Esercitazione: Configurare F5 BIG-IP Easy Button per l'accesso SSO a Oracle PeopleSoft

Questo articolo illustra come proteggere Oracle PeopleSoft (PeopleSoft) usando Microsoft Entra ID con la configurazione guidata F5 BIG-IP Easy Button 16.1.

Integrare BIG-IP con Microsoft Entra ID per accedere a numerosi vantaggi:

• Miglioramento della governance Zero Trust grazie alla preautenticazione e all'accesso condizionale di Microsoft Entra
  • Vedere Framework Zero Trust per abilitare il lavoro remoto
  • Vedere Informazioni sull'accesso condizionale
• Accesso Single Sign-On (SSO) tra Microsoft Entra ID e i servizi pubblicati BIG-IP
• Gestire le identità e l'accesso dalla Interfaccia di amministrazione di Microsoft Entra

Altre informazioni:

• Integrare F5 BIG-IP con Microsoft Entra ID
• Abilitare l'accesso Single Sign-On per un'applicazione aziendale

Descrizione dello scenario

Per questa esercitazione, viene utilizzata un'applicazione PeopleSoft usando le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto.

Le applicazioni legacy non dispongono di protocolli moderni per supportare l'integrazione di Microsoft Entra. La modernizzazione è costosa, richiede la pianificazione e introduce potenziali rischi di inattività. Usare invece un controller ADC F5 BIG-IP per colmare il divario tra l'applicazione legacy e il controllo dell'ID moderno, tramite la transizione del protocollo.

Con un BIG-IP davanti all'applicazione, è possibile sovrapporre il servizio con la preautenticazione e l'accesso SSO basato su intestazione di Microsoft Entra. Questa azione migliora la postura di sicurezza dell'applicazione.

Nota

Ottenere l'accesso remoto a questo tipo di applicazione con il proxy dell'applicazione Microsoft Entra.
Consultare Accesso remoto alle applicazioni locali tramite Microsoft Entra Application Proxy.

Architettura dello scenario

La soluzione di accesso ibrido sicuro (SHA) per questa esercitazione include i componenti seguenti:

• Applicazione PeopleSoft: servizio pubblicato BIG-IP protetto da SHA di Microsoft Entra
• Microsoft Entra ID: Provider di identità SAML (Security Assertion Markup Language) che verifica le credenziali utente, l'accesso condizionale e l'accesso SSO basato su SAML al BIG-IP
  • Tramite SSO, Microsoft Entra ID fornisce attributi di sessione a BIG-IP
• BIG-IP: proxy inverso e provider di servizi SAML per l'applicazione. Delega l'autenticazione al provider di identità SAML, quindi esegue l'accesso SSO basato su intestazioni al servizio PeopleSoft.

Per questo scenario, SHA supporta i flussi avviati da SP e IdP. Il diagramma seguente illustra il flusso avviato dal provider di servizi.

1. L'utente si connette all'endpoint applicazione (BIG-IP).
2. Il criterio di accesso BIG-IP APM reindirizza l'utente a Microsoft Entra ID (provider di identità SAML).
3. Microsoft Entra preautentica l'utente e applica i criteri di accesso condizionale.
4. L'utente viene reindirizzato a BIG-IP (provider di servizi SAML) e l'accesso SSO viene eseguito con il token SAML rilasciato.
5. BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta inviata all'applicazione.
6. L'applicazione autorizza la richiesta e restituisce il payload.

Prerequisiti

• Un account Microsoft Entra ID gratuito o superiore
  • Se non si ha una sottoscrizione, è possibile creare un account Azure gratuito
• Un BIG-IP o un BIG-IP Virtual Edition (VE) in Azure
  • Vedere Distribuire una macchina virtuale F5 BIG-IP Virtual Edition in Azure
• Una delle licenze F5 BIG-IP seguenti:
  • Bundle F5 BIG-IP® Best
  • Licenza autonoma F5 BIG-IP APM
  • Licenza del componente aggiuntivo F5 BIG-IP APM su un'istanza esistente di BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • Licenza per una versione di valutazione completa di BIG-IP valida 90 giorni
• Identità utente sincronizzate da una directory locale a Microsoft Entra ID o create in Microsoft Entra ID e restituite alla directory locale
  • Vedere Microsoft Entra Connect Sync: comprendere e personalizzare la sincronizzazione
• Uno dei ruoli seguenti: amministratore applicazione cloud o amministratore applicazione.
• Un certificato Web SSL per la pubblicazione di servizi tramite HTTPS o l'uso di certificati BIG-IP predefiniti per il test
  • Vedere Distribuire una macchina virtuale F5 BIG-IP Virtual Edition in Azure
• Un ambiente di PeopleSoft

Configurazione di BIG-IP

Questa esercitazione usa la configurazione guidata 16.1 con un modello Easy Button.

Con Easy Button, gli amministratori non devono alternare tra Microsoft Entra ID e un BIG-IP per abilitare i servizi per SHA. La procedura di configurazione guidata APM e Microsoft Graph gestiscono la distribuzione e la gestione dei criteri. L'integrazione garantisce che le applicazioni supportino la federazione delle identità, l'accesso SSO e l'accesso condizionale.

Nota

Sostituire le stringhe o i valori di esempio in questa esercitazione con quelli nell'ambiente in uso.

Registrare il Easy Button

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Prima che un client o un servizio possa accedere a Microsoft Graph, deve essere considerato attendibile da Microsoft Identity Platform.

Altre informazioni: Guida introduttiva: Registrare un'applicazione con Microsoft Identity Platform

Le seguenti istruzioni semplificano la creazione di una registrazione dell'app tenant per autorizzare l'accesso Easy Button a Graph. Con queste autorizzazioni, BIG-IP esegue il push delle configurazioni per stabilire un’attendibilità tra un'istanza del provider di servizi SAML per l'applicazione pubblicata e Microsoft Entra ID come provider di identità SAML.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

2. Andare a Identità>Applicazioni>Registrazioni app> Nuova registrazione.

3. Immettere un Nome per l'applicazione.

4. Per Solo account in questa directory dell'organizzazione, specificare chi può usare l'applicazione.

5. Selezionare Registra.

6. Andare a Autorizzazioni API.

7. Autorizzare le seguenti autorizzazioni dell'applicazione Microsoft Graph:

   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. Concedere il consenso amministratore per l'organizzazione.

9. Andare a Certificati e segreti.

10. Generare un nuovo Segreto client e prenderne nota.

11. Andare a Panoramica, prendere nota dell'ID client e dell'ID tenant.

Configurare il Easy Button

1. Avviare la configurazione guidata di APM.
2. Avviare il modello Easy Button.
3. Andare ad Accesso > Configurazione guidata.
4. Selezionare Integrazione Microsoft.
5. Selezionare Applicazione Microsoft Entra.
6. Rivedere la sequenza di configurazione.
7. Seleziona Avanti.
8. Seguire la sequenza di configurazione.

Configuration Properties

Usare la scheda Proprietà di configurazione per creare nuove configurazioni dell'applicazione e nuovi oggetti SSO. La sezioneDettagli account del servizio di Azure rappresenta il client registrato nel tenant di Microsoft Entra come applicazione. Usare le impostazioni per il client OAuth BIG-IP per registrare un provider di servizi SAML nel tenant con le proprietà SSO. Easy Button esegue questa azione per i servizi BIG-IP pubblicati e abilitati per SHA.

Nota

Alcune delle impostazioni seguenti sono globali. È possibile riutilizzarli per pubblicare più applicazioni.

1. Immettere un Nome configurazione. I nomi univoci consentono di distinguere le configurazioni.
2. Per Single Sign-On (SSO) e intestazioni HTTP, selezionare Sì.
3. Immettere i valori di ID tenant, ID client e Segreto client annotati.
4. Verificare che BIG-IP si connetta al tenant.
5. Selezionare Avanti.

Provider di Servizi

Usare le impostazioni del Provider di servizi per definire le proprietà SAML SP per l'istanza di APM che rappresenta l'applicazione protetta da SHA.

1. In Host, immettere il nome FQDN pubblico dell'applicazione protetta.
2. Per ID entità, immettere l'identificatore che Microsoft Entra ID usa per identificare il provider di servizi SAML che richiede un token.

3. (Facoltativo) Per Impostazioni di protezione, indicare che Microsoft Entra ID esegua la crittografia delle asserzioni SAML rilasciate. Questa opzione aumenta la certezza che i token di contenuto non vengano intercettati e che i dati non vengano compromessi.

4. Nell'elenco Chiave privata di decrittografia asserzione, selezionare Crea nuova.

5. Selezionare OK.
6. Viene visualizzata la finestra di dialogo Importa certificato SSL e chiavi in una nuova scheda.
7. Per Tipo di importazione, selezionare Public Key Cryptography Standards 12 (IIS). Questa opzione importa il certificato e la chiave privata.
8. Chiudere la scheda del browser per tornare alla scheda principale.

9. Selezionare la casella di controllo per Abilita asserzione crittografata.
10. Se è stata abilitata la crittografia, dall'elenco Chiave privata di decrittografia asserzione selezionare il certificato. Questa chiave privata si riferisce a quella per il certificato usato da BIG-IP di APM per decrittografare le asserzioni di Microsoft Entra.
11. Se è stata abilitata la crittografia, nell'elenco Certificato di decrittografia asserzione, selezionare il certificato. BIG-IP carica questo certificato in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

Microsoft Entra ID

Easy Button include modelli per Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP e un modello SHA generico.

1. Selezionare Oracle PeopleSoft.
2. Selezionare Aggiungi.

Configurazione di Azure

1. Immettere il Nome visualizzato per l'app che BIG-IP crea nel tenant. Il nome viene visualizzato su un'icona in App personali.

2. (Facoltativo) Per URL di accesso, immettere l'FQDN pubblico dell'applicazione PeopleSoft.

3. Accanto a Chiave di firma e Certificato di firma, selezionare aggiorna. Questa azione individua il certificato importato.

4. Per Passphrase della chiave di firma, immettere la password del certificato.

5. (Facoltativo) Per Opzione di firma, selezionare un'opzione. Questa selezione garantisce che BIG-IP accetti token e attestazioni firmati da Microsoft Entra ID.

6. Utente e gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra.
7. Aggiungere un utente o un gruppo per il test; in caso contrario, l'accesso viene negato.

Attributi utente e attestazioni

Quando un utente esegue l'autenticazione, Microsoft Entra ID rilascia un token SAML con attestazioni e attributi predefiniti che identificano l'utente. La scheda Attributi utente e attestazioni contiene le attestazioni predefinite da rilasciare per la nuova applicazione. Usarla per configurare altre attestazioni. Il modello Easy Button ha l'attestazione ID dipendente richiesta da PeopleSoft.

Se necessario, includere altri attributi di Microsoft Entra. L'applicazione PeopleSoft di esempio richiede attributi predefiniti.

Attributi utente aggiuntivi

La scheda Attributi utente aggiuntivi supporta sistemi distribuiti che richiedono attributi archiviati in altre directory per l'aumento della sessione. Gli attributi provenienti da un'origine LDAP vengono inseriti come più intestazioni SSO per controllare l'accesso in base a ruoli, ID partner e così via.

Nota

Questa funzionalità non ha alcuna correlazione con Microsoft Entra ID; si tratta di un'altra origine di attributi.

Criteri di accesso condizionale

I criteri di accesso condizionale vengono applicati dopo la preautenticazione di Microsoft Entra per controllare l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio. La visualizzazione Criteri disponibili include criteri di accesso condizionale senza azioni dell'utente. La visualizzazione Criteri selezionati mostra i criteri destinati alle app cloud. Non è possibile deselezionare o spostare questi criteri nell'elenco Criteri disponibili perché vengono applicati a livello di tenant.

Selezionare un criterio per l'applicazione.

1. Nell'elenco Criteri disponibili, selezionare un criterio.
2. Selezionare la freccia DESTRA e spostare il criterio nell'elenco Criteri selezionati.

Per i criteri selezionati, è selezionata un'opzione Includi o Escludi. Se vengono selezionate entrambe le opzioni, il criterio non viene applicato.

Nota

L'elenco dei criteri viene visualizzato una sola volta, quando si seleziona la scheda. Usare Aggiorna per fare in modo che la procedura guidata esegua query sul tenant. Questa opzione viene visualizzata dopo la distribuzione dell'applicazione.

Proprietà del server virtuale

Un server virtuale è un oggetto del piano dati BIG-IP rappresentato da un indirizzo IP virtuale. Il server è in ascolto delle richieste client all'applicazione. Il traffico ricevuto viene elaborato e valutato rispetto al profilo APM del server virtuale. Quindi, il traffico viene indirizzato in base ai criteri.

1. Per Indirizzo di destinazione, immettere l'indirizzo IPv4 o IPv6 usato da BIG-IP per ricevere il traffico client. Un record corrispondente viene visualizzato in DNS e consente ai client di risolvere l'URL esterno dell'applicazione pubblicata sull'IP. Usare un DNS localhost del computer di test per il test.
2. Per Porta servizio, immettere 443 e selezionare HTTPS.
3. Per Abilita porta di reindirizzamento, selezionare la casella.
4. Per Porta di reindirizzamento, immettere 80 e selezionare HTTP. Questa opzione reindirizza il traffico client HTTP in ingresso a HTTPS.
5. Per Profilo SSL client, selezionare Usa esistente.
6. In Comune, selezionare l'opzione creata. Se si esegue un test, lasciare l'impostazione predefinita. Il profilo SSL client abilita il server virtuale per HTTPS, in modo che le connessioni client vengano crittografate tramite TLS.

Proprietà del pool

La scheda Pool applicazioni include servizi dietro un BIG-IP, rappresentati come un pool con i server applicazioni.

1. Per Seleziona un pool, selezionare Crea nuovo o selezionarne uno.
2. Per Metodo di bilanciamento del carico, selezionare Round robin.
3. Per Server del pool, in Indirizzo IP/Nome nodo, selezionare un nodo o immettere un indirizzo IP e una porta per i server che ospitano l'applicazione PeopleSoft.

Intestazioni HTTP e Single Sign-On

La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO alle applicazioni pubblicate. L'applicazione PeopleSoft prevede intestazioni.

1. Per Intestazioni HTTP, selezionare la casella.
2. Per Operazione intestazione, selezionare Sostituisci.
3. In Nome intestazione, immettere PS_SSO_UID.
4. In Valore intestazione, immettere %{session.sso.token.last.username}.

Nota

Le variabili di sessione APM tra parentesi graffe fanno distinzione tra maiuscole e minuscole. Ad esempio, se si immette OrclGUID e il nome dell'attributo è orclguid, il mapping degli attributi ha esito negativo.

Gestione delle sessioni

Usare le impostazioni di gestione delle sessioni BIG-IP per definire le condizioni per la terminazione o la continuazione delle sessioni utente. Impostare i limiti per gli utenti e gli indirizzi IP e le informazioni utente corrispondenti.

Per altre informazioni, vedere support.f5.com per K18390492: Sicurezza | Guida operativa di APM BIG-IP

Non trattata nella guida operativa, la funzionalità di Single Log-Out (SLO) garantisce che le sessioni di IdP, BIG-IP e agente utente terminino quando l'utente esegue la disconnessione. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola l'URL di disconnessione con l'endpoint SLO di APM. La disconnessione avviata da IdP da App personali termina le sessioni BIG-IP e client.

I dati della federazione SAML per l'applicazione pubblicata vengono importati dal tenant. Questa azione fornisce ad APM l'endpoint di disconnessione SAML per Microsoft Entra ID, per fare in modo che la disconnessione avviata da SP termini le sessioni di client e Microsoft Entra. APM deve sapere quando un utente si disconnette.

Quando il portale webtop BIG-IP accede alle applicazioni pubblicate, APM elabora una disconnessione per chiamare l'endpoint di disconnessione di Microsoft Entra. Se il portale webtop BIG-IP non viene usato, gli utenti non possono indicare ad APM di disconnettersi. Se l'utente si disconnette dall'applicazione, BIG-IP lo ignora. La disconnessione avviata da SP richiede la terminazione sicura della sessione. Aggiungere una funzione SLO al pulsante Disconnetti dell'applicazione per reindirizzare il client all'endpoint di disconnessione SAML o BIG-IP di Microsoft Entra. L'URL dell'endpoint di disconnessione SAML per il tenant si trova in Registrazioni app > Endpoint.

Se non è possibile modificare l'app, valutare di fare in modo che BIG-IP resti in ascolto della chiamata di disconnessione dell'app e attivi la funzione SLO. Per altre informazioni, vedere Single Log-Out PeopleSoft nella sezione seguente.

Distribuzione

1. Seleziona Distribuisci.
2. Verificare l'applicazione nell'elenco di tenant delle applicazioni aziendali.
3. L'applicazione viene pubblicata ed è accessibile con SHA.

Configurare PeopleSoft

Usare Oracle Access Manager per la gestione delle identità e degli accessi delle applicazioni PeopleSoft.

Per altre informazioni, andare su docs.oracle.com per consultare Guida all'integrazione di gestione degli accessi di Oracle, Integrazione di PeopleSoft

Configurare l'accesso SSO di Oracle Access Manager

Configurare Oracle Access Manager per accettare l'accesso SSO da BIG-IP.

1. Accedere alla console Oracle con autorizzazioni di amministratore.

2. Andare a PeopleTools > Sicurezza.
3. Selezionare Profili utente.
4. Selezionare Profili utente.
5. Creare un nuovo profilo utente.
6. Per ID utente, immettere OAMPSFT
7. Per Ruolo utente, immettere Utente PeopleSoft.
8. Seleziona Salva.
9. Andare a Strumenti People>Profilo Web.
10. Selezionare il profilo Web.
11. Nella scheda Sicurezza, in Utenti pubblici, selezionare Consenti accesso pubblico.
12. Per ID utente, immettere OAMPSFT.
13. Consente di immettere la password.
14. Lasciare la console Peoplesoft.
15. Avviare Progettazione applicazioni PeopleTools.
16. Fare clic con il pulsante destro del mouse sul campo LDAPAUTH.
17. Selezionare Visualizza PeopleCode.

18. Verrà visualizzata la finestra del codice LDAPAUTH.

19. Individuare la funzione OAMSSO_AUTHENTICATION.

20. Sostituire il valore &defaultUserId con OAMPSFT.

    

21. Salva il record.

22. Andare a **PeopleTools > Sicurezza.

23. Selezionare Oggetti di sicurezza.

24. Selezionare Accedi a PeopleCode.

25. Abilitare OAMSSO_AUTHENTICATION.

Single Log-Out di PeopleSoft

Quando si esegue la disconnessione da App personali, viene avviala la disconnessione SLO di PeopleSoft, che a sua volta chiama l'endpoint di SLO BIG-IP. BIG-IP richiede istruzioni per eseguire l'SLO per conto dell'applicazione. Fare in modo che BIG-IP resti in ascolto per le richieste di disconnessione dell'utente a PeopleSoft, quindi riavviare l'SLO.

Aggiungere il supporto SLO per gli utenti di PeopleSoft.

1. Ottenere l'URL di disconnessione del portale PeopleSoft.
2. Aprire il portale con un Web browser.
3. Abilitare gli strumenti di debug.
4. Individuare l'elemento con ID PT_LOGOUT_MENU.
5. Salvare il percorso dell'URL con i parametri di query. In questo esempio: /psp/ps/?cmd=logout.

Creare una iRule BIG-IP per reindirizzare gli utenti all'endpoint di disconnessione di SP SAML: /my.logout.php3.

1. Andare a **Traffico locale > Elenco iRule.
2. Selezionare Crea.
3. Immettere un Nome della regola.
4. Immettere le righe di comando seguenti.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

5. Selezionare Completato.

Assegnare iRule al server virtuale BIG-IP.

1. Andare ad Accesso > Configurazione guidata.
2. Selezionare il collegamento di configurazione dell'applicazione PeopleSoft.

3. Nella barra di spostamento superiore selezionare Server virtuale.
4. Per Impostazioni avanzate, selezionare *Attiva.

4. Scorrere fino alla parte inferiore.
5. In Comune, aggiungere la regola iRule creata.

5. Seleziona Salva.
6. Selezionare Avanti.
7. Continuare a configurare le impostazioni.

Per altre informazioni, vedere support.f5.com per:

• K42052145: configurazione della terminazione automatica della sessione (disconnessione) in base a un nome file con riferimento a un URI
• K12056: informazioni generali sull'opzione di inclusione dell'URI di disconnessione

Impostazione predefinita: pagina di destinazione PeopleSoft

Reindirizzare le richieste utente dalla radice ("/") al portale PeopleSoft esterno, in genere situato in: "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL"

1. Andare a Traffico locale > iRule.
2. Selezionare iRule_PeopleSoft.
3. Aggiungere le righe di comando seguenti.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

4. Assegnare iRule al server virtuale BIG-IP.

Confermare la configurazione

1. Con un browser, andare all'URL esterno dell'applicazione PeopleSoft o selezionare l'icona dell'applicazione in App personali.

2. Eseguire l'autenticazione in Microsoft Entra ID.

3. Si viene reindirizzati al server virtuale BIG-IP e viene eseguito l'accesso con SSO.

   Nota

   È possibile bloccare l'accesso diretto all'applicazione, applicando così un percorso tramite BIG-IP.

Distribuzione avanzata

A volte, i modelli di configurazione guidata non hanno flessibilità.

Altre informazioni: Esercitazione: Configurare F5 BIG-IP Access Policy Manager per l'accesso SSO basato su intestazione

In alternativa, in BIG-IP disabilitare la modalità di gestione strict della configurazione guidata. È possibile modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni viene automatizzata con i modelli della procedura guidata.

1. Andare ad Accesso > Configurazione guidata.
2. Alla fine della riga, selezionare l'icona a forma di lucchetto.

Le modifiche apportate all'interfaccia utente della procedura guidata non sono possibili, ma gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione vengono sbloccati per la gestione.

Nota

Quando si riabilita la modalità strict e si distribuisce una configurazione, le impostazioni eseguite all'esterno della Configurazione guidata vengono sovrascritte. È consigliabile adottare la configurazione avanzata per i servizi di produzione.

Risoluzione dei problemi

Usare la registrazione BIG-IP per isolare i problemi di connettività, SSO, violazioni dei criteri o mapping di variabili non configurati correttamente.

Livello di dettaglio del log

1. Andare a Criteri di accesso > Panoramica.
2. Selezionare Log eventi.
3. Selezionare Impostazioni.
4. Selezionare la riga dell'applicazione pubblicata.
5. Selezionare Modifica.
6. Selezionare Log di sistema di accesso.
7. Dall'elenco SSO, selezionare Debug.
8. Selezionare OK.
9. Riprodurre il problema.
10. Esaminare i log.

Al termine, ripristinare questa funzionalità perché la modalità dettagliata genera molti dati.

Messaggio di errore BIG-IP

Se viene visualizzato un errore BIG-IP dopo la preautenticazione di Microsoft Entra, è possibile che il problema si riferisca all'accesso SSO di Microsoft Entra ID in BIG-IP.

1. Andare ad Accesso > Panoramica.
2. Selezionare Report di accesso.
3. Eseguire il report per l'ultima ora.
4. Esaminare i log per individuare gli indizi.

Usare il collegamento della sessione Visualizza sessione per la sessione per confermare che APM riceva le attestazioni di Microsoft Entra previste.

Nessun messaggio di errore BIG-IP

Se non viene visualizzato alcun messaggio di errore BIG-IP, il problema potrebbe essere correlato alla richiesta back-end o all'accesso SSO da BIG-IP all'applicazione.

1. Andare a Criteri di accesso > Panoramica.
2. Selezionare Sessioni attive.
3. Selezionare il collegamento della sessione attiva.

Usare il collegamento Visualizza variabili per determinare i problemi di SSO, in particolare se BIG-IP APM ottiene attributi non corretti dalle variabili di sessione.

Altre informazioni:

• Andare a devcentral.f5.com per esempi di assegnazione delle variabili APM
• Andare a techdocs.f5.com per informazioni sulle Variabili di sessione