Oktatóanyag: Biztonságos hibrid hozzáférés engedélyezése alkalmazásokhoz az Azure Active Directory B2C és az F5 BIG-IP használatával
Ismerje meg, hogyan integrálhatja az Azure Active Directory B2C-t (Azure AD B2C) az F5 BIG-IP hozzáférési házirend-kezelővel (APM). Az örökölt alkalmazásokat biztonságosan teheti elérhetővé az interneten BIG-IP-biztonság használatával, Azure AD B2C-előhitelesítéssel, feltételes hozzáféréssel (CA) és egyszeri bejelentkezéssel (SSO). Az F5 Inc. a csatlakoztatott szolgáltatások , többek között a számítástechnika, a tárolás és a hálózati erőforrások biztosításával, biztonságával, teljesítményével és rendelkezésre állásával foglalkozik. Hardveres, modularizált szoftvereket és felhőalapú virtuális berendezési megoldásokat biztosít.
Helyezze üzembe az F5 BIG-IP alkalmazáskézbesítési vezérlőt (ADC) biztonságos átjáróként a magánhálózatok és az internet között. Az alkalmazásszintű ellenőrzéshez és a testre szabható hozzáférés-vezérléshez vannak funkciók. Fordított proxyként való üzembe helyezés esetén a BIG-IP használatával engedélyezze az üzleti alkalmazásokhoz való biztonságos hibrid hozzáférést az APM által felügyelt összevont identitás-hozzáférési réteggel.
A következőhöz f5.com forrásanyagokat és tanulmányokat: Az összes alkalmazás biztonságos hozzáférésének egyszerű konfigurálása Microsoft Entra azonosítóval
Előfeltételek
A kezdéshez a következők szükségesek:
- Azure-előfizetés
- Ha nem rendelkezik ilyen fiókkal, szerezzen be egy ingyenes Azure-fiókot
- Az Azure-előfizetéshez társított Azure AD B2C-bérlő
- BIG-IP vagy üzembe helyezett próbaverzió BIG-IP virtuális környezet (VE) az Azure-ban
- Az alábbi F5 BIG-IP-licencek bármelyike:
- F5 BIG-IP® legjobb csomag
- F5 BIG-IP hozzáférési szabályzatkezelő™ önálló licence
- F5 BIG-IP hozzáférési szabályzatkezelő™ bővítménylicence BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) esetén
- 90 napos BIG-IP teljes funkció próbaverziós licenc
- Fejlécalapú webalkalmazás vagy IIS-alkalmazás teszteléshez
- SSL-tanúsítvány a szolgáltatások HTTPS-en keresztüli közzétételéhez, vagy az alapértelmezett használathoz teszteléskor
- Lásd: SSL-profil
Forgatókönyv leírása
A következő forgatókönyv fejlécalapú, de ezekkel a módszerekkel kerberos SSO-t érhet el.
Ebben a forgatókönyvben a belső alkalmazásokhoz való hozzáférés a HTTP-engedélyezési fejlécek örökölt közvetítőrendszerből való fogadásán alapul. Az értékesítési ügynökök a tartalom megfelelő területeire irányíthatók. A szolgáltatást szélesebb fogyasztói bázisra kell kiterjeszteni. Az alkalmazás frissül a fogyasztói hitelesítési lehetőségekhez, vagy lecserélődik.
Ideális esetben az alkalmazásfrissítés támogatja a közvetlen felügyeletet és szabályozást egy modern vezérlősíkkal. A modernizálásra fordított idő és erőfeszítés azonban költségekkel és lehetséges állásidőkkel járhat. Ehelyett helyezzen üzembe egy BIG-IP Virtual Editiont (VE) a nyilvános internet és a belső Azure-beli virtuális hálózat (VNet) között a Azure AD B2C-vel való hozzáférés kapuzásához. Az alkalmazás előtti BIG-IP lehetővé teszi a szolgáltatás átfedését Azure AD B2C előhitelesítéssel és fejlécalapú egyszeri bejelentkezéssel, ami javítja az alkalmazásbiztonsági állapotot.
A biztonságos hibrid hozzáférési megoldás a következő összetevőkből áll:
- Alkalmazás – Azure AD B2C és BIG-IP biztonságos hibrid hozzáférés által védett háttérszolgáltatás
- Azure AD B2C – Identitásszolgáltató (IdP) és OpenID Connect (OIDC) engedélyezési kiszolgáló, amely ellenőrzi a felhasználói hitelesítő adatokat, a többtényezős hitelesítést és az egyszeri bejelentkezést a BIG-IP APM-be
- BIG-IP – az alkalmazás fordított proxyja. A BIG-IP APM az OIDC-ügyfél, amely delegálja a hitelesítést az OIDC engedélyezési kiszolgálóra, mielőtt fejlécalapú egyszeri bejelentkezést ad a háttérszolgáltatáshoz.
Az alábbi ábra a szolgáltató (SP) által kezdeményezett folyamatot szemlélteti ehhez a forgatókönyvhöz.
- A felhasználó csatlakozik az alkalmazásvégponthoz. A BIG-IP szolgáltató.
- A BIG-IP APM OIDC-ügyfél átirányítja a felhasználót Azure AD B2C-bérlő végpontjára, az OIDC engedélyezési kiszolgálóra
- Azure AD B2C-bérlő előre hitelesíti a felhasználót, és feltételes hozzáférési szabályzatokat alkalmaz
- Azure AD B2C visszairányítja a felhasználót az SP-be engedélyezési kóddal
- Az OIDC-ügyfél megkéri az engedélyezési kiszolgálót, hogy cserélje le az azonosító jogkivonat engedélyezési kódját
- A BIG-IP APM hozzáférést biztosít a felhasználónak, és beszúrja a HTTP-fejléceket az alkalmazásnak továbbított ügyfélkérésbe
Azure AD B2C-konfiguráció
A BIG-IP Azure AD B2C-hitelesítéssel való engedélyezéséhez használjon egy Azure AD B2C-bérlőt egy felhasználói folyamattal vagy egyéni szabályzattal.
Lásd: Oktatóanyag: Felhasználói folyamatok és egyéni szabályzatok létrehozása Azure AD B2C-ben
Egyéni attribútumok létrehozása
Szerezzen be egyéni attribútumokat Azure AD B2C felhasználói objektumokból, összevont identitásszolgáltatókból, API-összekötőkből vagy felhasználói regisztrációból. Attribútumok belefoglalása az alkalmazásba irányuló jogkivonatba.
Az örökölt alkalmazások konkrét attribútumokat várnak, ezért vegye fel őket a felhasználói folyamatba. Lecserélheti őket az alkalmazás által igényelt attribútumokra. Vagy ha tesztalkalmazást állít be az utasítások alapján, akkor használja a fejléceket.
- Jelentkezzen be a Azure Portal globális rendszergazdaként.
- A bal oldali panelen válassza a Felhasználói attribútumok lehetőséget.
- Válassza a Hozzáadás lehetőséget két egyéni attribútum létrehozásához.
- Az Ügynökazonosító mezőben válassza a Sztring adattípus lehetőséget.
- A Geo ügynök esetében válassza a Sztring adattípus lehetőséget.
Attribútumok hozzáadása a felhasználói folyamathoz
- A bal oldali menüben lépjen a Szabályzatok>Felhasználói folyamatok menüpontra.
- Válassza ki a szabályzatot, például B2C_1_SignupSignin.
- Válassza a Felhasználói attribútumok lehetőséget.
- Adja hozzá mindkét egyéni attribútumot.
- Adja hozzá a Megjelenítendő név attribútumot. Ezeket az attribútumokat a rendszer a felhasználói regisztráció során gyűjti össze.
- Válassza az Alkalmazásjogcímek lehetőséget.
- Adja hozzá mindkét egyéni attribútumot.
- Adja hozzá a megjelenítendő nevet. Ezek az attribútumok a BIG-IP-címre kerülnek.
- Válassza a Felhasználói folyamat futtatása lehetőséget.
- A felhasználói folyamat menü bal oldali navigációs sávján ellenőrizze a megadott attribútumokra vonatkozó utasításokat.
További információ: Oktatóanyag: Felhasználói folyamatok és egyéni szabályzatok létrehozása Azure AD B2C-ben
Azure AD B2C összevonás
A BIG-IP és a Azure AD B2C összevonása a kölcsönös bizalom érdekében. Regisztrálja a BIG-IP-címet a Azure AD B2C-bérlőben OIDC-alkalmazásként.
- A portálon válassza a Alkalmazásregisztrációk>Új regisztráció lehetőséget.
- Adjon meg egy alkalmazásnevet, például HeaderApp1.
- A Támogatott fióktípusok területen válassza a Fiókok lehetőséget bármely identitásszolgáltatónál vagy szervezeti címtárban (felhasználói folyamatokkal rendelkező felhasználók hitelesítéséhez).
- Az Átirányítási URI területen válassza a Web lehetőséget.
- Adja meg a védett szolgáltatás nyilvános teljes tartománynevét.
- Adja meg az elérési utat.
- Hagyja meg a többi kijelölést.
- Válassza a Regisztráció lehetőséget.
- Lépjen a Tanúsítványok titkos kódja&>+ Új titkos ügyfélkód elemre.
- Adjon meg egy leíró nevet
- Adjon meg egy TTL-t a BIG-IP által használt titkos kódhoz.
- Jegyezze fel a BIG-IP-konfiguráció titkos ügyfélkódját.
Az átirányítási URI a BIG-IP-végpont. A hitelesítés után az engedélyezési kiszolgáló (Azure AD B2C) elküldi a felhasználókat a végpontnak.
További információ: Oktatóanyag: Webalkalmazás regisztrálása Azure AD B2C-ben Azure AD B2C-hez.
BIG-IP-konfiguráció
A BIG-IP-konfigurációhoz használja az Irányított konfiguráció 7/8-os verziót. A munkafolyamat-keretrendszer a topológiákhoz való hozzáférésre van szabva, és gyors webszolgáltatás-közzétételt tesz lehetővé.
Irányított konfigurációs verzió
- A verzió megerősítéséhez jelentkezzen be a BIG-IP webes konfigurációba egy rendszergazdai fiókkal.
- Lépjen azIrányított konfigurációelérése> elemre.
- A verzió a jobb felső sarokban jelenik meg.
Az irányított konfiguráció frissítéséhez lépjen a K85454683: F5 BIG-IP irányított konfiguráció frissítése a BIG-IP-rendszeren című my.f5.com.
SSL-profilok
Az ügyféloldali forgalom TLS-en keresztüli védelméhez használja az ügyfél SSL-profillal konfigurált BIG-IP-címet. Importáljon egy olyan tanúsítványt, amely megfelel az alkalmazás nyilvános URL-címe által használt tartománynévnek. Javasoljuk, hogy nyilvános hitelesítésszolgáltatót használjon, de a teszteléshez használhat big-IP önaláírt tanúsítványokat.
Ha tanúsítványokat szeretne hozzáadni és kezelni a BIG-IP VE-ben, lépjen a BIG-IP-rendszer: SSL-felügyelet techdocs.f5.com.
Irányított konfiguráció
- Az üzembe helyezési varázsló elindításához a webes konfigurációban lépjen az Irányított konfiguráció elérése> elemre.
- Válassza az Összevonás>F5 lehetőséget OAuth-ügyfélként és erőforrás-kiszolgálóként.
- Figyelje meg a forgatókönyv folyamatösszesítését.
- Kattintson a Tovább gombra.
- Elindul a varázsló.
OAuth-tulajdonságok
Az alábbi szakaszokban definiáljon tulajdonságokat a BIG-IP APM és az OAuth engedélyezési kiszolgáló, a Azure AD B2C-bérlő közötti összevonás engedélyezéséhez. Az OAuth-ra a BIG-IP-konfiguráció során hivatkoznak. A megoldás az OAuth 2.0 protokoll identitásrétegét, az OIDC-t használja. Az OIDC-ügyfelek ellenőrzik a felhasználói személyazonosságot, és egyéb profiladatokat szereznek be.
Konfiguráció neve
A konfiguráció megjelenítendő neve segít különbséget tenni az irányított konfigurációban található üzembehelyezési konfigurációk között. A nevet nem módosíthatja, és csak az Irányított konfiguráció nézetben jelenik meg.
Mód
A BIG-IP APM egy OIDC-ügyfél, ezért válassza az Ügyfél lehetőséget.
DNS-feloldó
A megadott célnak fel kell oldania a Azure AD B2C-végpontok nyilvános IP-címeit. Válasszon ki egy nyilvános DNS-feloldót, vagy hozzon létre egy újat.
Szolgáltatói beállítások
Konfigurálja Azure AD B2C-t OAuth2 idP-ként. Az irányított konfiguráció Azure AD B2C-sablonokat, de bizonyos hatóköröket nem.
Adjon hozzá egy új szolgáltatót, és konfigurálja azt:
OAuth általános tulajdonságai
Tulajdonságok | Description |
---|---|
OAuth-szolgáltató típusa | Egyéni |
OAuth-szolgáltató kiválasztása | Új létrehozása vagy OAuth-szolgáltató használata |
Name | A B2C idP megjelenítendő neve. Ez a név szolgáltatói beállításként jelenik meg a felhasználók számára a bejelentkezéskor |
Jogkivonat típusa | JSON webes jogkivonat |
OAuth-szabályzat beállításai
Tulajdonságok | Description |
---|---|
Hatókör | Hagyja üresen. A felhasználói bejelentkezés OpenID-hatóköre automatikusan hozzáadódik |
Engedély típusa | Engedélyezési kód |
OpenID Connect engedélyezése | Válassza ki az APM OAuth-ügyfél OIDC módban való elhelyezésének lehetőségét |
Folyamat típusa | Engedélyezési kód |
OAuth-szolgáltató beállításai
A következő OpenID URI az OIDC-ügyfelek által az idP-információk felderítésére használt metaadat-végpontra hivatkozik, például az aláíró tanúsítványátállításra.
- Keresse meg a Azure AD B2C-bérlő metaadat-végpontját. Navigálás a Alkalmazásregisztrációk>Endpoints elemre.
- Másolja a Azure AD B2C OpenID Connect metaadat-dokumentum URI-ját. Például:
https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configuration
. - Frissítse az URI-t a tulajdonságaival(
https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configuration
). - Illessze be az URI-t a böngészőbe.
- Tekintse meg a Azure AD B2C-bérlő OIDC-metaadatait.
Tulajdonság | Leírás |
---|---|
Célközönség | A BIG-IP-címet képviselő alkalmazásügyfél azonosítója a Azure AD B2C-bérlőben |
Hitelesítési URI | A B2C OIDC metaadatainak engedélyezési végpontja |
Jogkivonat URI-ja | A jogkivonatvégpont a Azure AD B2C-metaadatokban |
Userinfo kérelem URI-ja | Hagyja üresen. Azure AD B2C nem támogatja ezt a funkciót |
OpenID URI | A létrehozott OpenID URI-metaadat-végpont |
Lejárt tanúsítványérvényesítés figyelmen kívül hagyása | Ne jelölje be |
Önaláírt JWK-konfigurációs tanúsítvány engedélyezése | Jelölőnégyzet |
Megbízható hitelesítésszolgáltatói csomag | Válassza a ca-bundle.crt elemet az alapértelmezett F5 megbízható hatóságok használatához |
Felderítési időköz | Adjon meg egy időközt a BIG-IP-címhez, hogy lekérdezhesse a Azure AD B2C-bérlőt a frissítésekhez. Az AGC 16.1 0.0.19-es verziójának minimális időköze 5 perc. |
OAuth-kiszolgáló beállításai
Az OIDC engedélyezési kiszolgáló esetében a Azure AD B2C-bérlő.
Tulajdonság | Leírások |
---|---|
Ügyfél-azonosító | Az alkalmazás ügyfélazonosítója, amely a BIG-IP-címet jelöli a Azure AD B2C-bérlőben |
Titkos ügyfélkulcs | Az alkalmazás titkos ügyfélkódja |
Ügyfélkiszolgálói SSL-profil | Állítson be egy SSL-profilt, hogy az APM kommunikáljon a Azure AD B2C-identitásszolgáltatóval a TLS-en keresztül. Válassza ki az alapértelmezett kiszolgálókat. |
OAuth-kérés beállításai
A BIG-IP előkonfigurált kéréskészletében Azure AD B2C-kérések szükségesek. A kérések azonban helytelenül lettek formázva, és hiányoznak a fontos paraméterek. Ezért manuálisan hoztuk létre őket.
Jogkivonat-kérelem: Engedélyezve
Tulajdonság | Leírás |
---|---|
OAuth-kérelem kiválasztása | Új létrehozása |
HTTP method | POST |
Fejlécek engedélyezése | Nincs bejelölve |
Paraméterek engedélyezése | Jelölje be |
Paraméter | Paraméter neve | Paraméter értéke |
---|---|---|
client_id | client_id | N/A |
nonce | nonce | N/A |
redirect_uri | redirect_uri | N/A |
scope | scope | N/A |
response_type | response_type | N/A |
client_secret | client_secret | N/A |
egyéni | grant_type | authorization_code |
Hitelesítési átirányítási kérelem: Engedélyezve
Tulajdonság | Leírás |
---|---|
OAuth-kérelem kiválasztása | Új létrehozása |
HTTP method | GET |
Parancssor típusa | None |
Fejlécek engedélyezése | Nincs bejelölve |
Paraméterek engedélyezése | Jelölje be |
Paraméter | Paraméter neve | Paraméter értéke |
---|---|---|
client_id | client_id | N/A |
redirect_uri | redirect_uri | N/A |
response_type | response_type | N/A |
scope | scope | N/A |
nonce | nonce | N/A |
Jogkivonat frissítési kérése: Letiltva . Szükség szerint engedélyezheti és konfigurálhatja.
OpenID UserInfo-kérés: Letiltva Nem támogatott a globális Azure AD B2C-bérlőkben.
Virtuális kiszolgáló tulajdonságai
Hozzon létre egy BIG-IP virtuális kiszolgálót a biztonságos hibrid hozzáféréssel védett háttérszolgáltatás külső ügyfélkéréseinek elfogásához. Rendeljen hozzá a virtuális kiszolgálóhoz egy IP-címet, amely az alkalmazást képviselő BIG-IP szolgáltatásvégpont nyilvános DNS-rekordjára van leképezve. Ha elérhető, használjon virtuális kiszolgálót, ellenkező esetben adja meg a következő tulajdonságokat.
Tulajdonság | Leírás |
---|---|
Célcím | Privát vagy nyilvános IP-cím, amely a háttéralkalmazás BIG-IP-szolgáltatásvégpontjává válik |
Szolgáltatásport | HTTPS |
Átirányítási port engedélyezése | Válassza ki, hogy a felhasználók automatikusan http-ről https-ra legyenek átirányítva |
Port átirányítása | HTTP |
Ügyfél SSL-profilja | Cserélje le az előre definiált profilt clientssl az SSL-tanúsítvánnyal rendelkező profilra. Az alapértelmezett profillal tesztelhet. de valószínűleg böngészőriasztást okoz. |
Készlet tulajdonságai
A háttérszolgáltatások készletként jelennek meg a BIG-IP-ben, egy vagy több alkalmazáskiszolgálóval, amelyekbe a virtuális kiszolgálók a bejövő forgalmat irányítják. Válasszon ki egy készletet, különben hozzon létre egy újat.
Tulajdonság | Leírás |
---|---|
Terheléselosztási módszer | Ciklikus időszeletelés kiválasztása |
Készletkiszolgáló | A háttéralkalmazás belső IP-címe |
Port | A háttéralkalmazás szolgáltatásportja |
Megjegyzés
Győződjön meg arról, hogy a BIG-IP-címnek van látóvonala a készletkiszolgáló címéhez.
Egyszeri bejelentkezés beállításai
A BIG-IP támogatja az SSO-beállításokat, az OAuth-ügyfél módban azonban az irányított konfiguráció Kerberos- vagy HTTP-fejlécekre korlátozódik. Engedélyezze az egyszeri bejelentkezést, és használja az alábbi információkat az APM számára a definiált bejövő attribútumok kimenő fejlécekre való leképezéséhez.
Tulajdonság | Leírás |
---|---|
Fejlécművelet | Beszúrás |
Fejléc neve | name |
Fejléc értéke | %{session.oauth.client.last.id_token.name} |
Fejlécművelet | Beszúrás |
Fejléc neve | agentid |
Fejléc értéke | %{session.oauth.client.last.id_token.extension_AgentGeo} |
Megjegyzés
A kapcsos zárójelben lévő APM-munkamenetváltozók megkülönböztetik a kis- és nagybetűket. Ha megadja az ügynökazonosítót, amikor a Azure AD B2C-attribútum nevét ügynökazonosítóként küldi el, az attribútumleképezési hibát okoz. Adjon meg kisbetűs attribútumokat. A Azure AD B2C-ben a felhasználói folyamat további attribútumokat kér a felhasználótól a portál attribútumnevének használatával. Ezért kisbetűs helyett használjon mondatos kisbetűket.
Testreszabási tulajdonságok
Az APM hozzáférési szabályzatának folyamatában megjelenő képernyők nyelvének és megjelenésének testreszabása. Szerkesztheti a képernyőüzeneteket és -utasításokat, módosíthatja a képernyőelrendezéseket, a színeket, a képeket, és honosíthatja a feliratokat, leírásokat és üzeneteket.
Az Űrlapfejléc szövegmezőben cserélje le a F5 Networks
sztringet egy kívánt névre.
Munkamenet-kezelési tulajdonságok
A BIG-IP-munkamenetek kezelési beállításaival meghatározhatja a munkameneteket lezáró vagy a folytatást lehetővé tevő feltételeket. Állítsa be a felhasználókra és IP-címekre, valamint a hibalapokra vonatkozó korlátozásokat. Javasoljuk az egyszeri kijelentkezés (SLO) bevezetését, amely biztonságosan leállítja a munkameneteket, csökkentve a jogosulatlan hozzáférés kockázatát.
Beállítások üzembe helyezése
Válassza az Üzembe helyezés lehetőséget a beállítások véglegesítéséhez, valamint BIG-IP- és APM-objektumok létrehozásához, hogy biztonságos hibrid hozzáférést biztosíthasson az alkalmazáshoz. Az alkalmazás célerőforrásként jelenik meg a feltételes hozzáférésben. A nagyobb biztonság érdekében tiltsa le az alkalmazáshoz való közvetlen hozzáférést, és ezzel kényszerítse ki a BIG-IP-címen keresztüli elérési utat.
További információ: Identity Protection és feltételes hozzáférés Azure AD B2C-hez
A bejelentkezési folyamat tesztelése
- Felhasználóként lépjen az alkalmazás külső URL-címére.
- Megjelenik a BIG-IP OAuth-ügyfél bejelentkezési oldala.
- Jelentkezzen be az engedélyezési kód megadásával. A lépés eltávolításához tekintse meg a Kiegészítő konfigurációk szakaszt .
- Regisztráljon és hitelesítést végezzen a Azure AD B2C-bérlőn.
A következő képek a felhasználói bejelentkezési párbeszédpanel és a bejelentkezési üdvözlőlap.
A nagyobb biztonság érdekében tiltsa le az alkalmazáshoz való közvetlen hozzáférést, és ezzel kényszerítse ki a BIG-IP-címen keresztüli elérési utat.
Kiegészítő konfigurációk
Egyszeri kijelentkezés (SLO)
Azure AD B2C támogatja az identitásszolgáltatót (IdP) és az alkalmazás kijelentkeztetését. Lásd: Egyszeri kijelentkezés.
Az SLO eléréséhez engedélyezze, hogy az alkalmazás kijelentkezési függvénye meghívja a Azure AD B2C kijelentkezési végpontot. Ezután Azure AD B2C végleges átirányítást ad ki a BIG-IP-címre. Ez a művelet biztosítja, hogy a felhasználó-alkalmazás APM-munkamenete leálljon.
Egy másik SLO-folyamat, amely lehetővé teszi, hogy a BIG-IP figyelje a kérést, amikor kiválasztja az alkalmazások Kijelentkezés gombját . A kérés észlelésekor a Azure AD B2C kijelentkezési végpontját hívja meg. Ez a megközelítés kizárja az alkalmazás módosítását.
Ha többet szeretne megtudni a BIG-IP-alapú iRules-ról, látogasson el a support.f5.com a következőhöz: K42052145: Az automatikus munkamenet-megszakítás (kijelentkezés) konfigurálása egy URI-ra hivatkozó fájlnév alapján.
Megjegyzés
A megközelítéstől függetlenül győződjön meg arról, hogy a Azure AD B2C-bérlő ismeri az APM kijelentkezési végpontját.
- A portálon lépjen a Jegyzékfájl kezelése> elemre.
- Keresse meg az
logoutUrl
tulajdonságot. Null értéket olvas. - Adja hozzá az APM kijelentkezés utáni URI-ját:
https://<mysite.com>/my.logout.php3
Megjegyzés
<mysite.com>
A a fejlécalapú alkalmazás BIG-IP FQDN-je.
Optimalizált bejelentkezési folyamat
A felhasználói bejelentkezési élmény javítása érdekében tiltsa le az OAuth felhasználói bejelentkezési kérését, amely az előhitelesítés Microsoft Entra előtt jelenik meg.
Lépjen azIrányított konfigurációelérése> elemre.
A sor jobb szélén válassza a lakat ikont.
A fejlécalapú alkalmazás feloldja a szigorú konfigurációt.
A szigorú konfiguráció feloldása megakadályozza a varázsló felhasználói felületén végzett módosításokat. A BIG-IP-objektumok az alkalmazás közzétett példányához vannak társítva, és közvetlen felügyeletre vannak nyitva.
Lépjen a Hozzáférési>profilok/ szabályzatok>hozzáférési profilok (munkamenetenkénti szabályzatok) területre.
Az alkalmazásszabályzat-objektum Munkamenet-szabályzat oszlopában válassza a Szerkesztés lehetőséget.
Az OAuth Bejelentkezési oldal szabályzatobjektum törléséhez válassza az X lehetőséget.
A parancssorban csatlakozzon az előző csomóponthoz.
A bal felső sarokban válassza a Hozzáférési szabályzat alkalmazása lehetőséget.
Zárja be a vizualizációszerkesztő lapot.
Amikor megpróbál csatlakozni az alkalmazáshoz, megjelenik a Azure AD B2C bejelentkezési oldal.
Megjegyzés
Ha újra engedélyezi a szigorú módot, és üzembe helyez egy konfigurációt, a rendszer felülírja az irányított konfigurációs felhasználói felületen kívül végrehajtott beállításokat. Ezt a forgatókönyvet úgy valósítja meg, hogy manuálisan hoz létre konfigurációs objektumokat az éles szolgáltatásokhoz.
Hibaelhárítás
Ha a védett alkalmazáshoz való hozzáférés nem érhető el, kövesse az alábbi hibaelhárítási útmutatót.
Napló részletessége
A BIG-IP-naplók olyan információkkal rendelkeznek, amelyek elkülönítik a hitelesítési és SSO-problémákat. Növelje a napló részletességi szintjét.
- Lépjen a Hozzáférési szabályzat>áttekintése>eseménynaplók>beállításai területre.
- Válassza ki a közzétett alkalmazás sorát, majd azAccess rendszernaplóinakszerkesztése> lehetőséget.
- Az egyszeri bejelentkezés listájában válassza a Hibakeresés lehetőséget.
- Válassza az OK lehetőséget.
- A naplók áttekintése előtt reprodukálja a problémát.
Ha elkészült, állítsa vissza az előző beállításokat.
BIG-IP hibaüzenet
Ha a B2C-hitelesítés Azure AD után BIG-IP hibaüzenet jelenik meg, a probléma az egyszeri bejelentkezéssel kapcsolatos lehet Microsoft Entra azonosítótól a BIG-IP-címig.
- Nyissa meg az Access>áttekintési>hozzáférési jelentéseit.
- A jelentés futtatása az elmúlt órában
- Tekintse át a naplókat a nyomokért.
- Válassza a Munkamenetváltozók megtekintése hivatkozást.
- Állapítsa meg, hogy az APM megkapja-e a várt Microsoft Entra jogcímeket.
Nincs BIG-IP-hibaüzenet
Ha nem jelenik meg BIG-IP hibaüzenet, a probléma a háttérbeli kéréssel vagy a BIG-IP-ről az alkalmazásra irányuló egyszeri bejelentkezéssel kapcsolatos lehet.
- Lépjen a Hozzáférési szabályzat>áttekintése>aktív munkamenetek elemre.
- Válassza ki az aktív munkamenet hivatkozását.
- Válassza a Változók megtekintése hivatkozást.
- Tekintse át a kiváltó okot, különösen akkor, ha a BIG-IP APM pontatlan munkamenet-attribútumokat szerez be.
- Az alkalmazásnaplók segítségével megtudhatja, hogy az attribútumokat fejlécként kapta-e meg.
Az irányított konfiguráció 8-ra vonatkozó ismert problémája
Ha az Irányított konfiguráció 8-adik verziót használja, egy ismert probléma a következő hibát eredményezi a sikeres Azure AD B2C-hitelesítés után. A probléma az lehet, hogy az AGC nem engedélyezi az automatikus JWT-beállítást az üzembe helyezés során. Az APM nem tudja beszerezni az aktuális jogkivonat-aláíró kulcsokat. Az F5 mérnöki csapat vizsgálja a kiváltó okot.
Ugyanez a hozzáférési napló tartalmazza a részleteket.
A beállítás manuális engedélyezése
- Lépjen azIrányított konfigurációelérése> elemre.
- A fejlécalapú alkalmazás sorának jobb szélén válassza a lakatot.
- Lépjen azAccess összevonási>OAuth-ügyfél-/erőforráskiszolgáló-szolgáltatókhoz>>.
- Válassza ki a szolgáltatót a Azure AD B2C-konfigurációhoz.
- Jelölje be az Automatikus JWT használata jelölőnégyzetet .
- Válassza a Felfedezés lehetőséget.
- Kattintson a Mentés gombra.
- A Kulcs (JWT) mező az OpenID URI metaadataiból származó jogkivonat-aláíró tanúsítványkulcs-azonosítóval (KID) rendelkezik.
- A bal felső sarokban válassza a Hozzáférési szabályzat alkalmazása lehetőséget.
- Kattintson az Alkalmaz gombra.
További információt az OAuth-ügyfél és az erőforrás-kiszolgáló hibaelhárítási tippjeinek techdocs.f5.com című témakörben talál.