Tutorial: Mengaktifkan akses hibrid aman untuk aplikasi dengan Azure Active Directory B2C dan F5 BIG-IP

Pelajari cara mengintegrasikan Azure Active Directory B2C (Azure AD B2C) dengan F5 BIG-IP Access Policy Manager (APM). Anda dapat mengekspos aplikasi warisan dengan aman ke internet melalui keamanan BIG-IP, dengan praauthentikasi B2C Azure AD, Akses Bersyarat (CA), dan akses menyeluruh (SSO). F5 Inc. berfokus pada pengiriman, keamanan, performa, dan ketersediaan layanan yang terhubung, termasuk komputasi, penyimpanan, dan sumber daya jaringan. Ini menyediakan perangkat keras, perangkat lunak modular, dan solusi appliance virtual siap cloud.

Sebarkan Pengontrol Pengiriman Aplikasi (ADC) F5 BIG-IP sebagai gateway yang aman antara jaringan privat dan internet. Ada fitur untuk inspeksi tingkat aplikasi dan kontrol akses yang dapat disesuaikan. Jika disebarkan sebagai proksi terbalik, gunakan BIG-IP untuk mengaktifkan akses hibrid yang aman ke aplikasi bisnis, dengan lapisan akses identitas federasi yang dikelola oleh APM.

Buka f5.com sumber daya dan laporan resmi untuk: Mudah Mengonfigurasi Akses Aman ke Semua Aplikasi Anda melalui ID Microsoft Entra

Prasyarat

Untuk memulai, Anda memerlukan:

• Langganan Azure
  • Jika Anda tidak memilikinya, dapatkan akun gratis Azure
• Penyewa Azure AD B2C yang ditautkan ke langganan Azure
  • Lihat, Tutorial: Membuat penyewa Azure Active Directory B2C
• BIG-IP atau uji coba BIG-IP Virtual Environment (VE) yang disebarkan di Azure
  • Lihat, Menyebarkan VM F5 BIG-IP Virtual Edition di Azure
• Salah satu lisensi F5 BIG-IP berikut:
  • F5 BIG-IP® Bundel terbaik
  • Lisensi mandiri F5 BIG-IP Access Policy Manager™
  • Lisensi add-on Manajer™ Kebijakan Akses F5 BIG-IP pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Lisensi uji coba fitur lengkap BIG-IP 90 hari
• Aplikasi web berbasis header atau aplikasi IIS untuk pengujian
  • Lihat, Menyiapkan aplikasi IIS
• Sertifikat SSL untuk menerbitkan layanan melalui HTTPS, atau menggunakan default saat pengujian
  • Lihat, profil SSL

Deskripsi Skenario

Skenario berikut berbasis header, tetapi Anda dapat menggunakan metode ini untuk mencapai SSO Kerberos.

Untuk skenario ini, akses untuk aplikasi internal bergantung pada penerimaan header otorisasi HTTP dari sistem broker warisan. Agen penjualan dapat diarahkan ke area konten masing-masing. Layanan ini perlu diperluas ke basis konsumen yang lebih luas. Aplikasi akan ditingkatkan untuk opsi autentikasi konsumen, atau diganti.

Idealnya, peningkatan aplikasi mendukung manajemen dan tata kelola langsung dengan sarana kontrol modern. Namun, waktu dan upaya untuk memodernisasi memperkenalkan biaya dan potensi waktu henti. Sebagai gantinya, sebarkan BIG-IP Virtual Edition (VE) antara internet publik dan jaringan virtual Azure internal (VNet) untuk akses gerbang dengan Azure AD B2C. BIG-IP di depan aplikasi memungkinkan overlay layanan dengan pra-autentikasi Azure AD B2C dan SSO berbasis header, meningkatkan postur keamanan aplikasi.

Solusi akses hibrid yang aman memiliki komponen berikut:

• Aplikasi - layanan back-end yang dilindungi oleh akses hibrid aman Azure AD B2C dan BIG-IP
• Azure AD B2C - server otorisasi penyedia identitas (IdP) dan OpenID Connect (OIDC) yang memverifikasi kredensial pengguna, autentikasi multifaktor, dan SSO ke BIG-IP APM
• BIG-IP - proksi terbalik untuk aplikasi. BIG-IP APM adalah klien OIDC, mendelegasikan autentikasi ke server otorisasi OIDC, sebelum SSO berbasis header ke layanan back-end.

Diagram berikut mengilustrasikan alur yang dimulai penyedia layanan (SP) untuk skenario ini.

1. Pengguna terhubung ke titik akhir aplikasi. BIG-IP adalah penyedia layanan.
2. Klien BIG-IP APM OIDC mengalihkan pengguna ke titik akhir penyewa B2C Azure AD, server otorisasi OIDC
3. Azure AD penyewa B2C melakukan pra-autentikasi pengguna dan menerapkan kebijakan Akses Bersyariah
4. AAD B2C mengalihkan pengguna kembali ke SP dengan kode otorisasi
5. Klien OIDC meminta server otorisasi untuk menukar kode otorisasi untuk token ID
6. BIG-IP APM memberikan akses kepada pengguna dan memasukkan header HTTP dalam permintaan klien diteruskan ke aplikasi

Batas konfigurasi Azure Active Directory B2C

Untuk mengaktifkan BIG-IP dengan autentikasi Azure AD B2C, gunakan penyewa Azure AD B2C dengan alur pengguna atau kebijakan kustom.

Lihat, Tutorial: Membuat alur pengguna dan kebijakan kustom di Azure AD B2C

Membuat atribut kustom

Dapatkan atribut kustom dari objek pengguna Azure AD B2C, IdP federasi, konektor API, atau pendaftaran pengguna. Sertakan atribut dalam token yang masuk ke aplikasi.

Aplikasi warisan mengharapkan atribut tertentu, jadi sertakan dalam alur pengguna Anda. Anda dapat menggantinya dengan atribut yang diperlukan aplikasi Anda. Atau jika Anda menyiapkan aplikasi pengujian menggunakan instruksi, maka gunakan header apa pun.

1. Masuk ke portal Azure sebagai Administrator Global.
2. Di panel sebelah kiri, pilih Atribut pengguna.
3. Pilih Tambahkan untuk membuat dua atribut kustom.
4. Untuk ID Agen, pilih Jenis Data String.
5. Untuk Geo Agen, pilih Jenis Data String.

Menambahkan atribut ke alur pengguna

1. Di menu sebelah kiri, buka Kebijakan>Alur pengguna.
2. Pilih kebijakan Anda, misalnya, B2C_1_SignupSignin.
3. Pilih Atribut pengguna.
4. Tambahkan kedua atribut kustom.
5. Tambahkan atribut Nama Tampilan . Atribut ini dikumpulkan selama pendaftaran pengguna.
6. Pilih Klaim aplikasi.
7. Tambahkan kedua atribut kustom.
8. Tambahkan Nama Tampilan. Atribut ini masuk ke BIG-IP.
9. Pilih Jalankan alur pengguna.
10. Di menu alur pengguna, di bilah navigasi kiri, verifikasi perintah untuk atribut yang ditentukan.

Pelajari selengkapnya: Tutorial: Membuat alur pengguna dan kebijakan kustom di Azure AD B2C

Federasi AAD B2C

Federasi BIG-IP dan Azure AD B2C untuk kepercayaan bersama. Daftarkan BIG-IP di penyewa Azure AD B2C sebagai aplikasi OIDC.

1. Di portal, pilih Pendaftaran aplikasi>Pendaftaran baru.
2. Masukkan Nama aplikasi, misalnya, HeaderApp1.
3. Di bagian Tipe akun yang didukung, pilih Akun di penyedia identitas atau direktori organisasi apa pun (untuk mengautentikasi pengguna dengan alur pengguna) .
4. Di bawah URI Pengalihan, pilih Web.
5. Masukkan FQDN publik layanan terproteksi.
6. Masukkan jalur.
7. Biarkan pilihan yang tersisa.
8. Pilih Daftar.
9. Navigasi ke Rahasia >sertifikat &+ Rahasia klien baru.
10. Masukkan nama deskriptif
11. Masukkan TTL untuk rahasia yang digunakan oleh BIG-IP.
12. Perhatikan Rahasia Klien untuk konfigurasi BIG-IP.

URI pengalihan adalah titik akhir BIG-IP. Setelah autentikasi, server otorisasi (Azure AD B2C) mengirim pengguna ke titik akhir.

Pelajari lebih lanjut: Tutorial: Mendaftarkan aplikasi web di Azure AD B2C untuk Azure AD B2C.

Konfigurasi BIG-IP

Untuk konfigurasi BIG-IP, gunakan Konfigurasi Terpandu v.7/8. Kerangka kerja alur kerja disesuaikan untuk mengakses topologi dan menyelesaikan penerbitan layanan web yang cepat.

Versi Konfigurasi Terpandu

1. Untuk mengonfirmasi versi, masuk ke konfigurasi web BIG-IP dengan akun administrator.
2. Buka Akses>Konfigurasi Terpandu.
3. Versi muncul di sudut kanan atas.

Untuk meningkatkan Konfigurasi Terpandu, buka my.f5.com untuk K85454683: Tingkatkan Konfigurasi Terpandu F5 BIG-IP pada sistem BIG-IP.

Profil SSL

Gunakan BIG-IP yang dikonfigurasi dengan profil SSL klien untuk mengamankan lalu lintas sisi klien melalui TLS. Impor sertifikat yang cocok dengan nama domain, yang digunakan oleh URL yang menghadap publik untuk aplikasi Anda. Kami sarankan Anda menggunakan otoritas sertifikat publik, tetapi Anda dapat menggunakan sertifikat yang ditandatangani sendiri BIG-IP untuk pengujian.

Untuk menambahkan dan mengelola sertifikat di BIG-IP VE, buka techdocs.f5.com untuk Sistem BIG-IP: Administrasi SSL.

Konfigurasi Terpandu

1. Untuk meluncurkan wizard penyebaran, di konfigurasi web, bukaKonfigurasi TerpanduAkses>.
2. Pilih Federasi>F5 sebagai Klien OAuth dan Server Sumber Daya.
3. Amati ringkasan alur untuk skenario ini.
4. Pilih Selanjutnya.
5. Wizard dimulai.

Properti OAuth

Di bagian berikut, tentukan properti untuk mengaktifkan federasi antara BIG-IP APM dan server otorisasi OAuth, penyewa Azure AD B2C. OAuth disebut di seluruh konfigurasi BIG-IP. Solusi ini menggunakan OIDC, lapisan identitas pada protokol OAuth 2.0. Klien OIDC memverifikasi identitas pengguna dan mendapatkan informasi profil lainnya.

Nama konfigurasi

Nama tampilan konfigurasi membantu membedakan antara konfigurasi penyebaran dalam Konfigurasi Terpandu. Anda tidak dapat mengubah nama, dan hanya muncul di tampilan Konfigurasi Terpandu.

Mode

BIG-IP APM adalah klien OIDC, oleh karena itu pilih opsi Klien.

Penyelesai DNS

Target yang ditentukan harus menyelesaikan alamat IP publik dari titik akhir B2C Azure AD. Pilih pemecah masalah DNS publik, atau buat yang baru.

Pengaturan penyedia

Konfigurasikan Azure AD B2C sebagai IdP OAuth2. Konfigurasi Terpandu memiliki templat B2C Azure AD, tetapi tidak memiliki cakupan tertentu.

Tambahkan penyedia baru dan konfigurasikan:

Properti umum OAuth

Properti	Deskripsi
Jenis penyedia OAuth	Kustom
Pilih penyedia OAuth	Membuat baru, atau menggunakan penyedia OAuth
Nama	Nama tampilan untuk IdP B2C. Nama ini muncul untuk pengguna sebagai opsi penyedia saat masuk
Jenis token	Token web JSON

Pengaturan kebijakan OAuth

Properti	Deskripsi
Cakupan	Biarkan kosong. Cakupan OpenID untuk masuk pengguna ditambahkan secara otomatis
Jenis hibah	Kode otorisasi
Aktifkan OpenID Connect	Pilih opsi untuk menempatkan klien APM OAuth dalam mode OIDC
Tipe alur	Kode otorisasi

Pengaturan penyedia OAuth

OpenID URI berikut mengacu pada titik akhir metadata yang digunakan oleh klien OIDC untuk menemukan informasi IdP seperti penandatanganan rollover sertifikat.

1. Temukan titik akhir metadata untuk penyewa B2C Azure AD Anda. Menavigasi ke Pendaftaran aplikasi>Endpoints.
2. Salin URI dokumen metadata OpenID Connect Azure AD B2C. Contohnya,https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configuration.
3. Perbarui URI dengan properti Anda, https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configuration.
4. Tempelkan URI ke browser.
5. Lihat metadata OIDC untuk penyewa Azure AD B2C Anda.

Properti	Deskripsi
Audiens	ID klien aplikasi yang mewakili BIG-IP di penyewa Azure AD B2C
URI Autentikasi	Titik akhir otorisasi dalam metadata B2C OIDC Anda
URI Token	Titik akhir token di metadata AAD B2C Anda
URI permintaan Userinfo	Biarkan kosong. Azure AD B2C tidak mendukung fitur ini
URI OpenID	Titik akhir metadata URI OpenID yang Anda buat
Abaikan validasi sertifikat yang kedaluwarsa	Biarkan tidak dicentang
Izinkan sertifikat konfigurasi JWK yang ditandatangani sendiri	Centang
Bundel CA tepercaya	Pilih ca-bundle.crt untuk menggunakan otoritas tepercaya F5 default
Interval penemuan	Berikan interval bagi BIG-IP untuk mengkueri penyewa Azure AD B2C Anda untuk pembaruan. Interval minimum dalam AGC versi 16.1 0.0.19, adalah 5 menit.

Pengaturan server OAuth

Untuk server otorisasi OIDC, menjadi penyewa Azure AD B2C Anda.

Properti	Deskripsi
ID Klien	ID Klien aplikasi yang mewakili BIG-IP di penyewa Azure AD B2C
Rahasia Klien	Rahasia Klien aplikasi
Profil SSL klien-server	Atur profil SSL untuk memastikan APM berkomunikasi dengan Azure AD B2C IdP melalui TLS. Pilih serverssl default.

Pengaturan permintaan OAuth

BIG-IP telah memerlukan Azure AD permintaan B2C dalam kumpulan permintaan yang telah dikonfigurasi sebelumnya. Namun, permintaan tersebut cacat, dan tidak memiliki parameter penting. Jadi, kami membuatnya secara manual.

Permintaan token: Diaktifkan

Properti	Deskripsi
Pilih permintaan OAuth	Buat baru
Metode HTTP	POST
Aktifkan header	Tidak dicentang
Aktifkan parameter	Dicentang

Parameter	Nama parameter	Nilai parameter
client_id	client_id	T/A
nonce	nonce	T/A
redirect_uri	redirect_uri	T/A
cakupan	cakupan	T/A
response_type	response_type	T/A
client_secret	client_secret	T/A
custom	grant_type	authorization_code

Permintaan pengalihan autentikasi: Diaktifkan

Properti	Deskripsi
Pilih permintaan OAuth	Buat baru
Metode HTTP	GET
Jenis permintaan	Tidak ada
Aktifkan header	Tidak dicentang
Aktifkan parameter	Dicentang

Parameter	Nama parameter	Nilai parameter
client_id	client_id	T/A
redirect_uri	redirect_uri	T/A
response_type	response_type	T/A
cakupan	cakupan	T/A
nonce	nonce	T/A

Permintaan refresh token: Dinonaktifkan Anda dapat mengaktifkan dan mengonfigurasi sesuai kebutuhan.

Permintaan UserInfo OpenID: Dinonaktifkan Tidak didukung di penyewa B2C Azure AD global.

Properti server virtual

Buat server virtual BIG-IP untuk mencegat permintaan klien eksternal untuk layanan back-end yang dilindungi oleh akses hibrid yang aman. Tetapkan server virtual IP yang dipetakan ke catatan DNS publik untuk titik akhir layanan BIG-IP yang mewakili aplikasi. Gunakan server virtual jika tersedia, jika tidak, berikan properti berikut.

Properti	Deskripsi
Alamat tujuan	IP privat atau publik yang menjadi titik akhir layanan BIG-IP untuk aplikasi back-end
Port layanan	HTTPS
Aktifkan port pengalihan	Pilih agar pengguna dialihkan secara otomatis dari http ke https
Port pengalihan	HTTP
Profil SSL klien	Tukar profil yang telah clientssl ditentukan sebelumnya dengan profil yang memiliki sertifikat SSL Anda. Anda dapat menguji dengan profil default. tetapi kemungkinan menyebabkan pemberitahuan browser.

Properti kumpulan

Layanan back-end muncul di BIG-IP sebagai kumpulan, dengan satu atau beberapa server aplikasi tempat server virtual mengarahkan lalu lintas masuk. Pilih kumpulan, jika tidak, buat yang baru.

Properti	Deskripsi
Metode penyeimbangan beban	Pilih Round Robin
Server kumpulan	IP internal aplikasi back-end
Port	Port layanan aplikasi back-end

Catatan

Pastikan BIG-IP memiliki garis pandang ke alamat server kumpulan.

Pengaturan SSO

BIG-IP mendukung opsi SSO, tetapi dalam mode klien OAuth, Konfigurasi Terpandu terbatas pada Kerberos atau Header HTTP. Aktifkan SSO dan gunakan informasi berikut untuk APM untuk memetakan atribut masuk yang ditentukan ke header keluar.

Properti	Deskripsi
Operasi Header	Sisipkan
Nama header	nama
Nilai Header	%{session.oauth.client.last.id_token.name}
Operasi Header	Sisipkan
Nama header	agentid
Nilai Header	%{session.oauth.client.last.id_token.extension_AgentGeo}

Catatan

Variabel sesi APM dalam kurung kurawal peka huruf besar/kecil. Memasukkan agentid, ketika nama atribut Azure AD B2C dikirim sebagai AgentID, menyebabkan kegagalan pemetaan atribut. Tentukan atribut dalam huruf kecil. Di Azure AD B2C, alur pengguna meminta lebih banyak atribut kepada pengguna, menggunakan nama atribut di portal. Oleh karena itu, gunakan kasus kalimat alih-alih huruf kecil.

Properti kustomisasi

Sesuaikan bahasa dan tampilan layar yang dilihat pengguna dalam alur kebijakan akses APM. Edit pesan layar dan perintah, ubah tata letak layar, warna, gambar, dan lokalkan keterangan, deskripsi, dan pesan.

Di bidang teks Header Formulir , ganti F5 Networks string dengan nama yang Anda inginkan.

Properti pengelolaan sesi

Gunakan pengaturan manajemen sesi BIG-IP untuk menentukan kondisi yang mengakhiri sesi atau memungkinkannya untuk melanjutkan. Atur batasan untuk pengguna dan alamat IP, dan halaman kesalahan. Sebaiknya terapkan single log out (SLO), yang mengakhiri sesi dengan aman, mengurangi risiko akses yang tidak sah.

Menyebarkan pengaturan

Pilih Sebarkan untuk menerapkan pengaturan dan membuat objek BIG-IP dan APM fir akses hibrid aman ke aplikasi. Aplikasi muncul sebagai sumber daya target di Akses Bersyarah. Untuk peningkatan keamanan, blokir akses langsung ke aplikasi, sehingga memberlakukan jalur melalui BIG-IP.

Pelajari selengkapnya: Perlindungan Identitas dan Akses Bersyarkat untuk Azure AD B2C

Menguji alur pendaftaran masuk

1. Sebagai pengguna, buka URL eksternal aplikasi.
2. Halaman masuk klien OAuth BIG-IP muncul.
3. Masuk menggunakan pemberian kode otorisasi. Untuk menghapus langkah ini, lihat bagian Konfigurasi tambahan .
4. Daftar dan autentikasi terhadap penyewa Azure AD B2C Anda.

Gambar berikut adalah dialog masuk pengguna dan halaman selamat datang masuk.

Untuk peningkatan keamanan, blokir akses langsung ke aplikasi, sehingga memberlakukan jalur melalui BIG-IP.

Konfigurasi tambahan

Akses menyeluruh (SLO)

Azure AD B2C mendukung penyedia identitas (IdP) dan keluar aplikasi. Lihat, Akses menyeluruh.

Untuk mencapai SLO, aktifkan fungsi keluar aplikasi Anda untuk memanggil titik akhir keluar Azure AD B2C. Kemudian, Azure AD B2C mengeluarkan pengalihan akhir ke BIG-IP. Tindakan ini memastikan sesi APM aplikasi pengguna berakhir.

Proses SLO alternatif adalah mengaktifkan BIG-IP untuk mendengarkan permintaan, saat memilih tombol Keluar aplikasi. Setelah mendeteksi permintaan, permintaan akan memanggil titik akhir keluar Azure AD B2C. Pendekatan ini menghalangi pembuatan perubahan pada aplikasi.

Untuk mempelajari lebih lanjut BIG-IP iRules, buka support.f5.com untuk K42052145: Mengonfigurasi penghentian sesi otomatis (keluar) berdasarkan nama file yang dirujuk URI.

Catatan

Terlepas dari pendekatannya, pastikan penyewa Azure AD B2C mengetahui titik akhir keluar APM.

1. Di portal, navigasikan ke Kelola>Manifes.
2. logoutUrl Temukan properti . Ini berbunyi null.
3. Tambahkan URI pasca log-out APM: https://<mysite.com>/my.logout.php3

Catatan

<mysite.com> adalah BIG-IP FQDN untuk aplikasi berbasis header Anda.

Alur masuk yang dioptimalkan

Untuk meningkatkan pengalaman masuk pengguna, tekan perintah masuk pengguna OAuth yang muncul sebelum Microsoft Entra pra-autentikasi.

1. Navigasi keKonfigurasi TerpanduAkses>.

2. Di ujung kanan baris, pilih ikon gembok .

3. Aplikasi berbasis header membuka konfigurasi ketat.

   

Membuka kunci konfigurasi yang ketat mencegah perubahan dengan UI wizard. Objek BIG-IP dikaitkan dengan instans aplikasi yang diterbitkan, dan terbuka untuk manajemen langsung.

4. Navigasi ke Profil Akses>/Profil Akses Kebijakan >(Kebijakan Per sesi).

5. Untuk objek kebijakan aplikasi, di kolom Kebijakan Per Sesi , pilih Edit.

   

6. Untuk menghapus objek kebijakan Halaman Masuk OAuth , pilih X.

7. Pada perintah, sambungkan ke simpul sebelumnya.

   

8. Di sudut kiri atas, pilih Terapkan Kebijakan Akses.

9. Tutup tab editor visual.

Saat Anda mencoba menyambungkan ke aplikasi, halaman masuk Azure AD B2C akan muncul.

Catatan

Jika Anda mengaktifkan kembali mode ketat dan menyebarkan konfigurasi, pengaturan yang dilakukan di luar UI Konfigurasi Terpandu akan ditimpa. Terapkan skenario ini dengan membuat objek konfigurasi secara manual untuk layanan produksi.

Pemecahan Masalah

Gunakan panduan pemecahan masalah berikut jika akses ke aplikasi yang dilindungi dicegah.

Verbositas log

Log BIG-IP memiliki informasi untuk mengisolasi masalah autentikasi dan SSO. Tingkatkan tingkat verbositas log.

1. Buka Kebijakan Akses>Ringkasan>Log Peristiwa>Pengaturan.
2. Pilih baris untuk aplikasi yang diterbitkan, lalu Edit>Log Sistem Akses.
3. Dari daftar SSO, pilih Debug.
4. PilihOK.
5. Sebelum meninjau log, reproduksi masalah Anda.

Setelah selesai, kembalikan pengaturan sebelumnya.

Pesan kesalahan BIG-IP

Jika Anda melihat pesan kesalahan BIG-IP setelah autentikasi Azure AD B2C, masalah ini mungkin terkait dengan SSO dari ID Microsoft Entra ke BIG-IP.

1. Buka Akses>Ringkasan>Laporan akses.
2. Jalankan laporan selama satu jam terakhir
3. Tinjau log untuk petunjuk.
4. Pilih tautan Tampilkan variabel sesi .
5. Tentukan apakah APM menerima klaim Microsoft Entra yang diharapkan.

Tidak ada pesan kesalahan BIG-IP

Jika tidak ada pesan kesalahan BIG-IP yang muncul, masalahnya mungkin terkait dengan permintaan back-end, atau SSO dari BIG-IP ke aplikasi.

1. Buka Kebijakan Akses>Ringkasan>Sesi Aktif.
2. Pilih tautan untuk sesi aktif Anda.
3. Pilih tautan Lihat Variabel .
4. Tinjau untuk menentukan akar penyebab, terutama jika BIG-IP APM mendapatkan atribut sesi yang tidak akurat.
5. Gunakan log aplikasi untuk membantu memahami apakah ia menerima atribut sebagai header.

Masalah konfigurasi terpandu v8 yang diketahui

Jika menggunakan Konfigurasi Terpandu v8, masalah yang diketahui menghasilkan kesalahan berikut setelah berhasil Azure AD autentikasi B2C. Masalahnya mungkin AGC tidak mengaktifkan pengaturan JWT Otomatis selama penyebaran. APM tidak dapat memperoleh kunci penandatanganan token saat ini. Rekayasa F5 sedang menyelidiki akar penyebabnya.

Log akses yang sama memberikan detail.

Mengaktifkan pengaturan secara manual

1. Navigasi keKonfigurasi TerpanduAkses>.
2. Di ujung kanan baris untuk aplikasi berbasis header Anda, pilih gembok.
3. Navigasi ke Akses>Penyedia Klien OAuth/Server> Sumber DayaFederasi>.
4. Pilih penyedia untuk konfigurasi AAD B2C Anda.
5. Centang kotak Gunakan JWT Otomatis .
6. Pilih Temukan.
7. Pilih Simpan.
8. Bidang Kunci (JWT) memiliki ID kunci sertifikat penandatanganan token (KID) dari metadata URI OpenID.
9. Di sudut kiri atas, pilih Terapkan Kebijakan Akses.
10. Pilih Terapkan.

Untuk informasi selengkapnya, buka techdocs.f5.com untuk tips pemecahan masalah klien dan server sumber daya OAuth