Oktatóanyag: Az F5 BIG-IP Easy gomb konfigurálása egyszeri bejelentkezéshez az Oracle Kapcsolatok Softhoz
Ebben a cikkben megismerheti az Oracle Kapcsolatok Soft (Kapcsolatok Soft) védelmét a Microsoft Entra ID-val, az F5 BIG-IP Easy Button Irányított konfiguráció 16.1-vel.
A BIG-IP integrálása a Microsoft Entra-azonosítóval számos előnnyel jár:
- Továbbfejlesztett Teljes felügyelet szabályozás a Microsoft Entra előhitelesítésével és feltételes hozzáférésével
- Egyszeri bejelentkezés (SSO) a Microsoft Entra ID és a BIG-IP által közzétett szolgáltatások között
- Identitások és hozzáférés kezelése a Microsoft Entra felügyeleti központból
További információ:
- F5 BIG-IP integrálása a Microsoft Entra ID-val
- Egyszeri bejelentkezés engedélyezése nagyvállalati alkalmazásokhoz
Forgatókönyv leírása
Ebben az oktatóanyagban egy Kapcsolatok Soft-alkalmazás használható HTTP-engedélyezési fejlécekkel a védett tartalomhoz való hozzáférés kezeléséhez.
Az örökölt alkalmazások nem rendelkeznek a Microsoft Entra integrációját támogató modern protokollokkal. A modernizáció költséges, tervezést igényel, és potenciális állásidő-kockázatot jelent. Ehelyett használjon egy F5 BIG-IP-alkalmazáskézbesítési vezérlőt (ADC) az örökölt alkalmazások és a modern azonosító-vezérlés közötti szakadék áthidalásához protokollváltással.
Az alkalmazás előtt big-IP-címmel átfedheti a szolgáltatást a Microsoft Entra előhitelesítésével és fejlécalapú egyszeri bejelentkezéssel. Ez a művelet javítja az alkalmazás biztonsági helyzetét.
Feljegyzés
Szerezzen távoli hozzáférést ehhez az alkalmazástípushoz a Microsoft Entra alkalmazásproxyval.
Lásd: Távoli hozzáférés a helyszíni alkalmazásokhoz a Microsoft Entra alkalmazásproxyn keresztül.
Forgatókönyv-architektúra
Az oktatóanyag biztonságos hibrid hozzáférési (SHA) megoldása a következő összetevőkkel rendelkezik:
- Kapcsolatok Soft-alkalmazás – BIG-IP által közzétett szolgáltatás, amelyet a Microsoft Entra SHA biztosít
- Microsoft Entra ID – Security Assertion Markup Language (SAML) identitásszolgáltató (IDP), amely ellenőrzi a felhasználói hitelesítő adatokat, a feltételes hozzáférést és az SAML-alapú egyszeri bejelentkezést a BIG-IP-címre
- Az egyszeri bejelentkezésen keresztül a Microsoft Entra ID munkamenet-attribútumokat biztosít a BIG-IP-címhez
- BIG-IP – fordított proxy és SAML-szolgáltató (SP) az alkalmazáshoz. Hitelesítést delegál az SAML-azonosítóba, majd fejlécalapú egyszeri bejelentkezést hajt végre a Kapcsolatok Soft szolgáltatásban.
Ebben a forgatókönyvben az SHA támogatja az SP és az IdP által kezdeményezett folyamatokat. Az alábbi ábra az SP által kezdeményezett folyamatot szemlélteti.
- A felhasználó az alkalmazásvégponthoz (BIG-IP) csatlakozik.
- A BIG-IP APM hozzáférési szabályzat átirányítja a felhasználót a Microsoft Entra ID(SAML IdP) azonosítóra.
- A Microsoft Entra előhitelesít felhasználót, és feltételes hozzáférési szabályzatokat alkalmaz.
- A rendszer átirányítja a felhasználót a BIG-IP-címre (SAML SP), és az egyszeri bejelentkezés a kiadott SAML-jogkivonattal történik.
- A BIG-IP fejlécként injektálja a Microsoft Entra-attribútumokat az alkalmazás kérésében.
- Az alkalmazás engedélyezi a kérést, és hasznos adatokat ad vissza.
Előfeltételek
- Ingyenes Microsoft Entra-azonosítójú fiók vagy újabb
- BIG-IP vagy BIG-IP virtuális kiadás (VE) az Azure-ban
- Az alábbi F5 BIG-IP-licencek bármelyike:
- F5 BIG-IP® legjobb csomag
- F5 BIG-IP APM önálló licenc
- F5 BIG-IP APM bővítménylicence meglévő BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) rendszeren
- 90 napos BIG-IP teljes funkciós próbaverziós licenc
- A helyszíni címtárból a Microsoft Entra ID-ba szinkronizált vagy a Microsoft Entra ID-ban létrehozott és a helyszíni címtárba visszafolyt felhasználói identitások
- Az alábbi szerepkörök egyike: Cloud Application Rendszergazda istrator vagy Application Rendszergazda istrator.
- SSL-webtanúsítvány a szolgáltatások HTTPS-en keresztüli közzétételéhez, vagy az alapértelmezett BIG-IP-tanúsítványok teszteléséhez
- Egy Kapcsolatok Soft-környezet
BIG-IP-konfiguráció
Ez az oktatóanyag egy Egyszerű gombsablonnal rendelkező Irányított konfiguráció 16.1-et használ.
Az Egyszerű gombra kattintva a rendszergazdák nem lépnek át a Microsoft Entra-azonosító és a BIG-IP között az SHA-szolgáltatások engedélyezéséhez. Az APM irányított konfigurációs varázslója és a Microsoft Graph kezeli az üzembe helyezést és a szabályzatkezelést. Az integráció biztosítja, hogy az alkalmazások támogassák az identitás-összevonást, az egyszeri bejelentkezést és a feltételes hozzáférést.
Feljegyzés
Cserélje le az oktatóanyagban szereplő példasztringeket vagy értékeket a környezetében lévőkre.
Az Egyszerű gomb regisztrálása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Mielőtt egy ügyfél vagy szolgáltatás hozzáfér a Microsoft Graphhoz, a Microsoft Identitásplatform megbízhatónak kell lennie.
További információ: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform
Az alábbi utasítások segítenek létrehozni egy bérlői alkalmazásregisztrációt, amely engedélyezi az Egyszerű gomb hozzáférését a Graphhoz. Ezekkel az engedélyekkel a BIG-IP leküldi a konfigurációkat, hogy megbízhatósági kapcsolatot létesítsen a közzétett alkalmazás SAML SP-példánya és a Microsoft Entra-azonosító között SAML-azonosítóként.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk > új regisztrációt.
Adjon meg egy alkalmazásnevet.
Csak ebben a szervezeti címtárban lévő fiókok esetén adja meg, hogy ki használja az alkalmazást.
Válassza ki a pénztárgépet.
Navigáljon az API-engedélyekhez.
Engedélyezze a következő Microsoft Graph-alkalmazásengedélyeket:
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Adjon rendszergazdai hozzájárulást a szervezetnek.
Lépjen a Tanúsítványok és titkos kódok elemre.
Hozzon létre egy új ügyfélkulcsot , és jegyezze fel.
Nyissa meg az Áttekintést, és jegyezze fel az ügyfél-azonosítót és a bérlőazonosítót.
Az Egyszerű gomb konfigurálása
- Indítsa el az APM irányított konfigurációját.
- Indítsa el az Egyszerű gomb sablont.
- Navigáljon az irányított konfiguráció eléréséhez>.
- Válassza a Microsoft Integration lehetőséget.
- Válassza a Microsoft Entra-alkalmazás lehetőséget.
- Tekintse át a konfigurációs sorrendet.
- Válassza a Tovább lehetőséget
- Kövesse a konfigurációs sorrendet.
Konfiguráció tulajdonságai
A Konfiguráció tulajdonságai lapon új alkalmazáskonfigurációkat és SSO-objektumokat hozhat létre. Az Azure Service Account Details szakasz a Microsoft Entra-bérlőben regisztrált ügyfelet jelöli alkalmazásként. A BIG-IP OAuth-ügyfél beállításaival regisztráljon egy SAML SP-t a bérlőben SSO-tulajdonságokkal. Az Easy Button elvégzi ezt a műveletet az SHA-hoz közzétett és engedélyezett BIG-IP-szolgáltatások esetében.
Feljegyzés
Az alábbi beállítások némelyike globális. További alkalmazások közzétételéhez újra felhasználhatja őket.
- Adjon meg egy konfigurációnevet. Az egyedi nevek segítenek megkülönböztetni a konfigurációkat.
- Egyszeri bejelentkezés (SSO) és HTTP-fejlécek esetén válassza a Be lehetőséget.
- Adja meg a bérlőazonosítót, az ügyfél-azonosítót és az ügyfél titkos kódját .
- Ellenőrizze, hogy a BIG-IP csatlakozik-e a bérlőhöz.
- Válassza a Tovább lehetőséget.
Szolgáltató
A Szolgáltató beállításaival definiálhatja az SHA által védett alkalmazást képviselő APM-példány SAML SP-tulajdonságait.
- Gazdagép esetén adja meg a biztonságos alkalmazás nyilvános teljes tartománynevét.
- Entitásazonosító esetén adja meg azt az azonosítót, amelyet a Microsoft Entra ID használ a jogkivonatot kérő SAML SP azonosításához.
(Nem kötelező) A Biztonsági Gépház esetében a Microsoft Entra ID titkosítja a kiadott SAML-állításokat. Ez a beállítás növeli a tartalom-jogkivonatok elfogását és az adatok sérülését.
Az Assertion Decryption Private Key listából válassza az Új létrehozása lehetőséget.
- Kattintson az OK gombra.
- Az SSL-tanúsítvány és -kulcsok importálása párbeszédpanel egy új lapon jelenik meg.
- Importálási típus esetén válassza a PKCS 12 (IIS) lehetőséget. Ez a beállítás importálja a tanúsítványt és a titkos kulcsot.
- Zárja be a böngészőlapot a fő lapra való visszatéréshez.
- A titkosított helyesség engedélyezéséhez jelölje be a jelölőnégyzetet.
- Ha engedélyezte a titkosítást, válassza ki a tanúsítványt az Assertion Decryption Private Key listából. Ez a titkos kulcs azon tanúsítványhoz tartozik, amelyet a BIG-IP APM a Microsoft Entra-állítások visszafejtéséhez használ.
- Ha engedélyezte a titkosítást, válassza ki a tanúsítványt az Assertion Visszafejtési tanúsítvány listájából. A BIG-IP feltölti ezt a tanúsítványt a Microsoft Entra-azonosítóba a kiadott SAML-állítások titkosításához.
Microsoft Entra ID
Az Egyszerű gomb sablonokat biztosít az Oracle Kapcsolatok Softhoz, az Oracle E-Business Suite-hoz, az Oracle JD Edwardshoz, az SAP ERP-hez és egy általános SHA-sablonhoz.
- Válassza az Oracle Kapcsolatok Soft lehetőséget.
- Válassza a Hozzáadás lehetőséget.
Azure-konfiguráció
Adja meg a bérlőben létrehozott BIG-IP-cím alkalmazás megjelenítendő nevét . A név megjelenik egy ikonon a Saját alkalmazások.
(Nem kötelező) Bejelentkezési URL-címként adja meg a Kapcsolatok Soft-alkalmazás nyilvános teljes tartománynevét.
Az aláírókulcs és az aláíró tanúsítvány mellett válassza a frissítés lehetőséget. Ez a művelet megkeresi az importált tanúsítványt.
Az aláírókulcs-jelszó megadásához adja meg a tanúsítvány jelszavát.
(Nem kötelező) Aláírási beállítás esetén válasszon egy lehetőséget. Ez a kijelölés biztosítja, hogy a BIG-IP elfogadja a Microsoft Entra ID által aláírt jogkivonatokat és jogcímeket.
- A felhasználói és felhasználói csoportok dinamikusan lekérdezhetők a Microsoft Entra-bérlőből.
- Adjon hozzá egy felhasználót vagy csoportot teszteléshez, ellenkező esetben a hozzáférés megtagadva.
Felhasználói attribútumok és jogcímek
Amikor egy felhasználó hitelesít, a Microsoft Entra ID kiad egy SAML-jogkivonatot, amely alapértelmezett jogcímekkel és attribútumokkal azonosítja a felhasználót. A Felhasználói attribútumok > Jogcímek lap alapértelmezett jogcímekkel rendelkezik az új alkalmazáshoz. További jogcímek konfigurálásához használja. Az Egyszerű gomb sablon rendelkezik a Kapcsolatok Soft által igényelt alkalmazotti azonosítóval.
Szükség esetén adjon meg más Microsoft Entra-attribútumokat is. A minta Kapcsolatok Soft-alkalmazáshoz előre definiált attribútumok szükségesek.
További felhasználói attribútumok
A További felhasználói attribútumok lap támogatja azokat az elosztott rendszereket, amelyek attribútumokat igényelnek, a munkamenet-bővítéshez más könyvtárakban vannak tárolva. Az LDAP-forrásból származó attribútumok több SSO-fejlécként vannak injektálva, hogy a szerepkörök, partnerazonosítók stb. alapján szabályozhassák a hozzáférést.
Feljegyzés
Ennek a funkciónak nincs korrelációja a Microsoft Entra-azonosítóval; ez egy másik attribútumforrás.
Feltételes hozzáférési szabályzat
A feltételes hozzáférési szabályzatok a Microsoft Entra előzetes hitelesítése után lesznek kikényszeríthetők a hozzáférés eszköz, alkalmazás, hely és kockázati jelek alapján történő vezérléséhez. Az Elérhető szabályzatok nézet felhasználói műveletek nélküli feltételes hozzáférési szabályzatokkal rendelkezik. A Kiválasztott szabályzatok nézet szabályzatai a felhőalkalmazásokat célba véve vannak. Ezeket a házirendeket nem lehet megszüntetni vagy áthelyezni az Elérhető szabályzatok listára, mert azok bérlői szinten vannak kényszerítve.
Válasszon egy szabályzatot az alkalmazáshoz.
- Az Elérhető szabályzatok listában válasszon ki egy szabályzatot.
- Kattintson a jobb nyílra , és helyezze át a házirendet a Kijelölt házirendek elemre.
A kijelölt szabályzatok be vannak jelölve a Belefoglalás vagy kizárás beállítással. Ha mindkét beállítás be van jelölve, a szabályzat nem lesz kényszerítve.
Feljegyzés
A szabályzatlista egyszer jelenik meg, amikor kiválasztja a lapot. A varázsló frissítésével kérdezheti le a bérlőt. Ez a beállítás az alkalmazás üzembe helyezése után jelenik meg.
Virtuális kiszolgáló tulajdonságai
A virtuális kiszolgáló egy BIG-IP-adatsík objektum, amelyet egy virtuális IP-cím jelöl. A kiszolgáló figyeli az alkalmazás ügyfélkéréseit. A fogadott forgalom feldolgozása és kiértékelése a virtuális kiszolgáló APM-profilja alapján történik. Ezután a forgalom a szabályzatnak megfelelően lesz irányítva.
- Célcímként adja meg azt az IPv4- vagy IPv6-címet, amelyet a BIG-IP használ az ügyfélforgalom fogadásához. Megjelenik egy megfelelő rekord a DNS-ben, amely lehetővé teszi az ügyfelek számára, hogy feloldják a közzétett alkalmazás külső URL-címét az IP-címre. Teszteléshez használjon egy localhost DNS-tesztszámítógépet.
- Szolgáltatásport esetén adja meg a 443-at, és válassza a HTTPS lehetőséget.
- Az átirányítási port engedélyezéséhez jelölje be a jelölőnégyzetet.
- Átirányítási port esetén adja meg a 80-at, és válassza a HTTP lehetőséget. Ez a beállítás átirányítja a bejövő HTTP-ügyfélforgalmat a HTTPS-hez.
- Az ügyfél SSL-profilja esetében válassza a Meglévő használata lehetőséget.
- A Közös csoportban válassza ki a létrehozott lehetőséget. Tesztelés esetén hagyja meg az alapértelmezett értéket. Az ügyfél SSL-profilja engedélyezi a virtuális kiszolgálót HTTPS-hez, így az ügyfélkapcsolatok TLS-en keresztül vannak titkosítva.
Készlet tulajdonságai
Az Alkalmazáskészlet lap egy BIG-IP mögötti szolgáltatásokkal rendelkezik, amely alkalmazáskiszolgálókkal rendelkező készletként jelenik meg.
- Készlet kiválasztása esetén válassza az Új létrehozása lehetőséget, vagy válasszon egyet.
- Terheléselosztási módszer esetén válassza a Kerekítés elemet.
- Készletkiszolgálók esetén az IP-cím/csomópontnév mezőben jelöljön ki egy csomópontot, vagy adjon meg egy IP-címet és portot a Kapcsolatok Soft alkalmazást futtató kiszolgálók számára.
Egyszeri bejelentkezés & HTTP-fejlécek
Az Egyszerű gomb varázsló támogatja a Kerberos, OAuth Bearer és HTTP engedélyezési fejléceket az egyszeri bejelentkezéshez a közzétett alkalmazásokhoz. A Kapcsolatok Soft alkalmazás fejléceket vár.
- HTTP-fejlécek esetén jelölje be a jelölőnégyzetet.
- Fejlécművelet esetén válassza a Csere lehetőséget.
- A Fejléc neve mezőbe írja be a PS_SSO_UID.
- Fejlécértékként írja be a következőt: %{session.sso.token.last.username}.
Feljegyzés
A kapcsos zárójelben lévő APM-munkamenet változói megkülönböztetik a kis- és nagybetűket. Ha például orclGUID értéket ad meg, és az attribútum neve orclguid, az attribútumleképezés meghiúsul.
Munkamenet-kezelés
A BIG-IP-munkamenetek kezelési beállításaival feltételeket határozhat meg a felhasználói munkamenetek befejezéséhez vagy folytatásához. Állítsa be a felhasználókra és AZ IP-címekre vonatkozó korlátozásokat, valamint a megfelelő felhasználói adatokat.
További információ: support.f5.com a következő K18390492: Biztonság | BIG-IP APM üzemeltetési útmutató
Az üzemeltetési útmutató nem fedi le az egyszeri kijelentkezési (SLO) funkciót, amely biztosítja, hogy a felhasználók kijelentkezésekor az idP, a BIG-IP és a felhasználói ügynök munkamenetei leállnak. Amikor az Egyszerű gomb létrehoz egy SAML-alkalmazást a Microsoft Entra-bérlőben, feltölti a kijelentkezés URL-címét az APM SLO-végponttal. Az idP által kezdeményezett kijelentkezés Saját alkalmazások leállítja a BIG-IP- és ügyfél-munkameneteket.
A közzétett alkalmazás SAML összevonási adatait a bérlő importálja. Ez a művelet biztosítja az APM számára a Microsoft Entra ID SAML bejelentkezési végpontját, amely biztosítja, hogy az SP által kezdeményezett kijelentkezés leállítja az ügyfél- és a Microsoft Entra-munkameneteket. Az APM-nek tudnia kell, hogy egy felhasználó mikor jelentkezik ki.
Amikor a BIG-IP webtop portál hozzáfér a közzétett alkalmazásokhoz, az APM feldolgoz egy kijelentkezést a Microsoft Entra kijelentkezési végpontjának meghívásához. Ha a BIG-IP webtop portál nincs használatban, a felhasználó nem utasíthatja az APM-t a kijelentkezésre. Ha a felhasználó kijelentkezik az alkalmazásból, a BIG-IP-cím nem kötelező. Az SP által kezdeményezett kijelentkezés biztonságos munkamenet-megszakítást igényel. Adjon hozzá egy SLO-függvényt az alkalmazás Kijelentkezés gombjához, hogy átirányítsa az ügyfelet a Microsoft Entra SAML vagy BIG-IP kijelentkezés végpontjára. Az SAML kijelentkezteti a bérlő végpontJÁNAK URL-címét az alkalmazásregisztráció végpontjaiban>.
Ha nem tudja módosítani az alkalmazást, fontolja meg, hogy a BIG-IP figyeli az alkalmazás kijelentkező hívásait, és aktiválja az SLO-t. További információ: Kapcsolatok Soft Single Logout a következő szakaszban.
Telepítés
- Válassza az Üzembe helyezés lehetőséget.
- Ellenőrizze az alkalmazást a nagyvállalati alkalmazások bérlői listájában.
- Az alkalmazás közzé van téve és elérhető az SHA-val.
Kapcsolatok Soft konfigurálása
Használja az Oracle Access Managert az Kapcsolatok Soft-alkalmazás identitásának és hozzáférés-kezelésének használatához.
További információ: o docs.oracle.com for Oracle Access Manger Integration Guide, Integration Kapcsolatok Soft
Az Oracle Access Manager egyszeri bejelentkezésének konfigurálása
Konfigurálja az Oracle Access Managert, hogy fogadja el az egyszeri bejelentkezést a BIG-IP-címről.
- Jelentkezzen be az Oracle-konzolra rendszergazdai engedélyekkel.
- Lépjen a Kapcsolatok Tools Security webhelyre>.
- Válassza ki a felhasználói profilokat.
- Válassza ki a felhasználói profilokat.
- Hozzon létre egy új felhasználói profilt.
- Felhasználói azonosító esetén adja meg az OAMPSFT értéket
- Felhasználói szerepkör esetén adja meg a Kapcsolatok Soft-felhasználót.
- Válassza a Mentés lehetőséget.
- Lépjen Kapcsolatok Eszközök>webprofilhoz.
- Válassza ki a webes profilt.
- A Biztonság lap Nyilvános felhasználók lapján válassza a Nyilvános hozzáférés engedélyezése lehetőséget.
- Felhasználói azonosítóként adja meg az OAMPSFT értéket.
- Adja meg a jelszót.
- Hagyja el a Kapcsolatok soft konzolt.
- Indítsa el a Kapcsolatok-alkalmazás Tervező.
- Kattintson a jobb gombbal az LDAPAUTH mezőre.
- Válassza a Nézet Kapcsolatok Kód lehetőséget.
Megnyílik az LDAPAUTH-kódablak .
Keresse meg a OAMSSO_AUTHENTICATION függvényt.
Cserélje le a >defaultUserId értéket az OAMPSFT értékre.
Mentse a bejegyzést.
Lépjen a **Kapcsolatok Tools > Security elemre.
Válassza a Biztonsági objektumok lehetőséget.
Válassza a Bejelentkezés Kapcsolatok Code lehetőséget.
Engedélyezze a OAMSSO_AUTHENTICATION.
Kapcsolatok Soft egyszeri kijelentkeztetés
Amikor kijelentkezik a Saját alkalmazások, a Kapcsolatok Soft SLO lesz elindítva, amely a BIG-IP SLO végpontot hívja meg. A BIG-IP-nek útmutatásra van szüksége az SLO alkalmazás nevében történő végrehajtásához. Kérje meg a BIG-IP-figyelést, hogy a felhasználó kijelentkezteti a Kapcsolatok Softhoz érkező kéréseket, majd aktiválja az SLO-t.
SLO-támogatás hozzáadása Kapcsolatok Soft-felhasználók számára.
- Szerezze be a Kapcsolatok Soft portál bejelentkezési URL-címét.
- Nyissa meg a portált egy webböngészővel.
- Engedélyezze a hibakeresési eszközöket.
- Keresse meg a PT_LOGOUT_MENU azonosítójú elemet.
- Mentse az URL-elérési utat a lekérdezési paraméterekkel. Ebben a példában:
/psp/ps/?cmd=logout
.
Hozzon létre egy BIG-IP-alapú iRule-t, amely átirányítja a felhasználókat az SAML SP kijelentkezés végpontjához: /my.logout.php3
.
- Lépjen a **Helyi forgalom > szabályszerű listájára.
- Válassza a Létrehozás lehetőséget.
- Adjon meg egy szabálynevet.
- Adja meg a következő parancssorokat.
when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}
- Válassza a Kész elemet.
Rendelje hozzá az iRule-t a BIG-IP virtuális kiszolgálóhoz.
- Navigáljon az irányított konfiguráció eléréséhez>.
- Válassza a Kapcsolatok Soft alkalmazáskonfigurációs hivatkozást.
- A felső navigációs sávon válassza a Virtuális kiszolgáló lehetőséget.
- Speciális Gépház esetén válassza a *Be elemet.
- Görgessen az aljára.
- A Common (Közös) területen adja hozzá a létrehozott iRule-t.
- Válassza a Mentés lehetőséget.
- Válassza a Következő lehetőséget.
- Folytassa a beállítások konfigurálását.
További információ: support.f5.com:
- K42052145: Az automatikus munkamenet-megszakítás (kijelentkezés) konfigurálása egy URI-ra hivatkozó fájlnév alapján
- K12056: A Kijelentkezés URI belefoglalása lehetőség áttekintése
Alapértelmezett beállítás a Kapcsolatok Soft kezdőlapjára
A felhasználói kérések átirányítása a gyökérről ("/") a külső Kapcsolatok Soft portálra, amely általában a következő helyen található: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL"
- Lépjen a helyi forgalom > iRule-ra.
- Válassza a iRule_Kapcsolatok Soft lehetőséget.
- Adja hozzá a következő parancssorokat.
when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }
- Rendelje hozzá az iRule-t a BIG-IP virtuális kiszolgálóhoz.
Konfiguráció megerősítése
Böngészőben lépjen a Kapcsolatok Soft alkalmazás külső URL-címére, vagy válassza az alkalmazás ikont a Saját alkalmazások.
Hitelesítés a Microsoft Entra-azonosítón.
A rendszer átirányítja a BIG-IP virtuális kiszolgálóra, és bejelentkezik az egyszeri bejelentkezéssel.
Feljegyzés
Letilthatja az alkalmazáshoz való közvetlen hozzáférést, ezáltal kényszerítve az elérési utat a BIG-IP-címen keresztül.
Speciális üzembe helyezés
Az irányított konfigurációs sablonok néha nem rugalmasak.
További információ: Oktatóanyag: Az F5 BIG-IP hozzáférési szabályzatkezelő konfigurálása fejlécalapú egyszeri bejelentkezéshez
Másik lehetőségként a BIG-IP-ben tiltsa le az Irányított konfiguráció szigorú felügyeleti módot. Manuálisan is módosíthatja a konfigurációkat, bár a legtöbb konfiguráció varázslósablonokkal van automatizálva.
- Navigáljon az irányított konfiguráció eléréséhez>.
- A sor végén válassza ki a lakatot.
A varázsló felhasználói felületének módosítása nem lehetséges, azonban a közzétett alkalmazáspéldányhoz társított BIG-IP-objektumok feloldva vannak a felügyelethez.
Feljegyzés
Ha újratelepíti a szigorú módot, és üzembe helyez egy konfigurációt, a rendszer felülírja az irányított konfiguráción kívül végrehajtott beállításokat. Az éles szolgáltatások speciális konfigurációját javasoljuk.
Hibaelhárítás
A BIG-IP-naplózással elkülönítheti a kapcsolódással, az egyszeri bejelentkezéssel, a szabályzatok megsértésével vagy a helytelenül konfigurált változóleképezésekkel kapcsolatos problémákat.
Napló részletessége
- Nyissa meg az Access Policy > áttekintését.
- Válassza az Eseménynaplók lehetőséget.
- Válassza a Beállítások lehetőséget.
- Válassza ki a közzétett alkalmazás sorát.
- Válassza a Szerkesztés lehetőséget.
- Hozzáférési rendszernaplók kiválasztása
- Az egyszeri bejelentkezés listájában válassza a Hibakeresés lehetőséget.
- Kattintson az OK gombra.
- Idézze elő újra a problémát.
- Vizsgálja meg a naplókat.
Ha elkészült, állítsa vissza ezt a funkciót, mert a részletes mód sok adatot generál.
BIG-IP hibaüzenet
Ha a Microsoft Entra előzetes hitelesítése után BIG-IP-hiba jelenik meg, lehetséges, hogy a probléma a Microsoft Entra-azonosítóhoz és a BIG-IP SSO-hoz kapcsolódik.
- Navigáljon az Access > áttekintéséhez.
- Válassza az Access-jelentések lehetőséget.
- Futtassa a jelentést az elmúlt órában.
- Tekintse át a naplókat a nyomokért.
A munkamenet Munkamenet megtekintése hivatkozásával ellenőrizheti, hogy az APM megkapja-e a Várt Microsoft Entra-jogcímeket.
Nincs BIG-IP-hibaüzenet
Ha nem jelenik meg BIG-IP-hibaüzenet, a probléma a háttérkérelemhez vagy az alkalmazás egyszeri bejelentkezéséhez kapcsolódó BIG-IP-címmel kapcsolatos lehet.
- Nyissa meg az Access Policy > áttekintését.
- Válassza az Aktív munkamenetek lehetőséget.
- Válassza ki az aktív munkamenet hivatkozását.
A Változók megtekintése hivatkozással meghatározhatja az egyszeri bejelentkezéssel kapcsolatos problémákat, különösen akkor, ha a BIG-IP APM helytelen attribútumokat szerez be a munkamenet-változókból.
További információ:
- Az APM-változók hozzárendelési példáinak devcentral.f5.com megnyitása
- Ugrás a munkamenet-változók techdocs.f5.com
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: