Tutorial: Configuración de BIG-IP Easy Button de F5 para el inicio de sesión único en Oracle EBS

En este artículo, aprenderá a proteger Oracle Enterprise Business Suite (EBS) mediante Azure Active Directory (Azure AD), a través de la configuración guiada por botones de BIG-IP de F5.

La integración de BIG-IP con Azure AD proporciona muchas ventajas, entre las que se incluyen:

Para obtener información sobre todas las ventajas, consulte el artículo sobre Integración de F5 BIG-IP y Azure AD y qué es el acceso a aplicaciones y el inicio de sesión único con Azure AD.

Descripción del escenario

En este escenario, se examina la aplicación Oracle EBS clásica que usa encabezados de autorización HTTP para administrar el acceso al contenido protegido.

Al ser heredada, la aplicación carece de protocolos actuales que admitan una integración directa con Azure AD. La aplicación se puede modernizar, pero eso es costoso, requiere una planeación cuidadosa y conlleva el riesgo de un posible tiempo de inactividad. En su lugar, se usa un controlador de entrega de aplicaciones (ADC) BIG-IP de F5 para salvar la distancia entre la aplicación heredada y el plano de control de identidad moderno mediante la transición de protocolo.

Tener un dispositivo BIG-IP delante de la aplicación nos permite superponer el servicio con la autenticación previa de Azure AD y el inicio de sesión único basado en encabezados, lo que mejora significativamente la posición de seguridad general de la aplicación.

Arquitectura del escenario

La solución de acceso híbrido seguro para este escenario está integrada por varios componentes, entre los que se incluye una arquitectura de Oracle de varios niveles:

Aplicación Oracle EBS: servicio publicado de BIG-IP que se va a proteger mediante el acceso híbrido seguro de Azure AD.

Azure AD: el proveedor de identidades (IdP) de Lenguaje de marcado de aserción de seguridad (SAML), que es responsable de la comprobación de las credenciales de usuario, el acceso condicional (CA) y el SSO basado en SAML en BIG-IP. Mediante el inicio de sesión único, Azure AD proporciona a BIG-IP los atributos de sesión necesarios.

Oracle Internet Directory (OID): hospeda la base de datos del usuario. BIG-IP comprueba si hay atributos de autorización mediante LDAP.

Oracle AccessGate: valida los atributos de autorización mediante un canal secundario con el servicio OID, antes de emitir cookies de acceso de EBS.

BIG-IP: proxy inverso y proveedor de servicios SAML (SP) en la aplicación, que delega la autenticación al IdP de SAML antes de realizar el inicio de sesión único basado en encabezados en la aplicación de Oracle.

El acceso híbrido seguro (SHA) para este escenario admite flujos iniciados por SP e IdP. En la imagen siguiente se muestra el flujo iniciado por SP.

Secure hybrid access - SP initiated flow

Pasos Descripción
1 El usuario se conecta al punto de conexión de la aplicación (BIG-IP).
2 La directiva de acceso de BIG-IP APM redirige al usuario a Azure AD (IdP de SAML).
3 Azure AD autentica previamente al usuario y aplica las directivas de acceso condicional exigidas.
4 Se redirige al usuario a BIG-IP (SP de SAML) y el inicio de sesión único se realiza mediante el token SAML emitido.
5 BIG-IP realiza una consulta LDAP para el atributo del identificador único de usuarios (UID).
6 BIG-IP inserta el atributo UID devuelto como encabezado user_orclguid en la solicitud de la cookie de sesión de EBS en Oracle AccessGate.
7 Oracle AccessGate valida el UID con el servicio Oracle Internet Directory (OID) y emite una cookie de acceso a EBS.
8 Los encabezados de usuario y la cookie de EBS se envían a la aplicación y se devuelve la carga al usuario.

Requisitos previos

No es necesario tener experiencia previa en BIG-IP, pero necesitará lo siguiente:

  • Una suscripción gratuita de Azure AD u otra de nivel superior

  • Una instancia de BIG-IP existente o implementar una instancia de BIG-IP Virtual Edition (VE) en Azure

  • Cualquiera de las siguientes SKU de licencias de F5 BIG-IP

    • F5 BIG-IP® Best bundle

    • Licencia independiente de F5 BIG-IP Access Policy Manager™ (APM).

    • Licencia del complemento F5 BIG-IP Access Policy Manager™ (APM) en una instalación de F5 BIG-IP® Local Traffic Manager™ (LTM) ya existente.

    • Licencia de evaluación gratuita completa de 90 días de BIG-IP.

  • Identidades de usuario sincronizadas desde un directorio local con Azure AD o creadas directamente dentro de Azure AD y devueltas a su directorio local

  • Una cuenta con permisos de administrador de la aplicación de Azure AD

  • Un certificado web de SSL para publicar servicios a través de HTTPS o usar certificados predeterminados de BIG-IP durante las pruebas

  • Un conjunto de Oracle EBS ya existente que incluya Oracle AccessGate y un OID (Oracle Internet Database) habilitado para LDAP

Métodos de configuración BIG-IP

Hay muchos métodos para configurar BIG-IP para este escenario, incluidas dos opciones basadas en plantillas y una configuración avanzada. En este tutorial se trata la configuración guiada 16.1, la más reciente, que ofrece una plantilla Easy Button. Con Easy Button, los administradores ya no tienen que ir y venir entre Azure AD y BIG-IP para permitir servicios de SHA. La implementación y la administración de directivas se controlan directamente entre el asistente de configuración guiada de APM y Microsoft Graph. Esta completa integración entre BIG-IP APM y Azure AD garantiza que las aplicaciones puedan admitir de forma rápida y sencilla la federación de identidades, el inicio de sesión único y el acceso condicional de Azure AD, lo que reduce la sobrecarga administrativa.

Nota

Todas las cadenas o valores de ejemplo a los que se hace referencia en esta guía deben reemplazarse por aquellos de su entorno real.

Registro de Easy Button

Para que un cliente o servicio pueda acceder a Microsoft Graph, debe confiar en él la plataforma de identidad de Microsoft.

En este primer paso, se crea un registro de aplicación de inquilino que se usará para autorizar el acceso de Easy Button a Graph. Con estos permisos, BIG-IP podrá insertar las configuraciones necesarias para establecer una confianza entre una instancia de proveedor de servicio de SAML para la aplicación publicada y Azure AD como el proveedor de identidades de SAML.

  1. Inicie sesión en el portal de Azure AD con derechos de administrador de la aplicación.

  2. En el panel de navegación de la izquierda, seleccione el servicio Azure Active Directory.

  3. En Administrar, seleccione Registros de aplicaciones Nuevo registro.

  4. Escriba un nombre para mostrar para la aplicación. Por ejemplo, F5 BIG-IP Easy Button.

  5. Especifique quién puede usar la aplicación >>

  6. Seleccione Registrar para completar el registro inicial de la aplicación.

  7. Vaya a Permisos de API y autorice los permisos de aplicación siguientes de Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Concesión de consentimiento del administrador para su organización

  9. Vaya a Certificados & Secretos, genere un nuevo secreto de cliente y anótelo.

  10. Vaya a Información general y anote el Id. de cliente y el Id. de inquilino.

Configuración de Easy Button

Inicie la configuración guiada de APM para abrir la plantilla Easy Button.

  1. Vaya a Access Guided Configuration > Microsoft Integration (Acceso > Configuración guiada > Integración con el software de Microsoft) y seleccione > (Aplicación de Azure AD)

    Screenshot for Configure Easy Button- Install the template

  2. Revise la lista de pasos de configuración y seleccione Siguiente.

    Screenshot for Configure Easy Button - List configuration steps

  3. Siga la secuencia de pasos necesarios para publicar la aplicación.

    Configuration steps flow

Configuration Properties

La pestaña Configuration Properties (Propiedades de configuración) crea una configuración de la aplicación de BIG-IP y un objeto de inicio de sesión único. Considere la sección de detalles de la cuenta de servicio de Azure para el cliente que registró anteriormente en el inquilino de Azure AD como una aplicación. Esta configuración permite que un cliente de OAuth de BIG-IP registre individualmente un SPA de SAML directamente en el inquilino, junto con las propiedades de SSO que habitualmente configuraría de manera manual. Easy Button hace esto para cada servicio BIG-IP que se publica y habilita para SHA.

Algunas de ellas son valores globales que pueden reutilizarse para publicar más aplicaciones, lo que reduce aún más el tiempo y el esfuerzo de implementación.

  1. Proporcione un nombre único a la configuración que permita a un administrador distinguir fácilmente entre configuraciones de Easy Button.

  2. Habilite Single Sign-On (SSO) HTTP Headers (Encabezados de inicio de sesión único y HTTP)

  3. Escriba el identificador de inquilino, el identificador de cliente y el secreto de cliente que anotó al registrar el cliente de Botón fácil en el inquilino.

  4. Antes de seleccionar Siguiente, confirme que BIG-IP puede conectarse correctamente al inquilino.

     Screenshot for Configuration General and Service Account properties

Proveedor de servicios

La configuración del proveedor de servicios define las propiedades de la instancia del SP de SAML de la aplicación protegida mediante SHA.

  1. Especifique el host. Este es el FQDN público de la aplicación que se va a proteger.

  2. Escriba el identificador de la entidad. Este es el identificador que usará Azure AD para identificar el proveedor de servicios de SAML que solicita un token.

    Screenshot for Service Provider settings

    A continuación, en Configuración de seguridad especifique si Azure AD debe cifrar las aserciones de SAML emitidas. El cifrado de aserciones entre Azure AD y BIG-IP APM proporciona una garantía de que no se podrán interceptar los tokens de contenido y de que no se pondrá en peligro la seguridad de los datos personales o corporativos.

  3. En la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones), seleccione Create New (Crear nueva).

    Screenshot for Configure Easy Button- Create New import

  4. Seleccione Aceptar. Esto abre el cuadro de diálogo Import SSL Certificate and Keys (Importar certificado SSL y claves) en una nueva pestaña.

  5. Seleccione PKCS 12 (IIS) para importar el certificado y la clave privada. Una vez aprovisionado, cierre la pestaña del explorador para volver a la pestaña principal.

    Screenshot for Configure Easy Button- Import new cert

  6. Active Enable Encrypted Assertion (Habilitar aserciones cifradas).

  7. Si ha habilitado el cifrado, seleccione el certificado en la lista Assertion Decryption Private Key (Clave privada de descifrado de aserciones). Esta es la clave privada del certificado que usa BIG-IP APM para descifrar las aserciones de Azure AD.

  8. Si ha habilitado el cifrado, seleccione el certificado en la lista Assertion Decryption Certificate (Certificado de descifrado de aserciones). Este es el certificado que carga BIG-IP en Azure AD para cifrar las aserciones de SAML emitidas.

    Screenshot for Service Provider security settings

Azure Active Directory

En esta sección se definen todas las propiedades que normalmente se usarían para configurar manualmente una nueva aplicación SAML BIG-IP dentro del inquilino de Azure AD. Easy Button proporciona un conjunto de plantillas de aplicación predefinidas para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP y plantillas genéricas de acceso híbrido seguro para todas las demás aplicaciones. En este escenario, seleccione Oracle E-Business Suite > Add (Agregar).

Screenshot for Azure configuration add BIG-IP application

Configuración de Azure

  1. Especifique el nombre para mostrar de la aplicación que crea BIG-IP en el inquilino de Azure AD y el icono que verán los usuarios en el portal MyApps.

  2. En URL de inicio de sesión (opcional) escriba el FQDN público de la aplicación EBS que se va a proteger, junto con la ruta de acceso predeterminada de la página principal de Oracle EBS.

    Screenshot for Azure configuration add display info

  3. Seleccione el icono de actualización junto a Clave de firma y Certificado de firma para buscar el certificado que importó anteriormente.

  4. Escriba la contraseña del certificado en Frase de contraseña de firma.

  5. Habilite Opción de firma (opcional). Esto garantiza que BIG-IP solo aceptará tokens y notificaciones firmados por Azure AD

    Screenshot for Azure configuration - Add signing certificates info

  6. Los usuarios y grupos de usuarios se consultan dinámicamente desde el inquilino de Azure AD y se usan para autorizar el acceso a la aplicación. Agregue un usuario o grupo que pueda usar más adelante para las pruebas; de lo contrario, se denegará todo acceso.

    Screenshot for Azure configuration - Add users and groups

Atributos y notificaciones de usuario

Cuando un usuario se autentica correctamente, Azure AD emite un token SAML con un conjunto predeterminado de notificaciones y atributos que identifican de forma única al usuario. La pestaña Atributos y notificaciones de usuario muestra las notificaciones predeterminadas que se emitirán para la nueva aplicación. También permite configurar más notificaciones.

Screenshot for user attributes and claims

Puede incluir atributos adicionales de Azure AD si es necesario, pero el escenario de Oracle EBS solo requiere los atributos predeterminados.

Atributos de usuario adicionales

La pestaña Atributos de usuario adicionales puede admitir diversos sistemas distribuidos que requieren atributos almacenados en otros directorios para el aumento de la sesión. Los atributos obtenidos de un origen LDAP se pueden insertar como encabezados de inicio de sesión único adicionales para controlar aún más el acceso en función de los roles, los identificadores de asociado, etc.

  1. Habilite la opción Configuración avanzada.

  2. Active la casilla Atributos de LDAP.

  3. Seleccione Crear nuevo en Choose Authentication Server (Elegir servidor de autenticación).

  4. Seleccione el modo de conexión del servidor Use pool (Usar grupo) o Directa según su configuración. Esto proporciona la dirección del servidor del servicio LDAP de destino. Si usa un único servidor LDAP, seleccione Directa.

  5. Escriba en Puerto de servicio el valor 3060 (valor predeterminado), 3161 (seguro) o cualquier otro puerto en el que funcione el servicio LDAP de Oracle.

  6. Escriba el nombre distintivo (DN) de búsqueda base desde el que buscar. Este DN de búsqueda se usa para buscar grupos en todo un directorio.

  7. Establezca el DN de administrador en el nombre distintivo exacto de la cuenta que APM usará para autenticarse para las consultas LDAP, junto con su contraseña.

    Screenshot for additional user attributes

  8. Deje todos los atributos de esquema LDAP con sus valores predeterminados.

    Screenshot for LDAP schema attributes

  9. En LDAP Query Properties (Propiedades de consulta LDAP), establezca el DN de búsqueda en el nodo base del servidor LDAP desde el que buscar objetos de usuario.

  10. Agregue el nombre del atributo de objeto del usuario que se debe devolver desde el directorio LDAP. Para EBS, el valor predeterminado es orclguid.

    Screenshot for LDAP query properties.png

Directiva de acceso condicional

Las directivas de acceso condicional se aplican después de la autenticación previa de Azure AD, para controlar el acceso en función de las señales de dispositivo, aplicación, ubicación y riesgo.

De forma predeterminada, la vista Directivas disponibles mostrará todas las directivas de acceso condicional que no incluyan acciones basadas en el usuario.

La vista Directivas seleccionadas muestra de forma predeterminada todas las directivas dirigidas a todas las aplicaciones de nube. No se puede anular la selección de estas directivas ni moverse a la lista Directivas disponibles, ya que se aplican en un nivel de inquilino.

Para seleccionar una directiva que se aplicará a la aplicación que se va a publicar:

  1. Seleccione la directiva deseada en la lista Available Policies (Directivas disponibles).

  2. Seleccione la flecha derecha y muévala a la lista Selected Policies (Directivas seleccionadas).

    Las directivas seleccionadas deben tener activada la opción Incluir o Excluir. Si ambas opciones están activadas, no se aplica la directiva.

    Screenshot for CA policies

Nota

La lista de directivas se enumera solo una vez cuando se cambia por primera vez a esta pestaña. Hay un botón de actualización disponible para forzar manualmente al asistente a consultar el inquilino, pero este botón solo se muestra cuando se ha implementado la aplicación.

Propiedades del servidor virtual

Un servidor virtual es un objeto del plano de datos de BIG-IP representado por una dirección IP virtual que escucha las solicitudes de los clientes a la aplicación. Cualquier tráfico recibido se procesa y evalúa con el perfil de APM asociado al servidor virtual, antes de dirigirse según los resultados y la configuración de la directiva.

  1. Escriba la dirección de destino. Es cualquier dirección IPv4/IPv6 disponible que BIG-IP pueda usar para recibir tráfico del cliente. También debe existir un registro correspondiente en DNS que permita a los clientes resolver la dirección URL externa de la aplicación publicada de BIG-IP en esta dirección IP, en lugar de la aplicación misma. El uso del DNS de localhost de un equipo de prueba se puede usar para las pruebas.

  2. En Puerto de servicio, escriba 443 para HTTPS.

  3. Active Enable Redirect Port (Habilitar puerto de redirección) y, luego, escriba el valor de Redirect Port (Puerto de redirección). Redirige el tráfico de cliente HTTP entrante a HTTPS.

  4. El perfil SSL de cliente habilita el servidor virtual para HTTPS, de manera que las conexiones de cliente se cifren a través de TLS. Seleccione el perfil SSL del cliente que creó como parte de los requisitos previos o deje el valor predeterminado mientras realiza pruebas.

    Screenshot for Virtual server

Propiedades del grupo

En la pestaña Grupo de aplicaciones se detallan los servicios detrás de BIG-IP que se representan como un grupo que contiene uno o varios servidores de aplicaciones.

  1. En Seleccione un grupo, realice su selección. Creación de un grupo o selección de uno existente

  2. En Método de equilibrio de carga, elija Round Robin.

  3. En los servidores de grupo, seleccione un nodo existente o especifique una dirección IP y un puerto para los servidores que hospedan la aplicación de Oracle EBS.

    Screenshot for Application pool

  4. El grupo de puertas de acceso especifica los servidores que Oracle EBS usa para asignar un usuario autenticado de SSO a una sesión de Oracle E-Business Suite. Actualice los servidores de grupo con la dirección IP y el puerto de los servidores de aplicaciones de Oracle que hospedan la aplicación.

    Screenshot for AccessGate pool

Encabezados de inicio de sesión único y HTTP

El asistente de Easy Button admite encabezados de autorización de Kerberos, portador de OAuth y HTTP para el inicio de sesión único en las aplicaciones publicadas. Como la aplicación de Oracle EBS espera encabezados, habilite los encabezados HTTP y especifique las siguientes propiedades.

  • Operación de encabezado: replace (reemplazar)

  • Nombre del encabezado: USER_NAME

  • Valor del encabezado: %{session.sso.token.last.username}

  • Operación de encabezado: replace (reemplazar)

  • Nombre del encabezado: USER_ORCLGUID

  • Valor del encabezado: %{session.ldap.last.attr.orclguid}

     Screenshot for SSO and HTTP headers

Nota:

Las variables de sesión de APM definidas entre llaves distinguen entre mayúsculas y minúsculas. Por ejemplo, si escribe OrclGUID cuando se define el nombre de atributo de Azure AD como orclguid, se producirá un error de asignación de atributos.

Administración de sesiones

La configuración de administración de sesiones de BIG-IP se usa para definir las condiciones en las que se terminan o se permite que continúen las sesiones de usuario, los límites de usuarios y direcciones IP, y la correspondiente información del usuario. Consulte la documentación de F5 para más detalles sobre esta configuración.

Sin embargo, lo que no se trata aquí es la funcionalidad de cierre de sesión único (SLO), que garantiza que todas las sesiones entre el IdP, BIG-IP y el agente de usuario finalicen después de que los usuarios hayan cerrado la sesión. Cuando Easy Button crea una instancia de una aplicación SAML en el inquilino de Azure AD, también rellena la dirección URL de cierre de sesión con el punto de conexión de cierre de sesión único de APM. De este modo, los cierres de sesión iniciados por IdP desde el portal MyApps de Azure AD también finalizan la sesión entre BIG-IP y un cliente.

Junto con esto, los metadatos de federación de SAML de la aplicación publicada se importan desde el inquilino, lo que proporciona a APM el punto de conexión de cierre de sesión de SAML para Azure AD. Esto garantiza que los cierres de sesión iniciados por SP finalicen la sesión entre un cliente y Azure AD. No obstante, para que esta opción sea realmente eficaz, el APM debe saber exactamente cuándo un usuario cierra sesión en la aplicación.

Si el portal de webtops de BIG-IP se usa para acceder a aplicaciones publicadas, el APM procesaría un cierre de sesión desde ahí para llamar también al punto de conexión de cierre de sesión de Azure AD. Pero considere un escenario en el que no se usa el portal de webtops de BIG-IP y el usuario no tiene ninguna manera de indicar a APM que cierre la sesión. Incluso si el usuario cierra sesión en la aplicación misma, BIG-IP es técnicamente ajeno a esto. Por esta razón, el cierre de sesión por parte de SP es algo que debe tenerse muy en cuenta para garantizar que las sesiones finalicen de manera segura cuando ya no sean necesarias. Una manera de lograrlo sería agregar una función SLO al botón de cierre de sesión de las aplicaciones, para que pueda redirigir al cliente al punto de conexión de cierre de sesión de SAML de Azure AD o de BIG-IP. La dirección URL del punto de conexión de cierre de sesión de SAML para el inquilino puede encontrarse en Registros de aplicaciones > Puntos de conexión.

Si no es posible realizar un cambio en la aplicación, considere la posibilidad de que BIG-IP escuche la llamada de cierre de sesión de las aplicaciones y, al detectar la solicitud, desencadene el cierre de sesión único. Si desea usar reglas iRule de BIG-IP para lograr esto, consulte la guía de SLO de Oracle PeopleSoft. Puede encontrar más información sobre el uso de iRules de BIG-IP para lograr este comportamiento en el artículo de conocimientos de F5 Configuración de la terminación automática de sesión (cierre de sesión) basada en un nombre de archivo al que se hace referencia mediante URI e Información general de la opción Incluir del URI de cierre de sesión.

Resumen

Este último paso proporciona un desglose de las configuraciones. Seleccione Implementar para confirmar toda la configuración y comprobar que la aplicación existe en la lista de inquilinos de las aplicaciones empresariales.

Pasos siguientes

Desde un explorador, conéctese a la dirección URL externa de la aplicación de Oracle EBS o seleccione el icono de la aplicación en el portal MyApps de Microsoft. Después de autenticarse en Azure AD, se le redirigirá al servidor virtual de BIG-IP para la aplicación y se iniciará sesión de forma automática mediante SSO.

Para aumentar la seguridad, las organizaciones que usan este patrón también podrían considerar la posibilidad de bloquear todo el acceso directo a la aplicación, forzando así una ruta de acceso estricta a través de BIG-IP.

Implementación avanzada

Puede haber casos en los que las plantillas de configuración guiada carezcan de flexibilidad para lograr un requisitos más específicos. Para esos escenarios, consulte Configuración avanzada del inicio de sesión único basado en encabezados. Como alternativa, BIG-IP ofrece la opción de deshabilitar el modo de administración estricta de la configuración guiada. Esto le permite ajustar manualmente las configuraciones, aunque la mayor parte de estas se automatizan mediante las plantillas basadas en asistentes.

Puede ir a Acceso Guided Configuration (Configuración guiada) y seleccionar el icono de candado pequeño situado en el extremo derecho de la fila de configuración de las aplicaciones.

Screenshot for Configure Easy Button - Strict Management

En ese momento, los cambios a través de la interfaz de usuario del asistente ya no son posibles, pero todos los objetos de BIG-IP asociados a la instancia publicada de la aplicación se desbloquearán para la administración directa.

Nota

Al volver a habilitar el modo estricto e implementar una configuración, se sobrescribirá cualquier configuración realizada fuera de la interfaz de usuario de la configuración guiada, por lo que se recomienda el método de configuración avanzada para los servicios de producción.

Solución de problemas

Si no puede acceder a una aplicación protegida por SHA puede ser por varios factores. El registro de BIG-IP puede ayudar a aislar rápidamente todo tipo de problemas con la conectividad, el inicio de sesión único, infracciones de directivas o asignaciones de variables mal configuradas. Para empezar a solucionar problemas, aumente el nivel de detalle del registro.

  1. Vaya a Directiva de acceso Información general > Registros de eventos > Configuración

  2. Seleccione la fila de la aplicación publicada y, luego, Editar> Access System Logs (Registros del sistema de acceso).

  3. Seleccione Depurar en la lista de inicio de sesión único y, después, elija Aceptar.

Reproduzca el problema y, a continuación, inspeccione los registros, pero recuerde volver a cambiarlo cuando haya terminado, ya que el modo detallado genera una gran cantidad de datos.

Si ve un error con la marca BIG-IP inmediatamente después de una autenticación previa correcta de Azure AD, es posible que el problema esté relacionado con el inicio de sesión único de Azure AD en BIG-IP.

  1. Vaya a Access Overview > Access reports (Acceso > Información general > Informes de acceso).

  2. Ejecute el informe de la última hora para ver si los registros proporcionan alguna pista. El vínculo View session variables (Ver variables de sesión) de la sesión también le ayudará a comprender si APM recibe las notificaciones esperadas de Azure AD.

Si no ve una página de error de BIG-IP, el problema probablemente esté más relacionado con la solicitud de back-end o con el inicio de sesión único desde BIG-IP a la aplicación.

  1. En este caso, vaya a Directiva de acceso > Información general > Sesiones activas y seleccione el vínculo de la sesión activa.

  2. El vínculo View Variables (Ver variables) de esta ubicación también puede ayudar a determinar la causa principal de los problemas de inicio de sesión único, especialmente si BIG-IP APM no puede obtener los atributos correctos de Azure AD u otro origen.

Vea los ejemplos de asignación de variables de BIG-IP APM y referencia de variables de sesión de F5 BIG-IP para obtener más información.

El siguiente comando de un shell de Bash valida la cuenta de servicio de APM que se usa para las consultas LDAP y puede permitir autenticar y consultar correctamente un objeto de usuario:

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Para más información, consulte este artículo de conocimientos de F5 Configuración de la autenticación remota de LDAP para Active Directory. También hay una tabla de referencia de BIG-IP excelente para ayudar a diagnosticar problemas relacionados con LDAP en este artículo de conocimientos de F5 sobre la consulta LDAP.