Samouczek: konfigurowanie przycisku F5 BIG-IP Easy Button na potrzeby logowania jednokrotnego do systemu SAP ERP

W tym artykule dowiesz się, jak zabezpieczyć planowanie zasobów SAP Enterprise (ERP) przy użyciu identyfikatora Entra firmy Microsoft, z przewodnikiem Konfiguracja z przewodnikiem F5 BIG-IP Easy Button 16.1. Integracja big-IP z identyfikatorem Entra firmy Microsoft ma wiele korzyści:

• Platforma Zero Trust umożliwiająca zdalną pracę
• Co to jest dostęp warunkowy?
• Logowanie jednokrotne (SSO) między usługami firmy Microsoft Entra ID i BIG-IP
• Zarządzanie tożsamościami i dostępem z centrum administracyjnego firmy Microsoft Entra

Więcej informacji:

• Integracja F5 BIG-IP z Microsoft Entra ID
• Włącz logowanie jednokrotne dla aplikacji dla przedsiębiorstw.

Opis scenariusza

Ten scenariusz obejmuje aplikację SAP ERP korzystającą z uwierzytelniania Kerberos w celu zarządzania dostępem do chronionej zawartości.

Starsze aplikacje nie mają nowoczesnych protokołów do obsługi integracji z identyfikatorem Entra firmy Microsoft. Modernizacja jest kosztowna, wymaga planowania i wprowadza potencjalne ryzyko przestoju. Zamiast tego użyj kontrolera dostarczania aplikacji BIG-IP (ADC, BIG-IP Application Delivery Controller), aby wypełnić lukę między starszą aplikacją a nowoczesną płaszczyzną sterowania identyfikatorami poprzez przejście protokołu.

Duży adres IP przed aplikacją umożliwia nakładkę usługi przy użyciu wstępnego uwierzytelniania firmy Microsoft i logowania jednokrotnego opartego na nagłówkach. Ta konfiguracja poprawia ogólny stan zabezpieczeń aplikacji.

Architektura scenariusza

Rozwiązanie bezpiecznego dostępu hybrydowego (SHA) ma następujące składniki:

• Aplikacja SAP ERP — opublikowana usługa BIG-IP chroniona przez usługę Microsoft Entra SHA
• Microsoft Entra ID — dostawca tożsamości SAML (Security Assertion Markup Language) weryfikujący poświadczenia użytkownika, dostęp warunkowy i Logowanie Jednokrotne oparte na protokole SAML do BIG-IP
• BIG-IP — serwer proxy odwrotny i dostawca usług SAML (SP) dla aplikacji. Uwierzytelnianie delegatów BIG-IP do dostawcy tożsamości SAML wykonuje logowanie jednokrotne oparte na nagłówku do usługi SAP

Algorytm SHA obsługuje przepływy inicjowane przez dostawcę usług i dostawcę tożsamości. Na poniższej ilustracji przedstawiono przepływ inicjowany przez dostawcę usług.

1. Użytkownik łączy się z punktem końcowym aplikacji (BIG-IP).
2. Zasady dostępu BIG-IP Access Manager (APM) przekierowuje użytkownika do microsoft Entra ID (SAML IdP).
3. Identyfikator entra firmy Microsoft wstępnie uwierzytelnia użytkownika i stosuje wymuszane zasady dostępu warunkowego.
4. Użytkownik jest przekierowywany do adresu BIG-IP (SAML SP), a logowanie jednokrotne występuje z wystawionym tokenem SAML.
5. Big-IP żąda biletu Protokołu Kerberos z centrum dystrybucji kluczy (KDC).
6. Big-IP wysyła żądanie do aplikacji zaplecza z biletem Kerberos na potrzeby logowania jednokrotnego.
7. Aplikacja autoryzuje żądanie i zwraca ładunek.

Wymagania wstępne

• Bezpłatne konto microsoft Entra ID lub nowsze
  • Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure
• Big-IP lub BIG-IP Virtual Edition (VE) na platformie Azure
  • Zobacz Wdrażanie maszyny wirtualnej F5 BIG-IP Virtual Edition na platformie Azure
• Dowolne z następujących licencji F5 BIG-IP:
  • F5 BIG-IP® Najlepszy pakiet
  • Licencja autonomiczna F5 BIG-IP APM
  • Licencja dodatku F5 BIG-IP APM na istniejącą licencję BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
  • 90-dniowa licencja próbna na w pełni funkcjonalną BIG-IP wersję
• Tożsamości użytkowników synchronizowane z katalogu lokalnego do identyfikatora Entra firmy Microsoft lub utworzone w usłudze Microsoft Entra ID i przepływane z powrotem do katalogu lokalnego
  • Zobacz : Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji
• Jedną z następujących ról: Administrator aplikacji w chmurze lub Administrator aplikacji.
• Certyfikat sieci Web SSL do publikowania usług za pośrednictwem protokołu HTTPS lub użyj domyślnych certyfikatów BIG-IP do testowania
  • Zobacz Wdrażanie maszyny wirtualnej F5 BIG-IP Virtual Edition na platformie Azure
• Środowisko SAP ERP skonfigurowane do uwierzytelniania Kerberos

Metody konfiguracji BIG-IP

W tym samouczku użyto konfiguracji z przewodnikiem 16.1 z szablonem Easy Button. Dzięki przyciskowi Easy Button administratorzy nie przechodzą między identyfikatorem Entra firmy Microsoft i dużym adresem IP w celu włączenia usług sha. Kreator konfiguracji z przewodnikiem APM i program Microsoft Graph obsługują wdrażanie i zarządzanie zasadami. Dzięki tej integracji aplikacje obsługują federację tożsamości, logowanie jednokrotne i dostęp warunkowy.

Uwaga

Zastąp przykładowe ciągi lub wartości w tym przewodniku tymi w środowisku.

Zarejestruj łatwy przycisk

Zanim klient lub usługa uzyskuje dostęp do programu Microsoft Graph, Platforma tożsamości Microsoft musi mu ufać.

Zobacz Szybki start: rejestrowanie aplikacji za pomocą platformy tożsamości firmy Microsoft

Zarejestruj klienta Easy Button w identyfikatorze Entra firmy Microsoft, a następnie ustanawia relację zaufania między wystąpieniami usługi SAML SP opublikowanej aplikacji BIG-IP i identyfikatorem Entra firmy Microsoft jako dostawcą tożsamości SAML.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do obszaruRejestracje> aplikacji Entra ID>Nowa rejestracja.

3. Wprowadź nazwę nowej aplikacji.

4. W Konta tylko w tym katalogu organizacyjnym określ, kto może używać aplikacji.

5. Wybierz pozycję Zarejestruj.

6. Przejdź do Uprawnienia interfejsu API.

7. Autoryzuj następujące uprawnienia aplikacji programu Microsoft Graph:

   • Application.Read.All
   • Aplikacja.ReadWrite.All
   • Uprawnienia aplikacji: Odczyt/Zapis (posiadane przez)
   • Katalog.Czytaj.Wszystko
   • Grupa.Czytaj.Wszystko
   • TożsamośćRyzykownegoUżytkownika.Czytaj.Wszystko
   • Polityka.Odczyt.Wszystko
   • Policy.ReadWrite.ApplicationConfiguration
   • Polityka.Odczyt/Zapis.Dostęp Warunkowy
   • User.Read.All (odczyt wszystkich danych użytkownika)

8. Udziel zgody administratora dla organizacji.

9. W obszarze Certyfikaty i wpisy tajne wygeneruj nowy klucz tajny klienta.

10. Zanotuj wpis tajny.

11. W obszarze Przegląd zanotuj identyfikator klienta oraz najemcy.

Konfigurowanie przycisku Easy

1. Zainicjuj konfigurację z przewodnikiem APM.
2. Uruchom szablon Easy Button.
3. W przeglądarce zaloguj się do konsoli zarządzania F5 BIG-IP.
4. Przejdź do pozycji Dostęp do > konfiguracji z przewodnikiem > Integracja z Microsoftem.
5. Wybierz pozycję Microsoft Entra Application.
6. Przejrzyj listę konfiguracji.
7. Wybierz pozycję Dalej.
8. Postępuj zgodnie z sekwencją konfiguracji w obszarze Microsoft Entra Application Configuration.

Właściwości konfiguracji

Karta Właściwości konfiguracji zawiera właściwości konta usługi i tworzy konfigurację aplikacji dla BIG-IP oraz obiekt SSO. Sekcja Szczegóły konta usługi platformy Azure reprezentuje klienta zarejestrowanego jako aplikacja w dzierżawie Microsoft Entra. Użyj ustawień klienta OAuth BIG-IP, aby indywidualnie zarejestrować dostawcę usługi SAML w dzierżawie z właściwościami logowania jednokrotnego. Easy Button wykonuje tę akcję dla usług BIG-IP opublikowanych i włączonych dla algorytmu SHA.

Uwaga

Niektóre ustawienia są globalne i mogą być ponownie używane do publikowania większej liczby aplikacji.

1. Wprowadź nazwę konfiguracji. Unikatowe nazwy różnią konfiguracje przycisków Easy Button.
2. W obszarze Single Sign-On (SSO) i nagłówki HTTP wybierz Włącz.
3. W polach Identyfikator dzierżawy, Identyfikator klienta i Klucz tajny klienta wprowadź identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta zanotowany podczas rejestracji dzierżawy.
4. Wybierz pozycję Testuj połączenie. Ta akcja potwierdza, że big-IP nawiązuje połączenie z dzierżawą.
5. Wybierz pozycję Dalej.

Dostawca usług

Użyj ustawień dostawcy usług, aby zdefiniować właściwości wystąpienia usługi SAML SP aplikacji zabezpieczonej przez algorytm SHA.

1. W polu Host wprowadź publiczną w pełni kwalifikowaną nazwę domeny (FQDN) zabezpieczonej aplikacji.

2. W polu Identyfikator jednostki wprowadź identyfikator używany przez firmę Microsoft Entra ID w celu zidentyfikowania dostawcy usługi SAML żądającego tokenu.

   

3. (Opcjonalnie) Użyj ustawień zabezpieczeń , aby wskazać, że identyfikator Entra firmy Microsoft szyfruje wystawione asercji SAML. Asercji zaszyfrowanych między identyfikatorem Entra firmy Microsoft i big-IP APM zwiększają pewność, że tokeny zawartości nie są przechwytywane ani nie są naruszone.

4. Z listy Klucz prywatny odszyfrowywania asercji wybierz Utwórz nowy.

   

5. Wybierz przycisk OK.

6. Zostanie wyświetlone okno dialogowe Importowanie certyfikatu SSL i kluczy na nowej karcie.

7. Aby zaimportować certyfikat i klucz prywatny, wybierz pozycję PKCS 12 (IIS).

8. Zamknij kartę przeglądarki, aby powrócić do karty głównej.

   

9. W polu Włącz szyfrowaną asercję zaznacz pole wyboru.

10. Jeśli włączono szyfrowanie, z listy Klucz prywatny odszyfrowywania asercji wybierz klucz prywatny dla certyfikatu BIG-IP, który APM używa do odszyfrowania asercji Microsoft Entra.

11. Jeśli włączono szyfrowanie, z listy Certyfikat deszyfrowania asercji wybierz certyfikat BIG-IP, który jest przesyłany do usługi Microsoft Entra ID w celu szyfrowania wydawanych asercji SAML.

Microsoft Entra ID

Plik Easy Button zawiera szablony aplikacji dla oprogramowania Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP i ogólnego szablonu SHA.

1. Aby uruchomić konfigurację platformy Azure, wybierz pozycję > składnik systemu SAP ERP Central).

   

   Uwaga

   Informacje przedstawione w poniższych sekcjach można użyć podczas ręcznego konfigurowania nowej aplikacji SAML BIG-IP w dzierżawie firmy Microsoft Entra.

Konfiguracja platformy Azure

1. W polu Nazwa wyświetlana wprowadź nazwę aplikacji utworzonej w dzierżawie Microsoft Entra przez BIG-IP. Nazwa jest wyświetlana na ikonie w portalu Moje aplikacje .

2. (Opcjonalnie) pozostaw pusty adres URL logowania (opcjonalnie).

   

3. Obok Klucz podpisywania wybierz Odśwież.

4. Wybierz pozycję Certyfikat podpisywania. Ta akcja lokalizuje wprowadzony certyfikat.

5. W polu Hasło klucza podpisywania wprowadź hasło certyfikatu.

6. (Opcjonalnie) Włącz opcję podpisywania. Ta opcja zapewnia, że big-IP akceptuje tokeny i oświadczenia podpisane przez identyfikator Entra firmy Microsoft

   

7. Użytkownicy i grupy użytkowników są dynamicznie odpytywane z tenantów Microsoft Entra. Grupy pomagają autoryzować dostęp do aplikacji.

8. Dodaj użytkownika lub grupę do testowania. W przeciwnym razie odmowa dostępu.

   

Atrybuty i oświadczenia użytkownika

Gdy użytkownicy uwierzytelniają się w usłudze Microsoft Entra ID, wystawiają token SAML z domyślnymi oświadczeniami i atrybutami identyfikującymi użytkownika. Karta Atrybuty użytkownika i oświadczenia zawiera domyślne oświadczenia, które mają być wystawiane dla nowej aplikacji. Służy do konfigurowania większej liczby oświadczeń.

Ten samouczek jest oparty na sufiksie domeny .com używany wewnętrznie i zewnętrznie. Do osiągnięcia funkcjonalnej implementacji logowania jednokrotnego ograniczonego delegowania protokołu Kerberos (KCD) nie są wymagane żadne inne atrybuty.

Możesz uwzględnić więcej atrybutów firmy Microsoft Entra. Na potrzeby tego samouczka system SAP ERP wymaga atrybutów domyślnych.

Dowiedz się więcej : Samouczek: Konfigurowanie programu F5 BIG-IP Access Policy Manager na potrzeby uwierzytelniania Kerberos. Zobacz instrukcje dotyczące wielu domen lub logowania użytkownika przy użyciu alternatywnych sufiksów.

Dodatkowe atrybuty użytkownika

Karta Dodatkowe atrybuty użytkownika obsługuje systemy rozproszone wymagające atrybutów przechowywanych w innych katalogach na potrzeby rozszerzania sesji. W związku z tym atrybuty ze źródła protokołu LDAP (Lightweight Directory Access Protocol) są wstrzykiwane jako więcej nagłówków logowania jednokrotnego w celu kontrolowania dostępu opartego na rolach, identyfikatorów partnerów itd.

Uwaga

Ta funkcja nie ma korelacji z identyfikatorem Entra firmy Microsoft, ale jest innym źródłem atrybutów.

Zasady dostępu warunkowego

Zasady dostępu warunkowego są wymuszane po wstępnego uwierzytelniania firmy Microsoft. Ta akcja kontroluje dostęp na podstawie urządzeń, aplikacji, lokalizacji i sygnałów ryzyka.

Widok Dostępne zasady zawiera listę zasad dostępu warunkowego bez akcji opartych na użytkownikach.

Widok Wybrane zasady zawiera listę zasad przeznaczonych dla aplikacji w chmurze. Nie można usunąć zaznaczenia zasad wymuszanych na poziomie dzierżawy ani przenieść ich do listy Dostępne zasady.

Aby wybrać zasady dla publikowanej aplikacji:

1. Z listy Dostępne zasady wybierz zasady.
2. Wybierz strzałkę w prawo.
3. Przenieś zasady na listę Wybrane zasady .

Wybrane zasady mają zaznaczoną opcję Dołącz lub Wyklucz . Jeśli obie opcje są zaznaczone, wybrane zasady nie są wymuszane.

Uwaga

Po początkowym wybraniu tej karty zostanie wyświetlona lista zasad. Użyj przycisku odświeżania, aby wysłać zapytanie do dzierżawy. Odświeżanie jest wyświetlane po wdrożeniu aplikacji.

Właściwości serwera wirtualnego

Serwer wirtualny to obiekt płaszczyzny danych BIG-IP reprezentowany przez wirtualny adres IP. Ten serwer nasłuchuje żądań klientów do aplikacji. Odebrany ruch jest przetwarzany i oceniany względem profilu APM skojarzonego z serwerem wirtualnym. Ruch jest następnie kierowany zgodnie z zasadami.

1. Wprowadź adres docelowy. Użyj adresu IPv4/IPv6, który używa protokołu BIG-IP do odbierania ruchu klienta. Odpowiedni rekord znajduje się na serwerze nazw domen (DNS), który umożliwia klientom rozpoznawanie zewnętrznego adresu URL opublikowanej aplikacji BIG-IP do tego adresu IP. Do testowania można użyć serwera DNS hosta lokalnego komputera testowego.
2. Dla Portu usługi wpisz 443.
3. Wybierz pozycję HTTPS.
4. W polu Włącz port przekierowania zaznacz pole wyboru.
5. W polu Port przekierowania wprowadź liczbę i wybierz pozycję HTTP. Ta opcja przekierowuje przychodzący ruch klienta HTTP do protokołu HTTPS.
6. Wybierz utworzony profil SSL klienta . Możesz też pozostawić wartość domyślną do testowania. Profil SSL klienta włącza serwer wirtualny dla protokołu HTTPS, więc połączenia klienckie są szyfrowane za pośrednictwem protokołu Transport Layer Security (TLS).

Właściwości puli

Zakładka Pula aplikacji zawiera usługi za BIG-IP, przedstawione jako pula serwerów aplikacyjnych.

1. W obszarze Wybierz pulę wybierz pozycję Utwórz nową lub wybierz pulę.

2. W obszarze Metoda równoważenia obciążenia wybierz opcję Round Robin.

3. W obszarze Serwery puli wybierz węzeł serwera lub wprowadź adres IP i port dla węzła zapleczowego obsługującego aplikację opartą na nagłówkach.

   

Logowanie jednokrotne i nagłówki HTTP

Użyj logowania jednokrotnego, aby włączyć dostęp do opublikowanych usług BIG-IP bez wprowadzania poświadczeń. Kreator łatwego przycisku obsługuje nagłówki autoryzacji Kerberos, OAuth Bearer i HTTP na potrzeby logowania jednokrotnego. Aby uzyskać poniższe instrukcje, potrzebne jest utworzone konto delegowania Protokołu Kerberos.

1. W obszarze Pojedyncze Sign-On i nagłówki HTTP w obszarze Ustawienia zaawansowane wybierz pozycję Włączone.

2. Dla Wybranego pojedynczego typu Sign-On, wybierz Kerberos.

3. W polu Źródło nazwy użytkownika wprowadź zmienną sesji jako źródło identyfikatora użytkownika. session.saml.last.identity przechowuje oświadczenie Firmy Microsoft Entra z identyfikatorem zalogowanym użytkownika.

4. Opcja Źródło obszaru użytkownika jest wymagana, jeśli domena użytkownika różni się od obszaru BIG-IP kerberos. W związku z tym zmienna sesji APM zawiera domenę zalogowanego użytkownika. Na przykład session.saml.last.attr.name.domain.

   

5. W przypadku KDC wprowadź adres IP kontrolera domeny lub FQDN, jeśli skonfigurowano DNS.

6. W przypadku obsługi UPN zaznacz pole. Aplikacja APM używa głównej nazwy użytkownika (UPN) do obsługi biletów protokołu Kerberos.

7. W polu Wzorzec SPN wprowadź HTTP/%h. Ta akcja informuje APM o użyciu nagłówka hosta żądania klienta i skompilowania głównej nazwy usługi (SPN), dla której żąda tokenu kerberos.

8. W polu Wyślij autoryzację wyłącz opcję dla aplikacji, które negocjują uwierzytelnianie. Na przykład Tomcat.

   

Zarządzanie sesjami

Użyj ustawień zarządzania sesjami BIG-IP, aby zdefiniować warunki po zakończeniu lub kontynuowaniu sesji użytkownika. Warunki obejmują limity dla użytkowników i adresów IP oraz odpowiednie informacje o użytkowniku.

Aby dowiedzieć się więcej, przejdź na my.f5.com na K18390492: Zabezpieczenia | przewodnik APM BIG-IP

Przewodnik obsługi nie obejmuje pojedynczego wylogowania (SLO). Ta funkcja zapewnia, że sesje między dostawcą tożsamości, dużym adresem IP i agentem użytkownika zakończą się po wylogowaniu użytkowników. Przycisk Easy Button wdraża aplikację SAML w dzierżawie firmy Microsoft Entra. Wypełnia on adres URL wylogowywania punktem końcowym slo APM. Wylogowanie zainicjowane przez dostawcę tożsamości na portalu Moje aplikacje kończy sesję BIG-IP oraz sesję klienta.

Podczas wdrażania metadane federacji SAML opublikowanej aplikacji są importowane z dzierżawy. Ta akcja zapewnia punkt końcowy wylogowania SAML dla identyfikatora Entra firmy Microsoft i pomaga wylogowywaniu inicjowanym przez dostawcę usług zakończenie sesji klienta i firmy Microsoft Entra.

Wdrożenie

1. Wybierz pozycję Wdróż.
2. Sprawdź, czy aplikacja znajduje się na liście aplikacji dla przedsiębiorstw dzierżawy.
3. Za pomocą przeglądarki połącz się z zewnętrznym adresem URL aplikacji lub wybierz ikonę aplikacji w obszarze Moje aplikacje.
4. Uwierzytelnij się w identyfikatorze Entra firmy Microsoft.
5. Przekierowanie umożliwia przejście do serwera wirtualnego BIG-IP i zalogowanie się za pomocą logowania jednokrotnego.

W celu zwiększenia bezpieczeństwa można zablokować bezpośredni dostęp do aplikacji i wymusić ścieżkę za pośrednictwem big-IP.

Wdrażanie zaawansowane

Szablony konfiguracji z przewodnikiem czasami nie mają elastyczności.

Dowiedz się więcej : Samouczek: Konfigurowanie programu F5 BIG-IP Access Policy Manager na potrzeby uwierzytelniania Kerberos.

Wyłączanie ścisłego trybu zarządzania

Alternatywnie w trybie BIG-IP można wyłączyć tryb ścisłego zarządzania Konfiguracja z przewodnikiem. Konfiguracje można zmienić ręcznie, chociaż większość konfiguracji jest zautomatyzowana za pomocą szablonów kreatora.

1. Przejdź do funkcji Dostęp do konfiguracji według przewodnika>.

2. Na końcu wiersza konfiguracji aplikacji wybierz kłódkę.

3. Obiekty BIG-IP skojarzone z opublikowaną aplikacją są odblokowywane do zarządzania. Zmiany za pośrednictwem interfejsu użytkownika kreatora nie są już możliwe.

   

   Uwaga

   Aby ponownie włączyć rygorystyczny tryb zarządzania i wdrożyć konfigurację, która zastępuje ustawienia poza interfejsem użytkownika konfiguracji z przewodnikiem, zalecamy zaawansowaną metodę konfiguracji dla usług produkcyjnych.

Rozwiązywanie problemów

Jeśli nie możesz uzyskać dostępu do aplikacji zabezpieczonej algorytmem SHA, zapoznaj się z poniższymi wskazówkami dotyczącymi rozwiązywania problemów.

• Protokół Kerberos jest wrażliwy na czas. Upewnij się, że serwery i klienci są ustawione na prawidłowy czas i zsynchronizowane z niezawodnym źródłem czasu.
• Upewnij się, że kontroler domeny i nazwa hosta aplikacji internetowej są rozpoznawane w systemie DNS.
• Upewnij się, że w środowisku nie ma zduplikowanych nazw SPN.
  • Na komputerze domeny w wierszu polecenia użyj zapytania: setspn -q HTTP/my_target_SPN

Aby zweryfikować konfigurację KCD aplikacji usług Internet Information Services (IIS), zobacz Rozwiązywanie problemów z konfiguracjami KCD serwera proxy aplikacji

Przejdź na techdocs.f5.com, aby znaleźć metodę jednokrotnego logowania Kerberos

Analiza dzienników

Czasownik dziennika

Rejestrowanie BIG-IP izoluje problemy z łącznością, logowaniem jednokrotnym, naruszeniami zasad lub nieprawidłowo skonfigurowanymi mapowaniami zmiennych. Aby rozpocząć rozwiązywanie problemów, zwiększ szczegółowość dziennika.

1. Przejdź do > zasad dostępu.
2. Wybierz pozycję Dzienniki zdarzeń.
3. Wybierz pozycję Ustawienia.
4. Wybierz wiersz dla opublikowanej aplikacji.
5. Wybierz pozycję Edytuj.
6. Wybieranie pozycji Uzyskiwanie dostępu do dzienników systemu
7. Z listy SSO wybierz Debug.
8. Wybierz przycisk OK.
9. Odtwórz problem.
10. Sprawdź dzienniki.

Po zakończeniu inspekcji przywróć szczegółowość dziennika, ponieważ ten tryb generuje nadmierne dane.

Komunikat o błędzie BIG-IP

Jeśli po wstępnie uwierzytelnieniu firmy Microsoft pojawi się komunikat o błędzie BIG-IP, problem może odnosić się do identyfikatora Entra firmy Microsoft do logowania jednokrotnego BIG-IP.

1. Przejdź do > dostępu.
2. Wybierz pozycję Raporty programu Access.
3. Uruchom raport o ostatniej godzinie.
4. Sprawdź dzienniki.

Użyj linku Wyświetl zmienne bieżącej sesji, aby sprawdzić, czy usługa APM odbiera oczekiwane dane Microsoft Entra.

Brak komunikatu o błędzie BIG-IP

Jeśli nie zostanie wyświetlony komunikat o błędzie BIG-IP, problem może być związany z żądaniem zaplecza lub big-IP do logowania jednokrotnego aplikacji.

1. Przejdź do > zasad dostępu.
2. Wybierz pozycję Aktywne sesje.
3. Wybierz link dla bieżącej sesji.
4. Użyj linku Wyświetl zmienne , aby zidentyfikować problemy z KCD, szczególnie jeśli BIG-IP APM nie uzyskuje prawidłowych identyfikatorów użytkownika i domeny ze zmiennych sesji.

Więcej informacji:

• Przejdź do devcentral.f5.com w celu uzyskania przykładów przypisywania zmiennych APM.
• Przejdź do techdocs.f5.com po zmienne sesji