Руководство по настройке F5 BIG-IP Easy Button для единого входа в Oracle EBS

Эта статья содержит сведения о защите Oracle Enterprise Business Suite (EBS) с помощью Azure Active Directory (Azure AD) посредством интерактивной настройки F5 BIG-IP Easy Button.

Интеграция BIG-IP с Azure AD обеспечивает множество преимуществ, в том числе:

Сведения обо всех преимуществах см. в статьях об интеграции F5 BIG-IP и Azure AD и о том, что такое доступ к приложениям и единый вход с помощью Azure AD.

Описание сценария

В этом сценарии рассматривается классическое приложение Oracle EBS, использующее заголовки авторизации HTTP для управления доступом к защищенному содержимому.

Это устаревшее приложение, не поддерживающее современные протоколы, необходимые для прямой интеграции с Azure AD. Приложение можно модернизировать, но это достаточно дорого, требует тщательного планирования и может привести к простоям. Вместо этого используется контроллер доставки приложений (ADC) F5 BIG-IP для переноса устаревшего приложения на современный уровень управления идентификаторами посредством использования нового протокола.

Наличие BIG-IP перед приложением позволяет использовать поверх службы предварительную проверку подлинности Azure AD и единый вход на основе заголовков, что значительно улучшает общее состояние безопасности приложения.

Архитектура сценария

Решение защищенного гибридного доступа для этого сценария включает несколько компонентов, в том числе многоуровневую архитектуру Oracle:

Приложение Oracle EBS. Опубликованная служба BIG-IP, которую необходимо защитить с помощью безопасного гибридного доступа (SHA) Azure AD.

Azure AD. Поставщик удостоверений (IdP) языка разметки заявлений системы безопасности (SAML), отвечающий за проверку учетных данных пользователей, условный доступ и единый вход в BIG-IP на основе SAML. С помощью единого входа Azure AD предоставляет службе BIG-IP все необходимые атрибуты сеанса.

Oracle Internet Directory (OID). Размещает пользовательскую базу данных. BIG-IP проверяет наличие атрибутов авторизации с помощью протокола LDAP.

Oracle AccessGate. Проверяет атрибуты авторизации через обратный канал с помощью службы OID до выдачи файлов cookie доступа для EBS.

BIG-IP. Обратный прокси-сервер и поставщик службы SAML для приложения, делегирующие проверку подлинности поставщику удостоверений SAML перед выполнением единого входа на основе заголовков в приложение Oracle.

Безопасный гибридный доступ в этом сценарии поддерживает потоки, инициированные и поставщиком службы, и поставщиком удостоверений. На рисунке ниже показан поток, инициированный SP.

Безопасный гибридный доступ — поток, инициированный SP

Шаги Описание
1 Пользователь подключается к конечной точке приложения (BIG-IP).
2 Политика доступа BIG-IP APM перенаправляет пользователя в Azure AD (поставщик удостоверений SAML).
3 Azure AD выполняет предварительную проверку подлинности пользователя и применяет все принудительные политики условного доступа
4 Пользователь перенаправляется назад в BIG-IP (поставщик службы SAML), и выполняется единый вход с использованием выданного токена SAML
5 BIG-IP выполняет запрос LDAP для получения атрибута уникального идентификатора (UID) пользователя.
6 BIG-IP внедряет возвращенный атрибут UID в виде заголовка user_orclguid в запрос файла cookie сеанса EBS к Oracle AccessGate.
7 Oracle AccessGate проверяет UID с помощью службы Oracle Internet Directory (OID) и выдает файл cookie доступа для EBS.
8 EBS отправляет заголовки пользователя и файл cookie приложению и возвращает полезные данные пользователю.

Предварительные требования

Предыдущий опыт работы с BIG-IP не обязателен, но вам требуется следующее:

  • Бесплатная подписка на Azure AD или более поздней версии

  • Наличие BIG-IP или развертывание виртуального выпуска (VE) BIG-IP в Azure

  • Любой из следующих номеров SKU лицензий F5 BIG-IP

    • Пакет F5 BIG-IP® Best

    • отдельная лицензия F5 BIG-IP Access Policy Manager™ (APM).

    • Дополнительная лицензия F5 BIG-IP Access Policy Manager™ (APM) на имеющийся BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)

    • 90-дневная лицензия на полную пробную версию BIG-IP

  • Удостоверения пользователей должны быть синхронизированы из локального каталога в Azure AD или созданы непосредственно в Azure AD и переданы обратно в локальный каталог

  • Учетная запись с разрешениями администратора приложения Azure AD

  • Веб-сертификат SSL для публикации служб по протоколу HTTPS или использование сертификатов BIG-IP по умолчанию при тестировании

  • Существующий пакет Oracle EBS с Oracle AccessGate и OID (Oracle Internet Database) с поддержкой LDAP.

Методы настройки BIG-IP

Есть несколько способов настройки BIG-IP для этого сценария, включая два варианта с помощью шаблона и расширенную конфигурацию. В этом руководстве описана последняя версия мастера интерактивной настройки 16.1, предлагающая шаблон Easy Button. Благодаря Easy Button администраторам больше не нужно переключаться между Azure AD и BIG-IP, чтобы активировать службы для SHA. Развертывание и управление политиками осуществляются непосредственно между мастером интерактивной настройки APM и Microsoft Graph. Широкие возможности интеграции BIG-IP APM с Azure AD гарантируют, что приложения смогут легко поддерживать федерацию удостоверений, единый вход и условный доступ Azure AD, сокращая расходы на администрирование.

Примечание

Все примеры строк или значений, упоминаемых в этом руководстве, должны быть заменены на значения для реальной среды.

Регистрация Easy Button

Прежде чем клиент или служба смогут получить доступ к Microsoft Graph, необходимо установить доверие к ним со стороны платформы удостоверений Майкрософт.

На первом шаге создается регистрация приложения в клиенте, которая будет использоваться для авторизации доступа Easy Button к Graph. Посредством этих разрешений BIG-IP будет разрешено отправлять конфигурации, необходимые для установления отношения доверия между экземпляром поставщика служб SAML для опубликованного приложения и Azure AD в качестве поставщика удостоверений SAML.

  1. Вход на портал Azure AD с правами администратора приложения

  2. В области навигации слева выберите службу Azure Active Directory.

  3. В разделе "Управление" выберите Регистрация приложений > Новая регистрация.

  4. Введите отображаемое имя приложения. Например, F5 BIG-IP Easy Button.

  5. Укажите, кто может использовать приложение: >Учетные записи только в этом каталоге организации.

  6. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.

  7. Перейдите в раздел Разрешения API и предоставьте следующие разрешения приложения Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All;
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All.
  8. Предоставление согласия администратора для организации

  9. Перейдите к разделу Сертификаты и секреты, создайте новый секрет клиента и запишите его.

  10. На вкладке Обзор запишите идентификатор клиента и идентификатор арендатора.

Настройка Easy Button

Запустите интерактивную конфигурацию APM, чтобы запустить шаблон Easy Button.

  1. Перейдите в раздел Access > Guided Configuration > Microsoft Integration (Доступ > Интерактивная настройка > Интеграция Майкрософт) и выберите элемент Azure AD Application (Приложение Azure AD).

    Снимок экрана: настройка Easy Button — установка шаблона

  2. Проверьте список шагов по настройке и нажмите кнопку Next (Далее).

    Снимок экрана: настройка Easy Button — список шагов по настройке

  3. Выполните последовательность действий для публикации приложения.

    Последовательность шагов по настройке

Configuration Properties

На вкладке Configuration Properties (Свойства конфигурации) создаются конфигурация приложения BIG-IP и объект единого входа. В разделе Azure Service Account Details (Сведения об учетной записи службы Azure) в качестве приложения указывается клиент, ранее зарегистрированный в вашем арендаторе Azure AD. Эти параметры позволяют клиенту OAuth BIG-IP зарегистрировать поставщик служб SAML отдельно непосредственно в арендаторе, а также настроить свойства единого входа, которые обычно настраиваются вручную. Easy Button делает это для каждой публикуемой службы BIG-IP с поддержкой SHA.

Некоторые параметры являются глобальными и могут использоваться повторно при публикации дополнительных приложений, что еще больше упрощает и ускоряет развертывание.

  1. Укажите уникальное имя конфигурации, которое позволит администратору легко различать конфигурации Easy Button.

  2. Включите параметр Single Sign-On (SSO) & HTTP Headers (Единый вход > Заголовки HTTP).

  3. Введите идентификатор арендатора, идентификатор клиента и секрет клиента, указанные при регистрации.

  4. Прежде чем нажимать кнопку Далее, убедитесь в том, что BIG-IP может успешно подключиться к вашему арендатору.

     Снимок экрана: свойства

Поставщик услуг

Параметры поставщика услуг определяют свойства экземпляра поставщика службы SAML для приложения, защищенного с помощью безопасного гибридного доступа.

  1. Укажите узел. Это общедоступное полное доменное имя защищаемого приложения.

  2. Введите идентификатор сущности. Это идентификатор, который Azure AD будет использовать для определения поставщика услуг SAML, запрашивающего токен.

    Снимок экрана: параметры поставщика услуг

    Затем в разделе необязательных параметров Security Settings (Параметры безопасности) можно указать, должна ли служба Azure AD шифровать выданные утверждения SAML. Шифрование утверждений между Azure AD и BIG-IP APM обеспечивает уверенность в том, что содержимое токенов не может быть перехвачено, а личные или корпоративные данные не будут скомпрометированы.

  3. В списке Assertion Decryption Private Key (Закрытый ключ расшифровки утверждения) выберите команду Create New (Создать).

    Снимок экрана: настройка простой кнопки — создание импорта

  4. Щелкните ОК. Откроется диалоговое окно Import SSL Certificate and Keys (Импорт сертификата и ключей SSL) на новой вкладке.

  5. Выберите PKCS 12 (IIS), чтобы импортировать сертификат и закрытый ключ. После завершения подготовки к работе закройте вкладку браузера, чтобы вернуться на основную вкладку.

    Снимок экрана: настройка простой кнопки импорта нового сертификата

  6. Установите флажок Enable Encrypted Assertion (Включить зашифрованное утверждение).

  7. Если вы включили шифрование, выберите свой сертификат в списке Assertion Decryption Private Key (Закрытый ключ расшифровки утверждения). Это закрытый ключ для сертификата, который BIG-IP APM использует для расшифровки утверждений Azure AD.

  8. Если вы включили шифрование, выберите свой сертификат в списке Assertion Decryption Certificate (Сертификат расшифровки утверждения). Это сертификат, который BIG-IP отправляет в Azure AD для шифрования выдаваемых утверждений SAML.

    Снимок экрана: параметры безопасности поставщика услуг

Azure Active Directory

В этом разделе определяются все свойства, которые обычно используются для ручной настройки нового приложения SAML BIG-IP в клиенте Azure AD. Easy Button предоставляет набор предварительно определенных шаблонов приложений для Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards и SAP ERP, а также универсальный шаблон SHA для любых других приложений. Для этого сценария выберите Oracle E-Business Suite > Добавить.

Снимок экрана: добавление приложения BIG-IP в конфигурации Azure

Конфигурация Azure

  1. Введите отображаемое имя приложения, которое BIG-IP создает в арендаторе Azure AD, и значок, который отображается для пользователей на портале "Мои приложения".

  2. В поле Sign On URL (optional) (URL-адрес входа (необязательно)) введите общедоступное полное доменное имя для приложения EBS, защита которого обеспечивается, а также путь по умолчанию к домашней странице Oracle EBS.

    Снимок экрана: конфигурация Azure — добавление отображаемых сведений

  3. Щелкните значок обновления рядом с полем Signing Key (Ключ подписывания) и полем Signing Certificate (Сертификат для подписи), чтобы найти сертификат, который вы импортировали ранее.

  4. Введите пароль для сертификата в поле Signing Key Passphrase (Парольная фраза для ключа подписывания).

  5. При желании включите Signing Option (Вариант подписывания). Это позволит гарантировать, что приложение BIG-IP будет принимать только токены и утверждения, подписанные Azure AD.

    Снимок экрана: конфигурация Azure — добавление сведений о сертификатах для подписи

  6. Пользователи и группы пользователей динамически запрашиваются из клиента Azure AD и используются для авторизации доступа к приложению. Добавьте пользователя или группу, которых можно будет использовать позже для тестирования, иначе любой доступ будет запрещен.

    Снимок экрана: конфигурация Azure — добавление пользователей и групп

Утверждения и атрибуты пользователя

Когда пользователь успешно проходит проверку подлинности, Azure AD выдает токен SAML с набором утверждений и атрибутов по умолчанию, которые уникально идентифицируют пользователя. На вкладке Утверждения и атрибуты пользователя отображаются утверждения по умолчанию, выдаваемые для нового приложения. Она также позволяет настроить дополнительные утверждения.

Снимок экрана: утверждения и атрибуты пользователя

При необходимости вы можете включить дополнительные атрибуты Azure AD, но для сценария Oracle EBS требуются только атрибуты по умолчанию.

Дополнительные атрибуты пользователя

Вкладка Additional User Attributes (Дополнительные атрибуты пользователя) позволяет расширить возможности сеансов, настроив поддержку многих распределенных систем, для которых требуются атрибуты, хранящиеся в других каталогах. Атрибуты, полученные из источника LDAP, затем можно внедрить как дополнительные заголовки единого входа для дальнейшего управления доступом на основе ролей, идентификаторов партнеров и т. д.

  1. Выберите пункт Дополнительные параметры.

  2. Установите флажок LDAP Attributes (Атрибуты LDAP).

  3. Выберите Create New (Создать) в разделе Choose Authentication Server (Выбор сервера аутентификации).

  4. Выберите Use pool (Использовать пул) или Direct (Прямой) для режима подключения сервера в зависимости от настройки. Это предоставляет адрес сервера целевой службы LDAP. Если используется один LDAP-сервер, выберите режим Direct.

  5. Введите для параметра Service Port (Порт службы) значение 3060 (по умолчанию), 3161 (защищенный) или любой другой порт, с которым работает служба Oracle LDAP.

  6. Введите значение Base Search DN (Различающееся имя базового поиска), по которому будет выполняться поиск. Это различающееся имя поиска используется для поиска групп во всем каталоге.

  7. Задайте для параметра Admin DN (Различающееся имя администратора) точное различающееся имя учетной записи, которую APM будет использовать для аутентификации запросов LDAP (вместе с ее паролем).

    Снимок экрана: дополнительные атрибуты пользователя

  8. Оставьте все атрибуты схемы LDAP по умолчанию.

    Снимок экрана: атрибуты схемы LDAP

  9. В разделе LDAP Query Properties (Свойства запросов LDAP) задайте для параметра Различающееся имя поиска значение базового узла сервера LDAP, с которого будет выполняться поиск пользовательских объектов.

  10. Добавьте имя атрибута пользовательского объекта, которое должно возвращаться из каталога LDAP. Для EBS значением по умолчанию будет orclguid.

    Снимок экрана: properties.pngзапроса LDAP

Политика условного доступа

Политики условного доступа применяются после предварительной проверки подлинности Azure AD для управления доступом на основе устройства, приложения, расположения и сигналов риска.

В представлении Available Policies (Доступные политики) по умолчанию будут перечислены все политики условного доступа, которые не включают действия пользователя.

В представлении Selected Policies (Выбранные политики) по умолчанию отображаются все политики, предназначенные для всех облачных приложений. Эти политики не допускают отмены выбора или перемещения в список доступных политик, так как они применяются на уровне арендатора.

Чтобы выбрать политику для применения к публикуемому приложению, выполните указанные ниже действия.

  1. Выберите нужную политику в списке Available Policies.

  2. Щелкните стрелку вправо и переместите политику в список Selected Policies.

    Для выбранных политик необходимо установить флажок Include (Включить) или Exclude (Исключить). Если установлены оба флажка, политика не применяется.

    Снимок экрана: политики ЦС

Примечание

Список политик составляется только один раз при первом переходе на эту вкладку. Кнопка "Обновить" предназначена для того, чтобы вручную выполнить запрос из мастера к клиенту, но она отображается только в том случае, если приложение развернуто.

Свойства виртуального сервера

Виртуальный сервер — это объект плоскости данных BIG-IP, представленный виртуальным IP-адресом, который ожидает передачи клиентских запросов к приложению. Любой полученный трафик обрабатывается и оценивается по профилю APM, связанному с виртуальным сервером, а затем направляется в соответствии с результатами и параметрами политики.

  1. Введите адрес назначения. Это любой доступный IPv4- или IPv6-адрес, который BIG-IP может использовать для получения клиентского трафика. Соответствующая запись также должна существовать в DNS, чтобы клиенты могли разрешить внешний URL-адрес опубликованного приложения BIG-IP в этот IP-адрес вместо самого приложения. Для тестирования подойдет запись DNS localhost тестового компьютера.

  2. Введите порт службы443 для HTTPS.

  3. Установите флажок Enable Redirect Port (Включить порт перенаправления) и введите порт перенаправления. Он перенаправляет входящий трафик HTTP клиента на HTTPS.

  4. Профиль SSL клиента включает протокол HTTPS для виртуального сервера. Это позволит шифровать клиентские соединения через TLS. Выберите профиль SSL клиента, созданный в рамках предварительных требований, или оставьте значение по умолчанию при тестировании.

    Снимок экрана: виртуальный сервер

Свойства пула

На вкладке Application Pool (Пул приложений) приводятся сведения о службах за BIG-IP, которые представлены в виде пула, содержащего один или несколько серверов приложений.

  1. Выберите пул в списке Select a Pool (Выберите пул). Создайте новый пул или выберите существующий.

  2. В качестве метода балансировки нагрузки выберите циклический перебор.

  3. В качестве серверов пула выберите существующий узел или укажите IP-адрес и порт сервера, на котором размещается приложение Oracle EBS.

    Снимок экрана: пул приложений

  4. Пул шлюзов доступа указывает серверы, которые Oracle EBS использует для сопоставления выполнившего единый вход пользователя с сеансом Oracle E-Business Suite. Обновите серверы пула, задав IP-адрес и порт серверов приложения Oracle, на которых размещается приложение.

    Снимок экрана: пул AccessGate

Единый вход и заголовки HTTP

Мастер Easy Button поддерживает Kerberos, носитель OAuth и заголовки авторизации HTTP для единого входа в опубликованные приложения. Так как приложение Oracle EBS ожидает сведения о заголовках, включите параметр HTTP Headers (HTTP-заголовки) и введите следующие свойства.

  • Header Operation (Операция с заголовком): replace (замена).

  • Header Name (Имя заголовка): USER_NAME.

  • Header Value (Значение заголовка): %{session.sso.token.last.username}.

  • Header Operation (Операция с заголовком): replace (замена).

  • Header Name (Имя заголовка): USER_ORCLGUID.

  • Header Value (Значение заголовка): %{session.ldap.last.attr.orclguid}.

     Снимок экрана: заголовки единого входа и HTTP

Примечание

Переменные сеанса APM, определенные в фигурных скобках, чувствительны к регистру. Например, если вы введете значение OrclGUID при определении имени атрибута Azure AD в качестве orclguid, произойдет сбой сопоставления атрибутов.

Управление сеансом

Параметр управления сеансами BIG-IP используется для определения условий, при которых пользовательские сеансы завершаются или для них разрешается продолжение, ограничивается количество пользователей и IP-адресов, а также для определения соответствующих сведений о пользователе. Дополнительные сведения об этих параметрах см. в документации по F5.

Однако в ней не освещается функция единого выхода, которая гарантирует, что все сеансы между поставщиком удостоверений, BIG-IP и агентом пользователя завершаются при выходе пользователя из системы. Когда шаблон Easy Button создает экземпляр приложения SAML в вашем арендаторе Azure AD, он также заполняет URL-адрес выхода конечной точкой единого выхода APM. Таким образом, операции выхода с портала MyApps Azure AD, инициированные поставщиком удостоверений, также завершают сеанс между BIG-IP и клиентом.

Вместе с этим метаданные федерации SAML для опубликованного приложения также импортируются из вашего арендатора, предоставляя для APM конечную точку выхода SAML для Azure AD. Это позволяет операциям выхода, инициированным поставщиком услуг, завершать сеанс между клиентом и Azure AD. Однако чтобы эта схема работала эффективно, APM необходимо точно знать, когда пользователь выходит из приложения.

Если веб-портал BIG-IP используется для доступа к опубликованным приложениям, то выход с него будет обработан APM с целью также вызвать конечную точку выхода Azure AD. Рассмотрим ситуацию, когда веб-портал BIG-IP не используется. В этом случае пользователь не может выдать команду APM для выхода. Даже если пользователь выходит из самого приложения, BIG-IP это игнорирует. По этой причине для выхода, инициированного поставщиком услуг, требуется тщательный анализ, чтобы обеспечить безопасное завершение сеансов, когда они больше не требуются. Один из способов достичь этого — добавить функцию SLO к кнопке выхода из приложения, чтобы можно было перенаправить клиент в конечную точку выхода Azure AD SAML или BIG-IP. URL-адрес конечной точки выхода SAML для арендатора можно найти в разделе Регистрация приложений > Конечные точки.

Если внесение изменений в приложение не представляется возможным, рассмотрите возможность, в рамках которой BIG-IP будет прослушивать вызов выхода из приложения и при обнаружении запроса будет инициировать SLO. Сведения об использовании правил iRule BIG-IP для достижения этой цели см. в нашем руководстве по единому выходу из Oracle PeopleSoft. Дополнительные сведения об использовании BIG-IP iRules для этого см. в статьях базы знаний F5 Настройка автоматического завершения сеанса (выхода) на основе имени файла, на который указывает код URI, и Общие сведения о параметре Include кода URI выхода из системы.

Сводка

На этом последнем шаге представлена разбивка конфигураций. Выберите Deploy (Развернуть), чтобы зафиксировать все параметры, и убедитесь, что приложение появилось в списке клиентов корпоративных приложений.

Дальнейшие действия

В браузере подключитесь к внешнему URL-адресу приложения Oracle EBS или выберите значок приложения на портале Майкрософт "Мои приложения". После проверки подлинности в Azure AD вы будете перенаправлены на виртуальный сервер BIG-IP для приложения и автоматически войдете в систему посредством единого входа.

Для повышения безопасности организации, использующие этот шаблон, могут также заблокировать весь прямой доступ к приложению, тем самым установив строгий путь через BIG-IP.

Расширенное развертывание

Возможны случаи, когда шаблоны интерактивной настройки лишены достаточной гибкости для выполнения особых требований. Описание таких сценариев см. в разделе Расширенная конфигурация для единого входа на основе заголовков. Кроме того, BIG-IP дает возможность отключить режим строгого управления интерактивной настройкой. Это позволит вам вручную изменять конфигурации, хотя значительная их часть определена автоматически с помощью шаблонов на основе мастера.

Перейдите в раздел Access > Guided Configuration (Доступ > Интерактивная конфигурация) и щелкните маленький значок замка в правой части строки конфигураций приложений.

Снимок экрана: настройка простой кнопки — строгое управление

На этом этапе вносить изменения с помощью пользовательского интерфейса мастера больше нельзя, но все объекты BIG-IP, связанные с опубликованным экземпляром приложения, будут разблокированы для прямого управления.

Примечание

Повторное включение строгого режима и развертывание конфигурации приведет к перезаписи всех параметров, настроенных за пределами пользовательского интерфейса интерактивной настройки, поэтому мы рекомендуем использовать метод расширенной настройки для служб в рабочей среде.

Устранение неполадок

Ошибка доступа к приложению, защищенному SHA, может быть вызвана рядом факторов. Ведение журнала BIG-IP помогает быстро изолировать все проблемы с подключениями, единым входом, нарушениями политик или неправильной настройкой сопоставлений переменных. Чтобы приступить к устранению неполадок, повысьте уровень детализации журналов.

  1. Последовательно выберите Access Policy > Overview > Event Logs > Settings (Политика доступа > Обзор > Журналы событий > Параметры).

  2. Выберите строку для опубликованного приложения, а затем — Edit > Access System Logs (Изменить > Доступ к системным журналам).

  3. Выберите Отладка из списка SSO, а затем нажмите кнопку ОК.

Воспроизведите проблему и изучите журнал, но после завершения не забудьте восстановить предыдущие настройки, так как в подробном режиме создается большой объем данных.

Если вы видите сообщение об ошибке BIG-IP сразу после успешной предварительной проверки подлинности Azure AD, возможно, проблема связана с единым входом из Azure AD в BIG-IP.

  1. Выберите Доступ> Обзор > Отчеты о доступе.

  2. Запустите отчет за последний час и посмотрите, нет ли подсказок в журналах. Перейдя по ссылке View session variables (Просмотр переменных сеанса) для вашего сеанса, можно узнать, получает ли APM ожидаемые утверждения из Azure AD.

Если страница ошибок BIG-IP не отображается, то, скорее всего, проблема связана с запросом к серверному компоненту или выполнением единого входа из BIG-IP в приложение.

  1. В этом случае перейдите в раздел Access Policy > Overview > Active Sessions (Политика доступа > Обзор > Активные сеансы) и выберите ссылку на активный сеанс.

  2. Перейдя по ссылке View Variables (Просмотреть переменные) в этом расположении, можно также определить первопричины проблем с единым входом, особенно если BIG-IP APM не удается получить правильные атрибуты из Azure AD или другого источника.

Дополнительные сведения см. в примерах назначения переменных BIG-IP APM и в справочнике по переменным сеанса для BIG-IP от F5.

Следующая команда из оболочки bash проверяет учетную запись службы APM, используемую для запросов LDAP, и возможность успешно пройти проверку подлинности и запросить объект пользователя:

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Дополнительные сведения см. в статье базы знаний F5 Настройка удаленной проверки подлинности LDAP для Active Directory. Кроме того, есть отличная справочная таблица BIG-IP, которая поможет диагностировать проблемы, связанные с LDAP. Она приводится в статье базы знаний F5 о запросе LDAP.