Share via

Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso Single Sign-On basato su intestazione e LDAP

  • Articolo

In questo articolo è possibile imparare a proteggere l'intestazione e le applicazioni basate su LDAP usando Microsoft Entra ID, usando la configurazione guidata F5 BIG-IP Easy Button 16.1. L'integrazione di big-IP con Microsoft Entra ID offre molti vantaggi:

Per altre informazioni sui vantaggi, vedere Integrazione di F5 BIG-IP e Microsoft Entra.

Descrizione dello scenario

Questo scenario è incentrato sull'applicazione classica legacy che usa le intestazioni di autorizzazione HTTP originate dagli attributi della directory LDAP, per gestire l'accesso al contenuto protetto.

Poiché è legacy, l'applicazione non dispone di protocolli moderni per supportare un'integrazione diretta con Microsoft Entra ID. È possibile modernizzare l'app, ma è costosa, richiede la pianificazione e introduce il rischio di potenziali tempi di inattività. È invece possibile usare un controller di distribuzione di applicazioni BIG-IP (ADC) F5 per colmare il divario tra l'applicazione legacy e il piano di controllo ID moderno, con la transizione del protocollo.

La presenza di big-IP davanti all'app consente di sovrapporre il servizio con l'autenticazione preliminare e l'accesso Single Sign-On basato su intestazione, migliorando il comportamento di sicurezza complessivo dell'applicazione.

Architettura dello scenario

La soluzione di accesso ibrido sicuro per questo scenario include:

  • Applicazione - Servizio pubblicato big-IP da proteggere da Microsoft Entra ID secure hybrid access (SHA)
  • Microsoft Entra ID : provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAML all'INDIRIZZO BIG-IP. Con SSO, Microsoft Entra ID fornisce big-IP con gli attributi di sessione necessari.
  • Sistema HR : database dipendente basato su LDAP come origine della verità per le autorizzazioni dell'applicazione
  • BIG-IP : proxy inverso e provider di servizi SAML (SP) all'applicazione, delega dell'autenticazione al provider di identità SAML, prima di eseguire l'accesso SSO basato su intestazione all'applicazione back-end

SHA per questo scenario supporta i flussi avviati da SP e IdP. L'immagine seguente illustra il flusso avviato da SP.

Diagramma del flusso avviato da SP per l'accesso ibrido sicuro.

  1. L'utente si connette all'endpoint dell'applicazione (BIG-IP)
  2. I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (ID SAML)
  3. Microsoft Entra ID pre-autentica l'utente e applica i criteri di accesso condizionale applicati
  4. L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito usando il token SAML rilasciato
  5. BIG-IP richiede più attributi dal sistema HR basato su LDAP
  6. BIG-IP inserisce gli attributi di sistema MICROSOFT Entra ID e HR come intestazioni nella richiesta all'applicazione
  7. L'applicazione autorizza l'accesso con autorizzazioni di sessione arricchite

Prerequisiti

L'esperienza BIG-IP precedente non è necessaria, ma è necessario:

  • Un account gratuito di Azure o una sottoscrizione di livello superiore
  • BIG-IP o distribuire big-IP Virtual Edition (VE) in Azure
  • Una delle licenze F5 BIG-IP seguenti:
    • Bundle migliore F5 BIG-IP®
    • Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
    • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) in un Gestione traffico ™ locale BIG-IP F5 BIG-IP® (LTM)
    • Versione di valutazione gratuita del prodotto BIG-IP di 90 giorni
  • Identità utente sincronizzate da una directory locale a Microsoft Entra ID
  • Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator.
  • Un certificato Web SSL per la pubblicazione di servizi tramite HTTPS o l'uso di certificati BIG-IP predefiniti durante il test
  • Un'applicazione basata su intestazione o configurare una semplice app di intestazione IIS per il test
  • Directory utente che supporta LDAP, ad esempio Windows Active Directory Lightweight Directory Services (AD LDS), OpenLDAP e così via.

Configurazione BIG-IP

Questa esercitazione usa la configurazione guidata 16.1 con un modello easy button. Con Easy Button, gli amministratori non vanno avanti e indietro tra Microsoft Entra ID e un BIG-IP per abilitare i servizi per SHA. La gestione della distribuzione e dei criteri viene gestita tra la configurazione guidata di APM e Microsoft Graph. Questa integrazione tra BIG-IP APM e Microsoft Entra ID garantisce che le applicazioni supportino la federazione delle identità, l'accesso condizionale SSO e Microsoft Entra, riducendo il sovraccarico amministrativo.

Nota

Sostituire stringhe o valori di esempio in questa guida con quelli per l'ambiente in uso.

Registra pulsante facile

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Prima che un client o un servizio possa accedere a Microsoft Graph, è considerato attendibile da Microsoft Identity Platform.

Questo primo passaggio crea una registrazione dell'app tenant per autorizzare l'accesso easy Button a Graph. Con queste autorizzazioni, BIG-IP può eseguire il push delle configurazioni per stabilire un trust tra un'istanza di SAML SP per l'applicazione pubblicata e l'ID Microsoft Entra come ID SAML.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Applicazioni> di identità>Registrazioni app> Nuova registrazione.

  3. Immettere un nome visualizzato per l'applicazione. Ad esempio, F5 BIG-IP Easy Button.

  4. Specificare chi può usare solo gli account dell'applicazione >in questa directory organizzativa.

  5. Selezionare Registra.

  6. Passare a Autorizzazioni API e autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. Concedere il consenso amministratore per l'organizzazione.

  8. In Certificati e segreti generare un nuovo segreto client. Prendere nota di questo segreto.

  9. In Panoramica prendere nota dell'ID client e dell'ID tenant.

Configurare il pulsante Easy

Avviare la configurazione guidata di APM per avviare il modello Pulsante semplice.

  1. Passare a Access Guided Configuration > Microsoft Integration (Configurazione guidata di Microsoft > Integration) e selezionare Microsoft Entra Application (Applicazione Microsoft Entra).

  2. Esaminare l'elenco dei passaggi e selezionare Avanti

  3. Per pubblicare l'applicazione, seguire la procedura.

    Screenshot del flusso di configurazione in Configurazione guidata.

Configuration Properties

La scheda Proprietà di configurazione crea una configurazione dell'applicazione BIG-IP e un oggetto SSO. La sezione Dettagli account servizio di Azure rappresenta il client registrato in precedenza nel tenant di Microsoft Entra, come applicazione. Queste impostazioni consentono a un client OAuth BIG-IP di registrare un provider di servizi SAML nel tenant, con le proprietà SSO configurate manualmente. Easy Button esegue questa azione per ogni servizio BIG-IP pubblicato e abilitato per SHA.

Alcune di queste impostazioni sono globali, pertanto possono essere riutilizzate per pubblicare più applicazioni, riducendo il tempo di distribuzione e il lavoro richiesto.

  1. Immettere un nome di configurazione univoco in modo che gli amministratori possano distinguere tra le configurazioni di Easy Button.

  2. Abilitare l'accesso Single Sign-On (SSO) e le intestazioni HTTP.

  3. Immettere l'ID tenant, l'ID client e il segreto client annotati durante la registrazione del client Easy Button nel tenant.

  4. Verificare che BIG-IP possa connettersi al tenant.

  5. Selezionare Avanti.

    Screenshot delle voci relative alle proprietà generali e ai dettagli dell'account del servizio di Azure nelle proprietà di configurazione.

Provider di Servizi

Le impostazioni del provider di servizi definiscono le proprietà per l'istanza SAML SP dell'applicazione protetta tramite SHA.

  1. Immettere Host, il nome di dominio completo pubblico (FQDN) dell'applicazione protetta.

  2. Immettere Entity ID (ID entità), l'identificatore usato dall'ID Microsoft Entra per identificare il provider di servizi SAML che richiede un token.

    Screenshot delle voci host e ID entità nel provider di servizi.

Usare il Impostazioni di sicurezza facoltativo per specificare se Microsoft Entra ID crittografa le asserzioni SAML rilasciate. La crittografia delle asserzioni tra Microsoft Entra ID e BIG-IP APM garantisce che i token di contenuto non possano essere intercettati e i dati personali o aziendali non possono essere compromessi.

  1. Nell'elenco Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare Create New (Crea nuova)

    Screenshot dell'opzione Crea nuovo in Chiave privata di decrittografia asserzione in Sicurezza Impostazioni.

  2. Seleziona OK. La finestra di dialogo Importa certificato SSL e chiavi viene visualizzata in una nuova scheda.

  3. Selezionare PKCS 12 (IIS) per importare il certificato e la chiave privata. Dopo il provisioning, chiudere la scheda del browser per tornare alla scheda principale.

    Screenshot delle voci Tipo di importazione, Certificato e Nome chiave, Origine chiave certificato e Password

  4. Selezionare Abilita asserzione crittografata.

  5. Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Asserzione Decrittografia chiave privata. BIG-IP APM usa questa chiave privata del certificato per decrittografare le asserzioni Microsoft Entra.

  6. Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Certificato di decrittografia asserzione. BIG-IP carica questo certificato in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

    Screenshot delle voci Chiave privata di decrittografia asserzione e certificato di decrittografia asserzione in Impostazioni di sicurezza.

Microsoft Entra ID

Questa sezione contiene le proprietà per configurare manualmente una nuova applicazione SAML BIG-IP nel tenant di Microsoft Entra. Easy Button include modelli di applicazione per Oracle Persone Soft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e un modello SHA per altre app.

Per questo scenario, selezionare F5 BIG-IP APM Microsoft Entra ID Integration > Add( Aggiungi).

Configurazione di Azure

  1. Immettere Nome visualizzato dell'app creata da BIG-IP nel tenant di Microsoft Entra e l'icona visualizzata dagli utenti nel portale MyApps.

  2. Non immettere alcuna voce per l'URL di accesso (facoltativo).

  3. Per individuare il certificato importato, selezionare l'icona Aggiorna accanto alla chiave di firma e al certificato di firma.

  4. Immettere la password del certificato in Passphrase chiave di firma.

  5. Abilitare l'opzione di firma (facoltativa) per assicurarsi che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.

    Screenshot delle voci chiave di firma, certificato di firma e passphrase della chiave di firma nel certificato di firma SAML.

  6. Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra e autorizzano l'accesso all'applicazione. Aggiungere un utente o un gruppo per il test; in caso contrario, l'accesso viene negato.

    Screenshot dell'opzione Aggiungi in Gruppi di utenti e utenti.

Attributi utente e attestazioni

Quando un utente esegue l'autenticazione, Microsoft Entra ID rilascia un token SAML con un set predefinito di attestazioni e attributi che identificano in modo univoco l'utente. La scheda Attributi utente e attestazioni mostra le attestazioni predefinite da rilasciare per la nuova applicazione. Consente anche di configurare più attestazioni.

Per questo esempio, includere un altro attributo:

  1. Per Nome attestazione immettere employeeid.

  2. Per Attributo di origine immettere user.employeeid.

    Screenshot del valore employeeid in Attestazioni aggiuntive in Attributi utente e attestazioni.

Attributi utente aggiuntivi

Nella scheda Attributi utente aggiuntivi è possibile abilitare l'aumento delle sessioni per sistemi distribuiti, ad esempio Oracle, SAP e altre implementazioni basate su JAVA che richiedono attributi archiviati in altre directory. Gli attributi recuperati da un'origine LDAP possono essere inseriti come più intestazioni SSO per controllare l'accesso in base a ruoli, ID partner e così via.

  1. Abilitare l'opzione Avanzate Impostazioni.

  2. Selezionare la casella di controllo Attributi LDAP.

  3. In Scegli server di autenticazione selezionare Crea nuovo.

  4. A seconda dell'installazione, selezionare Usa pool o Modalità di Connessione server diretto per fornire l'indirizzo server del servizio LDAP di destinazione. Se si usa un singolo server LDAP, selezionare Direct.

  5. Per Porta di servizio immettere 389, 636 (sicuro) o un'altra porta usata dal servizio LDAP.

  6. Per DN di ricerca di base immettere il nome distinto della posizione contenente l'account con cui il servizio APM esegue l'autenticazione per le query del servizio LDAP.

    Screenshot delle voci delle proprietà del server LDAP in Attributi utente aggiuntivi.

  7. Per Cerca DN immettere il nome distinto della posizione contenente gli oggetti dell'account utente su cui viene eseguita la query APM tramite LDAP.

  8. Impostare entrambe le opzioni di appartenenza su Nessuno e aggiungere il nome dell'attributo dell'oggetto utente da restituire dalla directory LDAP. Per questo scenario: eventi.

    Screenshot delle voci delle proprietà della query LDAP.

Criteri di accesso condizionale

I criteri di accesso condizionale vengono applicati dopo la preautenticazione di Microsoft Entra per controllare l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio.

La visualizzazione Criteri disponibili elenca i criteri di accesso condizionale che non includono azioni utente.

La visualizzazione Criteri selezionati mostra i criteri destinati a tutte le app cloud. Questi criteri non possono essere deselezionati o spostati nell'elenco Criteri disponibili perché vengono applicati a livello di tenant.

Per selezionare un criterio da applicare all'applicazione da pubblicare:

  1. Nell'elenco Criteri disponibili selezionare un criterio.

  2. Selezionare la freccia destra e spostarla nell'elenco Criteri selezionati.

    Nota

    Per i criteri selezionati è selezionata un'opzione Includi o Escludi . Se vengono selezionate entrambe le opzioni, i criteri selezionati non vengono applicati.

    Screenshot dei criteri esclusi, in Criteri selezionati, in Criteri di accesso condizionale.

    Nota

    L'elenco dei criteri viene enumerato una sola volta, quando si seleziona inizialmente questa scheda. Usare il pulsante Aggiorna per forzare manualmente la procedura guidata per eseguire query sul tenant. Questo pulsante viene visualizzato quando l'applicazione viene distribuita.

Proprietà del server virtuale

Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale, prima di indirizzare in base ai criteri.

  1. Immettere l'indirizzo di destinazione, un indirizzo IPv4/IPv6 disponibile che può essere usato da BIG-IP per ricevere il traffico client. Deve essere presente un record corrispondente nel server dei nomi di dominio (DNS), che consente ai client di risolvere l'URL esterno dell'applicazione pubblicata BIG-IP in questo INDIRIZZO IP, anziché nell'applicazione. L'uso di un DNS localhost pc di test è accettabile per i test.

  2. Per Porta del servizio immettere 443 e HTTPS.

  3. Selezionare Abilita porta di reindirizzamento e quindi immettere Porta di reindirizzamento per reindirizzare il traffico client HTTP in ingresso a HTTPS.

  4. Il profilo SSL client abilita il server virtuale per HTTPS, quindi le connessioni client vengono crittografate tramite Transport Layer Security (TLS). Selezionare il profilo SSL client creato o lasciare il valore predefinito durante il test.

    Screenshot delle voci Indirizzo di destinazione, Porta del servizio e Comuni in Proprietà generali nelle proprietà del server virtuale.

Proprietà pool

La scheda Pool di applicazioni include i servizi dietro un BIG-IP rappresentato come pool, con uno o più server applicazioni.

  1. Scegliere da Selezionare un pool. Creare un nuovo pool o selezionare uno.

  2. Scegliere il metodo di bilanciamento del carico, ad esempio Round Robin.

  3. Per Server pool selezionare un nodo o specificare un indirizzo IP e una porta per il server che ospita l'applicazione basata su intestazione.

    Screenshot delle voci Indirizzo IP/Nome nodo e Porta in Pool di applicazioni in Proprietà pool.

Nota

L'applicazione back-end si trova sulla porta HTTP 80. Passare a 443 se è HTTPS.

Intestazioni HTTP e Single Sign-On

L'abilitazione dell'accesso SSO consente agli utenti di accedere ai servizi pubblicati big-IP senza immettere le credenziali. La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO.

Usare l'elenco seguente per configurare le opzioni.

  • Operazione di intestazione: Inserisci

  • Nome intestazione: upn

  • Valore intestazione: %{session.saml.last.identity}

  • Operazione di intestazione: Inserisci

  • Nome intestazione: employeeid

  • Valore intestazione: %{session.saml.last.attr.name.employeeid}

  • Operazione di intestazione: Inserisci

  • Nome intestazione: eventi

  • Valore intestazione: %{session.ldap.last.attr.eventroles}

    Screenshot delle voci di intestazioni SSO in Intestazioni SSO in Intestazioni SSO e HTTP.

Nota

Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. Ad esempio, se si immette OrclGUID e il nome dell'attributo Microsoft Entra è oclguid, si verifica un errore di mapping degli attributi.

Impostazioni di gestione delle sessioni

Le impostazioni di gestione delle sessioni BIG-IP definiscono le condizioni in cui le sessioni utente vengono terminate o consentite di continuare, limitare gli utenti e gli indirizzi IP e le informazioni utente corrispondenti. Vedere l'articolo F5 K18390492: Sicurezza | Guida operativa di BIG-IP APM per informazioni dettagliate su queste impostazioni.

Ciò che non è coperto è la funzionalità SLO (Single Log Out), che garantisce sessioni tra il provider di identità, l'IP BIG e l'agente utente terminano come utenti disconnettersi. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola l'URL di disconnessione con l'endpoint SLO di APM. La disconneszione avviata da IdP dal portale di Microsoft Entra App personali termina la sessione tra BIG-IP e un client.

I metadati della federazione SAML per l'applicazione pubblicata vengono importati dal tenant, che fornisce all'APM l'endpoint di disconnesso SAML per Microsoft Entra ID. Questa azione garantisce che una disconnessa avviata da SP termini la sessione tra un client e un ID Microsoft Entra. APM deve sapere quando un utente si disconnette dall'applicazione.

Se il portale Webtop BIG-IP viene usato per accedere alle applicazioni pubblicate, APM elabora la disconnessa per chiamare l'endpoint di disconnesso Microsoft Entra. Si consideri tuttavia uno scenario in cui il portale Webtop BIG-IP non viene usato. L'utente non può indicare a APM di disconnettersi. Anche se l'utente si disconnette dall'applicazione, BIG-IP è oblivioso. Si consideri quindi la disconnessa avviata da SP per garantire che le sessioni terminino in modo sicuro. È possibile aggiungere una funzione SLO a un pulsante di disconnessione dell'applicazione, in modo che possa reindirizzare il client all'endpoint di disconnessione MICROSOFT Entra SAML o BIG-IP. L'URL per l'endpoint di disconnessione SAML per il tenant si trova in Endpoint registrazioni >app.

Se non è possibile apportare una modifica all'app, prendere in considerazione l'ascolto di BIG-IP per la chiamata di disconnessione dell'applicazione e dopo aver rilevato che la richiesta attiva SLO. Per informazioni su BIG-IP iRules, vedere le indicazioni su Oracle Persone Soft SLO. Per altre informazioni sull'uso di iRules BIG-IP, vedere:

Riepilogo

Questo ultimo passaggio fornisce una suddivisione delle configurazioni.

Selezionare Distribuisci per eseguire il commit delle impostazioni e verificare che l'applicazione sia nell'elenco tenant delle applicazioni aziendali.

L'applicazione viene pubblicata e accessibile tramite SHA, con il relativo URL o tramite i portali delle applicazioni Microsoft. Per una maggiore sicurezza, le organizzazioni che usano questo modello possono bloccare l'accesso diretto all'applicazione. Questa azione forza un percorso rigoroso tramite BIG-IP.

Passaggi successivi

Da un browser, nel portale Microsoft MyApps connettersi all'URL esterno dell'applicazione o selezionare l'icona dell'applicazione. Dopo aver eseguito l'autenticazione con Microsoft Entra ID, si viene reindirizzati al server virtuale BIG-IP per l'applicazione ed è stato eseguito l'accesso tramite SSO.

Vedere lo screenshot seguente per l'output delle intestazioni inserite nell'applicazione basata su intestazioni.

Screenshot dei valori di output in Variabili del server in Eventi personali.

Per una maggiore sicurezza, le organizzazioni che usano questo modello possono bloccare l'accesso diretto all'applicazione. Questa azione forza un percorso rigoroso tramite BIG-IP.

Distribuzione avanzata

I modelli di configurazione guidata possono non avere flessibilità per ottenere requisiti specifici.

In BIG-IP è possibile disabilitare la modalità di gestione strict della configurazione guidata. È quindi possibile modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni viene automatizzata tramite i modelli basati su procedura guidata.

Per le configurazioni delle applicazioni, è possibile passare a Configurazione guidata di accesso > e selezionare l'icona a forma di lucchetto piccola all'estrema destra della riga.

Screenshot dell'opzione lucchetto.

A questo punto, le modifiche apportate all'interfaccia utente della procedura guidata non sono più possibili, ma tutti gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione vengono sbloccati per la gestione diretta.

Nota

Riabilitare la modalità strict e distribuire una configurazione sovrascrive tutte le impostazioni eseguite all'esterno dell'interfaccia utente di configurazione guidata. È consigliabile usare il metodo di configurazione avanzato per i servizi di produzione.

Risoluzione dei problemi

Registrazione BIG-IP

La registrazione BIG-IP consente di isolare i problemi di connettività, SSO, violazioni dei criteri o mapping di variabili configurati in modo errato.

Per risolvere i problemi, è possibile aumentare il livello di dettaglio del log.

  1. Passare a Access Policy > Overview Event Logs (Panoramica > dei criteri > di accesso) Impostazioni.
  2. Selezionare la riga per l'applicazione pubblicata e quindi Modificare > i log di sistema di accesso.
  3. Nell'elenco SSO selezionare Debug e quindi OK.

Riprodurre il problema, quindi esaminare i log, ma ripristinare questa impostazione al termine. La modalità dettagliata genera quantità significative di dati.

Pagina di errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, è possibile che il problema si riferisca all'accesso SSO da Microsoft Entra ID a BIG-IP.

  1. Passare a Access > Overview Access Reports (Accedere ai report di accesso).>
  2. Eseguire il report per l'ultima ora per verificare se i log forniscono indizi.
  3. Usare il collegamento Visualizza variabili per la sessione per capire se APM riceve le attestazioni previste dall'ID Microsoft Entra.

Richiesta back-end

Se non è presente alcuna pagina di errore, il problema è probabilmente correlato alla richiesta back-end o SSO dall'indirizzo BIG-IP all'applicazione.

  1. Passare a Panoramica dei >> criteri di accesso Sessioni attive e selezionare il collegamento per la sessione attiva.
  2. Per facilitare la causa radice del problema, usare il collegamento Visualizza variabili , in particolare se big-IP APM non riesce a ottenere gli attributi corretti da Microsoft Entra ID o da un'altra origine.

Convalidare l'account del servizio APM

Per convalidare l'account del servizio APM per le query LDAP, usare il comando seguente dalla shell bash BIG-IP. Confermare l'autenticazione e la query di un oggetto utente.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Per altre informazioni, vedere l'articolo F5 K11072: Configurazione dell'autenticazione remota LDAP per Active Directory. È possibile usare una tabella di riferimento BIG-IP per diagnosticare i problemi correlati a LDAP nel documento AskF5, query LDAP.