Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.
Dowiedz się, jak zintegrować usługę Azure Active Directory B2C (Azure AD B2C) z programem F5 BIG-IP Access Policy Manager (APM). Starsze aplikacje można bezpiecznie uwidocznić w Internecie za pośrednictwem zabezpieczeń BIG-IP przy użyciu wstępnego uwierzytelniania usługi Azure AD B2C, dostępu warunkowego i logowania jednokrotnego (SSO). F5 Inc. koncentruje się na dostarczaniu, bezpieczeństwie, wydajności i dostępności połączonych usług, w tym przetwarzaniu, magazynowaniu i zasobach sieciowych. Zapewnia sprzętowe, modułowe oprogramowanie i gotowe do użycia w chmurze rozwiązania wirtualne.
Wdróż program F5 BIG-IP Application Delivery Controller (ADC) jako bezpieczną bramę między sieciami prywatnymi a Internetem. Dostępne są funkcje inspekcji na poziomie aplikacji i dostosowywalnych kontroli dostępu. Jeśli serwer proxy działa w trybie zwrotnym, użyj BIG-IP, aby umożliwić bezpieczny dostęp hybrydowy do aplikacji biznesowych z warstwą dostępu tożsamości federacyjnej zarządzaną przez usługę APM.
Przejdź do zasobów i oficjalnych dokumentów na f5.com: Łatwe konfigurowanie bezpiecznego dostępu do wszystkich aplikacji za pośrednictwem identyfikatora Entra firmy Microsoft
Wymagania wstępne
Aby rozpocząć pracę, potrzebne są następujące elementy:
- Subskrypcja platformy Azure
- Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure
- Dzierżawca usługi Azure AD B2C połączony z subskrypcją platformy Azure
- BIG-IP lub wdrożona wersja próbna BIG-IP Virtual Environment (VE) na platformie Azure
- Dowolne z następujących licencji F5 BIG-IP:
- F5 BIG-IP® Najlepszy pakiet
- Licencja autonomiczna programu F5 BIG-IP Access Policy Manager™
- Licencja dodatku programu F5 BIG-IP Access Policy Manager™ na BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
- 90-dniowa licencja na pełną wersję próbną funkcji BIG-IP
- Aplikacja webowa wykorzystująca nagłówki lub aplikacja IIS do testowania
- Sprawdź konfigurację aplikacji IIS
- Certyfikat SSL do publikowania usług za pośrednictwem protokołu HTTPS lub używania wartości domyślnej podczas testowania
- Zobacz , Profil SSL
Opis scenariusza
Poniższy scenariusz opiera się na nagłówkach, ale można użyć tych metod do uzyskania jednokrotnego logowania Kerberos.
W tym scenariuszu dostęp do aplikacji wewnętrznej polega na odbieraniu nagłówków autoryzacji HTTP ze starszego systemu brokerskiego. Agenci sprzedaży mogą być kierowani do odpowiednich obszarów zawartości. Należy rozszerzyć usługę na szerszą bazę odbiorców. Aplikacja zostanie uaktualniona na potrzeby opcji uwierzytelniania użytkowników lub zostanie zastąpiona.
W idealnym przypadku uaktualnienie aplikacji obsługuje bezpośrednie zarządzanie i nadzór przy użyciu nowoczesnej płaszczyzny sterowania. Jednak czas i wysiłek w celu modernizacji wprowadza koszty i potencjalny przestój. Zamiast tego wdroż BIG-IP Virtual Edition (VE) między publicznym Internetem a wewnętrzną siecią wirtualną platformy Azure, aby kontrolować dostęp przy użyciu usługi Azure AD B2C. BIG-IP przed aplikacją umożliwia nakładanie usługi z wstępnym uwierzytelnianiem Azure AD B2C i jednokrotnym logowaniem opartym na nagłówkach, co poprawia bezpieczeństwo aplikacji.
Bezpieczne rozwiązanie dostępu hybrydowego ma następujące składniki:
- Aplikacja — usługa back-end chroniona przez Azure AD B2C oraz BIG-IP bezpieczny dostęp hybrydowy
- Azure AD B2C — dostawca tożsamości (IdP) i serwer autoryzacji OpenID Connect (OIDC), który weryfikuje poświadczenia użytkownika, uwierzytelnianie wieloskładnikowe i logowanie jednokrotne do BIG-IP APM
- BIG-IP — zwrotny serwer proxy dla aplikacji. BIG-IP APM to klient OIDC, oddelegowujący proces uwierzytelniania na serwer autoryzacji OIDC, a następnie przeprowadzający logowanie jednokrotne oparte na nagłówku do usługi zaplecza technicznego.
Na poniższym diagramie przedstawiono przepływ inicjowany przez dostawcę usług (SP) dla tego scenariusza.
- Użytkownik łączy się z punktem końcowym aplikacji. BIG-IP jest dostawcą usług.
- BIG-IP klient APM OIDC przekierowuje użytkownika do punktu końcowego dzierżawy usługi Azure AD B2C, serwera autoryzacji OIDC
- Dzierżawa usługi Azure AD B2C wstępnie uwierzytelnia użytkownika i stosuje zasady dostępu warunkowego
- Usługa Azure AD B2C przekierowuje użytkownika z powrotem do dostawcy usług przy użyciu kodu autoryzacji
- Klient OIDC prosi serwer autoryzacji o wymianę kodu autoryzacji dla tokenu identyfikatora
- BIG-IP APM przyznaje użytkownikowi dostęp i wprowadza nagłówki HTTP w żądaniu klienta przekazanym do aplikacji
Konfiguracja usługi Azure AD B2C
Aby włączyć BIG-IP z uwierzytelnianiem Azure AD B2C, użyj najemcy Azure AD B2C z przepływem użytkownika lub polityką niestandardową.
Zobacz Samouczek: Tworzenie przepływów użytkownika i zasad niestandardowych w Azure AD B2C
Utwórz atrybuty niestandardowe
Uzyskaj atrybuty niestandardowe z obiektów użytkownika usługi Azure AD B2C, federacyjnych dostawców tożsamości, łączników interfejsu API lub rejestracji użytkownika. Uwzględnij atrybuty w tokenie, który przechodzi do aplikacji.
Starsze aplikacje oczekują określonych atrybutów, więc uwzględnij je w przepływie użytkownika. Możesz zastąpić je atrybutami wymaganymi przez aplikację. Możesz też skonfigurować aplikację testową przy użyciu instrukcji, a następnie użyć dowolnych nagłówków.
- Zaloguj się do portalu Azure jako co najmniej administrator zasad IEF B2C.
- W okienku po lewej stronie wybierz pozycję Atrybuty użytkownika.
- Wybierz pozycję Dodaj , aby utworzyć dwa atrybuty niestandardowe.
- W przypadku identyfikatora agenta wybierz Typ danych ciąg.
- Dla agenta Geo wybierz Typ danych ciągu.
Dodawanie atrybutów do przepływu użytkownika
- W menu po lewej stronie przejdź do pozycji Zasady>Przepływy użytkownika.
- Wybierz swoją politykę, na przykład B2C_1_SignupSignin.
- Wybierz pozycję Atrybuty użytkownika.
- Dodaj oba atrybuty niestandardowe.
- Dodaj atrybut Nazwa wyświetlana . Te atrybuty są zbierane podczas rejestracji użytkownika.
- Wybierz pozycję Oświadczenia aplikacji.
- Dodaj oba atrybuty niestandardowe.
- Dodaj Nazwę wyświetlaną. Te atrybuty trafiają do systemu BIG-IP.
- Wybierz Uruchom przepływ użytkownika.
- W menu przepływu użytkownika, na lewym pasku nawigacyjnym, sprawdź polecenia dotyczące zdefiniowanych atrybutów.
Dowiedz się więcej : Samouczek: Tworzenie przepływów użytkownika i zasad niestandardowych w usłudze Azure AD B2C
Federacja usługi Azure AD B2C
Federate BIG-IP i Azure AD B2C dla wzajemnego zaufania. Zarejestruj BIG-IP w dzierżawie usługi Azure AD B2C jako aplikację OIDC.
- W portalu wybierz pozycję Rejestracje> aplikacjiNowa rejestracja.
- Wprowadź nazwę aplikacji, na przykład HeaderApp1.
- W obszarze Obsługiwane typy kontwybierz Konta w dowolnym dostawcy tożsamości lub katalogu organizacyjnym, aby uwierzytelniać użytkowników za pomocą przepływów użytkowników.
- W obszarze Identyfikator URI przekierowania wybierz opcję Web.
- Wprowadź publiczną nazwę FQDN usługi chronionej.
- Podaj ścieżkę.
- Pozostaw pozostałe opcje.
- Wybierz pozycję Zarejestruj.
- Przejdź do pozycji Certyfikaty i wpisy tajne>+ Nowy klucz tajny klienta.
- Wprowadź opisową nazwę
- Wprowadź czas życia (TTL) dla tajemnicy używanej przez BIG-IP.
- Zanotuj klucz tajny klienta dla konfiguracji BIG-IP.
URI przekierowania to punkt końcowy BIG-IP. Po uwierzytelnieniu serwer autoryzacji (Azure AD B2C) wysyła użytkowników do punktu końcowego.
Dowiedz się więcej: Samouczek: rejestrowanie aplikacji internetowej w usłudze Azure AD B2C.
Konfiguracja BIG-IP
W przypadku konfiguracji BIG-IP użyj Guided Configuration w wersji 7/8. Struktura przepływu pracy jest dostosowywana do uzyskiwania dostępu do topologii i umożliwia szybkie publikowanie usług internetowych.
Wersja konfiguracji z przewodnikiem
- Aby potwierdzić wersję, zaloguj się do konfiguracji internetowej BIG-IP przy użyciu konta administratora.
- Przejdź do Dostęp>Konfiguracja z Przewodnikiem.
- Wersja jest wyświetlana w prawym górnym rogu.
Aby zaktualizować Konfigurację Kierowaną, odwiedź my.f5.com, aby uzyskać K85454683: Aktualizacja Konfiguracji Kierowanej F5 BIG-IP w systemie BIG-IP.
Profile SSL
Użyj BIG-IP skonfigurowanego z profilem SSL klienta, aby zabezpieczyć ruch po stronie klienta za pośrednictwem protokołu TLS. Zaimportuj certyfikat zgodny z nazwą domeny używany przez publiczny adres URL aplikacji. Zalecamy użycie publicznego urzędu certyfikacji, ale do testowania można użyć BIG-IP certyfikatów z podpisem własnym.
Aby dodać certyfikaty w usłudze BIG-IP VE i zarządzać nimi, przejdź do techdocs.f5.com dla systemuBIG-IP: administracja SSL.
Konfiguracja krok po kroku
- Aby uruchomić kreatora wdrażania, w konfiguracji internetowej przejdź do Access>Konfiguracja z Przewodnikiem.
- Wybierz Federacja>F5 jako klienta OAuth i serwer zasobów.
- Zapoznaj się z podsumowaniem przepływu dla tego scenariusza.
- Wybierz Dalej.
- Kreator się uruchamia.
Właściwości protokołu OAuth
W poniższych sekcjach zdefiniuj właściwości umożliwiające konfigurację federacyjną między systemem BIG-IP APM a serwerem autoryzacji OAuth, który zarządza dzierżawą usługi Azure AD B2C. OAuth jest wspominane w całej konfiguracji BIG-IP. Rozwiązanie korzysta z OIDC, warstwy tożsamości w protokole OAuth 2.0. Klienci OIDC weryfikują tożsamość użytkownika i uzyskują inne informacje o profilu.
Nazwa konfiguracji
Nazwa wyświetlana konfiguracji pomaga odróżnić konfiguracje wdrożenia w Konfiguracji z przewodnikiem. Nie można zmienić nazwy i jest ona wyświetlana tylko w widoku Konfiguracja z przewodnikiem.
Tryb
BIG-IP APM jest klientem OIDC, dlatego wybierz opcję Klient.
Rozwiązywacz DNS
Określony cel musi rozpoznać publiczne adresy IP punktów końcowych usługi Azure AD B2C. Wybierz publiczny program rozpoznawania nazw DNS lub utwórz nowy.
Ustawienia dostawcy
Skonfiguruj usługę Azure AD B2C jako dostawcę tożsamości OAuth2. Konfiguracja z przewodnikiem zawiera szablony usługi Azure AD B2C, ale nie pewne zakresy.
Dodaj nowego dostawcę i skonfiguruj go:
Ogólne właściwości protokołu OAuth
| Właściwości | Opis |
|---|---|
| Typ dostawcy OAuth | Na zamówienie |
| Wybieranie dostawcy OAuth | Utwórz nowe lub użyj dostawcy OAuth |
| Nazwa | Nazwa wyświetlana dla IdP B2C. Ta nazwa jest widoczna dla użytkowników jako opcja dostawcy podczas logowania |
| Typ tokenu | JSON Web Token |
Ustawienia zasad OAuth
| Właściwości | Opis |
|---|---|
| Scope | Pozostaw puste. Zakres OpenID logowania użytkownika jest dodawany automatycznie |
| Typ udzielenia | Kod autoryzacji |
| Włączanie programu OpenID Connect | Wybierz opcję, aby umieścić klienta APM OAuth w trybie OIDC |
| Typ przepływu | Kod autoryzacji |
Ustawienia dostawcy OAuth
Poniższy identyfikator URI OpenID odnosi się do punktu dostępu metadanych używanego przez klientów OIDC do odnajdywania informacji o dostawcy tożsamości (IdP), takich jak zmiana certyfikatu podpisu.
- Znajdź punkt końcowy metadanych dla dzierżawy usługi Azure AD B2C. Przejdź do rejestracji aplikacji>punktów końcowych.
- Skopiuj identyfikator URI dokumentu metadanych programu OpenID Connect usługi Azure AD B2C. Na przykład
https://wacketywackb2c .b2clogin.com/<tenantname>.onmicrosoft.com/<policyname>/v2.0/.well-known/openid-configuration. - Zaktualizuj identyfikator URI za pomocą swoich właściwości
https://<tenantname>.b2clogin.com/WacketywackB2C.onmicrosoft.com/B2C_1_SignUpIn/v2.0/.well-known/openid-configuration. - Wklej identyfikator URI do przeglądarki.
- Wyświetl metadane OIDC dla dzierżawcy Azure AD B2C.
| Majątek | Opis |
|---|---|
| Publiczność | Identyfikator klienta aplikacji reprezentujący BIG-IP w dzierżawie Azure AD B2C |
| Adres URI uwierzytelniania | Punkt końcowy autoryzacji w metadanych OIDC B2C |
| Identyfikator URI tokenu | Punkt końcowy tokenu w metadanych usługi Azure AD B2C |
| URI żądania informacji o użytkowniku | Pozostaw puste. Usługa Azure AD B2C nie obsługuje tej funkcji |
| OpenID URI | Utworzony przez Ciebie punkt końcowy metadanych OpenID URI |
| Ignoruj walidację wygasłego certyfikatu | Pozostaw niezaznaczone |
| Zezwalaj na certyfikat konfiguracji JWK z podpisem własnym | Sprawdź |
| Zestaw zaufanych jednostek certyfikujących | Wybierz pozycję ca-bundle.crt, aby użyć domyślnych zaufanych władz F5 |
| Interwał odnajdywania | Podaj przedział czasu dla BIG-IP, aby zapytania do dzierżawy Azure AD B2C dotyczące aktualizacji były regularnie wysyłane. Minimalny interwał w usłudze AGC w wersji 16.1 0.0.19 wynosi 5 minut. |
Ustawienia serwera OAuth
Dla serwera autoryzacji OIDC, którym jest Twój dzierżawca Azure AD B2C.
| Majątek | Opisy |
|---|---|
| ID klienta | Identyfikator klienta aplikacji reprezentujący BIG-IP w dzierżawcy Azure AD B2C |
| Tajemnica klienta | Klucz tajny klienta aplikacji |
| Profil SSL serwera klienckiego | Ustaw profil SSL, aby upewnić się, że APM komunikuje się z IdP Azure AD B2C za pośrednictwem protokołu TLS. Wybierz domyślne serverssl. |
Ustawienia żądania OAuth
BIG-IP wymaga żądań usługi Azure AD B2C w wstępnie skonfigurowanym zestawie żądań. Żądania zostały jednak źle sformułowane i brakuje ważnych parametrów. Dlatego utworzyliśmy je ręcznie.
Żądanie tokenu: włączone
| Majątek | Opis |
|---|---|
| Wybierz żądanie OAuth | Utwórz nową |
| metoda HTTP | Bez znajomości kontekstu, w którym "POST" jest używany, nie mogę zaproponować dokładnego tłumaczenia. Jeżeli dotyczy HTTP, pozostaw jako "POST". |
| Włączanie nagłówków | Niezweryfikowane |
| Włączanie parametrów | Sprawdzane |
| Parametr | Nazwa parametru | Wartość parametru |
|---|---|---|
| identyfikator_klienta | identyfikator_klienta | N/A |
| identyfikator jednorazowy | identyfikator jednorazowy | N/A |
| adres_przekierowania | adres_przekierowania | N/A |
| zakres | zakres | N/A |
| typ_odpowiedzi | typ_odpowiedzi | N/A |
| tajemnica klienta | tajemnica klienta | N/A |
| zwyczaj | typ_grantu | kod autoryzacji |
Żądanie przekierowania uwierzytelnienia: włączone
| Majątek | Opis |
|---|---|
| Wybierz żądanie OAuth | Utwórz nową |
| metoda HTTP | POBIERZ |
| Typ monitu | Żaden |
| Włączanie nagłówków | Niezweryfikowane |
| Włączanie parametrów | Sprawdzane |
| Parametr | Nazwa parametru | Wartość parametru |
|---|---|---|
| identyfikator_klienta | identyfikator_klienta | N/A |
| adres_przekierowania | adres_przekierowania | N/A |
| typ_odpowiedzi | typ_odpowiedzi | N/A |
| zakres | zakres | N/A |
| identyfikator jednorazowy | identyfikator jednorazowy | N/A |
Żądanie odświeżania tokenu: wyłączone Możesz włączyć i skonfigurować zgodnie z potrzebami.
Żądanie OpenID UserInfo: Wyłączone Nieobsługiwane w tenantach usługi globalnej Azure AD B2C.
Właściwości serwera wirtualnego
Utwórz serwer wirtualny BIG-IP w celu przechwycenia żądań klientów zewnętrznych dla usługi zaplecza chronionej przez bezpieczny dostęp hybrydowy. Przypisz serwer wirtualny adres IP zamapowany na publiczny rekord DNS dla punktu końcowego usługi BIG-IP reprezentującego aplikację. Użyj serwera wirtualnego, jeśli jest dostępny, w przeciwnym razie podaj następujące właściwości.
| Majątek | Opis |
|---|---|
| Adres docelowy | Prywatny lub publiczny adres IP, który staje się punktem końcowym usługi BIG-IP dla aplikacji zaplecza |
| Port usługi | HTTPS |
| Włączanie portu przekierowania | Wybierz, aby użytkownicy automatycznie przekierowywali z protokołu HTTP do https |
| Przekierowywanie portu | HTTP |
| Profil SSL klienta | Zamień wstępnie zdefiniowany clientssl profil na ten, który ma certyfikat SSL. Możesz przetestować przy użyciu profilu domyślnego. ale prawdopodobnie powoduje alert przeglądarki. |
Właściwości puli
Usługi zaplecza są wyświetlane w BIG-IP jako pula z co najmniej jednym serwerem aplikacji, do których serwery wirtualne kierują ruch przychodzący. Wybierz pulę, w przeciwnym razie utwórz nową.
| Majątek | Opis |
|---|---|
| Metoda równoważenia obciążenia | Wybierz metodę rotacyjną |
| Serwer puli | Wewnętrzny adres IP aplikacji zaplecza |
| Port | Port usługi aplikacji back-endowej |
Uwaga / Notatka
Upewnij się, że BIG-IP ma widok na adres serwera puli.
Ustawienia SSO
BIG-IP obsługuje opcje logowania jednokrotnego, ale w trybie klienta OAuth konfiguracja z przewodnikiem jest ograniczona do nagłówków Kerberos lub HTTP. Włącz logowanie jednokrotne i użyj następujących informacji dla programu APM, aby zamapować zdefiniowane atrybuty ruchu przychodzącego na nagłówki ruchu wychodzącego.
| Majątek | Opis |
|---|---|
| Operacja nagłówka | Wstawiać |
| Nazwa nagłówka | nazwa |
| Wartość nagłówka | %{session.oauth.client.last.id_token.name} |
| Operacja nagłówka | Wstawiać |
| Nazwa nagłówka | identyfikator agenta |
| Wartość nagłówka | %{session.oauth.client.last.id_token.extension_AgentGeo} |
Uwaga / Notatka
Zmienne sesji APM w nawiasach klamrowych są uwzględniane wielkości liter. Wprowadzenie agentid, gdy nazwa atrybutu usługi Azure AD B2C jest wysyłana jako AgentID, powoduje niepowodzenie mapowania atrybutów. Zdefiniuj atrybuty w małych literach. W usłudze Azure AD B2C przepływ użytkownika prosi użytkownika o podanie dodatkowych atrybutów, używając nazwy atrybutu w portalu. W związku z tym należy użyć wielkich liter na początku zdania zamiast małych liter.
Właściwości dostosowywania
Dostosuj język i wygląd ekranów wyświetlanych przez użytkowników w przepływie zasad dostępu APM. Edytuj komunikaty i monity ekranowe, zmień układy ekranu, kolory, obrazy i zlokalizuj podpisy, opisy oraz wiadomości.
W polu tekstowym Nagłówek formularza zastąp F5 Networks ciąg odpowiednią nazwą.
Właściwości zarządzania sesjami
Użyj ustawień zarządzania sesjami BIG-IP, aby zdefiniować warunki, które zakończą sesje lub zezwól na kontynuowanie. Ustaw limity dla użytkowników i adresów IP oraz stron błędów. Zalecamy zaimplementowanie pojedynczego wylogowania (SLO), które bezpiecznie przerywa sesje, co zmniejsza ryzyko nieautoryzowanego dostępu.
Wdrażanie ustawień
Wybierz Wdróż, aby zatwierdzić ustawienia i utworzyć obiekty BIG-IP i APM w celu zabezpieczenia hybrydowego dostępu do aplikacji. Aplikacja jest wyświetlana jako zasób docelowy w dostępie warunkowym. W celu zwiększenia bezpieczeństwa należy zablokować bezpośredni dostęp do aplikacji, wymuszając w ten sposób ścieżkę za pośrednictwem big-IP.
Dowiedz się więcej: Ochrona tożsamości i dostęp warunkowy dla usługi Azure AD B2C
Testowanie przepływu logowania i rejestracji
- Jako użytkownik przejdź do zewnętrznego adresu URL aplikacji.
- Zostanie wyświetlona strona logowania OAuth klienta BIG-IP.
- Zaloguj się przy użyciu udzielenia kodu autoryzacji. Aby usunąć ten krok, zobacz sekcję Konfiguracje uzupełniające .
- Zarejestruj się i uwierzytelnij dla swojej dzierżawy Azure AD B2C.
Poniższe obrazy to okno dialogowe logowania użytkownika i strona powitalna logowania.
W celu zwiększenia bezpieczeństwa należy zablokować bezpośredni dostęp do aplikacji, wymuszając w ten sposób ścieżkę za pośrednictwem big-IP.
Konfiguracje uzupełniające
Pojedyncze wylogowanie (SLO)
Usługa Azure AD B2C obsługuje wylogowywanie dostawcy tożsamości i aplikacji. Zobacz, Single sign-out (jednokrotne wylogowanie).
Aby osiągnąć cel SLO, włącz funkcję wylogowania aplikacji, aby wywołać punkt końcowy wylogowania usługi Azure AD B2C. Następnie usługa Azure AD B2C przeprowadza ostateczne przekierowanie do BIG-IP. Ta akcja gwarantuje zakończenie sesji APM aplikacji użytkownika.
Alternatywny proces SLO polega na włączeniu nasłuchiwania przez BIG-IP na żądania podczas wybierania przycisku Wyloguj w aplikacjach. Po wykryciu żądania wywołuje punkt końcowy wylogowania usługi Azure AD B2C. Takie podejście uniemożliwia wprowadzanie zmian w aplikacji.
Aby dowiedzieć się więcej o BIG-IP iRules, przejdź na support.f5.com pod adresem K42052145: Konfigurowanie automatycznego zakończenia sesji (wylogowania) na podstawie nazwy pliku wskazywanej przez URI.
Uwaga / Notatka
Niezależnie od podejścia upewnij się, że dzierżawa usługi Azure AD B2C zna punkt końcowy wylogowania APM.
- W portalu przejdź do Zarządzanie>Manifestem.
- Znajdź właściwość
logoutUrl. Odczytuje wartość null. - Dodaj URI po wylogowaniu z APM:
https://<mysite.com>/my.logout.php3
Uwaga / Notatka
<mysite.com> to nazwa FQDN BIG-IP dla aplikacji wykorzystującej nagłówki.
Zoptymalizowany przepływ logowania
Aby ulepszyć środowisko logowania użytkownika, zablokuj zapytanie logowania użytkownika OAuth wyświetlane przed wstępnym uwierzytelnianiem Microsoft.
Przejdź do Dostępu>Konfiguracji z Przewodnikiem.
Po prawej stronie wiersza wybierz ikonę kłódki .
Aplikacja oparta na nagłówkach odblokowuje rygorystyczną konfigurację.
Odblokowanie ścisłej konfiguracji uniemożliwia zmianę za pomocą interfejsu użytkownika kreatora. BIG-IP obiekty są skojarzone z opublikowanym wystąpieniem aplikacji i są otwarte do bezpośredniego zarządzania.
Przejdź do Dostęp>Profile/Zasady>Profile dostępu (Zasady sesji).
Dla obiektu zasad aplikacji w kolumnie Per-Session Zasady wybierz pozycję Edytuj.
Aby usunąć obiekt zasad strony logowania OAuth , wybierz pozycję X.
Po wyświetleniu monitu połącz się z poprzednim węzłem.
W lewym górnym rogu wybierz pozycję Zastosuj zasady dostępu.
Zamknij kartę edytora wizualizacji.
Podczas próby nawiązania połączenia z aplikacją zostanie wyświetlona strona logowania usługi Azure AD B2C.
Uwaga / Notatka
Jeśli ponownie włączysz tryb restrykcyjny i wdrożysz konfigurację, ustawienia dokonane poza interfejsem użytkownika Konfiguracji z Przewodnikiem zostaną nadpisane. Zaimplementuj ten scenariusz, ręcznie tworząc obiekty konfiguracji dla usług produkcyjnych.
Rozwiązywanie problemów
Skorzystaj z poniższych wskazówek dotyczących rozwiązywania problemów, jeśli dostęp do chronionej aplikacji jest blokowany.
Szczegółowość logów
BIG-IP dzienniki zawierają informacje, które pozwalają na izolowanie problemów z uwierzytelnianiem i SSO. Zwiększ poziom szczegółowości dziennika.
- Przejdź do Zasady dostępu>Przegląd>Dzienniki zdarzeń>Ustawienia.
- Wybierz wiersz dla opublikowanej aplikacji, a następnie edytuj>dzienniki systemu dostępu.
- Z listy SSO wybierz Debug.
- Kliknij przycisk OK.
- Przed przejrzeniem dzienników powtórz wystąpienie problemu.
Po zakończeniu przywróć poprzednie ustawienia.
Komunikat o błędzie BIG-IP
Jeśli po uwierzytelnieniu usługi Azure AD B2C zostanie wyświetlony komunikat o błędzie BIG-IP, problem może być związany z logowaniem jednokrotnym z Microsoft Entra ID do BIG-IP.
- Przejdź do pozycji Dostęp>>.
- Uruchom raport z ostatniej godziny
- Przejrzyj dzienniki pod kątem wskazówek.
- Wybierz link Wyświetl zmienne sesji .
- Ustal, czy APM otrzymuje oczekiwane oświadczenia firmy Microsoft Entra.
Brak komunikatu o błędzie BIG-IP
Jeśli nie zostanie wyświetlony żaden komunikat o błędzie BIG-IP, problem może być związany z żądaniem zaplecza lub logowaniem jednokrotnym z BIG-IP do aplikacji.
- Przejdź do Zasady dostępu>Przegląd>Aktywne sesje.
- Wybierz link dla aktywnej sesji.
- Wybierz link Wyświetl zmienne .
- Przeanalizuj, aby zidentyfikować przyczynę źródłową, szczególnie jeśli BIG-IP APM uzyskuje niedokładne atrybuty sesji.
- Użyj logów aplikacji, aby zrozumieć, czy atrybuty zostały otrzymane jako nagłówki.
Znany problem z przewodnikiem konfiguracji w wersji 8
W przypadku korzystania z konfiguracji z przewodnikiem w wersji 8 znany problem generuje następujący błąd po pomyślnym uwierzytelnieniu usługi Azure AD B2C. Problemem może być to, że AGC nie jest ustawione na Auto JWT podczas wdrażania. APM nie może uzyskać kluczy do podpisywania aktualnego tokenu. Inżynieria F5 bada główną przyczynę.
Ten sam dziennik dostępu zawiera szczegółowe informacje.
Ręczne włączanie ustawienia
- Przejdź do Dostępu>Konfiguracji z Przewodnikiem.
- Po prawej stronie wiersza dla aplikacji opartej na nagłówku wybierz kłódkę.
- Przejdź do Dostęp Federacji>>Klient/Serwer Zasobów OAuth>Dostawców.
- Wybierz dostawcę konfiguracji usługi Azure AD B2C.
- Zaznacz pole Automatyczne użycie JWT.
- Wybierz pozycję Odnajdź.
- Wybierz Zapisz.
- Pole Klucz (JWT) zawiera identyfikator klucza certyfikatu podpisywania tokenu (KID) z metadanych identyfikatora URI OpenID.
- W lewym górnym rogu wybierz pozycję Zastosuj zasady dostępu.
- Wybierz i zastosuj.
Aby uzyskać więcej informacji, przejdź do techdocs.f5.com, gdzie znajdziesz wskazówki dotyczące rozwiązywania problemów z klientem OAuth i serwerem zasobów.