Condividi tramite

Configurare F5 BIG-IP Access Policy Manager per l'accesso SSO basato su form

  • Articolo

Informazioni su come configurare F5 BIG-IP Access Policy Manager (APM) e Microsoft Entra ID per l'accesso ibrido sicuro alle applicazioni basate su form. I servizi pubblicati da BIG-IP per l'accesso Single Sign-On (SSO) di Microsoft Entra offrono i vantaggi seguenti:

Altre informazioni:

Descrizione dello scenario

Per lo scenario, è disponibile un'applicazione legacy interna configurata per l'autenticazione basata su form. Idealmente, Microsoft Entra ID gestisce l'accesso all'applicazione, perché l'applicazione legacy non dispone di protocolli di autenticazione moderni. La modernizzazione richiede tempo e impegno, con il rischio di tempi di inattività. Al contrario, è consigliabile installare un BIG-IP tra la rete Internet pubblica e l'applicazione interna. Questa configurazione consente di bloccare l'accesso in ingresso all'applicazione.

Con un BIG-IP davanti all'applicazione, è possibile sovrapporre il servizio con la preautenticazione e l'accesso SSO basato su intestazione di Microsoft Entra. La sovrapposizione migliora la postura di sicurezza dell'applicazione.

Architettura dello scenario

La soluzione di accesso ibrido sicuro include i componenti seguenti:

  • Applicazione: servizio pubblicato da BIG-IP protetto dall'accesso ibrido sicuro.
    • L'applicazione convalida le credenziali utente
    • Usare qualsiasi directory, open source e così via
  • Microsoft Entra ID: Provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO al BIG-IP.
    • Con l'accesso SSO, Microsoft Entra ID fornisce gli attributi per il BIG-IP, inclusi gli identificatori utente
  • BIG-IP: proxy inverso e provider di servizi SAM per l'applicazione.
    • BIG-IP delega l'autenticazione al provider di identità SAML e quindi esegue l'accesso SSO basato su intestazione all'applicazione back-end.
    • L'accesso SSO usa le credenziali utente memorizzate nella cache in altre applicazioni di autenticazione basate su form

L'accesso ibrido sicuro supporta i flussi avviati dal provider di servizi e dal provider di identità. Il diagramma seguente illustra il flusso avviato dal provider di servizi.

Diagramma del flusso avviato dal provider di servizi.

  1. L'utente si connette all'endpoint applicazione (BIG-IP).
  2. Il criterio di accesso BIG-IP APM reindirizza l'utente a Microsoft Entra ID (provider di identità SAML).
  3. Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale applicati.
  4. L'utente viene reindirizzato a BIG-IP (provider di servizi SAML) e l'accesso SSO viene eseguito usando il token SAML rilasciato.
  5. BIG-IP richiede all'utente una password dell'applicazione e la archivia nella cache.
  6. BIG-IP invia una richiesta all'applicazione e riceve un modulo di accesso.
  7. Lo scripting APM inserisce il nome utente e la password, quindi invia il modulo.
  8. Il server Web fornisce il payload dell'applicazione e lo invia al client.

Prerequisiti

Sono necessari i componenti seguenti:

  • Una sottoscrizione di Azure.
  • Uno dei ruoli seguenti: Amministratore applicazione cloud o Amministratore applicazione
  • Un BIG-IP o distribuire un BIG-IP Virtual Edition (VE) in Azure
  • Una delle licenze F5 BIG-IP seguenti:
    • F5 BIG-IP® Best bundle
    • Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
    • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) su un'istanza di BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Versione di valutazione completa delle funzionalità BIG-IP di 90 giorni. Vedere Versioni di valutazione gratuite
  • Identità utente sincronizzate da una directory locale a Microsoft Entra ID
  • Un certificato SSL per pubblicare i servizi tramite HTTPS o usare i certificati predefiniti durante i test
  • Un'applicazione di autenticazione basata su form o configurare un'app di autenticazione basata su form (FBA) di Internet Information Services (IIS) per il test

Configurazione di BIG-IP

La configurazione in questo articolo è un'implementazione flessibile dell'accesso ibrido sicuro: la creazione manuale di oggetti di configurazione BIG-IP. Usare questo approccio per gli scenari non coperti dai modelli di configurazione guidata.

Nota

Sostituire le stringhe o i valori di esempio con quelli dell'ambiente in uso.

Registrare F5 BIG-IP in Microsoft Entra ID

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

La registrazione BIG-IP è il primo passaggio per l'accesso SSO tra entità. L'app creata dal modello di raccolta di F5 BIG-IP è la relying party, che rappresenta il provider di servizi SAML per l'applicazione pubblicata da BIG-IP.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
  3. Nel riquadro Tutte le applicazioni selezionare Nuova applicazione.
  4. Viene visualizzato il riquadro Sfoglia raccolta di Microsoft Entra Gallery.
  5. Vengono visualizzati i riquadri delle piattaforme cloud, delle applicazioni locali e delle applicazioni in primo piano. Le icone delle applicazioni in primo piano indicano il supporto dell'accesso SSO federato e del provisioning.
  6. Nella raccolta di Azure cercare F5.
  7. Selezionare Integrazione di Microsoft Entra ID con F5 BIG-IP APM.
  8. Immettere un Nome che la nuova applicazione usa per riconoscere l'istanza dell'applicazione.
  9. Selezionare Aggiungi.
  10. Seleziona Crea.

Abilitare l'accesso SSO a F5 BIG-IP

Configurare la registrazione di BIG-IP per soddisfare i token SAML richiesti da BIG-IP APM.

  1. Nel menu a sinistra, nella sezione Gestisci, selezionare Single Sign-On.
  2. Viene visualizzato il riquadro Single Sign-On.
  3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
  4. Selezionare No, il salvataggio verrà eseguito più tardi.
  5. Nel riquadro Configura l'accesso Single Sign-On con SAML selezionare l'icona della matita.
  6. Per Identificatore sostituire il valore con l'URL dell'applicazione pubblicata da BIG-IP.
  7. Per URL di risposta sostituire il valore, ma mantenere il percorso dell'endpoint del provider di servizi SAML dell'applicazione. Con questa configurazione, il flusso SAML funziona in modalità avviata dal provider di identità.
  8. Microsoft Entra ID genera un'asserzione SAML, quindi l'utente viene reindirizzato all'endpoint BIG-IP.
  9. Per la modalità avviata dal provider di servizi, per URL di accesso immettere l'URL dell'applicazione.
  10. Per URL di disconnessione immettere l'endpoint SLO (Single Log-Out) di BIG-IP APM preceduto dall'intestazione host del servizio.
  11. Quindi, le sessioni utente di BIG-IP APM terminano quando gli utenti escono da Microsoft Entra ID.
  12. Seleziona Salva.
  13. Chiudere il riquadro di configurazione SAML.
  14. Ignorare il prompt di test di SSO.
  15. Prendere nota delle proprietà della sezione Attributi utente e attestazioni. Microsoft Entra ID rilascia le proprietà per l'autenticazione di BIG-IP APM e l'accesso SSO all'applicazione back-end.
  16. Nel riquadro Certificato di firma SAML selezionare Scarica.
  17. Il file XML dei metadati della federazione viene salvato nel computer.

Screenshot degli URL nella configurazione SAML.

Nota

A partire da Traffic Management Operating System (TMOS) v16, l'endpoint SLO SAML è /saml/sp/profile/redirect/slo.

Screenshot di un'opzione Download in Certificato di firma SAML.

Nota

I certificati di firma SAML di Microsoft Entra hanno una durata di tre anni.

Altre informazioni: Esercitazione: Gestire i certificati per l'accesso Single Sign-On federato

Assegnare utenti e gruppi

Microsoft Entra ID rilascia i token per gli utenti a cui viene concesso l'accesso a un'applicazione. Per concedere a utenti e gruppi specifici l'accesso all'applicazione:

  1. Nel riquadro di panoramica dell'applicazione F5 BIG-IP selezionare Assegnare utenti e gruppi.
  2. Selezionare Aggiungi utente/gruppo.
  3. Selezionare gli utenti e i gruppi desiderati.
  4. Seleziona Assegna.

Configurazione avanzata di BIG-IP

Usare le istruzioni seguenti per configurare BIG-IP.

Configurare le impostazioni del provider di servizi SAML

Le impostazioni del provider di servizi SAML definiscono le proprietà del provider di servizi SAML usate da APM per sovrapporre all'applicazione legacy la preautenticazione SAML. Per configurarle:

  1. Selezionare Accesso>Federazione>Provider di servizi SAML.

  2. Selezionare Servizi locali del provider di servizi.

  3. Seleziona Crea.

    Screenshot dell'opzione Crea nella scheda Provider di servizi SAML.

  4. In Crea nuovo servizio SAML SP immettere il nome e l'ID entità definiti in Nome e ID entità.

    Screenshot dei campi Nome e ID entità in Crea nuovo servizio del provider di servizi SAML.

    Nota

    I valori di Impostazioni del nome del provider di servizi sono necessari se l'ID entità non corrisponde alla parte del nome host dell'URL pubblicato. Oppure, i valori sono necessari se l'ID entità non è nel formato URL normale basato su nome host.

  5. Se l'ID entità è urn:myvacation:contosoonline, immettere lo schema esterno dell'applicazione e il nome host.

Configurare un connettore del provider di identità esterno

Un connettore del provider di identità SAML definisce le impostazioni affinché BIG-IP APM consideri attendibile Microsoft Entra ID come provider di identità SAML. Le impostazioni connettono il provider di servizi SAML a un provider di identità SAML, che stabilisce il trust federativo tra APM e Microsoft Entra ID.

Per configurare il connettore:

  1. Selezionare il nuovo oggetto provider di servizi SAML.

  2. Selezionare Associa/Dissocia connettori del provider di identità.

    Screenshot dell'opzione Associa/Dissocia connettori del provider di identità nella scheda Provider di servizi SAML.

  3. Nell'elenco Crea nuovo connettore del provider di identità selezionare Da metadati.

    Screenshot dell'opzione Da metadati nell'elenco a discesa Crea nuovo connettore del provider di identità.

  4. Nel riquadro Crea nuovo connettore del provider di identità SAML cercare il file XML dei metadati della federazione scaricato.

  5. Immettere un Nome del provider di identità per l'oggetto APM che rappresenta il provider di identità SAML esterno. Ad esempio, MyVacation_EntraID.

    Screenshot dei campi Seleziona file e Nome del provider di identità nel riquadro Crea nuovo connettore del provider di identità SAML.

  6. Selezionare Aggiungi nuova riga.

  7. Selezionare il nuovo Connettore del provider di identità SAML.

  8. Selezionare Aggiorna.

    Screenshot dell'opzione Aggiorna.

  9. Seleziona OK.

    Screenshot della finestra di dialogo Modifica provider di identità SAML che usano questo provider di servizi.

Configurare l'accesso SSO basato su form

Creare un oggetto SSO APM per l'accesso SSO con autenticazione basata su form alle applicazioni back-end.

Eseguire l'accesso SSO con autenticazione basata su form in modalità avviata dal client o in modalità avviata da BIG-IP. Entrambi i metodi emulano l'accesso di un utente inserendo le credenziali nei tag nome utente e password. Il modulo viene inviato. Gli utenti forniscono la password per accedere a un'applicazione con autenticazione basata su form. La password viene memorizzata nella cache e riutilizzata per altre applicazioni con autenticazione basata su form.

  1. Selezionare Accesso>Single Sign-On.

  2. Selezionare Basato su form.

  3. Seleziona Crea.

  4. Per Nome immettere un nome descrittivo. Ad esempio, Contoso\FBA\sso.

  5. Per Usa modello SSO selezionare Nessuno.

  6. Per Origine nome utente immettere l'origine nome utente per precompilare il modulo di raccolta della password. Il nome session.sso.token.last.username predefinito funziona correttamente, perché contiene il nome dell'entità utente di Microsoft Entra dell'utente connesso.

  7. Per Origine password, mantenere la password session.sso.token.last.password predefinita usata dalla variabile BIG-IP APM per memorizzare nella cache le password degli utenti.

    Screenshot delle opzioni Nome e Usa modello SSO in Nuova configurazione SSO.

  8. Per URI iniziale immettere l'URI di accesso all'applicazione con autenticazione basata su form. Se l'URI della richiesta corrisponde a questo valore URI, l'autenticazione basata su form di APM esegue l'accesso SSO.

  9. Per Azione modulo lasciare vuoto. Viene quindi usato l'URL della richiesta originale per l'accesso SSO.

  10. Per Parametro modulo per nome utente immettere l'elemento del campo nome utente del modulo di accesso. Usare gli strumenti di sviluppo del browser per determinare l'elemento.

  11. Per Parametro modulo per password immettere l'elemento del campo password del modulo di accesso. Usare gli strumenti di sviluppo del browser per determinare l'elemento.

Screenshot dei campi URI inziale, Parametro modulo per nome utente e Parametro modulo per password.

Screenshot della pagina di accesso con callout per i campi nome utente e password.

Per altre informazioni, vedere techdocs.f5.com per il Capitolo del manuale: Metodi per l'accesso Single Sign-On.

Configurare un profilo di accesso

Un profilo di accesso associa gli elementi APM che gestiscono l'accesso ai server virtuali BIG-IP, inclusi i criteri di accesso, la configurazione dell'accesso SSO e le impostazioni dell'interfaccia utente.

  1. Selezionare Accesso>Profili/Criteri.

  2. Selezionare Profili di accesso (Criteri per sessione).

  3. Seleziona Crea.

  4. Immetti un valore per Nome.

  5. Per Tipo di profilo selezionare Tutti i.

  6. Per Configurazione SSO selezionare l'oggetto configurazione SSO con autenticazione basata su form creato.

  7. Per Lingua accettata selezionare almeno una lingua.

    Screenshot delle opzioni e delle selezioni in Profili di accesso (Criteri per sessione), Nuovo profilo.

  8. Nella colonna Criteri per sessione selezionare Modificaper il profilo.

  9. Viene avviato l'Editor criteri visivi APM.

    Screenshot dell'opzione Modifica nella colonna Criteri per sessione.

  10. In fallbackselezionare il segno +.

Screenshot dell'opzione segno più dell'Editor criteri visivi APM in fallback.

  1. Nella finestra popup selezionare Autenticazione.
  2. Selezionare Autenticazione SAML.
  3. Selezionare Aggiungi elemento.

Screenshot dell'opzione Autenticazione SAML.

  1. In Provider di servizi di autenticazione SAML modificare il Nome in Autenticazione Microsoft Entra.
  2. Nell'elenco a discesa Server AAA immettere l'oggetto provider di servizi SAML creato.

Screenshot che mostra le impostazioni del server di autenticazione di Microsoft Entra.

  1. Nel ramo Riuscito selezionare il segno +.
  2. Nella finestra popup selezionare Autenticazione.
  3. Selezionare Pagina di accesso.
  4. Selezionare Aggiungi elemento.

Screenshot dell'opzione Pagina di accesso nella scheda Accesso.

  1. Per Nome utente, nella colonna Sola lettura selezionare .

Screenshot dell'opzione Sì nella riga nome utente nella scheda Proprietà.

  1. Per il fallback della pagina di accesso, selezionare il segno +. Questa azione aggiunge un oggetto di mapping delle credenziali SSO.

  2. Nella finestra popup selezionare la scheda Assegnazione.

  3. Selezionare Mapping delle credenziali SSO.

  4. Selezionare Aggiungi elemento.

    Screenshot dell'opzione Mapping delle credenziali SSO nella scheda Assegnazione.

  5. In Assegnazione variabili: Mapping delle credenziali SSOmantenere le impostazioni predefinite.

  6. Seleziona Salva.

    Screenshot dell'opzione Salva nella scheda Proprietà.

  7. Nella casella superiore Nega selezionare il collegamento.

  8. Il ramo Riuscito viene modificato in Consenti.

  9. Seleziona Salva.

(Facoltativo) Configurare i mapping degli attributi

È possibile aggiungere una configurazione LogonID_Mapping. In questo modo, l'elenco delle sessioni attive di BIG-IP contiene il nome dell'entità utente dell'utente che ha eseguito l'accesso, e non un numero di sessione. Usare queste informazioni per analizzare i log o per la risoluzione dei problemi.

  1. Per il ramo Autenticazione SAML riuscita selezionare il segno +.

  2. Nella finestra popup selezionare Assegnazione.

  3. Selezionare Assegnazione variabili.

  4. Selezionare Aggiungi elemento.

    Screenshot dell'opzione Assegnazione variabili nella scheda Assegnazione.

  5. Nella scheda Proprietà immettere un Nome. Ad esempio, LogonID_Mapping.

  6. In Assegnazione variabili selezionare Aggiungi nuova voce.

  7. Selezionare Modifica.

    Screenshot dell'opzione Aggiungi nuova voce e dell'opzione Modifica.

  8. Per Variabile personalizzata usare session.logon.last.username.

  9. Per Variabile di sessione usare session.saml.last.identity.

  10. Selezionare Completato.

  11. Seleziona Salva.

  12. Selezionare Applica criteri di accesso.

  13. Chiudere l'Editor criteri visivi.

Screenshot dei criteri di accesso in Applica criteri di accesso.

Configurare un pool back-end

Per consentire a BIG-IP di inoltrare correttamente il traffico client, creare un oggetto nodo BIG-IP che rappresenta il server back-end che ospita l'applicazione. Posizionare quindi il nodo in un pool di server BIG-IP.

  1. Selezionare Traffico locale>Pool.

  2. Selezionare Elenco pool.

  3. Seleziona Crea.

  4. Immettere un Nome per un oggetto pool di server. Ad esempio, MyApps_VMs.

    Screenshot del campo Nome in Nuovo pool.

  5. Per Nome nodo immettere un nome visualizzato del server. Questo server ospita l'applicazione Web back-end.

  6. Per Indirizzo immettere l'indirizzo IP dell'host del server applicazioni.

  7. Per Porta servizio immettere la porta HTTP/S su cui l'applicazione è in ascolto.

    Screenshot dei campi Nome nodo, Indirizzo, Porta servizio e dell'opzione Aggiungi.

    Nota

    I monitoraggi di integrità richiedono una configurazione che questo articolo non copre. Passare a support.f5.com per K13397: Panoramica della formattazione delle richieste di monitoraggio integrità HTTP per il sistema DNS BIG-IP.

Configurare un server virtuale

Un server virtuale è un oggetto del piano dati BIG-IP rappresentato da un indirizzo IP virtuale. Il server è in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo di accesso APM associato al server virtuale. Il traffico viene indirizzato in base ai criteri.

Per configurare un server virtuale:

  1. Selezionare Traffico locale>Server virtuali.

  2. Selezionare Elenco server virtuali.

  3. Seleziona Crea.

  4. Immetti un valore per Nome.

  5. Per Indirizzo/maschera di destinazione selezionare Host e immettere un indirizzo IPv4 o IPv6. L'indirizzo riceve il traffico client per l'applicazione back-end pubblicata.

  6. Per Porta servizio selezionare Porta, immettere 443 e selezionare HTTPS.

    Screenshot dei campi e delle opzioni Nome, Indirizzo di destinazione e Porta servizio.

  7. Per Profilo HTTP (client) selezionare http.

  8. Per Profilo SSL (client) selezionare il profilo creato o lasciare l'impostazione predefinita per i test. Questa opzione abilita un server virtuale per Transport Layer Security (TLS) per pubblicare i servizi tramite HTTPS.

    Screenshot delle opzioni Profilo HTTP (client) e Profilo SSL (client).

  9. Per Conversione indirizzo di origine selezionare Mapping automatico.

    Screenshot della selezione Mapping automatico per Conversione indirizzo di origine.

  10. In Criteri di accesso immettere il nome creato nella casella Profilo di accesso. Questa azione associa il profilo di preautenticazione SAML di Microsoft Entra e i criteri SSO con autenticazione basata su form al server virtuale.

Screenshot della voce Profilo di accesso in Criteri di accesso.

  1. In Risorse, per Pool predefinito selezionare gli oggetti pool back-end creati.
  2. Selezionare Completato.

Screenshot dell'opzione Pool predefinito in Risorse.

Configurare le impostazioni di gestione delle sessioni

Le impostazioni di gestione delle sessioni BIG-IP definiscono le condizioni per la terminazione e la continuazione delle sessioni. Creare i criteri in questa area.

  1. Passare a Criteri di accesso.
  2. Selezionare Profili di accesso.
  3. Selezionare Profilo di accesso.
  4. Nell'elenco selezionare l'applicazione.

Se è stato definito un valore URI SLO (Single Log-Out) in Microsoft Entra ID, la disconnessione avviata dal provider di identità da MyApps termina il client e la sessione BIG-IP APM. Il file XML dei metadati della federazione dell'applicazione importato fornisce ad APM l'endpoint SAML di Microsoft Entra per la disconnessione avviata dal provider di servizi. Assicurarsi che APM risponda correttamente alla disconnessione dell'utente.

Se non è presente un portale Web BIG-IP, gli utenti non possono chiedere ad APM di disconnettersi. Se l'utente si disconnette dall'applicazione, BIG-IP lo ignora. La sessione dell'applicazione può essere ripristinata tramite l'accesso SSO. Per la disconnessa avviata dal provider di servizi, assicurarsi che le sessioni terminino in modo sicuro.

È possibile aggiungere una funzione SLO al pulsante di disconnessione dell'applicazione. Questa funzione reindirizza il client all'endpoint di disconnessione SAML di Microsoft Entra. Per individuare l'endpoint di disconnessioni SAML, passare a Registrazioni app > Endpoint.

Se non è possibile modificare l'app, fare in modo che BIG-IP resti in ascolto della chiamata di disconnessione dell'app e attivi la funzione SLO.

Altre informazioni:

Applicazione pubblicata

L'applicazione viene pubblicata ed è accessibile con l'accesso ibrido sicuro con l'URL dell'app o i portali Microsoft.

L'applicazione viene visualizzata come risorsa di destinazione nell'accesso condizionale. Altre informazioni: Creazione di un criterio di accesso condizionale.

Per una maggiore sicurezza, bloccare l'accesso casuale all'applicazione, applicando un percorso tramite BIG-IP.

  Test

  1. L'utente si connette all'URL esterno dell'applicazione o in App personali e seleziona l'icona dell'applicazione.

  2. L'utente esegue l'autenticazione con Microsoft Entra ID.

  3. L'utente viene reindirizzato all'endpoint BIG-IP per l'applicazione.

  4. Viene visualizzata la richiesta di password.

  5. APM inserisce il nome utente con il nome dell'entità utente di Microsoft Entra ID. Il nome utente è di sola lettura per la coerenza della sessione. Nascondere questo campo, se necessario.

    Screenshot della pagina di accesso.

  6. Le informazioni vengono inviate.

  7. L'utente ha eseguito l'accesso all'applicazione.

    Screenshot della pagina iniziale.

Risoluzione dei problemi

Quando si esegue la risoluzione dei problemi, prendere in considerazione le informazioni seguenti:

  • BIG-IP esegue l'accesso SSO con autenticazione basata su form quando analizza il modulo di accesso all'URI

    • BIG-IP cerca i tag degli elementi nome utente e password dalla configurazione

  • Verificare che i tag degli elementi siano coerenti, in caso contrario l'accesso SSO non riesce

  • I moduli complessi generati in modo dinamico potrebbero richiedere l'analisi dello strumento di sviluppo per comprendere il modulo di accesso

  • L'avvio del client è preferibile per le pagine di accesso con più moduli

    • È possibile selezionare il nome del modulo e personalizzare la logica del gestore moduli JavaScript

  • I metodi SSO di FBA nascondono le interazioni con i moduli per ottimizzare l'esperienza utente e la sicurezza:

    • È possibile verificare se le credenziali vengono inserite
    • In modalità avviata dal client disabilitare l'invio automatico del modulo nel profilo SSO
    • Usare gli strumenti di sviluppo per disabilitare le due proprietà di stile che impediscono la visualizzazione della pagina di accesso

    Screenshot della pagina Proprietà.

Aumentare il livello di dettaglio del log

I log BIG-IP contengono informazioni per isolare i problemi di autenticazione e accesso SSO. Aumentare il livello di dettaglio del log:

  1. Passare a Criteri di accesso>Panoramica.
  2. Selezionare Log eventi.
  3. Seleziona Impostazioni.
  4. Selezionare la riga dell'applicazione pubblicata.
  5. Seleziona Modifica
  6. Selezionare Log di sistema di accesso.
  7. Nell'elenco SSO selezionare Debug.
  8. Seleziona OK.
  9. Riprodurre il problema.
  10. Esaminare i log.

Ripristinare le impostazioni, in caso contrario i dati saranno eccessivi.

Messaggio di errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, il problema potrebbe riguardare Microsoft Entra ID e l'accesso SSO BIG-IP.

  1. Passare a Accesso>Panoramica.
  2. Selezionare Report di accesso.
  3. Eseguire il report per l'ultima ora.
  4. Esaminare i log per individuare gli indizi.

Usare il collegamento Visualizza variabili di sessione per determinare se APM riceve le attestazioni previste di Microsoft Entra.

Nessun messaggio di errore BIG-IP

Se non viene visualizzato alcun messaggio di errore BIG-IP, il problema potrebbe essere correlato alla richiesta back-end o all'accesso SSO da BIG-IP all'applicazione.

  1. Selezionare Panoramica>Criteri di accesso.
  2. Selezionare Sessioni attive.
  3. Selezionare il collegamento della sessione attiva.

Usare il collegamento Visualizza variabili in questa posizione per determinare la causa radice, in particolare se APM non riesce a ottenere l'identificatore utente e la password corretti.

Per altre informazioni, vedere techdocs.f5.com per il Capitolo del manuale: Variabili di sessione.

Risorse