Tutorial: Mengonfigurasi Easy Button BIG-IP F5 untuk SSO ke Oracle EBS

Pada artikel ini, pelajari cara mengamankan Oracle Enterprise Business Suite (EBS) menggunakan Azure Active Directory (Azure AD), melalui konfigurasi terpandu BIG-IP Easy Button F5.

Mengintegrasikan BIG-IP dengan Microsoft Azure AD memberikan banyak manfaat, termasuk:

Untuk mempelajari semua keuntungannya, baca artikel tentang integrasi BIG-IP F5 dan Azure AD serta apa yang dimaksud dengan akses aplikasi dan akses menyeluruh dengan Azure AD.

Deskripsi skenario

Untuk skenario ini, gunakan aplikasi Oracle EBS klasik yang menggunakan header otorisasi HTTP untuk mengelola akses ke konten yang dilindungi.

Berstatus warisan, aplikasi ini tidak memiliki protokol modern untuk mendukung integrasi langsung dengan Azure AD. Aplikasi ini dapat dimodernisasi, tetapi memerlukan banyak sumber daya, perencanaan yang matang, dan memiliki risiko terjadinya waktu henti. Sebagai gantinya, Application Delivery Controller (ADC) BIG-IP F5 digunakan untuk menjembatani celah antara aplikasi warisan dan panel kontrol ID modern, melalui transisi protokol.

Dengan adanya BIG-IP di depan aplikasi, kita dapat memberikan overlay layanan dengan pra-autentikasi dan SSO berbasis header Azure AD, yang secara signifikan meningkatkan postur keamanan aplikasi secara keseluruhan.

Arsitektur skenario

Solusi akses hibrida yang aman untuk skenario ini terdiri dari beberapa komponen termasuk arsitektur Oracle multi-tingkat:

Aplikasi Oracle EBS: BIG-IP menerbitkan layanan yang akan dilindungi oleh dan SHA Azure AD.

Azure AD: Penyedia Identitas (IdP) SAML bertanggung jawab untuk verifikasi info masuk pengguna, Akses Bersyarat (CA), dan SSO berbasis SAML ke BIG-IP. Melalui SSO, Azure AD menyediakan BIG-IP dengan atribut sesi apa pun yang diperlukan.

Oracle Internet Directory (OID): Menghosting database pengguna. BIG-IP melakukan pemeriksaan melalui LDAP untuk atribut otorisasi.

Oracle AccessGate: Memvalidasi atribut otorisasi melalui saluran belakang dengan layanan OID, sebelum mengeluarkan cookie akses EBS

BIG-IP: Membalikkan proksi dan penyedia layanan (SP) SAML ke aplikasi, mendelegasikan autentikasi ke IdP SAML sebelum melakukan SSO berbasis header ke aplikasi Oracle.

SHA untuk skenario ini mendukung alur yang dimulai SP dan IdP. Gambar berikut mengilustrasikan alur yang dimulai SP.

Secure hybrid access - SP initiated flow

Langkah-langkah Deskripsi
1 Pengguna terhubung ke titik akhir aplikasi (BIG-IP)
2 Kebijakan akses APM BIG-IP mengalihkan pengguna ke Azure AD (SAML IdP)
3 Azure AD melakukan pra-autentikasi pada pengguna dan menerapkan kebijakan Akses Bersyarat yang berlaku
4 Pengguna diarahkan ke BIG-IP (SAML SP) dan SSO dijalankan dengan token SAML yang dikeluarkan
5 BIG-IP melakukan kueri LDAP untuk atribut ID Unik (UID) pengguna
6 BIG-IP memasukkan atribut UID yang ditampilkan sebagai header user_orclguid dalam permintaan cookie sesi EBS ke Oracle AccessGate
7 Oracle AccessGate memvalidasi UID berdasarkan layanan Oracle Internet Directory (OID) dan mengeluarkan cookie akses EBS
8 Header pengguna EBS dan cookie dikirim ke aplikasi dan menampilkan payload kepada pengguna

Prasyarat

Pengalaman BIG-IP sebelumnya tidak diwajibkan, tetapi Anda memerlukan:

  • Langganan gratis Microsoft Azure Active Directory atau yang lebih tinggi

  • BIG-IP lama atau sebarkan BIG-IP Virtual Edition (VE) di Azure

  • Salah satu SKU lisensi F5 BIG-IP berikut

    • F5 BIG-IP® Bundel terbaik

    • Lisensi mandiri F5 BIG-IP Access Policy Manager ™ (APM)

    • Lisensi tambahan F5 BIG-IP Access Policy Manager ™ (APM) pada BIG-IP F5 BIG-IP® Local Traffic Manager ™ (LTM)

    • Fitur lengkap 90 hari BIG-IP lisensi uji coba.

  • Identitas pengguna disinkronkan dari direktori lokal ke Microsoft Azure AD atau dibuat langsung dalam Microsoft Azure AD dan mengalir kembali ke direktori lokal Anda

  • Akun dengan izin admin aplikasi Microsoft Azure Active Directory

  • Sertifikat Web SSL untuk layanan penerbitan melalui HTTPS, atau gunakan sertifikat BIG-IP default saat pengujian

  • Suite Oracle EBS yang sudah ada termasuk Oracle AccessGate dan OID (Oracle Internet Database) dengan LDAP yang aktif

Metode konfigurasi BIG-IP

Ada banyak metode untuk mengonfigurasi BIG-IP untuk skenario ini, termasuk dua opsi berbasis templat dan konfigurasi lanjutan. Tutorial ini mencakup Konfigurasi Terpandu 16.1 terbaru yang menawarkan template Easy Button. Dengan Easy Button, admin tidak perlu lagi bolak-balik antara Azure AD dan BIG-IP guna mengaktifkan layanan untuk SHA. Penyebaran dan pengelolaan kebijakan ditangani langsung antara wizard Konfigurasi Terpandu APM dan Microsoft Graph. Integrasi antara APM BIG-IP dan Azure AD yang kaya ini memastikan bahwa aplikasi dapat dengan cepat dan mudah mendukung penggabungan identitas, SSO, dan Akses Bersyarat Azure AD, sehingga mengurangi overhead administratif.

Catatan

Semua contoh string atau nilai yang dirujuk di seluruh panduan ini harus diganti dengan string yang ada di lingkungan Anda yang sebenarnya.

Mendaftarkan Easy Button

Sebelum klien atau layanan dapat mengakses Microsoft Graph, keduanya harus dipercaya oleh platform identitas Microsoft.

Langkah pertama ini menciptakan pendaftaran aplikasi penyewa yang akan digunakan untuk mengotorisasi akses Tombol Mudah ke Graph. Melalui izin ini, BIG-IP akan diizinkan untuk mendorong konfigurasi yang diperlukan untuk membangun kepercayaan antara instans SAML SP untuk aplikasi yang diterbitkan, dan Azure AD sebagai IdP SAML.

  1. Proses masuk ke portal Azure AD menggunakan hak Administratif Aplikasi

  2. Dari panel navigasi kiri, pilih Layanan Microsoft Azure Active Directory

  3. Di bawah Kelola, pilih Pendaftaran aplikasi Pendaftaran baru

  4. Masukkan Nama tampilan aplikasi Anda. Misalnya, Easy Button BIG-IP F5

  5. Tentukan siapa yang dapat menggunakan aplikasi >>

  6. Pilih Daftar untuk menyelesaikan pendaftaran aplikasi awal

  7. Navigasikan ke Izin API dan otorisasi izin Aplikasi Microsoft Graph berikut:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grup.Baca.Semua
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • Pengguna.Baca.Semua
  8. Berikan persetujuan admin untuk organisasi Anda

  9. Buka Sertifikat & Rahasia, buat Rahasia klien baru dan catat

  10. Buka Ringkasan, lalu catat ID Klien dan ID Penyewa

Mengonfigurasi Easy Button

Mulai Konfigurasi Terpandu APM untuk meluncurkan Template Tombol Mudah.

  1. Buka Akses Konfigurasi Terpandu > Microsoft Integration dan pilih >.

    Screenshot for Configure Easy Button- Install the template

  2. Tinjau daftar langkah-langkah konfigurasi dan pilih Berikutnya

    Screenshot for Configure Easy Button - List configuration steps

  3. Ikuti urutan langkah-langkah yang diperlukan untuk menerbitkan aplikasi Anda.

    Configuration steps flow

Properti Konfigurasi

Tab Properti Konfigurasi membuat konfigurasi aplikasi BIG-IP dan objek SSO. Pertimbangkan bagian Detail Akun Layanan Azure untuk mewakili klien yang Anda daftarkan di penyewa Azure AD sebelumnya, sebagai aplikasi. Pengaturan ini memungkinkan klien OAuth BIG-IP untuk mendaftarkan SAML SP secara individual langsung di penyewa Anda, bersama dengan properti SSO yang biasanya Anda konfigurasikan secara manual. Tombol Mudah melakukan ini untuk setiap layanan BIG-IP yang diterbitkan dan diaktifkan untuk SHA.

Beberapa di antaranya adalah pengaturan global yang dapat digunakan kembali untuk menerbitkan lebih banyak aplikasi, sehingga semakin mengurangi waktu dan upaya penyebaran.

  1. Berikan Nama Konfigurasi unik yang memudahkan admin membedakan konfigurasi Easy Button

  2. Aktifkan Akses Menyeluruh (SSO) Header HTTP

  3. Masukkan Id Penyewa, ID Klien, dan Rahasia Klien yang Anda catat saat mendaftarkan klien Tombol Mudah di penyewa Anda.

  4. Sebelum Anda memilih Berikutnya, konfirmasi bahwa BIG-IP dapat berhasil terhubung ke penyewa Anda.

     Screenshot for Configuration General and Service Account properties

Penyedia Layanan

Pengaturan Penyedia Layanan menentukan properti untuk instans SAML SP dari aplikasi yang dilindungi melalui SHA.

  1. Masukkan Host. Ini adalah FQDN publik dari aplikasi yang diamankan

  2. Masukkan ID Entitas. Ini adalah pengidentifikasi yang akan digunakan Azure AD untuk mengidentifikasi SP SAML yang meminta token

    Screenshot for Service Provider settings

    Selanjutnya di bagian Pengaturan Keamanan opsional, tentukan apakah Azure AD harus mengenkripsi pernyataan SAML yang dikeluarkan. Mengenkripsi pernyataan antara Azure AD dan APM BIG-IP memberikan jaminan bahwa token konten tidak dapat disadap, dan data pribadi atau perusahaan tidak dapat disusupi.

  3. Dari daftar Kunci Privat Dekripsi Pernyataan, pilih Buat Baru

    Screenshot for Configure Easy Button- Create New import

  4. PilihOK. Ini membuka dialog Impor Sertifikat dan Kunci SSL di tab baru

  5. Pilih PKCS 12 (IIS) untuk mengimpor sertifikat dan kunci privat Anda. Setelah diprovisikan tutup tab browser untuk kembali ke tab utama.

    Screenshot for Configure Easy Button- Import new cert

  6. Memeriksa Aktifkan Pernyataan Terenkripsi

  7. Jika Anda telah mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Kunci Privat Dekripsi Pernyataan. Kunci privat untuk sertifikat yang akan digunakan oleh APM BIG-IP guna mendekripsi pernyataan Azure AD

  8. Jika Anda telah mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Sertifikat Dekripsi Pernyataan. Ini adalah sertifikat yang diunggah BIG-IP ke Azure AD untuk mengenkripsi pernyataan SAML yang dikeluarkan.

    Screenshot for Service Provider security settings

Azure Active Directory

Bagian ini menentukan semua properti yang biasanya Anda gunakan untuk mengonfigurasi aplikasi SAML BIG-IP baru secara manual dalam penyewa Azure AD Anda. Tombol Mudah menyediakan satu set template aplikasi yang telah ditentukan sebelumnya untuk Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP serta template SHA generik untuk aplikasi lainnya. Untuk skenario ini pilih Oracle E-Business Suite > Tambahkan.

Screenshot for Azure configuration add BIG-IP application

Konfigurasi Azure

  1. Masukkan Nama Tampilan aplikasi yang dibuat BIG-IP di penyewa Azure AD Anda, dan ikon yang akan dilihat pengguna di portal MyApps

  2. Di bagian URL Masuk (opsional) masukkan FQDN publik dari aplikasi EBS yang diamankan, bersama dengan jalur default untuk beranda Oracle EBS

    Screenshot for Azure configuration add display info

  3. Pilih ikon refresh di samping Kunci Penandatanganan dan Sertifikat Penandatanganan untuk menemukan sertifikat yang Anda impor sebelumnya

  4. Masukkan kata sandi sertifikat di Frase Sandi Kunci Penandatanganan

  5. Aktifkan Opsi Penandatanganan (opsional). Ini memastikan bahwa BIG-IP hanya menerima token dan klaim yang ditandatangani oleh Azure AD

    Screenshot for Azure configuration - Add signing certificates info

  6. Grup Pengguna dan Pengguna secara dinamis dikueri dari penyewa Azure AD Anda dan digunakan untuk mengotorisasi akses ke aplikasi. Tambahkan pengguna atau grup yang dapat Anda gunakan nanti untuk pengujian, jika tidak, semua akses akan ditolak

    Screenshot for Azure configuration - Add users and groups

Atribut Pengguna & Klaim

Saat pengguna berhasil mengautentikasi, Azure AD mengeluarkan token SAML dengan kumpulan klaim dan atribut default yang mengidentifikasi pengguna secara unik. Tab Atribut Pengguna & Klaim menunjukkan klaim default yang akan dikeluarkan untuk aplikasi baru. Ini juga memungkinkan Anda mengonfigurasi lebih banyak klaim.

Screenshot for user attributes and claims

Anda dapat menyertakan atribut Azure AD tambahan jika perlu, tetapi skenario Oracle EBS hanya memerlukan atribut default.

Atribut Pengguna Tambahan

Tab Atribut Pengguna Tambahan dapat mendukung berbagai sistem terdistribusi yang memerlukan atribut yang disimpan di direktori lain untuk augmentasi sesi. Atribut yang diambil dari sumber LDAP kemudian dapat dimasukkan sebagai header SSO tambahan untuk mengontrol akses lebih lanjut berdasarkan peran, ID Mitra, dll.

  1. Aktifkan opsi Pengaturan Lanjutan

  2. Centang kotak Atribut LDAP

  3. Pilih Buat Baru di Pilih Server Autentikasi

  4. Pilih mode koneksi server Gunakan pool atau Langsung bergantung pada pengaturan Anda. Ini akan menyediakan Alamat Server dari layanan LDAP target. Jika menggunakan satu server LDAP, pilih Langsung.

  5. Masukkan Port Layanan sebagai 3060 (Default), 3161 (Aman), atau port lain yang dioperasikan oleh layanan Oracle LDAP Anda

  6. Masukkan DN Pencarian Dasar (nama khusus) untuk dicari. DN pencarian ini digunakan untuk mencari grup di seluruh direktori.

  7. Atur DN Admin ke nama khusus yang tepat untuk akun yang akan digunakan APM untuk mengautentikasi kueri LDAP, bersama dengan kata sandinya

    Screenshot for additional user attributes

  8. Biarkan semua pengaturan Atribut Skema LDAP ke default

    Screenshot for LDAP schema attributes

  9. Di bagian Properti Kueri LDAP, atur Dn Pencarian ke node dasar server LDAP untuk mencari objek pengguna

  10. Tambahkan nama atribut objek pengguna yang harus ditampilkan dari direktori LDAP. Untuk EBS, nilai default-nya adalah orclguid

    Screenshot for LDAP query properties.png

Kebijakan Akses Bersyarat

Kebijakan Akses Bersyarat diberlakukan pasca pra-autentikasi Azure AD, untuk mengontrol akses berdasarkan perangkat, aplikasi, lokasi, dan sinyal risiko.

Tampilan Kebijakan yang Tersedia, secara default, akan mencantumkan semua kebijakan Akses Bersyarat yang tidak menyertakan tindakan berbasis pengguna.

Secara default, daftar Kebijakan Terpilih menampilkan semua kebijakan yang menargetkan Semua aplikasi cloud. Kebijakan ini tidak dapat dibatalkan pilihannya atau dipindahkan ke daftar Kebijakan yang Tersedia karena diberlakukan pada tingkat penyewa.

Untuk memilih kebijakan yang akan diterapkan pada aplikasi yang diterbitkan:

  1. Pilih kebijakan yang diinginkan di daftar Kebijakan yang Tersedia

  2. Pilih panah kanan dan pindahkan ke daftar Kebijakan Terpilih

    Kebijakan yang dipilih harus menampilkan opsi Sertakan atau Kecualikan tanpa centang. Jika kedua opsi dicentang, kebijakan ini tidak diterapkan.

    Screenshot for CA policies

Catatan

Daftar kebijakan disebutkan hanya sekali saat pertama kali beralih ke tab ini. Tombol refresh tersedia untuk memaksa wizard secara manual mengkueri penyewa Anda, tetapi tombol ini hanya ditampilkan saat aplikasi telah disebarkan.

Properti Server Virtual

Server virtual adalah objek data plane BIG-IP yang diwakili oleh alamat IP virtual yang mendengarkan permintaan klien ke aplikasi. Setiap lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM yang terkait dengan server virtual, sebelum diarahkan sesuai dengan hasil dan pengaturan kebijakan.

  1. Masukkan Alamat Tujuan. Ini adalah alamat IPv4/IPv6 yang tersedia yang dapat digunakan BIG-IP untuk menerima lalu lintas klien. Catatan yang sesuai juga harus ada di DNS, memungkinkan klien untuk menyelesaikan URL eksternal aplikasi BIG-IP Anda yang diterbitkan ke IP ini, alih-alih aplikasi itu sendiri. Menggunakan DNS localhost PC uji aman untuk pengujian.

  2. Masukkan Port Layanan sebagai 443 untuk HTTPS

  3. Centang Aktifkan Port Pengalihan lalu masukkan Port Pengalihan. Ini mengalihkan lalu lintas klien HTTP yang masuk ke HTTPS

  4. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui TLS. Pilih Profil SSL Klien yang Anda buat sebagai bagian dari prasyarat atau tinggalkan default saat pengujian

    Screenshot for Virtual server

Properti Kumpulan

Tab Kelompok Aplikasi menampilkan detail layanan di balik BIG-IP, yang diwakili sebagai kumpulan yang berisi satu atau beberapa server aplikasi.

  1. Pilih dari Pilih Kumpulan. Buat kumpulan baru atau pilih yang sudah ada

  2. Pilih Metode Penyeimbang Beban sebagai Round Robin

  3. Untuk Server Kumpulan, pilih node yang ada atau tentukan IP dan port untuk server yang menghosting aplikasi Oracle EBS.

    Screenshot for Application pool

  4. Access Gate Pool menentukan server yang digunakan Oracle EBS untuk memetakan pengguna yang diautentikasi SSO ke sesi Oracle E-Business Suite. Perbarui Server Kumpulan dengan IP dan port untuk server aplikasi Oracle yang menghosting aplikasi

    Screenshot for AccessGate pool

Akses Menyeluruh & Header HTTP

Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO ke aplikasi yang diterbitkan. Karena aplikasi Oracle EBS mengharapkan header, aktifkan Header HTTP dan masukkan properti berikut.

  • Operasi Header: replace

  • Nama Header: USER_NAME

  • Nilai Header: %{session.sso.token.last.username}

  • Operasi Header: replace

  • Nama Header: USER_ORCLGUID

  • Nilai Header: %{session.ldap.last.attr.orclguid}

     Screenshot for SSO and HTTP headers

Catatan

Variabel sesi APM yang ditentukan dalam tanda kurung keriting bersifat peka huruf besar/kecil. Misalnya, jika Anda memasukkan OrclGUID saat nama atribut Azure AD didefinisikan sebagai orclguid, itu akan menyebabkan kegagalan pemetaan atribut

Manajemen Sesi

Pengaturan pengelolaan sesi BIG-IP digunakan untuk menentukan kondisi saat sesi pengguna dihentikan atau diizinkan untuk dilanjutkan, batas untuk pengguna dan alamat IP, dan info pengguna terkait. Lihat dokumen F5 untuk detail tentang pengaturan ini.

Apa yang tidak tercakup di sini adalah fungsionalitas Keluar Tunggal (SLO), yang memastikan semua sesi antara IdP, BIG-IP, dan agen pengguna dihentikan setelah pengguna keluar. Saat Tombol Mudah membuat aplikasi SAML di penyewa Azure AD Anda, itu juga mengisi Url Keluar dengan titik akhir SLO APM. Dengan begitu IdP yang memulai proses keluar dari portal MyApps Azure AD juga mengakhiri sesi antara BIG-IP dan klien.

Seiring dengan ini metadata federasi SAML untuk aplikasi yang diterbitkan juga diimpor dari penyewa Anda, menyediakan APM dengan titik akhir keluar SAML untuk Azure AD. Ini memastikan keluar yang dimulai SP mengakhiri sesi antara klien dan Azure AD. Tetapi agar benar-benar efektif, APM perlu tahu persis kapan pengguna keluar dari aplikasi.

Jika portal webtop BIG-IP digunakan untuk mengakses aplikasi yang diterbitkan maka keluar dari sana akan diproses oleh APM untuk juga memanggil titik akhir keluar Azure AD. Tetapi pertimbangkan skenario di mana portal webtop BIG-IP tidak digunakan, lalu pengguna tidak memiliki cara untuk menginstruksikan APM untuk keluar. Bahkan jika pengguna keluar dari aplikasi itu sendiri, BIG-IP secara teknis tidak menyadari hal ini. Jadi untuk alasan ini, keluar yang dimulai SP perlu pertimbangan yang cermat untuk memastikan sesi dihentikan dengan aman ketika tidak lagi diperlukan. Salah satu cara untuk mencapai hal ini adalah dengan menambahkan fungsi SLO ke tombol keluar aplikasi Anda, sehingga dapat mengarahkan klien Anda ke titik akhir keluar Azure AD SAML atau BIG-IP. Titik akhir keluar URL untuk SAML untuk penyewa Anda dapat ditemukan di Titik Akhir > Pendaftaran Aplikasi.

Jika membuat perubahan pada aplikasi tidak dapat dilakukan, maka pertimbangkan untuk meminta BIG-IP mendengarkan panggilan keluar aplikasi, dan setelah mendeteksi permintaan itu memicu SLO. Lihat panduan SLO Oracle PeopleSoft kami untuk menggunakan irules BIG-IP untuk mencapai hal ini. Detail lebih lanjut tentang menggunakan BIG-IP iRules untuk mencapai ini tersedia di artikel pengetahuan F5 Mengonfigurasi penghentian sesi otomatis (keluar) berdasarkan nama file yang direferensikan URI dan Ringkasan opsi Sertakan URI Keluar.

Ringkasan

Langkah terakhir ini memberikan perincian konfigurasi Anda. Pilih Sebarkan untuk menerapkan semua pengaturan dan memverifikasi bahwa aplikasi telah ada di daftar penyewa aplikasi Enterprise.

Langkah berikutnya

Di browser, sambungkan ke URL eksternal aplikasi Oracle EBS atau pilih ikon aplikasi di portal Microsoft MyApps. Setelah mengautentikasi ke Azure AD, Anda akan diarahkan ke server virtual BIG-IP untuk aplikasi dan otomatis masuk melalui SSO.

Untuk keamanan yang lebih baik, organisasi yang menggunakan pola ini juga dapat mempertimbangkan untuk memblokir semua akses langsung ke aplikasi, sehingga memaksa jalur yang ketat melalui BIG-IP.

Penyebaran tingkat lanjut

Mungkin ada kasus ketika template Konfigurasi Terpandu tidak memiliki fleksibilitas yang cukup untuk mencapai serangkaian persyaratan tertentu. Untuk skenario tersebut, lihat Konfigurasi Tingkat Lanjut untuk SSO berbasis header. Atau, BIG-IP memberi Anda opsi untuk menonaktifkan mode pengelolaan ketat Konfigurasi Terpandu. Ini memungkinkan Anda menyesuaikan konfigurasi secara manual, meskipun sebagian besar konfigurasi Anda bersifat otomatis melalui template berbasis wizard.

Anda dapat membuka Akses Konfigurasi Terpandu dan pilih ikon gembok kecil di baris paling kanan untuk konfigurasi aplikasi.

Screenshot for Configure Easy Button - Strict Management

Pada saat itu, perubahan melalui UI wizard tidak mungkin lagi, tetapi semua objek BIG-IP yang terkait dengan instans aplikasi yang diterbitkan akan dibuka kuncinya untuk pengelolaan langsung.

Catatan

Mengaktifkan kembali mode ketat dan menyebarkan konfigurasi akan menimpa pengaturan apa pun yang dijalankan di luar UI Konfigurasi Terpandu. Oleh karena itu kami menyarankan metode konfigurasi tingkat lanjut untuk layanan produksi.

Pemecahan Masalah

Kegagalan untuk mengakses aplikasi yang dilindungi SHA dapat disebabkan oleh sejumlah faktor. Pengelogan BIG-IP dapat membantu dengan cepat mengisolasi segala macam masalah dengan konektivitas, SSO, pelanggaran kebijakan, atau pemetaan variabel yang salah dikonfigurasi. Mulai pemecahan masalah dengan meningkatkan tingkat verbositas log.

  1. Buka Kebijakan Akses Ringkasan > Log Peristiwa > Pengaturan

  2. Pilih baris untuk aplikasi Anda yang diterbitkan, lalu Edit > Log Sistem Akses

  3. Pilih Debug dari daftar SSO, lalu OK

Reproduksi masalah Anda, kemudian periksa log-nya, tetapi ingat untuk mengembalikannya ketika selesai karena mode verbose menghasilkan banyak data.

Jika Anda melihat kesalahan bertanda BIG-IP segera setelah pra-autentikasi Azure AD berhasil, masalah ini kemungkinan berkaitan dengan SSO dari Azure Active Directory ke BIG-IP.masalah ini kemungkinan berkaitan dengan SSO dari Azure AD ke BIG-IP.

  1. Navigasikan ke laporan Akses Gambaran Umum > Mengakses

  2. Jalankan laporan selama satu jam terakhir untuk melihat apakah log memberikan petunjuk. Tautan variabel Lihat sesi untuk sesi Anda juga akan membantu memahami apakah APM menerima klaim yang diharapkan dari Azure AD

Jika Anda tidak melihat halaman kesalahan BIG-IP, masalahnya kemungkinan besar berkaitan dengan permintaan backend atau SSO dari BIG-IP ke aplikasi.

  1. Dalam hal ini, buka Akses Azure Policy> Gambaran Umum > Sesi Aktif dan pilih tautan untuk sesi aktif Anda

  2. Tautan Lihat Variabel di lokasi ini juga dapat membantu mengatasi masalah SSO, terutama jika APM BIG-IP gagal mendapatkan atribut yang tepat dari Azure AD atau sumber lainnya.

Lihat contoh penetapan variabel BIG-IP APM dan referensi variabel sesi F5 BIG-IP untuk info selengkapnya.

Perintah berikut dari shell bash yang memvalidasi akun layanan APM yang digunakan untuk kueri LDAP dan dapat berhasil mengautentikasi dan mengkueri objek pengguna:

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Untuk informasi selengkapnya, kunjungi artikel pengetahuan F5 ini Mengonfigurasi autentikasi jarak jauh LDAP untuk Active Directory. Terdapat juga tabel referensi BIG-IP yang bagus untuk membantu mendiagnosis masalah terkait LDAP di artikel pengetahuan F5 tentang Kueri LDAP ini.