Tutorial: Mengonfigurasi BIG-IP Easy Button F5 untuk SSO ke SAP ERP

  • Artikel
  • 13 menit untuk membaca

Pada artikel ini, pelajari cara mengamankan SAP ERP menggunakan Azure Active Directory (Azure AD), melalui konfigurasi terpandu BIG-IP Easy Button F5.

Mengintegrasikan BIG-IP dengan Azure Active Directory (Azure AD) memberikan banyak manfaat, termasuk:

Untuk mempelajari semua keuntungannya, lihat artikel tentang integrasi F5 BIG-IP dan Azure Active Directory dan apa itu akses aplikasi dan akses menyeluruh dengan Azure Active Directory.

Deskripsi skenario

Skenario ini melihat aplikasi SAP ERP klasik yang menggunakan otentikasi Kerberos untuk mengelola akses ke konten yang dilindungi.

Berstatus warisan, aplikasi ini tidak memiliki protokol modern untuk mendukung integrasi langsung dengan Azure AD. Aplikasi ini dapat dimodernisasi, tetapi memerlukan banyak sumber daya, perencanaan yang matang, dan memiliki risiko terjadinya waktu henti. Sebagai gantinya, Application Delivery Controller (ADC) BIG-IP F5 digunakan untuk menjembatani celah antara aplikasi warisan dan panel kontrol ID modern, melalui transisi protokol.

Memiliki BIG-IP di depan aplikasi memungkinkan kami untuk melapisi layanan dengan pra-autentikasi Azure AD dan SSO berbasis header, secara signifikan meningkatkan postur keamanan aplikasi secara keseluruhan.

Arsitektur skenario

Solusi SHA untuk skenario ini terdiri dari hal berikut ini:

Aplikasi SAP ERP: Layanan BIG-IP yang diterbitkan yang akan dilindungi dan SHA Azure AD.

Azure AD: Penyedia Identitas (IdP) SAML bertanggung jawab untuk verifikasi info masuk pengguna, Akses Bersyarat (CA), dan SSO berbasis SAML ke BIG-IP.

BIG-IP: Membalikkan proksi dan penyedia layanan (SP) SAML ke aplikasi, mendelegasikan autentikasi ke IdP SAML sebelum melakukan SSO berbasis header ke layanan SAP.

SHA untuk skenario ini mendukung alur yang dimulai SP dan IdP. Gambar berikut mengilustrasikan alur yang dimulai SP.

Secure hybrid access - SP initiated flow

Langkah-langkah Deskripsi
1 Pengguna terhubung ke titik akhir aplikasi (BIG-IP)
2 Kebijakan akses APM BIG-IP mengalihkan pengguna ke Azure AD (SAML IdP)
3 Azure AD melakukan pra-autentikasi pada pengguna dan menerapkan kebijakan Akses Bersyarat yang berlaku
4 Pengguna diarahkan ke BIG-IP (SAML SP) dan SSO dilakukan menggunakan token SAML yang dikeluarkan
5 BIG-IP meminta tiket Kerberos dari KDC
6 BIG-IP mengirim permintaan untuk aplikasi backend, bersama dengan tiket Kerberos untuk SSO
7 Aplikasi mengotorisasi permintaan dan mengembalikan payload

Prasyarat

Pengalaman BIG-IP sebelumnya tidak diperlukan, namun Anda akan memerlukan:

  • Langganan gratis Microsoft Azure Active Directory atau yang lebih tinggi

  • BIG-IP lama atau sebarkan BIG-IP Virtual Edition (VE) di Azure

  • Salah satu lisensi BIG-IP F5 berikut

    • F5 BIG-IP® Bundel terbaik

    • Lisensi mandiri APM BIG-IP F5

    • Lisensi add-on APM BIG-IP F5 pada BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) yang ada

    • Fitur lengkap 90 hari BIG-IP lisensi uji coba.

  • Identitas pengguna disinkronkan dari direktori lokal ke Azure AD, atau dibuat langsung dalam Azure AD dan mengalir kembali ke direktori lokal Anda

  • Akun dengan izin admin Aplikasi Microsoft Azure AD

  • Sertifikat Web SSL untuk layanan penerbitan melalui HTTPS, atau gunakan sertifikat BIG-IP default saat pengujian

  • Lingkungan SAP ERP yang sudah ada dikonfigurasi untuk otentikasi Kerberos

Metode konfigurasi BIG-IP

Ada banyak metode untuk mengonfigurasi BIG-IP untuk skenario ini, termasuk dua opsi berbasis templat dan konfigurasi lanjutan. Tutorial ini mencakup Konfigurasi Terpandu 16.1 terbaru yang menawarkan template Easy Button.

Dengan Easy Button, admin tidak perlu lagi bolak-balik antara Azure AD dan BIG-IP guna mengaktifkan layanan untuk SHA. Penyebaran dan pengelolaan kebijakan ditangani langsung antara wizard Konfigurasi Terpandu APM dan Microsoft Graph. Integrasi antara APM BIG-IP dan Azure AD yang kaya ini memastikan bahwa aplikasi dapat dengan cepat dan mudah mendukung penggabungan identitas, SSO, dan Akses Bersyarat Azure AD, sehingga mengurangi overhead administratif.

Catatan

Semua contoh string atau nilai yang dirujuk di seluruh panduan ini harus diganti dengan string yang ada di lingkungan Anda yang sebenarnya.

Mendaftarkan Easy Button

Sebelum klien atau layanan dapat mengakses Microsoft Graph, keduanya harus dipercaya oleh platform identitas Microsoft.

Klien Easy Button juga harus terdaftar di Azure AD, sebelum diizinkan untuk membangun kepercayaan antara setiap instans SAML SP dari aplikasi yang diterbitkan BIG-IP, dan Azure AD sebagai IdP SAML.

  1. Masuk ke portal Azure AD menggunakan akun dengan hak Administratif Aplikasi

  2. Dari panel navigasi kiri, pilih Layanan Microsoft Azure Active Directory

  3. Di bawah Kelola, pilih Pendaftaran aplikasi Pendaftaran baru

  4. Masukkan Nama tampilan aplikasi Anda. Misalnya, Easy Button BIG-IP F5

  5. Tentukan siapa yang dapat menggunakan aplikasi >>

  6. Pilih Daftar untuk menyelesaikan pendaftaran aplikasi awal

  7. Navigasikan ke Izin API dan otorisasi izin Aplikasi Microsoft Graph berikut:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Grup.Baca.Semua
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • Pengguna.Baca.Semua

  8. Berikan persetujuan admin untuk organisasi Anda

  9. Di bilah Sertifikat Rahasia, buat rahasia klien baru dan catat

  10. Dari bilah Ringkasan, perhatikan ID Klien dan ID Penyewa

Mengonfigurasi Easy Button

Mulai Konfigurasi Terpandu APM untuk meluncurkan Template Tombol Mudah.

  1. Dari browser, masuk ke konsol manajemen BIG-IP F5

  2. Buka Akses Konfigurasi Terpandu > Microsoft Integration dan pilih >.

    Screenshot for Configure Easy Button- Install the template

  3. Tinjau daftar langkah-langkah konfigurasi dan pilih Berikutnya

    Screenshot for Configure Easy Button - List configuration steps

  4. Ikuti urutan langkah-langkah yang diperlukan untuk menerbitkan aplikasi Anda.

    Configuration steps flow

Properti Konfigurasi

Ini adalah properti akun layanan dan umum. Tab Properti Konfigurasi membuat konfigurasi aplikasi BIG-IP dan objek SSO. Pertimbangkan bagian Detail Akun Layanan Azure untuk mewakili klien yang Anda daftarkan di penyewa Azure AD sebelumnya, sebagai aplikasi. Pengaturan ini memungkinkan klien OAuth BIG-IP untuk mendaftarkan SAML SP secara individual langsung di penyewa Anda, bersama dengan properti SSO yang biasanya Anda konfigurasikan secara manual. Tombol Mudah melakukan ini untuk setiap layanan BIG-IP yang diterbitkan dan diaktifkan untuk SHA.

Beberapa di antaranya adalah pengaturan global yang dapat digunakan kembali untuk menerbitkan lebih banyak aplikasi, sehingga semakin mengurangi waktu dan upaya penyebaran.

  1. Berikan Nama Konfigurasi yang unik sehingga admin dapat dengan mudah membedakan antara konfigurasi Easy Button

  2. Aktifkan Akses Menyeluruh (SSO) Header HTTP

  3. Masukkan ID Penyewa, ID Klien, dan Rahasia Klien yang Anda catat saat mendaftarkan klien Easy Button di penyewa Anda

  4. Konfirmasi bahwa BIG-IP dapat berhasil tersambung ke penyewa Anda, lalu pilih Berikutnya

    Screenshot for Configuration General and Service Account properties

Penyedia Layanan

Pengaturan Penyedia Layanan menentukan properti untuk instans SAML SP dari aplikasi yang dilindungi melalui SHA.

  1. Masukkan Host. Ini adalah FQDN publik dari aplikasi yang diamankan

  2. Masukkan ID Entitas. Ini adalah pengidentifikasi yang akan digunakan Azure AD untuk mengidentifikasi SP SAML yang meminta token

    Screenshot for Service Provider settings

    Pengaturan Keamanan opsional menentukan apakah Azure AD harus mengenkripsi pernyataan SAML yang diterbitkan. Mengenkripsi pernyataan antara Azure AD dan APM BIG-IP memberikan jaminan tambahan bahwa token konten tidak dapat disadap, dan data pribadi atau perusahaan dapat disusupi.

  3. Dari daftar Kunci Privat Dekripsi Pernyataan, pilih Buat Baru

    Screenshot for Configure Easy Button- Create New import

  4. PilihOK. Ini membuka dialog Impor Sertifikat dan Kunci SSL di tab baru

  5. Pilih PKCS 12 (IIS) untuk mengimpor sertifikat dan kunci privat Anda. Setelah disediakan, tutup tab browser untuk kembali ke tab utama

    Screenshot for Configure Easy Button- Import new cert

  6. Memeriksa Aktifkan Pernyataan Terenkripsi

  7. Jika Anda telah mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Kunci Privat Dekripsi Pernyataan. Ini adalah kunci privat untuk sertifikat yang akan digunakan APM BIG-IP untuk mendekripsi pernyataan Azure AD

  8. Jika Anda telah mengaktifkan enkripsi, pilih sertifikat Anda dari daftar Sertifikat Dekripsi Pernyataan. Ini adalah sertifikat yang akan diunggah BIG-IP ke Azure AD untuk mengenkripsi pernyataan SAML yang diterbitkan

    Screenshot for Service Provider security settings

Azure Active Directory

Bagian ini menentukan semua properti yang biasanya Anda gunakan untuk mengonfigurasi aplikasi SAML BIG-IP baru secara manual dalam penyewa Azure AD Anda.

Tombol Mudah menyediakan satu set template aplikasi yang telah ditentukan sebelumnya untuk Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP serta template SHA generik untuk aplikasi lainnya. Untuk skenario ini, pilih SAP ERP Central Component >Tambahkan untuk memulai konfigurasi Azure.

Screenshot for Azure configuration add BIG-IP application

Konfigurasi Azure

  1. Masukkan Nama Tampilan aplikasi yang dibuat oleh BIG-IP di penyewa Azure AD Anda, dan ikon yang akan dilihat pengguna di portal MyApps

  2. Biarkan URL Masuk (opsional) tetap kosong untuk mengaktifkan aktivitas masuk yang dimulai IdP

    Screenshot for Azure configuration add display info

  3. Pilih ikon refresh di samping Kunci Penandatanganan dan Sertifikat Penandatanganan untuk menemukan sertifikat yang Anda impor sebelumnya

  4. Masukkan kata sandi sertifikat di Frase Sandi Kunci Penandatanganan

  5. Aktifkan Opsi Penandatanganan (opsional). Ini memastikan bahwa BIG-IP hanya menerima token dan klaim yang ditandatangani oleh Azure AD

    Screenshot for Azure configuration - Add signing certificates info

  6. Grup Pengguna dan Pengguna secara dinamis dikueri dari penyewa Azure AD Anda dan digunakan untuk mengotorisasi akses ke aplikasi. Tambahkan pengguna atau grup yang dapat Anda gunakan nanti untuk pengujian, jika tidak, semua akses akan ditolak

    Screenshot for Azure configuration - Add users and groups

Atribut Pengguna & Klaim

Saat pengguna berhasil mengautentikasi ke Azure AD, Azure AD mengeluarkan token SAML dengan kumpulan klaim dan atribut default yang mengidentifikasi pengguna secara unik. Tab Atribut Klaim Pengguna menunjukkan klaim default yang akan dikeluarkan untuk aplikasi baru. Ini juga memungkinkan Anda mengonfigurasi lebih banyak klaim.

Karena contoh infrastruktur AD kami didasarkan pada akhiran domain .com yang digunakan baik secara internal maupun eksternal, kami tidak memerlukan atribut tambahan apa pun untuk mencapai implementasi SSO KCD yang fungsional. Lihat tutorial tingkat lanjut untuk kasus di mana Anda memiliki beberapa domain atau akses masuk pengguna menggunakan akhiran alternatif.

Screenshot for user attributes and claims

Anda dapat menyertakan atribut Azure AD tambahan jika perlu, tetapi skenario SAP ERP hanya memerlukan atribut default.

Atribut Pengguna Tambahan

Tab Atribut Pengguna Tambahan dapat mendukung berbagai sistem terdistribusi yang memerlukan atribut yang disimpan di direktori lain, untuk augmentasi sesi. Atribut yang diambil dari sumber LDAP kemudian dapat dimasukkan sebagai header SSO tambahan untuk mengontrol akses lebih lanjut berdasarkan peran, ID Mitra, dll.

Screenshot for additional user attributes

Catatan

Fitur ini tidak memiliki korelasi dengan Azure AD, tetapi merupakan sumber atribut lain.

Kebijakan Akses Bersyarat

Kebijakan CA diberlakukan setelah pasca autentikasi Azure AD, untuk mengontrol akses berdasarkan perangkat, aplikasi, lokasi, dan sinyal risiko.

Tampilan Kebijakan yang Tersedia, secara default, akan mencantumkan semua kebijakan CA yang tidak menyertakan tindakan berbasis pengguna.

Secara default, daftar Kebijakan Terpilih menampilkan semua kebijakan yang menargetkan Semua aplikasi cloud. Kebijakan ini tidak dapat dibatalkan pilihannya atau dipindahkan ke daftar Kebijakan yang Tersedia karena diberlakukan pada tingkat penyewa.

Untuk memilih kebijakan yang akan diterapkan pada aplikasi yang diterbitkan:

  1. Pilih kebijakan yang diinginkan di daftar Kebijakan yang Tersedia
  2. Pilih panah kanan dan pindahkan ke daftar Kebijakan Terpilih

Kebijakan terpilih harus mencentang opsi Sertakan atau Kecualikan. Jika kedua opsi dicentang, kebijakan yang dipilih tidak diterapkan.

Screenshot for CA policies

Catatan

Daftar kebijakan disebutkan hanya sekali saat pertama kali beralih ke tab ini. Tombol refresh tersedia untuk memaksa wizard secara manual mengkueri penyewa Anda, tetapi tombol ini hanya ditampilkan saat aplikasi telah disebarkan.

Properti Server Virtual

Server virtual adalah objek data plane BIG-IP yang diwakili oleh alamat IP virtual yang mendengarkan permintaan klien ke aplikasi. Setiap lalu lintas yang diterima diproses dan dievaluasi terhadap profil APM yang terkait dengan server virtual, sebelum diarahkan sesuai dengan hasil dan pengaturan kebijakan.

  1. Masukkan Alamat Tujuan. Ini adalah alamat IPv4/IPv6 yang tersedia yang dapat digunakan BIG-IP untuk menerima lalu lintas klien. Catatan yang sesuai juga harus ada di DNS, memungkinkan klien untuk menyelesaikan URL eksternal aplikasi BIG-IP Anda yang diterbitkan ke IP ini, alih-alih aplikasi itu sendiri. Menggunakan DNS localhost PC uji aman untuk pengujian

  2. Masukkan Port Layanan sebagai 443 untuk HTTPS

  3. Centang Aktifkan Port Pengalihan lalu masukkan Port Pengalihan. Ini mengalihkan lalu lintas klien HTTP yang masuk ke HTTPS

  4. Profil SSL Klien memungkinkan server virtual untuk HTTPS, sehingga koneksi klien dienkripsi melalui TLS. Pilih Profil SSL Klien yang Anda buat sebagai bagian dari prasyarat atau tinggalkan default saat pengujian

Screenshot for Virtual server

Properti Kumpulan

Tab Kelompok Aplikasi merinci layanan di balik BIG-IP yang diwakili sebagai kumpulan, yang berisi satu atau beberapa aplikasi.

  1. Pilih dari Pilih Kumpulan. Buat kumpulan baru atau pilih yang sudah ada

  2. Pilih Metode Penyeimbang Beban sebagai Round Robin

  3. Untuk Kumpulan Server, pilih node server yang ada atau tentukan IP dan port untuk node backend yang menghosting aplikasi berbasis header

    Screenshot for Application pool

Akses Menyeluruh & Header HTTP

Mengaktifkan SSO memungkinkan pengguna mengakses layanan yang diterbitkan BIG-IP tanpa harus memasukkan info masuk. Wizard Easy Button mendukung Kerberos, OAuth Bearer, dan header otorisasi HTTP untuk SSO. Anda akan memerlukan akun delegasi Kerberos yang dibuat lebih awal untuk menyelesaikan langkah ini.

Aktifkan Kerberos dan Tampilkan Pengaturan Tingkat Lanjut untuk memasukkan hal berikut:

  • Sumber Nama Pengguna: Menentukan nama pengguna pilihan untuk cache untuk SSO. Anda dapat memberikan variabel sesi apa pun sebagai sumber ID pengguna, tetapi session.saml.last.identity cenderung bekerja paling baik karena memegang klaim Azure AD yang berisi ID pengguna yang masuk

  • Sumber Realm Pengguna: Diperlukan jika domain pengguna berbeda dengan realm kerberos BIG-IP. Dalam hal ini, variabel sesi APM akan berisi domain pengguna yang masuk. Misalnya, session.saml.last.attr.name.domain

    Screenshot for SSO and HTTP headers

  • KDC: IP dari Domain Controller (Atau FQDN jika DNS dikonfigurasi efisien)

  • Dukungan UPN: Aktifkan APM untuk menggunakan UPN untuk tiket kerberos

  • Pola SPN: Gunakan HTTP/%h untuk memberitahukan APM agar menggunakan header host dari permintaan klien dan membangun SPN yang meminta token Kerberos.

  • Kirim Otorisasi: Nonaktif untuk aplikasi yang memilih negosiasi autentikasi, bukan menerima token kerberos dalam permintaan pertama. Misalnya, Tomcat.

    Screenshot for SSO method configuration

Manajemen Sesi

Pengaturan pengelolaan sesi BIG-IP digunakan untuk menentukan kondisi saat sesi pengguna dihentikan atau diizinkan untuk dilanjutkan, batas untuk pengguna dan alamat IP, dan info pengguna terkait. Lihat dokumentasi F5 untuk detail tentang pengaturan ini.

Namun yang tidak tercakup adalah fungsionalitas Keluar Tunggal (SLO), yang memastikan semua sesi antara IdP, BIG-IP, dan agen pengguna dihentikan setelah log keluar pengguna. Saat menyebarkan aplikasi SAML ke penyewa Azure AD, Easy Button juga mengisi Url Keluar dengan titik akhir SLO APM. Dengan begitu IdP yang memulai proses keluar dari portal MyApps Microsoft juga mengakhiri sesi antara BIG-IP dan klien.

Selama penyebaran, metadata penggabungan SAML untuk aplikasi yang diterbitkan akan diimpor dari penyewa Anda, yang memberikan APM titik akhir keluar SAML untuk Azure AD. Ini membantu proses keluar yang dimulai SP mengakhiri sesi antara klien dan Azure AD.

Ringkasan

Langkah terakhir ini memberikan perincian konfigurasi Anda. Pilih Sebarkan untuk menerapkan semua pengaturan dan memverifikasi bahwa aplikasi telah ada di daftar penyewa aplikasi Enterprise.

Langkah berikutnya

Dari browser, sambungkan ke URL eksternal aplikasi atau pilih ikon aplikasi di portal Microsoft MyApps. Setelah mengautentikasi ke Azure AD, Anda akan diarahkan ke server virtual BIG-IP untuk aplikasi dan secara otomatis masuk melalui SSO.

Untuk keamanan yang lebih baik, organisasi yang menggunakan pola ini juga dapat mempertimbangkan untuk memblokir semua akses langsung ke aplikasi, sehingga memaksa jalur yang ketat melalui BIG-IP.

Penyebaran tingkat lanjut

Mungkin ada kasus di mana templat Konfigurasi Terpandu tidak memiliki fleksibilitas untuk mencapai serangkaian persyaratan tertentu. Untuk skenario tersebut, lihat Konfigurasi Tingkat Lanjut untuk SSO berbasis kerberos.

Atau, BIG-IP memberi Anda opsi untuk menonaktifkan mode manajemen ketat Konfigurasi Terpandu. Ini memungkinkan Anda menyesuaikan konfigurasi secara manual, meskipun sebagian besar konfigurasi Anda bersifat otomatis melalui template berbasis wizard.

Anda dapat membuka Akses Konfigurasi Terpandu dan pilih ikon gembok kecil di baris paling kanan untuk konfigurasi aplikasi.

Screenshot for Configure Easy Button - Strict Management

Pada saat itu, perubahan melalui UI wizard tidak mungkin lagi, tetapi semua objek BIG-IP yang terkait dengan instans aplikasi yang diterbitkan akan dibuka kuncinya untuk pengelolaan langsung.

Catatan

Mengaktifkan kembali mode ketat dan menyebarkan konfigurasi akan menimpa pengaturan apa pun yang dijalankan di luar UI Konfigurasi Terpandu. Oleh karena itu kami menyarankan metode konfigurasi tingkat lanjut untuk layanan produksi.

Pemecahan Masalah

Anda dapat mengalami kegagalan saat mengakses aplikasi yang dilindungi SHA karena sejumlah faktor, termasuk kesalahan konfigurasi.

  • Kerberos sensitif terhadap waktu, sehingga mengharuskan server dan klien diatur ke waktu yang tepat dan jika memungkinkan disinkronkan ke sumber waktu yang dapat diandalkan

  • Pastikan nama host untuk pengendali domain dan aplikasi web dapat diselesaikan di DNS

  • Pastikan tidak ada SPN duplikat di lingkungan AD Anda dengan menjalankan kueri berikut di baris perintah pada PC domain: setspn -q HTTP/my_target_SPN

Anda dapat merujuk ke panduan Proxy Aplikasi kami untuk memvalidasi aplikasi IIS yang dikonfigurasi dengan tepat untuk KCD. Artikel F5 tentang bagaimana APM menangani Kerberos SSO juga merupakan sumber yang berharga.

Analisis log

Pengelogan BIG-IP dapat membantu dengan cepat mengisolasi segala macam masalah dengan konektivitas, SSO, pelanggaran kebijakan, atau pemetaan variabel yang salah dikonfigurasi. Mulai pemecahan masalah dengan meningkatkan tingkat verbositas log.

  1. Buka Kebijakan Akses Ringkasan > Log Peristiwa > Pengaturan

  2. Pilih baris untuk aplikasi Anda yang diterbitkan, lalu Edit Log Sistem Akses

  3. Pilih Debug dari daftar SSO, lalu pilih OK

Reproduksi masalah Anda, kemudian periksa log-nya, tetapi ingat untuk mengembalikannya ketika selesai karena mode verbose menghasilkan banyak data.

Jika Anda melihat kesalahan bertanda BIG-IP segera setelah pra-autentikasi Azure AD berhasil, masalah ini kemungkinan berkaitan dengan SSO dari Azure Active Directory ke BIG-IP.masalah ini kemungkinan berkaitan dengan SSO dari Azure AD ke BIG-IP.

  1. Navigasikan ke laporan Akses Gambaran Umum > Mengakses

  2. Jalankan laporan selama satu jam terakhir untuk mengetahui apakah log memberikan petunjuk apa pun. Tautan Lihat variabel sesi untuk sesi Anda juga akan membantu memahami apakah APM menerima klaim yang diharapkan dari Azure Active Directory.

Jika Anda tidak melihat halaman kesalahan BIG-IP, masalahnya kemungkinan besar berkaitan dengan permintaan backend atau SSO dari BIG-IP ke aplikasi.

  1. Navigasikan ke Sesi Aktif Gambaran Umum > Kebijakan Akses

  2. Pilih tautan untuk sesi aktif Anda. Tautan Lihat Variabel di lokasi ini mungkin juga membantu menemukan akar penyebab masalah KCD, terutama jika APM BIG-IP gagal memperoleh pengidentifikasi pengguna dan domain yang tepat dari variabel sesi

Lihat contoh penetapan variabel BIG-IP APM dan referensi variabel sesi F5 BIG-IP untuk info selengkapnya.