Megosztás a következőn keresztül:

Oktatóanyag: Az F5 BIG-IP-hozzáférési szabályzatkezelő konfigurálása fejlécalapú egyszeri bejelentkezéshez

  • Cikk

Ismerje meg, hogyan implementálhat biztonságos hibrid hozzáférést (SHA) egyszeri bejelentkezéssel (SSO) a fejlécalapú alkalmazásokhoz az F5 BIG-IP speciális konfigurációjával. A BIG-IP által közzétett alkalmazások és a Microsoft Entra konfigurációs előnyei:

További információ:

Forgatókönyv leírása

Ebben a forgatókönyvben van egy régi alkalmazás, amely HTTP-engedélyezési fejlécekkel szabályozza a védett tartalomhoz való hozzáférést. Ideális esetben a Microsoft Entra ID kezeli az alkalmazáshozzáférést. Az örökölt protokoll azonban nem rendelkezik modern hitelesítési protokollokkal. A korszerűsítés munka- és időmennyiséget igényel, miközben állásidős költségeket és kockázatokat vezet be. Ehelyett helyezzen üzembe egy BIG-IP-címet a nyilvános internet és a belső alkalmazás között az alkalmazás bejövő hozzáférésének kapuja érdekében.

Az alkalmazás előtti BIG-IP lehetővé teszi a szolgáltatás átfedését a Microsoft Entra előhitelesítésével és fejlécalapú egyszeri bejelentkezéssel. A konfiguráció javítja az alkalmazás biztonsági helyzetét.

Forgatókönyv-architektúra

Ebben a forgatókönyvben a biztonságos hibrid hozzáférési megoldás a következőből áll:

  • Alkalmazás – BIG-IP által közzétett szolgáltatás, amelyet a Microsoft Entra SHA véd
  • Microsoft Entra ID – Security Assertion Markup Language (SAML) identitásszolgáltató (IDP), amely ellenőrzi a felhasználói hitelesítő adatokat, a feltételes hozzáférést és az egyszeri bejelentkezést a BIG-IP-címre
    • Az egyszeri bejelentkezéssel a Microsoft Entra ID biztosítja a BIG-IP-hez szükséges munkamenet-attribútumokat, beleértve a felhasználói azonosítókat is
  • BIG-IP – fordított proxy és SAML-szolgáltató (SP) az alkalmazáshoz, a hitelesítés delegálása az SAML idP-re, mielőtt fejlécalapú egyszeri bejelentkezést a háttéralkalmazásba

Az alábbi ábra a Microsoft Entra ID, BIG-IP, APM és egy alkalmazás felhasználói folyamatát mutatja be.

A felhasználói folyamat diagramja a Microsoft Entra-azonosítóval, a BIG-IP-címmel, az APM-lel és egy alkalmazással

  1. A felhasználó az SAML SP-végponthoz (BIG-IP) csatlakozik.
  2. A BIG-IP APM hozzáférési szabályzat átirányítja a felhasználót a Microsoft Entra ID(SAML IdP) azonosítóra.
  3. A Microsoft Entra előhitelesít felhasználót, és feltételes hozzáférési szabályzatokat alkalmaz.
  4. A rendszer átirányítja a felhasználót a BIG-IP-címre (SAML SP), és az egyszeri bejelentkezés a kiadott SAML-jogkivonat használatával történik.
  5. A BIG-IP fejlécként injektálja a Microsoft Entra-attribútumokat az alkalmazásnak küldött kérelemben.
  6. Az alkalmazás engedélyezi a kérést, és hasznos adatokat ad vissza.

Előfeltételek

A szükséges forgatókönyvhöz:

  • Azure-előfizetés
    • Ha nem rendelkezik ilyen fiókkal, ingyenes Azure-fiókot szerezhet be
  • Az alábbi szerepkörök egyike: Cloud Application Rendszergazda istrator vagy Application Rendszergazda istrator
  • BIG-IP- vagy BIG-IP-alapú virtuális kiadás (VE) üzembe helyezése az Azure-ban
  • Az alábbi F5 BIG-IP-licencek bármelyike:
    • F5 BIG-IP® legjobb csomag
    • F5 BIG-IP Access Policy Manager™ (APM) önálló licenc
    • F5 BIG-IP Access Policy Manager™ (APM) bővítménylicence BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 napos BIG-IP teljes funkció próbaverziója. Lásd: Ingyenes próbaverziók.
  • A helyszíni címtárból a Microsoft Entra ID azonosítóba szinkronizált felhasználói identitások
  • SSL-tanúsítvány a szolgáltatások HTTPS-en keresztüli közzétételéhez, vagy alapértelmezett tanúsítványok használata tesztelés közben
  • Fejlécalapú alkalmazás vagy IIS-fejlécalkalmazás teszteléshez

BIG-IP konfigurációs módszer

Az alábbi utasítások egy speciális konfigurációs módszer, az SHA implementálásának rugalmas módja. Hozzon létre manuálisan BIG-IP konfigurációs objektumokat. Ez a módszer az irányított konfigurációs sablonokban nem szereplő forgatókönyvekhez használható.

Feljegyzés

Cserélje le a példasztringeket vagy értékeket a környezetből származó értékekre.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Az SHA implementálásához az első lépés egy SAML összevonási megbízhatóság beállítása a BIG-IP APM és a Microsoft Entra ID között. A megbízhatóság létrehozza a BIG-IP integrációját az előhitelesítés és a Microsoft Entra-azonosító feltételes hozzáférésének átadása érdekében, mielőtt hozzáférést adna a közzétett szolgáltatáshoz.

További információ: Mi a feltételes hozzáférés?

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.

  3. A felső menüszalagon válassza az + Új alkalmazás lehetőséget.

  4. A katalógusban keressen rá az F5 kifejezésre.

  5. Válassza az F5 BIG-IP APM Microsoft Entra ID-integrációt.

  6. Adjon meg egy alkalmazásnevet.

  7. Válassza a Hozzáadás/Létrehozás lehetőséget.

  8. A név a szolgáltatást tükrözi.

A Microsoft Entra SSO konfigurálása

  1. Megjelenik az új F5-alkalmazástulajdonságok

  2. Válassza az Egyszeri bejelentkezés kezelése lehetőséget >

  3. A Select a single sign-on method page, select SAML.

  4. Hagyja ki a parancssort az egyszeri bejelentkezési beállítások mentéséhez.

  5. Válassza a Nem lehetőséget , majd később mentem.

  6. Az SAML-sel való egyszeri bejelentkezés beállításakor az egyszerű SAML-konfigurációhoz válassza a toll ikont.

  7. Cserélje le az azonosító URL-címét a BIG-IP által közzétett szolgáltatás URL-címére. Például: https://mytravel.contoso.com

  8. Ismételje meg a válasz URL-címét , és adja meg az APM SAML-végpont elérési útját. Például: https://mytravel.contoso.com/saml/sp/profile/post/acs

    Feljegyzés

    Ebben a konfigurációban az SAML-folyamat idP módban működik: a Microsoft Entra ID saml-állítást ad ki a felhasználónak, mielőtt átirányítanák az alkalmazás BIG-IP-szolgáltatásvégpontjához. A BIG-IP APM támogatja az idp és sp módokat.

  9. A kijelentkezés URI-ja esetén adja meg a BIG-IP APM egyszeri kijelentkezés (SLO) végpontot, amelyet a szolgáltatás gazdagépfejléce előre felerősített. Az SLO URI biztosítja a felhasználói BIG-IP APM-munkamenetek végét a Microsoft Entra kijelentkezése után. Például: https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Képernyőkép az azonosító, válasz URL-cím, bejelentkezési URL-cím stb. egyszerű SAML-konfigurációs bemenetéről.

    Feljegyzés

    A Traffic Management operációs rendszer (TMOS) 16-os verziójától kezdve az SAML SLO végpontja a következőre /saml/sp/profile/redirect/slováltozott: .

  10. Válassza a Mentés lehetőséget.

  11. Lépjen ki az SAML-konfigurációból.

  12. Hagyja ki az egyszeri bejelentkezés tesztelési kérését.

  13. A Felhasználói attribútumok > Jogcímek > + Új jogcím hozzáadása elem szerkesztéséhez válassza a toll ikont.

  14. A Név mezőben válassza az Employeeid lehetőséget.

  15. Forrásattribútum esetén válassza a user.employeeid értéket.

  16. Válassza a Mentés lehetőséget

Képernyőkép a Név és forrás attribútum bemenetéről a Jogcím kezelése párbeszédpanelen.

  1. Válassza a + Csoportjogcím hozzáadása lehetőséget
  2. Válassza ki az alkalmazás>forrásattribútumának>sAMAccountName eleméhez hozzárendelt csoportokat.

Képernyőkép a Forrás attribútum bemenetéről a Csoportjogcímek párbeszédpanelen.

  1. Válassza a Konfiguráció mentése lehetőséget.
  2. Zárja be a nézetet.
  3. Figyelje meg a Felhasználói attribútumok > Jogcímek szakasz tulajdonságait. A Microsoft Entra ID a BIG-IP APM-hitelesítés és az egyszeri bejelentkezés felhasználói tulajdonságait a háttéralkalmazásnak ad ki.

Képernyőkép a felhasználói attribútumokról és a jogcímekről, például a vezetéknévről, az e-mail-címről, az identitásról stb.

Feljegyzés

Adjon hozzá más jogcímeket is, amelyek fejlécként várják a BIG-IP által közzétett alkalmazást. További definiált jogcímek jelennek meg, ha a Microsoft Entra-azonosítóban vannak. A jogcímek kiállítása előtt definiálja a címtártagságokat és a felhasználói objektumokat a Microsoft Entra-azonosítóban. Lásd: Csoportjogcímek konfigurálása alkalmazásokhoz a Microsoft Entra ID használatával.

  1. Az SAML aláíró tanúsítvány szakaszában válassza a Letöltés lehetőséget.
  2. Az összevonási metaadatok XML-fájlja a számítógépre lesz mentve.

Képernyőkép az ÖSSZEvonási metaadatok XML letöltési hivatkozásáról az SAML aláíró tanúsítvány párbeszédpanelén.

A Microsoft Entra ID által létrehozott SAML-aláíró tanúsítványok élettartama három év.

Microsoft Entra-engedélyezés

A Microsoft Entra ID alapértelmezés szerint jogkivonatokat ad ki az alkalmazásokhoz hozzáférést kapó felhasználók számára.

  1. Az alkalmazás konfigurációs nézetében válassza a Felhasználók és csoportok lehetőséget.
  2. Válassza a + Felhasználó hozzáadása lehetőséget, majd a Hozzárendelés hozzáadása területen válassza a Felhasználók és csoportok lehetőséget.
  3. A Felhasználók és csoportok párbeszédpanelen adja hozzá a fejlécalapú alkalmazás elérésére jogosult felhasználói csoportokat.
  4. Válassza a lehetőséget.
  5. Válassza a Hozzárendelés lehetőséget.

A Microsoft Entra SAML összevonási megbízhatósága befejeződött. Ezután állítsa be a BIG-IP APM-t a webalkalmazás közzétételéhez, amely tulajdonságokkal konfigurálva teljesítse az SAML előhitelesítési megbízhatóságát.

Speciális konfiguráció

A következő szakaszokban konfigurálhatja az SAML-t, a fejléc egyszeri bejelentkezését, a hozzáférési profilt és egyebeket.

SAML-konfiguráció

A közzétett alkalmazás Microsoft Entra-azonosítóval való összevonásához hozza létre a BIG-IP SAML-szolgáltatót és a megfelelő SAML IdP-objektumokat.

  1. Válassza az Access federation SAML service provider>local SP Services Create (Hozzáférés összevonási>>SAML-szolgáltató helyi SP-szolgáltatások>létrehozása) lehetőséget.

    Képernyőkép a Létrehozás lehetőségről az SAML-szolgáltató lapon.

  2. Adjon meg egy nevet.

  3. Adja meg a Microsoft Entra-azonosítóban definiált entitásazonosítót .

    Képernyőkép a Név és entitásazonosító bemenetről az Új SAML SP szolgáltatás létrehozása párbeszédpanelen.

  4. Sp Name Gépház esetén válasszon, ha az entitásazonosító nem egyezik a közzétett URL-cím gazdagépnevével, vagy válasszon, ha nem normál gazdagépnév-alapú URL-formátumban van. Adja meg a külső sémát és az alkalmazás állomásnevét, ha az entitás azonosítója .urn:mytravel:contosoonline

  5. Görgessen le az új SAML SP-objektum kiválasztásához.

  6. Válassza a Bind/UnBind IdP Csatlakozás ors lehetőséget.

    Képernyőkép az SAML-szolgáltatások szolgáltató lapján található Kötés nélküli azonosító Csatlakozás ors beállításról.

  7. Válassza az Új azonosító létrehozása Csatlakozás or lehetőséget.

  8. A legördülő menüben válassza a Metaadatokból lehetőséget.

    Képernyőkép a Metaadatokból lehetőségről az Új azonosító létrehozása Csatlakozás ion legördülő menüben.

  9. Keresse meg a letöltött összevonási metaadat-XML-fájlt.

  10. Adja meg a külső SAML-azonosítóhoz tartozó APM-objektum identitásszolgáltatójának nevét. Például: MyTravel_EntraID

Képernyőkép a Fájl- és identitásszolgáltatói névbevitel kiválasztásáról a Create New SAML IdP Csatlakozás or (Új SAML-azonosító létrehozása) területen.

  1. Válassza az Új sor hozzáadása lehetőséget.
  2. Válassza ki az új SAML idP Csatlakozás ort.
  3. Válassza a Frissítés lehetőséget.

Képernyőkép az SAML IdP Csatlakozás orok frissítési lehetőségéről.

  1. Kattintson az OK gombra.

Képernyőkép a mentett beállításokról

Fejléc egyszeri bejelentkezésének konfigurálása

Hozzon létre egy APM SSO-objektumot.

  1. Válassza ki a hozzáférési>profilok/szabályzatok>kérésenkénti>létrehozását.

  2. Adjon meg egy nevet.

  3. Adjon hozzá legalább egy elfogadott nyelvet.

  4. Válassza a Kész elemet .

    Képernyőkép a Név és az Elfogadott nyelv bemenetről.

  5. Az új kérelemenkénti szabályzathoz válassza a Szerkesztés lehetőséget.

    Képernyőkép a Szerkesztés lehetőségről a Kérelemszabályzat oszlopban.

  6. Elindul a vizualizációszabályzat-szerkesztő.

  7. A tartalék területen válassza ki a szimbólumot+.

    Képernyőkép a tartalék plusz lehetőségről.

  8. Az Általános célú lapon válassza a HTTP-fejlécek>elem hozzáadása lehetőséget.

    Képernyőkép a HTTP-fejlécek lehetőségről.

  9. Válassza az Új bejegyzés hozzáadása lehetőséget.

  10. Hozzon létre három HTTP- és fejlécmódosítási bejegyzést.

  11. Fejlécnévként adja meg a upn értéket.

  12. Fejlécértékként írja be a következőt: %{session.saml.last.identity}.

  13. A Fejléc neve mezőbe írja be az alkalmazotti azonosítót.

  14. Fejlécértékként írja be a következőt: %{session.saml.last.attr.name.employeeid}.

  15. A Fejléc neve mezőbe írja be a group_authz.

  16. Fejlécértékként írja be a következőt: %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Feljegyzés

A kapcsos zárójelek APM-munkamenetváltozói megkülönböztetik a kis- és nagybetűket. Javasoljuk, hogy kisbetűs attribútumokat definiáljon.

Képernyőkép az élőfej bemenetéről a HTTP-fejléc módosítása területen, a Tulajdonságok lapon.

  1. Válassza a Mentés lehetőséget.
  2. Zárja be a vizualizációszabályzat-szerkesztőt.

Képernyőkép a vizualizációszabályzat-szerkesztőről.

Hozzáférési profil konfigurációja

A hozzáférési profil számos, BIG IP-alapú virtuális kiszolgálóhoz való hozzáférést kezelő APM-elemet köt össze, beleértve a hozzáférési szabályzatokat, az egyszeri bejelentkezés konfigurációját és a felhasználói felület beállításait.

  1. Válassza a Hozzáférési>profilok/ Szabályzatok>hozzáférési profilok (munkamenet-alapú szabályzatok)> létrehozása lehetőséget.

  2. A Név mezőbe írja be a MyTravel nevet.

  3. Profiltípus esetén válassza az Összes lehetőséget.

  4. Az Elfogadott nyelv beállításnál válasszon legalább egy nyelvet.

  5. válassza a Kész elemet.

    Képernyőkép a Név, a Profil típusa és az Elfogadott nyelv bejegyzéseiről.

  6. A létrehozott munkamenet-profilhoz válassza a Szerkesztés lehetőséget.

    Képernyőkép a Munkamenet-alapú házirend oszlop Szerkesztés lehetőségéről.

  7. Elindul a vizualizációszabályzat-szerkesztő.

  8. A tartalék területen válassza ki a szimbólumot + .

    Képernyőkép a plusz lehetőségről.

  9. Válassza a Hitelesítési>SAML-hitelesítés>hozzáadása elemet.

    Képernyőkép az SAML Hitelesítés lehetőségről a Hitelesítés lapon.

  10. Az SAML hitelesítési SP konfigurációjához az AAA-kiszolgáló legördülő listájában válassza ki a létrehozott SAML SP-objektumot.

  11. Válassza a Mentés lehetőséget.

Képernyőkép az AAA-kiszolgáló kiválasztásáról.

Attribútumleképezés

Az alábbi utasítások nem kötelezőek. LogonID_Mapping konfiguráció esetén a BIG-IP aktív munkamenetek listája nem munkamenetszám, hanem a bejelentkezett felhasználónév (UPN) szerepel. Ezeket az adatokat naplók elemzésekor vagy hibaelhárításkor használhatja.

  1. A SAML-hitelesítés sikeres ágához válassza ki a + szimbólumot.

    Képernyőkép az SAML Sikeres hitelesítés ág plusz szimbólumáról.

  2. Az előugró ablakban válassza a Hozzárendelési>változó elem hozzárendelése>elemet.

    Képernyőkép a Változó hozzárendelése lehetőségről a Hozzárendelés lapon.

  3. Adjon meg egy nevet

  4. A Változó hozzárendelése szakaszban válassza az Új bejegyzés>módosítása hozzáadása lehetőséget. Például LogonID_Mapping.

    Képernyőkép az Új bejegyzés hozzáadása és a módosítási lehetőségekről

  5. Egyéni változó esetén állítsa be a session.saml.last.identity értéket.

  6. Munkamenet-változó esetén állítsa be a session.logon.last.username értéket.

  7. Válassza a Kész elemet.

  8. Válassza aMentés parancsot.

  9. A Sikeres hozzáférési szabályzat ágon válassza a Megtagadás terminált.

  10. Válassza ki az Engedélyezés lehetőséget.

  11. Válassza a Mentés lehetőséget.

  12. Válassza a Hozzáférési szabályzat alkalmazása lehetőséget.

  13. Zárja be a vizualizációszabályzat-szerkesztőt.

Háttérkészlet konfigurációja

Ahhoz, hogy a BIG-IP megfelelően továbbíthassa az ügyfélforgalmat, hozzon létre egy APM-csomópontobjektumot, amely az alkalmazást futtató háttérkiszolgálót jelöli. Helyezze a csomópontot egy APM-készletbe.

  1. Válassza a Helyi forgalomkészletek >> készletlista > létrehozása lehetőséget.

  2. Kiszolgálókészlet-objektum esetén adjon meg egy nevet. Például MyApps_VMs.

    Képernyőkép a hozzáférési szabályzat alkalmazásáról.

  3. Készlettag-objektum hozzáadása.

  4. A Csomópont neve mezőben adja meg a háttérbeli webalkalmazást üzemeltető kiszolgáló nevét.

  5. A Cím mezőbe írja be az alkalmazást üzemeltető kiszolgáló IP-címét.

  6. Szolgáltatásport esetén adja meg azt a HTTP/S-portot, amelyen az alkalmazás figyel.

  7. Válassza a Hozzáadás lehetőséget.

    Képernyőkép a csomópontnév, a cím, a szolgáltatásport és a Hozzáadás lehetőség bemenetéről.

    Feljegyzés

    További információ: my.f5.com a K13397-hez : A BIG-IP DNS-rendszer HTTP-állapotfigyelő kéréseinek formázásának áttekintése.

Virtuális kiszolgáló konfigurálása

A virtuális kiszolgáló egy BIG-IP-adatsík-objektum, amelyet egy virtuális IP-cím jelöl, amely figyeli az alkalmazáshoz érkező ügyfelek kéréseit. A fogadott forgalom feldolgozása és kiértékelése a virtuális kiszolgálóhoz társított APM hozzáférési profillal történik. A forgalom a szabályzatnak megfelelően van irányítva.

  1. Válassza a Helyi forgalom virtuális>kiszolgálók virtuális kiszolgálói>lista>létrehozása lehetőséget.

  2. Adjon meg egy virtuális kiszolgálónevet.

  3. Célcím/maszk esetén válassza a Gazdagép lehetőséget

  4. Adjon meg egy nem használt IPv4 vagy IPv6 IP-címet a BIG-IP-címhez az ügyfélforgalom fogadásához.

  5. Szolgáltatásport esetén válassza a Port, a 443 és a HTTPS lehetőséget.

    Képernyőkép a név, a célcímmaszk és a szolgáltatásport bejegyzéséről.

  6. HTTP-profil (ügyfél)esetén válassza a http lehetőséget.

  7. SSL-profil (ügyfél) esetén válassza ki a létrehozott ügyfél SSL-profilt, vagy hagyja meg az alapértelmezett beállítást a teszteléshez.

    A HTTP-profilügyfél és az SSL-profilügyfél bejegyzéseinek képernyőképe.

  8. A forráscímfordításhoz válassza az Automatikus leképezés lehetőséget.

    Képernyőkép a Forráscím fordítása lehetőségről.

  9. Hozzáférési szabályzat esetén válassza ki a korábban létrehozott hozzáférési profilt. Ez a művelet a Microsoft Entra SAML előhitelesítési profilt és a fejlécek SSO-szabályzatát köti a virtuális kiszolgálóhoz.

  10. Kérésenkénti szabályzat esetén válassza a SSO_Headers.

Képernyőkép az Access-profil és a kérelem előtti szabályzat bejegyzéseiről.

  1. Alapértelmezett készlet esetén válassza ki a létrehozott háttérkészlet-objektumokat.
  2. Válassza a Kész elemet.

Képernyőkép az Erőforrások területen az Alapértelmezett készlet beállításról.

Munkamenet-kezelés

A BIG-IP-címek munkamenet-kezelési beállításával meghatározhatja a felhasználói munkamenetek befejezésének vagy folytatásának feltételeit. Szabályzat létrehozása az Access-szabályzat hozzáférési profiljaival.> Válasszon ki egy alkalmazást a listából.

Az SLO funkcióit illetően a Microsoft Entra-azonosítóban található SLO URI biztosítja, hogy a MyApps-portálról idP által kezdeményezett kijelentkezés megszakítsa az ügyfél és a BIG-IP APM közötti munkamenetet. Az importált alkalmazás-összevonási metadata.xml biztosítja az APM számára a Microsoft Entra SAML bejelentkezési végpontot az SP által kezdeményezett kijelentkezéshez. Ezért engedélyezze az APM-nek, hogy tudja, mikor jelentkezik ki egy felhasználó.

Ha nincs BIG-IP webportál, a felhasználó nem utasíthatja az APM-t a kijelentkezésre. Ha a felhasználó kijelentkezik az alkalmazásból, a BIG-IP-cím feledésbe kerül a műveletre. Az alkalmazás munkamenete az egyszeri bejelentkezéssel állítható vissza. Ezért az SP által kezdeményezett kijelentkezés gondos megfontolást igényel.

A munkamenetek biztonságos leállásához adjon hozzá egy SLO-függvényt az alkalmazás Kijelentkezés gombjához. Engedélyezze, hogy átirányítsa az ügyfelet a Microsoft Entra SAML bejelentkezési végpontra. A bérlő SAML-kijelentkeztetés végpontjához nyissa meg az Alkalmazásregisztrációk végpontjait>.

Ha nem tudja módosítani az alkalmazást, engedélyezze a BIG-IP-címet az alkalmazás bejelentkezési hívásának figyeléséhez, és aktiválja az SLO-t. További tudnivalók:

Üzembe helyezés

  1. Válassza az Üzembe helyezés lehetőséget a véglegesítési beállításokhoz.
  2. Ellenőrizze, hogy az alkalmazás megjelenik-e a bérlőben.
  3. Az alkalmazás közzé van téve és elérhető az SHA-val, annak URL-címével vagy Microsoft-portáljaival.

Teszt

Végezze el a következő tesztet felhasználóként.

  1. Válassza ki az alkalmazás külső URL-címét, vagy a MyApps portálon válassza az alkalmazás ikonját.

  2. Hitelesítés a Microsoft Entra-azonosítón.

  3. Átirányítás történik az alkalmazás BIG-IP virtuális kiszolgálójára, és bejelentkezett az egyszeri bejelentkezéssel.

  4. A beszúrt fejléckimenetet a fejlécalapú alkalmazás jeleníti meg.

    Képernyőkép a kiszolgálóváltozókról, például az UPN-ről, az alkalmazotti azonosítóról és a csoportengedélyekről.

A nagyobb biztonság érdekében tiltsa le az alkalmazáshoz való közvetlen hozzáférést, és kényszerítsen ki egy útvonalat a BIG-IP-címen keresztül.

Hibaelhárítás

A hibaelhárításhoz kövesse az alábbi útmutatást.

Napló részletessége

A BIG-IP-naplók olyan információkkal rendelkeznek, amelyek segítenek elkülöníteni a hitelesítés és az egyszeri bejelentkezés problémáit. A napló részletességi szintjének növelése:

  1. Nyissa meg az Access Szabályzat>áttekintése>eseménynaplókat.
  2. Válassza a Beállítások lehetőséget.
  3. Válassza ki a közzétett alkalmazás sorát.
  4. Válassza az Access-rendszernaplók szerkesztése>lehetőséget.
  5. Az egyszeri bejelentkezés listájában válassza a Hibakeresés lehetőséget.
  6. Kattintson az OK gombra.
  7. Reprodukálja a problémát.
  8. Tekintse át a naplókat.
  9. Ha végzett, állítsa vissza a beállításokat.

BIG-IP hibaüzenet

Ha az átirányítás után BIG-IP-hiba jelenik meg, a probléma valószínűleg a Microsoft Entra-azonosítóból a BIG-IP-címre való egyszeri bejelentkezéshez kapcsolódik.

  1. Nyissa meg az Access Policy>áttekintését.
  2. Válassza az Access-jelentések lehetőséget.
  3. Futtassa a jelentést az elmúlt órában.
  4. Tekintse át a naplókat a nyomokért.
  5. A munkamenethez válassza a Munkamenet változóinak megtekintése hivatkozást.
  6. Ellenőrizze, hogy az APM megkapja-e a várt jogcímeket a Microsoft Entra-azonosítótól.

Nincs BIG-IP-hibaüzenet

Ha nem jelenik meg BIG-IP-hibaüzenet, akkor a probléma valószínűleg jobban kapcsolódik az egyszeri bejelentkezéshez a BIG-IP-címtől a háttéralkalmazásig.

  1. Nyissa meg az Access Policy>áttekintését.
  2. Válassza az Aktív munkamenetek lehetőséget.
  3. Válassza ki az aktív munkamenet hivatkozását.
  4. Válassza a Változók megtekintése hivatkozást az egyszeri bejelentkezés problémáinak meghatározásához.
  5. Győződjön meg arról, hogy a BIG-IP APM sikertelen vagy sikeres a megfelelő felhasználó- és tartományazonosítók beszerzéséhez.

További információ:

Források