자습서: Oracle EBS에 대한 SSO를 위한 F5 BIG-IP 간편한 단추 구성

F5 BIG-IP 간편 단추 단계별 구성을 통해 Microsoft Entra ID를 사용하여 Oracle EBS(E-Business Suite)를 보호하는 방법을 알아봅니다. BIG-IP를 Microsoft Entra ID와 통합하면 다음과 같은 많은 이점이 있습니다.

• Microsoft Entra 사전 인증 및 조건부 액세스를 통해 제로 트러스트 거버넌스가 개선되었습니다.
  • 조건부 액세스란?을 참조하세요.
  • 제로 트러스트 보안을 참조하세요.
• Microsoft Entra ID와 BIG-IP 게시 서비스 간의 전체 SSO
• 하나의 컨트롤 플레인에서 관리 ID 및 액세스
  • Microsoft Entra 관리 센터를 참조하세요.

자세히 보기:

• F5 BIG-IP를 Microsoft Entra ID와 통합
• SSO를 엔터프라이즈 애플리케이션에서 사용하도록 설정

시나리오 설명

이 시나리오에서는 HTTP 인증 헤더를 사용하여 보호된 콘텐츠에 대한 액세스를 관리하는 클래식 Oracle EBS 애플리케이션을 다룹니다.

레거시 애플리케이션에는 Microsoft Entra 통합을 지원하는 최신 프로토콜이 없습니다. 현대화는 비용이 많이 들고 시간이 오래 걸리며 가동 중지 시간 위험을 초래합니다. 대신 F5 BIG-IP ADC(애플리케이션 배달 컨트롤러)를 사용하여 프로토콜 전환을 통해 레거시 애플리케이션과 최신 ID 컨트롤 플레인 간의 격차를 극복할 수 있습니다.

앱 앞의 BIG-IP를 사용하면 Microsoft Entra 사전 인증 및 헤더 기반 SSO를 통해 서비스를 오버레이할 수 있습니다. 이 구성은 애플리케이션 보안 태세를 개선시킵니다.

시나리오 아키텍처

SHA(보안 하이브리드 액세스) 솔루션은 다음 요소로 구성됩니다.

• Oracle EBS 애플리케이션: Microsoft Entra SHA로 보호되는 BIG-IP 게시 서비스
• Microsoft Entra ID - 사용자 자격 증명, 조건부 액세스 및 BIG-IP에 대한 SAML 기반 SSO를 확인하는 SAML(Security Assertion Markup Language) IdP(ID 공급자)
  • SSO를 통해 Microsoft Entra ID는 BIG-IP에 세션 특성을 제공합니다
• OID(Oracle Internet Directory): 사용자 데이터베이스를 호스트합니다.
  • BIG-IP는 LDAP를 통해 권한 부여 특성을 확인합니다.
• Oracle E-Business Suite AccessGate - OID 서비스로 권한 부여 특성의 유효성을 검사한 후 EBS 액세스 쿠키 발급
• BIG-IP - 애플리케이션에 대한 역방향 프록시 및 SAML SP(서비스 공급자)
  • SAML IdP에 인증이 위임된 후 Oracle 애플리케이션에 대한 헤더 기반 SSO 발생

SHA는 SP 및 IdP 시작 흐름을 지원합니다. 다음 다이어그램은 SP 시작 흐름을 보여 줍니다.

1. 사용자가 애플리케이션 엔드포인트(BIG-IP)에 연결합니다.
2. BIG-IP APM 액세스 정책은 사용자를 Microsoft Entra ID(SAML IdP)로 리디렉션합니다.
3. Microsoft Entra는 사용자를 사전 인증하고 조건부 액세스 정책을 적용합니다.
4. 사용자는 BIG-IP(SAML SP)로 리디렉션되고, 발급된 SAML 토큰을 사용하여 SSO가 발생합니다.
5. BIG-IP는 UID(사용자 고유 ID) 특성에 대해 LDAP 쿼리를 수행합니다.
6. BIG-IP는 Oracle AccessGate에 대한 Oracle EBS 세션 쿠키 요청에서 반환된 UID 특성을 user_orclguid 헤더로 삽입합니다.
7. Oracle AccessGate는 OID 서비스에 대해 UID의 유효성을 검사하고 Oracle EBS 액세스 쿠키를 발급합니다.
8. 애플리케이션에 전송된 Oracle EBS 사용자 헤더 및 쿠키와 사용자에게 페이로드를 반환합니다.

필수 조건

다음 구성 요소가 필요합니다.

• Azure 구독
  • 계정이 없으면 Azure 무료 계정을 만듭니다.
• 클라우드 애플리케이션 관리자 또는 애플리케이션 관리자 역할.
• BIG-IP 또는 Azure에 BIG-IP VE(Virtual Edition) 배포
  • Azure에서 F5 BIG-IP Virtual Edition VM 배포를 참조하세요.
• 다음 F5 BIG-IP 라이선스 SKU 중 하나
  • F5 BIG-IP® Best 번들
  • F5 BIG-IP APM(Access Policy Manager)™ 독립 실행형 라이선스
  • BIG-IP F5 BIG-IP® LTM(Local Traffic Manager)™에 대한 F5 BIG-IP Access Policy Manager™(APM) 추가 기능 라이선스
  • BIG-IP 전체 기능 90일 평가판 평가판을 참조하세요.
• 온-프레미스 디렉터리에서 Microsoft Entra ID로 동기화된 사용자 ID
  • Microsoft Entra Connect 동기화: 동기화의 이해 및 사용자 지정 참조
• HTTPS를 통한 서비스 게시 또는 테스트 중 기본 인증서 사용을 위한 SSL 인증서
  • SSL 프로필을 참조하세요.
• Oracle EBS, Oracle AccessGate 및 LDAP 지원 Oracle OID(인터넷 데이터베이스)

BIG-IP 구성 방법

이 자습서에서는 Guided Configuration v16.1 간편 단추 템플릿을 사용합니다. 간편 단추를 사용하면 관리자는 더 이상 SHA에 대한 서비스를 사용하도록 설정하기 위해 앞뒤로 이동할 필요가 없습니다. 배포 및 정책 관리는 APM 단계별형 구성 마법사와 Microsoft Graph가 처리합니다. 이러한 통합을 통해 애플리케이션은 ID 페더레이션, SSO 및 조건부 액세스를 지원하므로 관리 오버헤드가 줄어듭니다.

참고 항목

예 문자열 또는 값을 환경의 문자열과 값으로 바꾸어야 합니다.

간편 단추 등록

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

클라이언트 또는 서비스가 Microsoft Graph에 액세스하기 전에 Microsoft ID 플랫폼을 신뢰해야 합니다.

자세히 알아보기: 빠른 시작: Microsoft ID 플랫폼에 애플리케이션 등록

Graph에 간편 단추 액세스 권한을 부여하는 테넌트 앱 등록을 만듭니다. BIG-IP는 게시된 애플리케이션을 위한 SAML SP 인스턴스와 SAML IdP인 Microsoft Entra ID 간에 신뢰를 설정하기 위해 구성을 푸시합니다.

1. 최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>애플리케이션>앱 등록>신규 등록으로 이동합니다.

3. 애플리케이션 이름을 입력합니다. 예: F5 BIG-IP 간편 단추

4. 애플리케이션을 사용할 수 있는 사용자 지정을 지정합니다.>이 조직 디렉터리의 계정

5. 등록을 선택합니다.

6. API 사용 권한으로 이동합니다.

7. 다음 Microsoft Graph 애플리케이션 권한을 부여합니다.

   • Application.Read.All
   • Application.ReadWrite.All
   • Application.ReadWrite.OwnedBy
   • Directory.Read.All
   • Group.Read.All
   • IdentityRiskyUser.Read.All
   • Policy.Read.All
   • Policy.ReadWrite.ApplicationConfiguration
   • Policy.ReadWrite.ConditionalAccess
   • User.Read.All

8. 조직에 대한 관리자 동의를 부여합니다.

9. 인증서 및 비밀로 이동합니다.

10. 새 클라이언트 암호를 생성합니다. 클라이언트 암호를 적어 둡니다.

11. 개요로 이동합니다. 클라이언트 ID와 테넌트 ID를 기록해 둡니다.

간편 단추 구성

1. APM 단계별 구성을 시작합니다.

2. 간편 단추 템플릿을 시작합니다.

3. 액세스 > 단계별 구성 > Microsoft 통합으로 이동합니다.

4. Microsoft Entra 애플리케이션을 선택합니다.

5. 구성 옵션을 검토합니다.

6. 다음을 선택합니다.

7. 그래픽을 사용하여 애플리케이션을 게시하기 위해 도움을 받으세요.

   

Configuration Properties

구성 속성 탭에서는 BIG-IP 애플리케이션 구성 및 SSO 개체를 만듭니다. Azure 서비스 계정 세부 정보 섹션은 등록한 클라이언트를 Microsoft Entra 테넌트에 애플리케이션으로 나타냅니다. 이러한 설정을 사용하면 BIG-IP OAuth 클라이언트는 SSO 속성을 사용하여 테넌트에 SAML SP를 등록합니다. 간편 단추는 SHA용으로 게시되고 사용하도록 설정된 BIG-IP 서비스에 대해 이 작업을 수행합니다.

시간과 활동을 줄이려면 전역 설정을 재사용하여 다른 애플리케이션을 게시합니다.

1. 구성 이름을 입력합니다.

2. SSO(Single Sign-On) 및 HTTP 헤더와 관련해 켜기를 선택합니다.

3. 테넌트 ID, 클라이언트 ID 및 클라이언트 암호에 간편 단추 클라이언트 등록 중에 기록한 내용을 입력합니다.

4. BIG-IP가 테넌트에 연결되는지 확인합니다.

5. 다음을 선택합니다.

   

서비스 공급자

보호되는 애플리케이션의 SAML SP 인스턴스 속성에 대한 서비스 공급자 설정을 사용합니다.

1. 호스트에 애플리케이션의 공용 FQDN을 입력합니다.

2. 엔터티 ID에는 Microsoft Entra ID가 토큰을 요청하는 SAML SP를 식별하는 데 사용하는 식별자를 입력합니다.

   

3. (선택 사항) 보안 설정에서 암호화된 어설션 사용 옵션을 선택하거나 선택 취소합니다. Microsoft Entra ID와 BIG-IP APM 간의 어설션을 암호화하면 콘텐츠 토큰을 가로챌 수 없고 개인 또는 회사 데이터가 손상될 수 없습니다.

4. 어설션 암호 해독 프라이빗 키 목록에서 새로 만들기를 선택합니다.

   

5. 확인을 선택합니다.

6. 새 탭에서 SSL 인증서 및 키 가져오기 대화 상자가 열립니다.

7. PKCS 12(IIS)를 선택합니다.

8. 인증서와 프라이빗 키를 가져옵니다.

9. 브라우저 탭을 닫아 기본 탭으로 돌아갑니다.

   

10. 암호화된 어설션 사용을 선택합니다.

11. 암호화를 사용하도록 설정한 경우 어설션 복호화 프라이빗 키 목록에서 BIG-IP APM이 Microsoft Entra 어설션을 복호화하는 데 사용하는 인증서 프라이빗 키를 선택합니다.

12. 암호화를 사용하도록 설정한 경우 어설션 복호화 인증서 목록에서 Microsoft Entra ID에 업로드하는 인증서 BIG-IP를 선택하여 발급된 SAML 어설션을 암호화합니다.

    

Microsoft Entra ID

간편 단추에는 Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP용 애플리케이션 템플릿과 일반 앱용 SHA 템플릿이 있습니다. 다음 스크린샷은 Azure 구성 아래의 Oracle E-Business Suite 옵션입니다.

1. Oracle E-Business Suite를 선택합니다.
2. 추가를 선택합니다.

Azure 구성

1. Microsoft Entra 테넌트에서 BIG-IP가 만드는 앱의 표시 이름 및 MyApps의 아이콘을 입력합니다.

2. Sign On URL(선택 사항)에 EBS 애플리케이션 공용 FQDN을 입력합니다.

3. Oracle EBS 홈페이지의 기본 경로를 입력합니다.

4. 서명 키와 서명 인증서 옆에 있는 새로 고침 아이콘을 선택합니다.

5. 가져온 인증서를 찾습니다.

6. 서명 키 암호에 인증서 암호를 입력합니다.

7. (선택 사항) 서명 옵션을 사용하도록 설정합니다. 이 옵션을 사용하면 BIG-IP가 Microsoft Entra ID가 서명한 토큰 및 클레임을 허용합니다.

   

8. 사용자 및 사용자 그룹의 경우 테스트할 사용자 또는 그룹을 추가합니다. 그렇지 않으면 모든 액세스가 거부됩니다. 사용자 및 사용자 그룹은 Microsoft Entra 테넌트에서 동적으로 쿼리되어 애플리케이션에 대한 액세스 권한이 부여됩니다.

   

사용자 특성 및 클레임

사용자가 인증하면 Microsoft Entra ID는 사용자를 식별하는 기본 클레임 및 특성이 포함된 SAML 토큰을 발급합니다. 사용자 특성 및 클레임 탭에는 새 애플리케이션에 대해 발급할 기본 클레임이 있습니다. 더 많은 클레임을 구성하려면 이 영역을 사용합니다. 필요한 경우 Microsoft Entra 특성을 추가합니다. 그러나 Oracle EBS 시나리오에는 기본 특성이 필요합니다.

추가 사용자 특성

추가 사용자 특성 탭은 세션 확대를 위해 디렉터리에 저장된 특성이 필요한 분산 시스템을 지원합니다. LDAP 원본에서 가져온 특성은 역할, 파트너 ID 등에 따라 액세스를 제어하기 위해 더 많은 SSO 헤더로 삽입됩니다.

1. 고급 설정 옵션을 사용합니다.

2. LDAP 특성 확인란을 선택합니다.

3. 인증 서버 선택에서 새로 만들기를 선택합니다.

4. 설정에 따라 대상 LDAP 서비스 서버 주소에 대해 풀 사용 또는 직접 서버 연결 모드를 선택합니다. 단일 LDAP 서버의 경우 직접을 선택합니다.

5. 서비스 포트에 3060(기본값), 3161(보안) 또는 Oracle LDAP 서비스용 다른 포트를 입력합니다.

6. 기본 검색 DN을 입력합니다. 디렉터리에서 그룹을 검색하려면 DN(고유 이름)을 사용합니다.

7. 관리 DN에는 APM이 LDAP 쿼리를 인증하는 데 사용하는 계정 고유 이름을 입력합니다.

8. 관리자 암호에 암호를 입력합니다.

   

9. 기본 LDAP 스키마 특성을 그대로 둡니다.

   

10. LDAP 쿼리 속성에서 DN 쿼리에 사용자 개체 쿼리를 위한 LDAP 서버 기본 노드를 입력합니다.

11. 필수 특성에 LDAP 디렉터리에서 반환될 사용자 개체 특성 이름을 입력합니다. EBS의 경우 기본값은 orclguid입니다.

    

조건부 액세스 정책

조건부 액세스 정책은 장치, 애플리케이션, 위치, 위험 신호를 기반으로 액세스를 제어합니다. 정책은 Microsoft Entra 사전 인증 후에 적용됩니다. 사용 가능한 정책 보기에는 사용자 작업이 없는 조건부 액세스 정책이 있습니다. 선택한 정책 보기에는 클라우드 앱에 대한 정책이 있습니다. 테넌트 수준에서 적용되므로 이러한 정책 선택을 취소하거나 사용 가능한 정책으로 옮길 수 없습니다.

게시할 애플리케이션에 대한 정책을 선택하려면 다음을 수행합니다.

1. 사용 가능한 정책에서 정책을 선택합니다.

2. 오른쪽 화살표를 선택합니다.

3. 정책을 선택한 정책으로 이동합니다.

   참고 항목

   일부 정책에는 포함 또는 제외 옵션이 선택되어 있습니다. 두 옵션을 모두 선택하면 정책이 적용되지 않습니다.

   

   참고 항목

   조건부 액세스 정책 탭을 선택하면 정책 목록이 나타납니다. 새로 고침을 선택하면 마법사가 테넌트를 쿼리합니다. 배포된 애플리케이션에 대해 새로 고침이 나타납니다.

가상 서버 속성

가상 서버는 애플리케이션 클라이언트 요청을 수신하는 가상 IP 주소로 표시되는 BIG-IP 데이터 평면 개체입니다. 수신한 트래픽은 가상 서버와 연결된 APM 프로필에 대해 처리 및 평가됩니다. 그런 다음 트래픽은 정책에 따라 전달됩니다.

1. BIG-IP가 클라이언트 트래픽을 수신하는 데 사용하는 IPv4 또는 IPv6 주소인 대상 주소를 입력합니다. 클라이언트가 BIG-IP 게시 애플리케이션의 외부 URL을 이 IP로 확인할 수 있도록 DNS에도 해당 레코드가 있습니다. 테스트 컴퓨터 localhost DNS를 사용하여 테스트합니다.

2. 서비스 포트에 443을 입력하고 HTTPS를 선택합니다.

3. 리디렉션 포트 사용을 선택합니다.

4. 리디렉션 포트에 80을 입력하고 HTTP를 선택합니다. 이 작업은 들어오는 HTTP 클라이언트 트래픽을 HTTPS로 리디렉션합니다.

5. 이전에 만든 클라이언트 SSL 프로필을 선택하거나 테스트를 위한 기본값을 그대로 둡니다. 클라이언트 SSL 프로필은 HTTPS용 가상 서버를 사용하도록 설정합니다. 클라이언트 연결은 TLS를 통해 암호화됩니다.

   

풀 속성

애플리케이션 풀 탭에는 하나 이상의 애플리케이션 서버가 있는 풀인 BIG-IP 뒤에 있는 서비스가 있습니다.

1. 풀 선택에서 새로 만들기를 선택하거나 다른 옵션을 선택합니다.

2. 부하 분산 방법에서 라운드 로빈을 선택합니다.

3. 풀 서버에서 Oracle EBS를 호스팅하는 서버의 IP 주소/노드 이름 및 포트를 선택하고 입력합니다.

4. HTTPS를 선택합니다.

   

5. 액세스 게이트 풀에서 액세스 게이트 하위 경로를 확인합니다.

6. 풀 서버의 경우 Oracle EBS를 호스팅하는 서버에 대한 IP 주소/노드 이름 및 포트를 선택하고 입력합니다.

7. HTTPS를 선택합니다.

   

Single Sign-On 및 HTTP 헤더

간편한 단추 마법사는 게시된 애플리케이션에 대한 SSO의 Kerberos, OAuth Bearer, HTTP 권한 부여 헤더를 지원합니다. Oracle EBS 애플리케이션은 헤더를 예상하므로 HTTP 헤더를 사용하도록 설정합니다.

1. SSO(Single Sign-On) 및 HTTP 헤더에서 HTTP 헤더를 선택합니다.

2. 헤더 작업의 경우 바꾸기를 선택합니다.

3. 헤더 이름에 USER_NAME을 입력합니다.

4. 헤더 값에 %{session.sso.token.last.username}을 입력합니다.

5. 헤더 작업의 경우 바꾸기를 선택합니다.

6. 헤더 이름에 USER_ORCLGUID를 입력합니다.

7. 헤더 값에 %{session.ldap.last.attr.orclguid}를 입력합니다.

   

   참고 항목

   중괄호 안의 APM 세션 변수는 대/소문자를 구분합니다.

세션 관리

BIG-IP 세션 관리를 사용하여 사용자 세션 종료 또는 지속 조건을 정의합니다.

자세한 내용은 support.f5.com으로 이동하여 K18390492: 보안 | BIG-IP APM 작업 가이드 참조

SLO(Single Sign-Out) 기능은 사용자가 로그아웃할 때 IdP, BIG-IP 및 사용자 에이전트 간의 세션이 종료되도록 보장합니다. 간편 단추가 Microsoft Entra 테넌트에서 SAML 애플리케이션을 인스턴스화하면 로그아웃 URL이 APM SLO 엔드포인트로 채워집니다. 따라서 내 앱 포털에서 IdP가 시작한 로그아웃은 BIG-IP와 클라이언트 간의 세션을 종료합니다.

Microsoft 내 앱을 참조하세요.

게시된 애플리케이션에 대한 SAML 페더레이션 메타데이터를 테넌트에서 가져옵니다. 이 작업은 APM에 Microsoft Entra ID에 대한 SAML 로그아웃 엔드포인트를 제공합니다. 그런 다음 SP에서 시작된 로그아웃은 클라이언트와 Microsoft Entra 세션을 종료합니다. 사용자가 로그아웃하면 APM이 이를 알 수 있도록 합니다.

BIG-IP 웹톱 포털을 사용하여 게시된 애플리케이션에 액세스하는 경우 APM은 로그아웃을 처리하여 Microsoft Entra 로그아웃 엔드포인트를 호출합니다. BIG-IP 웹톱 포털을 사용하지 않는 경우 사용자는 APM에 로그아웃을 지시할 수 없습니다. 사용자가 애플리케이션에서 로그아웃하면 BIG-IP는 해당 작업을 인식하지 못합니다. SP에서 시작된 로그아웃이 보안 세션 종료를 트리거하는지 확인합니다. 클라이언트를 Microsoft Entra SAML 또는 BIG-IP 로그아웃 엔드포인트로 리디렉션하려면 애플리케이션의 로그아웃 단추에 SLO 함수를 추가합니다. 앱 등록 >엔드포인트의 테넌트에 대한 SAML 로그아웃 엔드포인트 URL을 찾습니다.

앱을 변경할 수 없는 경우 BIG-IP가 애플리케이션 로그아웃 호출을 수신한 다음 SLO를 트리거하도록 합니다.

자세히 보기:

• PeopleSoft SLO Logout
• 다음을 위해 support.f5.com으로 이동합니다.
  • K42052145: URI 참조 파일 이름을 기반으로 자동 세션 종료(로그아웃) 구성
  • K12056: 로그아웃 URI 포함 옵션 개요

배포

1. 설정을 커밋하려면 배포를 선택합니다.
2. 테넌트 엔터프라이즈 애플리케이션 목록에 애플리케이션이 나타나는지 확인합니다.

테스트

1. 브라우저에서 Oracle EBS 애플리케이션 외부 URL에 연결하거나 내 앱에서 애플리케이션 아이콘을 선택합니다.
2. Microsoft Entra ID로 인증합니다.
3. 애플리케이션에 대한 BIG-IP 가상 서버로 리디렉션되고 SSO를 통해 로그인됩니다.

보안 강화를 위해 직접 애플리케이션 액세스를 차단하여 BIG-IP를 통한 경로를 적용합니다.

고급 배포

경우에 따라 구성 단계별 템플릿에는 요구 사항에 대한 유연성이 부족합니다.

자세히 알아보기: 자습서: 헤더 기반 SSO를 위한 F5 BIG-IP의 Access Policy Manager 구성

수동으로 구성 변경

또는 BIG-IP에서 구성 단계별 엄격한 관리 모드를 사용하지 않도록 설정하여 구성을 수동으로 변경합니다. 마법사 템플릿은 대부분의 구성을 자동화합니다.

1. 액세스 > 단계별 구성으로 이동합니다.

2. 애플리케이션 구성 행 오른쪽 끝에서 자물쇠 아이콘을 선택합니다.

   

strict 모드를 사용하지 않도록 설정한 후에는 마법사를 사용하여 변경할 수 없습니다. 그러나 게시된 앱 인스턴스와 연결된 BIG-IP 개체는 관리를 위해 잠금 해제됩니다.

참고 항목

strict 모드를 다시 사용하도록 설정하면 새 구성이 단계별 구성 없이 수행된 설정을 덮어씁니다. 프로덕션 서비스에 대한 고급 구성 메서드를 사용하는 것이 좋습니다.

문제 해결

문제를 해결하려면 다음 지침을 따릅니다.

로그 세부 정보 표시 늘리기

BIG-IP 로깅을 사용하여 연결, SSO, 정책 위반 또는 잘못 구성된 변수 매핑과 관련된 모든 종류의 문제를 격리합니다. 로그 상세 수준을 높입니다.

1. 액세스 정책 > 개요 > 이벤트 로그로 이동합니다.
2. 설정을 선택합니다.
3. 게시된 애플리케이션의 행을 선택합니다.
4. 편집 > 액세스 시스템 로그를 선택합니다.
5. SSO 목록에서 디버그를 선택합니다.
6. 확인을 선택합니다.
7. 이슈를 재현합니다.
8. 로그를 검사합니다.

자세한 정보 표시 모드에서는 과도한 데이터가 생성되므로 설정 변경 내용을 되돌립니다.

BIG-IP 오류 메시지

Microsoft Entra 사전 인증 후 BIG-IP 오류가 나타나는 경우 문제는 Microsoft Entra ID 및 BIG-IP SSO와 관련이 있을 수 있습니다.

1. **액세스 > 개요로 이동합니다.
2. 보고서 액세스를 선택합니다.
3. 지난 1시간 동안 보고서를 실행합니다.
4. 로그에 단서가 있는지 검토합니다.

해당 세션의 세션 보기 링크를 사용하여 APM이 예상되는 Microsoft Entra 클레임을 수신하는지 확인합니다.

BIG-IP 오류 메시지 없음

BIG-IP 오류 페이지가 나타나지 않으면 문제는 백 엔드 요청이나 BIG-IP 및 애플리케이션 SSO와 관련된 것일 수 있습니다.

1. 액세스 정책 > 개요로 이동합니다.
2. 활성 세션을 선택합니다.
3. 활성 세션에 대한 링크를 선택합니다.

특히 BIG-IP APM이 Microsoft Entra ID 또는 다른 원본에서 올바른 특성을 가져오지 못하는 경우 변수 보기 링크를 사용하여 SSO 문제를 조사합니다.

자세히 보기:

• devcentral.f5.com으로 이동하여 APM 변수 할당 예 참조
• 설명서 장: 세션 변수를 보려면 techdocs.f5.com으로 이동합니다.

APM 서비스 계정 유효성 검사

다음 bash 셸 명령을 사용하여 LDAP 쿼리에 대한 APM 서비스 계정의 유효성을 검사합니다. 이 명령은 사용자 개체를 인증하고 쿼리합니다.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

자세히 보기:

• K11072: AD에 대한 LDAP 원격 인증 구성을 보려면 support.f5.com으로 이동합니다.
• 설명서 장: LDAP 쿼리의 경우 techdocs.f5.com으로 이동합니다.