다음을 통해 공유


자습서: Azure Active Directory B2C 및 F5 BIG-IP를 사용하여 애플리케이션에 대한 보안 하이브리드 액세스 사용

Azure AD B2C(Azure Active Directory B2C)를 F5 BIG-IP APM(Access Policy Manager)과 통합하는 방법을 알아봅니다. Azure AD B2C 사전 인증, CA(조건부 액세스) 및 SSO(Single Sign-On)와 함께 BIG-IP 보안을 통해 레거시 애플리케이션을 안전하게 인터넷에 노출할 수 있습니다. F5 Inc.는 컴퓨팅, 스토리지 및 네트워크 리소스를 포함하여 연결된 서비스의 제공, 보안, 성능 및 가용성에 중점을 둡니다. 하드웨어, 모듈화된 소프트웨어 및 클라우드 지원 가상 어플라이언스 솔루션을 제공합니다.

F5 BIG-IP ADC(Application Delivery Controller)를 프라이빗 네트워크와 인터넷 사이의 보안 게이트웨이로 배포됩니다. 애플리케이션 수준 검사 및 사용자 지정 가능한 액세스 제어에 대한 기능이 있습니다. 역방향 프록시로 배포되는 경우 BIG-IP를 사용하여 APM이 관리하는 페더레이션 ID 액세스 레이어를 사용하여 비즈니스 애플리케이션에 대한 보안 하이브리드 액세스를 사용하도록 설정합니다.

f5.com 리소스 및 백서로 이동: Microsoft Entra ID를 통해 모든 애플리케이션에 대한 보안 액세스 쉽게 구성

필수 조건

시작하려면 다음이 필요합니다.

  • Azure 구독
  • Azure 구독에 연결된 Azure AD B2C 테넌트
  • BIG-IP 또는 Azure에서 배포된 평가판 BIG-IP VE(가상 환경)
  • 다음 F5 BIG-IP 라이선스 중 하나:
    • F5 BIG-IP® Best 번들
    • F5 BIG-IP APM(Access Policy Manager™) 독립 실행형 라이선스
    • BIG-IP F5 BIG-IP® LTM(Local Traffic Manager)™에 대한 F5 BIG-IP Access Policy Manager™ 추가 기능 라이선스
    • BIG-IP 전체 기능 90일 평가판 라이선스
  • 기존 헤더 기반 웹 애플리케이션 또는 테스트를 위한 IIS 앱
  • HTTPS를 통해 서비스를 게시하기 위한 SSL 인증서 또는 테스트하는 동안 기본값 사용

시나리오 설명

다음 시나리오는 헤더 기반이지만 이러한 메서드를 사용하여 Kerberos SSO를 구현할 수 있습니다.

이 시나리오에서 내부 애플리케이션에 대한 액세스는 레거시 broker 시스템에서 HTTP 인증 헤더 수신에 따라 달라집니다. Sales 에이전트는 각 콘텐츠 영역으로 전달될 수 있습니다. 서비스를 더 광범위한 소비자층으로 확장해야 합니다. 애플리케이션이 소비자 인증 옵션에 대해 업그레이드되거나 대체됩니다.

이상적으로 애플리케이션 업그레이드는 최신 컨트롤 플레인을 사용하여 직접 관리 및 거버넌스를 지원합니다. 그러나 현대화를 위한 시간과 노력에는 비용과 잠재적 가동 중지 시간이 발생합니다. 대신 공용 인터넷과 내부 Azure VNet(가상 네트워크) 간에 BIG-IP VE(Virtual Edition)를 배포하여 Azure AD B2C를 사용하여 액세스를 제어합니다. 애플리케이션 앞에 BIG-IP가 있으면 Azure AD B2C 사전 인증 및 헤더 기반 SSO로 서비스를 오버레이하여 앱 보안 태세를 개선할 수 있습니다.

SHA(보안 하이브리드 액세스) 솔루션은 다음 요소로 구성됩니다.

  • 애플리케이션 - Azure AD B2C 및 BIG-IP 보안 하이브리드 액세스로 보호되는 백 엔드 서비스
  • Azure AD B2C - BIG-IP APM에 대한 사용자 자격 증명, MFA(다단계 인증) 및 SSO를 확인하는 IdP 및 OIDC(OpenID Connect) 권한 부여 서버
  • BIG-IP - 애플리케이션에 대한 역방향 프록시입니다. BIG-IP APM은 OIDC 클라이언트로, 백 엔드 서비스에 대한 헤더 기반 SSO를 수행하기 전에 OIDC 권한 부여 서버에 인증을 위임합니다.

다음 다이어그램은 이 시나리오에 대한 SP(서비스 공급자) 시작 흐름을 보여 줍니다.

Screenshot of the service-provider initiated flow.

  1. 사용자가 애플리케이션 엔드포인트에 연결합니다. BIG-IP는 서비스 공급자입니다.
  2. BIG-IP APM OIDC 클라이언트는 사용자를 Azure AD B2C 테넌트 엔드포인트인 OIDC 권한 부여 서버로 리디렉션합니다.
  3. Azure AD B2C 테넌트는 사용자를 사전 인증하고 조건부 액세스 정책을 적용합니다.
  4. Azure AD B2C는 인증 코드를 사용하여 사용자를 SP로 다시 리디렉션합니다.
  5. OIDC 클라이언트는 권한 부여 서버에 인증 코드를 ID 토큰으로 교환하도록 요청합니다.
  6. BIG-IP APM은 사용자 액세스 권한을 부여하고 애플리케이션에 전달된 클라이언트 요청에 HTTP 헤더를 삽입합니다.

Azure AD B2C 구성 업데이트

Azure AD B2C 인증으로 BIG-IP를 사용하도록 설정하려면 사용자 흐름 또는 사용자 지정 정책이 있는 Azure AD B2C 테넌트를 사용합니다.

자습서: Azure AD B2C에서 사용자 흐름 및 사용자 지정 정책 만들기를 참조하세요.

사용자 지정 특성 만들기

Azure AD B2C 사용자 개체, 페더레이션 IdP, API 커넥터 또는 사용자 등록에서 사용자 지정 특성을 얻습니다. 애플리케이션으로 가는 토큰에 특성을 포함합니다.

레거시 애플리케이션에는 특정 특성이 필요하므로 사용자 흐름에 이러한 특성을 포함합니다. 이러한 특성을 사용 중인 애플리케이션에 필요한 특성으로 바꿀 수 있습니다. 또는 지침을 사용하여 테스트 앱을 설정하는 경우 헤더를 사용합니다.

  1. 전역 관리자 권한으로 Azure Portal에 로그인합니다.
  2. 왼쪽 창에서 사용자 특성을 선택합니다.
  3. 추가를 선택하여 두 개의 사용자 지정 특성을 만듭니다.
  4. 에이전트 ID에 대해 문자열 데이터 형식을 선택합니다.
  5. 에이전트 지역에 대해 문자열 데이터 형식을 선택합니다.

사용자 흐름에 특성 추가

  1. 왼쪽 메뉴에서 정책>사용자 흐름으로 이동합니다.
  2. 정책을 선택합니다(예: B2C_1_SignupSignin).
  3. 사용자 특성을 선택합니다.
  4. 두 사용자 지정 특성을 모두 추가합니다.
  5. 표시 이름 특성을 추가합니다. 이러한 특성은 사용자 등록 중 수집됩니다.
  6. 애플리케이션 클레임을 선택합니다.
  7. 두 사용자 지정 특성을 모두 추가합니다.
  8. 표시 이름을 추가합니다. 이러한 특성은 BIG-IP로 이동합니다.
  9. 사용자 흐름 실행을 선택합니다.
  10. 왼쪽 탐색 모음의 사용자 흐름 메뉴에서 정의된 특성에 대한 프롬프트를 확인합니다.

자세한 정보: 자습서: Azure AD B2C에서 사용자 흐름 및 사용자 지정 정책 만들기

Azure AD B2C 페더레이션

상호 신뢰를 위해 BIG-IP와 Azure AD B2C를 페더레이션합니다. Azure AD B2C 테넌트에서 BIG-IP를 OIDC 애플리케이션으로 등록합니다.

  1. 포털에서 앱 등록>새 등록을 선택합니다.
  2. 이름을 입력합니다(예: HeaderApp1).
  3. 지원되는 계정 유형 아래에서 모든 ID 공급자 또는 조직 디렉터리의 계정(사용자 흐름에서 사용자를 인증하는 용도) 을 선택합니다.
  4. 리디렉션 URI 아래에서 을 선택합니다.
  5. 보호된 서비스 공용 FQDN을 입력합니다.
  6. 경로를 입력합니다.
  7. 나머지 선택 항목은 그대로 둡니다.
  8. 등록을 선택합니다.
  9. 인증서 및 비밀>+ 새 클라이언트 암호로 이동합니다.
  10. 설명이 포함된 이름을 입력합니다.
  11. BIG-IP에서 사용된 비밀에 대한 TTL을 입력합니다.
  12. BIG-IP 구성에 대한 클라이언트 암호를 기록합니다.

리디렉션 URI는 BIG-IP 엔드포인트입니다. 인증 후 권한 부여 서버(Azure AD B2C)는 사용자를 엔드포인트로 보냅니다.

자세한 정보: Azure AD B2C의 경우 자습서: Azure AD B2C에서 웹 애플리케이션 등록.

BIG-IP 구성

BIG-IP 구성의 경우 단계별 구성 v.7/8을 사용합니다. 워크플로 프레임워크는 액세스 토폴로지에 맞게 조정되고 빠른 웹 서비스 게시를 수행합니다.

단계별 구성 버전

  1. 버전을 확인하려면 관리자 계정으로 BIG-IP 웹 구성에 로그인합니다.
  2. 액세스>단계별 구성으로 이동합니다.
  3. 오른쪽 모서리에 버전이 나타납니다.

단계별 구성을 업그레이드하려면 my.f5.com으로 이동하여 K85454683: BIG-IP 시스템에서 F5 BIG-IP 단계별 구성 업그레이드를 참조하세요.

SSL 프로필

클라이언트 SSL 프로필로 구성된 BIG-IP를 사용하여 TLS를 통한 클라이언트측 트래픽을 보안합니다. 앱의 공용 URL에서 사용하는 도메인 이름과 일치하는 인증서를 가져옵니다. 공용 인증 기관을 사용하는 것이 좋지만 테스트하는 경우 BIG-IP 자체 서명된 인증서를 사용할 수 있습니다.

BIG-IP VE에서 인증서를 추가하고 관리하려면 techdocs.f5.com으로 이동하여 BIG-IP 시스템: SSL 관리를 참조하세요.

단계별 구성

  1. 배포 마법사를 시작하려면 웹 구성에서 액세스>단계별 구성으로 이동합니다.
  2. 페더레이션>OAuth 클라이언트 및 리소스 서버로서의 F5를 선택합니다.
  3. 이 시나리오에 대한 흐름 요약을 관찰합니다.
  4. 다음을 선택합니다.
  5. 마법사가 시작됩니다.

OAuth 속성

다음 섹션에서는 BIG-IP APM과 OAuth 권한 부여 서버, Azure AD B2C 테넌트 간의 페더레이션을 사용하도록 속성을 정의합니다. OAuth는 BIG-IP 구성 전체에서 참조됩니다. 솔루션은 OAuth 2.0 프로토콜의 ID 계층인 OIDC를 사용합니다. OIDC 클라이언트는 사용자 ID를 확인하고 다른 프로필 정보를 얻습니다.

구성 이름

구성 표시 이름은 단계별 구성의 배포 구성을 구분하는 데 도움이 됩니다. 이름을 변경할 수 없으며 이름은 단계별 구성 보기에만 나타납니다.

모드

BIG-IP APM은 OIDC 클라이언트이므로, 클라이언트 옵션을 선택합니다.

DNS 확인자

지정된 대상은 Azure AD B2C 엔드포인트의 공용 IP 주소를 확인해야 합니다. 공용 DNS 확인자를 선택하거나 새로 만듭니다.

공급자 설정

Azure AD B2C를 OAuth2 IdP로 구성합니다. 단계별 구성에는 Azure AD B2C 템플릿이 있지만 특정 범위는 없습니다.

새 공급자를 추가하고 다음과 같이 구성합니다.

OAuth 일반 속성

속성 설명
OAuth 공급자 유형 사용자 지정
OAuth 공급자 선택 새로 만들거나 OAuth 공급자 사용
이름 B2C IdP의 표시 이름. 이 이름은 사용자에게 로그인 시 공급자 옵션으로 표시됨
토큰 형식 JSON Web Token

OAuth 정책 설정

속성 설명
범위 비워 둡니다. 사용자 로그인에 대한 OpenID 범위가 자동으로 추가됨
권한 부여 유형 인증 코드
OpenID Connect 사용 APM OAuth 클라이언트를 OIDC 모드로 설정할 옵션 선택
흐름 유형 인증 코드

OAuth 공급자 설정

다음 OpenID URI는 OIDC 클라이언트에서 서명 인증서 롤오버와 같은 IdP 정보를 검색하기 위해 사용하는 메타데이터 엔드포인트를 나타냅니다.

  1. Azure AD B2C 테넌트에 대한 메타데이터 엔드포인트를 찾습니다. 앱 등록>엔드포인트로 이동합니다.
  2. Azure AD B2C OpenID Connect 메타데이터 문서 URI를 복사합니다. 예: https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configuration.
  3. 속성, https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configuration으로 URI를 업데이트합니다.
  4. 브라우저에 URI를 붙여넣습니다.
  5. Azure AD B2C 테넌트에 대한 OIDC 메타데이터를 봅니다.
속성 설명
대상 Azure AD B2C 테넌트에서 BIG-IP를 나타내는 애플리케이션 클라이언트 ID
인증 URI B2C OIDC 메타데이터의 권한 부여 엔드포인트
토큰 URI Azure AD B2C 메타데이터의 토큰 엔드포인트
사용자 정보 요청 URI 비워 둡니다. Azure AD B2C는 이 기능을 지원하지 않습니다.
OpenID URI 만든 OpenID URI 메타데이터 엔드포인트
만료된 인증서 유효성 검사 무시 확인되지 않은 상태로 둡니다.
자체 서명된 JWK 구성 인증서 허용 확인
신뢰할 수 있는 CA 번들 기본 F5 신뢰할 수 있는 기관을 사용하려면 ca-bundle.crt를 선택합니다.
검색 간격 BIG-IP가 업데이트를 위해 Azure AD B2C 테넌트를 쿼리할 간격을 제공합니다. AGC 버전 16.1 0.0.19에서 최소 간격은 5분입니다.

OAuth 서버 설정

OIDC 권한 부여 서버의 경우 Azure AD B2C 테넌트입니다.

속성 설명
Client ID Azure AD B2C 테넌트에서 BIG-IP를 나타내는 애플리케이션 클라이언트 ID
클라이언트 암호 애플리케이션 클라이언트 암호
클라이언트-서버 SSL 프로필 SSL 프로필을 설정하여 APM이 TLS를 통해 Azure AD B2C IdP와 통신하도록 합니다. 기본 serverssl을 선택합니다.

OAuth 요청 설정

BIG-IP의 사전 구성된 요청 세트에 필요한 Azure AD B2C 요청이 있습니다. 그러나, 요청의 형식이 잘못되었거나 중요한 매개 변수가 누락되었습니다. 그래서 요청을 수동으로 만들었습니다.

토큰 요청: 사용

속성 설명
OAuth 요청 선택 새로 만들기
HTTP 메서드 게시
헤더 사용 선택 취소
매개 변수 사용 선택
매개 변수 매개 변수 이름 매개 변수 값
client_id client_id 해당 없음
nonce nonce 해당 없음
redirect_uri redirect_uri 해당 없음
scope scope 해당 없음
response_type response_type 해당 없음
client_secret client_secret 해당 없음
custom grant_type authorization_code

인증 리디렉션 요청: 사용

속성 설명
OAuth 요청 선택 새로 만들기
HTTP 메서드 GET
프롬프트 형식 없음
헤더 사용 선택 취소
매개 변수 사용 선택
매개 변수 매개 변수 이름 매개 변수 값
client_id client_id 해당 없음
redirect_uri redirect_uri 해당 없음
response_type response_type 해당 없음
scope scope 해당 없음
nonce nonce 해당 없음

토큰 새로 고침 요청: 사용 안 함 필요에 따라 사용으로 설정하고 구성할 수 있습니다.

OpenID UserInfo 요청: 사용 안 함 전역 Azure AD B2C 테넌트에서 지원되지 않습니다.

가상 서버 속성

보안 하이브리드 액세스로 보호되는 백 엔드 서비스에 대한 외부 클라이언트 요청을 가로채려면 BIG-IP 가상 서버를 만듭니다. 가상 서버에 애플리케이션을 나타내는 BIG-IP 서비스 엔드포인트에 대한 공용 DNS 레코드에 매핑되는 IP를 할당합니다. 사용 가능한 경우 가상 서버를 사용하고, 그렇지 않으면 다음 속성을 제공합니다.

속성 설명
대상 주소 백 엔드 애플리케이션의 BIG-IP 서비스 엔드포인트가 될 개인 또는 공용 IP
서비스 포트 HTTPS
리디렉션 포트 사용 사용자가 http에서 https로 자동 리디렉션되도록 선택
리디렉션 포트 HTTP
클라이언트 SSL 프로필 사전 정의된 clientssl 프로필을 SSL 인증서가 있는 프로필로 바꿉니다. 기본 프로필을 사용하여 테스트할 수 있습니다. 하지만 브라우저 경고가 발생할 수 있습니다.

풀 속성

백 엔드 서비스는 가상 서버가 인바운드 트래픽을 보내는 하나 이상의 애플리케이션 서버를 포함하는 풀로 BIG-IP에 나타납니다. 풀을 선택하고 그렇지 않으면 새 풀을 만듭니다.

속성 설명
부하 분산 메서드 라운드 로빈 선택
풀 서버 백 엔드 애플리케이션의 내부 IP
포트 백 엔드 애플리케이션의 서비스 포트

참고 항목

BIG-IP에 풀 서버 주소에 대한 가시선이 있는지 확인합니다.

SSO 설정

BIG-IP는 SSO 옵션을 지원하지만 OAuth 클라이언트 모드에서 단계별 구성이 Kerberos 또는 HTTP 헤더로 제한됩니다. SSO를 사용하도록 설정하고 다음 정보를 사용하여 APM이 정의한 인바운드 특성을 아웃바운드 헤더에 매핑합니다.

속성 설명
헤더 작업 삽입
헤더 이름 name
헤더 값 %{session.oauth.client.last.id_token.name}
헤더 작업 삽입
헤더 이름 agentid
헤더 값 %{session.oauth.client.last.id_token.extension_AgentGeo}

참고 항목

중괄호 안의 APM 세션 변수는 대/소문자를 구분합니다. Azure AD B2C 특성 이름이 AgentID로 전송될 때 agentid를 입력하면 특성 매핑이 실패합니다. 소문자로 특성을 정의합니다. Azure AD B2C에서 사용자 흐름은 포털의 특성 이름을 사용하여 사용자에게 더 많은 특성을 묻는 메시지를 표시합니다. 따라서 소문자 대신 문장의 첫 글자를 대문자로 사용합니다.

Screenshot of single sign-on settings, including type and headers.

사용자 지정 속성

사용자가 APM 액세스 정책 흐름에서 보는 화면의 언어 및 모양을 사용자 지정합니다. 화면 메시지 및 프롬프트를 편집하고, 화면 레이아웃, 색, 이미지를 변경하고, 캡션, 설명 및 메시지를 현지화합니다.

양식 헤더 텍스트 필드에서 F5 Networks 문자열을 원하는 이름으로 바꿉니다.

세션 관리 속성

BIG-IP 세션 관리 설정을 사용하여 세션을 종료하거나 계속하도록 허용하는 조건을 정의합니다. 사용자 및 IP 주소에 대한 제한과 오류 페이지를 설정합니다. 세션을 안전하게 종료하여 무단 액세스 위험을 줄이는 SLO(단일 로그아웃)를 구현하는 것이 좋습니다.

설정 배포

배포를 선택하여 설정을 커밋하고 애플리케이션에 대한 보안 하이브리드 액세스를 위해 BIG-IP 및 APM 개체를 만듭니다. 애플리케이션이 조건부 액세스의 대상 리소스로 나타납니다. 보안 향상을 위해 애플리케이션에 대한 직접 액세스를 차단하여 BIG-IP를 통한 경로를 강제합니다.

자세한 정보: Azure AD B2C용 ID 보호 및 조건부 액세스

로그인 등록 흐름 테스트

  1. 사용자로 애플리케이션 외부 URL로 이동합니다.
  2. BIG-IP의 OAuth 클라이언트 로그인 페이지가 나타납니다.
  3. 권한 부여 코드 부여를 사용하여 로그인합니다. 이 단계를 제거하려면 추가 구성 섹션을 참조하세요.
  4. Azure AD B2C 테넌트에 등록하고 인증합니다.

다음 이미지는 사용자 로그인 대화 상자와 로그인 시작 페이지입니다.

Screenshot of the user sign-in dialog box.

Screenshot of the sign-in welcome page.

보안 향상을 위해 애플리케이션에 대한 직접 액세스를 차단하여 BIG-IP를 통한 경로를 강제합니다.

추가 구성

SLO(단일 로그아웃)

Azure AD B2C는 IdP(ID 공급자) 및 애플리케이션 로그아웃을 지원합니다. Single Sign-Out을 참조하세요.

SLO를 달성하려면 애플리케이션 로그아웃 기능을 사용하도록 설정하여 Azure AD B2C 로그아웃 엔드포인트를 호출합니다. 그러면 Azure AD B2C가 BIG-IP로 최종 리디렉션을 실행합니다. 이 작업을 수행하면 사용자 애플리케이션 APM 세션이 종료됩니다.

다른 SLO 프로세스는 애플리케이션 로그아웃 단추를 선택할 때 BIG-IP가 요청을 수신 대기할 수 있도록 하는 것입니다. 요청을 감지하면 Azure AD B2C 로그아웃 엔드포인트를 호출합니다. 이 접근방식에서는 애플리케이션을 변경하지 못합니다.

BIG-IP iRules에 대해 자세히 알아보려면 support.f5.com으로 이동하여 K42052145: URI 참조 파일 이름을 기반으로 자동 세션 종료(로그아웃) 구성을 참조하세요.

참고 항목

접근 방식에 관계없이 Azure AD B2C 테넌트가 APM 로그아웃 엔드포인트를 알고 있는지 확인합니다.

  1. 포털에서 관리>매니페스트로 이동합니다.
  2. logoutUrl 속성을 찾습니다. null을 읽습니다.
  3. APM 로그아웃 후 URI를 추가합니다. https://<mysite.com>/my.logout.php3

참고 항목

<mysite.com>은 헤더 기반 애플리케이션의 BIG-IP FQDN입니다.

최적화된 로그인 흐름

사용자 로그인 환경을 개선하려면 Microsoft Entra 사전 인증 전에 나타나는 OAuth 사용자 로그인 프롬프트를 억제합니다.

  1. 액세스>단계별 구성으로 이동합니다.

  2. 행의 맨 오른쪽에서 자물쇠 아이콘을 선택합니다.

  3. 헤더 기반 애플리케이션은 strict 구성의 잠금을 해제합니다.

    Screenshot of input for Status, Name, and Type; also the padlock icon.

strict 구성의 잠금을 해제하면 마법사 UI를 통해 변경하지 못합니다. BIG-IP 개체는 애플리케이션의 게시된 인스턴스와 연결되며 직접 관리를 위해 열려 있습니다.

  1. 액세스>Profiles/ Policies>액세스 프로필(세션별 정책)로 이동합니다.

  2. 애플리케이션 정책 개체의 경우 세션별 정책 열에서 편집을 선택합니다.

    Screenshot of the Edit option under Access Policies, on the Access dialog.

  3. OAuth 로그온 페이지 정책 개체를 삭제하려면 X를 선택합니다.

  4. 프롬프트에서 이전 노드에 연결합니다.

    Screenshot of the X option on the OAuth Logon Page policy object.

  5. 왼쪽 위 모서리에서 액세스 정책 적용을 선택합니다.

  6. 시각적 개체 편집기 탭을 닫습니다.

애플리케이션에 연결하려고 하면 Azure AD B2C 로그인 페이지가 나타납니다.

참고 항목

strict 모드를 다시 사용하도록 설정하고 구성을 배포하는 경우 단계별 구성 UI 외부에서 수행되는 설정을 덮어씁니다. 프로덕션 서비스에 대한 구성 개체를 수동으로 만들어 이 시나리오를 구현합니다.

문제 해결

보호된 애플리케이션에 대한 액세스가 금지된 경우 다음 문제 해결 지침을 사용합니다.

로그 세부 정보 표시

BIG-IP 로그에는 인증 및 SSO 문제를 격리하는 정보가 있습니다. 로그 상세 수준을 높입니다.

  1. 액세스 정책>개요>이벤트 로그>설정으로 이동합니다.
  2. 게시된 애플리케이션의 행을 선택한 다음 편집>시스템 로그 액세스를 선택합니다.
  3. SSO 목록에서 디버그를 선택합니다.
  4. 확인을 선택합니다.
  5. 로그를 검토하기 전에 문제를 재현합니다.

완료되면 이전 설정을 되돌립니다.

BIG-IP 오류 메시지

Azure AD B2C 인증 후에 BIG-IP 오류 메시지가 나타나는 경우 이 문제는 Microsoft Entra ID에서 BIG-IP로의 SSO와 관련될 수 있습니다.

  1. 액세스>개요>액세스 보고서로 이동합니다.
  2. 지난 1시간 동안 보고서를 실행합니다.
  3. 로그에 단서가 있는지 검토합니다.
  4. 세션 변수 보기 링크를 선택합니다.
  5. APM이 예상된 Microsoft Entra 클레임을 수신하는지 확인합니다.

BIG-IP 오류 메시지 없음

BIG-IP 오류 메시지가 나타나지 않으면 이 문제는 백 엔드 요청 또는 BIG-IP에서 애플리케이션으로의 SSO와 관련 있을 수 있습니다.

  1. 액세스 정책>개요>활성 세션으로 이동합니다.
  2. 활성 세션에 대한 링크를 선택합니다.
  3. 변수 보기 링크를 선택합니다.
  4. 특히 BIG-IP APM이 부정확한 세션 특성을 가져오는 경우 살펴보고 근본 원인을 확인합니다.
  5. 애플리케이션 로그를 사용하여 특성을 헤더로 받았는지 파악할 수 있습니다.

단계별 구성 v8 알려진 문제

단계별 구성 v8을 사용하는 경우 Azure AD B2C 인증에 성공한 후 다음 BIG-IP 오류를 생성하는 알려진 문제가 있습니다. AGC가 배포 중에 자동 JWT 설정을 사용하도록 설정하지 않는 것이 문제일 수 있습니다. APM은 현재 토큰 서명 키를 얻을 수 없습니다. F5 엔지니어링에서 근본 원인을 조사하고 있습니다.

Screenshot of the access-denied error message.

동일한 액세스 로그가 세부 정보를 제공합니다.

Screenshot of Log Message details.

수동으로 설정을 사용하도록 설정

  1. 액세스>단계별 구성으로 이동합니다.
  2. 헤더 기반 애플리케이션에 대한 행의 맨 오른쪽에 있는 자물쇠를 선택합니다.
  3. 액세스>페더레이션>OAuth 클라이언트/리소스 서버>공급자로 이동합니다.
  4. Azure AD B2C 구성에 대한 공급자를 선택합니다.
  5. 자동 JWT 사용 상자를 선택합니다.
  6. 검색을 선택합니다.
  7. 저장을 선택합니다.
  8. (JWT) 필드에는 OpenID URI 메타데이터의 토큰 서명 인증서 KID(키 ID)가 있습니다.
  9. 왼쪽 위 모서리에서 액세스 정책 적용을 선택합니다.
  10. 적용을 선택합니다.

자세한 내용은 techdocs.f5.com으로 이동하여 OAuth 클라이언트 및 리소스 서버 문제 해결 팁을 참조하세요.