy, dans la zone Access Profile, entrez le nom que vous avez créé. Cette action lie le profil de pré-authentification SAML de Microsoft Entra et la stratégie d’authentification unique FBA des en-têtes au serveur virtuel.

Capture d’écran de l’entrée Profil d’accès sous Stratégie d’accès.

  1. Sous Resources, pour Default Pool, sélectionnez les objets de pool de back-ends que vous avez créés.
  2. Sélectionnez Finished.

Capture d’écran de l’entrée Default Pool sous Resources.

Configurer les paramètres de gestion de session

Les paramètres de gestion des sessions BIG-IP définissent les conditions d’arrêt et de continuation des sessions. Créez une stratégie dans cette zone.

  1. Accédez à Access Policies.
  2. Sélectionnez Access Profiles.
  3. Sélectionnez Access Profile.
  4. Dans la liste, sélectionnez votre application.

Si vous avez défini une valeur d’URI Single Logout dans Microsoft Entra ID, une déconnexion lancée par le fournisseur d’identité à partir de MyApps met fin à la session entre le client et BIG-IP APM. Le fichier XML de métadonnées de fédération d’application importé fournit à APM le point de terminaison SAML Microsoft Entra pour la déconnexion lancée par le fournisseur de services. Veillez à ce qu’APM réponde correctement à une déconnexion de l’utilisateur.

S’il n’existe pas de portail web BIG-IP, les utilisateurs ne peuvent pas demander à APM de se déconnecter. Si l’utilisateur se déconnecte de l’application, BIG-IP n’en a pas connaissance. La session d’application peut être rétablie via l’authentification unique. Pour la déconnexion lancée par le fournisseur de services, veillez à ce que les sessions se terminent de manière sécurisée.

Vous pouvez ajouter une fonction SLO au bouton de déconnexion de votre application. Cette fonction redirige le client vers le point de terminaison de déconnexion SAML de Microsoft Entra. Pour localiser le point de terminaison de déconnexion SAML, accédez à Inscriptions des applications > Point de terminaison.

Si vous ne pouvez pas modifier l’application, faites en sorte que BIG-IP écoute l’appel de déconnexion d’application et déclenche SLO.

En savoir plus :

Application publiée

Votre application est publiée et accessible avec SHA avec l’URL de l’application ou les portails Microsoft.

L’application s’affiche en tant que ressource cible dans Accès conditionnel. En savoir plus : Créer une stratégie d’accès conditionnel.

Pour améliorer la sécurité, bloquez l’accès direct à l’application en forçant l’adoption d’un chemin par le biais de BIG-IP.

Test

  1. Avec un navigateur, connectez-vous à l’URL externe de l’application ou, dans MyApps, sélectionnez l’icône de l’application.

  2. Authentifiez-vous auprès de Microsoft Entra ID.

  3. Vous êtes redirigé vers le point de terminaison BIG-IP pour l’application.

  4. L’invite de mot de passe s’affiche.

  5. APM préremplit le nom d’utilisateur avec l’UPN de Microsoft Entra ID. Le nom d’utilisateur est en lecture seule pour la cohérence de session. Masquez ce champ, si nécessaire.

    Capture d’écran de la page de connexion.

  6. Les informations sont envoyées.

  7. Vous êtes connecté à l’application.

    Capture d’écran de la page d’accueil.

Résolution des problèmes

Lors de la résolution des problèmes, tenez compte des informations suivantes :

  • BIG-IP effectue l’authentification unique FBA lors de l’analyse du formulaire de connexion à l’URI

    • BIG-IP recherche les étiquettes d’élément de nom d’utilisateur et de mot de passe à partir de votre configuration

  • Vérifiez que les étiquettes d’éléments sont cohérentes, sinon l’authentification unique échouera

  • Les formulaires complexes générés dynamiquement peuvent nécessiter une analyse avec les outils de développement afin de comprendre le formulaire de connexion

  • Le lancement par le client est préférable pour les pages de connexion avec plusieurs formulaires

    • Vous pouvez spécifier le nom du formulaire et personnaliser la logique du gestionnaire de formulaires JavaScript

  • Les méthodes d’authentification unique FBA optimisent l’expérience utilisateur et la sécurité en masquant les interactions de formulaire :

    • Vous pouvez vérifier si les informations d’identification sont injectées
    • En mode lancement par le client, désactivez l’inscription automatique de formulaire dans votre profil d’authentification unique
    • Utilisez les outils de développement pour désactiver les deux propriétés de style qui empêchent l’affichage de la page de connexion

    Capture d’écran de la page Properties.

Augmenter la verbosité du journal

Les journaux BIG-IP contiennent des informations permettant d’isoler les problèmes d’authentification et d’authentification unique. Augmentez le niveau de détail du journal :

  1. Accédez à Access Policy>Overview.
  2. Sélectionnez Event Logs.
  3. Sélectionnez Paramètres.
  4. Sélectionnez la ligne de votre application publiée.
  5. Sélectionnez Modifier.
  6. Sélectionnez Access System Logs.
  7. Dans la liste de l’authentification unique, sélectionnez Debug.
  8. Sélectionnez OK.
  9. Reproduisez le problème.
  10. Passez en revue les journaux.

Rétablissez les paramètres, sinon il y a des données excessives.

Message d’erreur BIG-IP

Si une erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, le problème peut être lié à l’authentification unique Microsoft Entra ID et BIG-IP.

  1. Accédez à Access>Overview.
  2. Sélectionnez Access reports.
  3. Exécutez le rapport pour la dernière heure.
  4. Passez en revue les journaux à la recherche d’éventuels indices.

Utilisez le lien View session variables pour votre session afin de déterminer si APM reçoit les revendications Microsoft Entra attendues.

Aucun message d’erreur BIG-IP

Si aucun message d’erreur BIG-IP n’apparaît, le problème peut être lié à la requête back-end ou à l’authentification unique entre BIG-IP et l’application.

  1. Sélectionnez Access Policy>Overview.
  2. Sélectionnez Active Sessions.
  3. Sélectionnez le lien de session active.

Utilisez le lien View Variables à cet endroit pour vous aider à déterminer la cause racine, en particulier si APM ne parvient pas à obtenir l’identifiant utilisateur et le mot de passe.

Pour en savoir plus, accédez à techdocs.f5.com et consultez Manual Chapter: Session Variables.

Ressources