Tutoriel : activer l’accès hybride sécurisé aux applications avec Azure Active Directory B2C et F5 BIG-IP
Découvrez comment intégrer Azure Active Directory B2C (Azure AD B2C) à F5 BIG-IP Access Policy Manager (APM). Vous pouvez exposer des applications héritées en toute sécurité sur Internet via la sécurité BIG-IP avec la pré-authentification Azure AD B2C, l’accès conditionnel (CA) et l’authentification unique. La société F5 Inc. se concentre sur la livraison, la sécurité, les performances et la disponibilité des services connectés, y compris les ressources de calcul, de stockage et de réseau. Elle fournit du matériel, des logiciels modulaires et des solutions d’appliances virtuelles compatibles avec le cloud.
Déployez le contrôleur F5 BIG-IP Application Delivery Controller (ADC) en tant que passerelle sécurisée entre les réseaux privés et l’Internet. Il existe des fonctionnalités pour l’inspection au niveau de l’application et des contrôles d’accès personnalisables. S’il est déployé en tant que proxy inverse, utilisez BIG-IP pour permettre un accès hybride sécurisé aux applications métier avec une couche d’accès d’identité fédérée gérée par APM.
Accédez aux ressources et livres blancs du site f5.com pour : Configurer facilement l’accès sécurisé à toutes vos applications via Microsoft Entra ID
Prérequis
Pour commencer, vous avez besoin des éléments suivants :
- Un abonnement Azure
- Si vous n’en avez pas déjà un, procurez-vous un compte Azure gratuit.
- Un locataire Azure AD B2C associé à l’abonnement Azure
- Un BIG-IP ou un environnement virtuel (VE) BIG-IP d’essai déployé sur Azure
- L’une des licences F5 BIG-IP suivantes :
- F5 BIG-IP® Best bundle
- Licence autonome F5 BIG-IP Access Policy Manager™
- Licence de composant additionnel F5 BIG-IP Access Policy Manager™ sur une instance BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
- Licence d’essai de 90 jours des fonctionnalités complètes de BIG-IP
- Une application web basée sur des en-têtes ou une application IIS à des fins de test
- Consultez Configurer une application IIS
- Certificat SSL pour les services de publication sur HTTPS, ou utilisez la valeur par défaut lors des tests
- Consultez Profil SSL
Description du scénario
Le scénario suivant est basé sur des en-têtes, mais vous pouvez utiliser ces méthodes pour obtenir l’authentification unique Kerberos.
Pour ce scénario, l’accès à une application interne repose sur la réception d’en-têtes d’autorisation HTTP d’un système de répartiteur hérité. Les agents commerciaux peuvent être dirigés vers des zones de contenu respectives. Le service doit être étendu à une base de consommateurs plus large. L’application est mise à niveau pour les options d’authentification du consommateur ou est remplacée.
Dans l’idéal, une mise à niveau d’application prend en charge la gestion et la gouvernance directes avec un plan de contrôle moderne. Toutefois, le temps et les efforts de modernisation entraînent des coûts et des temps d’arrêt potentiels. Au lieu de cela, déployez un BIG-IP Virtual Edition (VE) entre l’Internet public et le réseau virtuel Azure interne pour contrôler l’accès avec Azure AD B2C. Un BIG-IP devant l’application permet de superposer le service avec la préauthentification Azure AD B2C et l’authentification unique basée sur l’en-tête, renforçant ainsi la posture de sécurité de l’application.
La solution d’accès hybride sécurisé est constituée des composants suivants :
- Application : service principal protégé par l’accès hybride sécurisé Azure AD B2C et BIG-IP
- Azure AD B2C : fournisseur d’identités (IdP) et serveur d’autorisation OpenID Connect (OIDC) qui vérifie les informations d’identification des utilisateurs, l’authentification multifacteur et l’authentification unique sur BIG-IP APM
- BIG-IP : proxy inverse pour l’application. BIG-IP APM est le client OIDC qui délègue l’authentification au serveur d'autorisation OIDC, avant l’authentification unique basée sur l’en-tête pour le service principal.
Le diagramme suivant illustre le flux initié par le fournisseur de services pour ce scénario.
- L’utilisateur se connecte au point de terminaison d’application. BIG-IP est un fournisseur de services.
- Le client OIDC BIG-IP APM redirige l’utilisateur vers le point de terminaison du locataire Azure AD B2C, le serveur d’autorisation OIDC
- Le locataire Azure AD B2C préauthentifie l’utilisateur et applique les stratégies d’accès conditionnel
- Azure AD B2C redirige l’utilisateur vers le fournisseur de services avec le code d’autorisation
- Le client OIDC demande au serveur d’autorisation d’échanger le code d’autorisation contre un jeton d’ID
- BIG-IP APM accorde l’accès à l’utilisateur et injecte les en-têtes HTTP dans la requête du client transmise à l’application
Configuration d’Azure AD B2C
Pour activer un BIG-IP avec l’authentification Azure AD B2C, utilisez un locataire Azure AD B2C avec un flux d’utilisateur ou une stratégie personnalisée.
Consultez Tutoriel : créer des flux d’utilisateurs et des stratégies personnalisées dans Azure AD B2C
Créer des attributs personnalisés
Obtenez des attributs personnalisés à partir d’objets utilisateur Azure AD B2C, de fournisseurs d’identité fédérés, de connecteurs d’API ou d’inscription d’utilisateur. Incluez des attributs dans le jeton qui va à l’application.
Les applications héritées attendent des attributs spécifiques. Par conséquent, incluez-les dans votre flux d’utilisateur. Vous pouvez les remplacer par les attributs requis par votre application. Ou si vous configurez une application de test à l’aide des instructions, utilisez les en-têtes.
- Connectez-vous au Portail Azure en tant qu’administrateur général.
- Dans le volet à gauche, sélectionnez Attributs utilisateur.
- Sélectionnez Ajouter pour créer deux attributs personnalisés.
- Pour ID de l’agent, sélectionnez le Type de données Chaîne.
- Pour Zone géographique de l’agent, sélectionnez le Type de données Chaîne.
Ajouter des attributs au flux d’utilisateur
- Dans le menu de gauche, accédez à Stratégies>Flux d’utilisateurs.
- Sélectionnez votre stratégie, par exemple B2C_1_SignupSignin.
- Sélectionnez Attributs utilisateur.
- Ajoutez les deux attributs personnalisés.
- Ajoutez l’attribut Nom d’affichage. Ces attributs sont collectés lors de l’inscription de l’utilisateur.
- Cliquez sur Revendications de l’application.
- Ajoutez les deux attributs personnalisés.
- Entrez le Nom d’affichage. Ces attributs sont transmis à BIG-IP.
- Sélectionnez Exécuter le flux utilisateur.
- Dans le menu de flux d’utilisateur, au niveau de la barre de navigation à gauche, vérifiez les invites pour les attributs définis.
Pour en savoir plus : Tutoriel : créer des flux d’utilisateurs et des stratégies personnalisées dans Azure AD B2C
Fédération Azure AD B2C
Fédérez BIG-IP et Azure AD B2C pour la confiance mutuelle. Inscrivez BIG-IP dans le locataire Azure AD B2C en tant qu’application OIDC.
- Dans le portail, sélectionnez Inscriptions d'applications>Nouvelle inscription.
- Entrez un nom d’application, par exemple HeaderApp1.
- Sous Types de comptes pris en charge, sélectionnez Comptes dans un fournisseur d’identité ou annuaire organisationnel (pour authentifier les utilisateurs avec des flux d’utilisateurs) .
- Sous URI de redirection, sélectionnez Web.
- Entrez le nom de domaine complet public du service protégé.
- Entrez le chemin.
- Laissez les sélections restantes.
- Sélectionnez Inscription.
- Allez dans Certificats et secrets>+ Nouvelle clé secrète client.
- Entrez un nom descriptif.
- Entrez une valeur TTL pour le secret utilisé par le BIG-IP.
- Notez la clé secrète client pour la configuration BIG-IP.
L’URI de redirection est le point de terminaison BIG-IP. Après l’authentification, le serveur d’autorisation (Azure AD B2C) envoie les utilisateurs au point de terminaison.
En savoir plus : Tutoriel : inscrire une application web dans Azure AD B2C pour Azure AD B2C.
Configuration de BIG-IP
Pour la configuration BIG-IP, utilisez Guided Configuration v.7/8. L’infrastructure de workflow est adaptée aux topologies d’accès et permet une publication de service web rapide.
Version de Guided Configuration
- Pour confirmer la version, connectez-vous à la configuration web BIG-IP avec un compte d’administrateur.
- Accédez à Access (Accès)>Guided Configuration (Configuration guidée).
- La version apparaît dans le coin supérieur droit.
Pour mettre à niveau Guided Configuration, accédez à my.f5.com pour K85454683 : mettre à niveau Guided Configuration F5 BIG-IP sur le système BIG-IP.
Profils SSL
Utilisez BIG-IP configuré avec un profil SSL client pour sécuriser le trafic côté client via TLS. Importez un certificat qui correspond au nom de domaine utilisé par l’URL publique de votre application. Nous vous recommandons d’utiliser une autorité de certification publique, mais vous pouvez utiliser des certificats auto-signés BIG-IP à des fins de test.
Pour ajouter et gérer des certificats dans BIG-IP VE, accédez à la section Système BIG-IP : administration SSL du site techdocs.f5.com.
Configuration guidée
- Pour lancer l’Assistant de déploiement, dans la configuration web, accédez à Access (Accès)>Guided Configuration (Configuration guidée).
- Sélectionnez Federation (Fédération)>F5 as OAuth Client and Resource Server (F5 comme client OAuth et serveur de ressources).
- Observez le résumé du flux pour ce scénario.
- Sélectionnez Suivant.
- L’Assistant démarre.
Propriétés d’OAuth
Dans les sections suivantes, définissez des propriétés pour activer la fédération entre BIG-IP APM et le serveur d’autorisation OAuth, le locataire Azure AD B2C. OAuth est référencé dans la configuration BIG-IP. La solution utilise OIDC, une couche d’identité sur le protocole OAuth 2.0. Les clients OIDC vérifient l’identité de l’utilisateur et obtiennent d’autres informations de profil.
Nom de la configuration
Un nom d’affichage de configuration permet de faire la distinction entre les configurations de déploiement dans Guided Configuration. Vous ne pouvez pas modifier le nom et il s’affiche uniquement dans la vue Guided Configuration.
Mode
BIG-IP APM est un client OIDC. Par conséquent, sélectionnez l’option Client.
Résolveur DNS
La cible spécifiée doit résoudre les IP publiques des points de terminaison Azure AD B2C. Sélectionnez un résolveur DNS public ou créez-en un nouveau.
Paramètres du fournisseur
Configurez Azure AD B2C comme IdP OAuth2. Guided Configuration a des modèles Azure AD B2C, mais pas certaines étendues.
Ajoutez un nouveau fournisseur et configurez-le :
Propriétés générales d’OAuth
| Propriétés | Description |
|---|---|
| Type de fournisseur OAuth | Custom |
| Choisir le fournisseur OAuth | Créez un fournisseur OAuth ou utilisez un fournisseur existant |
| Nom | Un nom d’affichage unique pour l’IdP B2C. Ce nom apparaît en tant qu’option de fournisseur lors de la connexion |
| Type de jeton | JSON Web Token |
Paramètres de stratégie OAuth
| Propriétés | Description |
|---|---|
| Étendue | Laisser vide. L’étendue OpenID pour la connexion utilisateur est ajoutée automatiquement |
| Type d’autorisation | Code d’autorisation. |
| Activer OpenID Connect | Sélectionnez l’option pour mettre le client OAuth APM en mode OIDC |
| Type de flux | Code d’autorisation. |
Paramètres du fournisseur OAuth
L’URI OpenID suivant fait référence au point de terminaison des métadonnées utilisé par les clients d’OIDC pour découvrir des informations d’IdP telles que le renouvellement des certificats de signature.
- Recherchez le point de terminaison de métadonnées pour votre locataire Azure AD B2C. Accédez à App registrations (Inscriptions d'applications)>Endpoints (Points de terminaison).
- Copiez l’URI du document de métadonnées Azure AD B2C OpenID Connect. Par exemple :
https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configuration. - Mettez à jour l’URI avec vos propriétés,
https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configuration. - Collez l’URI dans le navigateur.
- Affichez les métadonnées OIDC de votre locataire Azure AD B2C.
| Propriété | Description |
|---|---|
| Public visé | ID client de l’application représentant BIG-IP dans votre locataire Azure AD B2C |
| URI d’authentification | Point de terminaison d’autorisation dans vos métadonnées B2C OIDC |
| URI de jeton | Point de terminaison de jeton dans vos métadonnées Azure AD B2C |
| URI de requête Userinfo | Laissez ce champ vide. Azure AD B2C ne prend pas en charge cette fonctionnalité |
| URI OpenID | Point de terminaison de métadonnées de l’URI OpenID que vous avez créé |
| Ignorer la validation des certificats expirés | Laissez cette case décochée. |
| Autoriser le certificat de configuration JWK auto-signé | Vérification |
| Pack d’accès conditionnel approuvé | Sélectionnez ca-bundle.crt pour utiliser les autorités approuvées F5 par défaut |
| Intervalle de détection | Indiquez l’intervalle auquel BIG-IP doit interroger votre locataire Azure AD B2C pour les mises à jour. L’intervalle minimal dans AGC version 16.1 0.0.19 est de 5 minutes. |
Paramètres du serveur OAuth
Pour le serveur d’autorisation OIDC, soit votre locataire Azure AD B2C.
| Propriété | Descriptions |
|---|---|
| ID client | ID client de l’application représentant BIG-IP dans votre locataire Azure AD B2C |
| Clé secrète client | Clé secrète client de l’application |
| Profil SSL client-serveur | Définissez un profil SSL pour vous assurer qu’APM communique avec l’IdP Azure AD B2C via TLS. Sélectionnez le serverssl par défaut. |
Paramètres de requête OAuth
BIG-IP possède toutes les requêtes Azure AD B2C nécessaires dans son ensemble de requêtes préconfigurées. Toutefois, les requêtes étaient malformées et il manquait des paramètres importants. Nous les avons donc créées manuellement.
Demande de jeton : activée
| Propriété | Description |
|---|---|
| Choisir une requête OAuth | Création |
| HTTP method | POST |
| Activer les en-têtes | Désactivé |
| Activer les paramètres | Activée |
| Paramètre | Nom du paramètre | Valeur du paramètre |
|---|---|---|
| client_id | client_id | N/A |
| nonce | nonce | N/A |
| redirect_uri | redirect_uri | N/A |
| scope | scope | N/A |
| response_type | response_type | N/A |
| client_secret | client_secret | N/A |
| custom | grant_type | authorization_code |
Demande de redirection d’authentification : activée
| Propriété | Description |
|---|---|
| Choisir une requête OAuth | Création |
| HTTP method | GET |
| Type d’invite | None |
| Activer les en-têtes | Désactivé |
| Activer les paramètres | Activée |
| Paramètre | Nom du paramètre | Valeur du paramètre |
|---|---|---|
| client_id | client_id | N/A |
| redirect_uri | redirect_uri | N/A |
| response_type | response_type | N/A |
| scope | scope | N/A |
| nonce | nonce | N/A |
Demande d’actualisation de jeton : désactivée Vous pouvez activer et configurer en fonction des besoins.
Demande UserInfo OpenID :désactivée : non prise en charge dans les locataires mondiaux d’Azure AD B2C.
Propriétés du serveur virtuel
Créez un serveur virtuel BIG-IP pour intercepter les demandes de clients externes pour le service principal protégé par un accès hybride sécurisé. Attribuez au serveur virtuel une adresse IP qui est mappée à l’enregistrement DNS public pour le point de terminaison du service BIG-IP représentant l’application. Utilisez un serveur virtuel si disponible. Sinon, fournissez les propriétés suivantes.
| Propriété | Description |
|---|---|
| Adresse de destination | Adresse IP privée ou publique qui devient le point de terminaison de service BIG-IP pour l’application principale |
| Port du service | HTTPS |
| Activer le port de redirection | Sélectionnez cette option pour que les utilisateurs soient redirigés automatiquement de http vers https |
| Port de redirection | HTTP |
| Profil SSL du client | Remplacez le profil clientssl prédéfini par celui qui contient votre certificat SSL. Vous pouvez tester avec le profil par défaut, mais cela est susceptible de provoquer une alerte de navigateur. |
Propriétés du pool
Les services principaux apparaissent dans BIG-IP sous forme de pool, avec un ou plusieurs serveurs d’applications vers lesquels les serveurs virtuels dirigent le trafic entrant. Sélectionnez un pool, sinon créez-en un.
| Propriété | Description |
|---|---|
| Méthode d’équilibrage de charge | Sélectionnez Tourniquet |
| Serveur de pool | Adresse IP interne de l’application principale |
| Port | Port de service de l’application principale |
Notes
Vérifiez que BIG-IP a une vue directe sur l’adresse du serveur de pool.
Paramètres d’authentification unique
BIG-IP prend en charge les options d’authentification unique, mais, en mode client OAuth, Guided Configuration est limité à Kerberos ou aux en-têtes HTTP. Activez l’authentification unique et utilisez les informations suivantes pour qu’APM mappe les attributs entrants aux en-têtes sortants.
| Propriété | Description |
|---|---|
| Opération d’en-tête | Insérer |
| Nom de l’en-tête | name |
| Valeur de l’en-tête | %{session.oauth.client.last.id_token.name} |
| Opération d’en-tête | Insérer |
| Nom de l’en-tête | agentid |
| Valeur de l’en-tête | %{session.oauth.client.last.id_token.extension_AgentGeo} |
Notes
Les variables de session APM entre accolades respectent la casse. Si vous saisissez « agentid » alors que le nom de l’attribut Azure AD B2C est envoyé sous la forme « AgentID », le mappage de l’attribut échoue. Définissez les attributs en minuscules. Dans Azure AD B2C, le flux utilisateur invite l’utilisateur à entrer d’autres attributs, en utilisant le nom de l’attribut dans le portail. Par conséquent, utilisez la casse de phrase au lieu de minuscules.
Propriétés de personnalisation
Personnalisez la langue et l’apparence des écrans que les utilisateurs voient dans le flux de stratégie d’accès APM. Modifiez les messages et les invites à l’écran, ainsi que les dispositions de l’écran, les couleurs, les images et localisez les légendes, les descriptions et les messages.
Dans le champ de texte Form Header (En-tête de formulaire), remplacez la chaîne F5 Networks par le nom souhaité.
Propriétés de gestion de session
Utilisez les paramètres de gestion de session BIG-IP pour définir des conditions qui arrêtent les sessions ou les autorisent à continuer. Définissez des limites pour les utilisateurs, les adresses IP et les pages d’erreur. Nous vous recommandons d’implémenter Single Log Out (SLO), qui met fin aux sessions de manière sécurisée, ce qui réduit les risques d’accès non autorisé.
Paramètres de déploiement
Sélectionnez Deploy (Déployer) pour valider les paramètres et créer les objets BIG-IP et APM pour un accès hybride sécurisé à l’application. L’application s’affiche en tant que ressource cible dans Accès conditionnel. Pour renforcer la sécurité, bloquez l’accès direct à l’application de manière à forcer l’adoption d’un chemin par le biais de BIG-IP.
Pour en savoir plus : Identity Protection et accès conditionnel pour Azure AD B2C
Tester le flux d’inscription de connexion
- En tant qu’utilisateur, accédez à l’URL externe de l’application.
- La page de connexion du client OAuth de BIG-IP s’affiche.
- Connectez-vous à l’aide de l’octroi de code d’autorisation. Pour supprimer cette étape, consultez la section Configurations supplémentaires.
- Inscrivez-vous et authentifiez-vous auprès de votre locataire Azure AD B2C.
Les images suivantes sont la boîte de dialogue de connexion utilisateur et la page d’accueil de la connexion.
Pour renforcer la sécurité, bloquez l’accès direct à l’application de manière à forcer l’adoption d’un chemin par le biais de BIG-IP.
Configurations supplémentaires
Single Log Out (SLO)
Azure AD B2C prend en charge le fournisseur d’identité (IdP) et la déconnexion de l’application. Consultez Déconnexion unique.
Pour obtenir un SLO, activez la fonction de déconnexion de votre application pour appeler le point de terminaison de déconnexion Azure AD B2C. Ensuite, Azure AD B2C émet une redirection finale vers BIG-IP. Cette action garantit que la session APM utilisateur-application se termine.
Un autre processus SLO consiste à permettre à BIG-IP d’écouter la demande, lors de la sélection du bouton Déconnexion des applications. Lors de la détection de la demande, il appelle le point de terminaison de déconnexion Azure AD B2C. Cette approche empêche d’apporter des modifications à l’application.
Pour en savoir plus sur les iRules BIG-IP, accédez au site support.f5.com pour K42052145 : configuration de l’arrêt automatique de session (déconnexion) en fonction d’un nom de fichier référencé par URI.
Notes
Quelle que soit l’approche, vérifiez que le locataire Azure AD B2C connaît le point de terminaison de déconnexion APM.
- Dans le portail, accédez à Gérer>Manifeste.
- Recherchez la propriété
logoutUrl. Il lit la valeur nulle. - Ajoutez l’URI de déconnexion post-déconnexion APM :
https://<mysite.com>/my.logout.php3
Notes
<mysite.com> est le nom de domaine complet BIG-IP pour votre application basée sur l’en-tête.
Flux de connexion optimisé
Pour améliorer l’expérience de connexion utilisateur, supprimez l’invite de connexion utilisateur OAuth qui s’affiche avant la pré-authentification Microsoft Entra.
Accédez à Access (Accès)>Guided Configuration (Configuration guidée).
À l’extrême droite de la ligne, sélectionnez l’icône de cadenas.
L’application basée sur l’en-tête déverrouille la configuration stricte.
Le déverrouillage de la configuration stricte empêche les modifications avec l’interface utilisateur de l’Assistant. Les objets BIG-IP sont associés à l’instance publiée de l’application et sont ouverts à la gestion directe.
Accédez à Access (Accès)>Profiles/Policies (Profils/Stratégies)>Profiles (Per-session Policies) (Profils d’accès (stratégies par session)).
Pour l’objet de stratégie d’application, dans la colonne Per-Session Policy (Stratégie par session), sélectionnez Edit (Modifier).
Pour supprimer l’objet de stratégie OAuth Logon Page (Page d’ouverture de session OAuth), sélectionnez X.
À l’invite, connectez-vous au nœud précédent.
Dans le coin supérieur gauche, sélectionnez Apply Access Policy (Appliquer la stratégie d’accès).
Fermez l’onglet de l’éditeur visuel.
Lorsque vous tentez de vous connecter à l’application, la page de connexion Azure AD B2C s’affiche.
Notes
Si vous réactivez le mode strict et déployez une configuration, les paramètres effectués en dehors de l’interface utilisateur Guided Configuration sont remplacés. Implémentez ce scénario en créant manuellement des objets de configuration pour les services de production.
Dépannage
Utilisez les conseils de résolution des problèmes suivants si l’accès à l’application protégée est empêché.
Verbosité du journal
Les journaux BIG-IP disposent d’informations pour isoler les problèmes d’authentification et d’authentification unique. Augmentez le niveau de verbosité du journal.
- Accédez à Access Policy (Stratégie d’accès)>Overview (Vue d’ensemble)>Event Logs (Journaux des événements)>Settings (Paramètres) .
- Sélectionnez la ligne correspondant à votre application publiée, puis Edit (Modifiez)>Access System Logs (Journaux système d’accès) .
- Dans la liste de l’authentification unique, sélectionnez Debug (Déboguer).
- Sélectionnez OK.
- Avant d’examiner les journaux, reproduisez votre problème.
Lorsque vous avez terminé, rétablissez les paramètres précédents.
Message d’erreur BIG-IP
Si un message d’erreur BIG-IP apparaît après l’authentification Azure AD B2C, le problème peut être lié à l’authentification unique de Microsoft Entra ID vers BIG-IP.
- Accédez à Access (Accès)>Overview (Vue d’ensemble)>Access reports (Rapports d’accès) .
- Exécuter le rapport pour la dernière heure
- Passez en revue les journaux à la recherche d’éventuels indices.
- Sélectionnez le lien View session variables (Afficher les variables de session).
- Déterminez si l’APM reçoit les revendications Microsoft Entra attendues.
Aucun message d’erreur BIG-IP
Si aucun message d’erreur BIG-IP n’apparaît, le problème peut être lié à la requête principale ou à l’authentification unique entre BIG-IP et l’application.
- Accédez à Access Policy (Stratégie d’accès)>Overview (Vue d’ensemble)>Active Sessions (Sessions actives) .
- Sélectionnez le lien correspondant à votre session active.
- Sélectionnez le lien View Variables (Afficher les variables).
- Passez en revue pour déterminer la cause racine, en particulier si BIG-IP APM obtient des attributs de session inexacts.
- Utilisez les journaux d’application pour déterminer s’il a reçu les attributs en tant qu’en-têtes.
Problème connu de Guided Configuration v8
Si vous utilisez Guided Configuration v8, un problème connu génère l’erreur suivante après une authentification Azure AD B2C réussie. Le problème peut être lié au fait qu’AGC n’active pas le paramètre Auto JWT pendant le déploiement. L’APM ne peut pas obtenir les clés de signature de jeton actuelles. L’équipe d’ingénierie F5 étudie la cause racine.
Le même journal d’accès fournit des détails.
Activer manuellement le paramètre
- Accédez à Access (Accès)>Guided Configuration (Configuration guidée).
- À l’extrême droite de la ligne de votre application basée sur l’en-tête, sélectionnez le cadenas.
- Accédez à Access (Accès)>Federation (Fédération)>OAuth Client/Resource Server (Client OAuth/Serveur de ressources)>Providers (Fournisseurs).
- Sélectionnez le fournisseur pour votre configuration Azure AD B2C.
- Cochez la case Use Auto JWT (Utiliser auto JWT).
- Sélectionnez Discover (Découvrir).
- Sélectionnez Enregistrer.
- Le champ Key (Clé) (JWT) contient l’ID de clé de certificat de signature de jetons (KID) des métadonnées d’URI OpenID.
- Dans le coin supérieur gauche, sélectionnez Apply Access Policy (Appliquer la stratégie d’accès).
- Sélectionnez Appliquer.
Pour plus d’informations, consultez le site techdocs.f5.com pour obtenir des conseils de résolution des problèmes du client et du serveur de ressources OAuth