Partager via

Tutoriel : Configurer F5 BIG-IP Easy Button pour l’authentification unique à Oracle EBS

  • Article

Apprenez à sécuriser Oracle E-Business Suite (EBS) avec Microsoft Entra ID à l’aide de la configuration guidée de F5 BIG-IP Easy Button. L’intégration de BIG-IP avec Microsoft Entra ID présente de nombreux avantages :

En savoir plus :

Description du scénario

Ce scénario aborde l’application Oracle EBS qui utilise des en-têtes d’autorisation HTTP pour gérer l’accès au contenu protégé.

Les applications héritées ne disposent pas de protocoles modernes pour prendre en charge l’intégration de Microsoft Entra. Coûteuse et chronophage, la modernisation présente un risque de temps d’arrêt. Au lieu de cela, utilisez un contrôleur de remise d’application (ADC) F5 BIG-IP pour combler le manque entre les applications héritées et le plan de contrôle d’ID moderne, avec la transition de protocole.

BIG-IP devant l’application permet de superposer le service avec la pré-authentification Microsoft Entra et l’authentification unique basée sur l’en-tête. Cette configuration améliore la posture de sécurité des applications.

Architecture du scénario

La solution d’accès hybride sécurisé (SHA) est constituée des composants suivants :

  • Application Oracle EBS : service publié BIG-IP assurant la protection par SHA Microsoft Entra
  • Microsoft Entra ID – Fournisseur d'identité (IdP) Security Assertion Markup Language (SAML) qui vérifie les informations d'identification de l'utilisateur, l'accès conditionnel et l'authentification unique basée sur SAML sur le BIG-IP
    • Avec l’authentification unique, Microsoft Entra ID fournit des attributs de session à BIG-IP
  • Oracle Internet Directory (OID) : héberge la base de données utilisateur
    • BIG-IP vérifie les attributs d’autorisation avec LDAP
  • Oracle E-Business Suite AccessGate : valide les attributs d’autorisation avec le service OID, puis émet des cookies d’accès EBS
  • BIG-IP : proxy inverse et fournisseur de services SAML pour l’application
    • L’authentification est déléguée au fournisseur d’identité SAML, puis l’authentification unique basée sur l’en-tête à l’application Oracle se produit

SHA prend en charge les flux initiés par le fournisseur de services et le fournisseur d’identité. Le diagramme suivant montre le flux initié par le fournisseur de services.

Diagramme de l’accès hybride sécurisé basé sur le flux initié par le fournisseur de services.

  1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP).
  2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
  3. Microsoft Entra pré-authentifie l’utilisateur et applique les stratégies d’accès conditionnel.
  4. L’utilisateur est redirigé vers BIG-IP (SP SAML), et l’authentification unique s’effectue à l’aide du jeton SAML émis.
  5. BIG-IP effectue une requête LDAP pour l’attribut ID unique (UID) de l’utilisateur.
  6. BIG-IP injecte l’attribut UID renvoyé comme en-tête user_orclguid dans la demande de cookie de session Oracle EBS à Oracle AccessGate.
  7. Oracle AccessGate valide l’UID par rapport au service OID et émet un cookie d’accès Oracle EBS.
  8. En-têtes de l’utilisateur Oracle EBS et cookies envoyés à l’application pour renvoyer la charge utile à l’utilisateur.

Prérequis

Vous avez besoin des composants suivants :

  • Un abonnement Azure
  • Un rôle Administrateur d’application cloud ou Administrateur d’application.
  • Un BIG-IP, ou déployez BIG-IP Virtual Edition (VE) dans Azure
  • L’une des références SKU de licence F5 BIG-IP suivantes :
    • F5 BIG-IP® Best bundle
    • Licence autonome F5 BIG-IP Access Policy Manager™ (APM)
    • Licence de composant additionnel F5 BIG-IP Access Policy Manager™ (APM) sur une instance de BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Essai de 90 jours des fonctionnalités complètes de BIG-IP. Consultez Free Trials.
  • Identités utilisateur synchronisées à partir d’un répertoire local vers Microsoft Entra ID
  • Un certificat SSL pour publier des services sur HTTPS, ou utilisez les certificats par défaut lors des tests
  • Oracle EBS, Oracle AccessGate et Oracle Internet Database (OID) compatible LDAP

Méthode de configuration de BIG-IP

Ce tutoriel utilise le modèle Easy Button version 16.1 de la configuration guidée. Grâce à Easy Button, les administrateurs n’ont plus besoin d’aller et venir pour activer les services pour SHA. L’Assistant de configuration guidée d’APM et Microsoft Graph gèrent les déploiements et les stratégies. Cette intégration garantit que les applications prennent en charge la fédération des identités, l’authentification unique et l’accès conditionnel, ce qui réduit la surcharge administrative.

Notes

Remplacez les exemples de chaînes ou de valeurs de ce guide par ceux de votre environnement.

Inscrire Easy Button

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Avant qu’un client ou un service accède à Microsoft Graph, la plateforme d’identités Microsoft doit l’approuver.

En savoir plus : Démarrage rapide : Inscrire une application avec la plateforme d’identités Microsoft

Créez une inscription d’application locataire qui autorise l’accès d’Easy Button à Graph. BIG-IP envoie les configurations pour établir une relation d’approbation entre une instance SP SAML pour une application publiée et Microsoft Entra ID en tant que fournisseur d’identité SAML.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Inscriptions d’applications>Nouvelle inscription.

  3. Entrer le nom d’une application. Par exemple, F5 BIG-IP Easy Button.

  4. Spécifiez qui peut utiliser l’application >Comptes dans cet annuaire organisationnel uniquement.

  5. Sélectionnez Inscription.

  6. Accédez à Autorisations de l’API.

  7. Autorisez les autorisations d’application Microsoft Graph suivantes :

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Accorder le consentement administrateur pour votre organisation.

  9. Accédez à Certificats et secrets.

  10. Générez une nouvelle clé secrète client. Notez la clé secrète client.

  11. Accédez à Vue d’ensemble. Notez l’ID client et l’ID de locataire.

Configurer Easy Button

  1. Lancez la configuration guidée d’APM.

  2. Démarrez le modèle Easy Button.

  3. Accédez à Access (Accès) > Guided Configuration (Configuration guidée) > Microsoft Integration.

  4. Sélectionnez Application Microsoft Entra.

  5. Passez en revue les options de configuration.

  6. Cliquez sur Suivant.

  7. Utilisez le graphique pour publier votre application.

    Capture d’écran du graphique indiquant les zones de configuration.

Configuration Properties

L’onglet Propriétés de la configuration crée une configuration d’application BIG-IP et un objet d’authentification unique. La section Azure Service Account Details (Détails du compte de service Azure) représente le client que vous avez inscrit dans votre locataire Microsoft Entra en tant qu’application. Grâce à ces paramètres, un client OAuth BIG-IP inscrit un fournisseur de services SAML dans votre locataire avec des propriétés d’authentification unique. Easy Button effectue cette action pour les services BIG-IP publiés et activés pour SHA.

Pour réduire le temps et les efforts nécessaires, réutilisez les paramètres globaux pour publier d’autres applications.

  1. Entrez un Configuration Name.

  2. Pour Authentification unique (SSO) et en-têtes HTTP, sélectionnez Activé.

  3. Pour les options Tenant ID (ID de locataire), Client ID (ID client) et Client Secret (Clé secrète client), entrez les éléments notés lors de l’inscription du client Easy Button.

  4. Vérifiez que BIG-IP se connecte à votre locataire.

  5. Cliquez sur Suivant.

    Capture d’écran des entrées dans la boîte de dialogue Propriétés de la configuration.

Fournisseur de services

Utilisez les paramètres du fournisseur de services pour les propriétés de l’instance du fournisseur de services SAML de l’application protégée.

  1. Pour Host (Hôte), entrez le nom de domaine complet public de l’application.

  2. Pour Entity ID (ID d’entité), entrez l’identificateur que Microsoft Entra ID utilise pour le fournisseur de services SAML qui demande un jeton.

    Capture d’écran de l’entrée et des options du fournisseur de services.

  3. (Facultatif) Dans Security Settings (Paramètres de sécurité), sélectionnez ou désactivez l’option Enable Encrypted Assertion (Activer l’assertion chiffrée). Le chiffrement des assertions entre Microsoft Entra ID et l’APM BIG-IP garantit que le contenu des jetons ne peut pas être intercepté et que ni les données personnelles ni les données professionnelles ne peuvent être compromises.

  4. Dans la liste Clé privée de déchiffrement d’assertion, sélectionnez Créer un nouveau.

    Capture d’écran des options Create New dans la liste déroulante Assertion Decryption Private Key.

  5. Sélectionnez OK.

  6. La boîte de dialogue Import SSL Certificates and Keys (Importer des certificats et des clés SSL) s’ouvre dans un nouvel onglet.

  7. Sélectionnez PKCS 12 (IIS).

  8. Le certificat et la clé privée sont importés.

  9. Fermez l’onglet du navigateur pour revenir à l’onglet principal.

    Capture d’écran des entrées pour les options Import Type, Certificate and Key Name et Password.

  10. Sélectionnez Enable Encrypted Assertion (Activer l’assertion chiffrée).

  11. Quand le chiffrement est activé, dans la liste Assertion Decryption Private Key (Clé privée de déchiffrement des assertions), sélectionnez la clé privée de certificat que l’APM BIG-IP utilise pour déchiffrer les assertions Microsoft Entra.

  12. Quand le chiffrement est activé, dans la liste Assertion Decryption Certificate (Certificat de déchiffrement des assertions), sélectionnez le certificat que BIG-IP charge dans Microsoft Entra ID pour chiffrer les assertions SAML émises.

    Capture d’écran des certificats sélectionnés pour les options Assertion Decryption Private Key et Assertion Decryption Certificate.

Microsoft Entra ID

Easy Button fournit des modèles d’applications pour Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP et un modèle SHA générique. La capture d’écran suivante est l’option Oracle E-Business Suite sous Azure Configuration (Configuration Azure).

  1. Sélectionnez Oracle E-Business Suite.
  2. Sélectionnez Ajouter.

Configuration d’Azure

  1. Entrez le nom d’affichage de l’application que crée BIG-IP dans votre locataire Microsoft Entra et l’icône dans Mes applications.

  2. Dans Sign On URL (optional) URL d’authentification (facultatif), entrez le nom de domaine complet public de l’application EBS.

  3. Entrez le chemin par défaut de la page d’accueil Oracle EBS.

  4. En regard des options Signing Key (Clé de signature) et Signing Certificate (Certificat de signature), sélectionnez l’icône d’actualisation.

  5. Recherchez le certificat que vous avez importé.

  6. Dans La phrase secrète de la cléde signature, entrez le mot de passe du certificat.

  7. (Facultatif) Activez l’option Signing Option (Option de signature). Cette option garantit que BIG-IP accepte les jetons et les revendications signés par Microsoft Entra ID.

    Capture d’écran des options et des entrées pour la clé de signature, le certificat de signature et la phrase secrète de clé de signature.

  8. Dans la section User And User Groups (Utilisateur et groupes d’utilisateurs), ajoutez un utilisateur ou un groupe pour les tests ; sinon, tous les accès sont refusés. Les utilisateurs et groupes d’utilisateurs sont interrogés de manière dynamique à partir du locataire Microsoft Entra pour autoriser l’accès à l’application.

    Capture d’écran de l’option Add dans la section User And User Groups.

Attributs utilisateur et revendications

Quand un utilisateur s’authentifie, Microsoft Entra ID émet un jeton SAML avec des revendications et des attributs par défaut qui identifient cet utilisateur. L’onglet Attributs utilisateur et revendications contient les revendications par défaut à émettre pour la nouvelle application. Utilisez cette zone pour configurer d’autres revendications. Si nécessaire, ajoutez des attributs Microsoft Entra. Toutefois, le scénario Oracle EBS nécessite les attributs par défaut.

Capture d’écran des options et des entrées pour l’onglet User Attributes and Claims.

Attributs utilisateur supplémentaires

L’onglet Additional User Attributes (Attributs utilisateur supplémentaires) prend en charge les systèmes distribués nécessitant des attributs stockés dans des répertoires pour l’augmentation de la session. Les attributs récupérés à partir d’une source LDAP sont injectés sous forme d’en-têtes SSO supplémentaires pour contrôler l’accès en fonction des rôles, l’ID de partenaire, etc.

  1. Activez l’option Paramètres avancés.

  2. Cochez la case Attributs LDAP.

  3. Dans Choose Authentication Server (Choisir un serveur d’authentification), sélectionnez Create New (Créer).

  4. En fonction de votre configuration, sélectionnez Use Pool (Utiliser un pool) ou Direct (Directe) comme mode de connexion serveur pour l’adresse du serveur du service LDAP cible. Dans le cas d’un serveur LDAP unique, sélectionnez Direct (Directe).

  5. Pour Service Port (Port de service), entrez 3060 (port par défaut), 3161 (port sécurisé) ou un autre port pour le service LDAP Oracle.

  6. Entrez un nom unique de recherche de base. Utilisez le nom unique (DN) pour rechercher des groupes dans un annuaire.

  7. Pour Admin DN (Nom unique d’administration), entrez le nom unique de compte qu’APM utilise pour authentifier les requêtes LDAP.

  8. Pour Admin Password (Mot de passe d’administration), entrez le mot de passe correspondant.

    Capture d’écran des options et des entrées pour l’onglet Additional User Attributes.

  9. Conservez les attributs de schéma LDAP par défaut.

    Capture d’écran des attributs de schéma LDAP

  10. Dans la section LDAP Query Properties (Propriétés de la requête LDAP), pour Search Dn (Nom unique de recherche), entrez le nœud de base du serveur LDAP pour la recherche d’objets utilisateur.

  11. Dans la zone Required Attributes (Attributs obligatoires), entrez le nom d’attribut de l’objet utilisateur à retourner à partir de l’annuaire LDAP. Pour EBS, la valeur par défaut est orclguid.

    Capture d’écran des entrées et des options dans la section LDAP Query Properties.

Stratégie d’accès conditionnel

Les stratégies d’accès conditionnel contrôlent l’accès en fonction de l’appareil, de l’application, de la localisation et des signaux de risque. Les stratégies sont appliquées après la pré-authentification Microsoft Entra. La vue Available Policies (Stratégies disponibles) contient les stratégies d’accès conditionnel sans action de l’utilisateur. La vue Selected Policies (Stratégies sélectionnées) contient les stratégies pour les applications cloud. Vous ne pouvez pas désélectionner ces stratégies ou les déplacer vers la liste Available Policies (Stratégies disponibles), car elles sont appliquées au niveau du locataire.

Pour sélectionner une stratégie pour l’application à publier :

  1. Dans la liste Available Policies (Stratégies disponibles), sélectionnez une stratégie.

  2. Sélectionnez la flèche vers la droite.

  3. Déplacez la stratégie vers Selected Policies (Stratégies sélectionnées).

    Notes

    L’option Include (Inclure) ou Exclude (Exclure) est sélectionnée pour certaines stratégies. Si les deux options sont activées, la stratégie n’est pas appliquée.

    Capture d’écran de l’option Exclude sélectionnée pour quatre stratégies.

    Notes

    Sélectionnez l’onglet Conditional Access Policy (Stratégie d’accès conditionnel), qui affiche la liste des stratégies. Sélectionnez Refresh (Actualiser) et l’Assistant interroge votre locataire. L’option d’actualisation s’affiche pour les applications déployées.

Propriétés du serveur virtuel

Un serveur virtuel est un objet du plan de données BIG-IP représenté par une adresse IP virtuelle à l’écoute des demandes des clients d’application. Le trafic reçu est traité et évalué par rapport au profil APM associé au serveur virtuel. Le trafic est ensuite dirigé conformément à la stratégie.

  1. Entrez une adresse de destination, une adresse IPv4 ou IPv6 utilisée par BIG-IP pour recevoir le trafic client. Un enregistrement correspondant doit exister dans DNS afin de permettre aux clients de résoudre l’URL externe de l’application BIG-IP publiée en l’adresse IP. Utilisez un DNS localhost d’ordinateur de test pour les tests.

  2. Pour Service Port (Port de service), entrez 443, puis sélectionnez HTTPS.

  3. Sélectionnez Enable Redirect Port (Activer le port de redirection).

  4. Pour Redirect Port (Port de redirection), entrez 80, puis sélectionnez HTTP. Cette action redirige le trafic entrant du client HTTP vers HTTPS.

  5. Sélectionnez le profil SSL client que vous avez créé, ou laissez la valeur par défaut pendant les tests. Le profil SSL client active le serveur virtuel pour HTTPS. Les connexions clientes sont chiffrées via TLS.

    Capture d’écran des options et des sélections pour les propriétés du serveur virtuel.

Propriétés du pool

L’onglet Application Pool (Pool d’applications) contient les services derrière BIG-IP, un pool avec un ou plusieurs serveurs d’application.

  1. Pour Select a Pool (Sélectionner un pool), sélectionnez Create New (Créer) ou sélectionnez une autre option.

  2. Pour Load Balancing Method (méthode d’équilibrage de charge), sélectionnez Round Robin.

  3. Sous Pool Servers (Serveurs de pool), sélectionnez et entrez une adresse IP/nom de nœud et un port pour les serveurs hébergeant Oracle EBS.

  4. Sélectionnez HTTPS.

    Capture d’écran des options et des sélections pour les propriétés du pool.

  5. Sous Access Gate Pool (Pool de portes d’accès), confirmez le sous-chemin de porte d’accès.

  6. Pour Pool Servers (Serveurs de pool), sélectionnez et entrez une adresse IP/nom de nœud et un port pour les serveurs hébergeant Oracle EBS.

  7. Sélectionnez HTTPS.

    Capture d’écran des options et entrées pour le pool de portes d’accès.

Authentification unique et en-têtes HTTP

L’Assistant Easy Buttonprend en charge Kerberos, OAuth Bearer et les en-têtes d’autorisation HTTP pour l’authentification unique pour les applications publiées. Activez les en-têtes HTTP, car l’application Oracle EBS attend des en-têtes.

  1. Dans la section Authentification unique et en-têtes HTTP, sélectionnez En-têtes HTTP.

  2. Pour Opération d’en-tête, sélectionnez remplacer.

  3. Pour Nom de l’en-tête, entrez USER_NAME.

  4. Pour Valeur de l’en-tête, entrez %{session.sso.token.last.username}.

  5. Pour Opération d’en-tête, sélectionnez remplacer.

  6. Pour Nom de l’en-tête, entrez USER_ORCLGUID.

  7. Pour Valeur de l’en-tête, entrez %{session.ldap.last.attr.orclguid}.

    Capture d’écran des entrées et des sélections pour l’opération d’en-tête, le nom de l’en-tête et la valeur de l’en-tête.

    Remarque

    Les variables de session APM entre accolades respectent la casse.

Gestion des sessions

Utilisez BIG-IP Session Management pour définir des conditions d’arrêt ou de continuation des sessions utilisateur.

Pour en savoir plus, accédez à support.f5.com et consultez l’article K18390492 : Security | BIG-IP APM operations guide.

La fonctionnalité de déconnexion unique (SLO) garantit que les sessions entre le fournisseur d’identité, BIG-IP et l’agent utilisateur se terminent lorsque les utilisateurs se déconnectent. Quand Easy Button instancie une application SAML dans votre locataire Microsoft Entra, il remplit l’URL de déconnexion avec le point de terminaison APM SLO. De cette façon, les déconnexions initiées par le fournisseur d’identité à partir du portail Mes applications mettent également fin à la session entre BIG-IP et le client.

Consultez Mes applications Microsoft.

Les métadonnées de fédération SAML pour l’application publiée sont importées à partir du locataire. Cette action fournit à APM le point de terminaison de déconnexion SAML pour Microsoft Entra ID. Ensuite, la déconnexion initiée par le fournisseur de services met fin à la session du client et Microsoft Entra. Vérifiez qu’APM sait quand un utilisateur se déconnecte.

Si vous utilisez le portail webtop BIG-IP pour accéder aux applications publiées, APM traite une déconnexion pour appeler le point de terminaison de déconnexion Microsoft Entra. Si vous n’utilisez pas le portail webtop BIG-IP, l’utilisateur ne peut pas demander à APM de se déconnecter. Si l’utilisateur se déconnecte de l’application, BIG-IP n’en a pas connaissance. Vérifiez que la déconnexion initiée par le fournisseur de services déclenche l’arrêt des sessions sécurisées. Ajoutez une fonction SLO au bouton de déconnexion des applications pour rediriger le client vers le point de terminaison de déconnexion Microsoft Entra SAML ou BIG-IP. Recherchez l’URL du point de terminaison de déconnexion SAML de votre locataire dans Inscriptions d’applications > Points de terminaison.

Si vous ne pouvez pas modifier l’application, faites en sorte que BIG-IP écoute l’appel de déconnexion d’application et déclenche SLO.

En savoir plus :

Déployer

  1. Sélectionnez Deploy (Déployer) pour valider les paramètres.
  2. Vérifiez que l’application apparaît dans la liste des applications d’entreprise du locataire.

Test

  1. À partir d’un navigateur, connectez-vous à l’URL externe de l’application Oracle EBS ou sélectionnez l’icône de l’application dans Mes applications.
  2. Authentifiez-vous auprès de Microsoft Entra ID.
  3. Vous êtes redirigé vers le serveur virtuel BIG-IP de l'application et connecté par SSO.

Pour renforcer la sécurité, bloquez l’accès direct à l’application de manière à forcer l’adoption d’un chemin par le biais de BIG-IP.

Déploiement avancé

Parfois, les modèles de configuration guidée manquent de flexibilité pour répondre aux exigences.

En savoir plus : Tutoriel : Configurer F5 BIG-IP Access Policy Manager pour l'authentification unique basée sur l'en-tête.

Modifier manuellement les configurations

Dans BIG-IP, vous pouvez également désactiver le mode de gestion stricte de configuration guidée pour modifier manuellement les configurations. Les modèles de l’Assistant automatisent la plupart des configurations.

  1. Accédez à Access (Accès) > Guided Configuration (Configuration guidée).

  2. À l’extrémité droite de la ligne correspondant à la configuration de votre application, sélectionnez l’icône de cadenas.

    Capture d’écran de l’icône de cadenas.

Une fois que vous avez désactivé le mode strict, vous ne pouvez plus apporter de modifications à l’aide de l’Assistant. Toutefois, les objets BIG-IP associés à l’instance publiée de l’application sont ouverts à la gestion.

Notes

Si vous réactivez le mode strict, les nouvelles configurations remplacent les paramètres effectués sans la configuration guidée. Nous vous recommandons d’utiliser la méthode de configuration avancée pour les services de production.

Dépannage

Utilisez les instructions suivantes pour résoudre les problèmes.

Augmenter la verbosité du journal

L’utilisation de la journalisation BIG-IP pour isoler toutes sortes de problèmes liés à la connectivité, à l’authentification unique, aux violations de stratégies ou aux mappages de variables mal configurés. Augmentez le niveau de verbosité du journal.

  1. Accédez à Access Policy (Stratégie d’accès) > Overview (Vue d’ensemble) > Event Logs (Journaux des événements).
  2. Sélectionnez Paramètres.
  3. Sélectionnez la ligne correspondant à votre application publiée.
  4. Sélectionnez Edit (Modifier) > Access System Logs (Journaux système d’accès).
  5. Dans la liste d’authentification unique, sélectionnez Debug (Déboguer).
  6. Sélectionnez OK.
  7. Reproduisez le problème.
  8. Examinez les journaux.

Rétablissez les modifications des paramètres, car le mode détaillé génère des données excessives.

Message d’erreur BIG-IP

Si une erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, le problème peut être lié à l’authentification unique Microsoft Entra ID et BIG-IP.

  1. Accédez à **Access (Accès) > Overview (Vue d’ensemble).
  2. Sélectionnez Access reports (Rapports d’accès).
  3. Exécutez le rapport pour la dernière heure.
  4. Passez en revue les journaux à la recherche d’éventuels indices.

Utilisez le lien View Session (Afficher la session) pour votre session pour vérifier qu’APM reçoit les revendications Microsoft Entra attendues.

Aucun message d’erreur BIG-IP

Si aucune page d’erreur BIG-IP ne s’affiche, le problème peut être lié à la requête back-end ou à l’authentification unique entre BIG-IP et l’application.

  1. Accédez à Access Policy (Stratégie d’accès) > Overview (Vue d’ensemble).
  2. Sélectionnez Active Sessions (Sessions actives).
  3. Sélectionnez le lien correspondant à votre session active.

Utilisez le lien View Variables (Afficher les variables) pour examiner les problèmes d’authentification unique, en particulier si l’APM BIG-IP n’obtient pas les attributs corrects de Microsoft Entra ID ou d’une autre source.

En savoir plus :

Valider le compte de service APM

Utilisez la commande suivante de l’interpréteur de commandes pour valider le compte de service APM pour les requêtes LDAP. La commande authentifie et interroge les objets utilisateur.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

En savoir plus :