Az F5 BIG-IP hozzáférési szabályzatkezelő konfigurálása űrlapalapú egyszeri bejelentkezéshez

  • Cikk

Ismerje meg, hogyan konfigurálhatja az F5 BIG-IP hozzáférési szabályzatkezelőt (APM) és a Microsoft Entra ID-t a biztonságos hibrid hozzáféréshez (SHA) űrlapalapú alkalmazásokhoz. A Microsoft Entra egyszeri bejelentkezéshez (SSO) közzétett BIG-IP-szolgáltatások előnyei:

További információ:

Forgatókönyv leírása

Ebben a forgatókönyvben egy belső, örökölt alkalmazás van konfigurálva az űrlapalapú hitelesítéshez (FBA). Ideális esetben a Microsoft Entra ID kezeli az alkalmazáshozzáférést, mivel az örökölt adatok nem rendelkeznek modern hitelesítési protokollokkal. A modernizáció időt és energiát igényel, ami az állásidő kockázatát is növeli. Ehelyett helyezzen üzembe egy BIG-IP-címet a nyilvános internet és a belső alkalmazás között. Ez a konfigurációs kapuk bejövő hozzáférést biztosítanak az alkalmazáshoz.

Az alkalmazás előtti BIG-IP-címmel átfedheti a szolgáltatást a Microsoft Entra előhitelesítésével és fejlécalapú egyszeri bejelentkezéssel. Az átfedés javítja az alkalmazás biztonsági helyzetét.

Forgatókönyv-architektúra

Az SHA-megoldás a következő összetevőket tartalmazza:

  • Alkalmazás – AZ SHA által védett BIG-IP-alapú közzétett szolgáltatás.
    • Az alkalmazás ellenőrzi a felhasználói hitelesítő adatokat az Active Directoryban
    • Használjon bármilyen könyvtárat, beleértve az Active Directory Lightweight Directory Servicest, nyílt forráskód stb.
  • Microsoft Entra ID – Security Assertion Markup Language (SAML) identitásszolgáltató (IDP), amely ellenőrzi a felhasználói hitelesítő adatokat, a feltételes hozzáférést és az egyszeri bejelentkezést a BIG-IP-címre.
    • Az egyszeri bejelentkezéssel a Microsoft Entra ID attribútumokat biztosít a BIG-IP-címhez, beleértve a felhasználói azonosítókat is
  • BIG-IP – fordított proxy és SAML-szolgáltató (SP) az alkalmazáshoz.
    • A BIG-IP-hitelesítést az SAML-identitásszolgáltatóra delegálja, majd fejlécalapú egyszeri bejelentkezést hajt végre a háttéralkalmazásban.
    • Az egyszeri bejelentkezés a gyorsítótárazott felhasználói hitelesítő adatokat használja más űrlapalapú hitelesítési alkalmazásokhoz

Az SHA támogatja az SP és idP által kezdeményezett folyamatokat. Az alábbi ábra az SP által kezdeményezett folyamatot szemlélteti.

A szolgáltató által kezdeményezett folyamat ábrája.

  1. A felhasználó az alkalmazásvégponthoz (BIG-IP) csatlakozik.
  2. A BIG-IP APM hozzáférési szabályzat átirányítja a felhasználót a Microsoft Entra ID(SAML IdP) azonosítóra.
  3. A Microsoft Entra előhitelesíti a felhasználót, és kikényszerített feltételes hozzáférési szabályzatokat alkalmaz.
  4. A rendszer átirányítja a felhasználót a BIG-IP-címre (SAML SP), és az egyszeri bejelentkezés a kiadott SAML-jogkivonat használatával történik.
  5. A BIG-IP egy alkalmazásjelszót kér a felhasználótól, és tárolja azt a gyorsítótárban.
  6. A BIG-IP kérést küld az alkalmazásnak, és kap egy bejelentkezési űrlapot.
  7. Az APM-szkript kitölti a felhasználónevet és a jelszót, majd elküldi az űrlapot.
  8. A webkiszolgáló az alkalmazás hasznos adatait szolgálja ki, és elküldi az ügyfélnek.

Előfeltételek

A következő összetevőkre van szüksége:

  • Azure-előfizetés
    • Ha nem rendelkezik ilyen fiókkal, ingyenes Azure-fiókot szerezhet be
  • Az alábbi szerepkörök egyike: Global Rendszergazda istrator, Cloud Application Rendszergazda istrator vagy Application Rendszergazda istrator
  • BIG-IP- vagy BIG-IP-alapú virtuális kiadás (VE) üzembe helyezése az Azure-ban
  • Az alábbi F5 BIG-IP-licencek bármelyike:
    • F5 BIG-IP® legjobb csomag
    • F5 BIG-IP Access Policy Manager™ (APM) önálló licenc
    • F5 BIG-IP Access Policy Manager™ (APM) bővítménylicence BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 napos BIG-IP teljes funkció próbaverziója. Lásd: Ingyenes próbaverziók
  • A helyszíni címtárból a Microsoft Entra ID azonosítóba szinkronizált felhasználói identitások
  • SSL-tanúsítvány a szolgáltatások HTTPS-en keresztüli közzétételéhez, vagy alapértelmezett tanúsítványok használata tesztelés közben
    • Ssl-profil megtekintése
  • Űrlapalapú hitelesítési alkalmazás vagy IIS FBA-alkalmazás beállítása teszteléshez

BIG-IP-konfiguráció

A cikkben szereplő konfiguráció egy rugalmas SHA-implementáció: BIG-IP konfigurációs objektumok manuális létrehozása. Ezt a megközelítést olyan forgatókönyvekhez használhatja, amelyekre az irányított konfigurációs sablonok nem vonatkoznak.

Feljegyzés

Cserélje le a példasztringeket vagy értékeket a környezetből származó értékekre.

F5 BIG-IP regisztrálása a Microsoft Entra-azonosítóban

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A BIG-IP-regisztráció az entitások közötti egyszeri bejelentkezés első lépése. Az F5 BIG-IP katalógussablonból létrehozott alkalmazás a függő entitás, amely a BIG-IP által közzétett alkalmazás SAML SP-jének felel meg.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.
  3. A Minden alkalmazás panelen válassza az Új alkalmazás lehetőséget.
  4. Megnyílik a Microsoft Entra Katalógus tallózása panel.
  5. A csempék a felhőplatformokon, a helyszíni alkalmazásokban és a kiemelt alkalmazásokban jelennek meg. A kiemelt alkalmazások ikonjai az összevont egyszeri bejelentkezés és a kiépítés támogatását jelzik.
  6. Az Azure-katalógusban keresse meg az F5-öt.
  7. Válassza az F5 BIG-IP APM Microsoft Entra ID-integrációt.
  8. Adjon meg egy nevet , amelyet az új alkalmazás használ az alkalmazáspéldány felismeréséhez.
  9. Válassza a Hozzáadás lehetőséget.
  10. Válassza a Létrehozás lehetőséget.

Egyszeri bejelentkezés engedélyezése az F5 BIG-IP-címhez

Konfigurálja a BIG-IP-regisztrációt a BIG-IP APM által kért SAML-jogkivonatok teljesítéséhez.

  1. A bal oldali menü Kezelés szakaszában válassza az Egyszeri bejelentkezés lehetőséget.
  2. Megjelenik az egyszeri bejelentkezés panel.
  3. A Select a single sign-on method page, select SAML.
  4. Válassza a Nem lehetőséget , majd később mentem.
  5. Az egyszeri bejelentkezés beállítása SAML-panelen válassza a toll ikont.
  6. Azonosító esetén cserélje le az értéket a BIG-IP által közzétett alkalmazás URL-címére.
  7. Válasz URL-cím esetén cserélje le az értéket, de őrizze meg az alkalmazás SAML SP-végpontjának elérési útját. Ezzel a konfigurációval az SAML-folyamat IdP által kezdeményezett módban működik. A Microsoft Entra ID egy SAML-állítást ad ki, majd a rendszer átirányítja a felhasználót a BIG-IP-végpontra.
  8. Sp-vezérelt mód esetén a Bejelentkezés URL-címhez adja meg az alkalmazás URL-címét.
  9. A kijelentkezés URL-címeként adja meg a szolgáltatás gazdagépfejléce által előre felerősített BIG-IP APM egyszeri kijelentkezés (SLO) végpontot. Ezután a BIG-IP APM felhasználói munkamenetek befejeződnek, amikor kijelentkeznek a Microsoft Entra-azonosítóból.

Képernyőkép az SAML-konfiguráció URL-címéről.

Feljegyzés

A Traffic Management Operating System (TMOS) v16-tól kezdve az SAML SLO végpontja ./saml/sp/profile/redirect/slo

  1. Válassza a Mentés lehetőséget.
  2. Zárja be az SAML konfigurációs panelt.
  3. Hagyja ki az egyszeri bejelentkezés tesztelési kérését.
  4. Jegyezze fel a Felhasználói attribútumok > Jogcímek szakasz tulajdonságait. A Microsoft Entra ID kiadja a BIG-IP APM-hitelesítés, valamint a háttéralkalmazás egyszeri bejelentkezésének tulajdonságait.
  5. Az SAML aláíró tanúsítvány panelen válassza a Letöltés lehetőséget.
  6. Az összevonási metaadatok XML-fájlja a számítógépre lesz mentve.

Képernyőkép az SAML-aláíró tanúsítvány letöltési lehetőségről.

Feljegyzés

A Microsoft Entra SAML aláíró tanúsítványainak élettartama három év.

További információ: Oktatóanyag: Összevont egyszeri bejelentkezés tanúsítványainak kezelése

Felhasználók és csoportok hozzárendelése

A Microsoft Entra ID jogkivonatokat ad ki az alkalmazásokhoz hozzáférést kapó felhasználók számára. Adott felhasználók és csoportok alkalmazáshozzáférésének biztosítása:

  1. Az F5 BIG-IP-alkalmazás áttekintő ablaktábláján válassza a Felhasználók és csoportok hozzárendelése lehetőséget.
  2. Válassza a + Felhasználó/csoport hozzáadása lehetőséget.
  3. Válassza ki a kívánt felhasználókat és csoportokat.
  4. Válassza a Hozzárendelés lehetőséget.

BIG-IP speciális konfiguráció

A BIG-IP konfigurálásához kövesse az alábbi utasításokat.

SAML-szolgáltató beállításainak konfigurálása

Az SAML SP beállításai határozzák meg azokat az SAML SP-tulajdonságokat, amelyeket az APM az örökölt alkalmazás SAML-előhitelesítéssel való átfedésére használ. Konfigurálásuk:

  1. Válassza az Access összevonási>>SAML-szolgáltatót.

  2. Válassza a Helyi SP-szolgáltatások lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

    Képernyőkép a Létrehozás lehetőségről az SAML-szolgáltató lapon.

  4. Az Új SAML SP szolgáltatás létrehozása panelEn adja meg a megadott nevet és entitásazonosítót a Név és az Entitásazonosító mezőben.

    Képernyőkép az Új SAML SP szolgáltatás létrehozása területen található Név és entitásazonosító mezőkről.

    Feljegyzés

    Az SP-név Gépház értékekre akkor van szükség, ha az entitás azonosítója nem egyezik a közzétett URL állomásnév részével. Az értékekre akkor is szükség van, ha az entitásazonosító nem normál gazdagépnév-alapú URL-formátumban van.

  5. Ha az entitás azonosítója az urn:myvacation:contosoonline, adja meg az alkalmazás külső sémáját és állomásnevét.

Külső idP-összekötő konfigurálása

Az SAML IdP-összekötő a BIG-IP APM beállításait határozza meg, hogy a Microsoft Entra ID-t mint SAML-azonosítót megbízhatónak minősítse. A beállítások az SAML-szolgáltatót egy SAML-identitásszolgáltatóhoz kötik, amely létrehozza az összevonási megbízhatóságot az APM és a Microsoft Entra ID között.

Az összekötő konfigurálása:

  1. Válassza ki az új SAML-szolgáltató objektumot.

  2. Válassza a Bind/UnbBind IdP Csatlakozás ors lehetőséget.

    Képernyőkép az SAML-szolgáltató lapon található Kötés nélküli azonosító Csatlakozás ors beállításról.

  3. Az Új azonosító létrehozása Csatlakozás or listában válassza a Metaadatok közül lehetőséget.

    Képernyőkép a Metaadatokból lehetőségről az Új azonosító létrehozása Csatlakozás or legördülő listában.

  4. Az Új SAML-azonosító létrehozása Csatlakozás or panelen keresse meg a letöltött összevonási metaadatok XML-fájlját.

  5. Adja meg a külső SAML-azonosítót képviselő APM-objektum identitásszolgáltatójának nevét. Például MyVacation_EntraID.

    Képernyőkép a Fájl- és identitásszolgáltató névmezőinek kiválasztásáról az Új SAML-azonosító Csatlakozás oron.

  6. Válassza az Új sor hozzáadása lehetőséget.

  7. Válassza ki az új SAML idP Csatlakozás ort.

  8. Válassza a Frissítés lehetőséget.

    Képernyőkép a Frissítés lehetőségről.

  9. Kattintson az OK gombra.

    Képernyőkép az SP párbeszédpanelt használó SAML-azonosítók szerkesztéséről.

Űrlapalapú egyszeri bejelentkezés konfigurálása

Hozzon létre egy APM SSO-objektumot az FBA SSO-hoz háttéralkalmazásokhoz.

FBA egyszeri bejelentkezés végrehajtása ügyfél által kezdeményezett módban vagy BIG-IP-módban. Mindkét módszer a hitelesítő adatok felhasználónévbe és jelszócímkékbe történő beszúrásával emulálja a felhasználói bejelentkezést. Az űrlap elküldve. A felhasználók jelszót adnak egy FBA-alkalmazás eléréséhez. A jelszó gyorsítótárazva van, és újra felhasználható más FBA-alkalmazásokhoz.

  1. Válassza az Access>egyszeri bejelentkezés lehetőséget.

  2. Válassza az Űrlapok alapja lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

  4. A Név mezőbe írjon be egy leíró nevet. Például Contoso\FBA\sso.

  5. Az SSO-sablon használatához válassza a Nincs lehetőséget.

  6. Felhasználónévforrás esetén adja meg a felhasználónév forrását a jelszógyűjtési űrlap előzetes kitöltéséhez. Az alapértelmezett beállítás session.sso.token.last.username jól működik, mert a bejelentkezett felhasználó Microsoft Entra felhasználónévvel (UPN) rendelkezik.

  7. Jelszóforrás esetén tartsa meg a BIG-IP APM változó alapértelmezett session.sso.token.last.password értékét a felhasználói jelszavak gyorsítótárazásához.

    Képernyőkép a Név és az Egyszeri bejelentkezés sablon beállításairól az Új egyszeri bejelentkezés konfigurációja területen.

  8. Az URI indításakor adja meg az FBA-alkalmazás bejelentkezési URI-jának nevét. Ha a kérelem URI-ja megfelel ennek az URI-értéknek, az APM űrlapalapú hitelesítése SSO-t hajt végre.

  9. Űrlapművelet esetén hagyja üresen. Ezután a rendszer az eredeti kérelem URL-címét használja az egyszeri bejelentkezéshez.

  10. A felhasználónév űrlapparaméteréhez adja meg a bejelentkezési űrlap felhasználónév mezőjének elemét. Az elem meghatározásához használja a böngésző fejlesztői eszközeit.

  11. A Jelszó űrlapparamétere mezőben adja meg a bejelentkezési űrlap jelszómezőelemét. Az elem meghatározásához használja a böngésző fejlesztői eszközeit.

Képernyőkép az URI elindításáról, a felhasználónév űrlapparaméteréről és a jelszómezők űrlapparaméteréről.

Képernyőkép a bejelentkezési lapról, amelyen a felhasználónév és a jelszó mező feliratai láthatóak.

További információ: techdocs.f5.com a Manuális fejezet: Egyszeri bejelentkezési módszerek című témakörben.

Hozzáférési profil konfigurálása

A hozzáférési profil köti a BIG-IP virtuális kiszolgálókhoz való hozzáférést kezelő APM-elemeket, beleértve a hozzáférési szabályzatokat, az egyszeri bejelentkezés konfigurációját és a felhasználói felület beállításait.

  1. Válassza ki a Hozzáférési>profilok/ Szabályzatok lehetőséget.

  2. Válassza a Hozzáférési profilok (munkamenet-alapú szabályzatok) lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

  4. Adjon meg egy nevet.

  5. Profiltípus esetén válassza az Összes lehetőséget.

  6. SSO-konfiguráció esetén válassza ki a létrehozott FBA SSO konfigurációs objektumot.

  7. Az Elfogadott nyelv beállításnál válasszon legalább egy nyelvet.

    Képernyőkép az Access-profilok munkamenet-szabályzatonkénti és új profilonkénti beállításairól és beállításairól.

  8. A munkamenet-alapú házirend oszlopban válassza a profil Szerkesztés elemét.

  9. Elindul az APM Visual Policy Editor.

    Képernyőkép a Munkamenet-alapú házirend oszlop Szerkesztés lehetőségéről.

  10. A tartalék területen válassza ki a + jelet.

Képernyőkép az APM Visual Policy Editor pluszjel lehetőségéről a tartalék területen.

  1. Az előugró ablakban válassza a Hitelesítés lehetőséget.
  2. Válassza az SAML-hitelesítés lehetőséget.
  3. Válassza az Elem hozzáadása lehetőséget.

Képernyőkép az SAML Hitelesítési lehetőségről.

  1. Az SAML authentication SP-ben módosítsa a nevet Microsoft Entra hitelesítésre.
  2. Az AAA-kiszolgáló legördülő listájában adja meg a létrehozott SAML-szolgáltató objektumot.

Képernyőkép a Microsoft Entra hitelesítési kiszolgáló beállításairól.

  1. A Sikeres ágon válassza ki a + jelet.
  2. Az előugró ablakban válassza a Hitelesítés lehetőséget.
  3. Válassza a Bejelentkezési lap lehetőséget.
  4. Válassza az Elem hozzáadása lehetőséget.

Képernyőkép a Bejelentkezés lap Bejelentkezési lap lehetőségéről.

  1. Felhasználónév esetén az Írásvédett oszlopban válassza az Igen lehetőséget.

Képernyőkép a Tulajdonságok lap felhasználónév sorában található Igen lehetőségről.

  1. A bejelentkezési lap tartalék állapotához válassza ki a + jelet. Ez a művelet hozzáad egy SSO hitelesítőadat-leképezési objektumot.

  2. Az előugró ablakban válassza a Hozzárendelés lapot.

  3. Válassza az SSO hitelesítő adatok leképezése lehetőséget.

  4. Válassza az Elem hozzáadása lehetőséget.

    Képernyőkép az SSO hitelesítőadat-leképezés lehetőségéről a Hozzárendelés lapon.

  5. Változó hozzárendelése: SSO hitelesítő adatok leképezésekor tartsa meg az alapértelmezett beállításokat.

  6. Válassza a Mentés lehetőséget.

    Képernyőkép a Tulajdonságok lap Mentés lehetőségéről.

  7. A Felső Megtagadás mezőben válassza ki a hivatkozást.

  8. A sikeres ág engedélyezésre változik.

  9. Válassza a Mentés lehetőséget.

(Nem kötelező) Attribútumleképezések konfigurálása

Hozzáadhat egy LogonID_Mapping konfigurációt. Ezután a BIG-IP aktív munkamenetek listája a bejelentkezett felhasználó UPN-ével rendelkezik, nem pedig munkamenetszámmal. Ezeket az információkat naplók elemzéséhez vagy hibaelhárításhoz használhatja.

  1. A SAML Auth Successful ághoz válassza ki a + jelet.

  2. Az előugró ablakban válassza a Hozzárendelés lehetőséget.

  3. Válassza a Változó hozzárendelése lehetőséget.

  4. Válassza az Elem hozzáadása lehetőséget.

    Képernyőkép a Változó hozzárendelése lehetőségről a Hozzárendelés lapon.

  5. A Tulajdonságok lapon adjon meg egy nevet. Például LogonID_Mapping.

  6. A Változó hozzárendelése területen válassza az Új bejegyzés hozzáadása lehetőséget.

  7. Válassza a módosítást.

    Képernyőkép az Új bejegyzés hozzáadása lehetőségről és a módosítási lehetőségről.

  8. Egyéni változó esetén használja a következőtsession.logon.last.username: .

  9. Munkamenet-változó esetén a felhasználó session.saml.last.identity.

  10. Válassza a Kész elemet.

  11. Válassza a Mentés lehetőséget.

  12. Válassza a Hozzáférési szabályzat alkalmazása lehetőséget.

  13. Zárja be a Visual Policy Editort.

Képernyőkép a hozzáférési szabályzat alkalmazásáról.

Háttérkészlet konfigurálása

Ahhoz, hogy a BIG-IP megfelelően továbbíthassa az ügyfélforgalmat, hozzon létre egy BIG-IP-csomópontobjektumot, amely az alkalmazást üzemeltető háttérkiszolgálót jelöli. Ezután helyezze a csomópontot egy BIG-IP-kiszolgálókészletbe.

  1. Válassza a Helyi forgalomkészletek>lehetőséget.

  2. Válassza a Készletlista lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

  4. Adjon meg egy kiszolgálókészlet-objektum nevét . Például MyApps_VMs.

    Képernyőkép az Új készlet alatti Név mezőről.

  5. A Csomópont neve mezőben adja meg a kiszolgáló megjelenítendő nevét. Ez a kiszolgáló üzemelteti a háttérbeli webalkalmazást.

  6. A Cím mezőben adja meg az alkalmazáskiszolgáló gazda IP-címét.

  7. Szolgáltatásport esetén adja meg azt a HTTP/S-portot, amelyen az alkalmazás figyel.

    Képernyőkép a Csomópont neve, címe, szolgáltatásport mezőiről és a Hozzáadás lehetőségről.

    Feljegyzés

    Az állapotfigyelők konfigurálásához ez a cikk nem foglalkozik. Nyissa meg a support.f5.com a K13397-hez : A BIG-IP DNS-rendszer HTTP-állapotfigyelő kérésének formázásának áttekintése.

Virtuális kiszolgáló konfigurálása

A virtuális kiszolgáló egy BIG-IP-adatsík objektum, amelyet egy virtuális IP-cím jelöl. A kiszolgáló figyeli az alkalmazás ügyfélkéréseit. A fogadott forgalom feldolgozása és kiértékelése a virtuális kiszolgálóhoz társított APM hozzáférési profil alapján történik. A forgalom a szabályzatnak megfelelően van irányítva.

Virtuális kiszolgáló konfigurálása:

  1. Válassza ki a helyi forgalom virtuális>kiszolgálóit.

  2. Válassza a Virtuális kiszolgáló lista lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

  4. Adjon meg egy nevet.

  5. Célcím/maszk esetén válassza a Gazdagép lehetőséget, és adjon meg egy IPv4- vagy IPv6-címet. A cím fogadja a közzétett háttéralkalmazás ügyfélforgalmát.

  6. Szolgáltatásport esetén válassza a Port lehetőséget, írja be a 443-at, és válassza a HTTPS lehetőséget.

    Képernyőkép a Név, a Célcím és a Szolgáltatásport mezőiről és beállításairól.

  7. HTTP-profil (ügyfél)esetén válassza a http lehetőséget.

  8. SSL-profil (ügyfél) esetén válassza ki a létrehozott profilt, vagy hagyja meg az alapértelmezett beállítást a teszteléshez. Ez a beállítás lehetővé teszi, hogy a Transport Layer Security (TLS) virtuális kiszolgálója HTTPS-en keresztül tegye közzé a szolgáltatásokat.

    Képernyőkép a HTTP-profilügyfél és az SSL-profilügyfél beállításairól.

  9. A forráscímfordításhoz válassza az Automatikus leképezés lehetőséget.

    Képernyőkép a forráscímfordítás automatikus térképkijelöléséről.

  10. Az Access Policy ( Hozzáférési szabályzat) mezőben adja meg a létrehozott nevet az Access-profil mezőben. Ez a művelet a Microsoft Entra SAML előhitelesítési profilt és az FBA SSO-házirendet köti a virtuális kiszolgálóhoz.

Képernyőkép az Access-profil hozzáférési szabályzat alatti bejegyzéséről.

  1. Az Erőforrások területen az Alapértelmezett készlet területen válassza ki a létrehozott háttérkészlet-objektumokat.
  2. Válassza a Kész elemet.

Képernyőkép az Erőforrások területen az Alapértelmezett készlet beállításról.

Munkamenet-kezelési beállítások konfigurálása

A BIG-IP munkamenet-kezelési beállítások határozzák meg a munkamenetek leállításának és folytatásának feltételeit. Ezen a területen hozzon létre házirendet.

  1. Nyissa meg az Hozzáférési szabályzatot.
  2. Válassza ki az Access-profilokat.
  3. Válassza ki az Access-profilt.
  4. A listából válassza ki az alkalmazást.

Ha egyetlen kijelentkezés URI-értékét definiálta a Microsoft Entra-azonosítóban, az IdP által kezdeményezett kijelentkezés a MyAppsből véget vet az ügyfélnek és a BIG-IP APM-munkamenetnek. Az importált alkalmazás-összevonási metaadatok XML-fájlja biztosítja az APM számára a Microsoft Entra SAML-végpontot az SP által kezdeményezett kijelentkezéshez. Győződjön meg arról, hogy az APM megfelelően válaszol egy felhasználó kijelentkezésére.

Ha nincs BIG-IP-alapú webportál, a felhasználók nem utasíthatják az APM-t a kijelentkezésre. Ha a felhasználó kijelentkezik az alkalmazásból, a BIG-IP-cím nem kötelező. Az alkalmazás munkamenete az egyszeri bejelentkezéssel állítható vissza. Az SP által kezdeményezett kijelentkezés esetén győződjön meg arról, hogy a munkamenetek biztonságosan leállnak.

SLO-függvényt adhat hozzá az alkalmazás kijelentkezés gombjához. Ez a függvény átirányítja az ügyfelet a Microsoft Entra SAML kijelentkeztetés végpontjához. Az SAML-kijelentkeztetés végpontját az alkalmazásregisztráció végpontjai >között találhatja meg.

Ha nem tudja módosítani az alkalmazást, a BIG-IP figyeli az alkalmazás kijelentkező hívását, és aktiválja az SLO-t.

További információ:

Közzétett alkalmazás

Az alkalmazás az alkalmazás URL-címével vagy a Microsoft-portálokkal érhető el az SHA-val.

Az alkalmazás célerőforrásként jelenik meg a feltételes hozzáférésben. További információ: Feltételes hozzáférési szabályzat létrehozása.

A nagyobb biztonság érdekében tiltsa le az alkalmazáshoz való közvetlen hozzáférést, és kényszerítsen ki egy útvonalat a BIG-IP-címen keresztül.

Teszt

  1. Egy böngészőben csatlakozzon az alkalmazás külső URL-címéhez, vagy Saját alkalmazások válassza az alkalmazás ikont.

  2. Hitelesítés a Microsoft Entra-azonosítón.

  3. A rendszer átirányítja az alkalmazás BIG-IP-végpontja felé.

  4. Megjelenik a jelszókérés.

  5. Az APM kitölti a felhasználónevet a Microsoft Entra ID-ból származó UPN-vel. A felhasználónév írásvédett a munkamenet konzisztenciájához. Szükség esetén rejtse el ezt a mezőt.

    Képernyőkép a bejelentkezési oldalról.

  6. Az információ elküldve.

  7. Bejelentkezett az alkalmazásba.

    Képernyőkép az üdvözlőlapról.

Hibaelhárítás

Hibaelhárításkor vegye figyelembe a következő információkat:

  • A BIG-IP az FBA SSO-t hajtja végre, miközben elemzi a bejelentkezési űrlapot az URI-ban

    • A BIG-IP a felhasználónév és a jelszóelem címkéit keresi a konfigurációból

  • Annak ellenőrzése, hogy az elemcímkék konzisztensek-e, vagy az egyszeri bejelentkezés meghiúsul

  • A dinamikusan létrehozott összetett űrlapok fejlesztői eszközelemzést igényelhetnek a bejelentkezési űrlap megértéséhez

  • Az ügyfél kezdeményezése jobb, ha több űrlapot tartalmazó lapokra jelentkezik be

    • Megadhatja az űrlap nevét, és testre szabhatja a JavaScript űrlapkezelő logikáját

  • Az FBA SSO-metódusok az űrlap-interakciók elrejtésével optimalizálják a felhasználói élményt és a biztonságot:

    • Ellenőrizheti, hogy a hitelesítő adatok be vannak-e adva
    • Ügyfél által kezdeményezett módban tiltsa le az űrlap automatikus bejelentkezését az SSO-profilban
    • A fejlesztői eszközökkel letilthatja azt a két stílustulajdonságot, amelyek megakadályozzák a bejelentkezési oldal megjelenését

    Képernyőkép a Tulajdonságok lapról.

A napló részletességének növelése

A BIG-IP-naplók információkat tartalmaznak a hitelesítés és az egyszeri bejelentkezés problémáinak elkülönítéséhez. A napló részletességi szintjének növelése:

  1. Nyissa meg az Access Policy>áttekintését.
  2. Válassza az Eseménynaplók lehetőséget.
  3. Válassza a Beállítások lehetőséget.
  4. Válassza ki a közzétett alkalmazás sorát.
  5. Válassza a Szerkesztés lehetőséget.
  6. Válassza az Access rendszernaplói lehetőséget.
  7. Az egyszeri bejelentkezés listában válassza a Hibakeresés lehetőséget.
  8. Kattintson az OK gombra.
  9. Reprodukálja a problémát.
  10. Tekintse át a naplókat.

Állítsa vissza a beállításokat, különben túl sok az adat.

BIG-IP hibaüzenet

Ha a Microsoft Entra előzetes hitelesítése után BIG-IP-hiba jelenik meg, a probléma a Microsoft Entra-azonosítóhoz és a BIG-IP SSO-hoz kapcsolódhat.

  1. Nyissa meg az Access>áttekintését.
  2. Válassza az Access-jelentések lehetőséget.
  3. Futtassa a jelentést az elmúlt órában.
  4. Tekintse át a naplókat a nyomokért.

A munkamenet munkamenet változóinak megtekintése hivatkozásával megállapíthatja, hogy az APM megkapja-e a várt Microsoft Entra-jogcímeket.

Nincs BIG-IP-hibaüzenet

Ha nem jelenik meg BIG-IP-hibaüzenet, a probléma a háttérkérelemhez vagy a BIG-IP-to-application SSO-hoz kapcsolódhat.

  1. Válassza a Hozzáférési szabályzat>áttekintése lehetőséget.
  2. Válassza az Aktív munkamenetek lehetőséget.
  3. Válassza ki az aktív munkamenet hivatkozását.

Ezen a helyen a Változók megtekintése hivatkozással meghatározhatja a kiváltó okot, különösen akkor, ha az APM nem tudja beolvasni a megfelelő felhasználói azonosítót és jelszót.

További információ: techdocs.f5.com a Manuális fejezet: Munkamenetváltozók című témakörben.

Források