Condividi tramite

Esercitazione: Configurare l'accesso Single Sign-On tra Microsoft Entra ID e F5 big-IP Easy Button per l'accesso Single Sign-On basato su intestazione

  • Articolo

In questa esercitazione si apprenderà come integrare F5 con Microsoft Entra ID. Integrando F5 con Microsoft Entra ID, è possibile:

  • Controllare in Microsoft Entra ID chi può accedere a F5.
  • Abilitare gli utenti per l'accesso automatico a F5 con gli account Microsoft Entra personali.
  • Gestire gli account in un'unica posizione centrale.

Nota

F5 BIG-IP APM Purchase Now.F5 BIG-IP APM Purchase Now.

Descrizione dello scenario

Questo scenario esamina l'applicazione legacy classica usando le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto.

Essendo legacy, l'applicazione non dispone di protocolli moderni per supportare un'integrazione diretta con Microsoft Entra ID. L'applicazione può essere modernizzata, ma è costosa, richiede un'attenta pianificazione e introduce il rischio di potenziali tempi di inattività. Viene invece usato un controller di distribuzione di applicazioni BIG-IP (ADC) F5 per colmare il divario tra l'applicazione legacy e il piano di controllo DELL'ID moderno, tramite la transizione del protocollo.

La presenza di big-IP davanti all'applicazione consente di sovrapporre il servizio con l'accesso Single Sign-On basato su pre-autenticazione e intestazioni di Microsoft Entra, migliorando significativamente il comportamento di sicurezza complessivo dell'applicazione.

Nota

Le organizzazioni possono anche ottenere l'accesso remoto a questo tipo di applicazione con il proxy dell'applicazione Microsoft Entra.

Architettura dello scenario

La soluzione SHA per questo scenario è costituita da:

Applicazione: servizio pubblicato big-IP da proteggere da Microsoft Entra SHA.

Microsoft Entra ID: Security Assertion Markup Language (SAML) Identity Provider (IdP) responsabile della verifica delle credenziali utente, dell'accesso condizionale e dell'accesso SSO basato su SAML all'INDIRIZZO BIG-IP. Tramite SSO, Microsoft Entra ID fornisce big-IP con gli attributi di sessione necessari.

BIG-IP: proxy inverso e provider di servizi SAML (SP) all'applicazione, delegando l'autenticazione al provider di identità SAML prima di eseguire l'accesso SSO basato su intestazione all'applicazione back-end.

SHA per questo scenario supporta sia i flussi avviati da SP che da IdP. L'immagine seguente illustra il flusso avviato da SP.

Screenshot dell'accesso ibrido sicuro - Flusso avviato da SP.

Passaggi Descrizione
1 L'utente si connette all'endpoint dell'applicazione (BIG-IP)
2 I criteri di accesso APM big-IP reindirizza l'utente a Microsoft Entra ID (ID SAML)
3 Microsoft Entra ID pre-autentica l'utente e applica i criteri di accesso condizionale applicati
4 L'utente viene reindirizzato a BIG-IP (SAML SP) e l'accesso SSO viene eseguito usando il token SAML rilasciato
5 BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta all'applicazione
6 L'applicazione autorizza la richiesta e restituisce il payload

Prerequisiti

L'esperienza BIG-IP precedente non è necessaria, ma è necessario:

  • Sottoscrizione gratuita di Microsoft Entra ID o versione successiva.

  • Un BIG-IP esistente o distribuire un'edizione virtuale BIG-IP (VE) in Azure.

  • Uno degli SKU di licenza F5 BIG-IP seguenti.

    • Bundle F5 BIG-IP® Migliore.

    • Licenza autonoma F5 BIG-IP Access Policy Manager™ (APM).

    • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) su un'istanza esistente di BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM).

    • Licenza di valutazione completa di 90 giorni per BIG-IP.

  • Identità utente sincronizzate da una directory locale a Microsoft Entra ID.

  • Un account con autorizzazioni di amministratore dell'applicazione Microsoft Entra.

  • Un certificato Web SSL per la pubblicazione di servizi tramite HTTPS o l'uso di certificati BIG-IP predefiniti durante il test.

  • Un'applicazione basata su intestazione esistente o configurare una semplice app di intestazione IIS per il test.

Metodi di configurazione BIG-IP

Esistono molti metodi per configurare BIG-IP per questo scenario, tra cui due opzioni basate su modello e una configurazione avanzata. Questa esercitazione illustra la versione più recente della configurazione guidata 16.1 che offre un modello di pulsante Easy. Con Easy Button, gli amministratori non passano più avanti e indietro tra Microsoft Entra ID e un BIG-IP per abilitare i servizi per SHA. La gestione della distribuzione e dei criteri viene gestita direttamente tra la configurazione guidata di APM e Microsoft Graph. Questa avanzata integrazione tra BIG-IP APM e Microsoft Entra ID garantisce che le applicazioni possano supportare rapidamente la federazione delle identità, l'accesso condizionale SSO e Microsoft Entra, riducendo il sovraccarico amministrativo.

Nota

Tutte le stringhe o i valori di esempio a cui si fa riferimento in questa guida devono essere sostituiti con quelli per l'ambiente effettivo.

Registra pulsante facile

Prima che un client o un servizio possa accedere a Microsoft Graph, deve essere considerato attendibile da Microsoft Identity Platform.

Questo primo passaggio crea una registrazione dell'app tenant che verrà usata per autorizzare l'accesso Easy Button a Graph. Tramite queste autorizzazioni, big-IP potrà eseguire il push delle configurazioni necessarie per stabilire un trust tra un'istanza di SAML SP per l'applicazione pubblicata e l'ID Microsoft Entra come ID SAML.

  1. Accedere al portale di Azure usando un account con diritti di Amministrazione istrative dell'applicazione.

  2. Nel riquadro di spostamento a sinistra selezionare il servizio MICROSOFT Entra ID .

  3. In Gestisci selezionare Registrazioni app> Nuova registrazione.

  4. Immettere un nome visualizzato per l'applicazione, ad esempio F5 BIG-IP Easy Button.

  5. Specificare chi può usare solo gli account dell'applicazione >in questa directory organizzativa.

  6. Selezionare Registra per completare la registrazione iniziale dell'app.

  7. Passare a Autorizzazioni API e autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Concedere il consenso amministratore per l'organizzazione.

  9. Nel pannello Certificati e segreti generare un nuovo segreto client e annotarlo.

  10. Nel pannello Panoramica prendere nota dell'ID client e dell'ID tenant.

Pulsante Configura facile

Avviare la configurazione guidata di APM per avviare il modello di pulsante facile.

  1. Passare a Access Guided Configuration > Microsoft Integration (Configurazione guidata di Microsoft > Integration) e selezionare Microsoft Entra Application (Applicazione Microsoft Entra).

    Screenshot di Configure Easy Button- Install the template (Configura pulsante semplice- Installa il modello).

  2. Esaminare l'elenco dei passaggi di configurazione e selezionare Avanti.

    Screenshot di Configure Easy Button - List configuration steps .Screenshot for Configure Easy Button - List configuration steps.

  3. Seguire la sequenza di passaggi necessari per pubblicare l'applicazione.

    Screenshot del flusso dei passaggi di configurazione.

Configuration Properties

La scheda Proprietà di configurazione crea una configurazione dell'applicazione BIG-IP e un oggetto SSO. Si consideri la sezione Dettagli account del servizio di Azure per rappresentare il client registrato in precedenza nel tenant di Microsoft Entra, come applicazione. Queste impostazioni consentono a un client OAuth di BIG-IP di registrare singolarmente un provider di servizi SAML direttamente nel tenant, insieme alle proprietà SSO che normalmente si configurano manualmente. Easy Button esegue questa operazione per ogni servizio BIG-IP pubblicato e abilitato per SHA.

Alcune di queste sono impostazioni globali, quindi possono essere riutilizzate per la pubblicazione di altre applicazioni, riducendo ulteriormente il tempo di distribuzione e il lavoro richiesto.

  1. Immettere un nome di configurazione univoco in modo che gli amministratori possano distinguere facilmente tra le configurazioni di Easy Button.

  2. Abilitare l'accesso Single Sign-On (SSO) e le intestazioni HTTP.

  3. Immettere l'ID tenant, l'ID client e il segreto client annotati durante la registrazione del client Easy Button nel tenant.

  4. Verificare che BIG-IP possa connettersi correttamente al tenant e quindi selezionare Avanti.

    Screenshot per le proprietà generale e dell'account del servizio di configurazione.

Provider di Servizi

Le impostazioni del provider di servizi definiscono le proprietà per l'istanza SAML SP dell'applicazione protetta tramite SHA.

  1. Immettere Host. Si tratta dell'FQDN pubblico dell'applicazione protetta.

  2. Immettere Entity ID (ID entità). Si tratta dell'identificatore che Microsoft Entra ID userà per identificare l'SP SAML che richiede un token.

    Screenshot per le impostazioni del provider di servizi.

    Il Impostazioni di sicurezza facoltativo specifica se l'ID Di Microsoft Entra deve crittografare le asserzioni SAML rilasciate. La crittografia delle asserzioni tra Microsoft Entra ID e BIG-IP APM garantisce che i token di contenuto non possano essere intercettati e che i dati personali o aziendali vengano compromessi.

  3. Nell'elenco Assertion Decryption Private Key (Chiave privata di decrittografia asserzione) selezionare Create New (Crea nuovo).

    Screenshot per Configure Easy Button- Create New import (Configura pulsante semplice- Crea nuova importazione).

  4. Seleziona OK. Verrà visualizzata la finestra di dialogo Importa certificato SSL e chiavi in una nuova scheda.

  5. Selezionare PKCS 12 (IIS) per importare il certificato e la chiave privata. Dopo aver eseguito il provisioning, chiudere la scheda del browser per tornare alla scheda principale.

    Screenshot per Configure Easy Button- Import new cert (Configura pulsante semplice- Importa nuovo certificato).

  6. Selezionare Abilita asserzione crittografata.

  7. Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Asserzione Decrittografia chiave privata. Si tratta della chiave privata per il certificato che verrà usato da BIG-IP APM per decrittografare le asserzioni Microsoft Entra.

  8. Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Certificato di decrittografia asserzione. Si tratta del certificato che BIG-IP caricherà in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

Screenshot per le impostazioni di sicurezza del provider di servizi.

Microsoft Entra ID

Questa sezione definisce tutte le proprietà che normalmente si userebbero per configurare manualmente una nuova applicazione SAML BIG-IP all'interno del tenant di Microsoft Entra. Easy Button offre un set di modelli di applicazione predefiniti per Oracle Persone Soft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e un modello SHA generico per qualsiasi altra app. Per questo scenario, selezionare F5 BIG-IP APM Azure AD Integration > Add(Aggiungi).

Screenshot dell'aggiunta dell'applicazione BIG-IP per la configurazione di Azure.

Configurazione di Azure

  1. Immettere Nome visualizzato dell'app creata da BIG-IP nel tenant di Microsoft Entra e l'icona visualizzata dagli utenti nel portale MyApps.

  2. Non immettere nulla nell'URL di accesso (facoltativo) per abilitare l'accesso avviato da IdP.

    Screenshot dell'aggiunta di informazioni di visualizzazione per la configurazione di Azure.

  3. Selezionare l'icona di aggiornamento accanto alla chiave di firma e al certificato di firma per individuare il certificato importato in precedenza.

  4. Immettere la password del certificato in Passphrase della chiave di firma.

  5. Abilita opzione di firma (facoltativo). In questo modo, BIG-IP accetta solo token e attestazioni firmati dall'ID Microsoft Entra.

    Screenshot della configurazione di Azure - Aggiungere informazioni sui certificati di firma.

  6. Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra e usati per autorizzare l'accesso all'applicazione. Aggiungere un utente o un gruppo che è possibile usare in un secondo momento per il test. In caso contrario, tutti gli accessi verranno negati.

    Screenshot della configurazione di Azure - Aggiungere utenti e gruppi.

Attributi utente e attestazioni

Quando un utente esegue correttamente l'autenticazione, Microsoft Entra ID rilascia un token SAML con un set predefinito di attestazioni e attributi che identificano in modo univoco l'utente. La scheda Attributi utente e attestazioni mostra le attestazioni predefinite da rilasciare per la nuova applicazione. Consente anche di configurare più attestazioni.

Per questo esempio, è possibile includere un altro attributo:

  1. Immettere Nome intestazione come employeeid.

  2. Immettere Source Attribute (Attributo di origine) come user.employeeid.

    Screenshot per attributi utente e attestazioni.

Attributi utente aggiuntivi

Nella scheda Attributi utente aggiuntivi è possibile abilitare l'aumento delle sessioni richiesto da un'ampia gamma di sistemi distribuiti, ad esempio Oracle, SAP e altre implementazioni basate su JAVA che richiedono attributi archiviati in altre directory. Gli attributi recuperati da un'origine LDAP possono quindi essere inseriti come intestazioni SSO aggiuntive per controllare ulteriormente l'accesso in base a ruoli, ID partner e così via.

Screenshot per attributi utente aggiuntivi.

Nota

Questa funzionalità non ha alcuna correlazione con l'ID Microsoft Entra, ma è un'altra origine di attributi. 

Criteri di accesso condizionale

I criteri di accesso condizionale vengono applicati dopo la pre-autenticazione di Microsoft Entra, per controllare l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio.

La visualizzazione Criteri disponibili, per impostazione predefinita, elenca tutti i criteri di accesso condizionale che non includono azioni basate sull'utente.

La visualizzazione Criteri selezionati, per impostazione predefinita, visualizza tutti i criteri destinati a Tutte le app cloud. Questi criteri non possono essere deselezionati o spostati nell'elenco Criteri disponibili perché vengono applicati a livello di tenant.

Per selezionare un criterio da applicare all'applicazione da pubblicare:

  1. Selezionare i criteri desiderati nell'elenco Criteri disponibili.
  2. Selezionare la freccia destra e spostarla nell'elenco Criteri selezionati.

I criteri selezionati devono avere un'opzione Includi o Escludi selezionata. Se vengono selezionate entrambe le opzioni, i criteri selezionati non vengono applicati.

Screenshot per i criteri di accesso condizionale.

Nota

L'elenco dei criteri viene enumerato una sola volta quando si passa per la prima volta a questa scheda. È disponibile un pulsante di aggiornamento per forzare manualmente la procedura guidata per eseguire query sul tenant, ma questo pulsante viene visualizzato solo quando l'applicazione è stata distribuita.

Proprietà del server virtuale

Un server virtuale è un oggetto piano dati BIG-IP rappresentato da un indirizzo IP virtuale in ascolto delle richieste dei client all'applicazione. Qualsiasi traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale, prima di essere indirizzato in base ai risultati e alle impostazioni dei criteri.

  1. Immettere Indirizzo di destinazione. Si tratta di qualsiasi indirizzo IPv4/IPv6 disponibile che l'INDIRIZZO BIG-IP può usare per ricevere il traffico client. Un record corrispondente deve esistere anche in DNS, consentendo ai client di risolvere l'URL esterno dell'applicazione pubblicata BIG-IP in questo IP, anziché l'applicazione stessa. L'uso del DNS localhost di un PC di test è corretto per i test.

  2. Immettere Service Port (Porta del servizio) come 443 per HTTPS.

  3. Selezionare Abilita porta di reindirizzamento e quindi immettere Porta di reindirizzamento. Reindirizza il traffico client HTTP in ingresso a HTTPS.

  4. Il profilo SSL client abilita il server virtuale per HTTPS, in modo che le connessioni client vengano crittografate tramite TLS. Selezionare il profilo SSL client creato come parte dei prerequisiti o lasciare il valore predefinito durante il test.

    Screenshot per Il server virtuale.

Proprietà pool

La scheda Pool di applicazioni illustra in dettaglio i servizi dietro un BIG-IP rappresentato come pool, contenente uno o più server applicazioni.

  1. Scegliere da Selezionare un pool. Creare un nuovo pool o selezionare uno esistente.

  2. Scegliere il metodo di bilanciamento del carico come Round Robin.

  3. Per Server pool selezionare un nodo esistente o specificare un indirizzo IP e una porta per il server che ospita l'applicazione basata sull'intestazione.

    Screenshot del pool di applicazioni.

L'applicazione back-end si trova sulla porta HTTP 80, ma ovviamente passare a 443 se il proprio è HTTPS.

Intestazioni Single Sign-On e HTTP

L'abilitazione dell'accesso SSO consente agli utenti di accedere ai servizi pubblicati big-IP senza dover immettere le credenziali. La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO, che verranno abilitate per configurare quanto segue.

  • Operazione intestazione:Insert

  • Nome intestazione:upn

  • Valore intestazione:%{session.saml.last.identity}

  • Operazione intestazione:Insert

  • Nome intestazione:employeeid

  • Valore intestazione:%{session.saml.last.attr.name.employeeid}

    Screenshot per le intestazioni SSO e HTTP.

Nota

Le variabili di sessione APM definite tra parentesi graffe sono CA edizione Standard sensibili. Ad esempio, se si immette OrclGUID quando il nome dell'attributo Microsoft Entra viene definito come orclguid, si verificherà un errore di mapping degli attributi.

Gestione delle sessioni

Le impostazioni di gestione delle sessioni BIG-IP vengono usate per definire le condizioni in base alle quali le sessioni utente vengono terminate o consentite di continuare, i limiti per gli utenti e gli indirizzi IP e le informazioni utente corrispondenti. Per informazioni dettagliate su queste impostazioni, vedere la documentazione di F5.

Ciò che non è trattato qui è tuttavia la funzionalità Single Log-Out (SLO), che garantisce che tutte le sessioni tra idP, BIG-IP e l'agente utente vengano terminate quando gli utenti si disconnetteno. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola anche l'URL di disconnessione con l'endpoint SLO di APM. In questo modo, gli accessi avviati da IdP dal portale di Microsoft Entra App personali terminano anche la sessione tra BIG-IP e un client.

Oltre a questo, i metadati di federazione SAML per l'applicazione pubblicata vengono importati anche dal tenant, fornendo a APM l'endpoint di disconnessione SAML per Microsoft Entra ID. In questo modo, la disconnessità avviata da SP termina la sessione tra un client e l'ID Microsoft Entra. Ma per essere veramente efficace, APM deve sapere esattamente quando un utente si disconnette dall'applicazione.

Se il portale Webtop BIG-IP viene usato per accedere alle applicazioni pubblicate, verrà elaborato da APM anche un disconnesso per chiamare anche l'endpoint di disconnesso Microsoft Entra. Si consideri tuttavia uno scenario in cui il portale Webtop BIG-IP non viene usato, quindi l'utente non ha modo di indicare a APM di disconnettersi. Anche se l'utente si disconnette dall'applicazione stessa, big-IP è tecnicamente oblivioso a questo. Per questo motivo, la disconneszione avviata da SP richiede un'attenta considerazione per assicurarsi che le sessioni vengano terminate in modo sicuro quando non sono più necessarie. Un modo per ottenere questo risultato consiste nell'aggiungere una funzione SLO al pulsante di disconnessione delle applicazioni, in modo che possa reindirizzare il client all'endpoint di disconnessione SAML o BIG-IP di Microsoft Entra. L'URL per l'endpoint di disconnessione SAML per il tenant è disponibile in Endpoint registrazioni > app.

Se si apporta una modifica all'app non è possibile, prendere in considerazione l'ascolto di BIG-IP per la chiamata di disconnessione dell'applicazione e, dopo aver rilevato che la richiesta ha attivato SLO. Per ottenere questo risultato, vedere le linee guida per Oracle Persone Soft SLO per l'uso di irules BIG-IP. Altre informazioni sull'uso di iRules BIG-IP per ottenere questo risultato sono disponibili nell'articolo della Knowledge Base F5 Configurazione della terminazione automatica della sessione (disconnessione) in base a un nome di file a cui si fa riferimento URI URI e Panoramica dell'opzione Di inclusione dell'URI di disconnessione.

Riepilogo

Questo ultimo passaggio fornisce una suddivisione delle configurazioni. Selezionare Distribuisci per eseguire il commit di tutte le impostazioni e verificare che l'applicazione esista nell'elenco dei tenant di 'Applicazioni aziendali'.

L'applicazione dovrebbe ora essere pubblicata e accessibile tramite SHA, direttamente tramite il relativo URL o tramite i portali delle applicazioni di Microsoft.

Passaggi successivi

Da un browser connettersiall'URL esterno dell'applicazione o selezionare l'iconadell'applicazione nel portale Microsoft MyApps. Dopo l'autenticazione con Microsoft Entra ID, si verrà reindirizzati al server virtuale BIG-IP per l'applicazione e si è eseguito automaticamente l'accesso tramite SSO.

Viene visualizzato l'output delle intestazioni inserite visualizzate dall'applicazione basata sulle intestazioni.

Screenshot per le visualizzazioni dell'app.

Per una maggiore sicurezza, le organizzazioni che usano questo modello potrebbero anche considerare di bloccare tutto l'accesso diretto all'applicazione, forzando così un percorso rigoroso tramite BIG-IP.

Distribuzione avanzata

In alcuni casi i modelli di configurazione guidata non dispongono della flessibilità necessaria per ottenere requisiti più specifici. Per questi scenari, vedere Advanced Configuration for headers-based SSO (Configurazione avanzata per l'accesso SSO basato su intestazioni).

In alternativa, BIG-IP offre la possibilità di disabilitare la modalità di gestione rigorosa della configurazione guidata. In questo modo è possibile modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni viene automatizzata tramite i modelli basati su procedura guidata.

È possibile passare a Configurazione guidata di accesso > e selezionare l'icona a forma di lucchetto nell'estrema destra della riga per le configurazioni delle applicazioni.

Screenshot di Configure Easy Button - Strict Management ( Configura pulsante facile - Gestione strict).

A questo punto, le modifiche tramite l'interfaccia utente della procedura guidata non sono più possibili, ma tutti gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione verranno sbloccati per la gestione diretta.

Nota

Riabilitare la modalità strict e distribuire una configurazione sovrascriverà tutte le impostazioni eseguite all'esterno dell'interfaccia utente della configurazione guidata, pertanto è consigliabile usare il metodo di configurazione avanzato per i servizi di produzione.

Risoluzione dei problemi

L'accesso a un'applicazione protetta SHA può essere dovuto a un numero qualsiasi di fattori. La registrazione BIG-IP consente di isolare rapidamente tutti i tipi di problemi di connettività, SSO, violazioni dei criteri o mapping di variabili non configurati correttamente. Iniziare la risoluzione dei problemi aumentando il livello di dettaglio del log.

  1. Passare a Access Policy > Overview Event Logs (Panoramica > dei criteri > di accesso) Impostazioni.

  2. Selezionare la riga per l'applicazione pubblicata e quindi Modificare > i log di sistema di accesso.

  3. Selezionare Debug dall'elenco SSO e quindi OK.

Riprodurre il problema, quindi esaminare i log, ma ricordarsi di tornare al termine quando la modalità dettagliata genera molti dati.

Se viene visualizzato un errore con marchio BIG-IP immediatamente dopo l'autenticazione preliminare di Microsoft Entra, è possibile che il problema si riferisca all'accesso SSO da Microsoft Entra ID all'INDIRIZZO BIG-IP.

  1. Passare a Access > Overview Access Reports (Accedere ai report di accesso).>

  2. Eseguire il report per l'ultima ora per verificare se i log forniscono indizi. Il collegamento Visualizza variabili di sessione per la sessione consentirà anche di capire se APM riceve le attestazioni previste dall'ID Microsoft Entra.

Se non viene visualizzata una pagina di errore BIG-IP, il problema è probabilmente più correlato alla richiesta back-end o all'accesso SSO dall'indirizzo BIG-IP all'applicazione.

  1. In questo caso passare a Sessioni attive di Panoramica > dei > criteri di accesso e selezionare il collegamento per la sessione attiva.

  2. Il collegamento Visualizza variabili in questa posizione può anche aiutare a causare problemi di accesso SSO, in particolare se big-IP APM non riesce a ottenere gli attributi corretti da Microsoft Entra ID o da un'altra origine.

Per altre informazioni, vedere questo articolo della Knowledge Base di F5 Configurazione dell'autenticazione remota LDAP per Active Directory. È disponibile anche una tabella di riferimento BIG-IP ideale per diagnosticare i problemi correlati a LDAP in questo articolo della Knowledge Base di F5 su Query LDAP.