Aracılığıyla paylaş

Öğretici: SSO'nun Oracle EBS'ye F5 BIG-IP Kolay Düğmesini Yapılandırma

  • Makale

F5 BIG-IP Kolay Düğme Destekli Yapılandırma ile Microsoft Entra ID kullanarak Oracle E-Business Suite'in (EBS) güvenliğini sağlamayı öğrenin. BIG-IP'yi Microsoft Entra ID ile tümleştirmenin birçok avantajı vardır:

Daha fazla bilgi edinin:

Senaryo açıklaması

Bu senaryo, korumalı içeriğe erişimi yönetmek için HTTP yetkilendirme üst bilgilerini kullanan klasik Oracle EBS uygulamasını kapsar.

Eski uygulamalarda Microsoft Entra tümleştirmesini destekleyecek modern protokoller yok. Modernleştirme maliyetlidir, zaman alır ve kapalı kalma süresi riski oluşturur. Bunun yerine, eski uygulamalar ve modern kimlik denetim düzlemi arasındaki boşluğu protokol geçişiyle kapatmak için F5 BIG-IP Uygulama Teslim Denetleyicisi (ADC) kullanın.

Uygulamanın önündeki BIG-IP, Microsoft Entra ön kimlik doğrulaması ve üst bilgi tabanlı SSO ile hizmetin yer paylaşımını sağlar. Bu yapılandırma, uygulama güvenliği duruşunu geliştirir.

Senaryo mimarisi

Güvenli karma erişim (SHA) çözümü aşağıdaki bileşenlere sahiptir:

  • Oracle EBS uygulaması - Microsoft Entra SHA tarafından korunacak BIG-IP ile yayımlanan hizmet
  • Microsoft Entra Id - Kullanıcı kimlik bilgilerini, Koşullu Erişimi ve SAML tabanlı SSO'yu BIG-IP'ye doğrulayan Güvenlik Onay İşaretleme Dili (SAML) kimlik sağlayıcısı (IdP)
    • SSO ile Microsoft Entra ID, BIG-IP oturum öznitelikleri sağlar
  • Oracle Internet Directory (OID) - kullanıcı veritabanını barındırıyor
    • BIG-IP, LDAP ile yetkilendirme özniteliklerini doğrular
  • Oracle E-Business Suite AccessGate - OID hizmetiyle yetkilendirme özniteliklerini doğrular, ardından EBS erişim tanımlama bilgilerini oluşturur
  • BIG-IP - uygulamaya ters ara sunucu ve SAML hizmet sağlayıcısı (SP)
    • Kimlik doğrulaması SAML IdP'ye devredilir, ardından Oracle uygulamasına üst bilgi tabanlı SSO gerçekleşir

SHA, SP ve IdP tarafından başlatılan akışları destekler. Aşağıdaki diyagramda SP tarafından başlatılan akış gösterilmektedir.

SP tarafından başlatılan akışı temel alan güvenli karma erişim diyagramı.

  1. Kullanıcı uygulama uç noktasına (BIG-IP) bağlanır.
  2. BIG-IP APM erişim ilkesi, kullanıcıyı Microsoft Entra ID'ye (SAML IdP) yönlendirir.
  3. Microsoft Entra, kullanıcıyı önceden doğrular ve Koşullu Erişim ilkeleri uygular.
  4. Kullanıcı BIG-IP'ye (SAML SP) yönlendirilir ve SSO, verilen SAML belirtecini kullanarak gerçekleşir.
  5. BIG-IP, kullanıcı Benzersiz Kimliği (UID) özniteliği için bir LDAP sorgusu gerçekleştirir.
  6. BIG-IP, döndürülen UID özniteliğini Oracle AccessGate'e Oracle EBS oturum tanımlama bilgisi isteğinde user_orclguid üst bilgi olarak ekler.
  7. Oracle AccessGate, UID'i OID hizmetine karşı doğrular ve Oracle EBS erişim çerezi oluşturur.
  8. Oracle EBS kullanıcı üst bilgileri ve uygulamaya gönderilen tanımlama bilgisi, yükü kullanıcıya döndürür.

Önkoşullar

Aşağıdaki bileşenlere ihtiyacınız vardır:

  • Azure aboneliği
  • Cloud Application Yönetici istrator veya Application Yönetici istrator rolü.
  • AZURE'da BIG-IP sanal sürümü (VE) veya BIG-IP sanal sürümü dağıtma
  • Aşağıdaki F5 BIG-IP lisans SKU'larından herhangi biri:
    • F5 BIG-IP® En iyi paket
    • F5 BIG-IP Access Policy Manager™ (APM) tek başına lisansı
    • BIG-IP F5 BIG-IP Local Traffic Manager (LTM) üzerinde F5 BIG-IP® Erişim İlkesi Yöneticisi™™ (APM) eklenti lisansı
    • 90 günlük BIG-IP tam özellik deneme sürümü. Bkz. Ücretsiz Denemeler.
  • Şirket içi dizinden Microsoft Entra Id'ye eşitlenen kullanıcı kimlikleri
  • HTTPS üzerinden hizmet yayımlamak veya test ederken varsayılan sertifikaları kullanmak için BIR SSL sertifikası
  • Oracle EBS, Oracle AccessGate ve LDAP özellikli oracle internet veritabanı (OID)

BIG-IP yapılandırma yöntemi

Bu öğreticide Kılavuzlu Yapılandırma v16.1 Kolay Düğme şablonu kullanılmaktadır. Kolay Düğme ile yöneticiler artık SHA hizmetlerini etkinleştirmek için ileri geri gitmez. APM Destekli Yapılandırma sihirbazı ve Microsoft Graph dağıtım ve ilke yönetimini işler. Bu tümleştirme, uygulamaların kimlik federasyonu, SSO ve Koşullu Erişim'i desteklemesini sağlayarak yönetim ek yükünü azaltır.

Not

Örnek dizeleri veya değerleri ortamınızdakilerle değiştirin.

Kolay Düğmesini Kaydetme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

bir istemci veya hizmet Microsoft Graph'a erişmeden önce, Microsoft kimlik platformu buna güvenmesi gerekir.

Daha fazla bilgi edinin: Hızlı Başlangıç: Uygulamayı Microsoft kimlik platformu kaydetme

Graph'a Kolay Düğme erişimini yetkilendirmek için bir kiracı uygulaması kaydı oluşturun. BIG-IP, yayımlanan uygulama için SAML SP örneği ile SAML IdP olarak Microsoft Entra Kimliği arasında güven oluşturmak üzere yapılandırmaları yönlendirir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları> Uygulama kayıtları> Yeni kayıt'a göz atın.

  3. Bir uygulama Adı girin. Örneğin, F5 BIG-IP Kolay Düğmesi.

  4. Uygulama >Hesaplarını yalnızca bu kuruluş dizininde kimlerin kullanabileceğini belirtin.

  5. Kaydet'i seçin.

  6. API izinleri'ne gidin.

  7. Aşağıdaki Microsoft Graph Uygulaması izinlerini yetkileyin:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • policy.read.all
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Kuruluşunuz için yönetici onayı verin.

  9. Sertifikalar ve Gizli Diziler'e gidin.

  10. Yeni bir İstemci Gizli Anahtarı oluşturun. gizli diziyi not edin.

  11. Genel Bakış bölümüne gidin. İstemci Kimliğini ve Kiracı Kimliğini not edin.

Kolay Düğmesini Yapılandırma

  1. APM Destekli Yapılandırmayı başlatın.

  2. Kolay Düğme şablonunu başlatın.

  3. Access > Destekli Yapılandırma > Microsoft Tümleştirmesi'ne gidin.

  4. Microsoft Entra Application'ı seçin.

  5. Yapılandırma seçeneklerini gözden geçirin.

  6. İleri'yi seçin.

  7. Uygulamanızı yayımlamaya yardımcı olması için grafiği kullanın.

    Yapılandırma alanlarını gösteren grafiğin ekran görüntüsü.

Yapılandırma Özellikleri

Yapılandırma Özellikleri sekmesi bir BIG-IP uygulama yapılandırması ve SSO nesnesi oluşturur. Azure Hizmet Hesabı Ayrıntıları bölümü, Microsoft Entra kiracınıza uygulama olarak kaydettiğiniz istemciyi temsil eder. Bu ayarlarla, BIG-IP OAuth istemcisi SSO özellikleriyle kiracınıza bir SAML SP kaydeder. Kolay Düğme, SHA için yayımlanan ve etkinleştirilen BIG-IP hizmetleri için bu eylemi yapar.

Zaman ve çabayı azaltmak için, diğer uygulamaları yayımlamak için genel ayarları yeniden kullanın.

  1. Bir Yapılandırma Adı girin.

  2. Çoklu oturum açma (SSO) ve HTTP Üst Bilgileri için Açık'ı seçin.

  3. Kiracı Kimliği, İstemci Kimliği ve gizli dizi için, Kolay Düğme istemci kaydı sırasında not ettiğiniz bilgileri girin.

  4. BIG-IP'nin kiracınıza bağlanıp bağlanmayacağını onaylayın.

  5. İleri'yi seçin.

    Yapılandırma Özellikleri iletişim kutusundaki girişin ekran görüntüsü.

Hizmet Sağlayıcısı

Korumalı uygulamanın SAML SP örneğinin özellikleri için Hizmet Sağlayıcısı ayarlarını kullanın.

  1. Konak alanına uygulamanın genel FQDN'sini girin.

  2. Varlık Kimliği için Microsoft Entra ID'nin belirteç isteyen SAML SP için kullandığı tanımlayıcıyı girin.

    Hizmet Sağlayıcısı giriş ve seçeneklerinin ekran görüntüsü.

  3. (İsteğe bağlı) Güvenlik Ayarlar Şifreli Onaylamayı Etkinleştir seçeneğini belirleyin veya temizleyin. Microsoft Entra Id ile BIG-IP APM arasındaki onayları şifrelemek, içerik belirteçlerinin kesilemeyecekleri veya kişisel veya kurumsal verilerin tehlikeye girilemeyecekleri anlamına gelir.

  4. Onay Şifre Çözme Özel Anahtarı listesinden Yeni Oluştur'u seçin

    Onay Şifre Çözme Özel Anahtarı açılan listesinde Yeni Oluştur seçeneklerinin ekran görüntüsü.

  5. Tamam'ı seçin.

  6. SSL Sertifikasını ve Anahtarlarını İçeri Aktar iletişim kutusu yeni bir sekmede görüntülenir.

  7. PKCS 12 (IIS) öğesini seçin.

  8. Sertifika ve özel anahtar içeri aktarılır.

  9. Ana sekmeye dönmek için tarayıcı sekmesini kapatın.

    İçeri Aktarma Türü, Sertifika ve Anahtar Adı ve Parola girişinin ekran görüntüsü.

  10. Şifrelenmiş Onaylamayı Etkinleştir'i seçin.

  11. Etkin şifreleme için Assertion Decryption Private Key listesinden BIG-IP APM'nin Microsoft Entra onaylarının şifresini çözmek için kullandığı sertifika özel anahtarını seçin.

  12. Etkin şifreleme için, Onay Şifre Çözme Sertifikası listesinden, verilen SAML onaylarını şifrelemek için BIG-IP'nin Microsoft Entra Id'ye yüklediği sertifikayı seçin.

    Assertion Decryption Private Key ve Assertion Decryption Certificate için seçilen sertifikaların ekran görüntüsü.

Microsoft Entra Kimlik

Kolay Düğme'de Oracle Kişiler Soft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP ve genel bir SHA şablonu için uygulama şablonları bulunur. Aşağıdaki ekran görüntüsü, Azure Yapılandırması altındaki Oracle E-Business Suite seçeneğidir.

  1. Oracle E-Business Suite'i seçin.
  2. Ekle'yi seçin.

Azure Yapılandırması

  1. Microsoft Entra kiracınızda BIG-IP tarafından oluşturulan uygulama için bir Görünen Ad ve Uygulamalarım'daki simgeyi girin.

  2. Oturum Açma URL'si (isteğe bağlı) alanına EBS uygulaması genel FQDN'sini girin.

  3. Oracle EBS giriş sayfası için varsayılan yolu girin.

  4. İmzalama Anahtarı ve İmzalama Sertifikası'nın yanında yenile simgesini seçin.

  5. İçeri aktardığınız sertifikayı bulun.

  6. İmzalama Anahtarı Parolası'nda sertifika parolasını girin.

  7. (İsteğe bağlı) İmzalama Seçeneğini Etkinleştir'i seçin. Bu seçenek, BIG-IP'nin Microsoft Entra Id tarafından imzalanan belirteçleri ve talepleri kabul etmesini sağlar.

    İmzalama Anahtarı, İmzalama Sertifikası ve İmzalama Anahtarı Parolası seçeneklerinin ve girdilerinin ekran görüntüsü.

  8. Kullanıcı ve Kullanıcı Grupları için test için bir kullanıcı veya grup ekleyin; aksi takdirde tüm erişim reddedilir. Kullanıcılar ve kullanıcı grupları, Microsoft Entra kiracısından dinamik olarak sorgulanır ve uygulamaya erişim yetkisi alır.

    Kullanıcı ve Kullanıcı Grupları altındaki Ekle seçeneğinin ekran görüntüsü.

Kullanıcı Öznitelikleri ve Talepleri

Bir kullanıcı kimlik doğrulaması yaparken, Microsoft Entra Id kullanıcıyı tanımlayan varsayılan talepler ve öznitelikler içeren bir SAML belirteci verir. Kullanıcı Öznitelikleri ve Talepler sekmesinde yeni uygulama için verilmesi gereken varsayılan talepler vardır. Daha fazla talep yapılandırmak için bu alanı kullanın. Gerekirse Microsoft Entra özniteliklerini ekleyin, ancak Oracle EBS senaryosu için varsayılan öznitelikler gerekir.

Kullanıcı Öznitelikleri ve Talepleri için seçeneklerin ve girişlerin ekran görüntüsü.

Ek Kullanıcı Öznitelikleri

Ek Kullanıcı Öznitelikleri sekmesi, oturum büyütme için dizinlerde depolanan öznitelikler gerektiren dağıtılmış sistemleri destekler. Ldap kaynağından getirilen öznitelikler, rolleri, iş ortağı kimliğini vb. temel alarak erişimi denetlemek için daha fazla SSO üst bilgisi olarak eklenir.

  1. Gelişmiş Ayarlar seçeneğini etkinleştirin.

  2. LDAP Öznitelikleri onay kutusunu işaretleyin.

  3. Kimlik Doğrulama Sunucusu Seç bölümünde Yeni Oluştur'u seçin.

  4. Kurulumunuza bağlı olarak, Hedef LDAP hizmet sunucusu adresi için Havuz veya Doğrudan sunucu bağlantı modunu kullan'ı seçin. Tek bir LDAP sunucusu için Doğrudan'ı seçin.

  5. Hizmet Bağlantı Noktası için 3060 (Varsayılan), 3161 (Güvenli) veya Oracle LDAP hizmeti için başka bir bağlantı noktası girin.

  6. Temel Arama DN'sini girin. Bir dizindeki grupları aramak için ayırt edici adı (DN) kullanın.

  7. Yönetici DN için APM'nin LDAP sorgularının kimliğini doğrulamak için kullandığı hesap ayırt edici adını girin.

  8. parola Yönetici için parolayı girin.

    Ek Kullanıcı Öznitelikleri seçeneklerinin ve girdilerinin ekran görüntüsü.

  9. Varsayılan LDAP Şema Özniteliklerini değiştirmeyin.

    LDAP şema öznitelikleri için ekran görüntüsü

  10. LDAP Sorgu Özellikleri'nin altında, Arama Dn için kullanıcı nesnesi araması için LDAP sunucu temel düğümünü girin.

  11. Gerekli Öznitelikler için LDAP dizininden döndürülecek kullanıcı nesnesi öznitelik adını girin. EBS için varsayılan değer orclguid'dir.

    LDAP Sorgu Özellikleri için girdilerin ve seçeneklerin ekran görüntüsü

Koşullu Erişim İlkesi

Koşullu Erişim ilkeleri cihaz, uygulama, konum ve risk sinyallerine göre erişimi denetler. İlkeler, Microsoft Entra ön kimlik doğrulaması sonrasında uygulanır. Kullanılabilir İlkeler görünümünde kullanıcı eylemi olmayan Koşullu Erişim ilkeleri vardır. Seçili İlkeler görünümünde bulut uygulamalarına yönelik ilkeler bulunur. Kiracı düzeyinde uygulandığından bu ilkelerin seçimini kaldıramaz veya Kullanılabilir İlkeler'e taşıyamazsınız.

Uygulamanın yayımlanması için bir ilke seçmek için:

  1. Kullanılabilir İlkeler'de bir ilke seçin.

  2. Sağ oku seçin.

  3. İlkeyi Seçili İlkeler'e taşıyın.

    Not

    Bazı ilkeler için Ekle veya Dışla seçeneği belirlenmiştir. Her iki seçenek de işaretliyse ilke uygulanamaz.

    Dört ilke için seçilen Dışla seçeneğinin ekran görüntüsü.

    Not

    Koşullu Erişim İlkesi sekmesini seçtiğinizde ilke listesi görüntülenir. Yenile'yi seçtiğinizde sihirbaz kiracınızı sorgular. Dağıtılan uygulamalar için yenileme görünür.

Sanal Sunucu Özellikleri

Sanal sunucu, uygulama istemci isteklerini dinleyen bir sanal IP adresiyle temsil edilen bir BIG-IP veri düzlemi nesnesidir. Alınan trafik, sanal sunucuyla ilişkili APM profiline göre işlenir ve değerlendirilir. Ardından trafik ilkeye göre yönlendirilir.

  1. İstemci trafiğini almak için BIR Hedef Adres, BIR IPv4 veya IPv6 adresi BIG-IP kullanır girin. DNS'de istemcilerin BIG-IP tarafından yayımlanan uygulamanın dış URL'sini IP'ye çözümlemesini sağlayan ilgili bir kayıt olduğundan emin olun. Test için bir test bilgisayarı localhost DNS kullanın.

  2. Hizmet Bağlantı Noktası için 443 girin ve HTTPS'yi seçin.

  3. Yeniden Yönlendirme Bağlantı Noktasını Etkinleştir'i seçin.

  4. Yeniden Yönlendirme Bağlantı Noktası için 80 girin ve HTTP'yi seçin. Bu eylem, gelen HTTP istemci trafiğini HTTPS'ye yönlendirir.

  5. Oluşturduğunuz İstemci SSL Profilini seçin veya test için varsayılanı bırakın. İstemci SSL Profili, HTTPS için sanal sunucuyu etkinleştirir. İstemci bağlantıları TLS üzerinden şifrelenir.

    Sanal Sunucu Özellikleri seçeneklerinin ve seçimlerinin ekran görüntüsü.

Havuz Özellikleri

Uygulama Havuzu sekmesinde, bir veya daha fazla uygulama sunucusuna sahip bir havuz olan BIG-IP'nin arkasında hizmetler bulunur.

  1. Havuz Seç'ten Yeni Oluştur'u seçin veya başka bir seçenek belirleyin.

  2. Yük Dengeleme Yöntemi için Hepsini Bir Kez Deneme'yi seçin.

  3. Havuz Sunucuları'nın altında Oracle EBS'yi barındıran sunucular için bir IP Adresi/Düğüm Adı ve Bağlantı Noktası seçin ve girin.

  4. HTTPS'yi seçin.

    Havuz Özellikleri için seçeneklerin ve seçimlerin ekran görüntüsü

  5. Erişim Kapısı Havuzu altında Erişim Kapısı Alt Yolu'na onaylayın.

  6. Havuz Sunucuları için Oracle EBS'yi barındıran sunucular için bir IP Adresi/Düğüm Adı ve Bağlantı Noktası seçin ve girin.

  7. HTTPS'yi seçin.

    Access Gate Havuzu seçeneklerinin ve girdilerinin ekran görüntüsü.

Çoklu Oturum Açma ve HTTP Üst Bilgileri

Kolay Düğme sihirbazı, yayımlanan uygulamalar için SSO için Kerberos, OAuth Taşıyıcı ve HTTP yetkilendirme üst bilgilerini destekler. Oracle EBS uygulaması üst bilgiler bekler, bu nedenle HTTP üst bilgilerini etkinleştirir.

  1. Çoklu Oturum Açma ve HTTP Üst Bilgileri'nda HTTP Üst Bilgileri'ni seçin.

  2. Üst Bilgi İşlemi için değiştir'i seçin.

  3. Üst Bilgi Adı için USER_NAME girin.

  4. Üst Bilgi Değeri için %{session.sso.token.last.username} girin.

  5. Üst Bilgi İşlemi için değiştir'i seçin.

  6. Üst Bilgi Adı alanına USER_ORCLGUID girin.

  7. Üst Bilgi Değeri için %{session.ldap.last.attr.orclguid} girin.

    Üst Bilgi İşlemi, Üst Bilgi Adı ve Üst Bilgi Değeri için girdilerin ve seçimlerin ekran görüntüsü.

    Not

    Küme ayraçlarındaki APM oturum değişkenleri büyük/küçük harfe duyarlıdır.

Oturum Yönetimi

Kullanıcı oturumu sonlandırma veya devam etme koşullarını tanımlamak için BIG-IP Oturum Yönetimi'ni kullanın.

Daha fazla bilgi edinmek için K18390492 için support.f5.com: Güvenlik | BIG-IP APM işlemleri kılavuzu

Çoklu Oturum Kapatma (SLO) işlevi, IdP, BIG-IP ve kullanıcı aracısı arasındaki oturumların, kullanıcılar oturumu kapattığında sonlandırılmasını sağlar. Kolay Düğme, Microsoft Entra kiracınızdaki bir SAML uygulamasının örneğini oluşturduğunda, Oturumu Kapatma URL'sini APM SLO uç noktasıyla doldurur. Bu nedenle, Uygulamalarım portalından IdP tarafından başlatılan oturumu kapatma, BIG-IP ile bir istemci arasındaki oturumu sonlandırır.

Bkz. Microsoft Uygulamalarım

Yayımlanan uygulamanın SAML federasyon meta verileri kiracıdan içeri aktarılır. Bu eylem, APM'ye Microsoft Entra Id için SAML oturumu kapatma uç noktasını sağlar. Ardından SP tarafından başlatılan oturumu kapatma işlemi istemciyi ve Microsoft Entra oturumunu sonlandırır. Kullanıcının oturumu kapattığında APM'nin bunu bildiğinden emin olun.

Yayımlanan uygulamalara erişmek için BIG-IP webtop portalını kullanırsanız APM, Microsoft Entra oturumu kapatma uç noktasını çağırmak için oturumu kapatma işlemini işler. BIG-IP webtop portalını kullanmıyorsanız, kullanıcı APM'ye oturumu kapatma talimatını vermez. Kullanıcı uygulamanın oturumunu kapatırsa, BIG-IP eylemden uzaktır. SP tarafından başlatılan oturumu kapatmanın güvenli oturum sonlandırmayı tetiklediğinden emin olun. İstemciyi Microsoft Entra SAML veya BIG-IP oturumu kapatma uç noktasına yönlendirmek için uygulamalara bir SLO işlevi ekleyin Oturumu kapat düğmesi. Uygulama Kayıtları Uç Noktaları'nda kiracınız için SAML oturumu kapatma uç noktası URL'sini > bulun.

Uygulamayı değiştiremiyorsanız, BIG-IP'nin uygulamanın oturumu kapatma çağrısını dinlemesini ve ardından SLO'nun tetiklesini sağlayın.

Daha fazla bilgi edinin:

Dağıtma

  1. İşleme ayarlarına dağıt'ı seçin.
  2. Uygulamanın kiracı Kurumsal uygulamalar listesinde göründüğünü doğrulayın.

Test etme

  1. Bir tarayıcıdan Oracle EBS uygulaması dış URL'sine bağlanın veya Uygulamalarım uygulama simgesini seçin.
  2. Microsoft Entra Id kimlik doğrulaması yapın.
  3. Uygulamanın BIG-IP sanal sunucusuna yönlendirilirsiniz ve SSO tarafından oturum açmış olursunuz.

Daha fazla güvenlik için doğrudan uygulama erişimini engelleyerek BIG-IP üzerinden bir yol zorlama.

Gelişmiş dağıtım

Bazen Kılavuzlu Yapılandırma şablonları gereksinimler için esneklikten yoksun olur.

Daha fazla bilgi edinin: Öğretici: Üst bilgi tabanlı SSO için F5 BIG-IP'nin Erişim İlkesi Yöneticisi'ni yapılandırma.

Yapılandırmaları el ile değiştirme

Alternatif olarak, BIG-IP'de yapılandırmaları el ile değiştirmek için Destekli Yapılandırma katı yönetim modunu devre dışı bırakın. Sihirbaz şablonları çoğu yapılandırmayı otomatikleştirir.

  1. Access > Destekli Yapılandırma'ya gidin.

  2. Uygulama yapılandırmanızın satırının sağ ucunda asma kilit simgesini seçin.

    Asma kilit simgesinin ekran görüntüsü

Katı modu devre dışı bırakdıktan sonra sihirbazla değişiklik yapamazsınız. Ancak, yayımlanan uygulama örneğiyle ilişkili BIG-IP nesnelerinin kilidi yönetim için açılır.

Not

Katı modu yeniden etkinleştirirseniz, yeni yapılandırmalar Destekli Yapılandırma olmadan gerçekleştirilen ayarların üzerine yazılır. Üretim hizmetleri için gelişmiş yapılandırma yöntemini öneririz.

Sorun giderme

Sorunları gidermeye yardımcı olması için aşağıdaki yönergeleri kullanın.

Günlük ayrıntı düzeyini artırma

Bağlantı, SSO, ilke ihlalleri veya yanlış yapılandırılmış değişken eşlemeleriyle ilgili sorunları yalıtmak için BIG-IP günlüğünü kullanın. Günlük ayrıntı düzeyini artırın.

  1. Erişim İlkesine > Genel Bakış > Olay Günlükleri'ne gidin.
  2. Ayarlar'ı seçin.
  3. Yayımlanan uygulamanızın satırını seçin.
  4. Erişim Sistemi Günlüklerini Düzenle'yi > seçin.
  5. SSO listesinden Hata Ayıkla'yı seçin.
  6. Tamam'ı seçin.
  7. Sorunu yeniden üretin.
  8. Günlükleri inceleyin.

Ayrıntılı mod aşırı veri oluşturduğundan ayarlardaki değişiklikleri geri alın.

BIG-IP hata iletisi

Microsoft Entra ön kimlik doğrulamasından sonra BIG-IP hatası görünürse, sorun Microsoft Entra Kimliği ve BIG-IP SSO ile ilgili olabilir.

  1. **Access'e > Genel Bakış'a gidin.
  2. Raporlara eriş'i seçin.
  3. Raporu son bir saat boyunca çalıştırın.
  4. İpuçları için günlükleri gözden geçirin.

APM'nin beklenen Microsoft Entra taleplerini aldığını onaylamak için oturumunuzun Oturum görüntüle bağlantısını kullanın.

BIG-IP hata iletisi yok

BIG-IP hata sayfası görüntülenmezse, sorun arka uç isteğiyle veya BIG-IP ve uygulama SSO'sı ile ilgili olabilir.

  1. Erişim İlkesine > Genel Bakış'a gidin.
  2. Etkin Oturumlar'ı seçin.
  3. Etkin oturumunuzun bağlantısını seçin.

Özellikle BIG-IP APM'si Microsoft Entra Id veya başka bir kaynaktan doğru öznitelikleri alamıyorsa, SSO sorunlarını araştırmak için Değişkenleri Görüntüle bağlantısını kullanın.

Daha fazla bilgi edinin:

APM hizmet hesabını doğrulama

LDAP sorguları için APM hizmet hesabını doğrulamak için aşağıdaki bash kabuğu komutunu kullanın. komutu, kullanıcı nesnelerinin kimliğini doğrular ve sorgular.

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Daha fazla bilgi edinin: