Tutorial: Configurar o Botão Fácil BIG-IP da F5 para SSO no Oracle PeopleSoft

Neste artigo, saiba como proteger o Oracle PeopleSoft (PeopleSoft) usando o Azure AD (Azure Active Directory) por meio da configuração guiada do Botão Fácil BIG-IP da F5.

A integração da BIG-IP com o Azure Active Directory oferece muitos benefícios importantes, incluindo:

Para saber mais sobre todos os benefícios, confira o artigo sobre a Integração entre o F5 BIG-IP e o Azure AD e o que é o acesso ao aplicativo e o logon único com o Azure AD.

Descrição do cenário

Para este cenário, temos um aplicativo PeopleSoft usando cabeçalhos de autorização HTTP para gerenciar o acesso ao conteúdo protegido.

Sendo herdado, o aplicativo não tem protocolos modernos para dar suporte a uma integração direta com o Azure AD. O aplicativo pode ser modernizado, mas isso é caro, exige planejamento cuidadoso e introduz um risco potencial de tempo de inatividade. Nesse caso, um BIG-IP ADC (Application Delivery Controller) da F5 é usado para fazer a ponte entre o aplicativo herdado e o painel de controle de ID moderno, por meio da transição de protocolo.

Ter um BIG-IP protegendo o aplicativo nos permite sobrepor o serviço com o SSO baseado em cabeçalho e pré-autenticação do Azure AD, aprimorando significativamente a postura de segurança geral do aplicativo.

Observação

As organizações também podem obter acesso remoto a esse tipo de aplicativo com o Proxy de Aplicativo do Azure AD.

Arquitetura de cenário

A solução de acesso híbrido seguro para esse cenário é composta por vários componentes:

Aplicativo PeopleSoft : serviço publicado do BIG-IP a ser protegido pelo SHA do Azure AD.

Azure AD: SAML (Security Assertion Markup Language), IdP (Provedor de Identidade) responsável pela verificação das credenciais do usuário, AC (Acesso Condicional) e SSO baseado em SAML para o BIG-IP. Por meio do SSO, o Azure AD fornece ao BIG-IP todos os atributos de sessão necessários.

BIG-IP: proxy reverso e SP (provedor de serviços) SAML para o aplicativo, delegando a autenticação ao IdP SAML, antes de executar o SSO baseado em cabeçalho no serviço PeopleSoft.

O SHA para esse cenário dá suporte a fluxos iniciados pelo SP e pelo IdP. A imagem a seguir ilustra o fluxo iniciado pelo SP.

Secure hybrid access - SP initiated flow

Etapas Descrição
1 O usuário se conecta ao ponto de extremidade do aplicativo (BIG-IP)
2 A política de acesso do BIG-IP APM redireciona o usuário para o Azure AD (IdP do SAML)
3 O Azure AD pré-autentica o usuário e aplica todas as políticas de acesso condicional impostas
4 O usuário é redirecionado de volta para o BIG-IP (SP no SAML) e o SSO é executado usando o token SAML emitido
5 BIG-IP injeta os atributos do sistema do Azure AD como cabeçalhos na solicitação para o aplicativo
6 O aplicativo autoriza a solicitação e retorna o conteúdo

Pré-requisitos

Não é necessário ter experiência prévia com o BIG-IP, mas você precisará do seguinte:

  • Uma assinatura gratuita ou superior do Azure Active Directory.

  • Um BIG-IP existente ou de implantar uma edição virtual do BIG-IP (VE) no Azure

  • Qualquer um dos seguintes SKUs de licença de F5 BIG-IP

    • Pacote F5 BIG-IP® Best

    • Licença autônoma do BIG-IP Access Policy Manager™ (APM) da F5

    • Licença de complemento do APM (BIG-IP Access Policy Manager™) da F5 em um LTM (Local Traffic Manager™) do BIG-IP® da F5 já existente

    • Licença de avaliação completa de 90 dias do BIG-IP.

  • Identidades do usuário sincronizadas de um diretório local para o Azure AD ou criadas diretamente no Azure AD e refluídas para o diretório local

  • Uma conta com permissões de administrador de aplicativo do Azure Active Directory.

  • Um certificado SSL Web para serviços de publicação em HTTPS, ou use certificados BIG-IP padrão durante o teste

  • Um ambiente PeopleSoft existente

Métodos de configuração BIG-IP

Há muitos métodos para configurar BIG-IP para esse cenário, incluindo duas opções baseadas em modelo e uma configuração avançada. Este tutorial aborda a última Configuração Guiada 16.1 que oferece um modelo de botão fácil.

Com o Botão Fácil, os administradores não alternam mais entre o Azure AD e um Big-IP para habilitar serviços para SHA. A implantação e o gerenciamento de políticas são tratados diretamente entre o assistente da Configuração Guiada do APM e o Microsoft Graph. Essa integração avançada entre o APM do BIG-IP e o Azure AD garante que os aplicativos possam dar suporte à federação de identidade, ao SSO e ao acesso condicional do Azure AD de maneira fácil e rápida, reduzindo a sobrecarga administrativa.

Observação

Todos os exemplos de cadeias de caracteres ou valores referenciados em todo este guia devem ser substituídos pelos do seu ambiente real.

Registrar botão fácil

Para que um cliente ou um serviço acesse o Microsoft Graph, ele precisa ser confiável para a plataforma de identidade da Microsoft.

Essa primeira etapa cria um registro de aplicativo do locatário que será usado para autorizar o acesso do Botão Fácil ao Graph. Por meio dessas permissões, o BIG-IP poderá efetuar push das configurações necessárias para estabelecer uma relação de confiança entre uma instância de SP no SAML para o aplicativo publicado e o Azure AD como o IdP de SAML.

  1. Entre no portal do Azure AD com direitos administrativos do aplicativo

  2. No painel de navegação à esquerda, escolha o serviço Azure Active Directory

  3. Em Gerenciar, selecione Registros de aplicativo Novo registro

  4. Insira um nome de exibição para o seu aplicativo. Por exemplo, Botão Fácil BIG-IP da *F5

  5. Especifique quem pode usar as contas >>

  6. Selecione Registrar para concluir o registro inicial do aplicativo

  7. Navegue até as Permissões de API e autorize as seguintesPermissões de aplicativos do Microsoft Graph:

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy. Read. All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Dar consentimento do administrador para sua organização

  9. Acesse Certificados & Segredos, gere um novo Segredo de cliente e anote-o

  10. Acesse Visão geral e anote a ID do Cliente e a ID do Locatário

Configurar botão fácil

Inicie a Configuração Guiada do APM para iniciar o modelo de Botão Fácil.

  1. Navegue até Acessar > Configuração Guiada > Integração com a Microsoft e selecione Aplicativo Azure AD

    Screenshot for Configure Easy Button- Install the template

  2. Examine a lista de etapas de configuração e selecione Avançar

    Screenshot for Configure Easy Button - List configuration steps

  3. Seguir a sequência das etapas necessárias para publicar seu aplicativo

    Configuration steps flow

Configuration Properties

A guia Propriedades de Configuração cria uma nova configuração de aplicativo e objeto de SSO.

Considere a seção Detalhes da Conta de Serviço do Azure para representar o cliente que você registrou em seu locatário do Azure AD anteriormente, como um aplicativo. Essas configurações permitem que o cliente OAuth de um BIG-IP registre individualmente um SP no SAML diretamente em seu locatário, junto com as propriedades de SSO que você configura manualmente como de costume. O Botão Fácil faz isso para cada serviço BIG-IP publicado e habilitado para SHA.

Algumas dessas configurações globais podem ser reutilizadas para publicar mais aplicativos, reduzindo ainda mais o tempo e o esforço de implantação

  1. Forneça um Nome de Configuração exclusivo que permita que um administrador diferencie com facilidade as configurações do Botão Fácil

  2. Habilitar cabeçalhos HTTP de SSO (Logon Único)

  3. Insira a ID do Locatário, a ID do Cliente e o Segredo do Cliente no aplicativo registrado

  4. Antes de selecionar Avançar, confirme se o BIG-IP pode conectar com êxito o seu locatário

    Screenshot for Configuration General and Service Account properties

Provedor de serviços

As configurações do provedor de serviços definem as propriedades do SP do SAML para a instância do APM que representa o aplicativo protegido pelo SHA.

  1. Insira o host. Esse é o FQDN público do aplicativo que está sendo protegido

  2. Inserir ID de entidade. Esse é o identificador que o Azure Active Directory usará para identificar o SP SAML solicitando um token

    Screenshot for Service Provider settings

    Em seguida, em Configurações de Segurança opcionais, especifique se o Azure AD deve criptografar as declarações SAML emitidas. A criptografia das declarações entre o Azure AD e o APM do BIG-IP fornece a garantia de que os tokens de conteúdo não possam ser interceptados nem que os dados pessoais ou corporativos sejam comprometidos.

  3. Na lista Chave Privada de Descriptografia da Declaração, selecione Criar

    Screenshot for Configure Easy Button- Create New import

  4. Selecione OK. Isso abrirá a caixa de diálogo Importar Certificado SSL e Chaves em uma nova guia

  5. Selecione PKCS 12 (IIS) para importar o certificado e a chave privada. Após o provisionamento, feche a guia do navegador para retornar à guia principal

    Screenshot for Configure Easy Button- Import new cert

  6. Marque a opção Habilitar Declaração Criptografada

  7. Se você habilitar a criptografia, selecione seu certificado na lista Chave Privada de Descriptografia da Declaração. Essa é a chave privada do certificado que o APM do BIG-IP usará para descriptografar as declarações do Azure AD

  8. Se você habilitou a criptografia, selecione seu certificado na lista Certificado de Descriptografia da Declaração. Esse é o certificado que o BIG-IP carrega no Azure AD para criptografar as declarações SAML emitidas

    Screenshot for Service Provider security settings

Active Directory do Azure

Esta seção define todas as propriedades que você normalmente usaria para configurar manualmente um novo aplicativo SAML de BIG-IP dentro de seu locatário do Azure Active Directory. O Botão Fácil fornece um conjunto de modelos de aplicativos predefinidos para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP, bem como um modelo de SHA genérico para todos os outros aplicativos.

Para este cenário, selecione Oracle PeopleSoft >Adicionar

Screenshot for Azure configuration add BIG-IP application

Configuração do Azure

  1. Insira o Nome de Exibição para o aplicativo que o BIG-IP cria em seu locatário do Azure AD e o ícone que os usuários veem no portal MyApps

  2. Na URL de logon (opcional), insira o FQDN público do aplicativo PeopleSoft que está sendo protegido

    Screenshot for Azure configuration add display info

  3. Escolha o ícone de atualização ao lado de Chave de Autenticação e de Certificado de Autenticação para localizar o certificado que já foi importado

  4. Insira a senha do certificado em Frase Secreta da Chave de Autenticação

  5. Habilite a Opção de Autenticação (opcional). Isso garante que o BIG-IP aceite apenas tokens e declarações assinados pelo Azure AD

    Screenshot for Azure configuration - Add signing certificates info

  6. Grupos de usuários e usuários são consultados dinamicamente do seu locatário do Azure Active Directory e usados para autorizar o acesso ao aplicativo. Adicione um usuário ou grupo que você possa usar posteriormente para teste; caso contrário, todo o acesso será negado

    Screenshot for Azure configuration - Add users and groups

Declarações & Atributos do Usuário

Quando um usuário é autenticado com êxito, o Azure Active Directory emite um token SAML com um conjunto padrão de declarações e atributos que identificam exclusivamente o usuário. A guia Atributos& Declarações de Usuário mostra as declarações padrão a serem emitidas para o novo aplicativo. Ele também permite configurar mais declarações. O modelo de Botão Fácil exibirá a declaração de ID de funcionário predefinida exigida pelo PeopleSoft.

Screenshot for user attributes and claims

É possível incluir atributos adicionais do Azure AD, se necessário, mas este aplicativo PeopleSoft de exemplo exige apenas os atributos predefinidos.

Atributos de usuário adicionais

A guia Atributos de Usuário Adicionais pode dar suporte a uma variedade de sistemas distribuídos que exigem atributos armazenados em outros diretórios para o aumento da sessão. Os atributos obtidos de uma origem LDAP podem ser injetados como cabeçalhos adicionais de SSO para controlar ainda mais o acesso com base em funções, IDs de parceiros, etc.

Screenshot for additional user attributes

Observação

Esse recurso não tem correlação com o Azure AD, mas é outra fonte de atributos.

Política de Acesso Condicional

As políticas de acesso condicional são impostas após a pré-autenticação do Azure AD para controlar o acesso com base em dispositivo, aplicativo, localização e sinais de risco.

A exibição Políticas Disponíveis, por padrão, listará todas as políticas de acesso condicional que não incluem ações baseadas no usuário.

A exibição Políticas Selecionadas, por padrão, mostra todas as políticas direcionadas a todos os aplicativos de nuvem. Essas políticas não podem ser desmarcadas nem movidas para a lista Políticas Disponíveis, pois são impostas no nível do locatário.

Para selecionar uma política a ser aplicada ao aplicativo que está sendo publicado:

  1. Selecione a política desejada na lista políticas disponíveis

  2. Selecione a seta para a direita e mova-a para a lista de políticas selecionadas

    As políticas selecionadas devem ter uma opção de Inclusão ou Exclusão marcada. Se as duas opções estiverem marcadas, a política não será imposta.

    Screenshot for CA policies

Observação

A lista de políticas é enumerada apenas uma vez quando a primeira mudança para essa guia. Um botão Atualizar está disponível para forçar manualmente o assistente a consultar seu locatário, mas esse botão só será exibido quando o aplicativo tiver sido implantado.

Propriedades do Servidor Virtual

Um servidor virtual é um objeto de plano de dados do BIG-IP representado por um endereço IP virtual que escuta as solicitações do cliente para o aplicativo. Todo tráfego recebido é processado e avaliado em relação ao perfil de APM associado ao servidor virtual, antes de ser direcionado de acordo com os resultados e as configurações da política.

  1. Inserir endereço de destino Esse endereço é qualquer IPv4 ou IPv6 disponível que o BIG-IP possa usar para receber o tráfego do cliente. Um registro correspondente também deve existir no DNS, permitindo que os clientes resolvam a URL externa do seu aplicativo publicado BIG-IP para este IP, em vez do próprio aplicativo. Usar o DNS de localhost de um PC de teste é adequado para testar.

  2. Insira a porta de serviço como 443 para https

  3. Marque habilitar redirecionar porta e, em seguida, digite porta de redirecionamento. Ele redireciona o tráfego do cliente HTTP de entrada para HTTPS

  4. O Perfil SSL do Cliente habilita o servidor virtual para HTTPS, para que as conexões do cliente sejam criptografadas por TLS. Selecione o Perfil de Cliente SSL que você criou como parte dos pré-requisitos ou mantenha o padrão se estiver testando.

    Screenshot for Virtual server

Propriedades de Pool

A guia Pool de Aplicativos fornece detalhes dos serviços protegidos por um BIG-IP, representados como um pool contendo um ou mais servidores de aplicativos.

  1. Escolha entre selecionar um pool. Crie um novo pool ou selecione um existente

  2. Escolha o Método de Balanceamento de Carga como Round Robin

  3. Para os Servidores de Pool, selecione um nó existente ou especifique um IP e uma porta para os servidores que hospedam o aplicativo PeopleSoft.

    Screenshot for Application pool

SSO (Logon Único) & Cabeçalhos HTTP

O assistente do Easy Button dá suporte a cabeçalhos de autorização Kerberos, portador OAuth e HTTP para o SSO nos aplicativos publicados. Como o aplicativo PeopleSoft espera cabeçalhos, habilite Cabeçalhos HTTP e insira as propriedades a seguir.

  • Operação de Cabeçalho: substituir
  • Nome do Cabeçalho: PS_SSO_UID
  • Valor do Cabeçalho: %{session.sso.token.last.username}

Screenshot for SSO and HTTP headers

Observação

As variáveis de sessão do APM definidas entre colchetes diferenciam maiúsculas e minúsculas. Por exemplo, se você inserir OrclGUID quando o nome do atributo do Azure AD estiver sendo definido como orclguid, isso causará uma falha de mapeamento de atributo.

Gerenciamento da sessão

As configurações de gerenciamento de sessão dos BIG-IPs são usadas para definir as condições nas quais as sessões de usuário são encerradas ou têm permissão para continuar, além de limites para usuários e endereços IP e as informações de usuário correspondentes. Consulte a documentação da F5 para obter os detalhes sobre essas configurações.

No entanto, o que não foi aqui tratado é a funcionalidade de SLO (logoff único), que garante que todas as sessões entre o IdP, o BIG-IP e o agente do usuário sejam encerradas à medida que os usuários se desconectam. Quando o Botão Fácil instancia um aplicativo SAML em seu locatário do Azure AD, ele também preenche a URL de logoff com o ponto de extremidade de SLO do APM. Dessa forma, os logoffs iniciados pelo IdP no portal MyApps do Azure AD também encerram a sessão entre o BIG-IP e um cliente.

Junto com isso, os metadados de federação SAML para o aplicativo publicado também são importados de seu locatário, fornecendo ao APM o ponto de extremidade de logoff de SAML para o Azure AD. Isso garante que as saídas iniciadas pelo SP encerrem a sessão entre um cliente e o Azure AD. Mas, para que isso funcione, o APM precisa saber exatamente quando um usuário sai do aplicativo.

Se o portal da Webtop do BIG-IP for usado para acessar aplicativos publicados, uma saída dele será processada pelo APM para chamar também o ponto de extremidade de saída do Azure AD. Mas considere um cenário em que o portal da Webtop do BIG-IP não é usado, então o usuário não tem como instruir o APM a sair. Mesmo que o usuário saia do aplicativo, o BIG-IP é tecnicamente alheio a isso. Então, por esta razão, a saída iniciada pelo SP precisa de cuidado para que as sessões sejam encerradas com segurança quando não forem mais necessárias. Uma maneira de conseguir isso seria adicionar uma função de SLO ao botão de saída dos aplicativos, para que ele possa redirecionar o cliente para o ponto de extremidade de saída de SAML do Azure AD ou BIG-IP. A URL do ponto de extremidade de saída SAML para o locatário pode ser encontrada em Pontos de Extremidade de > Registros de Aplicativos.

Se não for possível fazer uma alteração no aplicativo, considere fazer com que o BIG-IP escute a chamada de saída do aplicativo e, ao detectar a solicitação, dispare o SLO. Para fazer isso, consulte o Logoff Único da PeopleSoft na próxima seção.

Resumo

Esta última etapa fornece uma análise das configurações. Selecione Implantar para confirmar todas as configurações e verificar se agora o aplicativo é exibido na lista de locatários dos aplicativos empresariais. Seu aplicativo deve ser publicado e acessível via SHA, diretamente por meio de sua URL ou por meio de portais de aplicativos da Microsoft.

Configurar o PeopleSoft

O Oracle Access Manager fornece gerenciamento de identidades e acesso em aplicativos PeopleSoft. Consulte Integrar PeopleSoft com Oracle Access Manager para obter mais informações.

Configurar SSO do Oracle Access Manager

Para este cenário, você configurará o Oracle Access Manager para aceitar SSO do BIG-IP.

  1. Entre no console do PeopleSoft com credenciais de administrador

Screenshot for PeopleSoft console

  1. Navegue até PeopleTools > Segurança > Perfis de Usuário > Perfis de Usuário e crie um novo perfil de usuário

  2. Insira a ID de Usuário como OAMPSFT

  3. Atribua a Função de Usuário como Peoplesoft User e selecione Salvar

Screenshot for User Profiles

  1. Navegue até PeopleTools>Perfil da Web para selecionar o perfil da web que está sendo usado

  2. Selecione a guia Segurança e, na seção Usuários Públicos, marque Permitir Acesso Público

  3. Insira a ID de Usuário como OAMPSFT junto com a senha das contas

Screenshot for Web Profile configuration

  1. Saia do console PeopleSoft e inicie o Designer de Aplicativos PeopleTools

  2. Clique com o botão direito do mouse no campo LDAPAUTH e selecione Exibir Código de Pessoas

Screenshot for Application Designer

  1. Quando as janelas de código do LDAPAUTH abrirem, localize a função OAMSSO_AUTHENTICATION

  2. Substitua o valor atribuído ao &defaultUserId padrão por OAMPSFT. que foi definido no perfil da web

    Screenshot for OAMSSO_AUTHENTICATION function

  3. Salve o registro e navegue atéPeopleTools > Segurança> Objetos de Segurança > Signon PeopleCode

  4. Habilitar a função OAMSSO_AUTHENTICATION

    ![Captura de tela para habilitar o Signon PeopleCode](./media/f5-big-ip-easy-button-oracle-peoplesoft/enable-sign-on people-code.png)

Logoff único do PeopleSoft

O SLO do PeopleSoft inicia quando você sai do portal Microsoft MyApps, que por sua vez chama o ponto de extremidade de SLO do BIG-IP.

O BIG-IP precisa de instruções para executar o SLO em nome do aplicativo. Uma maneira é modificar a função de saída dos aplicativos para chamar o ponto de extremidade de SLO do BIG-IP, mas isso não é possível com o Peoplesoft. Faça com que o BIG-IP escute quando os usuários realizarem uma solicitação de saída para o PeopleSoft, para dispara o SLO.

Adicionar suporte de SLO a todos os usuários PeopleSoft

  1. Obter a URL de logoff correta para o portal da PeopleSoft

  2. Abra o portal por meio de um navegador da Web com as ferramentas de depuração habilitadas. Localize o elemento com a id PT_LOGOUT_MENU e salve o caminho da URL com os parâmetros da consulta. Nesse exemplo, temos: /psp/ps/?cmd=logout

    Screenshot for PeopleSoft logout URL

Em seguida, crie uma iRule do BIG-IP para redirecionar os usuários ao ponto de extremidade de logoff de SP no SAML: /my.logout.php3

  1. Navegue até Tráfego Local > Lista de iRules > Criar e forneça um nome para sua regra

  2. Insira as seguintes linhas de comando e selecione Concluído

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

Para atribuir essa iRule ao servidor virtual BIG-IP

  1. Navegue até Acesso > Configuração Guiada

  2. Selecione o link de configuração para o aplicativo PeopleSoft

    Screenshot for link for your PeopleSoft application

  3. Na barra de navegação superior, selecione Servidor Virtual e habilite Configurações Avançadas

    Screenshot for Enable Advanced settings

  4. Role para baixo e adicione a iRule que você acabou de criar

    Screenshot for PeopleSoft irule

  5. Selecione Salvar e Avançar e continue implantando as novas configurações.

Para obter mais detalhes, consulte o artigo de conhecimento da F5 Configurar o encerramento automático (logoff) da sessão com base em um nome de arquivo referenciado por URI e Visão geral da opção Incluir URI de Logoff.

Padrão para a página de aterrissagem da PeopleSoft

Embora seja melhor ter um aplicativo redirecionando o usuário para a página de aterrissagem, você também pode criar uma iRule semelhante para fazer isso no BIG-IP. Nesse cenário, redirecione todas as solicitações do usuário da raiz (“/”) para o portal da PeopleSoft externo que geralmente está localizado aqui: “/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL”

  1. Navegue até Tráfego Local> iRule, selecione iRule_PeopleSoft e adicione estas linhas de comando:

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. Atribua a iRule ao servidor virtual BIG-IP conforme feito nas etapas acima

Próximas etapas

Em um navegador, conecte a URL externa do aplicativo da PeopleSoft ou selecione o ícone do aplicativo no portal MyApps da Microsoft. Depois de se autenticar no Azure AD, você será redirecionado ao servidor virtual do BIG-IP do aplicativo e será conectado automaticamente por meio do SSO.

Para aumentar a segurança, as organizações que usam esse padrão também podem considerar o bloqueio de todo o acesso direto ao aplicativo, forçando, assim, um caminho estrito por meio do BIG-IP.

Implantação avançada

Pode haver casos em que os modelos da Configuração Guiada não têm a flexibilidade para alcançar requisitos mais específicos. Para esses cenários, confira Configuração avançada para o SSO baseado em cabeçalhos. Como alternativa, o BIG-IP oferece a opção de desabilitar o modo de gerenciamento estrito da Configuração Guiada. Isso permite que você ajuste manualmente as configurações, mesmo que a maior parte delas seja automatizada por meio dos modelos baseados em assistente.

Navegue até Acesso Configuração Guiada e selecione o pequeno ícone de cadeado na extremidade direita da linha para ver as configurações dos aplicativos.

Screenshot for Configure Easy Button - Strict Management

Nesse ponto, as alterações por meio da interface do usuário do assistente não são mais possíveis, mas todos os objetos BIG-IP associados à instância publicada do aplicativo serão desbloqueados para gerenciamento direto.

Observação

Se você habilitar novamente o modo estrito e implantar uma configuração, serão substituídas as configurações feitas fora da interface do usuário da Configuração Guiada. Portanto, recomendamos o método de configuração avançada para os serviços de produção.

Solução de problemas

A falha em acessar um aplicativo protegido por SHA pode ser devido a vários fatores. O log do BIG-IP pode ajudar a isolar rapidamente todos os tipos de problemas com conectividade, SSO, violações de política ou mapeamentos de variáveis configurados incorretamente. Comece a solucionar problemas aumentando o nível de detalhes do log.

  1. navegue até política de acesso visão geral > Logs de eventos > Configurações

  2. Selecione a linha do seu aplicativo publicado e, em seguida, Editar> Acessar Logs do Sistema

  3. Selecione Depurar na lista de SSO e, em seguida, OK

Reproduza o problema e inspecione os logs, mas lembre-se de alternar isso novamente quando terminar, pois o modo detalhado gera muitos dados. Caso você veja um erro com a marca BIG-IP imediatamente após uma autenticação de sucesso do Azure Active Directory, o problema pode estar relacionado ao SSO do Azure AD para o BIG-IP.

  1. Navegue até Acessar Visão geral > Acessar relatórios

  2. Execute o relatório da última hora para verificar se os logs fornecem alguma pista. O link Exibir variáveis de sessão para sua sessão também ajudará a entender se o APM está recebendo as declarações esperadas do Azure Active Directory.

Se você não vir uma página de erro do BIG-IP, o problema provavelmente estará mais relacionado à solicitação de back-end ou ao SSO do BIG-IP para o aplicativo.

  1. Nesse caso, acesse a Política de Acesso > Visão Geral> Sessões Ativas e selecione o link da sua sessão ativa

  2. O link Exibir Variáveis nesse local também pode ajudar a causar problemas de SSO, principalmente se o APM do BIG-IP não conseguir obter os atributos corretos das variáveis de sessão

Confira Exemplos de atribuição de variável do BIG-IP APM e Referência de variáveis de sessão do BIG-IP da F5 para obter mais informações.