다음을 통해 공유

F5의 BIG-IP Easy Button을 구성하여 Microsoft Entra ID를 사용한 헤더를 기반으로 한 단일 로그온을 설정합니다.

이 문서에서는 Microsoft Entra ID와 F5를 통합하는 방법에 대해 알아봅니다. F5를 Microsoft Entra ID와 통합하면 다음을 수행할 수 있습니다.

  • F5에 액세스할 수 있는 사용자를 Microsoft Entra ID로 제어합니다.
  • 사용자가 Microsoft Entra 계정으로 F5에 자동으로 로그인되도록 설정합니다.
  • 하나의 중앙 위치에서 계정을 관리합니다.

참고

F5 BIG-IP APM 구매 지금.

시나리오 설명

이 시나리오에서는 HTTP 권한 부여 헤더 를 사용하여 보호된 콘텐츠에 대한 액세스를 관리하는 클래식 레거시 애플리케이션을 살펴봅니다.

레거시 애플리케이션에는 Microsoft Entra ID와의 직접 통합을 지원하는 최신 프로토콜이 부족합니다. 애플리케이션을 현대화할 수 있지만 비용이 많이 들고 신중한 계획이 필요하며 잠재적 가동 중지 시간이 발생할 위험이 있습니다. 대신 F5 BIG-IP ADC(애플리케이션 배달 컨트롤러)를 사용하여 프로토콜 전환을 통해 레거시 애플리케이션과 최신 ID 컨트롤 플레인 간의 격차를 브리지합니다.

애플리케이션 앞에 BIG-IP가 있으면 Microsoft Entra 사전 인증 및 헤더 기반 SSO로 서비스를 오버레이하여 애플리케이션의 전반적인 보안 태세를 대폭 개선할 수 있습니다.

참고

또한 조직은 Microsoft Entra 애플리케이션 프록시를 사용하여 이러한 유형의 애플리케이션에 원격으로 액세스할 수 있습니다.

시나리오 아키텍처

이 시나리오에 대한 SHA 솔루션은 다음으로 구성됩니다.

애플리케이션: Microsoft Entra SHA에 의해 보호될 BIG-IP 게시 서비스.

ko-KR: Microsoft Entra ID: 사용자 자격 증명 및 조건부 액세스, SAML 기반 SSO에 대한 확인을 담당하는 SAML(보안 어설션 태그 언어) IdP(ID 공급자)로, BIG-IP와의 통합을 지원합니다. SSO를 통해 Microsoft Entra ID는 BIG-IP에 필요한 세션 특성을 제공합니다.

BIG-IP: SAML IdP에 인증을 위임한 후, 애플리케이션에 대해 헤더 기반 SSO를 수행하는 역방향 프록시 및 SAML 서비스 제공자(SP)로서 동작합니다.

이 시나리오에서의 SHA는 SP 및 IdP 시작 흐름을 모두 지원합니다. 다음 이미지는 SP 시작 흐름을 보여 줍니다.

보안 하이브리드 액세스 - SP 시작 흐름의 스크린샷

단계 설명
1 사용자가 애플리케이션 엔드포인트(BIG-IP)에 연결
2 BIG-IP APM 액세스 정책은 사용자를 Microsoft Entra ID(SAML IdP)로 리디렉션합니다.
3 Microsoft Entra ID는 사용자를 사전 인증하고 적용된 조건부 액세스 정책을 적용합니다.
4 사용자가 BIG-IP(SAML SP)로 리디렉션되고, 발급된 SAML 토큰을 사용하여 SSO가 수행됨
5 BIG-IP는 애플리케이션에 대한 요청 시 Microsoft Entra 특성을 헤더로 삽입합니다.
6 애플리케이션이 요청에 권한을 부여하고 페이로드를 반환

필수 조건

이전 BIG-IP 경험은 필요하지 않지만 다음은 필요합니다.

  • Microsoft Entra ID 무료 구독 또는 그 이상

  • Azure에서 기존 BIG-IP 또는 BIG-IP VE(Virtual Edition)를 배포합니다.

  • 다음 F5 BIG-IP 라이선스 SKU 중 하나

    • F5 BIG-IP® Best 번들

    • F5 BIG-IP Access Policy Manager™(APM) 독립 실행형 라이선스

    • 기존의 BIG-IP F5 BIG-IP® LTM(Local Traffic Manager)™에 대한 F5 BIG-IP Access Policy Manager™ (APM) 애드온 라이선스

    • 90일 동안의 BIG-IP 전체 기능 체험판 라이선스.

  • 온-프레미스 디렉터리에서 Microsoft Entra ID로 동기화된 사용자 ID입니다.

  • Microsoft Entra 애플리케이션 관리자 권한이 있는 계정 입니다.

  • HTTPS를 통해 서비스를 게시하기 위한 SSL 웹 인증서 이거나 테스트하는 동안 기본 BIG-IP 인증서를 사용합니다.

  • 기존 헤더 기반 애플리케이션 또는 테스트를 위한 간단한 IIS 헤더 앱을 설치 합니다.

BIG-IP 구성 방법

두 가지 템플릿 기반 옵션과 고급 구성을 포함하여 이 시나리오에서 BIG-IP를 구성하는 여러 가지 방법이 있습니다. 이 문서에서는 쉬운 단추 템플릿을 제공하는 최신 안내 구성 16.1에 대해 설명합니다. 간편 단추를 사용하면 관리자는 SHA용 서비스를 사용하도록 설정하기 위해 Microsoft Entra ID와 BIG-IP 사이를 오갈 필요가 없습니다. 배포 및 정책 관리는 APM의 안내형 구성 마법사와 Microsoft Graph 간에 직접 처리됩니다. BIG-IP APM과 Microsoft Entra ID 간의 풍부한 통합을 통해 애플리케이션은 ID 페더레이션, SSO, Microsoft Entra 조건부 액세스를 빠르고 쉽게 지원할 수 있어 관리 오버헤드가 줄어듭니다.

참고

이 가이드 전체에서 참조되는 모든 예시 문자열 또는 값은 실제 환경의 문자열로 대체해야 합니다.

간편한 단추 등록

클라이언트 또는 서비스가 Microsoft Graph에 액세스하려면 먼저 Microsoft ID 플랫폼에서 신뢰해야 합니다.

이 첫 번째 단계에서는 Graph에 대한 Easy Button 액세스 권한을 부여하는 데 사용되는 테넌트 앱 등록을 만듭니다. 이러한 권한을 통해 BIG-IP는 게시된 애플리케이션의 SAML SP 인스턴스와 Microsoft Entra ID를 SAML IdP로 사용하여 신뢰를 구축하는 데 필요한 구성을 푸시할 수 있습니다.

  1. 애플리케이션 관리 권한이 있는 계정을 사용하여 Azure Portal 에 로그인합니다.

  2. 왼쪽 탐색 창에서 Microsoft Entra ID 서비스를 선택합니다.

  3. 관리에서 앱 등록 새 등록을> 선택합니다.

  4. 애플리케이션의 표시 이름(예: F5 BIG-IP Easy Button)을 입력합니다.

  5. > 애플리케이션 계정을 사용할 수 있는 사용자를 지정합니다.

  6. 등록을 선택하여 초기 앱 등록을 완료합니다.

  7. API 권한으로 이동하고 다음 Microsoft Graph 애플리케이션 권한에 권한을 부여합니다.

    • 애플리케이션.Read.All
    • 응용 프로그램 읽기 및 쓰기 전체 권한 (Application.ReadWrite.All)
    • 애플리케이션.읽기쓰기.소유자
    • 디렉토리.읽기.전체
    • 그룹.읽기.모두
    • IdentityRiskyUser.Read.All (위험한 사용자 ID 읽기 모든 권한)
    • 정책.읽기.모두 (모든 정책 읽기)
    • 정책.읽기쓰기.응용구성
    • 정책.읽기쓰기.조건부접근
    • User.Read.All (사용자 읽기 권한 전체)

  8. 조직에 대한 관리자 동의를 부여합니다.

  9. 인증서 및 비밀 블레이드에서 새 클라이언트 비밀을 생성하고 기록해 둡니다.

  10. 개요 블레이드에서 클라이언트 ID테넌트 ID를 기록해 둡니다.

간편한 단추 구성

APM의 안내 구성 을 시작하여 쉬운 단추 템플릿을 시작합니다.

  1. Access > Guided Configuration > Microsoft Integration으로 이동하고 Microsoft Entra 애플리케이션을 선택합니다.

  2. 아래 단계를 사용하여 솔루션을 구성하면 필요한 개체가 만들어지고 구성 단계 목록을 검토하고 다음을 선택합니다.

  3. 단계별 구성에서 애플리케이션을 게시하는 데 필요한 단계의 순서를 따릅니다.

구성 속성

구성 속성 탭은 BIG-IP 애플리케이션 구성 및 SSO 개체를 만듭니다. 이전에 Microsoft Entra 테넌트에 등록한 클라이언트를 애플리케이션으로 나타내려면 Azure 서비스 계정 세부 정보 섹션을 고려하세요. 이러한 설정을 통해 BIG-IP의 OAuth 클라이언트는 일반적으로 수동으로 구성하는 SSO 속성과 함께 테넌트에서 직접 SAML SP를 개별적으로 등록할 수 있습니다. 간편한 단추는 SHA를 위해 게시되고 사용하도록 설정된 모든 BIG-IP 서비스에 대해 이 작업을 수행합니다.

이 설정 중 일부는 애플리케이션을 게시하는 데 다시 사용할 수 있는 전역 설정이므로 배포 시간과 노력을 줄여 줍니다.

  1. 관리자가 간편 단추 구성을 쉽게 구분할 수 있도록 고유한 구성 이름을 입력합니다.

  2. SSO(Single Sign-On) 및 HTTP 헤더를 사용하도록 설정합니다.

  3. 테넌트에 Easy Button 클라이언트를 등록할 때 기록한 테넌트 ID, 클라이언트 ID 및 클라이언트 암호를 입력합니다.

  4. BIG-IP가 테넌트에 성공적으로 연결될 수 있는지 확인하시고, 다음을 선택하십시오.

    구성 일반 및 서비스 계정 속성에 대한 스크린샷

서비스 공급자

서비스 공급자 설정은 SHA를 통해 보호되는 애플리케이션의 SAML SP 인스턴스에 대한 속성을 정의합니다.

  1. 호스트를 입력합니다. 이는 보안되는 애플리케이션의 퍼블릭 FQDN입니다.

  2. 엔터티 ID를 입력합니다. Microsoft Entra ID에서 토큰을 요청하는 SAML SP를 식별하는 데 사용하는 식별자입니다.

    서비스 공급자 설정 스크린샷

    선택적 보안 설정 은 Microsoft Entra ID가 발급된 SAML 어설션을 암호화해야 하는지 여부를 지정합니다. Microsoft Entra ID와 BIG-IP APM 간의 어설션을 암호화하면 콘텐츠 토큰을 가로챌 수 없으며 개인 또는 회사 데이터가 손상되지 않도록 추가로 보장됩니다.

  3. 어설션 암호 해독 프라이빗 키 목록에서 새로 만들기를 선택합니다.

    간편한 단추 구성- 새 가져오기 만들기 스크린샷

  4. 확인을 선택합니다. 그러면 새 탭에서 SSL 인증서 및 키 가져오기 대화 상자가 열립니다.

  5. PKCS 12(IIS)를 선택하여 인증서 및 프라이빗 키를 가져옵니다. 프로비저닝되면 브라우저 탭을 닫아 주 탭으로 돌아갑니다.

    간편한 단추 구성- 새 인증서 가져오기 스크린샷

  6. 암호화된 어설션 사용을 체크하세요.

  7. 암호화를 사용하도록 설정한 경우 어설션 암호 해독 프라이빗 키 목록에서 인증서를 선택합니다. BIG-IP APM이 Microsoft Entra 어설션을 암호 해독하는 데 사용하는 인증서의 프라이빗 키입니다.

  8. 암호화를 사용하도록 설정한 경우 어설션 암호 해독 인증서 목록에서 인증서 를 선택합니다. 발급된 SAML 어설션을 암호화하기 위해 BIG-IP가 Microsoft Entra ID에 업로드하는 인증서입니다.

서비스 공급자 보안 설정 스크린샷

Microsoft Entra ID (마이크로소프트 엔트라 ID)

이 섹션에서는 Microsoft Entra 테넌트 내에서 새로운 BIG-IP SAML 애플리케이션을 수동으로 구성하는 데 일반적으로 사용하는 모든 속성을 정의합니다. Easy Button은 Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP 및 다른 앱용 일반 SHA 템플릿에 대해 미리 정의된 애플리케이션 템플릿 집합을 제공합니다.

이 시나리오의 경우 Azure 구성 페이지에서 F5 BIG-IP APM Azure AD Integration>Add를 선택합니다.

Azure 구성

Azure 구성 페이지에서 다음 단계를 수행합니다.

  1. 구성 속성에서 BIG-IP Microsoft Entra 테넌트에서 만드는 앱의 표시 이름과 사용자가 MyApps 포털에 표시할 아이콘을 입력합니다.

  2. IdP 시작 로그온을 사용하도록 설정하기 위해 로그온 URL(선택 사항) 에 아무것도 입력하지 마세요.

  3. 서명 키서명 인증서 옆에 있는 새로 고침 아이콘을 선택하여 이전에 가져온 인증서를 찾습니다.

  4. 서명 키 암호에 인증서의 암호를 입력합니다.

  5. 서명 옵션 사용(선택 사항). 이렇게 하면 BIG-IP가 Microsoft Entra ID에서 서명한 토큰 및 클레임만 허용합니다.

    Azure 구성에 대한 스크린샷 - 서명 인증서 정보 추가

  6. 사용자 및 사용자 그룹은 Microsoft Entra 테넌트에서 동적으로 쿼리되고 애플리케이션에 대한 액세스 권한을 부여하는 데 사용됩니다. 나중에 테스트에 사용할 수 있는 사용자 또는 그룹을 추가합니다. 그렇지 않으면 모든 액세스가 거부됩니다.

    Azure 구성 - 사용자 및 그룹 추가 스크린샷

사용자 특성 및 클레임

사용자가 성공적으로 인증되면 Microsoft Entra ID는 사용자를 고유하게 식별하는 기본 클레임 및 특성 집합이 포함된 SAML 토큰을 발급합니다. 사용자 특성 및 클레임 탭에는 새 애플리케이션에 대해 발급할 기본 클레임이 표시됩니다. 더 많은 클레임을 구성할 수도 있습니다.

이 예에서는 특성을 하나 이상 포함할 수 있습니다.

  1. Header Name을 employeeid로 입력합니다.

  2. Source Attribute를 user.employeeid로 입력합니다.

    사용자 특성 및 클레임에 대한 스크린샷

추가 사용자 특성

추가 사용자 특성 탭에서 Oracle, SAP 및 다른 디렉터리에 저장된 특성이 필요한 기타 JAVA 기반 구현과 같은 다양한 분산 시스템에 필요한 세션 확대를 사용하도록 설정할 수 있습니다. 그런 다음 LDAP 원본에서 가져온 특성을 추가 SSO 헤더로 삽입하여 역할, 파트너 ID 등을 바탕으로 액세스를 추가로 제어할 수 있습니다.

참고

이 기능은 Microsoft Entra ID와 상관 관계가 없지만 또 다른 특성 원본입니다. 

조건부 액세스 정책

조건부 액세스 정책은 디바이스, 애플리케이션, 위치 및 위험 신호를 기반으로 액세스를 제어하기 위해 Microsoft Entra 사전 인증 후에 적용됩니다.

기본적으로 사용 가능한 정책 보기에는 사용자 기반 작업을 포함하지 않는 모든 조건부 액세스 정책이 나열됩니다.

기본적으로 선택한 정책 보기에는 모든 리소스를 대상으로 하는 모든 정책이 표시됩니다. 이러한 정책은 테넌트 수준에서 적용되므로 선택 취소하거나 사용 가능한 정책 목록으로 이동할 수 없습니다.

게시 중인 애플리케이션에 적용할 정책을 선택하려면 다음을 수행합니다.

  1. 사용 가능한 정책 목록에서 원하는 정책을 선택합니다.
  2. 오른쪽 화살표를 선택하고 선택한 정책 목록으로 이동합니다.

선택한 정책에 포함 또는 제외 옵션이 선택되어 있어야 합니다. 두 옵션을 모두 선택하면 선택한 정책이 적용되지 않습니다.

조건부 액세스 정책에 대한 스크린샷.

참고

정책 목록은 이 탭으로 처음 전환할 때 한 번만 열거 됩니다. 마법사를 사용하여 테넌트를 수동으로 쿼리할 수 있는 새로 고침 단추를 사용할 수 있지만 이 단추는 애플리케이션이 배포된 경우에만 표시됩니다.

가상 서버 속성

가상 서버는 애플리케이션에 대한 클라이언트 요청을 수신 대기하는 가상 IP 주소로 표시되는 BIG-IP 데이터 평면 개체입니다. 수신된 모든 트래픽은 정책 결과 및 설정에 따라 전달되기 전에 가상 서버와 연결된 APM 액세스 프로필에 대해 처리 및 평가됩니다.

  1. 대상 주소를 입력합니다. 이 주소는 BIG-IP가 클라이언트 트래픽을 수신하는 데 사용할 수 있는 모든 IPv4/IPv6 주소입니다. 클라이언트가 자체 애플리케이션 대신 BIG-IP 게시 애플리케이션의 외부 URL을 이 IP로 확인할 수 있도록 DNS에도 해당 레코드가 있어야 합니다. 테스트 PC의 localhost DNS를 사용하는 것이 테스트에 적합합니다.

  2. HTTPS용 서비스 포트를 443으로 입력합니다.

  3. 리디렉션 포트를 사용하도록 설정하고, 리디렉션 포트를 입력합니다. 들어오는 HTTP 클라이언트 트래픽을 HTTPS로 리디렉션합니다.

  4. 클라이언트 SSL 프로필은 TLS를 통해 클라이언트 연결이 암호화되도록 HTTPS에 가상 서버를 사용하도록 설정합니다. 필수 구성 요소의 일부로 만든 클라이언트 SSL 프로필을 선택하거나 테스트하는 동안 기본값을 그대로 둡니다.

    가상 서버의 스크린샷.

풀 속성

애플리케이션 풀 탭은 하나 이상의 애플리케이션 서버를 포함하는 풀로 표시되는 BIG-IP 뒤에 있는 서비스에 대해 자세히 설명합니다.

  1. 풀 선택에서 선택합니다. 새 풀을 만들거나 기존 풀을 선택합니다.

  2. 부하 분산 방법을Round Robin선택합니다.

  3. 풀 서버의 경우 기존 노드를 선택하거나 헤더 기반 애플리케이션을 호스팅하는 서버에 대한 IP 및 포트를 지정합니다.

    애플리케이션 풀의 스크린샷.

백 엔드 애플리케이션은 HTTP 포트 80에 있지만 HTTPS인 경우 분명히 443으로 전환합니다.

Single Sign-On 및 HTTP 헤더

SSO를 사용하도록 설정하면 사용자가 자격 증명을 입력하지 않고도 BIG-IP 게시된 서비스에 액세스할 수 있습니다. Easy Button 마법사는 SSO에 대한 Kerberos, OAuth 전달자 및 HTTP 권한 부여 헤더를 지원하며, 후자는 다음을 구성할 수 있습니다.

  • 헤더 작업:Insert

  • 헤더 이름:upn

  • 헤더 값:%{session.saml.last.identity}

  • 헤더 작업:Insert

  • 헤더 이름:employeeid

  • 헤더 값:%{session.saml.last.attr.name.employeeid}

    SSO 및 HTTP 헤더에 대한 스크린샷

참고

중괄호 안에 정의된 APM 세션 변수는 대/소문자를 구분합니다. 예를 들어 Microsoft Entra 특성 이름을 orclguid로 정의할 때 OrclGUID를 입력하면 특성 매핑이 실패하게 됩니다.

세션 관리

BIG-IP 세션 관리 설정은 사용자 세션이 종료되거나 계속되도록 허용되는 조건, 사용자 및 IP 주소 제한, 해당 사용자 정보를 정의하는 데 사용됩니다. 이러한 설정에 대한 자세한 내용은 F5의 문서를 참조하세요.

그러나 사용자가 로그아웃할 때 IdP, BIG-IP, 사용자 에이전트 간의 모든 세션이 종료되도록 하는 SLO(단일 로그아웃) 기능은 여기서 다루지 않습니다. 간편 단추가 Microsoft Entra 테넌트에서 SAML 애플리케이션을 인스턴스화하면 로그아웃 URL도 APM의 SLO 엔드포인트로 채워집니다. 이러한 방식으로 Microsoft Entra MyApps 포털에서 IdP가 시작한 로그아웃도 BIG-IP와 클라이언트 간의 세션을 종료합니다.

이와 함께 게시된 애플리케이션에 대한 SAML 페더레이션 메타데이터도 테넌트에서 가져와 APM에 Microsoft Entra ID에 대한 SAML 로그아웃 엔드포인트를 제공합니다. 따라서 SP에서 시작된 로그아웃으로 인해 클라이언트와 Microsoft Entra ID 간의 세션이 종료됩니다. 그러나 이것이 진정으로 효과적이려면 APM은 사용자가 언제 애플리케이션에서 로그아웃하는지 정확히 알아야 합니다.

BIG-IP 웹톱 포털을 사용하여 게시된 애플리케이션에 액세스하는 경우 APM에서 로그아웃을 처리하여 Microsoft Entra 로그아웃 엔드포인트도 호출합니다. 그러나 BIG-IP 웹톱 포털이 사용되지 않고 사용자가 APM에 로그아웃하도록 지시할 방법이 없는 시나리오를 고려합니다. 사용자가 애플리케이션 자체에서 로그아웃하더라도 BIG-IP는 이를 기술적으로 인식하지 못합니다. 따라서 SP에서 시작한 로그아웃은 더 이상 필요하지 않을 때 세션이 안전하게 종료되도록 세심한 고려가 필요합니다. 이를 달성하는 한 가지 방법은 SLO 기능을 애플리케이션 로그아웃 단추에 추가하여 클라이언트를 Microsoft Entra SAML 또는 BIG-IP 로그아웃 엔드포인트로 리디렉션할 수 있도록 하는 것입니다. 테넌트에 대한 SAML 로그아웃 엔드포인트의 URL은 앱 등록 > 엔드포인트에서 찾을 수 있습니다.

앱을 변경할 수 없는 경우 BIG-IP가 애플리케이션의 로그아웃 호출을 수신하도록 하고 요청을 탐지하면 SLO를 트리거하도록 합니다. 이를 위해 BIG-IP irules를 사용하는 방법에 대한 Oracle PeopleSoft SLO 지침을 참조하세요. 이를 위해 BIG-IP iRules를 사용하는 방법에 대한 자세한 내용은 F5 기술 문서에서 URI 참조 파일 이름 및 로그아웃 URI 포함 옵션 개요를 기반으로 자동 세션 종료(로그아웃) 구성 문서에서 확인할 수 있습니다.

요약

이 마지막 단계에서는 구성을 자세히 분석합니다. 배포를 선택하여 모든 설정을 커밋하고 이제 애플리케이션이 '엔터프라이즈 애플리케이션'의 테넌트 목록에 있는지 확인합니다.

이제 URL을 통해 직접 또는 Microsoft의 애플리케이션 포털에서 SHA를 통해 애플리케이션을 게시하고 액세스할 수 있습니다.

관련 콘텐츠

브라우저에서 애플리케이션의 외부 URL에 연결하거나 Microsoft MyApps 포털에서 애플리케이션의 아이콘을 선택합니다. Microsoft Entra ID에 인증하면 애플리케이션에 대한 BIG-IP 가상 서버로 리디렉션되고 SSO를 통해 자동으로 로그인됩니다.

보안 강화를 위해 이 패턴을 사용하는 조직은 애플리케이션에 대한 모든 직접 액세스를 차단하여 BIG-IP를 통한 엄격한 경로를 강제할 수도 있습니다.

고도화된 배포

안내형 구성 템플릿에 더욱 특정한 요구 사항을 달성할 수 있는 유연성이 없는 경우가 있을 수 있습니다. 이러한 시나리오는 헤더 기반 SSO에 대한 고급 구성을 참조하세요.

또는 BIG-IP 가이드 구성의 엄격한 관리 모드를 사용하지 않도록 설정하는 옵션을 제공합니다. 이렇게 하면 마법사 기반 템플릿을 통해 대부분의 구성이 자동화되더라도 구성을 수동으로 조정할 수 있습니다.

액세스 > 안내 구성으로 이동하고 애플리케이션 구성에 대한 행의 맨 오른쪽에 있는 작은 자물쇠 아이콘을 선택할 수 있습니다.

쉬운 버튼 구성 - 엄격한 관리 스크린샷

이 시점에서 마법사 UI를 통한 변경은 더 이상 불가능하지만 애플리케이션의 게시된 인스턴스와 연결된 모든 BIG-IP 개체는 직접 관리를 위해 잠금 해제됩니다.

참고

strict 모드를 다시 사용하도록 설정하고 구성을 배포하면 안내형 구성 UI 외부에서 수행되는 모든 설정을 덮어쓰므로 프로덕션 서비스에 대한 고급 구성 메서드를 사용하는 것이 좋습니다.

문제 해결

SHA로 보호된 애플리케이션에 액세스하지 못하는 것은 여러 가지 요인으로 인해 발생할 수 있습니다. BIG-IP 로깅은 연결, SSO, 정책 위반 또는 잘못 구성된 변수 매핑과 관련된 모든 종류의 이슈를 신속하게 격리하는 데 도움이 될 수 있습니다. 로그 세부 정보 표시 수준을 늘려 문제 해결을 시작합니다.

  1. 액세스 정책 > 개요 > 이벤트 로그 설정으로 >이동합니다.

  2. 게시된 애플리케이션의 행을 선택한 다음 , 액세스 시스템 로그를 편집 > 합니다.

  3. SSO 목록에서 디버그 를 선택한 다음 확인합니다.

이슈를 재현한 다음 로그를 검사하지만 자세한 정보 표시 모드가 많은 데이터를 생성하므로 완료되면 다시 전환해야 합니다.

Microsoft Entra 사전 인증에 성공한 직후에 BIG-IP 브랜드 오류가 표시되는 경우 Microsoft Entra ID에서 BIG-IP로의 SSO와 관련된 문제일 수 있습니다.

  1. 액세스 > 개요 > 액세스 보고서로 이동합니다.

  2. 지난 1시간 동안의 보고서를 실행하여 로그에서 단서를 제공하는지 확인합니다. 세션에 대한 세션 변수 보기 링크는 APM이 Microsoft Entra ID에서 예상된 클레임을 수신하는지를 이해하는 데도 도움이 됩니다.

BIG-IP 오류 페이지가 표시되지 않으면 문제가 BIG-IP에서 애플리케이션으로의 백 엔드 요청 또는 SSO와 더 관련이 있을 수 있습니다.

  1. 이 경우 액세스 정책 > 개요 > 활성 세션 으로 이동하여 활성 세션에 대한 링크를 선택합니다.

  2. 이 위치의 변수 보기 링크는 특히 BIG-IP APM이 Microsoft Entra ID 또는 다른 원본에서 올바른 특성을 가져오지 못하는 경우 SSO 문제의 근본 원인에도 도움이 될 수 있습니다.

자세한 내용은 이 F5 기술 문서 Active Directory에 대한 LDAP 원격 인증 구성을 참조하세요. LDAP 쿼리에 대한 이 F5 기술 문서에서 LDAP 관련 문제를 진단하는 데 도움이 되는 훌륭한 BIG-IP 참조 테이블도 있습니다.