Bagikan melalui

Tutorial: Mengonfigurasi F5 BIG-IP Easy Button untuk akses menyeluruh berbasis header dan LDAP

  • Artikel

Dalam artikel ini, Anda dapat belajar mengamankan header dan aplikasi berbasis LDAP menggunakan MICROSOFT Entra ID, dengan menggunakan F5 BIG-IP Easy Button Guided Configuration 16.1. Mengintegrasikan BIG-IP dengan MICROSOFT Entra ID memberikan banyak manfaat:

Untuk mempelajari tentang manfaat lainnya, lihat Integrasi F5 BIG-IP dan Microsoft Entra.

Deskripsi Skenario

Skenario ini berfokus pada aplikasi klasik warisan menggunakan header otorisasi HTTP yang bersumber dari atribut direktori LDAP, untuk mengelola akses ke konten yang dilindungi.

Karena warisan, aplikasi tidak memiliki protokol modern untuk mendukung integrasi langsung dengan MICROSOFT Entra ID. Anda dapat memodernisasi aplikasi, tetapi mahal, memerlukan perencanaan, dan memperkenalkan risiko potensi waktu henti. Sebagai gantinya, Anda dapat menggunakan Pengontrol Pengiriman Aplikasi (ADC) F5 BIG-IP untuk menjenjangkan kesenjangan antara aplikasi warisan dan sarana kontrol ID modern, dengan transisi protokol.

Memiliki BIG-IP di depan aplikasi memungkinkan overlay layanan dengan pra-autentikasi Microsoft Entra dan SSO berbasis header, meningkatkan postur keamanan keseluruhan aplikasi.

Arsitektur skenario

Solusi akses hibrid aman untuk skenario ini memiliki:

  • Aplikasi - Layanan yang diterbitkan BIG-IP yang akan dilindungi oleh akses hibrid aman ID Microsoft Entra (SHA)
  • Id Microsoft Entra - IdP (IdP) Security Assertion Markup Language (SAML) yang memverifikasi kredensial pengguna, Akses Bersyarat, dan SSO berbasis SAML ke BIG-IP. Dengan SSO, MICROSOFT Entra ID menyediakan BIG-IP dengan atribut sesi yang diperlukan.
  • Sistem SDM - Database karyawan berbasis LDAP sebagai sumber kebenaran untuk izin aplikasi
  • BIG-IP - Proksi terbalik dan penyedia layanan SAML (SP) ke aplikasi, mendelegasikan autentikasi ke IDP SAML, sebelum melakukan SSO berbasis header ke aplikasi back-end

SHA untuk skenario ini mendukung alur yang dimulai SP dan IdP. Gambar berikut mengilustrasikan alur yang dimulai SP.

Diagram alur yang dimulai SP akses hibrid aman.

  1. Pengguna terhubung ke titik akhir aplikasi (BIG-IP)
  2. Kebijakan akses BIG-IP APM mengalihkan pengguna ke MICROSOFT Entra ID (SAML IdP)
  3. ID Microsoft Entra melakukan pra-autentikasi pengguna dan menerapkan kebijakan Akses Bersyariah yang diberlakukan
  4. Pengguna diarahkan ke BIG-IP (SAML SP) dan SSO dilakukan menggunakan token SAML yang dikeluarkan
  5. BIG-IP meminta lebih banyak atribut dari sistem SDM berbasis LDAP
  6. BIG-IP menyuntikkan atribut sistem ID Microsoft Entra dan HR sebagai header dalam permintaan ke aplikasi
  7. Aplikasi mengotorisasi akses dengan izin sesi yang diperkaya

Prasyarat

Pengalaman BIG-IP sebelumnya tidak diperlukan, tetapi Anda memerlukan:

  • Akun gratis Azure, atau langganan tingkat yang lebih tinggi
  • BIG-IP atau menyebarkan BIG-IP Virtual Edition (VE) di Azure
  • Salah satu lisensi F5 BIG-IP berikut:
    • F5 BIG-IP® Bundel terbaik
    • Lisensi mandiri F5 BIG-IP Access Policy Manager™ (APM)
    • Lisensi add-on F5 BIG-IP Access Policy Manager™ (APM) pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Uji Coba Gratis produk BIG-IP 90 hari
  • Identitas pengguna disinkronkan dari direktori lokal ke ID Microsoft Entra
  • Salah satu peran berikut: Administrator Aplikasi Cloud, atau Administrator Aplikasi.
  • Sertifikat Web SSL untuk layanan penerbitan melalui HTTPS, atau gunakan sertifikat BIG-IP default saat menguji
  • Aplikasi berbasis header atau menyiapkan aplikasi header IIS sederhana untuk pengujian
  • Direktori pengguna yang mendukung LDAP, seperti Windows Active Directory Lightweight Directory Services (AD LDS), OpenLDAP, dan sebagainya.

Konfigurasi BIG-IP

Tutorial ini menggunakan Konfigurasi Terpandu 16.1 dengan templat Tombol Mudah. Dengan Tombol Mudah, admin tidak bolak-balik antara MICROSOFT Entra ID dan BIG-IP untuk mengaktifkan layanan untuk SHA. Penyebaran dan manajemen kebijakan ditangani antara wizard Konfigurasi Terpandu APM dan Microsoft Graph. Integrasi antara BIG-IP APM dan Microsoft Entra ID ini memastikan aplikasi mendukung federasi identitas, SSO, dan Akses Bersyarat Microsoft Entra, mengurangi overhead administratif.

Catatan

Ganti contoh string atau nilai dalam panduan ini dengan string untuk lingkungan Anda.

Mendaftarkan Easy Button

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Sebelum klien atau layanan dapat mengakses Microsoft Graph, klien atau layanan tersebut dipercaya oleh platform identitas Microsoft.

Langkah pertama ini membuat pendaftaran aplikasi penyewa untuk mengotorisasi akses Tombol Mudah ke Grafik. Dengan izin ini, BIG-IP dapat mendorong konfigurasi untuk membangun kepercayaan antara instans SAML SP untuk aplikasi yang diterbitkan, dan ID Microsoft Entra sebagai IDP SAML.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri Aplikasi> Identitas>Pendaftaran aplikasi> Pendaftaran baru.

  3. Masukkan Nama tampilan aplikasi Anda. Misalnya, Tombol Mudah F5 BIG-IP.

  4. Tentukan siapa yang hanya dapat menggunakan Akun aplikasi >di direktori organisasi ini.

  5. Pilih Daftarkan.

  6. Navigasikan ke Izin API dan otorisasi izin Aplikasi Microsoft Graph berikut:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grup.Baca.Semua
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • Pengguna.Baca.Semua

  7. Berikan persetujuan admin untuk organisasi Anda.

  8. Pada Sertifikat & Rahasia, buat rahasia klien baru. Catat rahasia ini.

  9. Pada Gambaran Umum, perhatikan ID Klien dan ID Penyewa.

Mengonfigurasi Tombol Mudah

Mulai Konfigurasi Terpandu APM untuk meluncurkan templat Tombol Mudah.

  1. Navigasi ke Akses > Konfigurasi > Terpandu Integrasi Microsoft dan pilih Aplikasi Microsoft Entra.

  2. Tinjau daftar langkah-langkah dan pilih Berikutnya

  3. Untuk menerbitkan aplikasi Anda, ikuti langkah-langkahnya.

    Cuplikan layar alur konfigurasi pada Konfigurasi Terpandu.

Properti Konfigurasi

Tab Properti Konfigurasi membuat konfigurasi aplikasi BIG-IP dan objek SSO. Bagian Detail Akun Layanan Azure mewakili klien yang Anda daftarkan di penyewa Microsoft Entra Anda sebelumnya, sebagai aplikasi. Pengaturan ini memungkinkan klien BIG-IP OAuth mendaftarkan SAML SP di penyewa Anda, dengan properti SSO yang akan Anda konfigurasikan secara manual. Tombol Mudah melakukan tindakan ini untuk setiap layanan BIG-IP yang diterbitkan dan diaktifkan untuk SHA.

Beberapa pengaturan ini bersifat global, oleh karena itu dapat digunakan kembali untuk menerbitkan lebih banyak aplikasi, mengurangi waktu dan upaya penyebaran.

  1. Masukkan Nama Konfigurasi unik sehingga admin dapat membedakan antara konfigurasi Tombol Mudah.

  2. Aktifkan Akses Menyeluruh (SSO) & Header HTTP.

  3. Masukkan ID Penyewa, ID Klien, dan Rahasia Klien yang Anda catat saat mendaftarkan klien Easy Button di penyewa Anda.

  4. Konfirmasikan BIG-IP dapat tersambung ke penyewa Anda.

  5. Pilih Selanjutnya.

    Cuplikan layar entri untuk Properti Umum dan Detail Akun Layanan Azure, pada Properti Konfigurasi.

Penyedia Layanan

Pengaturan Penyedia Layanan menentukan properti untuk instans SAML SP dari aplikasi yang dilindungi melalui SHA.

  1. Masukkan Host, nama domain publik yang sepenuhnya memenuhi syarat (FQDN) dari aplikasi yang diamankan.

  2. Masukkan ID Entitas, ID Microsoft Entra pengidentifikasi menggunakan untuk mengidentifikasi SAML SP yang meminta token.

    Cuplikan layar entri ID Host dan Entitas pada Penyedia Layanan.

Gunakan Pengaturan Keamanan opsional untuk menentukan apakah MICROSOFT Entra ID mengenkripsi pernyataan SAML yang dikeluarkan. Mengenkripsi pernyataan antara ID Microsoft Entra dan BIG-IP APM memberikan jaminan token konten tidak dapat disadap, dan data pribadi atau perusahaan tidak dapat disusupi.

  1. Dari daftar Kunci Privat Dekripsi Pernyataan, pilih Buat Baru

    Cuplikan layar opsi Buat Baru di bawah Kunci Privat Dekripsi Pernyataan, di Pengaturan Keamanan.

  2. Pilih OK. Dialog Impor Sertifikat dan Kunci SSL terbuka di tab baru.

  3. Pilih PKCS 12 (IIS) untuk mengimpor sertifikat dan kunci privat Anda. Setelah provisi, tutup tab browser untuk kembali ke tab utama.

    Cuplikan layar Jenis Impor, Sertifikat dan Nama Kunci, Sumber Kunci Sertifikat, dan entri Kata Sandi

  4. Periksa Aktifkan Pernyataan Terenkripsi.

  5. Jika Anda mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Kunci Privat Dekripsi Pernyataan. BIG-IP APM menggunakan kunci privat sertifikat ini untuk mendekripsi pernyataan Microsoft Entra.

  6. Jika Anda mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Sertifikat Dekripsi Pernyataan. BIG-IP mengunggah sertifikat ini ke ID Microsoft Entra untuk mengenkripsi pernyataan SAML yang dikeluarkan.

    Cuplikan layar entri Sertifikat Dekripsi Dekripsi Pernyataan dan Sertifikat Dekripsi Pernyataan, pada Pengaturan Keamanan.

Microsoft Entra ID

Bagian ini berisi properti untuk mengonfigurasi aplikasi BIG-IP SAML baru secara manual di penyewa Microsoft Entra Anda. Easy Button memiliki templat aplikasi untuk Oracle Orang Soft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP, dan templat SHA untuk aplikasi lain.

Untuk skenario ini, pilih F5 BIG-IP APM Microsoft Entra ID Integration > Add.

Konfigurasi Azure

  1. Masukkan Nama Tampilan aplikasi yang dibuat BIG-IP di penyewa Microsoft Entra Anda, dan ikon yang dilihat pengguna di portal MyApps.

  2. Jangan buat entri untuk URL Masuk (opsional).

  3. Untuk menemukan sertifikat yang Anda impor, pilih ikon Refresh di samping Kunci Penandatanganan dan Sertifikat Penandatanganan.

  4. Masukkan kata sandi sertifikat di Frase Sandi Kunci Penandatanganan.

  5. Aktifkan Opsi Penandatanganan (opsional) untuk memastikan BIG-IP menerima token dan klaim yang ditandatangani oleh ID Microsoft Entra.

    Cuplikan layar entri Kunci Penandatanganan, Sertifikat Penandatanganan, dan Frase Sandi Kunci Penandatanganan pada Sertifikat Penandatanganan SAML.

  6. Grup Pengguna dan Pengguna secara dinamis dikueri dari penyewa Microsoft Entra Anda dan mengotorisasi akses ke aplikasi. Tambahkan pengguna atau grup untuk pengujian, jika tidak, akses ditolak.

    Cuplikan layar opsi Tambahkan pada Grup Pengguna dan Pengguna.

Atribut & Klaim Pengguna

Saat pengguna mengautentikasi, ID Microsoft Entra mengeluarkan token SAML dengan serangkaian klaim dan atribut default yang mengidentifikasi pengguna secara unik. Tab Atribut Pengguna & Klaim menunjukkan klaim default yang akan dikeluarkan untuk aplikasi baru. Ini juga memungkinkan Anda mengonfigurasi lebih banyak klaim.

Untuk contoh ini, sertakan satu atribut lagi:

  1. Untuk Nama Klaim masukkan employeeid.

  2. Untuk Atribut Sumber masukkan user.employeeid.

    Cuplikan layar nilai employeeid di bawah Klaim Tambahan, pada Atribut dan Klaim Pengguna.

Atribut Pengguna Tambahan

Pada tab Atribut Pengguna Tambahan, Anda dapat mengaktifkan augmentasi sesi untuk sistem terdistribusi seperti Oracle, SAP, dan implementasi berbasis JAVA lainnya yang memerlukan atribut yang disimpan di direktori lain. Atribut yang diambil dari sumber LDAP dapat disuntikkan sebagai lebih banyak header SSO untuk mengontrol akses berdasarkan peran, ID Mitra, dan sebagainya.

  1. Aktifkan opsi Pengaturan Tingkat Lanjut.

  2. Centang kotak centang Atribut LDAP.

  3. Di Pilih Server Autentikasi, pilih Buat Baru.

  4. Bergantung pada penyiapan Anda, pilih mode Koneksi Server Gunakan kumpulan atau Langsung untuk memberikan Alamat Server layanan LDAP target. Jika menggunakan satu server LDAP, pilih Langsung.

  5. Untuk Port Layanan masukkan 389, 636 (Aman), atau port lain yang digunakan layanan LDAP Anda.

  6. Untuk DN Pencarian Dasar masukkan nama khusus lokasi yang berisi akun yang diautentikasi APM dengan, untuk kueri layanan LDAP.

    Cuplikan layar entri Properti Server LDAP pada Atribut Pengguna Tambahan.

  7. Untuk Pencarian DN masukkan nama khusus lokasi yang berisi objek akun pengguna yang dikueri APM melalui LDAP.

  8. Atur kedua opsi keanggotaan ke Tidak Ada dan tambahkan nama atribut objek pengguna yang akan dikembalikan dari direktori LDAP. Untuk skenario ini: eventroles.

    Cuplikan layar entri Properti Kueri LDAP.

Kebijakan Akses Bersyarat

Kebijakan Akses Bersyarat diberlakukan setelah pra-autentikasi Microsoft Entra untuk mengontrol akses berdasarkan sinyal perangkat, aplikasi, lokasi, dan risiko.

Tampilan Kebijakan yang Tersedia mencantumkan kebijakan Akses Bersyar yang tidak menyertakan tindakan pengguna.

Tampilan Kebijakan yang Dipilih menampilkan kebijakan yang menargetkan semua aplikasi cloud. Kebijakan ini tidak dapat dibatalkan pilihannya atau dipindahkan ke daftar Kebijakan yang Tersedia karena diberlakukan pada tingkat penyewa.

Untuk memilih kebijakan yang akan diterapkan pada aplikasi yang diterbitkan:

  1. Di daftar Kebijakan yang Tersedia, pilih kebijakan.

  2. Pilih panah kanan dan pindahkan ke daftar Kebijakan Terpilih.

    Catatan

    Kebijakan yang dipilih memiliki opsi Sertakan atau Kecualikan dicentang. Jika kedua opsi dicentang, kebijakan yang dipilih tidak diterapkan.

    Cuplikan layar kebijakan yang dikecualikan, di bawah Kebijakan yang Dipilih, pada Kebijakan Akses Bersyar.

    Catatan

    Daftar kebijakan dijumlahkan sekali, ketika Anda awalnya memilih tab ini. Gunakan tombol Refresh untuk memaksa wizard secara manual untuk mengkueri penyewa Anda. Tombol ini muncul ketika aplikasi disebarkan.

Properti Server Virtual

Server virtual adalah objek data plane BIG-IP yang diwakili oleh alamat IP virtual yang mendengarkan permintaan klien ke aplikasi. Lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM yang terkait dengan server virtual, sebelum diarahkan sesuai dengan kebijakan.

  1. Masukkan Alamat Tujuan, alamat IPv4/IPv6 yang tersedia yang dapat digunakan BIG-IP untuk menerima lalu lintas klien. Harus ada catatan yang sesuai di server nama domain (DNS), yang memungkinkan klien untuk menyelesaikan URL eksternal aplikasi yang diterbitkan BIG-IP Anda ke IP ini, bukan aplikasi. Menggunakan DNS localhost PC pengujian dapat diterima untuk pengujian.

  2. Untuk Port Layanan masukkan 443 dan HTTPS.

  3. Centang Aktifkan Port Pengalihan lalu masukkan Port Pengalihan untuk mengalihkan lalu lintas klien HTTP masuk ke HTTPS.

  4. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui Keamanan Lapisan Transportasi (TLS). Pilih Profil SSL Klien yang Anda buat atau biarkan default saat pengujian.

    Cuplikan layar Alamat Tujuan, Port Layanan, dan entri Umum di bawah Properti Umum pada Properti Server Virtual.

Properti Kumpulan

Tab Kumpulan Aplikasi memiliki layanan di balik BIG-IP yang diwakili sebagai kumpulan, dengan satu atau beberapa server aplikasi.

  1. Pilih dari Pilih Kumpulan. Buat kumpulan baru atau pilih kumpulan.

  2. Pilih Metode Load Balancing seperti Round Robin.

  3. Untuk Server Kumpulan pilih simpul atau tentukan IP dan port untuk server yang menghosting aplikasi berbasis header.

    Cuplikan layar entri Alamat IP/Nama Node dan Port di bawah Kumpulan Aplikasi, pada Properti Kumpulan.

Catatan

Aplikasi back-end kami berada di port HTTP 80. Beralih ke 443 jika Anda adalah HTTPS.

Akses menyeluruh dan Header HTTP

Mengaktifkan SSO memungkinkan pengguna mengakses layanan yang diterbitkan BIG-IP tanpa memasukkan kredensial. Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO.

Gunakan daftar berikut untuk mengonfigurasi opsi.

  • Operasi Header: Sisipkan

  • Nama Header: upn

  • Nilai Header: %{session.saml.last.identity}

  • Operasi Header: Sisipkan

  • Nama Header: employeeid

  • Nilai Header: %{session.saml.last.attr.name.employeeid}

  • Operasi Header: Sisipkan

  • Nama Header: eventroles

  • Nilai Header: %{session.ldap.last.attr.eventroles}

    Cuplikan layar entri Header SSO di bawah Header SSO di Header SSO dan HTTP.

Catatan

Variabel sesi APM dalam tanda kurung kurawal peka huruf besar/kecil. Misalnya, jika Anda memasukkan OrclGUID dan nama atribut Microsoft Entra adalah orclguid, kegagalan pemetaan atribut terjadi.

Pengaturan manajemen sesi

Pengaturan manajemen sesi BIG-IP menentukan kondisi di mana sesi pengguna dihentikan atau diizinkan untuk melanjutkan, batasan untuk pengguna dan alamat IP, dan info pengguna yang sesuai. Lihat artikel F5 K18390492: Keamanan | Panduan operasi BIG-IP APM untuk detail tentang pengaturan ini.

Yang tidak tercakup adalah fungsionalitas Single Log Out (SLO), yang memastikan sesi antara IdP, BIG-IP, dan agen pengguna dihentikan saat pengguna keluar. Saat Tombol Mudah membuat instans aplikasi SAML di penyewa Microsoft Entra Anda, tombol ini mengisi URL keluar dengan titik akhir APM SLO. Keluar yang dimulai IdP dari portal Microsoft Entra Aplikasi Saya mengakhiri sesi antara BIG-IP dan klien.

Metadata federasi SAML untuk aplikasi yang diterbitkan diimpor dari penyewa Anda, yang menyediakan APM dengan titik akhir keluar SAML untuk ID Microsoft Entra. Tindakan ini memastikan keluar yang dimulai SP mengakhiri sesi antara klien dan ID Microsoft Entra. APM perlu mengetahui kapan pengguna keluar dari aplikasi.

Jika portal webtop BIG-IP digunakan untuk mengakses aplikasi yang diterbitkan, maka APM memproses keluar untuk memanggil titik akhir keluar Microsoft Entra. Namun, pertimbangkan skenario di mana portal webtop BIG-IP tidak digunakan. Pengguna tidak dapat menginstruksikan APM untuk keluar. Bahkan jika pengguna keluar dari aplikasi, BIG-IP tidak sadar. Oleh karena itu, pertimbangkan keluar yang dimulai SP untuk memastikan sesi dihentikan dengan aman. Anda dapat menambahkan fungsi SLO ke tombol Keluar aplikasi, sehingga dapat mengalihkan klien Anda ke titik akhir keluar Microsoft Entra SAML atau BIG-IP. URL untuk titik akhir keluar SAML untuk penyewa Anda ada di Titik Akhir Pendaftaran > Aplikasi.

Jika Anda tidak dapat membuat perubahan pada aplikasi, maka pertimbangkan untuk meminta BIG-IP mendengarkan panggilan keluar aplikasi, dan setelah mendeteksi permintaan tersebut memicu SLO. Lihat panduan Oracle Orang Soft SLO untuk mempelajari tentang BIG-IP iRules. Untuk informasi selengkapnya tentang menggunakan BIG-IP iRules, lihat:

Ringkasan

Langkah terakhir ini memberikan perincian konfigurasi Anda.

Pilih Sebarkan untuk menerapkan pengaturan dan memverifikasi bahwa aplikasi ada dalam daftar penyewa aplikasi Enterprise Anda.

Aplikasi Anda diterbitkan dan dapat diakses melalui SHA, baik dengan URL-nya atau melalui portal aplikasi Microsoft. Untuk peningkatan keamanan, organisasi yang menggunakan pola ini dapat memblokir akses langsung ke aplikasi. Tindakan ini memaksa jalur ketat melalui BIG-IP.

Langkah berikutnya

Dari browser, di portal Microsoft MyApps sambungkan ke URL eksternal aplikasi atau pilih ikon aplikasi. Setelah mengautentikasi terhadap ID Microsoft Entra, Anda dialihkan ke server virtual BIG-IP untuk aplikasi dan masuk melalui SSO.

Lihat cuplikan layar berikut untuk output header yang disuntikkan di aplikasi berbasis header kami.

Cuplikan layar nilai output di bawah Variabel Server pada Peristiwa Saya.

Untuk peningkatan keamanan, organisasi yang menggunakan pola ini dapat memblokir akses langsung ke aplikasi. Tindakan ini memaksa jalur ketat melalui BIG-IP.

Penyebaran tingkat lanjut

Templat Konfigurasi Terpandu dapat tidak memiliki fleksibilitas untuk mencapai persyaratan tertentu.

Di BIG-IP, Anda dapat menonaktifkan mode manajemen ketat Konfigurasi Terpandu. Anda kemudian dapat mengubah konfigurasi secara manual, meskipun sebagian besar konfigurasi Anda diotomatisasi melalui templat berbasis wizard.

Untuk konfigurasi aplikasi, Anda dapat menavigasi ke Access > Guided Configuration dan memilih ikon gembok kecil di ujung kanan baris.

Cuplikan layar opsi gembok.

Pada titik ini, perubahan dengan UI wizard tidak lagi dimungkinkan, tetapi semua objek BIG-IP yang terkait dengan instans aplikasi yang diterbitkan tidak terkunci untuk manajemen langsung.

Catatan

Mengaktifkan kembali mode ketat dan menyebarkan konfigurasi menimpa pengaturan apa pun yang dilakukan di luar UI Konfigurasi Terpandu. Kami merekomendasikan metode konfigurasi lanjutan untuk layanan produksi.

Pemecahan Masalah

Pengelogan BIG-IP

Pengelogan BIG-IP dapat membantu mengisolasi masalah dengan konektivitas, SSO, pelanggaran kebijakan, atau pemetaan variabel yang salah dikonfigurasi.

Untuk memecahkan masalah, Anda dapat meningkatkan tingkat verbositas log.

  1. Navigasi ke Log > Peristiwa Gambaran Umum > Kebijakan > Akses Pengaturan.
  2. Pilih baris untuk aplikasi yang diterbitkan lalu Edit > Log Sistem Akses.
  3. Dari daftar SSO, pilih Debug, lalu OK.

Reproduksi masalah Anda, lalu periksa log, tetapi kembalikan pengaturan ini setelah selesai. Mode Verbose menghasilkan sejumlah besar data.

Halaman kesalahan BIG-IP

Jika kesalahan BIG-IP muncul setelah pra-autentikasi Microsoft Entra, ada kemungkinan masalah terkait dengan SSO dari ID Microsoft Entra ke BIG-IP.

  1. Navigasikan ke laporan Akses Gambaran Umum > Akses>.
  2. Jalankan laporan selama satu jam terakhir untuk melihat apakah log memberikan petunjuk.
  3. Gunakan tautan Lihat Variabel untuk sesi Anda untuk memahami apakah APM menerima klaim yang diharapkan dari ID Microsoft Entra.

Permintaan back-end

Jika tidak ada halaman kesalahan, masalahnya mungkin terkait dengan permintaan back-end, atau SSO dari BIG-IP ke aplikasi.

  1. Navigasi ke Gambaran Umum > Kebijakan > Akses Sesi Aktif dan pilih tautan untuk sesi aktif Anda.
  2. Untuk membantu akar penyebab masalah, gunakan tautan Lihat Variabel , terutama jika APM BIG-IP gagal mendapatkan atribut yang tepat dari ID Microsoft Entra atau sumber lain.

Memvalidasi akun layanan APM

Untuk memvalidasi akun layanan APM untuk kueri LDAP, gunakan perintah berikut dari shell bash BIG-IP. Konfirmasi autentikasi dan kueri objek pengguna.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Untuk informasi selengkapnya, lihat artikel F5 K11072: Mengonfigurasi autentikasi jarak jauh LDAP untuk Direktori Aktif. Anda dapat menggunakan tabel referensi BIG-IP untuk membantu mendiagnosis masalah terkait LDAP di dokumen AskF5, Kueri LDAP.