Tutorial: Mengonfigurasi Tombol Mudah F5 BIG-IP untuk SSO ke Oracle Orang Soft

  • Artikel

Dalam artikel ini, pelajari cara mengamankan Oracle Orang Soft (Orang Soft) menggunakan MICROSOFT Entra ID, dengan F5 BIG-IP Easy Button Guided Configuration 16.1.

Integrasikan BIG-IP dengan MICROSOFT Entra ID untuk banyak manfaat:

Pelajari lebih lanjut:

Deskripsi Skenario

Untuk tutorial ini, ada penggunaan aplikasi Orang Soft menggunakan header otorisasi HTTP untuk mengelola akses ke konten yang dilindungi.

Aplikasi warisan tidak memiliki protokol modern untuk mendukung integrasi Microsoft Entra. Modernisasi mahal, memerlukan perencanaan, dan memperkenalkan potensi risiko waktu henti. Sebagai gantinya, gunakan Pengontrol Pengiriman Aplikasi (ADC) F5 BIG-IP untuk menjenjangkan kesenjangan antara aplikasi warisan dan kontrol ID modern, dengan transisi protokol.

Dengan BIG-IP di depan aplikasi, Anda melapisi layanan dengan praauthentikasi Microsoft Entra dan SSO berbasis header. Tindakan ini meningkatkan postur keamanan aplikasi.

Catatan

Dapatkan akses jarak jauh ke jenis aplikasi ini dengan proksi aplikasi Microsoft Entra.
Lihat, Akses jarak jauh ke aplikasi lokal melalui proksi aplikasi Microsoft Entra.

Arsitektur skenario

Solusi akses hibrid aman (SHA) untuk tutorial ini memiliki komponen berikut:

  • Orang Soft Application - Layanan terbitan BIG-IP yang diamankan oleh Microsoft Entra SHA
  • Id Microsoft Entra - IdP (IdP) Security Assertion Markup Language (SAML) yang memverifikasi kredensial pengguna, Akses Bersyarat, dan SSO berbasis SAML ke BIG-IP
    • Melalui SSO, MICROSOFT Entra ID menyediakan atribut sesi ke BIG-IP
  • BIG-IP - proksi terbalik dan penyedia layanan SAML (SP) ke aplikasi. Ini mendelegasikan autentikasi ke IDP SAML, lalu melakukan SSO berbasis header ke layanan Orang Soft.

Untuk skenario ini, SHA mendukung alur yang dimulai SP dan IdP. Diagram berikut mengilustrasikan alur yang dimulai SP.

Diagram of secure hybrid access with SP initiated flow.

  1. Pengguna terhubung ke titik akhir aplikasi (BIG-IP).
  2. Kebijakan akses BIG-IP APM mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP).
  3. Microsoft Entra melakukan pra-autentikasi pengguna dan menerapkan kebijakan Akses Bersyariah.
  4. Pengguna dialihkan ke BIG-IP (SAML SP) dan SSO terjadi dengan token SAML yang dikeluarkan.
  5. BIG-IP menyuntikkan atribut Microsoft Entra sebagai header dalam permintaan ke aplikasi.
  6. Aplikasi mengotorisasi permintaan dan mengembalikan payload.

Prasyarat

  • Akun Microsoft Entra ID Gratis, atau yang lebih tinggi
  • BIG-IP atau BIG-IP Virtual Edition (VE) di Azure
  • Salah satu lisensi F5 BIG-IP berikut:
    • F5 BIG-IP® Bundel terbaik
    • Lisensi mandiri APM BIG-IP F5
    • Lisensi add-on APM BIG-IP F5 pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) yang ada
    • Lisensi uji coba fitur lengkap BIG-IP 90 hari
  • Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra, atau dibuat di ID Microsoft Entra dan mengalir kembali ke direktori lokal
  • Salah satu peran berikut: Administrator Global, Administrator Aplikasi Cloud, atau Administrator Aplikasi.
  • Sertifikat Web SSL untuk menerbitkan layanan melalui HTTPS, atau menggunakan sertifikasi BIG-IP default untuk pengujian
  • Lingkungan Orang Soft

Konfigurasi BIG-IP

Tutorial ini menggunakan Konfigurasi Terpandu 16.1 dengan templat tombol Mudah.

Dengan Tombol Mudah, admin tidak antara MICROSOFT Entra ID dan BIG-IP untuk mengaktifkan layanan untuk SHA. Wizard Konfigurasi Terpandu APM dan Microsoft Graph menangani penyebaran dan manajemen kebijakan. Integrasi memastikan aplikasi mendukung federasi identitas, SSO, dan Akses Bersyarat.

Catatan

Ganti contoh string atau nilai dalam tutorial ini dengan yang ada di lingkungan Anda.

Daftarkan Tombol Mudah

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Sebelum klien atau layanan mengakses Microsoft Graph, platform identitas Microsoft harus mempercayainya.

Pelajari selengkapnya: Mulai cepat: Mendaftarkan aplikasi dengan platform identitas Microsoft

Instruksi berikut membantu Anda membuat pendaftaran aplikasi penyewa untuk mengotorisasi akses Easy Button ke Graph. Dengan izin ini, BIG-IP mendorong konfigurasi untuk membangun kepercayaan antara instans SAML SP untuk aplikasi yang diterbitkan, dan ID Microsoft Entra sebagai IDP SAML.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri ke Aplikasi> Identitas>Pendaftaran aplikasi > Pendaftaran baru.

  3. Masukkan Nama aplikasi.

  4. Hanya untuk Akun dalam direktori organisasi ini, tentukan siapa yang menggunakan aplikasi.

  5. Pilih Daftarkan.

  6. Navigasikan ke izin API.

  7. Otorisasi izin Aplikasi Microsoft Graph berikut:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grup.Baca.Semua
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • Pengguna.Baca.Semua

  8. Berikan persetujuan admin kepada organisasi Anda.

  9. Buka Sertifikat & Rahasia.

  10. Buat Rahasia Klien baru dan catat.

  11. Buka Gambaran Umum dan perhatikan ID Klien dan ID Penyewa.

Mengonfigurasi Tombol Mudah

  1. Mulai Konfigurasi Terpandu APM.
  2. Luncurkan templat Tombol Mudah.
  3. Navigasi ke Konfigurasi Terpandu Akses>.
  4. Pilih Integrasi Microsoft.
  5. Pilih Aplikasi Microsoft Entra.
  6. Tinjau urutan konfigurasi.
  7. Pilih Selanjutnya
  8. Ikuti urutan konfigurasi.

Screenshot of configuration sequence under Microsoft Entra Application Configuration.

Properti Konfigurasi

Gunakan tab Properti Konfigurasi untuk membuat konfigurasi aplikasi dan objek SSO baru. Bagian Detail Akun Layanan Azure mewakili klien yang Anda daftarkan di penyewa Microsoft Entra, sebagai aplikasi. Gunakan pengaturan untuk klien BIG-IP OAuth untuk mendaftarkan SAML SP di penyewa, dengan properti SSO. Tombol Mudah melakukan tindakan ini untuk layanan BIG-IP yang diterbitkan dan diaktifkan untuk SHA.

Catatan

Beberapa pengaturan berikut bersifat global. Anda dapat menggunakannya kembali untuk menerbitkan lebih banyak aplikasi.

  1. Masukkan Nama Konfigurasi. Nama unik membantu membedakan konfigurasi.
  2. Untuk Akses Menyeluruh (SSO) & Header HTTP, pilih Aktif.
  3. Masukkan ID Penyewa, ID Klien, dan Rahasia Klien yang Anda catat.
  4. Konfirmasikan BIG-IP tersambung ke penyewa.
  5. Pilih Selanjutnya.

Screenshot of options and selections for Configuration Properties.

Penyedia Layanan

Gunakan pengaturan Penyedia Layanan untuk menentukan properti SAML SP untuk instans APM yang mewakili aplikasi yang diamankan SHA.

  1. Untuk Host, masukkan FQDN publik dari aplikasi aman.
  2. Untuk ID Entitas, masukkan pengidentifikasi yang digunakan Microsoft Entra ID untuk mengidentifikasi SAML SP yang meminta token.

Screenshot of options and selections for Service Provider.

  1. (Opsional) Untuk Pengaturan Keamanan, tunjukkan id Microsoft Entra mengenkripsi pernyataan SAML yang dikeluarkan. Opsi ini meningkatkan jaminan bahwa token konten tidak disadap, atau data disusupi.

  2. Dari daftar Kunci Privat Dekripsi Pernyataan, pilih Buat Baru.

Screenshot Create New in the Assertion Decryption Private Key list.

  1. Pilih OK.
  2. Dialog Impor Sertifikat dan Kunci SSL muncul di tab baru.
  3. Untuk Jenis Impor, pilih PKCS 12 (IIS). Opsi ini mengimpor sertifikat dan kunci privat Anda.
  4. Tutup tab browser untuk kembali ke tab utama.

Screenshot of options and selections for SSL Certificate and Key Source

  1. Untuk Aktifkan Pernyataan Terenkripsi, centang kotak .
  2. Jika Anda mengaktifkan enkripsi, dari daftar Kunci Privat Dekripsi Pernyataan, pilih sertifikat Anda. Kunci privat ini adalah untuk sertifikat yang digunakan BIG-IP APM untuk mendekripsi pernyataan Microsoft Entra.
  3. Jika Anda mengaktifkan enkripsi, dari daftar Sertifikat Dekripsi Pernyataan, pilih sertifikat Anda. BIG-IP mengunggah sertifikat ini ke ID Microsoft Entra untuk mengenkripsi pernyataan SAML yang dikeluarkan.

Screenshot of options and selections for Security Settings.

Microsoft Entra ID

Tombol Mudah memiliki templat untuk Oracle Orang Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP, dan templat SHA generik.

  1. Pilih Oracle Orang Soft.
  2. Pilih Tambahkan.

Konfigurasi Azure

  1. Masukkan Nama Tampilan untuk aplikasi yang dibuat BIG-IP di penyewa. Nama muncul pada ikon di Aplikasi Saya.

  2. (Opsional) Untuk URL Masuk, masukkan FQDN publik aplikasi Orang Soft.

  3. Di samping Kunci Penandatanganan dan Sertifikat Penandatanganan, pilih refresh. Tindakan ini menemukan sertifikat yang Anda impor.

  4. Untuk Menandatangani Frasa Sandi Kunci, masukkan kata sandi sertifikat.

  5. (Opsional) Untuk Opsi Penandatanganan, pilih opsi. Pilihan ini memastikan BIG-IP menerima token dan klaim yang ditandatangani oleh ID Microsoft Entra.

Screenshot of Signing Key, Signing Certificate, and Signing Key Passprhase options under SAML Signing Certificate.

  1. Grup Pengguna dan Pengguna secara dinamis dikueri dari penyewa Microsoft Entra.
  2. Tambahkan pengguna atau grup untuk pengujian, jika tidak, akses ditolak.

Screenshot of the Add option under Users And User Groups.

Atribut & Klaim Pengguna

Saat pengguna mengautentikasi, ID Microsoft Entra mengeluarkan token SAML dengan klaim dan atribut default yang mengidentifikasi pengguna. Tab Atribut Pengguna & Klaim memiliki klaim default untuk dikeluarkan untuk aplikasi baru. Gunakan untuk mengonfigurasi lebih banyak klaim. Templat Tombol Mudah memiliki klaim ID karyawan yang diperlukan oleh Orang Soft.

Screenshot of options and selections for User Attributes & Claims.

Jika diperlukan, sertakan atribut Microsoft Entra lainnya. Contoh aplikasi Orang Soft memerlukan atribut yang telah ditentukan sebelumnya.

Atribut Pengguna Tambahan

Tab Atribut Pengguna Tambahan mendukung sistem terdistribusi yang memerlukan atribut disimpan di direktori lain untuk augmentasi sesi. Atribut dari sumber LDAP disuntikkan sebagai lebih banyak header SSO untuk mengontrol akses berdasarkan peran, ID Mitra, dll.

Catatan

Fitur ini tidak memiliki korelasi dengan ID Microsoft Entra; ini adalah sumber atribut lain.

Kebijakan Akses Bersyarat

Kebijakan Akses Bersyarat diberlakukan setelah pra-autentikasi Microsoft Entra untuk mengontrol akses berdasarkan sinyal perangkat, aplikasi, lokasi, dan risiko. Tampilan Kebijakan yang Tersedia memiliki kebijakan Akses Bersyarah tanpa tindakan pengguna. Tampilan Kebijakan yang Dipilih memiliki kebijakan yang menargetkan aplikasi cloud. Anda tidak dapat membatalkan pilihan atau memindahkan kebijakan ini ke daftar Kebijakan yang Tersedia karena diberlakukan di tingkat penyewa.

Pilih kebijakan untuk aplikasi.

  1. Di daftar Kebijakan yang Tersedia, pilih kebijakan.
  2. Pilih panah kanan dan pindahkan kebijakan ke Kebijakan yang Dipilih.

Kebijakan yang dipilih memiliki opsi Sertakan atau Kecualikan dicentang. Jika kedua opsi dicentang, kebijakan tidak diberlakukan.

Screenshot of excluded policies under Selected Policies on the Conditional Access Policy tab.

Catatan

Daftar kebijakan muncul sekali, saat Anda memilih tab. Gunakan Refresh untuk wizard untuk mengkueri penyewa. Opsi ini muncul setelah aplikasi disebarkan.

Properti Server Virtual

Server virtual adalah objek sarana data BIG-IP yang diwakili oleh alamat IP virtual. Server mendengarkan permintaan klien ke aplikasi. Lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM server virtual. Kemudian, lalu lintas diarahkan sesuai dengan kebijakan.

  1. Untuk Alamat Tujuan, masukkan alamat IPv4 atau IPv6 yang digunakan BIG-IP untuk menerima lalu lintas klien. Catatan terkait muncul di DNS, yang memungkinkan klien untuk menyelesaikan URL eksternal aplikasi yang diterbitkan ke IP. Gunakan DNS localhost komputer uji untuk pengujian.
  2. Untuk Port Layanan, masukkan 443 dan pilih HTTPS.
  3. Untuk Aktifkan Port Pengalihan, centang kotak .
  4. Untuk Port Pengalihan, masukkan 80 dan pilih HTTP. Opsi ini mengalihkan lalu lintas klien HTTP masuk ke HTTPS.
  5. Untuk Profil SSL Klien, pilih Gunakan yang Sudah Ada.
  6. Di bawah Umum pilih opsi yang Anda buat. Jika pengujian, biarkan default. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui TLS.

Screenshot of options and selections for Virtual Server Properties.

Properti Kumpulan

Tab Kumpulan Aplikasi memiliki layanan di belakang BIG-IP, yang diwakili sebagai kumpulan dengan server aplikasi.

  1. Untuk Pilih Kumpulan, pilih Buat Baru, atau pilih satu.
  2. Untuk Metode Penyeimbangan Beban, pilih Round Robin.
  3. Untuk Server Kumpulan, di Alamat IP/Nama Simpul pilih simpul, atau masukkan IP dan port untuk server yang menghosting aplikasi Orang Soft.

Screenshot of IP Address/Node Name and Port options on Pool Properties.

Akses menyeluruh & Header HTTP

Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO ke aplikasi yang diterbitkan. Aplikasi Orang Soft mengharapkan header.

  1. Untuk Header HTTP, centang kotak.
  2. Untuk Operasi Header, pilih ganti.
  3. Untuk Nama Header, masukkan PS_SSO_UID.
  4. Untuk Nilai Header, masukkan %{session.sso.token.last.username}.

Screenshot of Header Operation, Header Name, and Header value entries under Single sign-On & HTTP Headers.

Catatan

Variabel sesi APM dalam tanda kurung kurawal peka huruf besar/kecil. Misalnya, jika Anda memasukkan OrclGUID, dan nama atributnya orclguid, pemetaan atribut gagal.

Manajemen Sesi

Gunakan pengaturan manajemen sesi BIG-IP untuk menentukan kondisi untuk penghentian atau kelanjutan sesi pengguna. Tetapkan batasan untuk pengguna dan alamat IP, dan info pengguna terkait.

Untuk mempelajari selengkapnya, buka support.f5.com untuk K18390492: Keamanan | Panduan operasi BIG-IP APM

Tidak tercakup dalam panduan operasi adalah fungsionalitas akses menyeluruh (SLO), yang memastikan idP, BIG-IP, dan sesi agen pengguna berakhir saat pengguna keluar. Ketika Tombol Mudah membuat instans aplikasi SAML di penyewa Microsoft Entra, tombol ini mengisi URL Keluar dengan titik akhir APM SLO. Keluar yang dimulai idP dari Aplikasi Saya mengakhiri sesi BIG-IP dan klien.

Data federasi SAML aplikasi yang diterbitkan diimpor dari penyewa. Tindakan ini menyediakan APM dengan titik akhir keluar SAML untuk ID Microsoft Entra, yang memastikan keluar yang dimulai SP mengakhiri sesi klien dan Microsoft Entra. APM perlu mengetahui kapan pengguna keluar.

Saat portal webtop BIG-IP mengakses aplikasi yang diterbitkan, APM memproses keluar untuk memanggil titik akhir keluar Microsoft Entra. Jika portal webtop BIG-IP tidak digunakan, pengguna tidak dapat menginstruksikan APM untuk keluar. Jika pengguna keluar dari aplikasi, BIG-IP tidak sadar. Keluar yang dimulai SP memerlukan penghentian sesi yang aman. Tambahkan fungsi SLO ke tombol Keluar aplikasi Anda, untuk mengalihkan klien Anda ke titik akhir keluar Microsoft Entra SAML atau BIG-IP. URL titik akhir keluar SAML untuk penyewa Anda di Titik Akhir Pendaftaran > Aplikasi.

Jika Anda tidak dapat mengubah aplikasi, pertimbangkan untuk meminta BIG-IP mendengarkan panggilan keluar aplikasi, dan memicu SLO. Untuk informasi selengkapnya, lihat Orang Soft Single Logout di bagian berikut.

Penyebaran

  1. Pilih Sebarkan.
  2. Verifikasi aplikasi dalam daftar penyewa aplikasi Enterprise.
  3. Aplikasi ini diterbitkan dan dapat diakses dengan SHA.

Mengonfigurasi PeopleSoft

Gunakan Oracle Access Manager untuk identitas aplikasi Orang Soft dan manajemen akses.

Untuk mempelajari lebih lanjut, dapatkan docs.oracle.com untuk Panduan Integrasi Oracle Access Manger, Mengintegrasikan Orang Soft

Mengonfigurasi SSO Oracle Access Manager

Konfigurasikan Oracle Access Manager untuk menerima SSO dari BIG-IP.

  1. Masuk ke konsol Oracle dengan izin admin.

Screenshot of the Oracle console.

  1. Navigasikan ke Orang Keamanan >Bagian.
  2. Pilih Profil Pengguna.
  3. Pilih Profil Pengguna.
  4. Buat profil pengguna baru.
  5. Untuk ID Pengguna, masukkan OAMPSFT
  6. Untuk Peran Pengguna, masukkan pengguna Orang Soft.
  7. Pilih Simpan.

Screenshot of User ID on the Roles tab, User Profiles.

  1. Navigasi ke Profil Web Alat>Orang.
  2. Pilih profil web.
  3. Pada tab Keamanan , di Pengguna Publik, pilih Izinkan Akses Publik.
  4. Untuk ID Pengguna, masukkan OAMPSFT.
  5. Masukkan Kata Sandi.

Screenshot of options and selections for Public Users.

  1. Biarkan konsol Orang soft.
  2. Mulai Orang Tools Application Designer.
  3. Klik kanan bidang LDAPAUTH .
  4. Pilih Tampilkan Orang Code.

Screenshot of LDAPAUTH options under Application Designer.

  1. Jendela kode LDAPAUTH terbuka.

  2. Temukan fungsi OAMSSO_AUTHENTICATION.

  3. Ganti nilai &defaultUserId dengan OAMPSFT.

    Screenshot of default User ID value equals OAMPSFT under Function.

  4. Simpan rekaman ini.

  5. Navigasikan ke **Orang Keamanan > Bagian.

  6. Pilih Objek Keamanan.

  7. Pilih Masuk Orang Code.

  8. Aktifkan OAMSSO_AUTHENTICATION.

Keluar Tunggal PeopleSoft

Saat Anda keluar dari Aplikasi Saya, Orang Soft SLO dimulai, yang pada gilirannya memanggil titik akhir BIG-IP SLO. BIG-IP membutuhkan instruksi untuk melakukan SLO atas nama aplikasi. Minta BIG-IP mendengarkan permintaan keluar pengguna ke Orang Soft, lalu picu SLO.

Tambahkan dukungan SLO untuk pengguna Orang Soft.

  1. Dapatkan URL keluar portal Orang Soft.
  2. Buka portal dengan browser web.
  3. Aktifkan alat debug.
  4. Temukan elemen dengan ID PT_LOGOUT_MENU .
  5. Simpan jalur URL dengan parameter kueri. Dalam contoh ini: /psp/ps/?cmd=logout.

Screenshot of PeopleSoft logout URL.

Buat BIG-IP iRule untuk mengalihkan pengguna ke titik akhir keluar SAML SP: /my.logout.php3.

  1. Navigasi ke **Daftar iRules Lalu Lintas > Lokal.
  2. Pilih Buat.
  3. Masukkan Nama aturan.
  4. Masukkan baris perintah berikut.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

  1. Pilih Selesai.

Tetapkan iRule ke Big-IP Virtual Server.

  1. Navigasi ke Konfigurasi Terpandu Akses>.
  2. Pilih tautan konfigurasi aplikasi Orang Soft.

Screenshot of the PeopleSoft application configuration link.

  1. Dari bilah navigasi atas, pilih Server Virtual.
  2. Untuk Pengaturan Tingkat Lanjut, pilih *Aktif.

Screenshot of the Advanced Aettings option on Virtual Server Properties.

  1. Gulir ke bawah.
  2. Di bawah Umum, tambahkan iRule yang Anda buat.

Screenshot of the irule under Common on Virtual Server Configuration.

  1. Pilih Simpan.
  2. Pilih Selanjutnya.
  3. Lanjutkan untuk mengonfigurasi pengaturan.

Untuk mempelajari selengkapnya, buka support.f5.com untuk:

Halaman arahan default ke PeopleSoft

Alihkan permintaan pengguna dari root ("/") ke portal Orang Soft eksternal, biasanya terletak di: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE. GBL"

  1. Navigasi ke Lalu Lintas > Lokal iRule.
  2. Pilih iRule_Orang Soft.
  3. Tambahkan baris perintah berikut.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. Tetapkan iRule ke Big-IP Virtual Server.

Mengonfirmasi konfigurasi

  1. Dengan browser, buka URL eksternal aplikasi Orang Soft, atau pilih ikon aplikasi di Aplikasi Saya.

  2. Autentikasi ke ID Microsoft Entra.

  3. Anda dialihkan ke server virtual BIG-IP dan masuk dengan SSO.

    Catatan

    Anda dapat memblokir akses langsung ke aplikasi, sehingga memberlakukan jalur melalui BIG-IP.

Penyebaran tingkat lanjut

Terkadang, templat Konfigurasi Terpandu tidak memiliki fleksibilitas.

Pelajari lebih lanjut: Tutorial: Mengonfigurasi F5 BIG-IP Access Policy Manager untuk SSO berbasis header

Atau, di BIG-IP nonaktifkan mode manajemen ketat Konfigurasi Terpandu. Anda dapat mengubah konfigurasi secara manual, meskipun sebagian besar konfigurasi diotomatisasi dengan templat wizard.

  1. Navigasi ke Konfigurasi Terpandu Akses>.
  2. Di akhir baris, pilih gembok.

Screenshot of the padlock icon.

Perubahan dengan UI wizard tidak dimungkinkan, namun objek BIG-IP yang terkait dengan instans yang diterbitkan aplikasi tidak terkunci untuk manajemen.

Catatan

Saat Anda mengaktifkan kembali mode ketat dan menyebarkan konfigurasi, pengaturan yang dilakukan di luar Konfigurasi Terpandu ditimpa. Kami merekomendasikan konfigurasi lanjutan untuk layanan produksi.

Pemecahan Masalah

Gunakan pengelogan BIG-IP untuk mengisolasi masalah dengan konektivitas, SSO, pelanggaran kebijakan, atau pemetaan variabel yang salah dikonfigurasi.

Verbositas log

  1. Navigasi ke Gambaran Umum Kebijakan > Akses.
  2. Pilih Log Peristiwa.
  3. Pilih pengaturan.
  4. Pilih baris aplikasi yang anda terbitkan.
  5. PilihEdit.
  6. Pilih Log Sistem Akses
  7. Dari daftar SSO, pilih Debug.
  8. Pilih OK.
  9. Produksi ulang masalah Anda.
  10. Periksa log.

Setelah selesai, kembalikan fitur ini karena mode verbose menghasilkan banyak data.

Pesan kesalahan BIG-IP

Jika kesalahan BIG-IP muncul setelah praautentikasi Microsoft Entra, ada kemungkinan masalah terkait dengan ID Microsoft Entra ke SSO BIG-IP.

  1. Navigasi ke Gambaran Umum Akses>.
  2. Pilih Akses laporan.
  3. Jalankan laporan selama satu jam terakhir.
  4. Tinjau log untuk petunjuk.

Gunakan tautan Tampilkan sesi sesi untuk mengonfirmasi bahwa APM menerima klaim Microsoft Entra yang diharapkan.

Tidak ada pesan kesalahan BIG-IP

Jika tidak ada pesan kesalahan BIG-IP yang muncul, masalahnya mungkin terkait dengan permintaan back-end, atau BIG-IP ke SSO aplikasi.

  1. Navigasi ke Gambaran Umum Kebijakan > Akses.
  2. Pilih Sesi Aktif.
  3. Pilih tautan sesi aktif.

Gunakan tautan Lihat Variabel untuk menentukan masalah SSO, terutama jika BIG-IP APM mendapatkan atribut yang salah dari variabel sesi.

Pelajari lebih lanjut: