Samouczek: konfigurowanie logowania jednokrotnego między identyfikatorem Microsoft Entra ID i łatwym przyciskiem F5 dla logowania jednokrotnego opartego na nagłówku

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować język F5 z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu platformy F5 z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do klawisza F5.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji F5 przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Uwaga

F5 BIG-IP APM Kup teraz.

Opis scenariusza

W tym scenariuszu przedstawiono klasyczną starszą aplikację przy użyciu nagłówków autoryzacji HTTP w celu zarządzania dostępem do chronionej zawartości.

Starsza wersja aplikacji nie ma nowoczesnych protokołów do obsługi bezpośredniej integracji z identyfikatorem Entra firmy Microsoft. Można zmodernizować aplikację, ale jest kosztowna, wymaga starannego planowania i wprowadza ryzyko potencjalnych przestojów. Zamiast tego kontroler dostarczania aplikacji F5 BIG-IP (ADC) służy do łączenia luki między starszą aplikacją a nowoczesną płaszczyzną sterowania identyfikatorami poprzez przejście protokołu.

Posiadanie dużego adresu IP przed aplikacją umożliwia nakładkę usługi przy użyciu wstępnego uwierzytelniania i logowania jednokrotnego opartego na nagłówkach firmy Microsoft, co znacznie poprawia ogólny stan zabezpieczeń aplikacji.

Uwaga

Organizacje mogą również uzyskać zdalny dostęp do tej aplikacji za pomocą serwera proxy aplikacji Firmy Microsoft Entra.

Architektura scenariusza

Rozwiązanie SHA dla tego scenariusza składa się z następujących elementów:

Aplikacja: opublikowana usługa BIG-IP, która ma być chroniona przez usługę Microsoft Entra SHA.

Microsoft Entra ID: Dostawca tożsamości (SAML) Security Assertion Markup Language (IDP) odpowiedzialny za weryfikację poświadczeń użytkownika, dostępu warunkowego i logowania jednokrotnego opartego na protokole SAML do big-IP. Za pomocą logowania jednokrotnego identyfikator Entra firmy Microsoft udostępnia big-IP z dowolnymi wymaganymi atrybutami sesji.

BIG-IP: Zwrotny serwer proxy i dostawca usług SAML (SP) do aplikacji, delegowanie uwierzytelniania do dostawcy tożsamości SAML przed wykonaniem logowania jednokrotnego opartego na nagłówku do aplikacji zaplecza.

Funkcja SHA dla tego scenariusza obsługuje przepływy inicjowane przez dostawcę usług oraz dostawcę tożsamości. Na poniższej ilustracji przedstawiono przepływ zainicjowany przez dostawcę usług.

Screenshot of Secure hybrid access - SP initiated flow.

Kroki opis
1 Użytkownik łączy się z punktem końcowym aplikacji (BIG-IP)
2 Zasady dostępu big-IP APM przekierowuje użytkownika do identyfikatora Microsoft Entra (SAML IdP)
3 Identyfikator Entra firmy Microsoft wstępnie uwierzytelnia użytkownika i stosuje wszelkie wymuszane zasady dostępu warunkowego
100 Użytkownik jest przekierowywany do adresu BIG-IP (SAML SP), a logowanie jednokrotne jest wykonywane przy użyciu wystawionego tokenu SAML
5 Big-IP wprowadza atrybuty firmy Microsoft Entra jako nagłówki w żądaniu do aplikacji
6 Aplikacja autoryzuje żądanie i zwraca ładunek

Wymagania wstępne

Wcześniejsze środowisko BIG-IP nie jest konieczne, ale potrzebne są następujące elementy:

  • Bezpłatna subskrypcja microsoft Entra ID lub nowsza.

  • Istniejący big-IP lub wdróż wersję wirtualną BIG-IP (VE) na platformie Azure.

  • Dowolna z następujących jednostek SKU licencji F5 BIG-IP.

    • F5 BIG-IP® Best bundle.

    • Licencja autonomiczna programu F5 BIG-IP Access Policy Manager™ (APM).

    • Licencja dodatku programu F5 BIG-IP Access Policy Manager™ (APM) na istniejącą licencję big-IP F5 BIG-IP® Local Traffic Manager™ (LTM).

    • 90-dniowa licencja na pełną wersję próbną funkcji BIG-IP.

  • Tożsamości użytkowników synchronizowane z katalogu lokalnego do identyfikatora Entra firmy Microsoft.

  • Konto z uprawnieniami administratora aplikacji Microsoft Entra.

  • Certyfikat sieci Web SSL do publikowania usług za pośrednictwem protokołu HTTPS lub użyj domyślnych certyfikatów BIG-IP podczas testowania.

  • Istniejąca aplikacja oparta na nagłówku lub skonfigurować prostą aplikację nagłówka usług IIS na potrzeby testowania.

Metody konfiguracji BIG-IP

Istnieje wiele metod konfigurowania big-IP dla tego scenariusza, w tym dwóch opcji opartych na szablonach i zaawansowanej konfiguracji. W tym samouczku omówiono najnowszą konfigurację z przewodnikiem 16.1 oferującą szablon przycisku Easy. Za pomocą przycisku Easy Administratorzy nie przechodzą już z powrotem między identyfikatorem Microsoft Entra ID i big-IP, aby włączyć usługi dla algorytmu SHA. Zarządzanie wdrożeniami i zasadami jest obsługiwane bezpośrednio między kreatorem konfiguracji z przewodnikiem APM i programem Microsoft Graph. Ta bogata integracja między aplikacjami BIG-IP APM i Microsoft Entra ID zapewnia, że aplikacje mogą szybko, łatwo obsługiwać federację tożsamości, logowanie jednokrotne i dostęp warunkowy firmy Microsoft Entra, co zmniejsza obciążenie administracyjne.

Uwaga

Wszystkie przykładowe ciągi lub wartości, do których odwołuje się ten przewodnik, powinny zostać zastąpione ciągami dla rzeczywistego środowiska.

Zarejestruj łatwy przycisk

Aby klient lub usługa mogła uzyskać dostęp do programu Microsoft Graph, musi być zaufana przez Platforma tożsamości Microsoft.

Ten pierwszy krok tworzy rejestrację aplikacji dzierżawy, która będzie używana do autoryzowania dostępu do funkcji Graph za pomocą przycisku Easy Button . Za pomocą tych uprawnień adres BIG-IP będzie mógł wypchnąć konfiguracje wymagane do ustanowienia zaufania między wystąpieniem dostawcy usług SAML dla opublikowanej aplikacji i identyfikatorem Entra firmy Microsoft jako dostawcą tożsamości SAML.

  1. Zaloguj się do witryny Azure Portal przy użyciu konta z prawami Administracja istracyjnymi aplikacjami.

  2. W okienku nawigacji po lewej stronie wybierz usługę Microsoft Entra ID .

  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji> Nowa rejestracja.

  4. Wprowadź nazwę wyświetlaną aplikacji, na przykład F5 BIG-IP Easy Button.

  5. Określ, kto może używać kont aplikacji >tylko w tym katalogu organizacyjnym.

  6. Wybierz pozycję Zarejestruj, aby ukończyć początkową rejestrację aplikacji.

  7. Przejdź do pozycji Uprawnienia interfejsu API i autoryzuj następujące uprawnienia aplikacji programu Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Udziel zgody administratora dla organizacji.

  9. W bloku Certyfikaty i wpisy tajne wygeneruj nowy wpis tajny klienta i zanotuj go.

  10. W bloku Przegląd zanotuj identyfikator klienta i identyfikator dzierżawy.

Konfiguruj przycisk Łatwy

Zainicjuj konfigurację z przewodnikiem APM, aby uruchomić szablon przycisku Easy Button.

  1. Przejdź do pozycji Uzyskaj dostęp do konfiguracji z przewodnikiem Microsoft Integration i wybierz pozycję Microsoft Entra Application.>>

    Screenshot for Configure Easy Button- Install the template.

  2. Przejrzyj listę kroków konfiguracji i wybierz pozycję Dalej.

    Screenshot for Configure Easy Button - List configuration steps.

  3. Wykonaj sekwencję kroków wymaganych do opublikowania aplikacji.

    Screenshot of Configuration steps flow.

Właściwości konfiguracji

Karta Właściwości konfiguracji tworzy konfigurację aplikacji BIG-IP i obiekt logowania jednokrotnego. Rozważ sekcję Szczegóły konta usługi platformy Azure, aby reprezentować klienta zarejestrowanego wcześniej w dzierżawie firmy Microsoft Entra jako aplikację. Te ustawienia umożliwiają klientowi OAuth big-IP indywidualne zarejestrowanie usługi SAML SP bezpośrednio w dzierżawie wraz z właściwościami logowania jednokrotnego, które zwykle można skonfigurować ręcznie. Przycisk Łatwy robi to dla każdej usługi BIG-IP publikowanej i włączonej dla algorytmu SHA.

Niektóre z tych ustawień są ustawieniami globalnymi, dzięki czemu można użyć ich ponownie do publikowania większej liczby aplikacji, co jeszcze bardziej skraca czas wdrażania i nakład pracy.

  1. Wprowadź unikatową nazwę konfiguracji, aby administratorzy mogli łatwo odróżnić konfiguracje przycisku łatwego.

  2. Włącz logowanie jednokrotne i nagłówki HTTP.

  3. Wprowadź identyfikator dzierżawy, identyfikator klienta i wpis tajny klienta zanotowany podczas rejestrowania klienta przycisku Easy Button w dzierżawie.

  4. Upewnij się, że big-IP może pomyślnie nawiązać połączenie z dzierżawą, a następnie wybierz przycisk Dalej.

    Screenshot for Configuration General and Service Account properties.

Dostawca usług

Ustawienia dostawcy usług definiują właściwości wystąpienia usługi SAML SP aplikacji chronionej za pomocą algorytmu SHA.

  1. Wprowadź wartość Host. Jest to publiczna nazwa FQDN chronionej aplikacji.

  2. Wprowadź identyfikator jednostki. Jest to identyfikator, który będzie używany przez firmę Microsoft Entra ID do identyfikowania dostawcy usług SAML żądających tokenu.

    Screenshot for Service Provider settings.

    Opcjonalny Ustawienia zabezpieczeń określa, czy identyfikator entra firmy Microsoft powinien szyfrować wystawione aseracje SAML. Szyfrowanie asercji między identyfikatorem Entra firmy Microsoft i big-IP APM zapewnia dodatkową pewność, że tokeny zawartości nie mogą być przechwytywane, a dane osobiste lub firmowe zostaną naruszone.

  3. Z listy Klucz prywatny odszyfrowywania asercji wybierz pozycję Utwórz nowy.

    Screenshot for Configure Easy Button- Create New import.

  4. Wybierz przycisk OK. Spowoduje to otwarcie okna dialogowego Importowanie certyfikatu SSL i kluczy na nowej karcie.

  5. Wybierz pozycję PKCS 12 (IIS), aby zaimportować certyfikat i klucz prywatny. Po zainicjowaniu obsługi administracyjnej zamknij kartę przeglądarki, aby powrócić do karty głównej.

    Screenshot for Configure Easy Button- Import new cert.

  6. Zaznacz pole wyboru Włącz szyfrowaną asercję.

  7. Jeśli włączono szyfrowanie, wybierz certyfikat z listy Klucz prywatny odszyfrowywania asercji. Jest to klucz prywatny certyfikatu, który big-IP APM będzie używany do odszyfrowywania asercji firmy Microsoft.

  8. Jeśli włączono szyfrowanie, wybierz certyfikat z listy Certyfikat odszyfrowywania asercji. Jest to certyfikat, który big-IP przekaże do firmy Microsoft Entra ID na potrzeby szyfrowania wystawionych asercji SAML.

Screenshot for Service Provider security settings.

Microsoft Entra ID

W tej sekcji zdefiniowano wszystkie właściwości, których zwykle używa się do ręcznego konfigurowania nowej aplikacji SAML BIG-IP w dzierżawie firmy Microsoft Entra. Easy Button udostępnia zestaw wstępnie zdefiniowanych szablonów aplikacji dla oprogramowania Oracle Osoby Soft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP oraz ogólnego szablonu SHA dla innych aplikacji. W tym scenariuszu wybierz pozycję F5 BIG-IP APM Integracja > z usługą Azure AD Dodaj.

Screenshot for Azure configuration add BIG-IP application.

Konfiguracja platformy Azure

  1. Wprowadź nazwę wyświetlaną aplikacji utworzonej przez big-IP w dzierżawie firmy Microsoft Entra i ikonę, którą użytkownicy zobaczą w portalu MyApps.

  2. Nie wprowadzaj niczego w adresie URL logowania (opcjonalnie), aby włączyć logowanie inicjowane przez dostawcę tożsamości.

    Screenshot for Azure configuration add display info.

  3. Wybierz ikonę odświeżania obok pozycji Klucz podpisywania i Certyfikat podpisywania, aby zlokalizować zaimportowany wcześniej certyfikat.

  4. Wprowadź hasło certyfikatu w polu Hasło klucza podpisywania.

  5. Włącz opcję podpisywania (opcjonalnie). Gwarantuje to, że funkcja BIG-IP akceptuje tylko tokeny i oświadczenia podpisane przez identyfikator Firmy Microsoft Entra.

    Screenshot for Azure configuration - Add signing certificates info.

  6. Grupy użytkowników i użytkowników są dynamicznie odpytywane z dzierżawy firmy Microsoft Entra i używane do autoryzowania dostępu do aplikacji. Dodaj użytkownika lub grupę, której możesz użyć później do testowania. W przeciwnym razie cały dostęp zostanie odrzucony.

    Screenshot for Azure configuration - Add users and groups.

Atrybuty i oświadczenia użytkownika

Po pomyślnym uwierzytelnieniu użytkownika identyfikator Entra firmy Microsoft wystawia token SAML z domyślnym zestawem oświadczeń i atrybutów jednoznacznie identyfikujących użytkownika. Karta Atrybuty użytkownika i oświadczenia zawiera domyślne oświadczenia, które mają być wystawiane dla nowej aplikacji. Umożliwia również skonfigurowanie większej liczby oświadczeń.

W tym przykładzie można uwzględnić jeszcze jeden atrybut:

  1. Wprowadź nazwę nagłówka jako employeeid.

  2. Wprowadź atrybut źródłowy jako user.employeeid.

    Screenshot for user attributes and claims.

Dodatkowe atrybuty użytkownika

Na karcie Dodatkowe atrybuty użytkownika można włączyć rozszerzenie sesji wymagane przez różne systemy rozproszone, takie jak Oracle, SAP i inne implementacje oparte na języku JAVA wymagające atrybutów przechowywanych w innych katalogach. Atrybuty pobierane ze źródła LDAP można następnie wstrzykiwać jako dodatkowe nagłówki logowania jednokrotnego w celu dalszej kontroli dostępu na podstawie ról, identyfikatorów partnerów itp.

Screenshot for additional user attributes.

Uwaga

Ta funkcja nie ma korelacji z identyfikatorem Entra firmy Microsoft, ale jest innym źródłem atrybutów. 

Zasady dostępu warunkowego

Zasady dostępu warunkowego są wymuszane po wstępnym uwierzytelnianiu firmy Microsoft w celu kontrolowania dostępu na podstawie urządzeń, aplikacji, lokalizacji i sygnałów ryzyka.

Widok Dostępne zasady domyślnie wyświetli listę wszystkich zasad dostępu warunkowego, które nie zawierają akcji opartych na użytkownikach.

Widok Wybrane zasady domyślnie wyświetla wszystkie zasady przeznaczone dla wszystkich aplikacji w chmurze. Tych zasad nie można usunąć ani przenieść do listy Dostępne zasady, ponieważ są one wymuszane na poziomie dzierżawy.

Aby wybrać zasady, które mają zostać zastosowane do publikowanej aplikacji:

  1. Wybierz żądane zasady na liście Dostępne zasady .
  2. Wybierz strzałkę w prawo i przenieś ją na listę Wybrane zasady .

Wybrane zasady powinny mieć zaznaczoną opcję Dołącz lub Wyklucz . Jeśli obie opcje są zaznaczone, wybrane zasady nie są wymuszane.

Screenshot for Conditional Access policies.

Uwaga

Lista zasad jest wyliczana tylko raz podczas pierwszego przełączania na tę kartę. Przycisk odświeżania jest dostępny, aby ręcznie wymusić, aby kreator wysyłał zapytania do dzierżawy, ale ten przycisk jest wyświetlany tylko wtedy, gdy aplikacja została wdrożona.

Właściwości serwera wirtualnego

Serwer wirtualny to obiekt płaszczyzny danych BIG-IP reprezentowany przez wirtualny adres IP nasłuchujący żądań klientów do aplikacji. Każdy odebrany ruch jest przetwarzany i oceniany względem profilu APM skojarzonego z serwerem wirtualnym przed skierowaniem zgodnie z wynikami i ustawieniami zasad.

  1. Wprowadź adres docelowy. Jest to dowolny dostępny adres IPv4/IPv6, którego może użyć big-IP do odbierania ruchu klienta. Odpowiedni rekord powinien również istnieć w systemie DNS, umożliwiając klientom rozpoznawanie zewnętrznego adresu URL opublikowanej aplikacji BIG-IP do tego adresu IP, zamiast samej aplikacji. Używanie hosta lokalnego komputera testowego DNS jest w porządku do testowania.

  2. Wprowadź wartość Port usługi jako 443 dla protokołu HTTPS.

  3. Zaznacz pole wyboru Włącz port przekierowania, a następnie wprowadź port przekierowania. Przekierowuje przychodzący ruch klienta HTTP do protokołu HTTPS.

  4. Profil SSL klienta włącza serwer wirtualny dla protokołu HTTPS, dzięki czemu połączenia klienckie są szyfrowane za pośrednictwem protokołu TLS. Wybierz profil SSL klienta utworzony w ramach wymagań wstępnych lub pozostaw wartość domyślną podczas testowania.

    Screenshot for Virtual server.

Właściwości puli

Karta Pula aplikacji zawiera szczegóły usług za big-IP, które są reprezentowane jako pula, zawierające jeden lub więcej serwerów aplikacji.

  1. Wybierz jedną z opcji Wybierz pulę. Utwórz nową pulę lub wybierz istniejącą.

  2. Wybierz metodę równoważenia obciążenia jako Round Robin.

  3. W obszarze Serwery puli wybierz istniejący węzeł lub określ adres IP i port serwera hostowania aplikacji opartej na nagłówku.

    Screenshot for Application pool.

Nasza aplikacja zaplecza znajduje się na porcie HTTP 80, ale oczywiście przełączy się na 443, jeśli korzystasz z protokołu HTTPS.

Logowanie jednokrotne i nagłówki HTTP

Włączenie logowania jednokrotnego umożliwia użytkownikom dostęp do opublikowanych usług BIG-IP bez konieczności wprowadzania poświadczeń. Kreator łatwego przycisku obsługuje nagłówki protokołu Kerberos, elementu nośnego OAuth i autoryzacji HTTP dla logowania jednokrotnego, z których ostatni umożliwimy skonfigurowanie następujących elementów.

  • Operacja nagłówka:Insert

  • Nazwa nagłówka:upn

  • Wartość nagłówka:%{session.saml.last.identity}

  • Operacja nagłówka:Insert

  • Nazwa nagłówka:employeeid

  • Wartość nagłówka:%{session.saml.last.attr.name.employeeid}

    Screenshot for SSO and HTTP headers.

Uwaga

Zmienne sesji APM zdefiniowane w nawiasach klamrowych są wrażliwe na wielkość liter. Jeśli na przykład wprowadzisz identyfikator OrclGUID, gdy nazwa atrybutu Entra firmy Microsoft jest zdefiniowana jako orclguid, spowoduje to niepowodzenie mapowania atrybutów.

Zarządzanie sesjami

Ustawienia zarządzania sesjami big-IP służą do definiowania warunków, w których sesje użytkowników są przerywane lub mogą być kontynuowane, limity dla użytkowników i adresów IP oraz odpowiednie informacje o użytkowniku. Aby uzyskać szczegółowe informacje na temat tych ustawień, zapoznaj się z dokumentacją platformy F5.

To, co nie zostało tutaj omówione, to funkcja pojedynczego wylogowania (SLO), która zapewnia, że wszystkie sesje między dostawcą tożsamości, dużym adresem IP i agentem użytkownika zostaną zakończone po wylogowaniu użytkowników. Gdy przycisk Easy Button tworzy wystąpienie aplikacji SAML w dzierżawie firmy Microsoft Entra, wypełnia również adres URL wylogowywania punktem końcowym slo APM. W ten sposób dostawca tożsamości zainicjował wylogowywanie z portalu Microsoft Entra Moje aplikacje również zakończyć sesję między big-IP i klientem.

Wraz z tym metadane federacji SAML dla opublikowanej aplikacji są również importowane z dzierżawy, podając APM z punktem końcowym wylogowania SAML dla identyfikatora Entra firmy Microsoft. Zapewnia to, że inicjowane przez dostawcę usług wylogowania zakończą sesję między klientem a identyfikatorem Entra firmy Microsoft. Ale aby było to naprawdę skuteczne, APM musi wiedzieć dokładnie, kiedy użytkownik wylogował się z aplikacji.

Jeśli portal internettopu BIG-IP jest używany do uzyskiwania dostępu do opublikowanych aplikacji, wylogowywanie się z tego miejsca zostanie przetworzone przez APM w celu wywołania punktu końcowego wylogowania firmy Microsoft. Należy jednak rozważyć scenariusz, w którym portal big-IP webtop nie jest używany, a następnie użytkownik nie ma możliwości poinstruowania APM, aby wylogować się. Nawet jeśli użytkownik wylogował się z samej aplikacji, big-IP jest technicznie nieświadomy tego. Z tego powodu wylogowywanie inicjowane przez dostawcę usług wymaga starannego rozważenia, aby upewnić się, że sesje są bezpiecznie przerywane, gdy nie są już wymagane. Jednym ze sposobów osiągnięcia tego celu jest dodanie funkcji SLO do przycisku wylogowywanie aplikacji, aby umożliwić przekierowanie klienta do punktu końcowego wylogowania firmy Microsoft Entra SAML lub BIG-IP. Adres URL punktu końcowego wylogowywania SAML dla dzierżawy można znaleźć w sekcji Punkty końcowe rejestracji > aplikacji.

Jeśli wprowadzenie zmiany w aplikacji nie jest odejdą, rozważ nasłuchiwanie big-IP dla wywołania wylogowania aplikacji, a po wykryciu, że żądanie wyzwoli slo. Aby to osiągnąć, zapoznaj się z naszymi wskazówkami dotyczącymi celu slo firmy Oracle Osoby Soft, aby skorzystać z reguł big-IP. Więcej szczegółów na temat używania reguł iRules BIG-IP do osiągnięcia jest dostępny w artykule wiedzy F5 Konfigurowanie automatycznego kończenia sesji (wylogowywanie) na podstawie nazwy pliku przywoływalnego identyfikatora URI i Omówienie opcji Dołączanie identyfikatora URI wyloguj.

Podsumowanie

Ten ostatni krok zawiera podział konfiguracji. Wybierz pozycję Wdróż , aby zatwierdzić wszystkie ustawienia i sprawdzić, czy aplikacja istnieje teraz na liście dzierżaw "Aplikacje dla przedsiębiorstw".

Aplikacja powinna być teraz publikowana i dostępna za pośrednictwem algorytmu SHA, bezpośrednio za pośrednictwem adresu URL lub za pośrednictwem portali aplikacji firmy Microsoft.

Następne kroki

W przeglądarce połącz się z zewnętrznym adresem URL aplikacji lub wybierz ikonę aplikacji w portalu Microsoft MyApps. Po uwierzytelnieniu w usłudze Microsoft Entra ID nastąpi przekierowanie do serwera wirtualnego BIG-IP dla aplikacji i automatycznego zalogowania się za pomocą logowania jednokrotnego.

Spowoduje to wyświetlenie danych wyjściowych wstrzykniętych nagłówków wyświetlanych przez aplikację opartą na nagłówkach.

Screenshot for App views.

W celu zwiększenia bezpieczeństwa organizacje korzystające z tego wzorca mogą również rozważyć zablokowanie całego bezpośredniego dostępu do aplikacji, co wymusza ścisłą ścieżkę przez big-IP.

Wdrażanie zaawansowane

Mogą wystąpić przypadki, w których szablony konfiguracji z przewodnikiem nie mają elastyczności w celu osiągnięcia bardziej szczegółowych wymagań. W przypadku tych scenariuszy zobacz Advanced Configuration for headers-based SSO (Konfiguracja zaawansowana dla logowania jednokrotnego opartego na nagłówkach).

Alternatywnie funkcja BIG-IP umożliwia wyłączenie ścisłego trybu zarządzania konfiguracji z przewodnikiem. Dzięki temu można ręcznie dostosować konfiguracje, nawet jeśli większość konfiguracji jest zautomatyzowana za pomocą szablonów opartych na kreatorze.

Możesz przejść do pozycji Konfiguracja z przewodnikiem dostępu > i wybrać małą ikonę kłódki po prawej stronie wiersza dla konfiguracji aplikacji.

Screenshot for Configure Easy Button - Strict Management.

W tym momencie zmiany za pośrednictwem interfejsu użytkownika kreatora nie są już możliwe, ale wszystkie obiekty BIG-IP skojarzone z opublikowanym wystąpieniem aplikacji zostaną odblokowane w celu bezpośredniego zarządzania.

Uwaga

Ponowne włączenie trybu ścisłego i wdrożenie konfiguracji spowoduje zastąpienie wszystkich ustawień wykonywanych poza interfejsem użytkownika konfiguracji z przewodnikiem, dlatego zalecamy zaawansowaną metodę konfiguracji dla usług produkcyjnych.

Rozwiązywanie problemów

Brak dostępu do aplikacji chronionej algorytmem SHA może być spowodowany dowolną liczbą czynników. Rejestrowanie big-IP może pomóc szybko odizolować wszelkiego rodzaju problemy z łącznością, logowaniem jednokrotnym, naruszeniami zasad lub nieprawidłowo skonfigurowanymi mapowaniami zmiennych. Rozpocznij rozwiązywanie problemów, zwiększając poziom szczegółowości dziennika.

  1. Przejdź do pozycji Dzienniki > zdarzeń przeglądu > zasad > dostępu Ustawienia.

  2. Wybierz wiersz dla opublikowanej aplikacji, a następnie edytuj > dzienniki systemu dostępu.

  3. Wybierz pozycję Debuguj z listy logowania jednokrotnego, a następnie przycisk OK.

Odtwórz problem, a następnie sprawdź dzienniki, ale pamiętaj, aby przełączyć je z powrotem po zakończeniu, gdy tryb pełny generuje dużo danych.

Jeśli natychmiast po pomyślnym uwierzytelnieniu firmy Microsoft Entra zostanie wyświetlony błąd z marką BIG-IP, możliwe, że problem dotyczy logowania jednokrotnego z identyfikatora Entra firmy Microsoft do big-IP.

  1. Przejdź do pozycji Dostęp — przegląd > raportów programu Access>.

  2. Uruchom raport dla ostatniej godziny, aby sprawdzić, czy dzienniki zawierają jakiekolwiek wskazówki. Link Wyświetl zmienne sesji dla sesji pomoże również zrozumieć, czy APM otrzymuje oczekiwane oświadczenia od identyfikatora Entra firmy Microsoft.

Jeśli nie widzisz strony błędu BIG-IP, problem prawdopodobnie jest bardziej związany z żądaniem zaplecza lub logowaniem jednokrotnym z big-IP do aplikacji.

  1. W tym przypadku przejdź do pozycji Przegląd > zasad > dostępu Aktywne sesje i wybierz link dla aktywnej sesji.

  2. Link Wyświetl zmienne w tej lokalizacji może również pomóc w głównej przyczynie problemów z logowaniem jednokrotnym, szczególnie jeśli aplikacja BIG-IP APM nie może uzyskać odpowiednich atrybutów z identyfikatora Entra firmy Microsoft lub innego źródła.

Aby uzyskać więcej informacji, odwiedź ten artykuł wiedzy F5 Konfigurowanie zdalnego uwierzytelniania LDAP dla usługi Active Directory. Istnieje również świetna tabela referencyjna BIG-IP, która ułatwia diagnozowanie problemów związanych z protokołem LDAP w tym artykule merytorycznym F5 dotyczącym zapytania LDAP.