Bagikan melalui

Mengonfigurasi Access Policy Manager BIG-IP F5 untuk SSO berbasis formulir

  • Artikel

Pelajari cara mengonfigurasi F5 BIG-IP Access Policy Manager (APM) dan MICROSOFT Entra ID untuk akses hibrid aman (SHA) ke aplikasi berbasis formulir. Layanan yang diterbitkan BIG-IP untuk akses menyeluruh (SSO) Microsoft Entra memiliki manfaat:

Selengkapnya:

Deskripsi Skenario

Untuk skenario, ada aplikasi warisan internal yang dikonfigurasi untuk autentikasi berbasis formulir (FBA). Idealnya, MICROSOFT Entra ID mengelola akses aplikasi, karena warisan tidak memiliki protokol autentikasi modern. Modernisasi membutuhkan waktu dan upaya, memperkenalkan risiko waktu henti. Sebagai gantinya, sebarkan BIG-IP antara internet publik dan aplikasi internal. Gerbang konfigurasi ini memiliki akses masuk ke aplikasi.

Dengan BIG-IP di depan aplikasi, Anda dapat melapisi layanan dengan preauthentication Microsoft Entra dan SSO berbasis header. Overlay meningkatkan postur keamanan aplikasi.

Arsitektur skenario

Solusi SHA memiliki komponen berikut:

  • Aplikasi - Layanan terbitan BIG-IP yang dilindungi oleh SHA.
    • Aplikasi memvalidasi kredensial pengguna
    • Gunakan direktori, sumber terbuka, dan sebagainya
  • Id Microsoft Entra - IdP (IdP) Security Assertion Markup Language (SAML) yang memverifikasi kredensial pengguna, Akses Bersyarat, dan SSO ke BIG-IP.
    • Dengan SSO, MICROSOFT Entra ID menyediakan atribut ke BIG-IP, termasuk pengidentifikasi pengguna
  • BIG-IP - proksi terbalik dan penyedia layanan SAML (SP) ke aplikasi.
    • Autentikasi delegasi BIG-IP ke IDP SAML kemudian melakukan SSO berbasis header ke aplikasi back-end.
    • SSO menggunakan kredensial pengguna yang di-cache terhadap aplikasi autentikasi berbasis formulir lainnya

SHA mendukung alur yang dimulai SP dan IdP. Diagram berikut mengilustrasikan alur yang dimulai SP.

Diagram alur yang dimulai penyedia layanan.

  1. Pengguna terhubung ke titik akhir aplikasi (BIG-IP).
  2. Kebijakan akses BIG-IP APM mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP).
  3. Microsoft Entra melakukan pra-autentikasi pengguna dan menerapkan kebijakan Akses Bersyariah yang diberlakukan.
  4. Pengguna dialihkan ke BIG-IP (SAML SP) dan SSO terjadi menggunakan token SAML yang dikeluarkan.
  5. BIG-IP meminta pengguna untuk memasukkan kata sandi aplikasi dan menyimpannya di cache.
  6. BIG-IP mengirimkan permintaan ke aplikasi dan menerima formulir masuk.
  7. Skrip APM mengisi nama pengguna dan kata sandi, lalu mengirimkan formulir.
  8. Server web melayani payload aplikasi dan mengirimkannya ke klien.

Prasyarat

Anda memerlukan komponen berikut:

  • Langganan Azure
  • Salah satu peran berikut: Administrator Aplikasi Cloud, atau Administrator Aplikasi
  • BIG-IP atau menyebarkan BIG-IP Virtual Edition (VE) di Azure
  • Salah satu lisensi F5 BIG-IP berikut:
    • F5 BIG-IP® Bundel terbaik
    • Lisensi mandiri F5 BIG-IP Access Policy Manager™ (APM)
    • Lisensi add-on F5 BIG-IP Access Policy Manager™ (APM) pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Uji coba fitur lengkap BIG-IP 90 hari. Lihat Uji Coba Gratis
  • Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra
  • Sertifikat SSL untuk menerbitkan layanan melalui HTTPS, atau menggunakan sertifikat default saat pengujian
  • Aplikasi autentikasi berbasis formulir, atau menyiapkan aplikasi autentikasi berbasis formulir (FBA) Layanan Informasi Internet (IIS) untuk pengujian

Konfigurasi BIG-IP

Konfigurasi dalam artikel ini adalah implementasi SHA yang fleksibel: pembuatan manual objek konfigurasi BIG-IP. Gunakan pendekatan ini untuk skenario yang tidak dibahas oleh templat Konfigurasi Terpandu.

Catatan

Ganti contoh string atau nilai dengan yang berasal dari lingkungan Anda.

Mendaftarkan F5 BIG-IP di MICROSOFT Entra ID

Pendaftaran BIG-IP adalah langkah pertama untuk SSO antar entitas. Aplikasi yang Anda buat dari templat galeri F5 BIG-IP adalah pihak yang mengandalkan, mewakili SAML SP untuk aplikasi yang diterbitkan BIG-IP.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.
  3. Di panel Semua aplikasi , pilih Aplikasi baru.
  4. Panel Telusuri Galeri Microsoft Entra terbuka.
  5. Petak peta muncul untuk platform cloud, aplikasi lokal, dan aplikasi unggulan. Ikon aplikasi unggulan menunjukkan dukungan SSO federasi dan provisi.
  6. Di galeri Azure, cari F5.
  7. Pilih integrasi F5 BIG-IP APM Microsoft Entra ID.
  8. Masukkan Nama yang digunakan aplikasi baru untuk mengenali instans aplikasi.
  9. Pilih Tambahkan.
  10. Pilih Buat.

Mengaktifkan SSO ke BIG-IP F5

Konfigurasikan pendaftaran BIG-IP untuk memenuhi token SAML yang diminta BIG-IP APM.

  1. Di menu sebelah kiri, di bagian Kelola, pilih Akses menyeluruh.
  2. Panel Akses menyeluruh muncul.
  3. Di halaman Pilih metode akses menyeluruh, pilih SAML.
  4. Pilih Tidak, saya akan menyimpan nanti.
  5. Pada panel Siapkan akses menyeluruh dengan SAML , pilih ikon pena .
  6. Untuk Pengidentifikasi, ganti nilai dengan URL aplikasi yang diterbitkan BIG-IP.
  7. Untuk URL Balasan, ganti nilai, tetapi pertahankan jalur untuk titik akhir SAML SP aplikasi. Dengan konfigurasi ini, alur SAML beroperasi dalam mode yang dimulai IdP.
  8. ID Microsoft Entra mengeluarkan pernyataan SAML, lalu pengguna dialihkan ke titik akhir BIG-IP.
  9. Untuk mode yang dimulai SP, untuk URL Masuk, masukkan URL aplikasi.
  10. Untuk Url Keluar, masukkan titik akhir single logout (SLO) BIG-IP APM yang telah ditambahkan sebelumnya oleh header host layanan.
  11. Kemudian, sesi pengguna BIG-IP APM berakhir saat pengguna keluar dari ID Microsoft Entra.
  12. Pilih Simpan.
  13. Tutup panel konfigurasi SAML.
  14. Lewati perintah pengujian SSO.
  15. Catat properti bagian Atribut Pengguna & Klaim . ID Microsoft Entra mengeluarkan properti untuk autentikasi BIG-IP APM, dan SSO ke aplikasi back-end.
  16. Pada panel Sertifikat Penandatanganan SAML, pilih Unduh.
  17. File XML Metadata Federasi disimpan ke komputer Anda.

Catatan

Dari Sistem Operasi Manajemen Lalu Lintas (TMOS) v16 dan seterusnya, titik akhir SLO SAML adalah /saml/sp/profile/redirect/slo.

Cuplikan layar URL dalam konfigurasi SAML.

Catatan

Sertifikat penandatanganan Microsoft Entra SAML memiliki masa pakai tiga tahun.

Pelajari selengkapnya: Tutorial: Mengelola sertifikat untuk akses menyeluruh federasi

Tetapkan pengguna dan grup

ID Microsoft Entra mengeluarkan token untuk pengguna yang diberikan akses ke aplikasi. Untuk memberikan akses aplikasi pengguna dan grup tertentu:

  1. Pada panel Gambaran umum aplikasi BIG-IP F5, pilih Tetapkan Pengguna dan grup.
  2. Pilih +Tambahkan pengguna/grup.
  3. Pilih pengguna dan grup yang Anda inginkan.
  4. Pilih Tetapkan.

Konfigurasi lanjutan BIG-IP

Gunakan instruksi berikut untuk mengonfigurasi BIG-IP.

Mengonfigurasi pengaturan penyedia layanan SAML

Pengaturan SAML SP menentukan properti SAML SP yang digunakan APM untuk melapisi aplikasi warisan dengan praautensi SAML. Untuk mengonfigurasinya:

  1. Pilih Akses>Penyedia Layanan SAML Federasi.>

  2. Pilih Layanan SP Lokal.

  3. Pilih Buat.

    Cuplikan layar opsi Buat pada tab Penyedia Layanan SAML.

  4. Pada Buat Layanan SP SAML Baru, untuk Nama dan ID Entitas, masukkan nama dan ID entitas yang ditentukan.

    Cuplikan layar bidang Nama dan ID Entitas di bawah Buat Layanan SAML SP Baru.

    Catatan

    Nilai Pengaturan Nama SP diperlukan jika ID entitas tidak cocok dengan bagian nama host URL yang diterbitkan. Atau, nilai diperlukan jika ID entitas tidak dalam format URL berbasis nama host reguler.

  5. Jika ID entitas adalah urn:myvacation:contosoonline, masukkan skema eksternal aplikasi dan nama host.

Mengonfigurasi konektor IdP eksternal

Konektor IDP SAML menentukan pengaturan bagi BIG-IP APM untuk mempercayai ID Microsoft Entra sebagai IDP SAML-nya. Pengaturan menghubungkan penyedia layanan SAML ke IDP SAML, yang menetapkan kepercayaan federasi antara APM dan ID Microsoft Entra.

Untuk mengonfigurasi konektor:

  1. Pilih objek penyedia layanan SAML baru.

  2. Pilih Ikat/Batalkan Ikatan Konektor IdP.

    Cuplikan layar opsi Ikat Konektor IdP Unbind pada tab Penyedia Layanan SAML.

  3. Di daftar Buat Konektor IdP Baru, pilih Dari Metadata.

    Cuplikan layar opsi Dari Metadata di daftar dropdown Buat Konektor IdP Baru.

  4. Pada panel Buat Konektor IdP SAML Baru, telusuri file XML Metadata Federasi yang Anda unduh.

  5. Masukkan Nama Penyedia Identitas untuk objek APM yang mewakili IDP SAML eksternal. Misalnya, MyVacation_EntraID.

    Cuplikan layar bidang Pilih nama File dan Penyedia Identitas di Buat Konektor IdP SAML Baru.

  6. Pilih Tambahkan Baris Baru.

  7. Pilih Konektor IdP SAML baru.

  8. Pilih Perbarui.

    Cuplikan layar opsi Perbarui.

  9. Pilih OK.

    Cuplikan layar Edit IDP SAML yang menggunakan dialog SP ini.

Mengonfigurasi SSO berbasis formulir

Buat objek SSO APM untuk SSO FBA ke aplikasi back-end.

Lakukan SSO FBA dalam mode yang dimulai klien atau mode yang dimulai BIG-IP. Kedua metode meniru masuk pengguna dengan menyuntikkan kredensial ke dalam tag nama pengguna dan kata sandi. Formulir dikirimkan. Pengguna menyediakan kata sandi untuk mengakses aplikasi FBA. Kata sandi di-cache dan digunakan kembali untuk aplikasi FBA lainnya.

  1. Pilih Akses>Akses Akses Menyeluruh.

  2. Pilih Berbasis Formulir.

  3. Pilih Buat.

  4. Untuk Nama, masukkan nama deskriptif. Misalnya, Contoso\FBA\sso.

  5. Untuk Gunakan Templat SSO, pilih Tidak Ada.

  6. Untuk Sumber Nama Pengguna, masukkan sumber nama pengguna untuk mengisi formulir kumpulan kata sandi. Default session.sso.token.last.username berfungsi dengan baik, karena memiliki pengguna masuk Microsoft Entra User Principal Name (UPN).

  7. Untuk Sumber Kata Sandi, pertahankan variabel APM default session.sso.token.last.password yang digunakan BIG-IP untuk menyimpan kata sandi pengguna.

    Cuplikan layar opsi Nama dan Gunakan Templat SSO di bawah Konfigurasi SSO Baru.

  8. Untuk Mulai URI, masukkan URI masuk aplikasi FBA. Jika URI permintaan cocok dengan nilai URI ini, autentikasi berbasis formulir APM akan menjalankan SSO.

  9. Untuk Tindakan Formulir, biarkan kosong. Kemudian, URL permintaan asli digunakan untuk SSO.

  10. Untuk Parameter Formulir untuk Nama Pengguna, masukkan elemen bidang nama pengguna formulir masuk. Gunakan alat dev browser untuk menentukan elemen .

  11. Untuk Parameter Formulir untuk Kata Sandi, masukkan elemen bidang kata sandi formulir masuk. Gunakan alat dev browser untuk menentukan elemen .

Cuplikan layar bidang Mulai URI, Parameter Formulir Untuk Nama Pengguna, dan Parameter Formulir Untuk Kata Sandi.

Cuplikan layar halaman masuk dengan callout untuk bidang nama pengguna dan bidang kata sandi.

Untuk mempelajari lebih lanjut, buka techdocs.f5.com untuk Bab Manual: Metode akses menyeluruh.

Mengonfigurasi profil akses

Profil akses mengikat elemen APM yang mengelola akses ke server virtual BIG-IP, termasuk kebijakan akses, konfigurasi SSO, dan pengaturan UI.

  1. Pilih Profil Akses>/ Kebijakan.

  2. Pilih Profil Akses (Kebijakan Per Sesi).

  3. Pilih Buat.

  4. Masukkan nama .

  5. Untuk Jenis Profil, pilih Semua.

  6. Untuk Konfigurasi SSO, pilih objek konfigurasi FBA SSO yang Anda buat.

  7. Untuk Bahasa yang Diterima, pilih setidaknya satu bahasa.

    Cuplikan layar opsi dan pilihan pada Profil Akses Per Kebijakan Sesi, Profil Baru.

  8. Di kolom Kebijakan Per Sesi, untuk profil, pilih Edit.

  9. Editor Kebijakan Visual APM dimulai.

    Cuplikan layar opsi Edit di kolom Kebijakan Per Sesi.

  10. Di bawah fallback, pilih + tanda.

Cuplikan layar opsi APM Visual Policy Editor plus-sign di bawah fallback.

  1. Di pop-up, pilih Autentikasi.
  2. Pilih SAML Auth.
  3. Pilih Tambahkan Item.

Cuplikan layar opsi Autentikasi SAML.

  1. Pada SP autentikasi SAML, ubah Nama menjadi autentikasi Microsoft Entra.
  2. Di menu dropdown AAA Server, masukkan objek penyedia layanan SAML yang Anda buat.

Cuplikan layar memperlihatkan pengaturan server autentikasi Microsoft Entra.

  1. Pada cabang Berhasil, pilih + tanda.
  2. Di pop-up, pilih Autentikasi.
  3. Pilih Halaman Masuk.
  4. Pilih Tambahkan Item.

Cuplikan layar opsi Halaman Masuk pada tab Masuk.

  1. Untuk nama pengguna, di kolom Baca Saja , pilih Ya.

Cuplikan layar opsi Ya di baris nama pengguna pada tab Properti.

  1. Untuk fallback halaman masuk, pilih + tanda. Tindakan ini menambahkan objek pemetaan kredensial SSO.

  2. Di pop-up, pilih tab Penugasan .

  3. Pilih Pemetaan Kredensial SSO.

  4. Pilih Tambahkan Item.

    Cuplikan layar opsi Pemetaan Kredensial SSO pada tab Penugasan.

  5. Pada Penetapan Variabel: Pemetaan Kredensial SSO, pertahankan pengaturan default.

  6. Pilih Simpan.

    Cuplikan layar opsi Simpan pada tab Properti.

  7. Di kotak Tolak atas, pilih tautan.

  8. Cabang Berhasil berubah menjadi Izinkan.

  9. Pilih Simpan.

(Opsional) Mengonfigurasi pemetaan atribut

Anda dapat menambahkan konfigurasi LogonID_Mapping. Kemudian, daftar sesi aktif BIG-IP memiliki UPN pengguna yang masuk, bukan nomor sesi. Gunakan informasi ini untuk menganalisis log atau pemecahan masalah.

  1. Untuk cabang SAML Auth Successful , pilih + tanda.

  2. Di pop-up, pilih Penugasan.

  3. Pilih Tetapkan Variabel.

  4. Pilih Tambahkan Item.

    Cuplikan layar opsi Tetapkan Variabel pada tab Penugasan.

  5. Pada tab Properti , masukkan Nama. Misalnya, LogonID_Mapping.

  6. Di bawah Tetapkan Variabel, pilih Tambahkan entri baru.

  7. Pilih ubah.

    Cuplikan layar opsi Tambahkan entri baru dan opsi ubah.

  8. Untuk Variabel Kustom, gunakan session.logon.last.username.

  9. Untuk Variabel Sesi, pengguna session.saml.last.identity.

  10. Pilih Selesai.

  11. Pilih Simpan.

  12. Pilih Terapkan Kebijakan Akses.

  13. Tutup Editor Kebijakan Visual.

Cuplikan layar kebijakan akses tentang Menerapkan Kebijakan Akses.

Mengonfigurasi kolam back-end

Untuk mengaktifkan BIG-IP untuk meneruskan lalu lintas klien dengan benar, buat objek simpul BIG-IP yang mewakili server back-end yang menghosting aplikasi Anda. Kemudian, tempatkan node tersebut di kumpulan server BIG-IP.

  1. Pilih Kumpulan Lalu Lintas>Lokal.

  2. Pilih Daftar Kumpulan.

  3. Pilih Buat.

  4. Masukkan Nama untuk objek kumpulan server. Misalnya, MyApps_VMs.

    Cuplikan layar bidang Nama di bawah Kumpulan Baru.

  5. Untuk Nama Simpul, masukkan nama tampilan server. Server ini menghosting aplikasi web back-end.

  6. Untuk Alamat, masukkan alamat IP host server aplikasi.

  7. Untuk Port Layanan, masukkan port HTTP/S yang didengarkan aplikasi.

    Cuplikan layar bidang Nama Simpul, Alamat, Port Layanan, dan opsi Tambahkan.

    Catatan

    Monitor kesehatan memerlukan konfigurasi yang tidak dibahas artikel ini. Buka support.f5.com untuk K13397: Gambaran umum pemformatan permintaan pemantauan kesehatan HTTP untuk sistem DNS BIG-IP.

Mengonfigurasi server virtual

Server virtual adalah objek sarana data BIG-IP yang diwakili oleh alamat IP virtual. Server mendengarkan permintaan klien ke aplikasi. Setiap lalu lintas yang diterima diproses dan dievaluasi terhadap profil akses APM yang terkait dengan server virtual. Lalu lintas diarahkan sesuai dengan kebijakan.

Untuk mengonfigurasi server virtual:

  1. Pilih Server Virtual Lalu Lintas>Lokal.

  2. Pilih Daftar Server Virtual.

  3. Pilih Buat.

  4. Masukkan nama .

  5. Untuk Alamat Tujuan/Masker, pilih Host dan masukkan alamat IPv4 atau IPv6. Alamat menerima lalu lintas klien untuk aplikasi back-end yang diterbitkan.

  6. Untuk Port Layanan, pilih Port, masukkan 443, dan pilih HTTPS.

    Cuplikan layar bidang dan opsi Nama, Alamat Tujuan, dan Port Layanan.

  7. Untuk Profil HTTP (Klien), pilih http.

  8. Untuk Profil SSL (Klien), pilih profil yang Anda buat, atau biarkan default untuk pengujian. Opsi ini memungkinkan server virtual untuk Keamanan Lapisan Transportasi (TLS) untuk menerbitkan layanan melalui HTTPS.

    Cuplikan layar opsi Klien Profil HTTP dan Klien Profil SSL.

  9. Untuk Terjemahan Alamat Sumber, pilih Peta Otomatis.

    Cuplikan layar pilihan Peta Otomatis untuk Terjemahan Alamat Sumber.

  10. Di bawah Kebijakan Akses, dalam kotak Profil Akses, masukkan nama yang Anda buat. Tindakan ini mengikat profil preauthentication Microsoft Entra SAML dan kebijakan SSO FBA ke server virtual.

Cuplikan layar entri Profil Akses di bawah Kebijakan Akses.

  1. Di bawah Sumber Daya, untuk Kumpulan Default, pilih objek kumpulan back-end yang Anda buat.
  2. Pilih Selesai.

Cuplikan layar opsi Kumpulan Default di bawah Sumber Daya.

Mengonfigurasi pengaturan manajemen sesi

Pengaturan manajemen sesi BIG-IP menentukan kondisi untuk penghentian dan kelanjutan sesi. Buat kebijakan di area ini.

  1. Buka Kebijakan Akses.
  2. Pilih Profil Akses.
  3. Pilih Profil Akses.
  4. Dari daftar, pilih aplikasi Anda.

Jika Anda menentukan satu nilai URI keluar di ID Microsoft Entra, keluar yang dimulai IdP dari MyApps mengakhiri klien dan sesi APM BIG-IP. File XML metadata federasi aplikasi yang diimpor menyediakan APM dengan titik akhir Microsoft Entra SAML untuk keluar yang dimulai SP. Pastikan APM merespons dengan benar pengguna keluar.

Jika tidak ada portal web BIG-IP, pengguna tidak dapat menginstruksikan APM untuk keluar. Jika pengguna keluar dari aplikasi, BIG-IP tidak sadar. Sesi aplikasi dapat dipulangkan melalui SSO. Untuk keluar yang dimulai SP, pastikan sesi dihentikan dengan aman.

Anda dapat menambahkan fungsi SLO ke tombol keluar aplikasi Anda. Fungsi ini mengalihkan klien ke titik akhir keluar Microsoft Entra SAML. Untuk menemukan titik akhir keluar SAML, buka > Akhir Pendaftaran Aplikasi.

Jika Anda tidak dapat mengubah aplikasi, minta BIG-IP mendengarkan panggilan keluar aplikasi dan memicu SLO.

Selengkapnya:

Aplikasi yang diterbitkan

Aplikasi Anda diterbitkan dan dapat diakses dengan SHA dengan URL aplikasi atau portal Microsoft.

Aplikasi muncul sebagai sumber daya target di Akses Bersyar. Pelajari selengkapnya: Membangun kebijakan Akses Bersyar.

Untuk peningkatan keamanan, blokir akses langsung ke aplikasi, menegakkan jalur melalui BIG-IP.

Uji

  1. Pengguna terhubung ke URL eksternal aplikasi, atau di Aplikasi Saya, dan memilih ikon aplikasi.
  2. Pengguna mengautentikasi ke ID Microsoft Entra.
  3. Pengguna dialihkan ke titik akhir BIG-IP untuk aplikasi.
  4. Perintah kata sandi muncul.
  5. APM mengisi nama pengguna dengan UPN dari ID Microsoft Entra. Nama pengguna bersifat baca-saja untuk konsistensi sesi. Sembunyikan bidang ini, jika diperlukan.
  6. Informasi dikirimkan.
  7. Pengguna masuk ke aplikasi.

Pecahkan masalah

Saat memecahkan masalah, pertimbangkan informasi berikut:

  • BIG-IP melakukan SSO FBA saat mengurai formulir masuk di URI

    • BIG-IP mencari tag elemen nama pengguna dan kata sandi dari konfigurasi Anda

  • Konfirmasikan tag elemen konsisten, atau SSO gagal

  • Formulir kompleks yang dihasilkan secara dinamis mungkin memerlukan analisis alat dev untuk memahami formulir masuk

  • Inisiasi klien lebih baik untuk halaman masuk dengan beberapa formulir

    • Anda dapat memilih nama formulir dan mengkustomisasi logika penangan formulir JavaScript

  • Metode SSO FBA menyembunyikan interaksi formulir untuk mengoptimalkan pengalaman dan keamanan pengguna:

    • Anda dapat memvalidasi apakah kredensial disuntikkan
    • Dalam mode yang dimulai klien, nonaktifkan pengiriman otomatis formulir di profil SSO Anda
    • Gunakan alat dev untuk menonaktifkan dua properti gaya yang mencegah halaman masuk muncul

    Cuplikan layar halaman Properti.

Meningkatkan verbositas log

Log BIG-IP berisi informasi untuk mengisolasi masalah autentikasi dan SSO. Tingkatkan tingkat verbositas log:

  1. Buka Gambaran Umum Kebijakan>Akses.
  2. Pilih Log Peristiwa.
  3. Pilih pengaturan.
  4. Pilih baris aplikasi yang anda terbitkan.
  5. Pilih Edit.
  6. Pilih Akses Log Sistem.
  7. Di daftar SSO, pilih Debug.
  8. Pilih OK.
  9. Rekonstruksi masalah tersebut.
  10. Tinjau log.

Kembalikan pengaturan jika tidak, ada data yang berlebihan.

Pesan kesalahan BIG-IP

Jika kesalahan BIG-IP muncul setelah praautentikasi Microsoft Entra, masalahnya mungkin terkait dengan ID Microsoft Entra dan BIG-IP SSO.

  1. >.
  2. Pilih Akses laporan.
  3. Jalankan laporan selama satu jam terakhir.
  4. Tinjau log untuk petunjuk.

Gunakan tautan Tampilkan variabel sesi untuk sesi Anda untuk menentukan apakah APM menerima klaim Microsoft Entra yang diharapkan.

Tidak ada pesan kesalahan BIG-IP

Jika tidak ada pesan kesalahan BIG-IP yang muncul, masalah mungkin terkait dengan permintaan back-end, atau SSO BIG-IP-to-application.

  1. Pilih Gambaran Umum Kebijakan>Akses.
  2. Pilih Sesi Aktif.
  3. Pilih tautan sesi aktif.

Gunakan tautan Lihat Variabel di lokasi ini untuk membantu menentukan akar penyebab, terutama jika APM gagal mendapatkan pengidentifikasi pengguna dan kata sandi yang benar.

Untuk mempelajari lebih lanjut, buka techdocs.f5.com untuk Bab Manual: Variabel Sesi.

Sumber