Aracılığıyla paylaş

Form tabanlı SSO için F5 BIG-IP Erişim İlkesi Yöneticisi'ni yapılandırma

  • Makale

Form tabanlı uygulamalara güvenli karma erişim (SHA) için F5 BIG-IP Erişim İlkesi Yöneticisi (APM) ve Microsoft Entra Id yapılandırmayı öğrenin. Microsoft Entra çoklu oturum açma (SSO) için BIG-IP tarafından yayımlanan hizmetlerin avantajları vardır:

Daha fazla bilgi edinin:

Senaryo açıklaması

Senaryo için, form tabanlı kimlik doğrulaması (FBA) için yapılandırılmış bir iç eski uygulama vardır. İdeal olan, Microsoft Entra ID'nin uygulama erişimini yönetmesidir çünkü eski kimlik doğrulama protokolleri modern değildir. Modernleştirme zaman ve çaba gerektirir ve kapalı kalma süresi riskiyle karşı karşıyadır. Bunun yerine, genel İnternet ile iç uygulama arasında BIR BIG-IP dağıtın. Bu yapılandırma, uygulamaya gelen erişimi geçitleri.

Uygulamanın önünde BIG-IP ile Microsoft Entra ön kimlik doğrulaması ve üst bilgi tabanlı SSO ile hizmeti katmanlayabilirsiniz. Katman, uygulama güvenliği duruşunu geliştirir.

Senaryo mimarisi

SHA çözümü aşağıdaki bileşenlere sahiptir:

  • Uygulama - SHA tarafından korunan BIG-IP yayımlanmış hizmeti.
    • Uygulama kullanıcı kimlik bilgilerini doğrular
    • Herhangi bir dizini, açık kaynak vb. kullanın
  • Microsoft Entra Id - Kullanıcı kimlik bilgilerini, Koşullu Erişimi ve SSO'yu BIG-IP'ye doğrulayan Güvenlik Onaylama İşaretleme Dili (SAML) kimlik sağlayıcısı (IdP).
    • SSO ile Microsoft Entra Id, kullanıcı tanımlayıcıları da dahil olmak üzere BIG-IP öznitelikleri sağlar
  • BIG-IP - uygulamaya ters ara sunucu ve SAML hizmet sağlayıcısı (SP).
    • SAML IdP'ye kimlik doğrulamasını temsilci olarak gösteren BIG-IP, arka uç uygulamasına üst bilgi tabanlı SSO gerçekleştirir.
    • SSO, diğer form tabanlı kimlik doğrulama uygulamalarında önbelleğe alınmış kullanıcı kimlik bilgilerini kullanır

SHA, SP ve IdP tarafından başlatılan akışları destekler. Aşağıdaki diyagramda SP tarafından başlatılan akış gösterilmektedir.

Hizmet sağlayıcısı tarafından başlatılan akışın diyagramı.

  1. Kullanıcı uygulama uç noktasına (BIG-IP) bağlanır.
  2. BIG-IP APM erişim ilkesi, kullanıcıyı Microsoft Entra ID'ye (SAML IdP) yönlendirir.
  3. Microsoft Entra, kullanıcıyı önceden doğrular ve zorunlu Koşullu Erişim ilkelerini uygular.
  4. Kullanıcı BIG-IP'ye (SAML SP) yönlendirilir ve SSO, verilen SAML belirteci kullanılarak gerçekleşir.
  5. BIG-IP, kullanıcıdan bir uygulama parolası ister ve bunu önbellekte depolar.
  6. BIG-IP uygulamaya bir istek gönderir ve bir oturum açma formu alır.
  7. APM betiği kullanıcı adı ve parolayı doldurur, ardından formu gönderir.
  8. Web sunucusu uygulama yükü sağlar ve istemciye gönderir.

Önkoşullar

Aşağıdaki bileşenlere ihtiyacınız vardır:

  • Azure aboneliği
  • Aşağıdaki rollerden biri: Bulut Uygulaması Yöneticisi veya Uygulama Yöneticisi
  • AZURE'da BIG-IP sanal sürümü (VE) veya BIG-IP sanal sürümü dağıtma
  • Aşağıdaki F5 BIG-IP lisanslarından herhangi biri:
    • F5 BIG-IP® En iyi paket
    • F5 BIG-IP Access Policy Manager™ (APM) tek başına lisansı
    • BIG-IP F5 BIG-IP Local Traffic Manager (LTM) üzerinde F5 BIG-IP® Erişim İlkesi Yöneticisi™™ (APM) eklenti lisansı
    • 90 günlük BIG-IP tam özellik deneme sürümü. Bkz. Ücretsiz Denemeler
  • Şirket içi dizinden Microsoft Entra Id'ye eşitlenen kullanıcı kimlikleri
  • HTTPS üzerinden hizmet yayımlamak veya test ederken varsayılan sertifikaları kullanmak için BIR SSL sertifikası
  • Form tabanlı kimlik doğrulama uygulaması veya test için Internet Information Services (IIS) form tabanlı kimlik doğrulaması (FBA) uygulaması ayarlama

BIG-IP yapılandırması

Bu makaledeki yapılandırma esnek bir SHA uygulamasıdır: BIG-IP yapılandırma nesnelerinin el ile oluşturulması. Kılavuzlu Yapılandırma şablonlarının kapsamaz olduğu senaryolar için bu yaklaşımı kullanın.

Not

Örnek dizeleri veya değerleri ortamınızdakilerle değiştirin.

F5 BIG-IP'yi Microsoft Entra Id'ye kaydetme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

BIG-IP kaydı, varlıklar arasındaki SSO için ilk adımdır. F5 BIG-IP galeri şablonundan oluşturduğunuz uygulama, BIG-IP tarafından yayımlanan uygulamanın SAML SP'sini temsil eden bağlı olan taraftır.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Tüm uygulamalar'a göz atın.
  3. Tüm uygulamalar bölmesinde Yeni uygulama'yı seçin.
  4. Microsoft Entra Galerisine Gözat bölmesi açılır.
  5. Bulut platformları, şirket içi uygulamalar ve öne çıkan uygulamalar için kutucuklar görünür. Öne çıkan uygulamalar simgeleri, federasyon SSO'sunun ve sağlamanın desteklendiğini gösterir.
  6. Azure galerisinde F5'i arayın.
  7. F5 BIG-IP APM Microsoft Entra ID tümleştirmesini seçin.
  8. Yeni uygulamanın uygulama örneğini tanımak için kullandığı bir Ad girin.
  9. Ekle'yi seçin.
  10. Oluştur'u belirleyin.

SSO'nun F5 BIG-IP'ye etkinleştirilmesi

BIG-IP APM'nin istediği SAML belirteçlerini yerine getirmek için BIG-IP kaydını yapılandırın.

  1. Soldaki menüde, Yönet bölümünde Çoklu oturum açma'yı seçin.
  2. Çoklu oturum açma bölmesi görüntülenir.
  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.
  4. Hayır, daha sonra kaydedeceğim'i seçin.
  5. SAML ile çoklu oturum açmayı ayarla bölmesinde kalem simgesini seçin.
  6. Tanımlayıcı için değerini BIG-IP tarafından yayımlanan uygulama URL'si ile değiştirin.
  7. Yanıt URL'si için değerini değiştirin, ancak uygulama SAML SP uç noktasının yolunu koruyun. Bu yapılandırmayla, SAML akışı IdP tarafından başlatılan modda çalışır.
  8. Microsoft Entra Id bir SAML onayı verir, ardından kullanıcı BIG-IP uç noktasına yönlendirilir.
  9. SP tarafından başlatılan mod için Oturum açma URL'si için uygulama URL'sini girin.
  10. Oturumu Kapatma Url'si için, hizmet ana bilgisayar üst bilgisi tarafından önceden eklenen BIG-IP APM tek oturum kapatma (SLO) uç noktasını girin.
  11. Ardından, kullanıcılar Microsoft Entra ID oturumunu kapattığında BIG-IP APM kullanıcı oturumları sona erer.
  12. Kaydet'i seçin.
  13. SAML yapılandırma bölmesini kapatın.
  14. SSO test istemini atlayın.
  15. Kullanıcı Öznitelikleri ve Talepler bölümü özelliklerini not edin. Microsoft Entra ID, BIG-IP APM kimlik doğrulamasının özelliklerini ve arka uç uygulamasına SSO'nun özelliklerini verir.
  16. SAML İmzalama Sertifikası bölmesinde İndir'i seçin.
  17. Federasyon Meta Verileri XML dosyası bilgisayarınıza kaydedilir.

SAML yapılandırmasındaki URL'lerin ekran görüntüsü.

Not

Trafik Yönetimi İşletim Sistemi (TMOS) v16'dan itibaren SAML SLO uç noktası şeklindedir /saml/sp/profile/redirect/slo.

SAML İmzalama Sertifikası altında bir İndirme seçeneğinin ekran görüntüsü.

Not

Microsoft Entra SAML imzalama sertifikaları üç yıllık bir kullanım ömrüne sahiptir.

Daha fazla bilgi edinin: Öğretici: Federasyon çoklu oturum açma için sertifikaları yönetme

Kullanıcı ve grup atama

Microsoft Entra Id, bir uygulamaya erişim izni verilen kullanıcılar için belirteçler verir. Belirli kullanıcılara ve gruplara uygulama erişimi vermek için:

  1. F5 BIG-IP uygulamasının genel bakış bölmesinde Kullanıcıları ve grupları ata'yı seçin.
  2. + Kullanıcı/grup ekle'yi seçin.
  3. İstediğiniz kullanıcıları ve grupları seçin.
  4. Ata'yı seçin.

BIG-IP gelişmiş yapılandırması

BIG-IP'yi yapılandırmak için aşağıdaki yönergeleri kullanın.

SAML hizmet sağlayıcısı ayarlarını yapılandırma

SAML SP ayarları, APM'nin SAML ön kimlik doğrulaması ile eski uygulamayı kaplamak için kullandığı SAML SP özelliklerini tanımlar. Bunları yapılandırmak için:

  1. Federasyon>SAML Hizmet Sağlayıcısına Eriş'i>seçin.

  2. Yerel SP Hizmetleri'ne tıklayın.

  3. Oluştur'u belirleyin.

    SAML Hizmet Sağlayıcısı sekmesindeki Oluştur seçeneğinin ekran görüntüsü.

  4. Yeni SAML SP Hizmeti Oluştur'da, Ad ve Varlık Kimliği için tanımlı adı ve varlık kimliğini girin.

    Yeni SAML SP Hizmeti Oluştur altındaki Ad ve Varlık Kimliği alanlarının ekran görüntüsü.

    Not

    Varlık kimliği yayımlanan URL'nin ana bilgisayar adı bölümüyle eşleşmiyorsa SP Ad Ayarları değerleri gereklidir. Öte yandan varlık kimliği normal konak adı tabanlı URL biçiminde değilse değerler de gereklidir.

  5. Varlık kimliği ise urn:myvacation:contosoonline, uygulama dış düzenini ve konak adını girin.

Dış IdP bağlayıcısı yapılandırma

SAML IdP bağlayıcısı, BIG-IP APM'nin Microsoft Entra ID'ye SAML IdP olarak güvenmesi için ayarları tanımlar. Ayarlar, SAML hizmet sağlayıcısını BIR SAML IdP'ye bağlar ve bu da APM ile Microsoft Entra Kimliği arasında federasyon güveni oluşturur.

Bağlayıcıyı yapılandırmak için:

  1. Yeni SAML hizmet sağlayıcısı nesnesini seçin.

  2. IdP Bağlayıcılarını Bağlama/Bağlamayı Kaldır'ı seçin.

    SAML Hizmet Sağlayıcısı sekmesindeki IdP Bağlayıcılarını Bağlama seçeneğinin ekran görüntüsü.

  3. Yeni IdP Bağlayıcısı Oluştur listesinde Meta Verilerden'i seçin.

    Yeni IdP Bağlayıcısı Oluştur açılan listesindeki Meta Verilerden seçeneğinin ekran görüntüsü.

  4. Yeni SAML IdP Bağlayıcısı Oluştur bölmesinde indirdiğiniz Federasyon Meta Verileri XML dosyasına göz atın.

  5. Dış SAML IdP'sini temsil eden APM nesnesi için bir Kimlik Sağlayıcısı Adı girin. Örneğin, MyVacation_EntraID.

    Yeni SAML IdP Bağlayıcısı Oluştur'da Dosya ve Kimlik Sağlayıcısı adı alanlarını seçme ekran görüntüsü.

  6. Yeni Satır Ekle'yi seçin.

  7. Yeni SAML IdP Bağlayıcısı'nı seçin.

  8. Güncelleştir'i seçin.

    Güncelleştir seçeneğinin ekran görüntüsü.

  9. Tamam'ı seçin.

    Bu SP'yi kullanan SAML IdP'lerini Düzenle iletişim kutusunun ekran görüntüsü.

Form tabanlı SSO yapılandırma

FBA SSO arka uç uygulamaları için bir APM SSO nesnesi oluşturun.

FBA SSO'larını istemci tarafından başlatılan modda veya BIG-IP ile başlatılan modda gerçekleştirin. Her iki yöntem de kullanıcı adı ve parola etiketlerine kimlik bilgileri ekleyerek bir kullanıcı oturum açmasına öykünmektedir. Form gönderilir. Kullanıcılar bir FBA uygulamasına erişmek için parola sağlar. Parola önbelleğe alınır ve diğer FBA uygulamaları için yeniden kullanılır.

  1. Çoklu Oturum Açmaya Eriş'i> seçin.

  2. Form Tabanlı'ya tıklayın.

  3. Oluştur'u belirleyin.

  4. Ad alanına açıklayıcı bir ad girin. Örneğin, Contoso\FBA\sso.

  5. SSO Şablonu Kullan için Yok'a tıklayın.

  6. Kullanıcı Adı Kaynağı için, parola toplama formunu önceden doldurmak için kullanıcı adı kaynağını girin. Microsoft Entra Kullanıcı Asıl Adı (UPN) oturum açmış kullanıcı olduğundan varsayılan değer session.sso.token.last.username düzgün çalışır.

  7. Parola Kaynağı için, BIG-IP'nin kullanıcı parolalarını önbelleğe almak için kullandığı APM değişkenini varsayılan session.sso.token.last.password olarak tutun.

    Yeni SSO Yapılandırması altındaki Ad ve SSO Şablonu Kullan seçeneklerinin ekran görüntüsü.

  8. Başlangıç URI'si için FBA uygulaması oturum açma URI'sini girin. İstek URI'sinin bu URI değeriyle eşleşmesi durumunda APM form tabanlı kimlik doğrulaması SSO yürütür.

  9. Form Eylemi için boş bırakın. Ardından özgün istek URL'si SSO için kullanılır.

  10. Kullanıcı Adı için Form Parametresi için oturum açma formu kullanıcı adı alan öğesini girin. Öğesini belirlemek için tarayıcı geliştirme araçlarını kullanın.

  11. Parola için Form Parametresi için oturum açma formu parola alanı öğesini girin. Öğesini belirlemek için tarayıcı geliştirme araçlarını kullanın.

Başlangıç URI'sinin, Kullanıcı Adı için Form Parametresi'nin ve Parola alanları için Form Parametresi'nin ekran görüntüsü.

Kullanıcı adı alanı ve parola alanı için açıklama balonlarının yer olduğu oturum açma sayfasının ekran görüntüsü.

Daha fazla bilgi edinmek için El ile Bölüm: Çoklu oturum açma yöntemleri için techdocs.f5.com bölümüne gidin.

Erişim profili yapılandırma

Erişim profili, erişim ilkeleri, SSO yapılandırması ve kullanıcı arabirimi ayarları gibi BIG-IP sanal sunucularına erişimi yöneten APM öğelerini bağlar.

  1. Erişim>Profilleri / İlkeler'i seçin.

  2. Erişim Profilleri (Oturum Başına İlkeler) öğesini seçin.

  3. Oluştur'u belirleyin.

  4. Bir Ad girin.

  5. Profil Türü için Tümü'nü seçin.

  6. SSO Yapılandırması için, oluşturduğunuz FBA SSO yapılandırma nesnesini seçin.

  7. Kabul Edilen Dil için en az bir dil seçin.

    Oturum İlkeleri Başına Erişim Profilleri, Yeni Profil'de seçeneklerin ve seçimlerin ekran görüntüsü.

  8. Oturum Başına İlke sütununda, profil için Düzenle'yi seçin.

  9. APM Görsel İlke Düzenleyicisi başlatılır.

    Oturum Başına İlke sütunundaki Düzenle seçeneğinin ekran görüntüsü.

  10. Geri dönüş bölümünde işareti seçin+.

Geri dönüş altındaki APM Görsel İlke Düzenleyicisi artı işareti seçeneğinin ekran görüntüsü.

  1. Açılır pencerede Kimlik Doğrulaması'nı seçin.
  2. SAML Kimlik Doğrulaması'nı seçin.
  3. Öğe Ekle'yi seçin.

SAML Kimlik Doğrulaması seçeneğinin ekran görüntüsü.

  1. SAML kimlik doğrulaması SP'sinde Ad'ı Microsoft Entra kimlik doğrulaması olarak değiştirin.
  2. AAA Sunucusu açılan listesinde, oluşturduğunuz SAML hizmet sağlayıcısı nesnesini girin.

Microsoft Entra kimlik doğrulama sunucusu ayarlarını gösteren ekran görüntüsü.

  1. Başarılı dalında işareti seçin+.
  2. Açılır pencerede Kimlik Doğrulaması'nı seçin.
  3. Oturum Açma Sayfası'nı seçin.
  4. Öğe Ekle'yi seçin.

Oturum Açma sekmesindeki Oturum Açma Sayfası seçeneğinin ekran görüntüsü.

  1. Kullanıcı adı için Salt Okunur sütununda Evet'i seçin.

Özellikler sekmesindeki kullanıcı adı satırında evet seçeneğinin ekran görüntüsü.

  1. Oturum açma sayfasının geri dönüşü için işareti seçin + . Bu eylem bir SSO kimlik bilgisi eşleme nesnesi ekler.

  2. Açılan pencerede Ödev sekmesini seçin.

  3. SSO Kimlik Bilgisi Eşleme'yi seçin.

  4. Öğe Ekle'yi seçin.

    Atama sekmesindeki SSO Kimlik Bilgisi Eşleme seçeneğinin ekran görüntüsü.

  5. Değişken Ataması: SSO Kimlik Bilgisi Eşlemesi'nin altında varsayılan ayarları koruyun.

  6. Kaydet'i seçin.

    Özellikler sekmesindeki Kaydet seçeneğinin ekran görüntüsü.

  7. Üst Reddet kutusunda bağlantıyı seçin.

  8. Başarılı dal İzin Ver olarak değişir.

  9. Kaydet'i seçin.

(İsteğe bağlı) Öznitelik eşlemelerini yapılandırma

LogonID_Mapping yapılandırması ekleyebilirsiniz. Ardından BIG-IP etkin oturumlar listesinde oturum numarası değil oturum açmış kullanıcı UPN'si bulunur. Günlükleri çözümlemek veya sorun gidermek için bu bilgileri kullanın.

  1. SAML Kimlik Doğrulaması Başarılı dalı için işareti seçin+.

  2. Açılan pencerede Ödev'i seçin.

  3. Değişken Ata'yı seçin.

  4. Öğe Ekle'yi seçin.

    Atama sekmesindeki Değişken Atama seçeneğinin ekran görüntüsü.

  5. Özellikler sekmesinde bir Ad girin. Örneğin, LogonID_Mapping.

  6. Değişken Atama'nın altında Yeni girdi ekle'yi seçin.

  7. Değiştir'i seçin.

    Yeni girdi ekle seçeneğinin ve değişiklik seçeneğinin ekran görüntüsü.

  8. Özel Değişken için kullanınsession.logon.last.username.

  9. Oturum Değişkeni için, kullanıcı session.saml.last.identity.

  10. Bitti'yi seçin.

  11. Kaydet'i seçin.

  12. Erişim İlkesi Uygula'yı seçin.

  13. Görsel İlke Düzenleyicisi'ni kapatın.

Erişim İlkesiNi Uygula sayfasındaki erişim ilkesinin ekran görüntüsü.

Arka uç havuzunu yapılandırma

BIG-IP'nin istemci trafiğini doğru iletmesini sağlamak için uygulamanızı barındıran arka uç sunucusunu temsil eden bir BIG-IP düğüm nesnesi oluşturun. Ardından bu düğümü bir BIG-IP sunucu havuzuna yerleştirin.

  1. Yerel Trafik>Havuzları'ı seçin.

  2. Havuz Listesi'ne tıklayın.

  3. Oluştur'u belirleyin.

  4. Sunucu havuzu nesnesi için bir Ad girin. Örneğin, MyApps_VMs.

    Yeni Havuz altındaki Ad alanının ekran görüntüsü.

  5. Düğüm Adı için bir sunucu görünen adı girin. Bu sunucu arka uç web uygulamasını barındırıyor.

  6. Adres alanına uygulama sunucusu ana bilgisayar IP adresini girin.

  7. Hizmet Bağlantı Noktası için uygulamanın dinlediği HTTP/S bağlantı noktasını girin.

    Düğüm Adı, Adres, Hizmet Bağlantı Noktası alanlarının ve Ekle seçeneğinin ekran görüntüsü.

    Not

    Sistem durumu izleyicileri bu makalenin kapsamadığı yapılandırmayı gerektirir. K13397 için support.f5.com: BIG-IP DNS sistemi için HTTP sistem durumu izleyici isteği biçimlendirmesine genel bakış bölümüne gidin.

Sanal sunucu yapılandırma

Sanal sunucu, sanal IP adresiyle temsil edilen bir BIG-IP veri düzlemi nesnesidir. Sunucu, uygulamaya yönelik istemci isteklerini dinler. Alınan tüm trafik, sanal sunucuyla ilişkili APM erişim profiline göre işlenir ve değerlendirilir. Trafik ilkeye göre yönlendirilir.

Bir sanal sunucuyu yapılandırmak için:

  1. Yerel Trafik>Sanal Sunucuları'nı seçin.

  2. Sanal Sunucu Listesi'ne tıklayın.

  3. Oluştur'u belirleyin.

  4. Bir Ad girin.

  5. Hedef Adres/Maske için Konak'ı seçin ve bir IPv4 veya IPv6 adresi girin. Adres, yayımlanan arka uç uygulaması için istemci trafiği alır.

  6. Hizmet Bağlantı Noktası için Bağlantı Noktası'na tıklayın, 443 girin ve HTTPS'yi seçin.

    Ad, Hedef Adres ve Hizmet Bağlantı Noktası alanlarının ve seçeneklerinin ekran görüntüsü.

  7. HTTP Profili (İstemci) için http'yi seçin.

  8. SSL Profili (İstemci) için, oluşturduğunuz profili seçin veya test için varsayılan değeri bırakın. Bu seçenek, Aktarım Katmanı Güvenliği (TLS) için bir sanal sunucunun HTTPS üzerinden hizmet yayımlamasını sağlar.

    HTTP Profil İstemcisi ve SSL Profil İstemcisi seçeneklerinin ekran görüntüsü.

  9. Kaynak Adres Çevirisi için Otomatik Eşleme'yi seçin.

    Kaynak Adres Çevirisi için Otomatik Eşleme seçiminin ekran görüntüsü.

  10. Erişim İlkesi'nin altındaki Erişim Profili kutusuna oluşturduğunuz adı girin. Bu eylem, Microsoft Entra SAML ön kimlik doğrulama profilini ve FBA SSO ilkesini sanal sunucuya bağlar.

Erişim İlkesi altındaki Erişim Profili girişinin ekran görüntüsü.

  1. Kaynaklar'ın altında, Varsayılan Havuz için oluşturduğunuz arka uç havuzu nesnelerini seçin.
  2. Bitti'yi seçin.

Kaynaklar altındaki Varsayılan Havuz seçeneğinin ekran görüntüsü.

Oturum yönetimi ayarlarını yapılandırma

BIG-IP oturum yönetimi ayarları, oturum sonlandırma ve devam etme koşullarını tanımlar. Bu alanda ilke oluşturun.

  1. Erişim İlkesi'ne gidin.
  2. Erişim Profilleri'ni seçin.
  3. Erişim Profili'ni seçin.
  4. Listeden uygulamanızı seçin.

Microsoft Entra Id'de tek bir oturum kapatma URI'si değeri tanımladıysanız, MyApps'ten IdP tarafından başlatılan oturumu kapatma işlemi istemciyi ve BIG-IP APM oturumunu sonlandırır. İçeri aktarılan uygulama federasyonu meta veri XML dosyası, APM'ye SP tarafından başlatılan oturumu kapatma için Microsoft Entra SAML uç noktasını sağlar. APM'nin kullanıcının oturumu kapatmasına doğru yanıt verdiğinden emin olun.

BIG-IP web portalı yoksa, kullanıcılar APM'ye oturumu kapatma talimatını kullanamaz. Kullanıcı uygulamanın oturumunu kapatırsa, BIG-IP'nin kullanım dışı olması gerekir. Uygulama oturumu SSO aracılığıyla yeniden etkinleştirilebilir. SP ile başlatılan oturumu kapatma için oturumların güvenli bir şekilde sonlandırdığından emin olun.

Uygulama oturumu kapatma düğmesine bir SLO işlevi ekleyebilirsiniz. Bu işlev, istemciyi Microsoft Entra SAML oturumu kapatma uç noktasına yönlendirir. SAML oturumu kapatma uç noktasını bulmak için Uygulama Kayıtları > Uç Noktaları'na gidin.

Uygulamayı değiştiremiyorsanız, BIG-IP'nin uygulama oturumu kapatma çağrısı için dinlemesini ve SLO'nun tetiklesini sağlayın.

Daha fazla bilgi edinin:

Yayımlanan uygulama

Uygulamanız, uygulama URL'si veya Microsoft portalları ile SHA ile yayımlanır ve erişilebilir.

Uygulama, Koşullu Erişim'de hedef kaynak olarak görünür. Daha fazla bilgi edinin: Koşullu Erişim ilkesi oluşturma.

Daha fazla güvenlik için uygulamaya doğrudan erişimi engelleyerek BIG-IP üzerinden bir yol zorlama.

Test etme

  1. Kullanıcı, uygulamanın dış URL'sine veya Uygulamalarım bağlanır ve uygulama simgesini seçer.

  2. Kullanıcı Microsoft Entra Id kimlik doğrulaması yapar.

  3. Kullanıcı, uygulamanın BIG-IP uç noktasına yönlendirilir.

  4. Parola istemi görüntülenir.

  5. APM, kullanıcı adını Microsoft Entra Id'den UPN ile doldurur. Oturum tutarlılığı için kullanıcı adı salt okunurdur. Gerekirse bu alanı gizleyin.

    Oturum açma sayfasının ekran görüntüsü.

  6. Bilgiler gönderilir.

  7. Kullanıcı uygulamada oturum açtı.

    Hoş Geldiniz sayfasının ekran görüntüsü.

Sorun giderme

Sorun giderme sırasında aşağıdaki bilgileri göz önünde bulundurun:

  • BIG-IP, URI'de oturum açma formunu ayrıştırdıkça FBA SSO gerçekleştirir

    • BIG-IP, yapılandırmanızdan kullanıcı adı ve parola öğesi etiketlerini arar

  • Öğe etiketlerinin tutarlı olduğunu veya SSO'nun başarısız olduğunu onaylayın

  • Dinamik olarak oluşturulan karmaşık formlar, oturum açma formunu anlamak için geliştirme aracı analizi gerektirebilir

  • İstemci başlatma, birden çok form içeren oturum açma sayfaları için daha iyidir

    • Form adını seçebilir ve JavaScript form işleyici mantığını özelleştirebilirsiniz

  • FBA SSO yöntemleri, kullanıcı deneyimini ve güvenliğini iyileştirmek için form etkileşimlerini gizler:

    • Kimlik bilgilerinin eklenmiş olup olmadığını doğrulayabilirsiniz
    • İstemci tarafından başlatılan modda, SSO profilinizde form otomatik gönderimini devre dışı bırakın
    • Oturum açma sayfasının görünmesini engelleyen iki stil özelliğini devre dışı bırakmak için geliştirme araçlarını kullanma

    Özellikler sayfasının ekran görüntüsü.

Günlük ayrıntı düzeyini artırma

BIG-IP günlükleri, kimlik doğrulaması ve SSO sorunlarını yalıtmaya yönelik bilgiler içerir. Günlük ayrıntı düzeyini artırın:

  1. Erişim İlkesine>Genel Bakış'a gidin.
  2. Olay Günlükleri'ne tıklayın.
  3. Ayarlar'ı seçin.
  4. Yayımlanan uygulamanızın satırını seçin.
  5. Düzenle'yi seçin.
  6. Sistem Günlüklerine Erişim'i seçin.
  7. SSO listesinde Hata Ayıkla'yı seçin.
  8. Tamam'ı seçin.
  9. Sorunu yeniden üretin.
  10. Günlükleri gözden geçirin.

Aşırı veri olması dışında ayarları geri alın.

BIG-IP hata iletisi

Microsoft Entra ön kimlik doğrulamasından sonra BIG-IP hatası görünürse, sorun Microsoft Entra Kimliği ve BIG-IP SSO ile ilgili olabilir.

  1. Access'e>Genel Bakış'a gidin.
  2. Raporlara eriş'i seçin.
  3. Raporu son bir saat boyunca çalıştırın.
  4. İpuçları için günlükleri gözden geçirin.

APM'nin beklenen Microsoft Entra taleplerini alıp almadığını belirlemek için oturumunuzun Oturum değişkenlerini görüntüle bağlantısını kullanın.

BIG-IP hata iletisi yok

BIG-IP hata iletisi görüntülenmezse, sorun arka uç isteği veya BIG-IP-uygulama SSO ile ilgili olabilir.

  1. Erişim İlkesine Genel Bakış'ı> seçin.
  2. Etkin Oturumlar'ı seçin.
  3. Etkin oturum bağlantısını seçin.

Özellikle APM doğru kullanıcı tanımlayıcısını ve parolasını alamazsa kök nedeni belirlemenize yardımcı olması için bu konumdaki Değişkenleri Görüntüle bağlantısını kullanın.

Daha fazla bilgi edinmek için El ile Bölüm: Oturum Değişkenleri için techdocs.f5.com bölümüne gidin.

Kaynaklar