Tutoriel : configurer BIG-IP Easy Button F5 pour l’authentification unique à Oracle PeopleSoft

Dans cet article, apprenez à sécuriser Oracle PeopleSoft avec Microsoft Entra ID, avec la configuration guidée 16.1 de BIG-IP Easy Button F5.

Intégrez BIG-IP à Microsoft Entra ID pour de nombreux avantages :

• Gouvernance Confiance Zéro améliorée via une pré-authentification Microsoft Entra et un accès conditionnel
  • Consultez l’infrastructure Confiance Zéro pour activer le travail à distance
  • Voir, Qu’est-ce que l’accès conditionnel ?
• Authentification unique (SSO) entre Microsoft Entra ID et les services publiés BIG-IP
• Gérer les identités et l’accès à partir du Centre d’administration Microsoft Entra

En savoir plus :

• Intégrer F5 BIG-IP à l’ID Microsoft Entra
• Activer l’authentification unique pour une application d’entreprise

Description du scénario

Pour ce tutoriel, nous utilisons une application PeopleSoft utilisant des en-têtes d’autorisation HTTP pour gérer l’accès au contenu protégé.

Les applications héritées ne disposent pas de protocoles modernes pour prendre en charge l’intégration de Microsoft Entra. Une modernisation est coûteuse, nécessite une planification et présente un risque potentiel de temps d’arrêt. Au lieu de cela, utilisez un contrôleur de remise d’application (ADC) F5 BIG-IP pour combler le manque entre les applications héritées et le contrôle d’ID moderne, avec la transition de protocole.

Avec une BIG-IP devant l’application, vous pouvez superposer le service avec la pré-authentification Microsoft Entra et l’authentification unique basée sur l’en-tête. Cette action améliore la posture de sécurité de l’application.

Remarque

Accédez à distance à ce type d’application avec le proxy d’application Microsoft Entra.
Consultez l’article Accès à distance aux applications locales via le proxy d’application Microsoft Entra.

Architecture du scénario

La solution d’accès hybride sécurisé (SHA) pour ce tutoriel comprend les éléments suivants :

• Application PeopleSoft - BIG-IP service sécurisé publié par Microsoft Entra SHA
• Microsoft Entra ID - Security Assertion Markup Language (SAML) Identity Provider (IdP) qui vérifie les informations d’identification de l’utilisateur, l’accès conditionnel et l’authentification unique SAML à l'BIG-IP
  • Avec l’authentification unique, Microsoft Entra ID fournit des attributs de session à BIG-IP
• BIG-IP : proxy inverse et fournisseur de services SAML (SP) à l’application. Il délègue l’authentification au fournisseur d’identité SAML, puis effectue une authentification unique basée sur l’en-tête auprès du service PeopleSoft.

Pour ce scénario, SHA prend en charge les flux lancés par le fournisseur de services et le fournisseur d’identité. Le diagramme suivant montre le flux lancé par le fournisseur de services.

1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP).
2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
3. Microsoft Entra pré-authentifie l’utilisateur et applique les stratégies d’accès conditionnel.
4. L’utilisateur est redirigé vers BIG-IP (SP SAML), et l’authentification unique s’effectue avec le jeton SAML émis.
5. BIG-IP injecte les attributs Microsoft Entra sous forme d’en-têtes dans la demande envoyée à l’application.
6. L’application autorise la demande et renvoie une charge utile.

Prérequis

• Un compte Microsoft Entra ID gratuit ou supérieur
  • Si vous n’en avez pas, obtenez un compte gratuit Azure
• Un BIG-IP ou une édition virtuelle (VE) BIG-IP dans Azure
  • Voir, Déployer une machine virtuelle F5 BIG-IP Virtual Edition dans Azure
• L’une des licences F5 BIG-IP suivantes :
  • Offre groupée F5 BIG-IP® optimale
  • Licence autonome F5 BIG-IP APM
  • Licence de composant additionnel F5 BIG-IP APM sur une instance existante de BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Licence d’évaluation complète des fonctionnalités de 90 jours BIG-IP
• Identités des utilisateurs synchronisées à partir d’un répertoire local vers Microsoft Entra ID, ou créées dans Microsoft Entra ID et renvoyées vers le répertoire local
  • Voir Microsoft Entra Connect Sync : Comprendre et personnaliser la synchronisation
• Un des rôles suivants : Administrateur d’application cloud ou Administrateur d’application.
• Un certificat web SSL pour publier des services sur HTTPS, ou utilisez les certificats BIG-IP par défaut à des fins de test
  • Voir, Déployer une machine virtuelle F5 BIG-IP Virtual Edition dans Azure
• Un environnement PeopleSoft

Configuration de BIG-IP

Ce tutoriel utilise la Configuration guidée version 16.1 avec un modèle Easy Button.

Avec l'Easy Button, les administrateurs n'ont pas besoin d'aller entre Microsoft Entra ID et un BIG-IP pour activer les services pour SHA. L’Assistant Configuration guidée APM et Microsoft Graph gèrent le déploiement et la gestion des stratégies. L’intégration garantit que les applications prennent en charge la fédération d’identités, l’authentification unique et l’accès conditionnel.

Remarque

Remplacez les exemples de chaînes ou de valeurs de ce didacticiel par ceux de votre environnement.

Inscrire Easy Button

Avant qu’un client ou un service accède à Microsoft Graph, la plateforme d’identités Microsoft doit l’approuver.

En savoir plus : Démarrage rapide : Inscrire une application auprès de la plateforme d’identités Microsoft

Les instructions suivantes vous aident à créer une inscription d’application client pour autoriser l’accès Easy Button à Graph. Avec ces autorisations, BIG-IP envoie les configurations pour établir une relation d’approbation entre une instance SAML SP pour une application publiée et Microsoft Entra ID en tant qu’IdP SAML.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

2. Accédez à Entra ID>Inscriptions d'applications>Nouvelle inscription.

3. Entrez un nom d’application.

4. Pour les comptes dans cet annuaire organisationnel uniquement, spécifiez qui utilise l’application.

5. Sélectionnez Inscrire.

6. Accédez aux autorisations d’API.

7. Autorisez les autorisations d’application Microsoft Graph suivantes :

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Répertoire.Lire.Tout
   • Groupe.Lire.Tout
   • IdentityRiskyUser.Read.All
   • Politique.Lire.Tout
   • Politique.LectureÉcriture.ConfigurationDeL'Application
   • Politique.LectureÉcriture.AccèsConditionnel
   • Utilisateur.Lire.Tout

8. Accordez le consentement administrateur à votre organisation.

9. Accédez à Certificats & Secrets.

10. Générez un nouveau secret client et notez-le.

11. Accédez à Vue d’ensemble et notez l’ID client et l’ID de locataire.

Configurer Easy Button

1. Lancez la configuration guidée d’APM.
2. Lancez le modèle Easy Button.
3. Accédez à Configuration guidée d'accès>.
4. Sélectionnez Intégration Microsoft.
5. Sélectionnez Application Microsoft Entra.
6. Passez en revue la séquence de configuration.
7. Sélectionner Suivant
8. Suivez la séquence de configuration.

Propriétés de configuration

Utilisez l’onglet Propriétés de configuration pour créer de nouvelles configurations d’application et des objets d’authentification unique. La section Détails du compte de service Azure représente le client que vous avez enregistré en tant qu’application dans l'instance Microsoft Entra. Utilisez les paramètres du client OAuth BIG-IP pour inscrire un fournisseur de services SAML dans le locataire, avec des propriétés d’authentification unique. Easy Button effectue cette action pour les services BIG-IP publiés et activés pour SHA.

Remarque

Certains des paramètres suivants sont globaux. Vous pouvez les réutiliser afin de publier d’autres applications.

1. Entrez un nom de configuration. Les noms uniques permettent de distinguer les configurations.
2. Pour les en-têtes HTTP (single Sign-On) et SSO, sélectionnez Activé.
3. Entrez l’ID de locataire, l’ID client et le secret client que vous avez notés.
4. Vérifiez que BIG-IP se connecte au locataire.
5. Sélectionnez Suivant.

Fournisseur de services

Utilisez les paramètres du fournisseur de services pour définir les propriétés du fournisseur de services SAML pour l’instance APM qui représente l’application sécurisée par SHA.

1. Pour l’hôte, entrez le nom de domaine complet public de l’application sécurisée.
2. Pour l’ID d’entité, entrez l’identificateur que Microsoft Entra ID utilise pour identifier le fournisseur de services SAML demandant un jeton.

3. (Facultatif) Pour les paramètres de sécurité, indiquez que l’ID Microsoft Entra chiffre les assertions SAML émises. Cette option renforce l’assurance que les jetons de contenu ne sont pas interceptés et que les données ne sont pas compromises.

4. Dans la liste des clés privées de déchiffrement d’assertion, sélectionnez Créer Nouveau.

5. Sélectionnez OK.
6. La boîte de dialogue Importer un certificat et des clés SSL s’affiche sous un nouvel onglet.
7. Pour le type d’importation, sélectionnez PKCS 12 (IIS). Cette option importe votre certificat et votre clé privée.
8. Fermez l’onglet du navigateur pour revenir à l’onglet principal.

9. Pour activer l’assertion chiffrée, cochez la case.
10. Si vous avez activé le chiffrement, dans la liste des clés privées de déchiffrement d’assertion , sélectionnez votre certificat. Cette clé privée correspond au certificat qu’utilise BIG-IP APM pour déchiffrer les assertions Microsoft Entra.
11. Si vous avez activé le chiffrement, dans la liste des certificats de déchiffrement d’assertion , sélectionnez votre certificat. BIG-IP charge ce certificat dans Microsoft Entra ID pour chiffrer les assertions SAML émises.

Microsoft Entra ID (système d'identification de Microsoft)

Easy Button fournit des modèles pour Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP et un modèle SHA générique.

1. Sélectionnez Oracle PeopleSoft.
2. Sélectionnez Ajouter.

Configuration d’Azure

1. Entrez le nom d'affichage pour l'application que BIG-IP crée dans le locataire. Le nom apparaît sur une icône dans Mes applications.

2. (Facultatif) Pour l’URL de connexion , entrez le nom de domaine complet public de l’application PeopleSoft.

3. En regard de la clé de signature et du certificat de signature, sélectionnez Actualiser. Cette action localise le certificat que vous avez importé.

4. Pour la phrase secrète de clé de signature, entrez le mot de passe du certificat.

5. (Facultatif) Pour l’option de signature, sélectionnez une option. Cette sélection garantit que BIG-IP accepte les jetons et les revendications signés par Microsoft Entra ID.

Capture d’écran des options de clé de signature, certificat de signature, et phrase secrète de clé de signature sous Certificat de signature SAML.

6. Utilisateurs et groupes d'utilisateurs sont interrogés dynamiquement à partir du locataire Microsoft Entra.
7. Ajoutez un utilisateur ou un groupe pour les tests ; sinon, les accès sont refusés.

Attributs utilisateur et revendications

Quand un utilisateur s’authentifie, Microsoft Entra ID émet un jeton SAML avec des revendications et des attributs par défaut qui identifient cet utilisateur. L’onglet Attributs utilisateur et revendications présente les revendications par défaut à émettre pour la nouvelle application. Utilisez-le pour configurer d’autres revendications. Le modèle Easy Button a la revendication d’ID d’employé requise par PeopleSoft.

Si nécessaire, incluez d’autres attributs Microsoft Entra. L’exemple d’application PeopleSoft nécessite des attributs prédéfinis.

Attributs utilisateur supplémentaires

L’onglet Attributs utilisateur supplémentaires prend en charge les systèmes distribués qui nécessitent que des attributs soient stockés dans d’autres répertoires afin d'augmenter la session. Les attributs d’une source LDAP sont injectés en tant qu’en-têtes SSO supplémentaires pour contrôler l’accès en fonction des rôles et des ID de partenaire, entre autres.

Remarque

Cette fonctionnalité n'a aucune corrélation avec Microsoft Entra ID, elle constitue une autre source d'attributs.

Stratégie d’accès conditionnel

Les stratégies d’accès conditionnel sont appliquées après la pré-authentification Microsoft Entra pour contrôler l’accès en fonction de l’appareil, de l’application, de l’emplacement et des signaux de risque. La vue Stratégies disponibles comporte des stratégies d’accès conditionnel sans action de l’utilisateur. La vue Stratégies sélectionnées comporte des stratégies ciblant des applications cloud. Vous ne pouvez pas désélectionner ni déplacer ces stratégies vers la liste des stratégies disponibles, car elles sont appliquées au niveau du locataire.

Sélectionnez une stratégie pour l’application.

1. Dans la liste Stratégies disponibles , sélectionnez une stratégie.
2. Sélectionnez la flèche droite et déplacez la stratégie vers Stratégies sélectionnées.

Les stratégies sélectionnées ont l’option Inclure ou Exclure activée. Si les deux options sont cochées, la stratégie n’est pas appliquée.

Remarque

La liste des stratégies s’affiche une fois, lorsque vous sélectionnez l’onglet. Utilisez Rafraîchir pour que l’Assistant interroge le tenant. Cette option apparaît une fois l’application déployée.

Propriétés du serveur virtuel

Un serveur virtuel est un objet de plan de données BIG-IP représenté par une adresse IP virtuelle. Le serveur écoute les requêtes du client adressées à l’application. Le trafic reçu est traité et évalué par rapport au profil APM de serveur virtuel. Le trafic est ensuite dirigé conformément à la stratégie.

1. Pour l’adresse de destination, entrez l’adresse IPv4 ou IPv6 que BIG-IP utilise pour recevoir le trafic client. Un enregistrement correspondant apparaît dans DNS, ce qui permet aux clients de résoudre l’URL externe de l’application publiée sur l’adresse IP. Utilisez un DNS localhost d’ordinateur de test pour les tests.
2. Pour le port de service, entrez 443 et sélectionnez HTTPS.
3. Pour activer le port de redirection, cochez la case.
4. Pour le port de redirection, entrez 80 et sélectionnez HTTP. Cette option redirige le trafic entrant du client HTTP vers HTTPS.
5. Pour le profil SSL client, sélectionnez Utiliser existant.
6. Sous Common , sélectionnez l’option que vous avez créée. En cas de test, conservez la valeur par défaut. Le profil SSL du client permet d’activer le serveur virtuel pour HTTPS afin que les connexions clientes soient chiffrées sur TLS.

Propriétés du pool

L’onglet Pool d’applications comporte des services derrière un BIG-IP, représenté en tant que pool avec des serveurs d’applications.

1. Pour sélectionner un pool, sélectionnez Créer ou sélectionnez-en un.
2. Pour la méthode d’équilibrage de charge, sélectionnez Round Robin.
3. Pour les serveurs de pool, dans l’adresse IP/nom du nœud , sélectionnez un nœud, ou entrez une adresse IP et un port pour les serveurs hébergeant l’application PeopleSoft.

Authentification unique et en-têtes HTTP

L’Assistant Easy Buttonprend en charge Kerberos, OAuth Bearer et les en-têtes d’autorisation HTTP pour l’authentification unique pour les applications publiées. L’application PeopleSoft attend des en-têtes.

1. Pour les en-têtes HTTP, cochez la case.
2. Pour l’opération d’en-tête, sélectionnez Remplacer.
3. Pour Nom de l’en-tête, entrez PS_SSO_UID.
4. Pour la valeur d’en-tête, entrez %{session.sso.token.last.username}.

Remarque

Les variables de session APM entre accolades respectent la casse. Par exemple, si vous entrez OrclGUID et que le nom de l’attribut est orclguid, le mappage de l’attribut échoue.

Gestion des sessions

Utilisez les paramètres de gestion de session BIG-IP pour définir des conditions d’arrêt ou de continuation des sessions utilisateur. Définissez des limites pour les utilisateurs et les adresses IP, ainsi que des informations utilisateur correspondantes.

Pour plus d’informations, consultez support.f5.com pour K18390492 : Guide des opérations APM | BIG-IP

La fonctionnalité Single Log Out (SLO) n’est pas couverte dans ce guide des opérations. Elle garantit que les sessions entre le fournisseur d’identité, BIG-IP et l’agent utilisateur se terminent lorsque les utilisateurs se déconnectent. Lorsqu’Easy Button instancie une application SAML dans votre locataire Microsoft Entra, il remplit l’URL de déconnexion avec le point de terminaison SLO APM. La déconnexion initiée par le fournisseur d’identité à partir de Mes applications met fin à la session BIG-IP ainsi qu'aux sessions clientes.

Les données de fédération SAML de l’application publiée sont importées à partir du locataire. Cette action fournit à l'APM le point de terminaison de déconnexion SAML pour Microsoft Entra ID, qui assure la déconnexion initiée par le SP à mettre fin au client et aux sessions Microsoft Entra. L’APM doit savoir quand un utilisateur se déconnecte.

Si le portail webtop BIG-IP accède aux applications publiées, APM traite une déconnexion pour appeler le point de terminaison de déconnexion Microsoft Entra. Si le portail webtop BIG-IP n’est pas utilisé, l’utilisateur ne peut pas demander à APM de se déconnecter. Si l’utilisateur se déconnecte de l’application, BIG-IP n’en a pas connaissance. La déconnexion initiée par le fournisseur de services nécessite un arrêt de session sécurisé. Ajoutez une fonction SLO au bouton Se déconnecter de votre application pour rediriger votre client vers le point de terminaison de déconnexion Microsoft Entra SAML ou BIG-IP. URL du point de terminaison de déconnexion SAML pour votre locataire dans App Registrations Endpoints>.

Si vous ne pouvez pas modifier l’application, faites en sorte que BIG-IP écoute l’appel de déconnexion d’application et déclenche SLO. Pour plus d’informations, consultez PeopleSoft Single Logout dans la section suivante.

Déploiement

1. Sélectionnez Déployer.
2. Vérifiez l’application dans la liste de locataires d’applications d’entreprise.
3. L’application est publiée et accessible avec SHA.

Configurer PeopleSoft

Utilisez Oracle Access Manager pour la gestion des identités et des accès des applications PeopleSoft.

Pour en savoir plus, allez sur docs.oracle.com pour Guide d'intégration Oracle Access Manager, Intégration de PeopleSoft

Configurer l’authentification unique Oracle Access Manager

Configurez Oracle Access Manager pour qu’il accepte l’authentification unique à partir de BIG-IP.

1. Connectez-vous à la console Oracle avec des autorisations d’administrateur.

2. Accédez à PeopleTools > Security.
3. Sélectionnez Profils utilisateur.
4. Sélectionnez Profils utilisateur.
5. Créez un profil utilisateur.
6. Pour l’ID utilisateur, entrez OAMPSFT
7. Pour le rôle d’utilisateur, entrez PeopleSoft User.
8. Sélectionnez Enregistrer.
9. Accédez auprofil web>.
10. Sélectionnez le profil web.
11. Sous l’onglet Sécurité , dans Utilisateurs publics, sélectionnez Autoriser l’accès public.
12. Pour l’ID utilisateur, entrez OAMPSFT.
13. Entrez le mot de passe.
14. Quittez la console Peoplesoft.
15. Démarrez le Concepteur d’applications PeopleTools.
16. Cliquez avec le bouton droit sur le champ LDAPAUTH .
17. Sélectionnez Afficher PeopleCode.

18. Les fenêtres de code LDAPAUTH s’ouvrent.

19. Recherchez la fonction OAMSSO_AUTHENTICATION .

20. Remplacez la valeur &defaultUserId par OAMPSFT.

    

21. Enregistrez l’enregistrement.

22. Accédez à **PeopleTools > Security (Sécurité).

23. Sélectionnez Objets de sécurité.

24. Sélectionnez Sign on PeopleCode.

25. Activez OAMSSO_AUTHENTICATION.

PeopleSoft Single Logout

Lorsque vous vous déconnectez de Mes applications, PeopleSoft SLO est lancé, ce qui appelle à son tour le point de terminaison BIG-IP SLO. BIG-IP a besoin d’instructions pour exécuter SLO pour le compte de l’application. Faites en sorte que BIG-IP écoute les demandes de déconnexion de l’utilisateur auprès de PeopleSoft, puis déclenche le SLO.

Ajoutez la prise en charge de SLO pour les utilisateurs PeopleSoft.

1. Obtenez l’URL de déconnexion du portail PeopleSoft.
2. Ouvrez le portail avec un navigateur web.
3. Activez les outils de débogage.
4. Recherchez l’élément avec l’ID PT_LOGOUT_MENU.
5. Enregistrez le chemin d’accès de l’URL avec les paramètres de requête. Dans cet exemple : /psp/ps/?cmd=logout.

Créez une iRule BIG-IP pour rediriger les utilisateurs vers le point de terminaison de déconnexion du fournisseur de services SAML : /my.logout.php3.

1. Accédez à **Local Traffic (Trafic local) > iRules List (Liste d’iRules).
2. Sélectionnez Créer.
3. Entrez un Nom de règle.
4. Entrez les lignes de commande suivantes.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

5. Sélectionnez Terminé.

Attribuez cette iRule au serveur virtuel BIG-IP.

1. Accédez à Configuration guidée d'accès>.
2. Sélectionnez le lien configuration de l’application PeopleSoft.

3. Dans la barre de navigation supérieure, sélectionnez Serveur virtuel.
4. Pour Paramètres avancés, sélectionnez *Activé.

4. Faites défiler vers le bas.
5. Sous Common, ajoutez l’iRule que vous avez créée.

5. Sélectionnez Enregistrer.
6. Sélectionnez Suivant.
7. Continuez pour configurer les paramètres.

Pour en savoir plus, accédez au site support.f5.com pour consulter :

• K42052145 : configuration de l’arrêt automatique de session (déconnexion) en fonction d’un nom de fichier référencé par l’URI
• K12056 : Présentation de l’option d’inclusion de l’URI de déconnexion

Page d’accueil PeopleSoft par défaut

Redirigez les requêtes de l’utilisateur depuis la racine (« / ») vers le portail PeopleSoft externe, qui est généralement situé ici : « /psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL ».

1. Accédez à Local Traffic > iRule.
2. Sélectionnez iRule_PeopleSoft.
3. Ajoutez les lignes de commande suivantes.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

4. Attribuez cette iRule au serveur virtuel BIG-IP.

Confirmer la configuration

1. Avec un navigateur, accédez à l’URL externe de l’application PeopleSoft ou sélectionnez l’icône d’application dans Mes applications.

2. Authentifiez-vous auprès de Microsoft Entra ID.

3. Vous êtes redirigé vers le serveur virtuel BIG-IP et connecté avec l’authentification unique.

   Remarque

   Vous pouvez bloquer l’accès direct à l’application en forçant l’adoption d’un chemin par le biais de BIG-IP.

Déploiement avancé

Les modèles de configuration guidée manquent parfois de flexibilité.

En savoir plus : Tutoriel : Configurer F5 BIG-IP Access Policy Manager pour l’authentification unique basée sur l’en-tête

Vous pouvez également désactiver le mode de gestion stricte Configuration guidée dans BIG-IP. Vous pouvez modifier manuellement les configurations. Toutefois, la plupart des configurations sont automatisées avec des modèles d’Assistant.

1. Accédez à Configuration guidée d'accès>.
2. À la fin de la ligne, sélectionnez le cadenas.

Les modifications effectuées avec l’interface utilisateur de l’Assistant ne pas possibles, mais tous les objets BIG-IP associés à l’instance publiée de l’application sont déverrouillés pour gestion.

Remarque

Si vous réactivez le mode strict et déployez une configuration, les réglages effectués en dehors de l’interface utilisateur Configuration guidée sont remplacés. Nous vous recommandons la configuration avancée pour les services de production.

Résolution des problèmes

L’utilisation de la journalisation BIG-IP pour isoler toutes sortes de problèmes liés à la connectivité, à l’authentification unique, aux violations de stratégies ou aux mappages de variables mal configurés.

Verbosité du journal

1. Accédez à Vue d’ensemble de la stratégie d’accès>.
2. Sélectionnez Journaux d’événements.
3. Sélectionnez Paramètres.
4. Sélectionnez la ligne de votre application publiée.
5. SélectionnezModifier.
6. Sélectionnez Journaux d'accès au système
7. Dans la liste de l’authentification unique, sélectionnez Déboguer.
8. Sélectionnez OK.
9. Reproduisez votre problème.
10. Inspectez les données.

Lorsque vous avez terminé, rétablissez la fonctionnalité, car le mode détaillé génère beaucoup de données.

Message d’erreur BIG-IP

Si une erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, il est possible que le problème soit lié à Microsoft Entra ID vers l'authentification unique BIG-IP.

1. Accédez à Vue d’ensemble d’Access>.
2. Sélectionnez Rapports d'accès.
3. Exécutez le rapport pour la dernière heure.
4. Passez en revue les journaux à la recherche d’éventuels indices.

Utilisez le lien Afficher la session pour confirmer que l’APM reçoit les attributs Microsoft Entra attendus.

Aucun message d’erreur BIG-IP

Si aucun message d’erreur BIG-IP n’apparaît, le problème peut être lié à la requête back-end ou à l’authentification unique entre BIG-IP et l’application.

1. Accédez à Vue d’ensemble de la stratégie d’accès>.
2. Sélectionnez Sessions actives.
3. Sélectionnez le lien de session active.

Utilisez le lien Afficher les variables pour déterminer les problèmes d’authentification unique, en particulier si BIG-IP APM obtient des attributs incorrects à partir de variables de session.

En savoir plus :

• Accédez à devcentral.f5.com pour les exemples d’attribution de variables APM
• Accéder à techdocs.f5.com pour les variables de session