チュートリアル: Azure Active Directory B2C と F5 BIG-IP でアプリケーションの安全なハイブリッド アクセスを可能にする
Azure Active Directory B2C (Azure AD B2C) と F5 BIG-IP Access Policy Manager (APM) の統合について説明します。 Azure AD B2C の事前認証、条件付きアクセス (CA)、シングル サインオン (SSO) などの BIG-IP セキュリティを介して、レガシ アプリケーションをインターネットに安全に公開することができます。 F5 Inc. では、コンピューティング、ストレージ、ネットワーク リソースを含むコネクテッドサービスの配信、セキュリティ、パフォーマンス、可用性に焦点を当てています。 ハードウェア、モジュール化されたソフトウェア、クラウド対応の仮想アプライアンス ソリューションが提供されます。
F5 BIG-IP Application Delivery Controller (ADC) を、プライベート ネットワークとインターネットの間の安全なゲートウェイとしてデプロイしましょう。 アプリケーションレベルの検査やカスタマイズ可能なアクセス制御のための機能があります。 リバース プロキシとして展開された場合、BIG-IP を使用すると、APM によって管理されるフェデレーション ID アクセス層で、ビジネス アプリケーションへの安全なハイブリッド アクセスが可能になります。
f5.com のリソースにアクセスして、ホワイト ペーパー「Microsoft Entra ID 経由ですべてのアプリケーションへの安全なアクセスを簡単に構成する」をお読みください
前提条件
開始するには、以下が必要です。
- Azure サブスクリプション
- お持ちでない場合は、Azure 無料アカウントを取得してください。
- Azure サブスクリプションにリンクされている Azure AD B2C テナント
- Azure 上の BIG-IP、またはデプロイされた試用版の BIG-IP 仮想環境 (VE)
- 「F5 BIG-IP Virtual Edition VM を Azure にデプロイする」を参照してください
- 次のいずれかの F5 BIG-IP ライセンス:
- F5 BIG-IP® Best バンドル
- F5 BIG-IP Access Policy Manager™ スタンドアロン ライセンス
- BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) に対する F5 BIG-IP Access Policy Manager™ アドオン ライセンス
- 90 日間の BIG-IP 全機能試用版ライセンス
- ヘッダー ベースの Web アプリケーション、またはテスト用の IIS アプリ
- 「IIS アプリを設定する」を参照してください
- HTTPS 経由でサービスを公開するための SSL 証明書、あるいはテスト時は既定値を使用
- 「SSL プロファイル」を参照してください
シナリオの説明
次のシナリオはヘッダーベースですが、これらの方法を使用して Kerberos SSO を実現することができます。
このシナリオでは、内部アプリケーションに対するアクセスが、レガシ ブローカー システムからの HTTP 承認ヘッダーの受け取りに依存しています。 販売エージェントを、それぞれのコンテンツの領域に誘導することができます。 このサービスは、より広いコンシューマー ベースに拡大する必要があります。 アプリケーションは、コンシューマー認証オプション用にアップグレードされるか、あるいは交換されます。
アプリケーションのアップグレードでは、最新のコントロール プレーンによる直接管理とガバナンスをサポートすることが理想的です。 ただし、最新化にかかる時間と労力により、コストと潜在的なダウンタイムが発生します。 代わりに、パブリック インターネットと内部 Azure 仮想ネットワーク (VNet) の間に BIG-IP Virtual Edition (VE) をデプロイして、Azure AD B2C でアクセスをゲートするようにします。 アプリケーションの前にある BIG-IP によって、Azure AD B2C の事前認証とヘッダー ベースの SSO によるサービスのオーバーレイが可能になり、アプリのセキュリティ態勢が強化されます。
安全なハイブリッド アクセス ソリューションは、次のコンポーネントで構成されています。
- アプリケーション - Azure AD B2C と BIG-IP の安全なハイブリッド アクセスによって保護されているバックエンド サービス
- Azure AD B2C - ユーザー資格情報、多要素認証、BIG-IP APM への SSO を検証する ID プロバイダー (IdP) および OpenID Connect (OIDC) 承認サーバー
- BIG-IP - アプリケーションのリバース プロキシ。 BIG-IP APM は OIDC クライアントであり、バックエンド サービスへのヘッダー ベースの SSO の前に、OIDC 承認サーバーに認証を委任します。
次の図は、このシナリオでのサービス プロバイダー (SP) によって開始されるフローを示したものです。
- ユーザーがアプリケーション エンドポイントに接続します。 BIG-IP はサービス プロバイダーです。
- ユーザーは、BIG-IP APM OIDC クライアントによって、OIDC 承認サーバーである Azure AD B2C テナント エンドポイントにリダイレクトされます
- ユーザーは Azure AD B2C テナントによって事前認証され、条件付きアクセス ポリシーが適用されます
- ユーザーは、Azure AD B2C によって承認コードと共に SP にリダイレクトされて戻されます
- OIDC クライアントにより、承認サーバーに、認証コードと ID トークンの交換が要求されます
- BIG-IP APM によってユーザー アクセスが許可され、アプリケーションに転送されるクライアント要求に HTTP ヘッダーが挿入されます
Azure AD B2C の構成
Azure AD B2C の認証で BIG-IP を有効にするには、ユーザー フローまたはカスタム ポリシーで Azure AD B2C テナントを使用します。
「チュートリアル: Azure AD B2C でユーザー フローとカスタム ポリシーを作成する」を参照
カスタム属性を作成する
Azure AD B2C ユーザー オブジェクト、フェデレーション IdP、API コネクタ、またはユーザー サインアップからカスタム属性を取得します。 アプリケーションに渡されるトークンに属性を含めます。
レガシ アプリケーションは特定の属性を想定しているので、ユーザー フローに含めてください。 それらは、アプリケーションで必要な属性に置き換えることができます。 あるいは、手順に従ってテスト アプリをセットアップするのであれば、任意のヘッダーを使用します。
- Azure portal にグローバル管理者としてサインインします。
- 左側のペインで、[ユーザー属性] を選択します。
- [追加] を選択して、2 つのカスタム属性を作成します。
- [エージェント ID] で、文字列 [データ型] を選択します。
- [エージェント GEO] で、文字列 [データ型] を選択します。
属性をユーザー フローに追加する
- 左側のメニューで、[ポリシー]>[ユーザー フロー] に移動します。
- ポリシー (B2C_1_SignupSignin など) を選択します。
- [ユーザー属性] を選択します。
- 両方のカスタム属性を追加します。
- [表示名] 属性を追加します。 これらの属性は、ユーザーのサインアップ時に収集されます。
- [アプリケーション クレーム] を選択します。
- 両方のカスタム属性を追加します。
- [表示名] を追加します。 これらの属性は BIG-IP に移動します。
- [ユーザー フローを実行します] を選択します。
- 左のナビゲーションバーにあるユーザーフローメニューで、定義されている属性に関するプロンプトを確認します。
詳細情報: チュートリアル: Azure AD B2C でユーザー フローとカスタム ポリシーを作成する
Azure AD B2C のフェデレーション
相互信頼性を高めるために BIG-IP と Azure AD B2C をフェデレーションします。 AZURE AD B2C テナントに BIG-IP を OIDC アプリケーションとして登録します。
- portal で [アプリの登録]>[新規登録] の順に選択します。
- アプリの名前 (HeaderApp1 など) を入力します。
- [サポートされているアカウントの種類] で、 [Accounts in any identity provider or organizational directory (for authenticating users with user flows)]((ユーザー フローを使用してユーザーを認証するための) 任意の ID プロバイダーまたは組織のディレクトリのアカウント) を選択します。
- [リダイレクト URI] で [Web] を選択します。
- 「protected service public FQDN」と入力します。
- パスを入力します。
- 残りの選択項目は残しておきます。
- [登録] を選択します。
- [証明書とシークレット]>[+ 新しいクライアント シークレット] に移動します。&
- わかりやすい名前を入力します
- BIG-IP によって使用されるシークレットの TTL を指定します。
- クライアント シークレットを BIG-IP 構成のためにメモしておきます。
リダイレクト URI は BIG-IP エンドポイントです。 認証後、承認サーバー (Azure AD B2C) はエンドポイントにユーザーを送信します。
詳細については、Azure AD B2C の「チュートリアル: Azure AD B2C に Web アプリケーションを登録する」を参照してください。
BIG-IP の構成
BIG-IP 構成の場合は、ガイド付き構成 v.7/8 を使用します。 ワークフロー フレームワークは、アクセス トポロジに合わせて調整されており、迅速な Web サービス公開を実現します。
ガイド付き構成のバージョン
- バージョンを確認するには、BIG-IP Web 構成に管理者アカウントでサインインします。
- [アクセス]>[ガイド付き構成] へ進みます。
- バージョンは右上隅に表示されます。
ガイド付き構成をアップグレードするには、my.f5.com で「K85454683: BIG-IP システムで F5 BIG-IP ガイド付き構成をアップグレードする」を参照してください。
SSL プロファイル
クライアント SSL プロファイルで構成された BIG-IP を使用して、TLS 上のクライアント側トラフィックをセキュリティ保護します。 アプリの公開 URL で使用されるドメイン名と一致する証明書をインポートします。 公開証明機関を使用することをお勧めしますが、BIG-IP 自己署名証明書をテストに使用することができます。
BIG-IP VE に証明書を追加して管理するには、techdocs.f5.com で「BIG-IP システム: SSL 管理」を参照してください。
ガイド付き構成
- デプロイ ウィザードを起動するには、Web 構成で、[アクセス]>[ガイド付き構成] に移動します。
- [フェデレーション]>[OAuth クライアントおよびリソース サーバーとして F5] を選択します。
- このシナリオのフローのフロー サマリーをご覧ください。
- [次へ] を選択します。
- ウィザードは起動します。
OAuth のプロパティ
次のセクションでは、BIG-IP APM と OAuth 承認サーバーである Azure AD B2C テナントとの間のフェデレーションを有効にするためのプロパティを定義します。 OAuth は BIG-IP の構成全体で参照されます。 このソリューションでは、OAuth 2.0 プロトコル上の ID レイヤーである OIDC を使用します。 OIDC クライアントは、ユーザーの身元を確認し、他のプロファイル情報を取得します。
構成名
構成表示名は、ガイド付き構成で展開構成を区別するのに役立ちます。 名前は変更することができず、ガイド付き構成ビューにのみ表示されます。
モード
BIG-IP APM は OIDC クライアントであるため、[クライアント] オプションを選択します。
DNS リゾルバー
指定されたターゲットは、Azure AD B2C エンドポイントのパブリック IP アドレスを解決しなければなりません。 パブリック DNS リゾルバーを選択するか、新しいものを作成します。
プロバイダーの設定
Azure AD B2C を OAuth2 IdP として構成します。 ガイド付き構成には Azure AD B2C テンプレートがありますが、特定のスコープはありません。
新しいプロバイダーを追加して、次のように構成します。
OAuth の全般プロパティ
| Properties | 説明 |
|---|---|
| OAuth プロバイダーの種類 | Custom |
| OAuth プロバイダーを選択します | 新しく作成するか、OAuth プロバイダーを使用します |
| 名前 | B2C IdP の表示名。 この名前は、サインイン時にプロバイダー オプションとしてユーザーに表示されます |
| トークンの種類 | JSON Web トークン |
OAuth ポリシーの設定
| Properties | 説明 |
|---|---|
| Scope | 空白のままにします。 ユーザー サインイン用の OpenID スコープは自動的に追加されます |
| [付与タイプ] | Authorization code (承認コード) |
| Enable OpenID Connect (OpenID Connect を有効にする) | APM OAuth クライアントを OIDC モードにするオプションを選択します |
| フローの種類 | Authorization code (承認コード) |
OAuth プロバイダーの設定
以下の OpenID URI は、OIDC クライアントが署名証明書のロールオーバーといった IdP 情報を検出するために使用するメタデータ エンドポイントを指します。
- Azure AD B2C テナントのメタデータ エンドポイントを見つけます。[アプリの登録]>[エンドポイント] に移動します。
- Azure AD B2C OpenID Connect メタデータ ドキュメント URI をコピーします。 たとえば、
https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configurationのように指定します。 - URI を自分のプロパティで、
https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configurationのように更新します。 - URI をブラウザーに貼り付けます。
- 自分の Azure AD B2C テナントの OIDC メタデータを表示します。
| プロパティ | 説明 |
|---|---|
| 対象ユーザー | Azure AD B2C テナント内の BIG-IP を表すアプリケーション クライアント ID |
| 認証 URI | B2C OIDC メタデータの承認エンドポイント |
| トークン URI | Azure AD B2C メタデータ内のトークン エンドポイント |
| Userinfo request URI (ユーザー情報要求 URI) | 空のままにします。 Azure AD B2C はこの機能をサポートしていません |
| OpenID URI | 作成した OpenID URI メタデータ エンドポイント |
| Ignore expired certificate validation (期限切れの証明書の検証を無視する) | オフのままにします |
| Allow self-signed JWK config certificate (自己署名された JWK 構成証明書を許可する) | ○ |
| Trusted CA bundle (信頼された CA バンドル) | ca-bundle.crt を選択して、F5 の既定の信頼された機関を使用します |
| Discovery interval (検出の間隔) | BIG-IP が Azure AD B2C テナントに更新の問い合わせをする間隔を指定します。 AGC バージョン 16.1 0.0.19 では、最小間隔は 5 分です。 |
OAuth サーバーの設定
OIDC 承認サーバーの場合、自分の Azure AD B2C テナントになります。
| プロパティ | 説明 |
|---|---|
| クライアント ID | Azure AD B2C テナント内の BIG-IP を表すアプリケーション クライアント ID |
| クライアント シークレット | アプリケーション クライアント シークレット |
| Client-server SSL profile (クライアント サーバー SSL プロファイル) | SSL プロファイルを設定して、APM と Azure AD B2C IdP が TLS 経由で通信できるようにします。 既定の serverssl を選択します。 |
OAuth 要求の設定
BIG-IP では、Azure AD B2C で必要な要求が、事前に構成された要求セットに収められています。 ただし、これらの要求の形式が正しくなく、重要なパラメーターがありません。 そのため、手動で作成しました。
トークン要求: 有効
| プロパティ | 説明 |
|---|---|
| Choose OAuth request (OAuth 要求の選択) | 新規作成 |
| HTTP メソッド | POST |
| Enable headers (ヘッダーを有効にする) | オフ |
| Enable parameters (パラメーターを有効にする) | オン |
| パラメーター | パラメーター名 | パラメーター値 |
|---|---|---|
| client_id | client_id | 該当なし |
| nonce | nonce | 該当なし |
| redirect_uri | redirect_uri | 該当なし |
| scope | scope | 該当なし |
| response_type | response_type | 該当なし |
| client_secret | client_secret | 該当なし |
| custom | grant_type | authorization_code |
認証リダイレクト要求: 有効
| プロパティ | 説明 |
|---|---|
| Choose OAuth request (OAuth 要求の選択) | 新規作成 |
| HTTP メソッド | GET |
| プロンプトの種類 | なし |
| Enable headers (ヘッダーを有効にする) | オフ |
| Enable parameters (パラメーターを有効にする) | オン |
| パラメーター | パラメーター名 | パラメーター値 |
|---|---|---|
| client_id | client_id | 該当なし |
| redirect_uri | redirect_uri | 該当なし |
| response_type | response_type | 該当なし |
| scope | scope | 該当なし |
| nonce | nonce | 該当なし |
トークン更新要求: 無効 必要に応じて、有効にして構成できます。
OpenID UserInfo 要求:無効 グローバル Azure AD B2C テナントではサポートされていません。
仮想サーバーのプロパティ
安全なハイブリッド アクセスによって保護されたバックエンド サービスに対する外部クライアントの要求をインターセプトする BIG-IP 仮想サーバーを作成します。 仮想サーバーに、アプリケーションを表す BIG-IP サービス エンドポイントのパブリック DNS レコードにマップされた IP を割り当てます。 使用可能な場合は仮想サーバーを使用し、それ以外の場合は以下のプロパティを指定します。
| プロパティ | 説明 |
|---|---|
| 宛先アドレス | バックエンド アプリケーションの BIG-IP サービス エンドポイントになるプライベートまたはパブリックの IP |
| サービス ポート | HTTPS |
| Enable redirect port (リダイレクト ポートを有効にする) | ユーザーが http から https に自動リダイレクトされるように選択します |
| Redirect port (リダイレクト ポート) | HTTP |
| Client SSL profile (クライアント SSL プロファイル) | 事前に定義されている clientssl プロファイルを、自分の SSL 証明書を持つものと入れ替えます。 既定のプロファイルでテストすることができます。 しかし、ブラウザのアラートが発生する可能性が高いです。 |
プールのプロパティ
バックエンド サービスがプールとして BIG-IP に表示され、1 つまたは複数のアプリケーション サーバーがあり、そこに仮想サーバーが受信トラフィックを誘導します。 プールを選択するか、新しく作成します。
| プロパティ | 説明 |
|---|---|
| 負荷分散方法 | ラウンド ロビンを選択する |
| Pool server (プール サーバー) | バックエンド アプリケーションの内部 IP |
| Port | バックエンド アプリケーションのサービス ポート |
注意
BIG-IP はプール サーバー アドレスに対して見通しが効くことを確認します。
SSO 設定
BIG-IP では SSO オプションがサポートされていますが、OAuth クライアント モードでは、ガイド付き構成は Kerberos または HTTP ヘッダーに制限されます。 SSO を有効にし、次の情報を使用して、APM で定義されたインバウンド属性がアウトバウンド ヘッダーにマップされるようにします。
| プロパティ | 説明 |
|---|---|
| ヘッダー操作 | 挿入 |
| ヘッダー名 | name |
| ヘッダー値 | %{session.oauth.client.last.id_token.name} |
| ヘッダー操作 | 挿入 |
| ヘッダー名 | agentid |
| ヘッダー値 | %{session.oauth.client.last.id_token.extension_AgentGeo} |
Note
中かっこ内の APM セッション変数では、大文字と小文字が区別されます。 Azure AD B2C の属性名が AgentID として送信されているときに agentid と入力すると、属性マッピング エラーが発生します。 属性を小文字で定義してください。 Azure AD B2C では、ユーザー フローによってユーザーは、ポータルの属性名を使用して、より多くの属性を入力するよう求められます。 そのため、小文字ではなく、文頭だけを大文字にする表記を使用します。
カスタマイズのプロパティ
APM アクセス ポリシー フローで、ユーザーが見る画面の言語と外観をカスタマイズします。 画面のメッセージとプロンプトを編集し、画面のレイアウト、色、画像を変更し、キャプション、説明、メッセージのローカライズを行います。
[フォーム ヘッダー] テキスト フィールドで、F5 Networks 文字列を好きな名前に置き換えます。
セッション管理のプロパティ
BIG-IP セッション管理設定を使用して、セッションを終了させる条件、または継続させる条件を定義します。 ユーザーと IP アドレス、およびエラー ページの制限を設定します。 セッションを安全に終了させ、不正アクセスのリスクを軽減するシングル ログアウト (SLO) を実装することをお勧めします。
デプロイの設定
[デプロイ] を選択して設定をコミットし、アプリケーションへの安全なハイブリッド アクセスのための BIG-IP と APM のオブジェクトを作成します。 アプリケーションは、条件付きアクセスのターゲット リソースとして表示されます。 セキュリティを向上させるには、アプリケーションへの直接アクセスをブロックして、BIG-IP を介したパスを強制します。
詳細情報: Azure AD B2C の Identity Protection と条件付きアクセス
サインイン/サインアップ フローをテストする
- ユーザーとして、アプリケーションの外部 URL に移動します。
- BIG-IP の OAuth クライアント サインイン ページが表示されます。
- 承認コード許可を使用してサインインします。 この手順を削除するには、「追加の構成」のセクションを参照してください。
- Azure AD B2C テナントに対してサインアップし、認証を行います。
次の画像は、ユーザー のサインイン ダイアログとサインインのウェルカム ページです。
セキュリティを向上させるには、アプリケーションへの直接アクセスをブロックして、BIG-IP を介したパスを強制します。
追加の構成
シングル ログアウト (SLO)
Azure AD B2C では、ID プロバイダー (IdP) とアプリケーションのサインアウトがサポートされています。「シングル サインアウト」を参照してください。
SLO を実現するには、アプリケーションのサインアウト関数が Azure AD B2C サインアウト エンドポイントを呼び出すようにします。 そして、Azure AD B2C によって BIG-IP への最終的なリダイレクトが発せられます。 このアクションにより、ユーザーとアプリケーションの APM セッションが終了します。
別の SLO プロセスとして、アプリケーションの [サインアウト] ボタンを選択するときに、BIG-IP が要求をリッスンできるようにすることもできます。 要求を検出すると、Azure AD B2C サインアウト エンドポイントが呼び出されます。 この方法では、アプリケーションに変更を加えることはできません。
BIG-IP iRules の詳細については、support.f5.com に移動して「K42052145: URI 参照ファイル名に基づく自動セッション終了 (ログアウト) の構成」を参照してください。
注意
いずれの方法でも、Azure AD B2C テナントが APM サインアウト エンドポイントを把握していることを確認します。
- ポータルで、[管理]>[マニフェスト] に移動します。
-
logoutUrlプロパティを見つけます。 null と読みます。 - APM のログアウト後 URI:
https://<mysite.com>/my.logout.php3を追加します
注意
<mysite.com> は、自分のヘッダー ベース アプリケーションの BIG-IP の FQDN です。
最適化されたログイン フロー
ユーザーのサインイン エクスペリエンスを向上させるために、Microsoft Entra の事前認証の前に表示される OAuth ユーザー サインインのプロンプトを抑制します。
[アクセス]>[ガイド付き構成] に移動します。
行の右端で、南京錠アイコンを選択します。
ヘッダー ベースのアプリケーションは、厳密な構成を解除します。
![[状態]、[名前]、[種類] の入力のスクリーンショット。南京錠アイコンも表示されます。](media/partner-f5/optimized-login-flow.png)
厳密な構成を解除することで、ウィザード UI での変更を防ぐことができます。 BIG-IP オブジェクトは、アプリケーションの公開されたインスタンスに関連付けられており、直接管理できるよう開かれています。
[アクセス]>[プロファイル/ポリシー]>[アクセス プロファイル (セッション単位のポリシー] に移動します。
アプリケーション ポリシー オブジェクトの [セッション単位のポリシー] 列で、[編集] を選択します。
![[アクセス ポリシー] の [アクセス] ダイアログの [編集] オプションのスクリーンショット。](media/partner-f5/access-profile.png)
OAuth ログオン ページ ポリシー オブジェクトを削除するには、[X] を選択します。
プロンプトで、前のノードに接続します。
![OAuth ログオン ページ ポリシー オブジェクトの [X] オプションのスクリーンショット。](media/partner-f5/oauth-logon.png)
左上隅にある [アクセス ポリシーの適用] を選択します。
ビジュアル エディター タブを閉じます。
アプリケーションに接続しようとすると、Azure AD B2C のサインイン ページが表示されます。
注意
厳密モードを再度有効にして構成をデプロイすると、ガイド付き構成 UI 以外で行われた設定が上書きされます。 このシナリオは、運用サービスの構成オブジェクトを手動で作成することで実装します。
トラブルシューティング
保護されたアプリケーションにアクセスできない場合は、次のトラブルシューティング ガイダンスを使用してください。
ログの冗長性
BIG-IP ログには、認証や SSO の問題を切り分けるための情報があります。 ログの冗長レベルを上げます。
- [Access Policy](アクセス ポリシー)>[Overview](概要)>[Event Logs](イベント ログ)>[Settings](設定) に移動します。
- 発行されたアプリケーションの行を選択し、[Edit](編集)>[Access System Logs](システム ログへのアクセス) を選択します。
- SSO の一覧で、[デバッグ] を選択します。
- [OK] を選択します。
- ログを確認する前に、問題を再現してください。
完了したら、前の設定を元に戻します。
BIG-IP のエラー メッセージ
Azure AD B2C の認証後に BIG-IP のエラー メッセージが表示される場合は、Microsoft Entra ID から BIG-IP への SSO に関連する問題が発生している可能性があります。
- [Access](アクセス)>[Overview](概要)>[Access reports](アクセス レポート) に移動します。
- 直近 1 時間のレポートを実行して
- ログにヒントがないか確認します。
- [セッション変数の表示] リンクを選択します。
- 予想される Microsoft Entra のクレームを APM が受け取っているかどうかを判断します。
BIG-IP エラー メッセージなし
BIG-IP のエラー メッセージが表示されない場合は、問題は、バックエンド要求や、BIG-IP からアプリケーションへの SSO に関係していることが考えられます。
- [Access Policy](アクセス ポリシー)>[Overview](概要)>[Active Sessions](アクティブ セッション) に移動します。
- アクティブなセッションのリンクを選択します。
- [変数の表示] リンクを選択します。
- 特に BIG-IP APM が不正確なセッション属性を取得している場合は、根本原因を見つけてください。
- アプリケーション ログを使用すると、属性をヘッダーとして受け取ったかどうかを把握するのに役立ちます。
ガイド付き構成 v8 の既知の問題
ガイド付き構成 v8 を使用している場合は、既知の問題により、Azure AD B2C の認証が成功した後で次のような BIG-IP エラーが発生します。 問題は、AGC がデプロイ時に自動 JWT の設定を有効にしていないことかもしれません。 APM は、現在のトークン署名キーを取得できません。 F5 エンジニアリングが根本原因を調査しています。
同じアクセス ログで詳細を確認できます。
設定を手動で有効にする
- [アクセス]>[ガイド付き構成] に移動します。
- ヘッダー ベース アプリケーションの行の右端で、 南京錠を選択します。
- [アクセス]>[フェデレーション]>[OAuth クライアント/リソース サーバー]>[プロバイダー] に移動します。
- Azure AD B2C 構成のプロバイダーを選択します。
- [自動 JWT を使用する] ボックスをオンにします。
- [発見] を選択します。
- [保存] を選択します。
- [キー] (JWT) フィールドには、OpenID URI メタデータから得られるトークン署名証明書キー ID (KID) があります。
- 左上隅にある [アクセス ポリシーの適用] を選択します。
- [適用] を選択します。
詳細については、techdocs.f5.com に移動して「OAuth クライアントとリソース サーバーのトラブルシューティングのヒント」を参照してください