Oktatóanyag: Az F5 BIG-IP easy gomb konfigurálása egyszeri bejelentkezéshez az SAP ERP-be

Ebből a cikkből megtudhatja, hogyan védheti meg az SAP ERP-t a Microsoft Entra ID használatával az F5 BIG-IP Egyszerű gombos irányított konfiguráció 16.1 használatával. A BIG-IP és a Microsoft Entra ID integrálása számos előnnyel jár:

• Teljes felügyelet keretrendszer a távoli munka engedélyezéséhez
• Mit jelent a feltételes hozzáférés?
• Egyszeri bejelentkezés (SSO) a Microsoft Entra ID és a BIG-IP által közzétett szolgáltatások között
• Identitások és hozzáférés kezelése a Microsoft Entra felügyeleti központból

További információ:

• F5 BIG-IP integrálása a Microsoft Entra ID-val
• Engedélyezze az egyszeri bejelentkezést egy vállalati alkalmazáshoz.

Forgatókönyv leírása

Ez a forgatókönyv magában foglalja az SAP ERP-alkalmazást, amely Kerberos-hitelesítéssel kezeli a védett tartalmakhoz való hozzáférést.

Az örökölt alkalmazások nem rendelkeznek modern protokollokkal, amelyek támogatják a Microsoft Entra ID-val való integrációt. A modernizáció költséges, tervezést igényel, és potenciális állásidő-kockázatot jelent. Ehelyett használjon egy F5 BIG-IP-alkalmazáskézbesítési vezérlőt (ADC) az örökölt alkalmazás és a modern azonosítóvezérlő sík közötti szakadék áthidalásához protokollváltással.

Az alkalmazás előtti BIG-IP lehetővé teszi a szolgáltatás átfedését a Microsoft Entra előhitelesítéssel és fejlécalapú egyszeri bejelentkezéssel. Ez a konfiguráció javítja az alkalmazások általános biztonsági helyzetét.

Forgatókönyv-architektúra

A biztonságos hibrid hozzáférési (SHA) megoldás a következő összetevőkkel rendelkezik:

• SAP ERP-alkalmazás – a Microsoft Entra SHA által védett BIG-IP-alapú közzétett szolgáltatás
• Microsoft Entra ID – Security Assertion Markup Language (SAML) identitásszolgáltató (IDP), amely ellenőrzi a felhasználói hitelesítő adatokat, a feltételes hozzáférést és az SAML-alapú egyszeri bejelentkezést a BIG-IP-címre
• BIG-IP – fordított proxy és SAML-szolgáltató (SP) az alkalmazáshoz. A BIG-IP-cím delegálja az SAML-azonosító hitelesítését, majd fejlécalapú egyszeri bejelentkezést hajt végre az SAP szolgáltatásban

Az SHA támogatja az SP és idP által kezdeményezett folyamatokat. Az alábbi képen az SP által kezdeményezett folyamat látható.

1. A felhasználó az alkalmazásvégponthoz (BIG-IP) csatlakozik
2. A BIG-IP APM hozzáférési szabályzat átirányítja a felhasználót a Microsoft Entra ID -ra (SAML IdP)
3. A Microsoft Entra ID előre hitelesíti a felhasználót, és érvényesített feltételes hozzáférési szabályzatokat alkalmaz
4. A rendszer átirányítja a felhasználót a BIG-IP-címre (SAML SP), és az egyszeri bejelentkezés a kiadott SAML-jogkivonattal történik
5. A BIG-IP Kerberos-jegyet kér a KDC-től
6. A BIG-IP kérést küld a háttéralkalmazásnak az SSO Kerberos-jegyével
7. Az alkalmazás engedélyezi a kérést, és hasznos adatokat ad vissza

Előfeltételek

• Ingyenes Microsoft Entra-azonosítójú fiók vagy újabb
  • Ha nem rendelkezik ilyen fiókkal, ingyenes Azure-fiókot szerezhet be
• BIG-IP vagy BIG-IP virtuális kiadás (VE) az Azure-ban
  • Lásd: F5 BIG-IP Virtual Edition virtuális gép üzembe helyezése az Azure-ban
• Az alábbi F5 BIG-IP-licencek bármelyike:
  • F5 BIG-IP® legjobb csomag
  • F5 BIG-IP APM önálló licenc
  • F5 BIG-IP APM bővítménylicence meglévő BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) rendszeren
  • 90 napos BIG-IP teljes funkciós próbaverziós licenc
• A helyszíni címtárból a Microsoft Entra ID-ba szinkronizált vagy a Microsoft Entra ID-ban létrehozott és a helyszíni címtárba visszafolyt felhasználói identitások
  • Lásd: Microsoft Entra Csatlakozás Sync: A szinkronizálás ismertetése és testreszabása
• Az alábbi szerepkörök egyike: Global Rendszergazda istrator, Cloud Application Rendszergazda istrator vagy Application Rendszergazda istrator.
• SSL-webtanúsítvány a szolgáltatások HTTPS-en keresztüli közzétételéhez, vagy az alapértelmezett BIG-IP-tanúsítványok teszteléséhez
  • Lásd: F5 BIG-IP Virtual Edition virtuális gép üzembe helyezése az Azure-ban
• Kerberos-hitelesítéshez konfigurált SAP ERP-környezet

BIG-IP konfigurációs módszerek

Ez az oktatóanyag egy Egyszerű gomb sablonnal rendelkező Irányított konfiguráció 16.1-et használ. Az Egyszerű gombra kattintva a rendszergazdák nem lépnek át a Microsoft Entra-azonosító és a BIG-IP között az SHA-szolgáltatások engedélyezéséhez. Az APM irányított konfiguráció varázslója és a Microsoft Graph kezeli az üzembe helyezést és a szabályzatkezelést. Ez az integráció biztosítja, hogy az alkalmazások támogatják az identitás-összevonást, az egyszeri bejelentkezést és a feltételes hozzáférést.

Feljegyzés

Cserélje le az útmutatóban szereplő példasztringeket vagy értékeket a környezetében lévőkre.

Egyszerű regisztráció gomb

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Mielőtt egy ügyfél vagy szolgáltatás hozzáfér a Microsoft Graphhoz, a Microsoft Identitásplatform megbízhatónak kell lennie.

Lásd: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform

Regisztrálja az Easy Button-ügyfelet a Microsoft Entra ID-ban, majd létrehozhat egy megbízhatósági kapcsolatot egy BIG-IP-alapú közzétett alkalmazás SAML SP-példányai és a Microsoft Entra-azonosító között SAML-azonosítóként.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk> Új regisztráció.

3. Adja meg az új alkalmazás nevét.

4. Csak ebben a szervezeti címtárban lévő fiókokban adja meg, hogy ki használhatja az alkalmazást.

5. Válassza ki a pénztárgépet.

6. Navigáljon az API-engedélyekhez.

7. Engedélyezze a következő Microsoft Graph-alkalmazásengedélyeket:

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Adjon rendszergazdai hozzájárulást a szervezetnek.

9. A Tanúsítványok és titkos kódok területen hozzon létre egy új ügyféltitkot.

10. Jegyezze fel a később használni kívánt titkos kódot.

11. Az Áttekintésben jegyezze fel az ügyfél-azonosítót és a bérlőazonosítót.

Az Egyszerű gomb konfigurálása

1. Indítsa el az APM irányított konfigurációját.
2. Indítsa el az Egyszerű gomb sablont.
3. Egy böngészőből jelentkezzen be az F5 BIG-IP felügyeleti konzolra.
4. Nyissa meg az irányított konfigurációs > Microsoft-integrációt>.
5. Válassza a Microsoft Entra-alkalmazás lehetőséget.
6. Tekintse át a konfigurációs listát.
7. Válassza a Tovább lehetőséget.
8. Kövesse a Microsoft Entra Alkalmazáskonfiguráció szakasz konfigurációs sorrendjét.

Konfiguráció tulajdonságai

A Konfiguráció tulajdonságai lap szolgáltatásfiók-tulajdonságokkal rendelkezik, és létrehoz egy BIG-IP-alkalmazáskonfigurációt és SSO-objektumot. Az Azure Service Account Details szakasz az alkalmazásként regisztrált ügyfelet jelöli a Microsoft Entra-bérlőben. A BIG-IP OAuth-ügyfél beállításaival egyénileg regisztrálhat egy SAML SP-t a bérlőben az egyszeri bejelentkezés tulajdonságaival. Az Easy Button elvégzi ezt a műveletet az SHA-hoz közzétett és engedélyezett BIG-IP-szolgáltatások esetében.

Feljegyzés

Egyes beállítások globálisak, és újra felhasználhatók további alkalmazások közzétételére.

1. Adjon meg egy konfigurációnevet. Az egyedi nevek megkülönböztetik az egyszerű gomb konfigurációit.

2. Egyszeri bejelentkezés (SSO) és HTTP-fejlécek esetén válassza a Be lehetőséget.

3. Bérlőazonosító, ügyfél-azonosító és ügyféltitkos kulcs esetén adja meg a bérlői azonosítót, az ügyfél-azonosítót és az ügyfélkulcsot, amit a bérlőregisztráció során észlelt.

4. Válassza a Kapcsolat tesztelése lehetőséget. Ez a művelet megerősíti, hogy a BIG-IP csatlakozik a bérlőhöz.

5. Válassza a Tovább lehetőséget.

   

Szolgáltató

A Szolgáltató beállításaival definiálhatja az SHA által védett alkalmazás SAML SP-példánytulajdonságait.

1. Gazdagép esetén adja meg a védett alkalmazás nyilvános teljes tartománynevét (FQDN).

2. Entitásazonosító esetén adja meg azt az azonosítót, amelyet a Microsoft Entra ID használ a jogkivonatot kérő SAML SP azonosításához.

   

3. (Nem kötelező) A Security Gépház használatával jelezheti, hogy a Microsoft Entra ID titkosítja a kiadott SAML-állításokat. A Microsoft Entra ID és a BIG-IP APM között titkosított állítások növelik a tartalom-jogkivonatok elfogását és az adatok sérülését.

4. Az Assertion Visszafejtési titkos kulcs területen válassza az Új létrehozása lehetőséget.

   

5. Kattintson az OK gombra.

6. Az SSL-tanúsítvány és -kulcsok importálása párbeszédpanel egy új lapon jelenik meg.

7. A tanúsítvány és a titkos kulcs importálásához válassza a PKCS 12 (IIS) lehetőséget.

8. Zárja be a böngészőlapot a fő lapra való visszatéréshez.

   

9. A titkosított helyesség engedélyezéséhez jelölje be a jelölőnégyzetet.

10. Ha engedélyezte a titkosítást, az Assertion Decryption Private Key listából válassza ki a BIG-IP APM által a Microsoft Entra-állítások visszafejtéséhez használt tanúsítvány titkos kulcsát.

11. Ha engedélyezte a titkosítást, az Assertion Visszafejtési tanúsítvány listájában válassza ki a Microsoft Entra-azonosítóba feltöltött BIG-IP-tanúsítványt a kiadott SAML-állítások titkosításához.

Microsoft Entra ID

Az Easy Button alkalmazássablonokat biztosít az Oracle Kapcsolatok Softhoz, az Oracle E-Business Suite-hoz, az Oracle JD Edwardshoz, az SAP ERP-hez és egy általános SHA-sablonhoz.

1. Az Azure-konfiguráció elindításához válassza az SAP ERP Central Component Add lehetőséget>.

   

   Feljegyzés

   Az alábbi szakaszokban található információkat akkor használhatja, ha manuálisan konfigurál egy új BIG-IP SAML-alkalmazást egy Microsoft Entra-bérlőben.

Azure-konfiguráció

1. A Megjelenítendő név mezőbe írja be a BIG-IP által létrehozott alkalmazást a Microsoft Entra-bérlőben. A név megjelenik a Saját alkalmazások portál ikonján.

2. (Nem kötelező) hagyja üresen a Bejelentkezési URL-címet (nem kötelező).

   

3. Az Aláírókulcs mellett válassza a frissítés lehetőséget.

4. Válassza az Aláíró tanúsítvány lehetőséget. Ez a művelet megkeresi a megadott tanúsítványt.

5. Az aláírókulcs-jelszó megadásához adja meg a tanúsítvány jelszavát.

6. (Nem kötelező) Aláírási beállítás engedélyezése. Ez a beállítás biztosítja, hogy a BIG-IP elfogadja a Microsoft Entra ID által aláírt jogkivonatokat és jogcímeket

   

7. A felhasználói és felhasználói csoportok dinamikusan lekérdezhetők a Microsoft Entra-bérlőből. A csoportok segítenek az alkalmazások hozzáférésének engedélyezésében.

8. Adjon hozzá egy felhasználót vagy csoportot teszteléshez, ellenkező esetben a hozzáférés megtagadva.

   

Felhasználói attribútumok és jogcímek

Amikor a felhasználók hitelesítik magukat a Microsoft Entra-azonosítón, egy SAML-jogkivonatot ad ki a felhasználót azonosító alapértelmezett jogcímekkel és attribútumokkal. A Felhasználói attribútumok > Jogcímek lapon láthatók az új alkalmazáshoz kibocsátandó alapértelmezett jogcímek. További jogcímek konfigurálásához használja.

Ez az oktatóanyag egy belsőleg és külsőleg használt .com tartomány utótagján alapul. A kerberos korlátozott delegálási (KCD) SSO-implementáció eléréséhez nincs szükség más attribútumokra.

További Microsoft Entra-attribútumokat is felvehet. Ebben az oktatóanyagban az SAP ERP az alapértelmezett attribútumokat igényli.

További információ: Oktatóanyag: Az F5 BIG-IP hozzáférési szabályzatkezelő konfigurálása Kerberos-hitelesítéshez. Lásd: utasítások több tartományra vagy felhasználó bejelentkezésére alternatív utótagokkal.

További felhasználói attribútumok

A További felhasználói attribútumok lap olyan elosztott rendszereket támogat, amelyek más könyvtárakban tárolt attribútumokat igényelnek a munkamenet-bővítéshez. Így az LDAP-forrásból származó attribútumokat több SSO-fejlécként injektáljuk a szerepköralapú hozzáférés, a partnerazonosítók stb. szabályozásához.

Feljegyzés

Ez a funkció nincs összefüggésben a Microsoft Entra-azonosítóval, de egy másik attribútumforrás.

Feltételes hozzáférési szabályzat

A feltételes hozzáférési szabályzatok a Microsoft Entra előzetes hitelesítése után lesznek érvényesítve. Ez a művelet eszköz, alkalmazás, hely és kockázati jelek alapján szabályozza a hozzáférést.

Az Elérhető szabályzatok nézet a felhasználóalapú műveletek nélküli feltételes hozzáférési szabályzatokat sorolja fel.

A Kijelölt szabályzatok nézet a felhőalkalmazásokat célzó szabályzatokat sorolja fel. Ezeket a házirendeket nem törölheti, és nem helyezheti át őket az Elérhető szabályzatok listára, mert a bérlői szinten kényszerítik őket.

A közzétett alkalmazás szabályzatának kiválasztása:

1. Az Elérhető szabályzatok listában válassza ki a szabályzatot.
2. Kattintson a jobbra mutató nyílra.
3. Helyezze át a szabályzatot a Kijelölt házirendek listára.

A kijelölt házirendek be vannak jelölve a Belefoglalás vagy a Kizárás beállítással. Ha mindkét beállítás be van jelölve, a rendszer nem kényszeríti a kijelölt házirendet.

Feljegyzés

A szabályzatlista akkor jelenik meg, amikor először kiválasztja ezt a lapot. A frissítés gombbal lekérdezheti a bérlőt. A frissítés az alkalmazás üzembe helyezésekor jelenik meg.

Virtuális kiszolgáló tulajdonságai

A virtuális kiszolgáló egy BIG-IP-adatsík objektum, amelyet egy virtuális IP-cím jelöl. Ez a kiszolgáló figyeli az alkalmazás ügyfélkéréseit. A fogadott forgalom feldolgozása és kiértékelése a virtuális kiszolgálóhoz társított APM-profil alapján történik. A forgalom ezután a szabályzatnak megfelelően lesz irányítva.

1. Adjon meg egy célcímet. Használja az IPv4/IPv6-címet BIG-IP-címmel az ügyfélforgalom fogadásához. A megfelelő rekord a DNS-ben található, amely lehetővé teszi az ügyfelek számára, hogy feloldják a BIG-IP által közzétett alkalmazás külső URL-címét erre az IP-címre. Teszteléshez használhatja a localhost DNS tesztszámítógépet.
2. Szolgáltatásport esetén adja meg a 443-at.
3. Válassza a HTTPS lehetőséget.
4. Az átirányítási port engedélyezéséhez jelölje be a jelölőnégyzetet.
5. Átirányítási port esetén adjon meg egy számot, és válassza a HTTP lehetőséget. Ez a beállítás átirányítja a bejövő HTTP-ügyfélforgalmat a HTTPS-hez.
6. Válassza ki a létrehozott ügyfél SSL-profilt . Vagy hagyja meg az alapértelmezett beállítást a teszteléshez. Az ügyfél SSL-profilja engedélyezi a virtuális kiszolgálót HTTPS-hez, így az ügyfélkapcsolatok TLS-en keresztül vannak titkosítva.

Készlet tulajdonságai

Az Alkalmazáskészlet lap egy BIG-IP mögötti szolgáltatásokkal rendelkezik, amely alkalmazáskiszolgálókkal rendelkező készletként jelenik meg.

1. Készlet kiválasztása esetén válassza az Új létrehozása vagy a Készlet kiválasztása lehetőséget.

2. Terheléselosztási módszer esetén válassza a Kerekítés elemet.

3. Készletkiszolgálók esetén válasszon ki egy kiszolgálócsomópontot, vagy adjon meg egy IP-címet és portot a fejlécalapú alkalmazást futtató háttércsomóponthoz.

   

Egyszeri bejelentkezés és HTTP-fejlécek

Az egyszeri bejelentkezéssel hitelesítő adatok megadása nélkül engedélyezheti a BIG-IP-alapú közzétett szolgáltatások elérését. Az Egyszerű gomb varázsló támogatja a Kerberos, az OAuth Bearer és a HTTP engedélyezési fejléceket az egyszeri bejelentkezéshez. Az alábbi utasításokhoz szüksége van a létrehozott Kerberos-delegálási fiókra.

1. Az egyszeri bejelentkezés & HTTP-fejlécek speciális Gépház esetében válassza a Be lehetőséget.

2. A kijelölt egyszeri bejelentkezési típushoz válassza a Kerberos lehetőséget.

3. Felhasználónév-forrásként adjon meg egy munkamenet-változót a felhasználói azonosító forrásaként. session.saml.last.identity A Microsoft Entra-jogcímet a bejelentkezett felhasználói azonosítóval tárolja.

4. A felhasználói tartományforrás beállításra akkor van szükség, ha a felhasználói tartomány eltér a BIG-IP kerberos tartománytól. Így az APM munkamenet változója tartalmazza a bejelentkezett felhasználói tartományt. Például: session.saml.last.attr.name.domain.

   

5. KDC esetén adjon meg egy tartományvezérlő IP-címét vagy teljes tartománynevét, ha a DNS konfigurálva van.

6. Az UPN-támogatáshoz jelölje be a jelölőnégyzetet. Az APM az UPN-t használja a kerberos jegykészítéshez.

7. SpN-minta esetén adja meg a HTTP/%h értéket. Ez a művelet tájékoztatja az APM-et, hogy használja az ügyfélkérési gazdagép fejlécét, és hozza létre azt az egyszerű szolgáltatásnevt, amelyhez kerberos-jogkivonatot kér.

8. Az Engedélyezés küldése beállításnál tiltsa le a hitelesítést egyeztető alkalmazások beállítását. Például: Tomcat.

   

Munkamenet-kezelés

A BIG-IP-munkamenetek kezelési beállításaival feltételeket határozhat meg a felhasználói munkamenetek leállásakor vagy folytatásakor. A feltételek közé tartoznak a felhasználókra és AZ IP-címekre vonatkozó korlátozások, valamint a megfelelő felhasználói adatok.

További információ: my.f5.com a következő K18390492: Biztonság | BIG-IP APM üzemeltetési útmutató

Az üzemeltetési útmutató nem terjed ki az egyszeri kijelentkezésre (SLO). Ez a funkció biztosítja a munkameneteket az idP, a BIG-IP és a felhasználói ügynök között, amikor a felhasználók kijelentkeznek. Az Egyszerű gomb egy SAML-alkalmazást helyez üzembe a Microsoft Entra-bérlőn. Feltölti a kijelentkezés URL-címét az APM SLO-végponttal. A Saját alkalmazások portálról kezdeményezett identitásszolgáltató által kezdeményezett kijelentkezés leállítja a BIG-IP- és ügyfél-munkamenetet.

Az üzembe helyezés során a rendszer importálja a közzétett alkalmazás SAML-összevonási metaadatait a bérlőből. Ez a művelet biztosítja az APM számára a Microsoft Entra ID SAML-kijelentkeztetés végpontját, és segít az SP által kezdeményezett kijelentkezésben az ügyfél és a Microsoft Entra-munkamenet leállításában.

Telepítés

1. Válassza az Üzembe helyezés lehetőséget.
2. Ellenőrizze, hogy az alkalmazás szerepel-e a bérlői Vállalati alkalmazások listában.
3. Egy böngészőben csatlakozzon az alkalmazás külső URL-címéhez, vagy válassza az alkalmazás ikonta Saját alkalmazások.
4. Hitelesítés a Microsoft Entra-azonosítón.
5. A rendszer átirányítja a BIG-IP virtuális kiszolgálóra, és egyszeri bejelentkezéssel jelentkezik be.

A nagyobb biztonság érdekében letilthatja az alkalmazáshoz való közvetlen hozzáférést, ezáltal kényszerítve az elérési utat a BIG-IP-címen keresztül.

Speciális üzembe helyezés

Az irányított konfigurációs sablonok néha nem rugalmasak.

További információ: Oktatóanyag: Az F5 BIG-IP hozzáférési szabályzatkezelő konfigurálása Kerberos-hitelesítéshez.

Szigorú felügyeleti mód letiltása

Másik lehetőségként a BIG-IP-ben letilthatja az irányított konfiguráció szigorú felügyeleti módját. A konfigurációkat manuálisan is módosíthatja, bár a legtöbb konfiguráció varázslósablonokkal van automatizálva.

1. Navigáljon az irányított konfiguráció eléréséhez>.

2. Az alkalmazáskonfiguráció sorának végén válassza ki a lakatot.

3. A közzétett alkalmazáshoz társított BIG-IP-objektumok feloldva vannak a felügyelethez. A varázsló felhasználói felületén végzett módosítások már nem lehetségesek.

   

   Feljegyzés

   A szigorú felügyeleti mód újbóli engedélyezéséhez és egy olyan konfiguráció üzembe helyezéséhez, amely felülírja az irányított konfigurációs felhasználói felületen kívüli beállításokat, javasoljuk az éles szolgáltatások speciális konfigurációs módszerét.

Hibaelhárítás

Ha nem tud hozzáférni az SHA által védett alkalmazáshoz, tekintse meg az alábbi hibaelhárítási útmutatót.

• Kerberos időérzékeny. Győződjön meg arról, hogy a kiszolgálók és az ügyfelek a megfelelő időpontra vannak állítva, és megbízható időforrásra vannak szinkronizálva.
• Győződjön meg arról, hogy a tartományvezérlő és a webalkalmazás gazdaneve feloldva van a DNS-ben.
• Győződjön meg arról, hogy nincs ismétlődő egyszerű szolgáltatásnév a környezetben.
  • Tartományszámítógépen a parancssorban használja a következő lekérdezést: setspn -q HTTP/my_target_SPN

IIS-alkalmazás KCD-konfigurációjának ellenőrzéséhez tekintse meg a alkalmazásproxy KCD-konfigurációinak hibaelhárítását

Nyissa meg a kerberosi egyszeri bejelentkezési metódus techdocs.f5.com

Naplóelemzés

Napló részletessége

A BIG-IP-naplózás elkülöníti a kapcsolódással, az egyszeri bejelentkezéssel, a szabályzatok megsértésével vagy a helytelenül konfigurált változóleképezésekkel kapcsolatos problémákat. A hibaelhárítás megkezdéséhez növelje a napló részletességét.

1. Nyissa meg az Access Policy > áttekintését.
2. Válassza az Eseménynaplók lehetőséget.
3. Válassza a Beállítások lehetőséget.
4. Válassza ki a közzétett alkalmazás sorát.
5. Válassza a Szerkesztés lehetőséget.
6. Hozzáférési rendszernaplók kiválasztása
7. Az egyszeri bejelentkezés listájában válassza a Hibakeresés lehetőséget.
8. Kattintson az OK gombra.
9. Idézze elő újra a problémát.
10. Vizsgálja meg a naplókat.

Ha az ellenőrzés befejeződött, állítsa vissza a napló részletességét, mert ez a mód túl sok adatot generál.

BIG-IP hibaüzenet

Ha a Microsoft Entra előzetes hitelesítése után BIG-IP-hibaüzenet jelenik meg, a probléma a Microsoft Entra-azonosítóhoz és a BIG-IP SSO-hoz kapcsolódhat.

1. Navigáljon az Access > áttekintéséhez.
2. Válassza az Access-jelentések lehetőséget.
3. Futtassa a jelentést az elmúlt órában.
4. Vizsgálja meg a naplókat.

Az aktuális munkamenet Munkamenet változóinak megtekintése hivatkozásával ellenőrizheti, hogy az APM megkapja-e a várt Microsoft Entra-jogcímeket.

Nincs BIG-IP-hibaüzenet

Ha nem jelenik meg BIG-IP-hibaüzenet, a probléma a háttérkérelemhez vagy az alkalmazás egyszeri bejelentkezéséhez kapcsolódó BIG-IP-címmel kapcsolatos lehet.

1. Nyissa meg az Access Policy > áttekintését.
2. Válassza az Aktív munkamenetek lehetőséget.
3. Válassza ki az aktuális munkamenet hivatkozását.
4. A Változók megtekintése hivatkozással azonosíthatja a KCD-problémákat, különösen akkor, ha a BIG-IP APM nem szerez be megfelelő felhasználói és tartományazonosítókat a munkamenet-változókból.

További információ:

• Az APM-változók hozzárendelési példáinak devcentral.f5.com megnyitása
• Ugrás a munkamenet-változók techdocs.f5.com