Oktatóanyag: F5 BIG-IP easy gomb konfigurálása fejlécalapú egyszeri bejelentkezéshez

  • Cikk

Ismerje meg, hogyan védheti meg a fejlécalapú alkalmazásokat a Microsoft Entra ID-val az F5 BIG-IP Egyszerű gombos irányított konfiguráció 16.1-ben.

A BIG-IP és a Microsoft Entra ID integrálása számos előnnyel jár, például:

További információ:

Forgatókönyv leírása

Ez a forgatókönyv a http-engedélyezési fejléceket használó régi alkalmazást ismerteti a védett tartalomhoz való hozzáférés kezeléséhez. Az örökölt protokollok nem támogatják a Microsoft Entra ID-val való közvetlen integrációt. A modernizáció költséges, időigényes, és állásidő-kockázatot jelent. Ehelyett használjon egy F5 BIG-IP-alkalmazáskézbesítési vezérlőt (ADC) az örökölt alkalmazás és a modern azonosítóvezérlő sík közötti szakadék áthidalásához protokollváltással.

Az alkalmazás előtti BIG-IP lehetővé teszi a szolgáltatás átfedését a Microsoft Entra előhitelesítéssel és fejlécalapú egyszeri bejelentkezéssel. Ez a konfiguráció javítja az alkalmazások általános biztonsági helyzetét.

Feljegyzés

A szervezetek távoli hozzáféréssel rendelkezhetnek ehhez az alkalmazástípushoz a Microsoft Entra alkalmazásproxyval. További információ: Helyszíni alkalmazások távoli elérése a Microsoft Entra alkalmazásproxyn keresztül

Forgatókönyv-architektúra

Az SHA-megoldás a következőket tartalmazza:

  • Alkalmazás – BIG-IP által közzétett szolgáltatás, amelyet a Microsoft Entra SHA véd
  • Microsoft Entra ID – Security Assertion Markup Language (SAML) identitásszolgáltató (IDP), amely ellenőrzi a felhasználói hitelesítő adatokat, a feltételes hozzáférést és az SAML-alapú egyszeri bejelentkezést a BIG IP-címre. Az egyszeri bejelentkezéssel a Microsoft Entra ID biztosítja a BIG-IP-címet munkamenet-attribútumokkal.
  • BIG-IP – fordított proxy és SAML-szolgáltató (SP) az alkalmazásnak, delegálva a hitelesítést az SAML idP-re, mielőtt fejlécalapú egyszeri bejelentkezést hajtanak végre a háttéralkalmazásban.

Ebben a forgatókönyvben az SHA támogatja az SP és az IdP által kezdeményezett folyamatokat. Az alábbi ábra az SP által kezdeményezett folyamatot szemlélteti.

Az SP által kezdeményezett folyamattal rendelkező konfiguráció diagramja.

  1. A felhasználó az alkalmazásvégponthoz (BIG-IP) csatlakozik.
  2. A BIG-IP APM hozzáférési szabályzat átirányítja a felhasználót a Microsoft Entra ID(SAML IdP) azonosítóra.
  3. A Microsoft Entra előhitelesít felhasználót, és feltételes hozzáférési szabályzatokat alkalmaz.
  4. A rendszer átirányítja a felhasználót a BIG-IP-címre (SAML SP), és az egyszeri bejelentkezés a kiadott SAML-jogkivonat használatával történik.
  5. A BIG-IP fejlécként injektálja a Microsoft Entra-attribútumokat az alkalmazáskérésben.
  6. Az alkalmazás engedélyezi a kérést, és hasznos adatokat ad vissza.

Előfeltételek

A szükséges forgatókönyvhöz:

  • Azure-előfizetés
    • Ha nem rendelkezik ilyen fiókkal, ingyenes Azure-fiókot szerezhet be
  • Az alábbi szerepkörök egyike: Global Rendszergazda istrator, Cloud Application Rendszergazda istrator vagy Application Rendszergazda istrator
  • BIG-IP- vagy BIG-IP-alapú virtuális kiadás (VE) üzembe helyezése az Azure-ban
  • Az alábbi F5 BIG-IP-licencek bármelyike:
    • F5 BIG-IP® legjobb csomag
    • F5 BIG-IP Access Policy Manager™ (APM) önálló licenc
    • F5 BIG-IP Access Policy Manager™ (APM) bővítménylicence BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 napos BIG-IP teljes funkció próbaverziója. Lásd: Ingyenes próbaverziók
  • A helyszíni címtárból a Microsoft Entra ID azonosítóba szinkronizált felhasználói identitások
  • SSL-webtanúsítvány a szolgáltatások HTTPS-en keresztüli közzétételéhez, vagy az alapértelmezett BIG-IP-tanúsítványok teszteléséhez
  • Fejlécalapú alkalmazás vagy IIS-fejlécalkalmazás beállítása teszteléshez

BIG-IP-konfiguráció

Ez az oktatóanyag egy Egyszerű gombsablonnal rendelkező Irányított konfiguráció v16.1-et használ. Az Egyszerű gombra kattintva a rendszergazdák többé nem mennek oda-vissza az SHA-szolgáltatások engedélyezéséhez. Az Irányított konfiguráció varázsló és a Microsoft Graph kezeli az üzembe helyezést és a szabályzatkezelést. A BIG-IP APM és a Microsoft Entra integráció biztosítja, hogy az alkalmazások támogatják az identitás-összevonást, az egyszeri bejelentkezést és a feltételes hozzáférést.

Feljegyzés

Cserélje le a példasztringeket vagy értékeket a környezetében lévőkre.

Egyszerű regisztráció gomb

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Mielőtt egy ügyfél vagy szolgáltatás hozzáfér a Microsoft Graphhoz, a Microsoft Identitásplatform megbízhatónak kell lennie.

További információ: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform.

Hozzon létre egy bérlői alkalmazásregisztrációt, amely engedélyezi az Egyszerű gomb hozzáférését a Graphhoz. Ezekkel az engedélyekkel a BIG-IP leküldi a konfigurációkat, hogy megbízhatósági kapcsolatot létesítsen a közzétett alkalmazás SAML SP-példánya és a Microsoft Entra-azonosító között SAML-azonosítóként.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk> Új regisztráció.

  3. A Kezelés területen válassza Alkalmazásregisztrációk >Új regisztráció lehetőséget.

  4. Adjon meg egy alkalmazásnevet.

  5. Adja meg, hogy ki használja az alkalmazást.

  6. Csak ebben a szervezeti címtárban válassza a Fiókok lehetőséget.

  7. Válassza ki a pénztárgépet.

  8. Navigáljon az API-engedélyekhez.

  9. Engedélyezze a következő Microsoft Graph-alkalmazásengedélyeket:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  10. Adjon rendszergazdai hozzájárulást a szervezetnek.

  11. A Tanúsítványok és titkos kódok területen hozzon létre egy új ügyfélkulcsot. Jegyezze fel az ügyfél titkos kódját.

  12. Az Áttekintés területen jegyezze fel az ügyfél-azonosítót és a bérlőazonosítót.

Az Egyszerű gomb konfigurálása

  1. Indítsa el az APM irányított konfigurációját.

  2. Indítsa el az Egyszerű gomb sablont.

  3. Navigáljon az irányított konfiguráció eléréséhez>.

  4. A Microsoft-integráció kiválasztása

  5. Válassza a Microsoft Entra-alkalmazás lehetőséget.

  6. Tekintse át a konfigurációs lépéseket.

  7. Válassza a Tovább lehetőséget.

  8. Az alkalmazás közzétételéhez használja az illusztrált lépések sorozatát.

    A kiadványsorozat ábrája.

Konfiguráció tulajdonságai

A Konfiguráció tulajdonságai lapon big-IP-alkalmazáskonfigurációt és SSO-objektumot hozhat létre. Az Azure Service Account Details a Microsoft Entra-bérlőben regisztrált ügyfelet jelöli. A BIG-IP OAuth-ügyfél beállításaival regisztrálhat egy SAML SP-t a bérlőben SSO-tulajdonságokkal. Az Easy Button végrehajtja ezt a műveletet az SHA-hoz közzétett és engedélyezett BIG-IP-szolgáltatások esetében.

További alkalmazások közzétételéhez újra felhasználhatja a beállításokat.

  1. Adjon meg egy konfigurációnevet.

  2. Egyszeri bejelentkezés (SSO) és HTTP-fejlécek esetén válassza a Be lehetőséget.

  3. A bérlőazonosító, az ügyfélazonosító és az ügyfélkód megadásakor adja meg a feljegyzett adatokat.

  4. Ellenőrizze, hogy a BIG-IP csatlakozik-e a bérlőhöz.

  5. Válassza a Tovább lehetőséget

    A konfigurációs tulajdonságok bejegyzéseinek és beállításainak képernyőképe.

Szolgáltató

A Szolgáltató beállításai között adja meg az SHA által védett alkalmazás SAML SP-példányának beállításait.

  1. Adjon meg egy gazdagépet, az alkalmazás nyilvános teljes tartománynevét.

  2. Adjon meg egy entitásazonosítót, amelyet a Microsoft Entra ID a jogkivonatot kérő SAML SP azonosítására használ.

    Képernyőkép a Szolgáltató bemeneti mezőiről.

  3. (Nem kötelező) A Biztonsági Gépház válassza az Enable Encryption Assertion (Titkosítási helyesség engedélyezése) lehetőséget, ha engedélyezni szeretné a Microsoft Entra ID számára a kiadott SAML-állítások titkosítását. A Microsoft Entra ID és a BIG-IP APM titkosítási állítások segítenek biztosítani a tartalom jogkivonatainak elfogását, valamint a személyes vagy vállalati adatok sérülését.

  4. A Security Gépház az Assertion Decryption Private Key listából válassza az Új létrehozása lehetőséget.

    Képernyőkép az Assertion Decryption Private Key list Új létrehozása lehetőségéről.

  5. Kattintson az OK gombra.

  6. Megjelenik az SSL-tanúsítvány és -kulcsok importálása párbeszédpanel.

  7. Importálási típus esetén válassza a PKCS 12 (IIS) lehetőséget. Ez a művelet importálja a tanúsítványt és a titkos kulcsot.

  8. Tanúsítvány és kulcsnév esetén válassza az Új lehetőséget, és adja meg a bemenetet.

  9. Adja meg a jelszót.

  10. Válassza az Importálás lehetőséget.

  11. Zárja be a böngészőlapot a fő lapra való visszatéréshez.

Képernyőkép az SSL-tanúsítványkulcs-forrás kiválasztásáról és bejegyzéséről.

  1. Jelölje be a Titkosított helyesség engedélyezése jelölőnégyzetet.
  2. Ha engedélyezte a titkosítást, válassza ki a tanúsítványt az Assertion Decryption Private Key listából. A BIG-IP APM ezt a tanúsítvány titkos kulcsát használja a Microsoft Entra-állítások visszafejtéséhez.
  3. Ha engedélyezte a titkosítást, az Assertion Visszafejtési tanúsítvány listájában válassza ki a tanúsítványt. A BIG-IP feltölti ezt a tanúsítványt a Microsoft Entra-azonosítóba a kiadott SAML-állítások titkosításához.

Képernyőkép két bejegyzésről és egy biztonsági Gépház lehetőségről.

Microsoft Entra ID

Az alábbi utasítások segítségével konfigurálhat egy új BIG-IP SAML-alkalmazást a Microsoft Entra-bérlőben. Az Easy Button alkalmazássablonokat biztosít az Oracle Kapcsolatok Softhoz, az Oracle E-Business Suite-hoz, az Oracle JD Edwardshoz, az SAP ERP-hez és egy általános SHA-sablonhoz.

  1. Az Azure Configuration konfigurációs tulajdonságai területén válassza az F5 BIG-IP APM Microsoft Entra ID Integration lehetőséget.
  2. Válassza a Hozzáadás lehetőséget.

Azure-konfiguráció

  1. Adjon meg egy, a Microsoft Entra-bérlőben létrehozott BIG-IP-cím megjelenítendő alkalmazást. A felhasználók a Microsoft Saját alkalmazások ikonnal látják a nevet.

  2. A bejelentkezés URL-címének kihagyása (nem kötelező).

  3. Az aláírókulcs és az aláíró tanúsítvány mellett válassza a frissítés lehetőséget az importált tanúsítvány megkereséséhez.

  4. Az Aláírókulcs-jelszó mezőbe írja be a tanúsítvány jelszavát.

  5. (Nem kötelező) Az Aláírási beállítás engedélyezése annak biztosításához, hogy a BIG-IP elfogadja a Microsoft Entra ID által aláírt jogkivonatokat és jogcímeket.

    Képernyőkép az Azure-konfigurációról – Aláíró tanúsítványok adatainak hozzáadása

  6. A felhasználói és felhasználói csoportok bemenete dinamikusan lekérdezhető.

    Fontos

    Adjon hozzá egy felhasználót vagy csoportot teszteléshez, ellenkező esetben minden hozzáférés megtagadva. A felhasználói és felhasználói csoportokban válassza a + Hozzáadás lehetőséget.

    Képernyőkép a Felhasználói és felhasználói csoportok Hozzáadás lehetőségéről.

Felhasználói attribútumok és jogcímek

Amikor egy felhasználó hitelesít, a Microsoft Entra ID egy SAML-jogkivonatot ad ki a felhasználót azonosító jogcímekkel és attribútumokkal. A Felhasználói attribútumok > Jogcímek lap alapértelmezett jogcímekkel rendelkezik az alkalmazáshoz. A lapon további jogcímeket konfigurálhat.

Adjon meg még egy attribútumot:

  1. A Fejléc neve mezőbe írja be az alkalmazotti azonosítót.

  2. Forrásattribútum esetén adja meg a user.employeeid értéket.

    Képernyőkép a További jogcímek területen lévő értékekről.

További felhasználói attribútumok

A További felhasználói attribútumok lapon engedélyezze a munkamenet-bővítést. Ezt a funkciót olyan elosztott rendszerekhez használhatja, mint az Oracle, az SAP és más JAVA-implementációk, amelyekhez attribútumokat kell tárolni más könyvtárakban. A Lightweight Directory Access Protocol (LDAP) forrásból lekért attribútumok több SSO-fejlécként lesznek beszúrva. Ez a művelet segít szabályozni a hozzáférést szerepkörök, partnerazonosítók stb. alapján.

Feljegyzés

Ennek a funkciónak nincs korrelációja a Microsoft Entra-azonosítóval. Ez egy attribútumforrás. 

Feltételes hozzáférési szabályzat

A feltételes hozzáférési szabályzatok eszköz-, alkalmazás-, hely- és kockázati jelek alapján szabályozzák a hozzáférést.

  • Az Elérhető szabályzatok területen keresse meg a felhasználói műveletek nélküli feltételes hozzáférési szabályzatokat
  • A Kijelölt szabályzatok területen keresse meg a felhőalkalmazás-szabályzatot
    • Ezeket a házirendeket nem törölheti, és nem helyezheti át azokat elérhető szabályzatokba, mert bérlői szinten vannak kényszerítve

A közzétett alkalmazásra alkalmazni kívánt szabályzat kiválasztása:

  1. A Feltételes hozzáférési szabályzat lap Elérhető szabályzatok listájában válasszon ki egy szabályzatot.
  2. Kattintson a jobb nyílra , és helyezze át a Kijelölt házirendek listára.

Feljegyzés

A szabályzatOk belefoglalása vagy kizárása lehetőséget is választhatja. Ha mindkét beállítás be van jelölve, a szabályzat nincs érvényesítve.

Képernyőkép a Szabályzatok kizárása lehetőségről a Kijelölt házirendek területen.

Feljegyzés

A szabályzatlista akkor jelenik meg, amikor a Feltételes hozzáférési szabályzat lapot választja. Válassza a frissítés lehetőséget, és a varázsló lekérdezi a bérlőt. A frissítés az alkalmazás üzembe helyezése után jelenik meg.

Virtuális kiszolgáló tulajdonságai

A virtuális kiszolgáló egy BIG-IP-adatsík objektum, amelyet egy virtuális IP-cím jelöl. A kiszolgáló figyeli az alkalmazáshoz érkező ügyfelek kéréseit. A fogadott forgalom feldolgozása és kiértékelése a virtuális kiszolgálóhoz társított APM-profil alapján történik. A forgalom a szabályzatnak megfelelően van irányítva.

  1. Célcímként adjon meg egy IPv4- vagy IPv6-címet, amelyet a BIG-IP az ügyfélforgalom fogadásához használ. Győződjön meg egy megfelelő rekordról a tartománynév-kiszolgálón (DNS), amely lehetővé teszi az ügyfelek számára, hogy feloldják a BIG-IP által közzétett alkalmazás külső URL-címét erre az IP-címre. A teszteléshez használhatja a számítógép localhost DNS-ét.

  2. Szolgáltatásport esetén adja meg a 443-at, és válassza a HTTPS lehetőséget.

  3. Jelölje be az Átirányítási port engedélyezése jelölőnégyzetet.

  4. Adjon meg egy értéket az átirányítási porthoz. Ez a beállítás átirányítja a bejövő HTTP-ügyfélforgalmat a HTTPS-hez.

  5. Válassza ki a létrehozott ügyfél SSL-profilt , vagy hagyja meg az alapértelmezett beállítást a teszteléshez. Az ügyfél SSL-profilja engedélyezi a virtuális kiszolgálót HTTPS-hez, így az ügyfélkapcsolatok TLS-en keresztül vannak titkosítva.

    Képernyőkép a célcímről, a szolgáltatásportról és egy kiválasztott profilról a virtuális kiszolgáló tulajdonságain.

Készlet tulajdonságai

Az Alkalmazáskészlet lap egy BIG-IP-cím mögötti szolgáltatásokkal rendelkezik, amely készletként van ábrázolva, egy vagy több alkalmazáskiszolgálóval.

  1. Készlet kiválasztása esetén válassza az Új létrehozása lehetőséget, vagy válasszon másikat.

  2. Terheléselosztási módszer esetén válassza a Kerekítés elemet.

  3. Készletkiszolgálók esetén válasszon ki egy csomópontot, vagy válasszon ip-címet és portot a fejlécalapú alkalmazást üzemeltető kiszolgáló számára.

    Képernyőkép az IP-címről vagy a csomópont nevéről, valamint a portbevitelről a készlet tulajdonságain.

    Feljegyzés

    A Microsoft háttéralkalmazása a HTTP-port 80-on található. Ha a HTTPS-t választja, használja a 443-at.

Egyszeri bejelentkezés és HTTP-fejlécek

Az egyszeri bejelentkezéssel a felhasználók hitelesítő adatok megadása nélkül férnek hozzá a BIG-IP által közzétett szolgáltatásokhoz. Az Egyszerű gomb varázsló támogatja a Kerberos, az OAuth Bearer és a HTTP engedélyezési fejléceket az egyszeri bejelentkezéshez.

  1. Egyszeri bejelentkezés és HTTP-fejlécek esetén az egyszeri bejelentkezés fejlécében válassza a Beszúrás lehetőséget

  2. Az élőfej neveként használja a upn parancsot.

  3. Fejlécérték esetén használja a következőt: %{session.saml.last.identity}.

  4. Fejlécművelet esetén válassza a Beszúrás lehetőséget.

  5. A fejlécnévhez használja az employeeid azonosítót.

  6. Fejlécérték esetén használja a következőt: %{session.saml.last.attr.name.employeeid}.

    Az SSO-fejlécek bejegyzéseinek és kijelöléseinek képernyőképe.

    Feljegyzés

    A kapcsos zárójelben lévő APM-munkamenet változói megkülönböztetik a kis- és nagybetűket. Az inkonzisztenciák attribútumleképezési hibákat okoznak.

Munkamenet-kezelés

A BIG-IP-munkamenetek kezelési beállításaival feltételeket határozhat meg a felhasználói munkamenetek befejezéséhez vagy folytatásához.

További információ: support.f5.com a következő K18390492: Biztonság | BIG-IP APM üzemeltetési útmutató

Az egyszeri kijelentkezés (SLO) biztosítja az idP, a BIG-IP és a felhasználói ügynök munkameneteinek leállítását a felhasználók kijelentkezésekor. Amikor az Egyszerű gomb létrehoz egy SAML-alkalmazást a Microsoft Entra-bérlőben, feltölti a kijelentkezés URL-címét az APM SLO-végponttal. Az idP által kezdeményezett kijelentkezés Saját alkalmazások leállítja a BIG-IP- és ügyfél-munkameneteket.

További információ: lásd: Saját alkalmazások

A közzétett alkalmazás SAML-összevonási metaadatait a bérlő importálja. Az importálás biztosítja az APM számára a Microsoft Entra ID SAML-kijelentkeztetési végpontját. Ez a művelet biztosítja, hogy az SP által kezdeményezett kijelentkezés leállítja az ügyfél- és a Microsoft Entra-munkameneteket. Győződjön meg arról, hogy az APM tudja, mikor történik a felhasználó kijelentkezése.

Ha a BIG-IP webtop portál hozzáfér a közzétett alkalmazásokhoz, akkor az eAPM feldolgozza a kijelentkezést, hogy meghívja a Microsoft Entra kijelentkezési végpontját. Ha a BIG-IP webtop portál nincs használatban, a felhasználók nem utasíthatják az APM-t a kijelentkezésre. Ha a felhasználók kijelentkeznek az alkalmazásból, a BIG-IP-cím nem kötelező. Így győződjön meg arról, hogy az SP által kezdeményezett kijelentkezés biztonságosan leállítja a munkameneteket. Hozzáadhat egy SLO-függvényt egy alkalmazás Kijelentkezés gombjához, majd a rendszer átirányítja az ügyfeleket a Microsoft Entra SAML vagy BIG-IP kijelentkezés végpontjára. A bérlő SAML-kijelentkeztetés végpontJÁNAK URL-címének megkereséséhez nyissa meg az Alkalmazásregisztrációk végpontjait>.

Ha nem tudja módosítani az alkalmazást, engedélyezze a BIG-IP-címet az alkalmazás kijelentkező hívásának figyeléséhez, és aktiválja az SLO-t.

További információ:

Üzembe helyezés

Az üzembe helyezés a konfigurációk lebontását biztosítja.

  1. A véglegesítési beállításokhoz válassza az Üzembe helyezés lehetőséget.
  2. Ellenőrizze az alkalmazást a nagyvállalati alkalmazások bérlői listájában.
  3. Az alkalmazás az SHA-n keresztül, annak URL-címével vagy a Microsoft alkalmazásportálján érhető el.

Teszt

  1. Egy böngészőben csatlakozzon az alkalmazás külső URL-címéhez, vagy válassza az alkalmazás ikont a Saját alkalmazások.
  2. Hitelesítés a Microsoft Entra-azonosítón.
  3. Átirányítás történik az alkalmazás BIG-IP virtuális kiszolgálójára, és bejelentkezett az egyszeri bejelentkezéssel.

Az alábbi képernyőkép beszúrja a fejlécalapú alkalmazás fejléckimenetét.

Képernyőkép az UPN-ről, az alkalmazotti azonosítóról és az eseményszerepkörökről a Kiszolgálóváltozók területen.

Feljegyzés

Letilthatja az alkalmazáshoz való közvetlen hozzáférést, ezáltal kényszerítve az elérési utat a BIG-IP-címen keresztül.

Speciális üzembe helyezés

Bizonyos helyzetekben az irányított konfigurációs sablonok nem rugalmasak.

További információ: Oktatóanyag: Az F5 BIG-IP hozzáférési házirend-kezelő konfigurálása fejlécalapú egyszeri bejelentkezéshez.

A BIG-IP-ben letilthatja az irányított konfiguráció szigorú felügyeleti módját. Ezután manuálisan módosítsa a konfigurációkat, de a legtöbb konfiguráció varázslósablonokkal van automatizálva.

  1. A szigorú mód letiltásához lépjen az Irányított hozzáférés > konfigurációjához.

  2. Az alkalmazáskonfiguráció sorában válassza a lakat ikont .

  3. Az alkalmazás közzétett példányához társított BIG-IP-objektumok feloldva vannak a felügyelethez. A varázsló módosításai már nem módosíthatók.

    Képernyőkép a lakat ikonról.

    Feljegyzés

    Ha újra engedélyezi a szigorú módot, és üzembe helyez egy konfigurációt, a művelet nem az irányított konfigurációban írja felül a beállításokat. Az éles szolgáltatások speciális konfigurációját javasoljuk.

Hibaelhárítás

Hibaelhárításkor kövesse az alábbi útmutatást.

Napló részletessége

A BIG-IP-naplók segítenek elkülöníteni a kapcsolódással, az egyszeri bejelentkezéssel, a szabályzattal vagy a helytelenül konfigurált változóleképezésekkel kapcsolatos problémákat. A hibaelhárításhoz növelje a napló részletességét.

  1. Nyissa meg az Access Policy > áttekintését.
  2. Válassza az Eseménynaplók lehetőséget.
  3. Válassza a Beállítások lehetőséget.
  4. Válassza ki a közzétett alkalmazás sorát
  5. Válassza a Szerkesztés lehetőséget.
  6. Válassza az Access rendszernaplói lehetőséget.
  7. Az egyszeri bejelentkezés listájában válassza a Hibakeresés lehetőséget.
  8. Kattintson az OK gombra.
  9. Reprodukálja a problémát.
  10. Vizsgálja meg a naplókat.

Feljegyzés

Ha elkészült, visszaállítja ezt a funkciót. A részletes mód túl sok adatot hoz létre.

BIG-IP hibaüzenet

Ha a Microsoft Entra előzetes hitelesítése után BIG-IP-hibaüzenet jelenik meg, a probléma a Microsoft Entra ID-to-BIG-IP SSO-val kapcsolatos lehet.

  1. Nyissa meg az Access Policy > áttekintését.
  2. Válassza az Access-jelentések lehetőséget.
  3. Futtassa a jelentést az elmúlt órában.
  4. Tekintse át a naplókat a nyomokért.

A munkamenet változóinak megtekintése hivatkozással megtudhatja, hogy az APM megkapja-e a várt Microsoft Entra-jogcímeket.

Nincs BIG-IP-hibaüzenet

Ha nem jelenik meg BIG-IP-hibaüzenet, a probléma a háttérkérelemhez vagy a BIG-IP-to-application SSO-hoz kapcsolódhat.

  1. Nyissa meg az Access Policy > áttekintését.
  2. Válassza az Aktív munkamenetek lehetőséget.
  3. Válassza ki az aktív munkamenet hivatkozását.

A Változók megtekintése hivatkozással meghatározhatja az egyszeri bejelentkezéssel kapcsolatos problémákat, különösen akkor, ha a BIG-IP APM nem szerez be megfelelő attribútumokat.

További információ: