Freigeben über

Tutorial: Aktivieren des sicheren Hybridzugriffs für Anwendungen mit Azure Active Directory B2C und F5 BIG-IP

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Erfahren Sie, wie Sie Azure Active Directory B2C (Azure AD B2C) in F5 BIG-IP Access Policy Manager (APM) integrieren. Sie können Legacyanwendungen durch BIG-IP Sicherheit mit Azure AD B2C-Vorauthentifizierung, bedingtem Zugriff (Conditional Access, CA) und Single Sign-On (SSO) sicher im Internet verfügbar machen. F5 Inc. konzentriert sich auf die Bereitstellung, Sicherheit, Leistung und Verfügbarkeit verbundener Dienste, einschließlich Computing, Speicher und Netzwerkressourcen. Es bietet Hardware-, modularisierte Software- und cloudfähige Virtuelle Appliance-Lösungen.

Stellen Sie F5 BIG-IP Application Delivery Controller (ADC) als sicheres Gateway zwischen privaten Netzwerken und dem Internet bereit. Es gibt Features für die Inspektion auf Anwendungsebene und anpassbare Zugriffssteuerungen. Wenn sie als Reverseproxy bereitgestellt wird, verwenden Sie die BIG-IP, um sicheren Hybridzugriff auf Geschäftsanwendungen zu ermöglichen, wobei eine Verbundidentitätszugriffsebene von APM verwaltet wird.

Wechseln Sie zu f5.com Ressourcen und Whitepapers für: Einfaches Konfigurieren des sicheren Zugriffs auf alle Ihre Anwendungen über die Microsoft Entra ID

Voraussetzungen

Um zu beginnen, benötigen Sie Folgendes:

  • Azure-Abonnement
  • Ein Azure AD B2C-Mandant, der mit dem Azure-Abonnement verknüpft ist
  • Eine BIG-IP oder eine bereitgestellte Testversion einer virtuellen BIG-IP-Umgebung (Virtual Environment, VE) auf Azure
  • Eine der folgenden F5 BIG-IP-Lizenzen:
    • F5 BIG-IP® Best Bundle
    • Eigenständige Lizenz für F5 BIG-IP Access Policy Manager™
    • Add-On-Lizenz für F5 BIG-IP Access Policy Manager™ für eine Instanz des F5 BIG-IP® Local Traffic Manager™ (LTM)
    • 90 Tage gültige Testlizenz für sämtliche Features von BIG-IP.
  • Eine headerbasierte Webanwendung oder eine IIS-App zum Testen
  • SSL-Zertifikat zum Veröffentlichen von Diensten über HTTPS oder Verwenden des Standardzertifikats beim Testen

Szenariobeschreibung

Das folgende Szenario ist headerbasiert, aber Sie können diese Methoden verwenden, um Kerberos-SSO zu verwenden.

Für dieses Szenario basiert der Zugriff auf eine interne Anwendung darauf, HTTP-Autorisierungsheader von einem älteren Brokersystem zu empfangen. Vertriebsmitarbeiter können an die jeweiligen Inhaltsbereiche geleitet werden. Der Dienst muss auf eine breitere Verbraucherbasis erweitert werden. Die Anwendung wird für Verbraucherauthentifizierungsoptionen aktualisiert oder ersetzt.

Idealerweise unterstützt ein Anwendungsupgrade direkte Verwaltung und Governance mit einer modernen Steuerungsebene. Zeit und Aufwand zur Modernisierung führen jedoch kosten- und potenzielle Ausfallzeiten ein. Stellen Sie stattdessen eine BIG-IP Virtual Edition (VE) zwischen dem öffentlichen Internet und dem internen virtuellen Azure-Netzwerk (VNet) bereit, um den Zugriff mit Azure AD B2C zu steuern. BIG-IP vor der Anwendung ermöglicht die Überlagerung des Diensts mit Azure AD B2C-Vorauthentifizierung und headerbasiertem SSO, wodurch der Sicherheitsstatus der App verbessert wird.

Die Lösung für den sicheren Hybridzugriff verfügt über die folgenden Komponenten:

  • Anwendung – Back-End-Dienst, der durch Azure AD B2C geschützt ist und sicheren Hybridzugriff BIG-IP bietet.
  • Azure AD B2C – Identitätsanbieter (IdP) und OpenID Connect (OIDC)-Autorisierungsserver, der Benutzeranmeldeinformationen, mehrstufige Authentifizierung und SSO für den BIG-IP APM überprüft
  • BIG-IP – Reverse-Proxy für die Anwendung. Das BIG-IP APM ist der OIDC-Client, der die Authentifizierung an den OIDC-Autorisierungsserver delegiert, bevor das headerbasierte SSO an den Back-End-Dienst gesendet wird.

Das folgende Diagramm veranschaulicht den vom Dienstanbieter (SP) initiierten Fluss für dieses Szenario.

Screenshot des vom Dienstanbieter initiierten Flusses.

  1. Der Benutzer stellt eine Verbindung zum Anwendungsendpunkt her. BIG-IP ist Dienstleister.
  2. BIG-IP APM-OIDC-Client leitet den Benutzer zum Azure AD B2C-Mandantenendpunkt, dem OIDC-Autorisierungsserver, weiter
  3. Der Azure AD B2C-Mandant authentifiziert den Benutzer vorab und wendet Richtlinien für bedingten Zugriff an
  4. Azure AD B2C leitet den Benutzer mit Autorisierungscode wieder an den SP um.
  5. Der OIDC-Client fordert den Autorisierungsserver auf, Autorisierungscode für ein ID-Token auszutauschen.
  6. BIG-IP APM gewährt Benutzerzugriff und fügt die HTTP-Header in die Clientanforderung ein, die an die Anwendung weitergeleitet wird

Azure AD B2C-Konfiguration

Um eine BIG-IP mit Azure AD B2C-Authentifizierung zu aktivieren, verwenden Sie einen Azure AD B2C-Mandanten mit einem Benutzerflow oder einer benutzerdefinierten Richtlinie.

Siehe Lernprogramm: Erstellen von Benutzerflüssen und benutzerdefinierten Richtlinien in Azure AD B2C

Erstellen benutzerdefinierter Attribute

Rufen Sie benutzerdefinierte Attribute von Azure AD B2C-Benutzerobjekten, verbundenen IdPs, API-Connectors oder der Benutzerregistrierung ab. Fügen Sie Attribute in das Token ein, das zur Anwendung geht.

Ältere Anwendungen erwarten bestimmte Attribute, fügen Sie sie also in Ihren Benutzerablauf ein. Sie können sie durch Attribute ersetzen, die Ihre Anwendung erfordert. Oder wenn Sie eine Test-App mithilfe der Anweisungen einrichten, können Sie alle Kopfzeilen verwenden.

  1. Melden Sie sich im Azure-Portal als mindestens B2C-IEF-Richtlinien-Administrator an.
  2. Wählen Sie im linken Bereich "Benutzerattribute" aus.
  3. Wählen Sie "Hinzufügen" aus, um zwei benutzerdefinierte Attribute zu erstellen.
  4. Wählen Sie für die Agent-ID den Datentyp "String" aus.
  5. Wählen Sie für Agent Geo den Datentyp "String" aus.

Hinzufügen von Attributen zum Benutzerablauf

  1. Navigieren Sie im linken Menü zu Richtlinien>Benutzerflüsse.
  2. Wählen Sie Ihre Richtlinie aus, z. B. B2C_1_SignupSignin.
  3. Wählen Sie Benutzerattribute aus.
  4. Fügen Sie beide benutzerdefinierten Attribute hinzu.
  5. Fügen Sie das Attribut "Anzeigename" hinzu . Diese Attribute werden während der Benutzeranmeldung erfasst.
  6. Wählen Sie "Anwendungsansprüche" aus.
  7. Fügen Sie beide benutzerdefinierten Attribute hinzu.
  8. Fügen Sie den Anzeigenamen hinzu. Diese Attribute gehen an die BIG-IP.
  9. Wählen Sie Benutzerflow ausführen aus.
  10. Überprüfen Sie im Menü "Benutzerfluss" auf der linken Navigationsleiste die Eingabeaufforderungen für definierte Attribute.

Weitere Informationen: Lernprogramm: Erstellen von Benutzerflüssen und benutzerdefinierten Richtlinien in Azure AD B2C

Azure AD B2C-Partnerverbund

Verbinden Sie BIG-IP und Azure AD B2C für gegenseitiges Vertrauen. Registrieren Sie die BIG-IP im Azure AD B2C-Mandanten als eine OIDC-Anwendung.

  1. Wählen Sie im Portal Die App-Registrierungen>" aus.
  2. Geben Sie einen App-Namen ein, z. B. HeaderApp1.
  3. Wählen Sie unter Unterstützte Kontotypen die Option Konten in einem beliebigen Identitätsanbieter oder Organisationsverzeichnis (zum Authentifizieren von Benutzern mit Benutzerflows) aus.
  4. Wählen Sie unter Umleitungs-URI"Web" aus.
  5. Geben Sie den öffentlichen FQDN des geschützten Diensts ein.
  6. Geben Sie den Pfad ein.
  7. Behalten Sie die restlichen Auswahlen bei.
  8. Wählen Sie Registrieren aus.
  9. Navigieren Sie zu Zertifikaten und geheimen Schlüsseln>+ Neuer geheimer Clientschlüssel.
  10. Geben Sie einen beschreibenden Namen ein.
  11. Geben Sie eine TTL für den geheimen Schlüssel ein, der von big-IP verwendet wird.
  12. Notieren Sie sich en geheimen Clientschlüssel für die BIG-IP-Konfiguration.

Der Umleitungs-URI ist der BIG-IP-Endpunkt. Nach der Authentifizierung sendet der Autorisierungsserver (Azure AD B2C) Benutzer an den Endpunkt.

Weitere Informationen : Lernprogramm: Registrieren einer Webanwendung in Azure AD B2C für Azure AD B2C.

BIG-IP-Konfiguration

Für BIG-IP Konfiguration verwenden Sie Guided Configuration v.7/8. Das Workflowframework ist für den Zugriff auf Topologien zugeschnitten und ermöglicht eine schnelle Veröffentlichung von Webdiensten.

Geführte Konfigurationsversion

  1. Um die Version zu bestätigen, melden Sie sich mit einem Administratorkonto bei der BIG-IP Webkonfiguration an.
  2. Wechseln Sie zu "Access>Guided Configuration".
  3. Die Version wird in der oberen rechten Ecke angezeigt.

Um die geführte Konfiguration zu aktualisieren, gehen Sie zu my.f5.com für K85454683: Aktualisierung der F5-geführten Konfiguration BIG-IP auf dem System BIG-IP.

SSL-Profile

Verwenden Sie BIG-IP, das mit einem Client-SSL-Profil konfiguriert ist, um den Datenverkehr auf der Clientseite über TLS zu sichern. Importieren Sie ein Zertifikat, das dem Domänennamen entspricht, der von der öffentlich zugänglichen URL für Ihre App verwendet wird. Es wird empfohlen, eine öffentliche Zertifizierungsstelle zu verwenden, aber Sie können BIG-IP selbstsignierten Zertifikate zum Testen verwenden.

Um Zertifikate in der BIG-IP VE hinzuzufügen und zu verwalten, gehen Sie zu techdocs.f5.com fürBIG-IP System: SSL-Verwaltung.

Interaktive Konfiguration

  1. Um den Bereitstellungs-Assistenten zu starten, wechseln Sie in der Webkonfiguration zu "Access>Guided Configuration".
  2. Wählen Sie Föderation>F5 als OAuth-Client und Ressourcenserver aus.
  3. Beachten Sie die Ablaufzusammenfassung für dieses Szenario.
  4. Wählen Sie Weiteraus.
  5. Der Assistent wird gestartet.

OAuth-Eigenschaften

Definieren Sie in den folgenden Abschnitten Eigenschaften, um den Verbund zwischen dem BIG-IP APM und dem OAuth-Autorisierungsserver, dem Azure AD B2C-Mandanten, zu aktivieren. In der gesamten BIG-IP-Konfiguration wird auf OAuth verwiesen. Die Lösung verwendet OIDC, eine Identitätsebene im OAuth 2.0-Protokoll. OIDC-Clients überprüfen die Benutzeridentität und erhalten weitere Profilinformationen.

Konfigurationsname

Ein Anzeige-Name der Konfiguration hilft bei der Unterscheidung der Bereitstellungskonfigurationen in der Geführten Konfiguration. Sie können den Namen nicht ändern und wird nur in der Ansicht "Geführte Konfiguration" angezeigt.

Mode

Der BIG-IP APM ist ein OIDC-Client, wählen Sie daher die Option Client aus.

DNS-Konfliktlöser

Das angegebene Ziel muss die öffentlichen IP-Adressen der Azure AD B2C-Endpunkte auflösen. Wählen Sie einen öffentlichen DNS-Resolver aus, oder erstellen Sie einen neuen.

Anbietereinstellungen

Konfigurieren Sie Azure AD B2C als OAuth2 IdP. Die geführte Konfiguration verfügt über Azure AD B2C-Vorlagen, aber nicht über bestimmte Scopes.

Fügen Sie einen neuen Anbieter hinzu, und konfigurieren Sie ihn:

Allgemeine OAuth-Eigenschaften

Eigenschaften BESCHREIBUNG
OAuth-Anbietertyp Kundenspezifisch
OAuth-Anbieter auswählen Einen neuen OAuth-Anbieter erstellen oder einen bestehenden verwenden
Name Ein Anzeigename für den B2C-IdP. Dieser Name wird benutzern als Anbieteroption bei der Anmeldung angezeigt.
Tokentyp JSON Web Token

OAuth-Richtlinieneinstellungen

Eigenschaften BESCHREIBUNG
Umfang Lassen Sie dieses Feld leer. Der OpenID-Bereich für die Benutzeranmeldung wird automatisch hinzugefügt.
Grant-Typ Authorization code (Autorisierungscode)
OpenID Connect aktivieren Wählen Sie die Option aus, um den APM OAuth-Client im OIDC-Modus zu platzieren.
Flusstyp Authorization code (Autorisierungscode)

OAuth-Anbietereinstellungen

Der folgende OpenID-URI bezieht sich auf den Metadatenendpunkt, der von OIDC-Clients verwendet wird, um IdP-Informationen wie das Signaturzertifikatrollover zu ermitteln.

  1. Suchen Sie den Metadatenendpunkt für Ihren Azure AD B2C-Mandanten. Navigieren Sie zu App-Registrierungen>Endpunkte.
  2. Kopieren Sie den URI des Azure AD B2C OpenID Connect Metadatendokuments. Beispiel: https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configuration.
  3. Aktualisieren Sie den URI mit Ihren Eigenschaften. https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configuration
  4. Fügen Sie den URI in den Browser ein.
  5. Zeigen Sie die OIDC-Metadaten für Ihren Azure AD B2C-Mandanten an.
Eigentum BESCHREIBUNG
Publikum Die Anwendungs-Client-ID, welche die BIG-IP im Azure AD B2C-Mandanten darstellt
Authentifizierungs-URI Der Autorisierungsendpunkt in Ihren B2C-OIDC-Metadaten
Token-URI Der Tokenendpunkt in Ihren Azure AD B2C-Metadaten
Userinfo-Anforderungs-URI Lassen Sie dieses Feld leer. Azure AD B2C unterstützt dieses Feature nicht.
OpenID-URI Der von Ihnen erstellte OpenID-URI-Metadatenendpunkt
Abgelaufene Zertifikatüberprüfung ignorieren Aktivieren Sie dieses Kontrollkästchen nicht.
Selbstsigniertes JWK-Konfigurationszertifikat zulassen Prüfen
Paket für vertrauenswürdige Zertifizierungsstellen Wählen Sie „ca-bundle.crt“ aus, um die vertrauenswürdigen F5-Standardzertifizierungsstellen zu verwenden.
Ermittlungsintervall Geben Sie ein Intervall an, nach dem der BIG-IP Ihren Azure AD B2C-Mandanten nach Updates abfragen soll. Das Mindestintervall in AGC Version 16.1 0.0.19 beträgt 5 Minuten.

OAuth-Servereinstellungen

Für den OIDC-Autorisierungsserver, der Ihr Azure AD B2C-Mandant ist.

Eigentum Beschreibungen
Kunden-ID Die Anwendungs-Client-ID, welche die BIG-IP im Azure AD B2C-Mandanten darstellt
Geheimer Clientschlüssel Der geheime Clientschlüssel der Anwendung
SSL-Profil des Clientservers Legen Sie ein SSL-Profil fest, um sicherzustellen, dass APM mit dem Azure AD B2C IdP über TLS kommuniziert. Wählen Sie das Standard-serverssl aus.

OAuth-Anforderungseinstellungen

Der BIG-IP hat Azure AD B2C-Anforderungen in seinem vorkonfigurierten Anforderungssatz benötigt. Die Anforderungen wurden jedoch falsch formatiert, und es fehlen wichtige Parameter. Wir haben sie also manuell erstellt.

Tokenanforderung: Aktiviert

Eigentum BESCHREIBUNG
OAuth-Anforderung auswählen Neu erstellen
HTTP-Methode POST
Aktivieren von Kopfzeilen Deaktiviert
Parameter aktivieren Aktiviert
Parameter Parametername Parameterwert
Kunden-ID Kunden-ID Nicht verfügbar
nonce nonce Nicht verfügbar
Weiterleitungs-URI Weiterleitungs-URI Nicht verfügbar
scope scope Nicht verfügbar
Antworttyp Antworttyp Nicht verfügbar
client_secret (Kunden-Geheimnis) client_secret (Kunden-Geheimnis) Nicht verfügbar
Gewohnheit grant_type Autorisierungscode

Authentifizierungsumleitungsanforderung: Aktiviert

Eigentum BESCHREIBUNG
OAuth-Anforderung auswählen Neu erstellen
HTTP-Methode GET
Art der Eingabeaufforderung Nichts
Aktivieren von Kopfzeilen Deaktiviert
Parameter aktivieren Aktiviert
Parameter Parametername Parameterwert
Kunden-ID Kunden-ID Nicht verfügbar
Weiterleitungs-URI Weiterleitungs-URI Nicht verfügbar
Antworttyp Antworttyp Nicht verfügbar
scope scope Nicht verfügbar
nonce nonce Nicht verfügbar

Tokenaktualisierungsanforderung: Deaktiviert Sie können nach Bedarf aktivieren und konfigurieren.

OpenID UserInfo-Anforderung: Deaktiviert nicht unterstützt in globalen Azure AD B2C-Mandanten.

Eigenschaften virtueller Server

Erstellen Sie einen BIG-IP virtuellen Server, um externe Clientanforderungen für den Back-End-Dienst abzufangen, der durch sicheren Hybridzugriff geschützt ist. Weisen Sie dem virtuellen Server eine IP-Adresse zu, die dem öffentlichen DNS-Eintrag für den BIG-IP Dienstendpunkt zugeordnet ist, der die Anwendung darstellt. Verwenden Sie einen virtuellen Server, falls verfügbar, andernfalls geben Sie die folgenden Eigenschaften an.

Eigentum BESCHREIBUNG
Zieladresse Private oder öffentliche IP-Adresse, die zum BIG-IP Dienstendpunkt für die Back-End-Anwendung wird
Dienstport HTTPS
Umleitungsport aktivieren Wählen Sie aus, damit Benutzer von http zu https automatisch umgeleitet werden.
Umleitungsport HTTP
Client-SSL-Profil Tauschen Sie das vordefinierte clientssl Profil mit dem Profil aus, das über Ihr SSL-Zertifikat verfügt. Sie können das Standardprofil testen. aber es verursacht wahrscheinlich eine Browserbenachrichtigung.

Beckenmerkmale

Back-End-Dienste werden im BIG-IP als Pool mit einem oder mehreren Anwendungsservern angezeigt, an die virtuelle Server eingehenden Datenverkehr weiterleiten. Wählen Sie einen Pool aus, andernfalls erstellen Sie eine neue.

Eigentum BESCHREIBUNG
Lastenausgleichsmethode RoundRobin auswählen
Poolserver Interne IP der Back-End-Anwendung
Hafen Dienstport der Back-End-Anwendung

Hinweis

Stellen Sie sicher, dass die BIG-IP über eine Sichtlinie zur Poolserveradresse verfügt.

SSO-Einstellungen

Eine BIG-IP unterstützt SSO-Optionen, aber im OAuth-Client-Modus ist die geführte Konfiguration auf Kerberos oder HTTP-Header beschränkt. Aktivieren Sie SSO und verwenden Sie die folgenden Informationen für den APM, um definierte eingehende Attribute auf ausgehende Header abzubilden.

Eigentum BESCHREIBUNG
Headervorgang Einfügen
Headername name
Headerwert %{session.oauth.client.last.id_token.name}
Headervorgang Einfügen
Headername agentid
Headerwert %{session.oauth.client.last.id_token.extension_AgentGeo}

Hinweis

Bei APM-Sitzungsvariablen in geschweiften Klammern wird die Groß- und Kleinschreibung unterschieden. Wenn der Name des Azure AD B2C-Attributs als AgentID gesendet wird, tritt beim Eingeben der Agentid ein Attributzuordnungsfehler auf. Definieren von Attributen in Kleinbuchstaben. In Azure AD B2C fordert der Benutzerfluss den Benutzer zur Eingabe weiterer Attribute auf, wobei der Attributname im Portal verwendet wird. Verwenden Sie daher anstelle von Kleinbuchstaben die Satz-Groß-/Kleinschreibung.

Screenshot der Einstellungen für einmaliges Anmelden, einschließlich Typ und Kopfzeile.

Anpassungseigenschaften

Passen Sie die Sprache und Darstellung von Bildschirmen an, die Benutzern im APM-Zugriffsrichtlinienfluss angezeigt werden. Bearbeiten Sie Bildschirmnachrichten und Eingabeaufforderungen, ändern Sie Bildschirmlayouts, Farben, Bilder und lokalisieren Sie Beschriftungen, Beschreibungen und Nachrichten.

Ersetzen Sie im Textfeld " Formularkopfzeile " die F5 Networks Zeichenfolge durch einen gewünschten Namen.

Sitzungsverwaltungseigenschaften

Verwenden Sie die Einstellungen für die BIG-IP Sitzungsverwaltung, um Bedingungen zu definieren, die Sitzungen beenden oder deren Fortsetzung ermöglichen. Legen Sie Grenzwerte für Benutzer und IP-Adressen und Fehlerseiten fest. Es wird empfohlen, einmaliges Abmelden (Single Log Out, SLO) zu implementieren, wodurch Sitzungen sicher beendet werden und die Risiken des nicht autorisierten Zugriffs reduziert werden.

Einstellungen bereitstellen

Wählen Sie Implementieren aus, um Einstellungen festzulegen und BIG-IP- und APM-Objekte für sicheren Hybridzugriff auf die Anwendung zu erstellen. Die Anwendung wird unter „Bedingter Zugriff“ als eine Zielressource angezeigt. Um die Sicherheit zu erhöhen, blockieren Sie den direkten Zugriff auf die Anwendung, wodurch ein Pfad durch die BIG-IP erzwungen wird.

Weitere Informationen: Identitätsschutz und bedingter Zugriff für Azure AD B2C

Testen des Flows für Anmelden/Registrieren

  1. Wechseln Sie als Benutzer zur externen URL der Anwendung.
  2. Die OAuth-Clientanmeldungsseite von BIG-IP wird angezeigt.
  3. Melden Sie sich mit der Autorisierungscodezuweisung an. Informationen zum Entfernen dieses Schritts finden Sie im Abschnitt " Ergänzende Konfigurationen" .
  4. Registrieren Sie sich und authentifizieren Sie sich gegen Ihren Azure AD B2C-Mandanten.

Die folgenden Bilder sind das Anmeldedialogfeld des Benutzers und die Anmelde-Willkommensseite.

Screenshot des Dialogfelds

Screenshot der Anmelde-Willkommensseite.

Um die Sicherheit zu erhöhen, blockieren Sie den direkten Zugriff auf die Anwendung, wodurch ein Pfad durch die BIG-IP erzwungen wird.

Ergänzende Konfigurationen

Einmaliges Abmelden (Single Log-Out, SLO)

Azure AD B2C unterstützt Identitätsanbieter (IdP) und das Abmelden von Anwendungen. Siehe Single Sign-Out.

Um SLO zu erreichen, aktivieren Sie die Abmeldefunktion Ihrer Anwendung, um den Azure AD B2C-Abmeldeendpunkt aufzurufen. Anschließend gibt Azure AD B2C eine endgültige Umleitung zur BIG-IP aus. Diese Aktion stellt sicher, dass die APM-Sitzung der Benutzeranwendung beendet wird.

Ein alternativer SLO-Prozess besteht darin, dem BIG-IP zu ermöglichen, die Anforderung zu überwachen, wenn die Schaltfläche "Abmelden" der Anwendung ausgewählt wird. Beim Erkennen der Anforderung ruft sie den Azure AD B2C-Abmeldungsendpunkt auf. Bei diesem Ansatz wird verhindert, dass änderungen an der Anwendung vorgenommen werden.

Weitere Informationen BIG-IP iRules finden Sie unter support.f5.com für K42052145: Konfigurieren der automatischen Sitzungsbeendigung (Abmeldung) basierend auf einem URI-referenzierten Dateinamen.

Hinweis

Stellen Sie unabhängig von der Vorgehensweise sicher, dass der Azure AD B2C-Mandant den APM-Abmeldungspunkt kennt.

  1. Navigieren Sie im Portal zu Verwalten>Manifest.
  2. Suchen Sie die logoutUrl-Eigenschaft. Es lautet null.
  3. Fügen Sie den APM-URI nach dem Abmelden hinzu: https://<mysite.com>/my.logout.php3

Hinweis

<mysite.com> ist der BIG-IP-FQDN für Ihre headerbasierte Anwendung.

Optimierter Anmeldefluss

Um die Benutzeranmeldung zu verbessern, unterdrücken Sie die OAuth-Benutzeranmeldungsaufforderung, die vor der Vorauthentifizierung von Microsoft Entra angezeigt wird.

  1. Navigieren Sie zu Zugriff>Gesteuerte Konfiguration.

  2. Wählen Sie ganz rechts in der Zeile das Vorhängeschlosssymbol aus.

  3. Die headerbasierte Anwendung entsperrt die strenge Konfiguration.

    Screenshot der Eingabe für Status, Name und Typ; auch das Vorhängeschlosssymbol.

Durch entsperren der strengen Konfiguration werden Änderungen mit der Assistenten-Benutzeroberfläche verhindert. BIG-IP Objekte sind der veröffentlichten Instanz der Anwendung zugeordnet und für die direkte Verwaltung geöffnet.

  1. Navigieren Sie zu Zugriff>Profile/Richtlinien>Zugriffsprofile (Richtlinien pro Sitzung).

  2. Wählen Sie für das Anwendungsrichtlinienobjekt in der Spalte Per-Session Richtlinie die Option Bearbeiten aus.

    Screenshot der Option

  3. Um das OAuth-Anmeldeseitenrichtlinienobjekt zu löschen, wählen Sie X aus.

  4. Stellen Sie an der Eingabeaufforderung eine Verbindung mit dem vorherigen Knoten her.

    Screenshot der X-Option im OAuth Logon Page-Richtlinienobjekt.

  5. Wählen Sie in der oberen linken Ecke die Option "Zugriffsrichtlinie übernehmen" aus.

  6. Schließen Sie die Registerkarte des visuellen Editors.

Wenn Sie versuchen, eine Verbindung mit der Anwendung herzustellen, wird die Azure AD B2C-Anmeldeseite angezeigt.

Hinweis

Wenn Sie den strikten Modus wieder aktivieren und eine Konfiguration bereitstellen, werden einstellungen, die außerhalb der Geführten Konfigurationsbenutzeroberfläche ausgeführt werden, überschrieben. Implementieren Sie dieses Szenario, indem Sie Konfigurationsobjekte für Produktionsdienste manuell erstellen.

Problembehandlung

Verwenden Sie die folgenden Anleitungen zur Problembehandlung, wenn der Zugriff auf die geschützte Anwendung verhindert wird.

Ausführlichkeit des Protokolls

BIG-IP Protokolle enthalten Informationen zum Isolieren von Authentifizierungs- und SSO-Problemen. Erhöhen Sie den Ausführlichkeitsgrad des Protokolls.

  1. Wechseln Sie zu Zugriffsrichtlinie>Übersicht>Ereignisprotokolle>Einstellungen.
  2. Wählen Sie die Zeile für Ihre veröffentlichte Anwendung aus, und bearbeiten Sie> dannAccess-Systemprotokolle.
  3. Wählen Sie in der SSO-Liste "Debuggen" aus.
  4. Wählen Sie OK aus.
  5. Bevor Sie Protokolle überprüfen, reproduzieren Sie Ihr Problem.

Wenn der Vorgang abgeschlossen ist, stellen Sie die vorherigen Einstellungen zurück.

BIG-IP-Fehlermeldung

Wenn nach der Azure AD B2C-Authentifizierung eine BIG-IP-Fehlermeldung angezeigt wird, könnte das Problem mit dem Single Sign-On von Microsoft Entra ID zum BIG-IP zusammenhängen.

  1. Navigieren Sie zu Access>Overview>Access reports (Zugriff > Übersicht > Zugriffsberichte).
  2. Führen Sie den Bericht für die letzte Stunde aus
  3. Überprüfen Sie Protokolle auf Hinweise.
  4. Wählen Sie den Link "Sitzungsvariablen anzeigen" aus .
  5. Ermitteln Sie, ob die APM die erwarteten Microsoft Entra-Ansprüche empfängt.

Keine BIG-IP-Fehlermeldung

Wenn keine Fehlermeldung BIG-IP angezeigt wird, hängt das Problem möglicherweise mit der Back-End-Anforderung oder SSO vom BIG-IP zur Anwendung zusammen.

  1. Wechseln Sie zu Zugriffsrichtlinie>Übersicht>Aktive Sitzungen.
  2. Wählen Sie den Link für Ihre aktive Sitzung aus.
  3. Wählen Sie den Link "Variablen anzeigen" aus .
  4. Überprüfen Sie, um die Grundursache zu ermitteln, insbesondere, wenn der BIG-IP-APM ungenaue Sitzungsattribute erhält.
  5. Verwenden Sie die Anwendungsprotokolle, um zu verstehen, ob sie die Attribute als Header empfangen hat.

Bekanntes Problem bei der geführten Konfiguration v8

Bei Verwendung von Guided Configuration v8 generiert ein bekanntes Problem nach erfolgreicher Azure AD B2C-Authentifizierung den folgenden Fehler. Das Problem kann der AGC sein, der die Einstellung "Auto JWT" während der Bereitstellung nicht aktiviert. Die APM kann die aktuellen Tokensignaturschlüssel nicht abrufen. F5 Engineering untersucht die Ursache.

Screenshot der Fehlermeldung

Dasselbe Zugriffsprotokoll bietet Details.

Screenshot der Protokollnachrichtendetails.

Manuelles Aktivieren der Einstellung

  1. Navigieren Sie zu Zugriff>Gesteuerte Konfiguration.
  2. Wählen Sie ganz rechts in der Zeile für Ihre headerbasierte Anwendung das Vorhängeschloss aus.
  3. Navigieren Sie zu Zugriff>Verbund>OAuth Client-/Ressourcenserver>Anbieter.
  4. Wählen Sie den Anbieter für Ihre Azure AD B2C-Konfiguration aus.
  5. Aktivieren Sie das Kontrollkästchen "Auto JWT verwenden ".
  6. Wählen Sie "Entdecken" aus.
  7. Wählen Sie Speichern aus.
  8. Das Feld Schlüssel (JWT) weist die Tokensignaturzertifikatschlüssel-ID (KID) aus OpenID-URI-Metadaten auf.
  9. Wählen Sie in der oberen linken Ecke die Option "Zugriffsrichtlinie übernehmen" aus.
  10. Wählen Sie Anwenden.

Weitere Informationen finden Sie unter techdocs.f5.com für OAuth-Client- und Ressourcenserver-Tipps zur Problembehandlung

  • Last updated on