Oktatóanyag: Az F5 BIG-IP Easy gomb konfigurálása egyszeri bejelentkezéshez az Oracle EBS-be
Ismerje meg az Oracle E-Business Suite (EBS) biztonságossá tételét a Microsoft Entra ID használatával, az F5 BIG-IP egyszerű gombos irányított konfigurációjával. A BIG-IP és a Microsoft Entra ID integrálása számos előnnyel jár:
- Továbbfejlesztett Teljes felügyelet szabályozás a Microsoft Entra előhitelesítésével és feltételes hozzáférésével
- Teljes egyszeri bejelentkezés a Microsoft Entra ID és a BIG-IP által közzétett szolgáltatások között
- Felügyelt identitások és hozzáférés egy vezérlősíkról
Tudj meg többet:
- F5 BIG-IP integrálása a Microsoft Entra ID-val
- Egyszeri bejelentkezés engedélyezése vállalati alkalmazásokhoz
Forgatókönyv leírása
Ez a forgatókönyv a klasszikus Oracle EBS-alkalmazást ismerteti, amely HTTP-engedélyezési fejlécekkel kezeli a védett tartalmakhoz való hozzáférést.
Az örökölt alkalmazások nem rendelkeznek a Microsoft Entra integrációját támogató modern protokollokkal. A modernizáció költséges, időigényes, és állásidő-kockázatot jelent. Ehelyett használjon egy F5 BIG-IP-alkalmazáskézbesítési vezérlőt (ADC) a régi alkalmazások és a modern id vezérlősík közötti szakadék áthidalásához protokollváltással.
Az alkalmazás előtti BIG-IP lehetővé teszi a szolgáltatás átfedését a Microsoft Entra előhitelesítésével és fejlécalapú egyszeri bejelentkezéssel. Ez a konfiguráció javítja az alkalmazás biztonsági helyzetét.
Forgatókönyvarchitektúra
A biztonságos hibrid hozzáférési (SHA) megoldás a következő összetevőkkel rendelkezik:
- Oracle EBS-alkalmazás – BIG-IP által közzétett szolgáltatás, amelyet a Microsoft Entra SHA véd
- Microsoft Entra ID – Security Assertion Markup Language (SAML) identitásszolgáltató (IDP), amely ellenőrzi a felhasználói hitelesítő adatokat, a feltételes hozzáférést és az SAML-alapú egyszeri bejelentkezést a BIG-IP-címre
- Az egyszeri bejelentkezéssel a Microsoft Entra ID BIG-IP-munkamenet attribútumokat biztosít
- Oracle Internet Directory (OID) – a felhasználói adatbázist üzemelteti
- A BIG-IP ellenőrzi az engedélyezési attribútumokat AZ LDAP használatával
- Oracle E-Business Suite AccessGate – ellenőrzi az engedélyezési attribútumokat az OID szolgáltatással, majd kibocsátja az EBS hozzáférési cookie-kat
- BIG-IP – fordított proxy és SAML-szolgáltató (SP) az alkalmazáshoz
- A hitelesítés delegálva van az SAML-azonosítóba, majd fejlécalapú egyszeri bejelentkezés történik az Oracle-alkalmazáshoz
Az SHA támogatja az SP és idP által kezdeményezett folyamatokat. Az alábbi ábra az SP által kezdeményezett folyamatot szemlélteti.
- A felhasználó az alkalmazásvégponthoz (BIG-IP) csatlakozik.
- A BIG-IP APM hozzáférési szabályzat átirányítja a felhasználót a Microsoft Entra ID(SAML IdP) azonosítóra.
- A Microsoft Entra előhitelesít felhasználót, és feltételes hozzáférési szabályzatokat alkalmaz.
- A rendszer átirányítja a felhasználót a BIG-IP-címre (SAML SP), és az egyszeri bejelentkezés a kiadott SAML-jogkivonat használatával történik.
- A BIG-IP egy LDAP-lekérdezést hajt végre a felhasználói egyedi azonosító (UID) attribútumhoz.
- A BIG-IP a visszaadott UID attribútumot user_orclguid fejlécként adja vissza az Oracle EBS munkamenet cookie-kérésében az Oracle AccessGate-nek.
- Az Oracle AccessGate ellenőrzi a UID-t az OID szolgáltatással szemben, és problémákat tapasztal az Oracle EBS hozzáférési cookie-kkal.
- Az Oracle EBS felhasználói fejlécei és az alkalmazásnak küldött cookie-k visszaadják a hasznos adatokat a felhasználónak.
Előfeltételek
A következő összetevőkre van szüksége:
- Azure-előfizetés
- Felhőalkalmazás-rendszergazdai vagy alkalmazásadminisztrátori szerepkör.
- BIG-IP- vagy BIG-IP-alapú virtuális kiadás (VE) üzembe helyezése az Azure-ban
- A következő F5 BIG-IP-licenc termékváltozatok bármelyike:
- F5 BIG-IP® legjobb csomag
- F5 BIG-IP Access Policy Manager™ (APM) önálló licenc
- F5 BIG-IP Access Policy Manager™ (APM) bővítménylicence BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
- 90 napos BIG-IP teljes funkció próbaverziója. Lásd: Ingyenes próbaverziók.
- A helyszíni címtárból a Microsoft Entra ID azonosítóba szinkronizált felhasználói identitások
- SSL-tanúsítvány a szolgáltatások HTTPS-en keresztüli közzétételéhez, vagy alapértelmezett tanúsítványok használata tesztelés közben
- Lásd: SSL-profil
- Oracle EBS, Oracle AccessGate és LDAP-kompatibilis Oracle Internet Database (OID)
BIG-IP konfigurációs módszer
Ez az oktatóanyag az Irányított konfiguráció v16.1 Egyszerű gomb sablont használja. Az Egyszerű gombra kattintva a rendszergazdák többé nem mennek oda-vissza az SHA-szolgáltatások engedélyezéséhez. Az APM irányított konfiguráció varázslója és a Microsoft Graph kezeli az üzembe helyezést és a szabályzatkezelést. Ez az integráció biztosítja, hogy az alkalmazások támogatják az identitás-összevonást, az egyszeri bejelentkezést és a feltételes hozzáférést, ezáltal csökkentve a rendszergazdai többletterhelést.
Jegyzet
Cserélje le a példasztringeket vagy értékeket a környezetében lévőkre.
Az Egyszerű gomb regisztrálása
Borravaló
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Mielőtt egy ügyfél vagy szolgáltatás hozzáfér a Microsoft Graphhoz, a Microsoft Identitásplatform megbízhatónak kell lennie.
További információ: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform
Hozzon létre egy bérlői alkalmazásregisztrációt, amely engedélyezi az Egyszerű gomb hozzáférését a Graphhoz. A BIG-IP leküldi a konfigurációkat, hogy megbízhatósági kapcsolatot létesítsen a közzétett alkalmazás SAML SP-példánya és a Microsoft Entra ID mint SAML-azonosító között.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk> Új regisztráció.
Adjon meg egy alkalmazásnevet. Például az F5 BIG-IP Easy gomb.
Adja meg, hogy kik használhatják az alkalmazásfiókokat >ebben a szervezeti címtárban.
Válassza a Regisztráció lehetőséget.
Navigáljon az API-engedélyekhez.
Engedélyezze a következő Microsoft Graph-alkalmazásengedélyeket:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Adjon rendszergazdai hozzájárulást a szervezetnek.
Lépjen a Tanúsítványok és titkos kódok elemre.
Hozzon létre egy új ügyfélkulcsot. Jegyezze fel az ügyfél titkos kódját.
Nyissa meg az Áttekintést. Jegyezze fel az ügyfél- és bérlőazonosítót.
Az Egyszerű gomb konfigurálása
Indítsa el az APM irányított konfigurációját.
Indítsa el az Egyszerű gomb sablont.
Nyissa meg az irányított konfigurációs > Microsoft-integrációt>.
Válassza a Microsoft Entra-alkalmazás lehetőséget.
Tekintse át a konfigurációs beállításokat.
Válassza a Tovább gombot.
Az alkalmazás közzétételéhez használja a grafikus ábrát.
Konfigurációs tulajdonságok
A Konfiguráció tulajdonságai lap létrehoz egy BIG-IP-alkalmazáskonfigurációt és SSO-objektumot. Az Azure Service Account Details szakasz a Microsoft Entra-bérlőben regisztrált ügyfelet jelöli alkalmazásként. Ezekkel a beállításokkal egy BIG-IP OAuth-ügyfél regisztrál egy SAML SP-t a bérlőben SSO-tulajdonságokkal. Az Easy Button elvégzi ezt a műveletet az SHA-hoz közzétett és engedélyezett BIG-IP-szolgáltatások esetében.
Az idő és a munka csökkentése érdekében használja fel a globális beállításokat más alkalmazások közzétételéhez.
- Adjon meg egy konfigurációnevet.
- Egyszeri bejelentkezés (SSO) és HTTP-fejlécek esetén válassza a Be lehetőséget.
- A bérlőazonosító, az ügyfélazonosító és az ügyfélkód megadásakor adja meg, amit az Egyszerű gomb ügyfélregisztrációja során észlelt.
- Ellenőrizze, hogy a BIG-IP csatlakozik-e a bérlőhöz.
- Válassza a Tovább gombot.
Szolgáltató
Használja a Szolgáltató beállításait a védett alkalmazás SAML SP-példányának tulajdonságaihoz.
Gazdagép esetén adja meg az alkalmazás nyilvános teljes tartománynevét.
Entitásazonosító esetén adja meg a jogkivonatot kérő SAML SP-hez használt Microsoft Entra-azonosítót.
(Nem kötelező) A Biztonsági beállítások területen válassza vagy törölje a jelet a Titkosított helyesség engedélyezése lehetőségből. A Microsoft Entra ID és a BIG-IP APM közötti állítások titkosítása azt jelenti, hogy a tartalom jogkivonatait nem lehet elfogni, sem személyes vagy vállalati adatokat nem lehet feltörni.
Az Assertion Decryption Private Key listából válassza az Új létrehozása lehetőséget
Válassza az OK gombot.
Az SSL-tanúsítvány és -kulcsok importálása párbeszédpanel egy új lapon jelenik meg.
Válassza a PKCS 12 (IIS) lehetőséget.
A rendszer importálja a tanúsítványt és a titkos kulcsot.
Zárja be a böngészőlapot a fő lapra való visszatéréshez.
Válassza a Titkosított helyesség engedélyezése lehetőséget.
Az engedélyezett titkosításhoz az Assertion Decryption Private Key listából válassza ki azt a tanúsítványt, amelyet a BIG-IP APM a Microsoft Entra-állítások visszafejtéséhez használ.
Engedélyezett titkosítás esetén az Assertion Visszafejtési tanúsítvány listájában válassza ki a Microsoft Entra-azonosítóba feltöltött BIG-IP-tanúsítványt a kiadott SAML-állítások titkosításához.
Microsoft Entra-azonosító
Az Easy Button alkalmazássablonokat biztosít az Oracle PeopleSofthoz, az Oracle E-Business Suite-hoz, az Oracle JD Edwardshoz, az SAP ERP-hez és egy általános SHA-sablonhoz. Az alábbi képernyőképen az Oracle E-Business Suite lehetőség látható az Azure Configuration alatt.
- Válassza az Oracle E-Business Suite lehetőséget.
- Válassza a Hozzáadás lehetőséget.
Azure-konfiguráció
Adja meg a Microsoft Entra-bérlőben létrehozott BIG-IP-alkalmazás megjelenítendő nevét, valamint a MyApps ikonját.
A Bejelentkezési URL-cím (nem kötelező) mezőbe írja be az EBS-alkalmazás nyilvános teljes tartománynevét.
Adja meg az Oracle EBS kezdőlapjának alapértelmezett elérési útját.
Az aláírókulcs és az aláíró tanúsítvány mellett válassza a frissítés ikont.
Keresse meg az importált tanúsítványt.
Az Aláírókulcs-jelszó mezőbe írja be a tanúsítvány jelszavát.
(Nem kötelező) Aláírási beállítás engedélyezése. Ez a beállítás biztosítja, hogy a BIG-IP elfogadja a Microsoft Entra ID által aláírt jogkivonatokat és jogcímeket.
Felhasználói és felhasználói csoportok esetén adjon hozzá egy felhasználót vagy csoportot teszteléshez, ellenkező esetben minden hozzáférés megtagadva. A felhasználókat és a felhasználói csoportokat dinamikusan kérdezi le a Microsoft Entra-bérlő, és engedélyezi az alkalmazáshoz való hozzáférést.
Felhasználói attribútumok és jogcímek
Amikor egy felhasználó hitelesít, a Microsoft Entra ID kiad egy SAML-jogkivonatot, amely alapértelmezett jogcímekkel és attribútumokkal azonosítja a felhasználót. A Felhasználói attribútumok > Jogcímek lap alapértelmezett jogcímekkel rendelkezik az új alkalmazáshoz. Ezen a területen további jogcímeket konfigurálhat. Szükség esetén adjon hozzá Microsoft Entra-attribútumokat, de az Oracle EBS-forgatókönyvhez az alapértelmezett attribútumok szükségesek.
További felhasználói attribútumok
A További felhasználói attribútumok lap támogatja azokat az elosztott rendszereket, amelyek a címtárakban tárolt attribútumokat igénylik a munkamenet-bővítéshez. Az LDAP-forrásból lekért attribútumokat a rendszer több SSO-fejlécként injektálja, hogy a szerepkörök, a partnerazonosító stb. alapján szabályozhassa a hozzáférést.
Engedélyezze a Speciális beállítások lehetőséget.
Jelölje be az LDAP-attribútumok jelölőnégyzetet.
A Hitelesítési kiszolgáló kiválasztása területen válassza az Új létrehozása lehetőséget.
A beállítástól függően válassza a Készlet vagy a Közvetlen kiszolgáló kapcsolati mód használata lehetőséget a cél LDAP-szolgáltatáskiszolgáló-címhez. Egyetlen LDAP-kiszolgáló esetén válassza a Közvetlen lehetőséget.
Szolgáltatásport esetén adja meg a 3060 -at (alapértelmezett), a 3161-et (Biztonságos) vagy egy másik portot az Oracle LDAP szolgáltatáshoz.
Adjon meg egy alapszintű keresési DN-t. A megkülönböztető névvel (DN) kereshet csoportokat egy címtárban.
Rendszergazdai DN esetén adja meg a fiók megkülönböztető nevét, amelyet az APM használ az LDAP-lekérdezések hitelesítéséhez.
Rendszergazdai jelszó esetén adja meg a jelszót.
Hagyja meg az alapértelmezett LDAP-sémaattribútumokat.
Az LDAP-lekérdezés tulajdonságai csoportban a Keresési Dn mezőben adja meg az LDAP-kiszolgáló alapcsomópontját a felhasználói objektumok kereséséhez.
Kötelező attribútumok esetén adja meg az LDAP-címtárból visszaadandó felhasználói objektum attribútum nevét. AZ EBS esetében az alapértelmezett érték az orclguid.
Feltételes hozzáférési szabályzat
A feltételes hozzáférési szabályzatok eszköz-, alkalmazás-, hely- és kockázati jelek alapján szabályozzák a hozzáférést. A szabályzatok a Microsoft Entra előzetes hitelesítése után lesznek érvényesítve. Az Elérhető szabályzatok nézet felhasználói műveletek nélküli feltételes hozzáférési szabályzatokkal rendelkezik. A Kiválasztott szabályzatok nézet szabályzatokat biztosít a felhőalkalmazásokhoz. Ezeket a szabályzatokat nem törölheti, és nem helyezheti át a rendelkezésre álló szabályzatokba, mert azok bérlői szinten vannak kényszerítve.
A közzéteendő alkalmazás szabályzatának kiválasztása:
Az Elérhető szabályzatok területen válasszon ki egy szabályzatot.
Kattintson a jobbra mutató nyílra.
A házirend áthelyezése a kijelölt házirendekbe.
Jegyzet
Egyes szabályzatok esetében a Belefoglalás vagy kizárás lehetőség van kiválasztva. Ha mindkét beállítás be van jelölve, a szabályzat nincs érvényesítve.
Jegyzet
Válassza a Feltételes hozzáférési szabályzat lapot, és megjelenik a szabályzatlista. Válassza a Frissítés lehetőséget, és a varázsló lekérdezi a bérlőt. A frissítés az üzembe helyezett alkalmazások esetében jelenik meg.
Virtuális kiszolgáló tulajdonságai
A virtuális kiszolgáló egy BIG-IP-adatsík objektum, amelyet az alkalmazásügyfél-kérelmeket figyelő virtuális IP-cím jelöl. A fogadott forgalom feldolgozása és kiértékelése a virtuális kiszolgálóhoz társított APM-profil alapján történik. Ezután a forgalom a szabályzatnak megfelelően lesz irányítva.
Adjon meg egy célcímet, egy IPv4- vagy IPv6-címet, amelyet BIG-IP-cím használ az ügyfélforgalom fogadásához. Győződjön meg arról, hogy a DNS megfelelő rekordja lehetővé teszi az ügyfelek számára, hogy feloldják a BIG-IP által közzétett alkalmazás külső URL-címét az IP-címre. Teszteléshez használjon egy localhost DNS-tesztszámítógépet.
Szolgáltatásport esetén adja meg a 443-at, és válassza a HTTPS lehetőséget.
Válassza az Átirányítási port engedélyezése lehetőséget.
Átirányítási port esetén adja meg a 80-at, és válassza a HTTP lehetőséget. Ez a művelet átirányítja a bejövő HTTP-ügyfélforgalmat a HTTPS-hez.
Válassza ki a létrehozott ügyfél SSL-profilt , vagy hagyja meg az alapértelmezett beállítást a teszteléshez. Az ügyfél SSL-profilja engedélyezi a virtuális kiszolgálót a HTTPS-hez. Az ügyfélkapcsolatok TLS-en keresztül vannak titkosítva.
Készlet tulajdonságai
Az Alkalmazáskészlet lap egy BIG-IP mögötti szolgáltatásokkal rendelkezik, amely egy vagy több alkalmazáskiszolgálóval rendelkező készlet.
A Készlet kiválasztása területen válassza az Új létrehozása lehetőséget, vagy válasszon másik lehetőséget.
Terheléselosztási módszer esetén válassza a Kerekítés elemet.
A Készletkiszolgálók csoportban válassza ki és adja meg az Oracle EBS-t futtató kiszolgálók IP-címét/csomópontnevét és portjait.
Válassza a HTTPS lehetőséget.
Az Access Gate-készlet alatt erősítse meg a Hozzáférési kapu alútvonalát.
Készletkiszolgálók esetén válassza ki és adja meg az Oracle EBS-t futtató kiszolgálók IP-címét/csomópontnevét és portjait.
Válassza a HTTPS lehetőséget.
Egyszeri bejelentkezés és HTTP-fejlécek
Az Egyszerű gomb varázsló támogatja a Kerberos, OAuth Bearer és HTTP engedélyezési fejléceket az egyszeri bejelentkezéshez a közzétett alkalmazásokhoz. Az Oracle EBS-alkalmazás fejléceket vár, ezért engedélyezi a HTTP-fejléceket.
Egyszeri bejelentkezés és HTTP-fejlécek esetén válassza a HTTP-fejlécek lehetőséget.
Fejlécművelet esetén válassza a Csere lehetőséget.
A Fejléc neve mezőbe írja be a USER_NAME.
Fejlécértékként írja be a következőt: %{session.sso.token.last.username}.
Fejlécművelet esetén válassza a Csere lehetőséget.
A Fejléc neve mezőbe írja be a USER_ORCLGUID.
Fejlécértékként írja be a következőt: %{session.ldap.last.attr.orclguid}.
Jegyzet
A kapcsos zárójelben lévő APM-munkamenet változói megkülönböztetik a kis- és nagybetűket.
Munkamenet-kezelés
A BIG-IP-munkamenet-kezeléssel feltételeket határozhat meg a felhasználói munkamenetek befejezéséhez vagy folytatásához.
További információ: support.f5.com a következő K18390492: Biztonság | BIG-IP APM üzemeltetési útmutató
Az egyszeri kijelentkezés (SLO) funkció biztosítja az idP, a BIG-IP és a felhasználói ügynök közötti munkamenetek leállítását, amikor a felhasználók kijelentkeznek. Amikor az Egyszerű gomb létrehoz egy SAML-alkalmazást a Microsoft Entra-bérlőben, feltölti a kijelentkezés URL-címét az APM SLO-végponttal. Így az IdP által kezdeményezett kijelentkezés a Saját alkalmazások portálról leállítja a BIG-IP és az ügyfél közötti munkamenetet.
Lásd: Microsoft Saját alkalmazások
A közzétett alkalmazás SAML-összevonási metaadatait a bérlő importálja. Ez a művelet biztosítja az APM számára a Microsoft Entra ID SAML-kijelentkeztetési végpontját. Ezután az SP által kezdeményezett kijelentkezés leállítja az ügyfelet és a Microsoft Entra-munkamenetet. Győződjön meg arról, hogy az APM tudja, mikor jelentkezik ki egy felhasználó.
Ha a BIG-IP webtop portált használja a közzétett alkalmazások eléréséhez, az APM feldolgoz egy kijelentkezést a Microsoft Entra kijelentkezési végpontjának meghívásához. Ha nem használja a BIG-IP webtop portált, a felhasználó nem utasíthatja az APM-t a kijelentkezésre. Ha a felhasználó kijelentkezik az alkalmazásból, a BIG-IP-cím feledésbe kerül a műveletre. Győződjön meg arról, hogy az SP által kezdeményezett kijelentkezés aktiválja a munkamenetek biztonságos leállítását. Adjon hozzá egy SLO-függvényt az alkalmazások Kijelentkezés gombjához, hogy átirányítsa az ügyfelet a Microsoft Entra SAML vagy BIG-IP kijelentkezés végpontjára. Keresse meg a BÉRLŐ SAML-kijelentkeztetés végpontJÁNAK URL-címét az alkalmazásregisztráció végpontjaiban>.
Ha nem tudja módosítani az alkalmazást, a BIG-IP figyeli az alkalmazás kijelentkező hívását, majd aktiválja az SLO-t.
Tudj meg többet:
- PeopleSoft SLO-kijelentkezés
- Lépjen a support.f5.com a következőhöz:
Felfejlődik
- Válassza az Üzembe helyezés lehetőséget a véglegesítési beállításokhoz.
- Ellenőrizze, hogy az alkalmazás megjelenik-e a bérlői vállalati alkalmazások listájában.
Teszt
- Egy böngészőben csatlakozzon az Oracle EBS-alkalmazás külső URL-címéhez, vagy válassza az alkalmazás ikont a Saját alkalmazások.
- Hitelesítés a Microsoft Entra-azonosítón.
- A rendszer átirányítja az alkalmazás BIG-IP virtuális kiszolgálójára, és bejelentkezik az egyszeri bejelentkezéssel.
A nagyobb biztonság érdekében tiltsa le a közvetlen alkalmazáshozzáférést, és ezáltal kényszerítsen ki egy útvonalat a BIG-IP-címen keresztül.
Speciális üzembe helyezés
Az irányított konfigurációs sablonok néha nem rugalmasak a követelményekhez.
További információ: Oktatóanyag: Az F5 BIG-IP Access Policy Managerének konfigurálása fejlécalapú egyszeri bejelentkezéshez.
Konfigurációk manuális módosítása
Másik lehetőségként a BIG-IP-ben tiltsa le az irányított konfiguráció szigorú felügyeleti módját a konfigurációk manuális módosításához. A varázslósablonok a legtöbb konfigurációt automatizálják.
Navigáljon az irányított konfiguráció eléréséhez>.
Az alkalmazáskonfiguráció sorának jobb végén válassza a lakat ikont .
A szigorú mód letiltása után nem végezhet módosításokat a varázslóval. A közzétett alkalmazáspéldányhoz társított BIG-IP-objektumok azonban feloldva vannak a felügyelethez.
Jegyzet
Ha újra engedélyezi a szigorú módot, az új konfigurációk felülírják az irányított konfiguráció nélkül végrehajtott beállításokat. Az éles szolgáltatások speciális konfigurációs módszerét javasoljuk.
Hibaelhárítás
A problémák elhárításához kövesse az alábbi utasításokat.
A napló részletességének növelése
A BIG-IP-naplózással elkülönítheti a kapcsolódással, az egyszeri bejelentkezéssel, a szabályzatok megsértésével vagy a helytelenül konfigurált változóleképezésekkel kapcsolatos problémákat. Növelje a napló részletességi szintjét.
- Navigáljon az Access Szabályzat > áttekintése > eseménynaplóihoz.
- Válassza a Beállítások lehetőséget.
- Válassza ki a közzétett alkalmazás sorát.
- Válassza az Access-rendszernaplók szerkesztése > lehetőséget.
- Az egyszeri bejelentkezés listájában válassza a Hibakeresés lehetőséget.
- Válassza az OK gombot.
- Reprodukálja a problémát.
- Vizsgálja meg a naplókat.
Állítsa vissza a beállítások módosításait, mert a részletes mód túl sok adatot eredményez.
BIG-IP hibaüzenet
Ha a Microsoft Entra előzetes hitelesítése után BIG-IP-hiba jelenik meg, a probléma a Microsoft Entra-azonosítóhoz és a BIG-IP SSO-hoz kapcsolódhat.
- Lépjen a **Hozzáférés > áttekintése elemre.
- Válassza az Access-jelentések lehetőséget.
- Futtassa a jelentést az elmúlt órában.
- Tekintse át a naplókat a nyomokért.
A munkamenet megtekintése hivatkozással ellenőrizheti, hogy az APM megkapja-e a Várt Microsoft Entra-jogcímeket.
Nincs BIG-IP-hibaüzenet
Ha nem jelenik meg BIG-IP hibalap, a probléma a háttérkérelemhez vagy a BIG-IP-címhez és az alkalmazás egyszeri bejelentkezéséhez kapcsolódhat.
- Nyissa meg az Access Policy > áttekintését.
- Válassza az Aktív munkamenetek lehetőséget.
- Válassza ki az aktív munkamenet hivatkozását.
A Változók megtekintése hivatkozással megvizsgálhatja az egyszeri bejelentkezéssel kapcsolatos problémákat, különösen akkor, ha a BIG-IP APM nem szerez be megfelelő attribútumokat a Microsoft Entra ID-ból vagy más forrásból.
Tudj meg többet:
- Az APM-változók hozzárendelési példáinak devcentral.f5.com megnyitása
- Lépjen a techdocs.f5.com a Manuális fejezet: Munkamenet-változókhoz
Az APM szolgáltatásfiók ellenőrzése
Az alábbi Bash Shell-paranccsal ellenőrizze az APM szolgáltatásfiókot LDAP-lekérdezésekhez. A parancs hitelesíti és lekérdezi a felhasználói objektumokat.
ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"
Tudj meg többet:
- Nyissa meg a support.f5.com a K11072-hez : LDAP távoli hitelesítés konfigurálása az AD-hez
- A kézi fejezet: LDAP-lekérdezés techdocs.f5.com