Oktatóanyag: Biztonságos hibrid hozzáférés engedélyezése alkalmazásokhoz az Azure Active Directory B2C és az F5 BIG-IP használatával

Ismerje meg, hogyan integrálhatja az Azure Active Directory B2C-t (Azure AD B2C) az F5 BIG-IP hozzáférési házirend-kezelővel (APM). Az örökölt alkalmazásokat biztonságosan teheti elérhetővé az interneten BIG-IP-biztonság használatával, Azure AD B2C-előhitelesítéssel, feltételes hozzáféréssel (CA) és egyszeri bejelentkezéssel (SSO). Az F5 Inc. a csatlakoztatott szolgáltatások , többek között a számítástechnika, a tárolás és a hálózati erőforrások biztosításával, biztonságával, teljesítményével és rendelkezésre állásával foglalkozik. Hardveres, modularizált szoftvereket és felhőalapú virtuális berendezési megoldásokat biztosít.

Helyezze üzembe az F5 BIG-IP alkalmazáskézbesítési vezérlőt (ADC) biztonságos átjáróként a magánhálózatok és az internet között. Az alkalmazásszintű ellenőrzéshez és a testre szabható hozzáférés-vezérléshez vannak funkciók. Fordított proxyként való üzembe helyezés esetén a BIG-IP használatával engedélyezze az üzleti alkalmazásokhoz való biztonságos hibrid hozzáférést az APM által felügyelt összevont identitás-hozzáférési réteggel.

A következőhöz f5.com forrásanyagokat és tanulmányokat: Az összes alkalmazás biztonságos hozzáférésének egyszerű konfigurálása Microsoft Entra azonosítóval

Előfeltételek

A kezdéshez a következők szükségesek:

• Azure-előfizetés
  • Ha nem rendelkezik ilyen fiókkal, szerezzen be egy ingyenes Azure-fiókot
• Az Azure-előfizetéshez társított Azure AD B2C-bérlő
  • Lásd : Oktatóanyag: Azure Active Directory B2C-bérlő létrehozása
• BIG-IP vagy üzembe helyezett próbaverzió BIG-IP virtuális környezet (VE) az Azure-ban
  • Lásd: F5 BIG-IP virtual edition virtuális gép üzembe helyezése az Azure-ban
• Az alábbi F5 BIG-IP-licencek bármelyike:
  • F5 BIG-IP® legjobb csomag
  • F5 BIG-IP hozzáférési szabályzatkezelő™ önálló licence
  • F5 BIG-IP hozzáférési szabályzatkezelő™ bővítménylicence BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) esetén
  • 90 napos BIG-IP teljes funkció próbaverziós licenc
• Fejlécalapú webalkalmazás vagy IIS-alkalmazás teszteléshez
  • Lásd: IIS-alkalmazás beállítása
• SSL-tanúsítvány a szolgáltatások HTTPS-en keresztüli közzétételéhez, vagy az alapértelmezett használathoz teszteléskor
  • Lásd: SSL-profil

Forgatókönyv leírása

A következő forgatókönyv fejlécalapú, de ezekkel a módszerekkel kerberos SSO-t érhet el.

Ebben a forgatókönyvben a belső alkalmazásokhoz való hozzáférés a HTTP-engedélyezési fejlécek örökölt közvetítőrendszerből való fogadásán alapul. Az értékesítési ügynökök a tartalom megfelelő területeire irányíthatók. A szolgáltatást szélesebb fogyasztói bázisra kell kiterjeszteni. Az alkalmazás frissül a fogyasztói hitelesítési lehetőségekhez, vagy lecserélődik.

Ideális esetben az alkalmazásfrissítés támogatja a közvetlen felügyeletet és szabályozást egy modern vezérlősíkkal. A modernizálásra fordított idő és erőfeszítés azonban költségekkel és lehetséges állásidőkkel járhat. Ehelyett helyezzen üzembe egy BIG-IP Virtual Editiont (VE) a nyilvános internet és a belső Azure-beli virtuális hálózat (VNet) között a Azure AD B2C-vel való hozzáférés kapuzásához. Az alkalmazás előtti BIG-IP lehetővé teszi a szolgáltatás átfedését Azure AD B2C előhitelesítéssel és fejlécalapú egyszeri bejelentkezéssel, ami javítja az alkalmazásbiztonsági állapotot.

A biztonságos hibrid hozzáférési megoldás a következő összetevőkből áll:

• Alkalmazás – Azure AD B2C és BIG-IP biztonságos hibrid hozzáférés által védett háttérszolgáltatás
• Azure AD B2C – Identitásszolgáltató (IdP) és OpenID Connect (OIDC) engedélyezési kiszolgáló, amely ellenőrzi a felhasználói hitelesítő adatokat, a többtényezős hitelesítést és az egyszeri bejelentkezést a BIG-IP APM-be
• BIG-IP – az alkalmazás fordított proxyja. A BIG-IP APM az OIDC-ügyfél, amely delegálja a hitelesítést az OIDC engedélyezési kiszolgálóra, mielőtt fejlécalapú egyszeri bejelentkezést ad a háttérszolgáltatáshoz.

Az alábbi ábra a szolgáltató (SP) által kezdeményezett folyamatot szemlélteti ehhez a forgatókönyvhöz.

1. A felhasználó csatlakozik az alkalmazásvégponthoz. A BIG-IP szolgáltató.
2. A BIG-IP APM OIDC-ügyfél átirányítja a felhasználót Azure AD B2C-bérlő végpontjára, az OIDC engedélyezési kiszolgálóra
3. Azure AD B2C-bérlő előre hitelesíti a felhasználót, és feltételes hozzáférési szabályzatokat alkalmaz
4. Azure AD B2C visszairányítja a felhasználót az SP-be engedélyezési kóddal
5. Az OIDC-ügyfél megkéri az engedélyezési kiszolgálót, hogy cserélje le az azonosító jogkivonat engedélyezési kódját
6. A BIG-IP APM hozzáférést biztosít a felhasználónak, és beszúrja a HTTP-fejléceket az alkalmazásnak továbbított ügyfélkérésbe

Azure AD B2C-konfiguráció

A BIG-IP Azure AD B2C-hitelesítéssel való engedélyezéséhez használjon egy Azure AD B2C-bérlőt egy felhasználói folyamattal vagy egyéni szabályzattal.

Lásd: Oktatóanyag: Felhasználói folyamatok és egyéni szabályzatok létrehozása Azure AD B2C-ben

Egyéni attribútumok létrehozása

Szerezzen be egyéni attribútumokat Azure AD B2C felhasználói objektumokból, összevont identitásszolgáltatókból, API-összekötőkből vagy felhasználói regisztrációból. Attribútumok belefoglalása az alkalmazásba irányuló jogkivonatba.

Az örökölt alkalmazások konkrét attribútumokat várnak, ezért vegye fel őket a felhasználói folyamatba. Lecserélheti őket az alkalmazás által igényelt attribútumokra. Vagy ha tesztalkalmazást állít be az utasítások alapján, akkor használja a fejléceket.

1. Jelentkezzen be a Azure Portal globális rendszergazdaként.
2. A bal oldali panelen válassza a Felhasználói attribútumok lehetőséget.
3. Válassza a Hozzáadás lehetőséget két egyéni attribútum létrehozásához.
4. Az Ügynökazonosító mezőben válassza a Sztring adattípus lehetőséget.
5. A Geo ügynök esetében válassza a Sztring adattípus lehetőséget.

Attribútumok hozzáadása a felhasználói folyamathoz

1. A bal oldali menüben lépjen a Szabályzatok>Felhasználói folyamatok menüpontra.
2. Válassza ki a szabályzatot, például B2C_1_SignupSignin.
3. Válassza a Felhasználói attribútumok lehetőséget.
4. Adja hozzá mindkét egyéni attribútumot.
5. Adja hozzá a Megjelenítendő név attribútumot. Ezeket az attribútumokat a rendszer a felhasználói regisztráció során gyűjti össze.
6. Válassza az Alkalmazásjogcímek lehetőséget.
7. Adja hozzá mindkét egyéni attribútumot.
8. Adja hozzá a megjelenítendő nevet. Ezek az attribútumok a BIG-IP-címre kerülnek.
9. Válassza a Felhasználói folyamat futtatása lehetőséget.
10. A felhasználói folyamat menü bal oldali navigációs sávján ellenőrizze a megadott attribútumokra vonatkozó utasításokat.

További információ: Oktatóanyag: Felhasználói folyamatok és egyéni szabályzatok létrehozása Azure AD B2C-ben

Azure AD B2C összevonás

A BIG-IP és a Azure AD B2C összevonása a kölcsönös bizalom érdekében. Regisztrálja a BIG-IP-címet a Azure AD B2C-bérlőben OIDC-alkalmazásként.

1. A portálon válassza a Alkalmazásregisztrációk>Új regisztráció lehetőséget.
2. Adjon meg egy alkalmazásnevet, például HeaderApp1.
3. A Támogatott fióktípusok területen válassza a Fiókok lehetőséget bármely identitásszolgáltatónál vagy szervezeti címtárban (felhasználói folyamatokkal rendelkező felhasználók hitelesítéséhez).
4. Az Átirányítási URI területen válassza a Web lehetőséget.
5. Adja meg a védett szolgáltatás nyilvános teljes tartománynevét.
6. Adja meg az elérési utat.
7. Hagyja meg a többi kijelölést.
8. Válassza a Regisztráció lehetőséget.
9. Lépjen a Tanúsítványok titkos kódja&>+ Új titkos ügyfélkód elemre.
10. Adjon meg egy leíró nevet
11. Adjon meg egy TTL-t a BIG-IP által használt titkos kódhoz.
12. Jegyezze fel a BIG-IP-konfiguráció titkos ügyfélkódját.

Az átirányítási URI a BIG-IP-végpont. A hitelesítés után az engedélyezési kiszolgáló (Azure AD B2C) elküldi a felhasználókat a végpontnak.

További információ: Oktatóanyag: Webalkalmazás regisztrálása Azure AD B2C-ben Azure AD B2C-hez.

BIG-IP-konfiguráció

A BIG-IP-konfigurációhoz használja az Irányított konfiguráció 7/8-os verziót. A munkafolyamat-keretrendszer a topológiákhoz való hozzáférésre van szabva, és gyors webszolgáltatás-közzétételt tesz lehetővé.

Irányított konfigurációs verzió

1. A verzió megerősítéséhez jelentkezzen be a BIG-IP webes konfigurációba egy rendszergazdai fiókkal.
2. Lépjen azIrányított konfigurációelérése> elemre.
3. A verzió a jobb felső sarokban jelenik meg.

Az irányított konfiguráció frissítéséhez lépjen a K85454683: F5 BIG-IP irányított konfiguráció frissítése a BIG-IP-rendszeren című my.f5.com.

SSL-profilok

Az ügyféloldali forgalom TLS-en keresztüli védelméhez használja az ügyfél SSL-profillal konfigurált BIG-IP-címet. Importáljon egy olyan tanúsítványt, amely megfelel az alkalmazás nyilvános URL-címe által használt tartománynévnek. Javasoljuk, hogy nyilvános hitelesítésszolgáltatót használjon, de a teszteléshez használhat big-IP önaláírt tanúsítványokat.

Ha tanúsítványokat szeretne hozzáadni és kezelni a BIG-IP VE-ben, lépjen a BIG-IP-rendszer: SSL-felügyelet techdocs.f5.com.

Irányított konfiguráció

1. Az üzembe helyezési varázsló elindításához a webes konfigurációban lépjen az Irányított konfiguráció elérése> elemre.
2. Válassza az Összevonás>F5 lehetőséget OAuth-ügyfélként és erőforrás-kiszolgálóként.
3. Figyelje meg a forgatókönyv folyamatösszesítését.
4. Kattintson a Tovább gombra.
5. Elindul a varázsló.

OAuth-tulajdonságok

Az alábbi szakaszokban definiáljon tulajdonságokat a BIG-IP APM és az OAuth engedélyezési kiszolgáló, a Azure AD B2C-bérlő közötti összevonás engedélyezéséhez. Az OAuth-ra a BIG-IP-konfiguráció során hivatkoznak. A megoldás az OAuth 2.0 protokoll identitásrétegét, az OIDC-t használja. Az OIDC-ügyfelek ellenőrzik a felhasználói személyazonosságot, és egyéb profiladatokat szereznek be.

Konfiguráció neve

A konfiguráció megjelenítendő neve segít különbséget tenni az irányított konfigurációban található üzembehelyezési konfigurációk között. A nevet nem módosíthatja, és csak az Irányított konfiguráció nézetben jelenik meg.

Mód

A BIG-IP APM egy OIDC-ügyfél, ezért válassza az Ügyfél lehetőséget.

DNS-feloldó

A megadott célnak fel kell oldania a Azure AD B2C-végpontok nyilvános IP-címeit. Válasszon ki egy nyilvános DNS-feloldót, vagy hozzon létre egy újat.

Szolgáltatói beállítások

Konfigurálja Azure AD B2C-t OAuth2 idP-ként. Az irányított konfiguráció Azure AD B2C-sablonokat, de bizonyos hatóköröket nem.

Adjon hozzá egy új szolgáltatót, és konfigurálja azt:

OAuth általános tulajdonságai

Tulajdonságok	Description
OAuth-szolgáltató típusa	Egyéni
OAuth-szolgáltató kiválasztása	Új létrehozása vagy OAuth-szolgáltató használata
Name	A B2C idP megjelenítendő neve. Ez a név szolgáltatói beállításként jelenik meg a felhasználók számára a bejelentkezéskor
Jogkivonat típusa	JSON webes jogkivonat

OAuth-szabályzat beállításai

Tulajdonságok	Description
Hatókör	Hagyja üresen. A felhasználói bejelentkezés OpenID-hatóköre automatikusan hozzáadódik
Engedély típusa	Engedélyezési kód
OpenID Connect engedélyezése	Válassza ki az APM OAuth-ügyfél OIDC módban való elhelyezésének lehetőségét
Folyamat típusa	Engedélyezési kód

OAuth-szolgáltató beállításai

A következő OpenID URI az OIDC-ügyfelek által az idP-információk felderítésére használt metaadat-végpontra hivatkozik, például az aláíró tanúsítványátállításra.

1. Keresse meg a Azure AD B2C-bérlő metaadat-végpontját. Navigálás a Alkalmazásregisztrációk>Endpoints elemre.
2. Másolja a Azure AD B2C OpenID Connect metaadat-dokumentum URI-ját. Például: https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configuration.
3. Frissítse az URI-t a tulajdonságaival( https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configuration).
4. Illessze be az URI-t a böngészőbe.
5. Tekintse meg a Azure AD B2C-bérlő OIDC-metaadatait.

Tulajdonság	Leírás
Célközönség	A BIG-IP-címet képviselő alkalmazásügyfél azonosítója a Azure AD B2C-bérlőben
Hitelesítési URI	A B2C OIDC metaadatainak engedélyezési végpontja
Jogkivonat URI-ja	A jogkivonatvégpont a Azure AD B2C-metaadatokban
Userinfo kérelem URI-ja	Hagyja üresen. Azure AD B2C nem támogatja ezt a funkciót
OpenID URI	A létrehozott OpenID URI-metaadat-végpont
Lejárt tanúsítványérvényesítés figyelmen kívül hagyása	Ne jelölje be
Önaláírt JWK-konfigurációs tanúsítvány engedélyezése	Jelölőnégyzet
Megbízható hitelesítésszolgáltatói csomag	Válassza a ca-bundle.crt elemet az alapértelmezett F5 megbízható hatóságok használatához
Felderítési időköz	Adjon meg egy időközt a BIG-IP-címhez, hogy lekérdezhesse a Azure AD B2C-bérlőt a frissítésekhez. Az AGC 16.1 0.0.19-es verziójának minimális időköze 5 perc.

OAuth-kiszolgáló beállításai

Az OIDC engedélyezési kiszolgáló esetében a Azure AD B2C-bérlő.

Tulajdonság	Leírások
Ügyfél-azonosító	Az alkalmazás ügyfélazonosítója, amely a BIG-IP-címet jelöli a Azure AD B2C-bérlőben
Titkos ügyfélkulcs	Az alkalmazás titkos ügyfélkódja
Ügyfélkiszolgálói SSL-profil	Állítson be egy SSL-profilt, hogy az APM kommunikáljon a Azure AD B2C-identitásszolgáltatóval a TLS-en keresztül. Válassza ki az alapértelmezett kiszolgálókat.

OAuth-kérés beállításai

A BIG-IP előkonfigurált kéréskészletében Azure AD B2C-kérések szükségesek. A kérések azonban helytelenül lettek formázva, és hiányoznak a fontos paraméterek. Ezért manuálisan hoztuk létre őket.

Jogkivonat-kérelem: Engedélyezve

Tulajdonság	Leírás
OAuth-kérelem kiválasztása	Új létrehozása
HTTP method	POST
Fejlécek engedélyezése	Nincs bejelölve
Paraméterek engedélyezése	Jelölje be

Paraméter	Paraméter neve	Paraméter értéke
client_id	client_id	N/A
nonce	nonce	N/A
redirect_uri	redirect_uri	N/A
scope	scope	N/A
response_type	response_type	N/A
client_secret	client_secret	N/A
egyéni	grant_type	authorization_code

Hitelesítési átirányítási kérelem: Engedélyezve

Tulajdonság	Leírás
OAuth-kérelem kiválasztása	Új létrehozása
HTTP method	GET
Parancssor típusa	None
Fejlécek engedélyezése	Nincs bejelölve
Paraméterek engedélyezése	Jelölje be

Paraméter	Paraméter neve	Paraméter értéke
client_id	client_id	N/A
redirect_uri	redirect_uri	N/A
response_type	response_type	N/A
scope	scope	N/A
nonce	nonce	N/A

Jogkivonat frissítési kérése: Letiltva . Szükség szerint engedélyezheti és konfigurálhatja.

OpenID UserInfo-kérés: Letiltva Nem támogatott a globális Azure AD B2C-bérlőkben.

Virtuális kiszolgáló tulajdonságai

Hozzon létre egy BIG-IP virtuális kiszolgálót a biztonságos hibrid hozzáféréssel védett háttérszolgáltatás külső ügyfélkéréseinek elfogásához. Rendeljen hozzá a virtuális kiszolgálóhoz egy IP-címet, amely az alkalmazást képviselő BIG-IP szolgáltatásvégpont nyilvános DNS-rekordjára van leképezve. Ha elérhető, használjon virtuális kiszolgálót, ellenkező esetben adja meg a következő tulajdonságokat.

Tulajdonság	Leírás
Célcím	Privát vagy nyilvános IP-cím, amely a háttéralkalmazás BIG-IP-szolgáltatásvégpontjává válik
Szolgáltatásport	HTTPS
Átirányítási port engedélyezése	Válassza ki, hogy a felhasználók automatikusan http-ről https-ra legyenek átirányítva
Port átirányítása	HTTP
Ügyfél SSL-profilja	Cserélje le az előre definiált profilt clientssl az SSL-tanúsítvánnyal rendelkező profilra. Az alapértelmezett profillal tesztelhet. de valószínűleg böngészőriasztást okoz.

Készlet tulajdonságai

A háttérszolgáltatások készletként jelennek meg a BIG-IP-ben, egy vagy több alkalmazáskiszolgálóval, amelyekbe a virtuális kiszolgálók a bejövő forgalmat irányítják. Válasszon ki egy készletet, különben hozzon létre egy újat.

Tulajdonság	Leírás
Terheléselosztási módszer	Ciklikus időszeletelés kiválasztása
Készletkiszolgáló	A háttéralkalmazás belső IP-címe
Port	A háttéralkalmazás szolgáltatásportja

Megjegyzés

Győződjön meg arról, hogy a BIG-IP-címnek van látóvonala a készletkiszolgáló címéhez.

Egyszeri bejelentkezés beállításai

A BIG-IP támogatja az SSO-beállításokat, az OAuth-ügyfél módban azonban az irányított konfiguráció Kerberos- vagy HTTP-fejlécekre korlátozódik. Engedélyezze az egyszeri bejelentkezést, és használja az alábbi információkat az APM számára a definiált bejövő attribútumok kimenő fejlécekre való leképezéséhez.

Tulajdonság	Leírás
Fejlécművelet	Beszúrás
Fejléc neve	name
Fejléc értéke	%{session.oauth.client.last.id_token.name}
Fejlécművelet	Beszúrás
Fejléc neve	agentid
Fejléc értéke	%{session.oauth.client.last.id_token.extension_AgentGeo}

Megjegyzés

A kapcsos zárójelben lévő APM-munkamenetváltozók megkülönböztetik a kis- és nagybetűket. Ha megadja az ügynökazonosítót, amikor a Azure AD B2C-attribútum nevét ügynökazonosítóként küldi el, az attribútumleképezési hibát okoz. Adjon meg kisbetűs attribútumokat. A Azure AD B2C-ben a felhasználói folyamat további attribútumokat kér a felhasználótól a portál attribútumnevének használatával. Ezért kisbetűs helyett használjon mondatos kisbetűket.

Testreszabási tulajdonságok

Az APM hozzáférési szabályzatának folyamatában megjelenő képernyők nyelvének és megjelenésének testreszabása. Szerkesztheti a képernyőüzeneteket és -utasításokat, módosíthatja a képernyőelrendezéseket, a színeket, a képeket, és honosíthatja a feliratokat, leírásokat és üzeneteket.

Az Űrlapfejléc szövegmezőben cserélje le a F5 Networks sztringet egy kívánt névre.

Munkamenet-kezelési tulajdonságok

A BIG-IP-munkamenetek kezelési beállításaival meghatározhatja a munkameneteket lezáró vagy a folytatást lehetővé tevő feltételeket. Állítsa be a felhasználókra és IP-címekre, valamint a hibalapokra vonatkozó korlátozásokat. Javasoljuk az egyszeri kijelentkezés (SLO) bevezetését, amely biztonságosan leállítja a munkameneteket, csökkentve a jogosulatlan hozzáférés kockázatát.

Beállítások üzembe helyezése

Válassza az Üzembe helyezés lehetőséget a beállítások véglegesítéséhez, valamint BIG-IP- és APM-objektumok létrehozásához, hogy biztonságos hibrid hozzáférést biztosíthasson az alkalmazáshoz. Az alkalmazás célerőforrásként jelenik meg a feltételes hozzáférésben. A nagyobb biztonság érdekében tiltsa le az alkalmazáshoz való közvetlen hozzáférést, és ezzel kényszerítse ki a BIG-IP-címen keresztüli elérési utat.

További információ: Identity Protection és feltételes hozzáférés Azure AD B2C-hez

A bejelentkezési folyamat tesztelése

1. Felhasználóként lépjen az alkalmazás külső URL-címére.
2. Megjelenik a BIG-IP OAuth-ügyfél bejelentkezési oldala.
3. Jelentkezzen be az engedélyezési kód megadásával. A lépés eltávolításához tekintse meg a Kiegészítő konfigurációk szakaszt .
4. Regisztráljon és hitelesítést végezzen a Azure AD B2C-bérlőn.

A következő képek a felhasználói bejelentkezési párbeszédpanel és a bejelentkezési üdvözlőlap.

A nagyobb biztonság érdekében tiltsa le az alkalmazáshoz való közvetlen hozzáférést, és ezzel kényszerítse ki a BIG-IP-címen keresztüli elérési utat.

Kiegészítő konfigurációk

Egyszeri kijelentkezés (SLO)

Azure AD B2C támogatja az identitásszolgáltatót (IdP) és az alkalmazás kijelentkeztetését. Lásd: Egyszeri kijelentkezés.

Az SLO eléréséhez engedélyezze, hogy az alkalmazás kijelentkezési függvénye meghívja a Azure AD B2C kijelentkezési végpontot. Ezután Azure AD B2C végleges átirányítást ad ki a BIG-IP-címre. Ez a művelet biztosítja, hogy a felhasználó-alkalmazás APM-munkamenete leálljon.

Egy másik SLO-folyamat, amely lehetővé teszi, hogy a BIG-IP figyelje a kérést, amikor kiválasztja az alkalmazások Kijelentkezés gombját . A kérés észlelésekor a Azure AD B2C kijelentkezési végpontját hívja meg. Ez a megközelítés kizárja az alkalmazás módosítását.

Ha többet szeretne megtudni a BIG-IP-alapú iRules-ról, látogasson el a support.f5.com a következőhöz: K42052145: Az automatikus munkamenet-megszakítás (kijelentkezés) konfigurálása egy URI-ra hivatkozó fájlnév alapján.

Megjegyzés

A megközelítéstől függetlenül győződjön meg arról, hogy a Azure AD B2C-bérlő ismeri az APM kijelentkezési végpontját.

1. A portálon lépjen a Jegyzékfájl kezelése> elemre.
2. Keresse meg az logoutUrl tulajdonságot. Null értéket olvas.
3. Adja hozzá az APM kijelentkezés utáni URI-ját: https://<mysite.com>/my.logout.php3

Megjegyzés

<mysite.com> A a fejlécalapú alkalmazás BIG-IP FQDN-je.

Optimalizált bejelentkezési folyamat

A felhasználói bejelentkezési élmény javítása érdekében tiltsa le az OAuth felhasználói bejelentkezési kérését, amely az előhitelesítés Microsoft Entra előtt jelenik meg.

1. Lépjen azIrányított konfigurációelérése> elemre.

2. A sor jobb szélén válassza a lakat ikont.

3. A fejlécalapú alkalmazás feloldja a szigorú konfigurációt.

   

A szigorú konfiguráció feloldása megakadályozza a varázsló felhasználói felületén végzett módosításokat. A BIG-IP-objektumok az alkalmazás közzétett példányához vannak társítva, és közvetlen felügyeletre vannak nyitva.

4. Lépjen a Hozzáférési>profilok/ szabályzatok>hozzáférési profilok (munkamenetenkénti szabályzatok) területre.

5. Az alkalmazásszabályzat-objektum Munkamenet-szabályzat oszlopában válassza a Szerkesztés lehetőséget.

   

6. Az OAuth Bejelentkezési oldal szabályzatobjektum törléséhez válassza az X lehetőséget.

7. A parancssorban csatlakozzon az előző csomóponthoz.

   

8. A bal felső sarokban válassza a Hozzáférési szabályzat alkalmazása lehetőséget.

9. Zárja be a vizualizációszerkesztő lapot.

Amikor megpróbál csatlakozni az alkalmazáshoz, megjelenik a Azure AD B2C bejelentkezési oldal.

Megjegyzés

Ha újra engedélyezi a szigorú módot, és üzembe helyez egy konfigurációt, a rendszer felülírja az irányított konfigurációs felhasználói felületen kívül végrehajtott beállításokat. Ezt a forgatókönyvet úgy valósítja meg, hogy manuálisan hoz létre konfigurációs objektumokat az éles szolgáltatásokhoz.

Hibaelhárítás

Ha a védett alkalmazáshoz való hozzáférés nem érhető el, kövesse az alábbi hibaelhárítási útmutatót.

Napló részletessége

A BIG-IP-naplók olyan információkkal rendelkeznek, amelyek elkülönítik a hitelesítési és SSO-problémákat. Növelje a napló részletességi szintjét.

1. Lépjen a Hozzáférési szabályzat>áttekintése>eseménynaplók>beállításai területre.
2. Válassza ki a közzétett alkalmazás sorát, majd azAccess rendszernaplóinakszerkesztése> lehetőséget.
3. Az egyszeri bejelentkezés listájában válassza a Hibakeresés lehetőséget.
4. Válassza az OK lehetőséget.
5. A naplók áttekintése előtt reprodukálja a problémát.

Ha elkészült, állítsa vissza az előző beállításokat.

BIG-IP hibaüzenet

Ha a B2C-hitelesítés Azure AD után BIG-IP hibaüzenet jelenik meg, a probléma az egyszeri bejelentkezéssel kapcsolatos lehet Microsoft Entra azonosítótól a BIG-IP-címig.

1. Nyissa meg az Access>áttekintési>hozzáférési jelentéseit.
2. A jelentés futtatása az elmúlt órában
3. Tekintse át a naplókat a nyomokért.
4. Válassza a Munkamenetváltozók megtekintése hivatkozást.
5. Állapítsa meg, hogy az APM megkapja-e a várt Microsoft Entra jogcímeket.

Nincs BIG-IP-hibaüzenet

Ha nem jelenik meg BIG-IP hibaüzenet, a probléma a háttérbeli kéréssel vagy a BIG-IP-ről az alkalmazásra irányuló egyszeri bejelentkezéssel kapcsolatos lehet.

1. Lépjen a Hozzáférési szabályzat>áttekintése>aktív munkamenetek elemre.
2. Válassza ki az aktív munkamenet hivatkozását.
3. Válassza a Változók megtekintése hivatkozást.
4. Tekintse át a kiváltó okot, különösen akkor, ha a BIG-IP APM pontatlan munkamenet-attribútumokat szerez be.
5. Az alkalmazásnaplók segítségével megtudhatja, hogy az attribútumokat fejlécként kapta-e meg.

Az irányított konfiguráció 8-ra vonatkozó ismert problémája

Ha az Irányított konfiguráció 8-adik verziót használja, egy ismert probléma a következő hibát eredményezi a sikeres Azure AD B2C-hitelesítés után. A probléma az lehet, hogy az AGC nem engedélyezi az automatikus JWT-beállítást az üzembe helyezés során. Az APM nem tudja beszerezni az aktuális jogkivonat-aláíró kulcsokat. Az F5 mérnöki csapat vizsgálja a kiváltó okot.

Ugyanez a hozzáférési napló tartalmazza a részleteket.

A beállítás manuális engedélyezése

1. Lépjen azIrányított konfigurációelérése> elemre.
2. A fejlécalapú alkalmazás sorának jobb szélén válassza a lakatot.
3. Lépjen azAccess összevonási>OAuth-ügyfél-/erőforráskiszolgáló-szolgáltatókhoz>>.
4. Válassza ki a szolgáltatót a Azure AD B2C-konfigurációhoz.
5. Jelölje be az Automatikus JWT használata jelölőnégyzetet .
6. Válassza a Felfedezés lehetőséget.
7. Kattintson a Mentés gombra.
8. A Kulcs (JWT) mező az OpenID URI metaadataiból származó jogkivonat-aláíró tanúsítványkulcs-azonosítóval (KID) rendelkezik.
9. A bal felső sarokban válassza a Hozzáférési szabályzat alkalmazása lehetőséget.
10. Kattintson az Alkalmaz gombra.

További információt az OAuth-ügyfél és az erőforrás-kiszolgáló hibaelhárítási tippjeinek techdocs.f5.com című témakörben talál.