Condividi tramite

Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso SSO LDAP e basato su intestazione

  • Articolo

In questo articolo, è possibile imparare a proteggere l'intestazione e le applicazioni basate su LDAP con Microsoft Entra ID, usando la configurazione guidata F5 BIG-IP Easy Button 16.1. L'integrazione di BIG-IP con Microsoft Entra ID offre molti vantaggi:

Per altre informazioni sui vantaggi, vedere Integrazione di F5 BIG-IP e Microsoft Entra.

Descrizione dello scenario

Questo scenario è incentrato sull'applicazione classica legacy che usa le intestazioni di autorizzazione HTTP originate dagli attributi della directory LDAP per gestire l'accesso al contenuto protetto.

Essendo legacy, l'applicazione non dispone di protocolli moderni che supportino un'integrazione diretta con Microsoft Entra ID. È possibile modernizzare l'app, ma è un'operazione costosa, richiede la pianificazione e introduce il rischio di potenziali tempi di inattività. Invece, è possibile usare un controller ADC F5 BIG-IP per colmare il divario tra l'applicazione legacy e il piano di controllo dell'ID moderno, tramite la transizione del protocollo.

La presenza di un BIG-IP davanti all'app consente di sovrapporre il servizio con l'accesso SSO preautenticazione e basato su intestazione di Microsoft Entra, migliorando la postura di sicurezza complessiva dell'applicazione.

Architettura dello scenario

La soluzione di accesso ibrido sicuro per questo scenario include:

  • Applicazione: servizio pubblicato di BIG-IP da proteggere con SHA di Microsoft Entra ID
  • Microsoft Entra ID: provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAML al BIG-IP. Con l’accesso SSO, Microsoft Entra ID fornisce a BIG-IP gli attributi di sessione necessari.
  • Sistema HR: database dei dipendenti basato su LDAP come origine della verità per le autorizzazioni dell'applicazione
  • BIG-IP: proxy inverso e provider di servizi (SP) SAML per l'applicazione, che delega l'autenticazione al provider di identità SAML prima di eseguire l'accesso SSO basato su intestazione all'applicazione backend

In questo scenario, SHA supporta sia i flussi avviati dal provider di servizi che dal provider di identità. L’immagine seguente illustra il flusso avviato dal provider di servizi.

Diagramma del flusso di accesso ibrido sicuro avviato da SP.

  1. L'utente si connette all'endpoint dell’applicazione (BIG-IP)
  2. Il criterio di accesso APM di BIG-IP reindirizza l'utente a Microsoft Entra ID (provider di identità SAML)
  3. Microsoft Entra ID preautentica l'utente e adotta i criteri di accesso condizionale applicati
  4. L'utente viene reindirizzato a BIG-IP (provider di servizi SAML) e l'accesso SSO viene eseguito usando il token SAML rilasciato
  5. BIG-IP richiede più attributi dal sistema HR basato su LDAP
  6. BIG-IP inserisce gli attributi di Microsoft Entra ID e gli attributi di sistema HR come intestazioni nella richiesta inviata all'applicazione
  7. L'applicazione autorizza l'accesso con autorizzazioni di sessione arricchite

Prerequisiti

L'esperienza precedente con BIG-IP non è necessaria, ma sono necessari:

  • Un account Azure gratuito o una sottoscrizione di livello superiore
  • Un BIG-IP o distribuire un BIG-IP Virtual Edition (VE) in Azure
  • Una delle licenze F5 BIG-IP seguenti:
    • Bundle F5 BIG-IP® Best
    • Licenza autonoma di F5 BIG-IP Access Policy Manager™ (APM)
    • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) su un'istanza di BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Versione di valutazione gratuita di BIG-IP di 90 giorni
  • Identità utente sincronizzate da una directory locale a Microsoft Entra ID
  • Uno dei ruoli seguenti: Amministratore applicazione cloud o Amministratore applicazione.
  • Un certificato Web SSL per la pubblicazione di servizi tramite HTTPS, oppure usare i certificati BIG-IP predefiniti durante il test
  • Un'applicazione basata su intestazione; in alternativa, configurare un'app di intestazione IIS per il test
  • Directory utente che supporta LDAP, ad esempio Windows Active Directory Lightweight Directory Services (AD LDS), OpenLDAP e così via.

Configurazione di BIG-IP

Questa esercitazione usa la configurazione guidata 16.1 con un modello Easy Button. Con Easy Button, gli amministratori non devono alternare tra Microsoft Entra ID e un BIG-IP per abilitare i servizi per SHA. La gestione della distribuzione e dei criteri viene gestita tra la configurazione guidata di APM e Microsoft Graph. Questa integrazione tra BIG-IP di APM e Microsoft Entra ID garantisce che le applicazioni possano supportare la federazione delle identità, l'accesso SSO e l’accesso condizionale di Microsoft Entra, riducendo il sovraccarico amministrativo.

Nota

Sostituire le stringhe o i valori di esempio in questa guida con quelli per l'ambiente in uso.

Registrare Easy Button

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Prima che un client o un servizio possa accedere a Microsoft Graph, deve essere considerato attendibile da Microsoft Identity Platform.

Questo primo passaggio crea una registrazione dell'app tenant per autorizzare l'accesso Easy Button a Graph. Con queste autorizzazioni, BIG-IP può eseguire il push delle configurazioni per stabilire un’attendibilità tra un'istanza del provider di servizi SAML per l'applicazione pubblicata e Microsoft Entra ID come provider di identità SAML.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Andare a Identità>Applicazioni>Registrazioni app>Nuova registrazione.

  3. Immettere un nome visualizzato per l'applicazione. Ad esempio, F5 BIG-IP Easy Button.

  4. Specificare chi può usare l'applicazione>Solo gli account in questa directory dell’organizzazione.

  5. Selezionare Registra.

  6. Passare a Autorizzazioni API e autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  7. Concedere il consenso amministratore per l'organizzazione.

  8. In Certificati e segreti, generare un nuovo segreto client. Prendere nota di questo segreto.

  9. In Panoramica, prendere nota dell'ID client e dell'ID tenant.

Configurare il Easy Button

Avviare la configurazione guidata di APM per avviare il modello Easy Button.

  1. Passare a Accesso > Configurazione guidata > Integrazione Microsoft e selezionare Applicazione Microsoft Entra.

  2. Esaminare l'elenco dei passaggi e selezionare Avanti

  3. Per pubblicare l'applicazione, attenersi ai passaggi.

    Screenshot del flusso di configurazione, in Configurazione guidata.

Configuration Properties

La scheda Proprietà di configurazione crea una configurazione dell'applicazione BIG-IP e un oggetto SSO. La sezioneDettagli account del servizio di Azure rappresenta il client registrato in precedenza nel tenant di Microsoft Entra come applicazione. Queste le impostazioni consentono a un client OAuth BIG-IP di registrare un provider di servizi SAML nel tenant con le proprietà SSO che verrebbero configurate manualmente. Easy Button esegue questa azione per ogni servizio BIG-IP pubblicato e abilitato per SHA.

Alcune di queste impostazioni sono globali e possono essere riutilizzate per pubblicare più applicazioni, riducendo il tempo di distribuzione e il lavoro richiesto.

  1. Specificare un nome di configurazione univoco che consenta agli amministratori di distinguere facilmente le configurazioni Easy Button.

  2. Abilitare l'accesso Single Sign-On (SSO) e le intestazioni HTTP.

  3. Immettere ID tenant, ID client e Segreto client annotati al momento della registrazione del client Easy Button nel proprio tenant.

  4. Verificare che BIG-IP si connetta al tenant.

  5. Selezionare Avanti.

    Screenshot delle voci relative a Proprietà generali e Dettagli dell'account del servizio di Azure in Proprietà di configurazione.

Provider di Servizi

Le impostazioni del provider di servizi definiscono le proprietà per l'istanza del provider di servizi SAML dell'applicazione protetta tramite SHA.

  1. Immettere l'Host, il nome di dominio completo pubblico (FQDN) dell'applicazione protetta.

  2. Immettere l'ID di entità, l'identificatore che Microsoft Entra ID usa per identificare il provider di servizi SAML che richiede un token.

    Screenshot delle voci Host ed ID entità nel Provider di servizi.

Usare le impostazioni di sicurezza facoltative per specificare se Microsoft Entra ID deve crittografare le asserzioni SAML rilasciate. La crittografia delle asserzioni tra Microsoft Entra ID e BIG-IP di APM garantisce che i token del contenuto non possano essere intercettati e che i dati personali o aziendali non vengano compromessi.

  1. Nell'elenco Chiave privata di decrittografia asserzione, selezionare Crea nuova

    Screenshot dell'opzione Crea nuova in Chiave privata di decrittografia asserzione in Impostazioni di protezione.

  2. Seleziona OK. Viene aperta la finestra di dialogo Importa certificato SSL e chiavi in una nuova scheda.

  3. Selezionare PKCS 12 (IIS) per importare il certificato e la chiave privata. Dopo il provisioning, chiudere la scheda del browser per tornare alla scheda principale.

    Screenshot delle voci Tipo di importazione, Certificato e Nome chiave, Origine chiave certificato e Password

  4. Selezionare Abilita asserzione crittografata.

  5. Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Chiave privata per decrittografia asserzione. BIG-IP APM usa questa chiave privata del certificato per decrittografare le asserzioni di Microsoft Entra.

  6. Se è stata abilitata la crittografia, selezionare il certificato dall'elenco Certificato di decrittografia asserzione. BIG-IP carica questo certificato in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

    Screenshot dei certificati per la Chiave privata di decrittografia asserzione e per la Decrittografia dell'asserzione in Impostazioni di protezione.

Microsoft Entra ID

Questa sezione contiene tutte le proprietà usate per configurare manualmente una nuova applicazione SAML BIG-IP all'interno del tenant di Microsoft Entra. Easy Button include modelli di applicazione per Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e un modello SHA per altre app.

Per questo scenario, selezionare Integrazione di Microsoft Entra ID con F5 BIG-IP APM> Aggiungi.

Configurazione di Azure

  1. Immettere il nome visualizzato dell'app creata da BIG-IP nel tenant di Microsoft Entra e l'icona visualizzata dagli utenti nel portale App personali.

  2. Non immettere alcuna voce per l'URL di accesso (facoltativo).

  3. Per individuare il certificato importato, selezionare l'icona Aggiorna accanto alla Chiave di firma e al Certificato di firma.

  4. Immettere la password del certificato in Passphrase della chiave di firma.

  5. Abilitare l'opzione di firma (facoltativo) per garantire che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.

    Screenshot delle voci Chiave di firma, Certificato di firma e Passprhase della chiave di firma in Certificato di firma SAML.

  6. Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra e viene autorizzato l'accesso all'applicazione. Aggiungere un utente o un gruppo per il test; in caso contrario, l'accesso viene negato.

    Screenshot dell'opzione Aggiungi in Utenti e gruppi di utenti.

Attributi utente e attestazioni

Quando un utente esegue l'autenticazione, Microsoft Entra ID rilascia un token SAML con un set predefinito di attestazioni e attributi che identificano in modo univoco l'utente. La scheda Attributi utente e attestazioni mostra le attestazioni predefinite da rilasciare per la nuova applicazione. Consente anche di configurare più attestazioni.

Per questo esempio, includere un altro attributo:

  1. In Nome attestazione, immettere employeeid.

  2. In Attributo di origine, immettere user.employeeid.

    Screenshot del valore employeeid in Attestazioni aggiuntive in Attributi utente e attestazioni.

Attributi utente aggiuntivi

Nella scheda Attributi utente aggiuntivi è possibile abilitare l'aumento delle sessioni per sistemi distribuiti, ad esempio Oracle, SAP e altre implementazioni basate su JAVA che richiedono attributi archiviati in altre directory. Gli attributi recuperati da un'origine LDAP vengono inseriti come più intestazioni SSO per controllare l'accesso in base a ruoli, ID partner e così via.

  1. Abilitare l'opzione Impostazioni avanzate.

  2. Selezionare la casella di controllo Attributi LDAP.

  3. In Scegli server di autenticazione, selezionare Crea nuovo.

  4. A seconda della configurazione, selezionare la modalità di connessione del server Usa pool o Diretta per specificare l'indirizzo del server del servizio LDAP di destinazione. Se si usa un singolo server LDAP, selezionare Diretta.

  5. Per Porta del servizio, immettere 389, 636 (predefinita) o un'altra porta per il proprio servizio LDAP.

  6. Per DN di ricerca di base, immettere il nome distinto della posizione contenente l'account con cui il servizio APM esegue l'autenticazione per le query del servizio LDAP.

    Screenshot delle voci delle proprietà del server LDAP in Attributi utente aggiuntivi.

  7. Per Ricerca DN, immettere il nome distinto della posizione contenente gli oggetti dell'account utente su cui viene eseguita la query APM tramite LDAP.

  8. Impostare entrambe le opzioni di appartenenza su Nessuna e aggiungere il nome dell'attributo dell'oggetto utente da restituire dalla directory LDAP. Per questo scenario: eventroles.

    Screenshot delle voci delle proprietà della query LDAP.

Criteri di accesso condizionale

I criteri di accesso condizionale vengono applicati dopo la preautenticazione di Microsoft Entra per controllare l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio.

La visualizzazione Criteri disponibili elenca i criteri di accesso condizionale che non includono azioni basate sull'utente.

La visualizzazione Criteri selezionati mostra i criteri destinati a tutte le app cloud. Questi criteri non possono essere deselezionati o spostati nell'elenco Criteri disponibili, perché vengono applicati a livello di tenant.

Per selezionare un criterio da applicare all'applicazione da pubblicare:

  1. Nell'elenco Criteri disponibili, selezionare un criterio.

  2. Selezionare la freccia DESTRA e spostarla nell'elenco Criteri selezionati.

    Nota

    Per i criteri selezionati, è selezionata un'opzione Includi o Escludi. Se vengono selezionate entrambe le opzioni, i criteri selezionati non vengono applicati.

    Screenshot dei criteri esclusi in Criteri selezionati in Criteri di accesso condizionale.

    Nota

    L'elenco dei criteri viene elencato una volta quando si seleziona inizialmente questa scheda. Usare il pulsante Aggiorna per forzare manualmente la procedura guidata per eseguire query sul tenant. Questo pulsante viene visualizzato quando l'applicazione viene distribuita.

Proprietà del server virtuale

Un server virtuale è un oggetto del piano dati BIG-IP rappresentato da un indirizzo IP virtuale in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale, prima di essere indirizzato in base al criterio.

  1. Immettere l'Indirizzo di destinazione, ovvero un qualsiasi indirizzo IPv4/IPv6 disponibile che BIG-IP possa usare per ricevere il traffico client. Dovrebbe esistere un record corrispondente in Domain Name Server (DNS) che consente ai client di risolvere l'URL esterno dell'applicazione BIG-IP pubblicata in questo IP anziché l'applicazione. L'uso del DNS localhost di un PC di test è accettabile per i test.

  2. Per Porta del servizio, immettere 443 e HTTPS.

  3. Selezionare Abilita porta di reindirizzamento, quindi immettere la Porta di reindirizzamento, che reindirizza il traffico client HTTP in ingresso a HTTPS.

  4. Il profilo SSL client abilita il server virtuale per HTTPS, in modo che le connessioni client vengano crittografate tramite Transport Layer Security (TLS). Selezionare il Profilo SSL client creato o lasciare l'impostazione predefinita durante i test.

    Screenshot delle voci Indirizzo di destinazione, Porta del servizio e Comuni in Proprietà generali nelle Proprietà del server virtuale.

Proprietà del pool

La scheda Pool applicazioni include i servizi dietro un BIG-IP, rappresentati come un pool con uno o più server applicazioni.

  1. Scegliere da Selezionare un pool. Creare un nuovo pool o selezionarne uno.

  2. Scegliere Round Robin come metodo di bilanciamento del carico.

  3. Per Server pool, selezionare un nodo o specificare un IP e una porta per il server che ospita l'applicazione basata sull'intestazione.

    Screenshot delle voci Indirizzo IP/ nome del nodo e Porta nelle in Pool di applicazioni, Proprietà del pool.

Nota

L'applicazione back-end sfrutta la porta HTTP 80. Passare a 443 per HTTPS.

Intestazioni HTTP e Single Sign-On

L'abilitazione dell'accesso SSO consente agli utenti di accedere ai servizi pubblicati BIG-IP senza dover immettere le credenziali. La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO.

Usare l'elenco seguente per configurare le opzioni.

  • Operazione intestazione: Inserisci

  • Nome intestazione: upn

  • Valore intestazione: %{session.saml.last.identity}

  • Operazione intestazione: Inserisci

  • Nome intestazione: employeeid

  • Valore intestazione: %{session.saml.last.attr.name.employeeid}

  • Operazione intestazione: Inserisci

  • Nome intestazione: eventroles

  • Valore intestazione: %{session.ldap.last.attr.eventroles}

    Screenshot delle voci Intestazioni SSO in Intestazioni SSO su Intestazioni SSO e HTTP.

Nota

Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. Ad esempio, se si immette OrclGUID e il nome dell'attributo Microsoft Entra è orclguid, si verifica un errore di mapping degli attributi.

Impostazioni di gestione delle sessioni

Le impostazioni di gestione delle sessioni BIG-IP definiscono le condizioni in base alle quali le sessioni utente vengono continuate o terminate, i limiti per gli utenti e gli indirizzi IP e le informazioni utente corrispondenti. Vedere l'articolo F5 K18390492: Sicurezza | Guida operativa di BIG-IP APM per dettagli sulle impostazioni.

Ciò che non è trattato è la funzionalità Single Log-Out (SLO), che garantisce che tutte le sessioni tra IdP, BIG-IP e l'agente utente vengano terminate quando un utente si disconnette. !Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola anche l'URL di disconnessione con l'endpoint SLO di APM. La disconnessione avviata da IdP, dal portale App personali di Microsoft Entra termina la sessione tra BIG-IP e un client.

I metadati di federazione SAML per l'applicazione pubblicata vengono importati dal tenant, che fornisce ad APM l'endpoint di disconnessione SAML per Microsoft Entra ID. Questa azione garantisce che una disconnessione avviata da SP termini la sessione tra un client e un ID Microsoft Entra. APM deve sapere quando un utente si disconnette dall'applicazione.

Se viene usato il portale webtop BIG-IP per accedere alle applicazioni pubblicate, APM elabora una disconnessione per chiamare l'endpoint di disconnessione di Microsoft Entra. Si consideri tuttavia uno scenario in cui il portale Webtop BIG-IP non viene usato. L'utente non può indicare ad APM di disconnettersi. Anche se l'utente si disconnette dall'applicazione, BIG-IP lo ignora. Pertanto, considerare la disconnessione avviata dal provider di servizi per assicurarsi che le sessioni terminino in modo sicuro. È possibile aggiungere una funzione SLO al pulsante di disconnessione dell'applicazione in modo da poter reindirizzare il client all'endpoint di disconnessione BIG-IP o SAML di Microsoft Entra. L'URL dell'endpoint di disconnessione SAML per il tenant è in Registrazioni app> Endpoint.

Se non è possibile apportare una modifica all'app, valutare la possibilità di usare BIG-IP per ascoltare la chiamata di disconnessione dell'applicazione e configurarlo perché attivi SLO dopo il rilevamento della richiesta. Per informazioni su BIG-IP iRule, vedere le linee guida di Oracle PeopleSoft SLO. Per altre informazioni sull'uso di BIG-IP iRules, vedere:

Riepilogo

Questo ultimo passaggio fornisce una suddivisione delle configurazioni.

Selezionare Distribuisci per eseguire il commit delle impostazioni e verificare che l'applicazione sia presente nell'elenco dei tenant delle applicazioni aziendali.

L'applicazione viene pubblicata ed è accessibile via SHA, tramite il relativo URL o tramite i portali delle applicazioni Microsoft. Per una maggiore sicurezza, le organizzazioni che usano questo criterio possono bloccare tutto l'accesso diretto all'applicazione. Questa azione forza un percorso strict tramite BIG-IP.

Passaggi successivi

Da un browser, nel portale App personali di Microsoft, connettersi all'URL esterno dell'applicazione o selezionare l'icona dell'applicazione. Dopo l'autenticazione con Microsoft Entra ID, si verrà reindirizzati al server virtuale BIG-IP per l'applicazione e verrà eseguito l'accesso tramite SSO.

Vedere lo screenshot seguente per l'output delle intestazioni inserite nell'applicazione basata su intestazioni.

Screenshot dei valori di output in Variabili del server in Eventi personali.

Per una maggiore sicurezza, le organizzazioni che usano questo criterio possono bloccare tutto l'accesso diretto all'applicazione. Questa azione forza un percorso strict tramite BIG-IP.

Distribuzione avanzata

I modelli di configurazione guidata non possono avere la flessibilità necessaria per soddisfare requisiti specifici.

In BIG-IP è possibile disabilitare la modalità di gestione strict della configurazione guidata. Quindi, è possibile modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni viene automatizzata tramite i modelli basati su procedura guidata.

Per le configurazioni delle applicazioni, è possibile passare a Accesso > Configurazione guidata e selezionare l'icona a forma di lucchetto piccola all’estrema destra della riga.

Screenshot dell'opzione a forma di lucchetto.

A questo punto, non è più possibile apportare modifiche tramite l'interfaccia utente della procedura guidata, ma tutti gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione sono sbloccati per la gestione diretta.

Nota

Quando si riabilita la modalità strict e si distribuisce una configurazione, le eventuali impostazioni eseguite all'esterno della Configurazione guidata vengono sovrascritte. È consigliabile usare il metodo di configurazione avanzato per i servizi di produzione.

Risoluzione dei problemi

Registrazione BIG-IP

La registrazione BIG-IP contribuisce a isolare i problemi di connettività, SSO, violazioni dei criteri o mapping di variabili non configurati correttamente.

Per risolvere i problemi, è possibile aumentare il livello di dettaglio del log.

  1. Passare a Criteri di accesso > Panoramica > Log eventi > Impostazioni.
  2. Selezionare la riga corrispondente all'applicazione pubblicata e quindi Modifica > Log del sistema di accesso.
  3. Dall'elenco SSO, selezionare Debug, quindi OK.

Riprodurre il problema, quindi esaminare i log, ma ripristinare questa impostazione al termine. La modalità dettagliata genera quantità significative di dati.

Pagina di errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, è possibile che il problema si riferisca all'accesso SSO da Microsoft Entra ID a BIG-IP.

  1. Passare a Accesso > Panoramica > Report sull’accesso.
  2. Eseguire il report riferito all'ultima ora per verificare se i log forniscono indizi.
  3. Usare il collegamento Visualizza variabili per la sessione per comprendere se APM riceve le attestazioni da Microsoft Entra ID.

Richiesta back-end

Se non viene visualizzata alcuna pagina di errore, il problema è probabilmente correlato alla richiesta back-end o all'accesso SSO da BIG-IP all'applicazione.

  1. Andare a Criteri di accesso > Panoramica > Sessioni attive e selezionare il collegamento relativo alla sessione attiva.
  2. Per contribuire a individuare il problema alla radice, usare il collegamento Visualizza variabili, in particolare se BIG-IP APM non riesce a ottenere gli attributi corretti da Microsoft Entra ID o da un'altra origine.

Convalidare l'account del servizio APM

Per convalidare l'account del servizio APM per le query LDAP, usare il comando shell bash seguente. Confermare l'autenticazione e la query di un oggetto utente.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=partners,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Per altre informazioni, vedere l'articolo F5 K11072: Configurazione dell'autenticazione remota LDAP per Active Directory. È possibile usare una tabella di riferimento BIG-IP per diagnosticare i problemi correlati a LDAP nel documento AskF5, Query LDAP.