Tutorial: Konfigurieren von BIG-IP Easy Button von F5 für Single Sign-On bei SAP ERP
In diesem Artikel erfahren Sie, wie Sie mithilfe der geführten Konfiguration für F5 BIG-IP Easy Button 16.1 SAP Enterprise Resource Planning (ERP) mit Microsoft Entra ID sichern. Die Integration einer BIG-IP in Microsoft Entra ID hat viele Vorteile:
- Zero Trust-Framework zum Ermöglichen von Remotearbeit
- Was ist bedingter Zugriff?
- Vollständiges Single Sign-On (SSO) zwischen in Microsoft Entra ID und BIG-IP veröffentlichten Diensten
- Verwalten von Identitäten und Zugriff über das Microsoft Entra Admin Center
Weitere Informationen:
Beschreibung des Szenarios
Dieses Szenario umfasst die klassische SAP ERP-Anwendung mit Kerberos-Authentifizierung zum Verwalten des Zugriffs auf geschützte Inhalte.
Legacyanwendungen fehlt es an modernen Protokollen zur Unterstützung der Integration in Microsoft Entra ID. Die Modernisierung ist kostspielig, erfordert Planung und birgt das Risiko potenzieller Ausfallzeiten. Verwenden Sie stattdessen einen F5 BIG-IP Application Delivery Controller (ADC), um die Lücke zwischen der Legacyanwendung und der modernen ID-Steuerungsebene durch einen Protokollübergang zu schließen.
Ein der Anwendung vorgeschaltetes BIG-IP ermöglicht es, den Dienst mit Microsoft Entra-Vorab-Authentifizierung und headerbasiertem SSO zu überlagern. Diese Konfiguration verbessert den gesamten Sicherheitsstatus der Anwendung.
Szenarioarchitektur
Die Lösung für sicheren Hybridzugriff (Secure Hybrid Access, SHA) besteht aus den folgenden Komponenten:
- SAP ERP-Anwendung: Ein veröffentlichter BIG-IP-Dienst, der durch SHA von Microsoft Entra geschützt werden soll
- Microsoft Entra ID: SAML-Identitätsanbieter (Security Assertion Markup Language), der Benutzeranmeldeinformationen, bedingten Zugriff und SAML-basiertes Single Sign-On für den BIG-IP-Dienst überprüft
- BIG-IP: Reverseproxy und SAML-Dienstanbieter (SP) für die Anwendung. BIG-IP delegiert die Authentifizierung an den SAML-IdP und führt dann headerbasiertes Single Sign-On beim SAP-Dienst aus.
SHA unterstützt vom SP und IdP eingeleitete Flows. Die folgende Abbildung veranschaulicht den SP-initiierten Flow.
- Der Benutzer stellt eine Verbindung mit dem Anwendungsendpunkt (BIG-IP) her.
- Die Zugriffsrichtlinie für den BIG-IP Access Policy Manager (APM) leitet Benutzer an Microsoft Entra ID (SAML IdP) um.
- Microsoft Entra führt eine Vorauthentifizierung der Benutzer durch und wendet erzwungene Richtlinien für bedingten Zugriff an.
- Benutzer*innen werden zu BIG-IP (SAML-Dienstanbieter) umgeleitet, und das Single Sign-On erfolgt unter Verwendung des ausgestellten SAML-Tokens.
- BIG-IP fordert ein Kerberos-Ticket vom Schlüsselverteilungscenter (KDC) an.
- BIG-IP sendet die Anforderung mit dem Kerberos-Ticket für das Single Sign-On an die Back-End-Anwendung.
- Die Anwendung autorisiert die Anforderung und gibt Nutzdaten zurück.
Voraussetzungen
- Ein Microsoft Entra ID Free-Konto oder höher
- Wenn Sie kein Konto haben, können Sie ein kostenloses Azure-Konto erhalten.
- Eine BIG-IP-Instanz oder BIG-IP Virtual Edition (VE) in Azure
- Weitere Informationen finden Sie unter Bereitstellen einer F5 BIG-IP Virtual Edition-VM in Azure.
- Eine der folgenden F5 BIG-IP-Lizenzen:
- F5 BIG-IP® Best Bundle
- Eigenständige Lizenz für F5 BIG-IP APM
- F5 BIG-IP APM-Zusatzlizenz für einem vorhandenen BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
- 90 Tage gültige Testlizenz für sämtliche Features von BIG-IP
- Benutzeridentitäten, die von einem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert werden oder in Microsoft Entra ID erstellt und an das lokale Verzeichnis weitergegeben werden
- Eine der folgenden Rollen: Cloudanwendungsadministrator oder Anwendungsadministrator
- Ein SSL-Webzertifikat zur Veröffentlichung von Diensten über HTTPS oder BIG-IP-Standardzertifikate für Testzwecke
- Weitere Informationen finden Sie unter Bereitstellen einer F5 BIG-IP Virtual Edition-VM in Azure.
- Eine vorhandene SAP ERP-Umgebung, die für die Kerberos-Authentifizierung konfiguriert ist
BIG-IP-Konfigurationsmethoden
In diesem Tutorial wird die Verwendung der Guided Configuration 16.1 mit Easy Button-Vorlage behandelt. Mit Easy Button müssen Administrator*innen nicht mehr zwischen Microsoft Entra ID und BIG-IP wechseln, um Dienste für SHA zu aktivieren. Bereitstellung und Richtlinienverwaltung erfolgen durch den APM-Assistenten für Guided Configuration und Microsoft Graph. Diese Integration stellt sicher, dass Anwendungen Identitätsverbund, Single Sign-On (SSO) und bedingten Zugriff unterstützen.
Hinweis
Ersetzen Sie die Beispielzeichenfolgen oder -werte in dieser Anleitung durch die Zeichenfolgen oder Werte für Ihre Umgebung.
Registrieren von „Easy Button“
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Bevor ein Client oder Dienst auf Microsoft Graph zugreift, muss die Microsoft Identity Platform diesem vertrauen.
Siehe Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform.
Der Easy Button-Client muss auch in Microsoft Entra ID registriert werden, der dann eine Vertrauensstellung zwischen den SAML-SP-Instanzen einer veröffentlichten BIG-IP-Anwendung und Microsoft Entra ID als SAML-IdP einrichtet.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identität>Anwendungen>App-Registrierungen>Neue Registrierung.
Geben Sie einen Namen für die neue Anwendung ein.
Geben Sie unter Nur Konten in diesem Organisationsverzeichnis an, wer die Anwendung verwenden darf.
Wählen Sie Registrieren aus.
Navigieren Sie zu API-Berechtigungen.
Autorisieren Sie die folgenden Microsoft Graph-Anwendungsberechtigungen:
- Application.Read.All
- Application.ReadWrite.All
- Application.ReadWrite.OwnedBy
- Directory.Read.All
- Group.Read.All
- IdentityRiskyUser.Read.All
- Policy.Read.All
- Policy.ReadWrite.ApplicationConfiguration
- Policy.ReadWrite.ConditionalAccess
- User.Read.All
Erteilen Sie die Administratoreinwilligung für Ihre Organisation.
Generieren Sie unter Zertifikate & Geheimnisse einen neuen geheimen Clientschlüssel.
Notieren Sie sich das Geheimnis.
Wechseln Sie zu Übersicht, und notieren Sie sich die Client-ID und die Mandanten-ID.
Konfigurieren von Easy Button
- Leiten Sie in APM die geführte Konfiguration ein.
- Starten Sie die Easy Button-Vorlage.
- Melden Sie sich über einen Browser bei der F5 BIG-IP-Verwaltungskonsole an.
- Navigieren Sie zu Zugriff > Geführte Konfiguration > Microsoft-Integration.
- Wählen Sie Microsoft Entra-Anwendungsproxy aus.
- Überprüfen Sie die Konfigurationsliste.
- Wählen Sie Weiter aus.
- Befolgen Sie die Konfigurationsschritte unter Konfiguration der Microsoft Entra-Anwendung.
Konfigurationseigenschaften
Auf der Registerkarte Konfigurationseigenschaften werden die Dienstkontoeigenschaften angezeigt, und es werden eine BIG-IP-Anwendungskonfiguration und ein SSO-Objekt erstellt. Im Abschnitt Details zum Azure-Dienstkonto wird der Client, den Sie im Microsoft Entra-Mandanten registriert haben, als Anwendung dargestellt. Verwenden Sie die Einstellungen für den BIG-IP-OAuth-Client, um jeweils einen SAML-Dienstanbieter mit SSO-Eigenschaften im Mandanten zu registrieren. Easy Button führt diese Aktion für von BIG-IP veröffentlichte und für SHA aktivierte Dienste aus.
Hinweis
Einige Einstellungen sind global und können erneut verwendet werden, um weitere Anwendungen zu veröffentlichen.
- Geben Sie einen Konfigurationsnamen ein. Easy Button-Konfigurationen werden durch eindeutige Namen unterschieden.
- Wählen Sie für Single Sign-On (SSO) und HTTP-Header die Option Ein aus.
- Geben Sie unter Mandanten-ID, Client-ID und Geheimer Clientschlüssel die Mandanten-ID, Client-ID und den geheimen Clientschlüssel ein, die Sie sich bei Mandantenregistrierung notiert haben.
- Wählen Sie Verbindung testen aus. Diese Aktion bestätigt, dass BIG-IP eine Verbindung mit Ihrem Mandanten herstellt.
- Wählen Sie Weiter aus.
Dienstanbieter
Verwenden Sie die Einstellungen für den Dienstanbieter, um SAML-SP-Instanzeigenschaften der durch SHA gesicherten Anwendung zu definieren.
Geben Sie unter Host den öffentlichen vollqualifizierten Domänennamen (FQDN) der zu sichernden Anwendung ein.
Geben Sie für Entitäts-ID den Bezeichner ein, den Microsoft Entra ID zum Identifizieren des SAML-Dienstanbieters verwendet, der ein Token anfordert.
(Optional) Nutzen Sie die Sicherheitseinstellungen um anzugeben, ob ausgestellte SAML-Assertionen von Microsoft Entra ID verschlüsselt werden sollen. Assertionen, die zwischen Microsoft Entra ID und BIG-IP APM verschlüsselt werden, erhöhen die Sicherheit, dass Inhaltstoken nicht abgefangen oder Daten kompromittiert werden.
Wählen Sie in der Liste Privater Schlüssel zum Entschlüsseln von Assertionen die Option Neu erstellen aus.
Wählen Sie OK aus.
Das Dialogfeld SSL-Zertifikat und Schlüssel importieren wird auf einer neuen Registerkarte geöffnet.
Wählen Sie PKCS 12 (IIS) aus, um das Zertifikat und den privaten Schlüssel zu importieren.
Schließen Sie die Browserregisterkarte, um zur Hauptregisterkarte zurückzukehren.
Aktivieren Sie das Kontrollkästchen für Verschlüsselte Assertion aktivieren.
Wenn Sie die Verschlüsselung aktiviert haben, wählen Sie in der Liste Privater Schlüssel zum Entschlüsseln von Assertionen den privaten Schlüssel für das Zertifikat aus, mit dem BIG-IP APM Microsoft Entra-Assertionen entschlüsselt.
Bei aktivierter Verschlüsselung wählen Sie in der Liste Zertifikat zum Entschlüsseln von Assertionen das Zertifikat aus, das BIG-IP in Microsoft Entra ID hochlädt, um die ausgestellten SAML-Assertionen zu verschlüsseln.
Microsoft Entra ID
Easy Button umfasst Anwendungsvorlagen für Oracle PeopleSoft, Oracle E-Business Suite, Oracle JD Edwards, SAP ERP sowie eine allgemeine SHA-Vorlage.
Um die Azure-Konfiguration zu starten, wählen Sie SAP ERP Central Component > Hinzufügen aus.
Hinweis
Sie können die Informationen in den folgenden Abschnitten verwenden, wenn Sie manuell eine neue BIG-IP-SAML-Anwendung in einem Microsoft Entra-Mandanten konfigurieren.
Azure-Konfiguration
Geben Sie unter Anzeigename die Anwendung ein, die BIG-IP im Microsoft Entra-Mandanten erstellt. Der Name wird auf dem Symbol im Portal Meine Apps angezeigt.
(Optional) Lassen Sie Anmelde-URL (optional) leer.
Wählen Sie neben Signaturschlüssel die Schaltfläche Aktualisieren aus.
Wählen Sie Signaturzertifikat aus. Mit dieser Aktion wird das von Ihnen eingegebene Zertifikat gesucht.
Geben Sie unter Passphrase für Signaturschlüssel das Zertifikatkennwort ein.
(Optional) Aktivieren Sie Signaturoption. Durch diese Option wird sichergestellt, dass BIG-IP von Microsoft Entra ID signierte Token und Ansprüche akzeptiert
Benutzer und Benutzergruppen werden vom Ihrem Microsoft Entra ID-Mandanten dynamisch abgefragt. Mithilfe von Gruppen kann der Anwendungszugriff autorisiert werden.
Fügen Sie zum Testen einzelne Benutzer*innen oder eine Gruppe hinzu. Andernfalls wird der Zugriff verweigert.
Benutzerattribute und Ansprüche
Wenn sich ein Benutzer in Microsoft Entra ID authentifiziert, wird ein SAML-Token mit Standardansprüchen und -attributen zum Identifizieren des Benutzers ausgestellt. Auf der Registerkarte Benutzerattribute und Ansprüche werden die Standardansprüche angezeigt, die für die neue Anwendung ausgestellt werden sollen. Verwenden Sie diese, um weitere Ansprüche zu konfigurieren.
Dieses Tutorial basiert auf dem Domänensuffix „.com“, das intern und extern verwendet wird. Es sind keine anderen Attribute erforderlich, um eine funktionale SSO-Implementierung für die eingeschränkte Kerberos-Delegierung (KCD) zu erreichen.
Sie können weitere Microsoft Entra-Attribute einschließen. Für dieses Tutorial erfordert SAP ERP die Standardattribute.
Weitere Informationen: Tutorial: Konfigurieren von F5 BIG-IP Access Policy Manager für die Kerberos-Authentifizierung. Hier finden Sie weitere Informationen zu mehreren Domänen und zur Anmeldung des Benutzers mit alternativen Suffixen.
Zusätzliche Benutzerattribute
Die Registerkarte Weitere Benutzerattribute unterstützt verteilte Systeme, die in anderen Verzeichnissen gespeicherte Attribute für die Sitzungserweiterung erfordern. Attribute aus einer LDAP-Quelle (Lightweight Directory Access Protocol) werden daher als weitere SSO-Header eingefügt, um den rollenbasierten Zugriff, Partner-IDs usw. zu steuern.
Hinweis
Dieses Feature hängt nicht mit Microsoft Entra ID zusammen, sondern es handelt sich dabei um eine andere Attributquelle.
Richtlinie für bedingten Zugriff
Richtlinien für den bedingten Zugriff werden nach der Microsoft Entra-Vorauthentifizierung erzwungen. Diese Aktion steuert den Zugriff basierend auf Gerät, Anwendung, Standort und Risikosignalen.
In der Ansicht Verfügbare Richtlinien werden Richtlinien für den bedingten Zugriff ohne benutzerbasierte Aktionen aufgelistet.
In der Ansicht Ausgewählte Richtlinien werden Richtlinien für Cloud-Apps angezeigt. Auf Mandantenebene erzwungene Richtlinien können Sie nicht abwählen oder in die Liste der verfügbaren Richtlinien verschieben.
So wählen Sie eine Richtlinie für die zu veröffentlichende Anwendung aus:
- Wählen Sie in der Liste Verfügbare Richtlinien die Richtlinie aus.
- Wählen Sie den nach rechts zeigenden Pfeil aus.
- Verschieben Sie die Richtlinie in Ausgewählte Richtlinien.
Bei den ausgewählten Richtlinien ist entweder die Option Einschließen oder Ausschließen aktiviert. Wenn beide Optionen aktiviert sind, wird die ausgewählte Richtlinie nicht durchgesetzt.
Hinweis
Die Richtlinienliste wird bei der ersten Auswahl der Registerkarte angezeigt. Mit der Schaltfläche Aktualisieren können Sie Ihren Mandanten abfragen. Die Schaltfläche zum Aktualisieren wird angezeigt, wenn die Anwendung bereitgestellt wird.
Eigenschaften eines virtuellen Servers
Ein virtueller Server ist ein BIG-IP-Datenebenenobjekt, das durch eine virtuelle IP-Adresse dargestellt wird. Der Server lauscht auf Clientanforderungen an die Anwendung. Der empfangene Datenverkehr wird verarbeitet und anhand des APM-Profils ausgewertet, das dem virtuellen Server zugeordnet ist. Der Datenverkehr wird anschließend entsprechend der Richtlinie weitergeleitet.
- Geben Sie unter Zieladresse eine Zieladresse ein. Verwenden Sie die IPv4/IPv6-Adresse, über die BIG-IP Clientdatenverkehr empfängt. Es gibt einen entsprechenden Eintrag auf dem Domänennamenserver (DNS), über den Clients die externe URL der veröffentlichten BIG-IP-Anwendung in diese IP-Adresse auflösen können. Sie können zu Testzwecken den localhost-DNS des Computers verwenden.
- Geben Sie für Dienstport den Wert 443 ein.
- Wählen Sie HTTPS aus.
- Aktivieren Sie das Kontrollkästchen Umleitungsport aktivieren.
- Geben Sie unter Umleitungsport eine Zahl ein, und wählen Sie HTTP aus. Diese Option leitet eingehenden HTTP-Clientdatenverkehr an HTTPS um.
- Wählen Sie unter Client SSL-Profil das von Ihnen erstellte Profil aus. Sie können zum Testen auch den Standardwert übernehmen. Mit dem Client-SSL-Profil wird der virtuelle Server für HTTPS aktiviert, sodass Clientverbindungen über Transport Layer Security (TLS) verschlüsselt werden.
Pooleigenschaften
Auf der Registerkarte Anwendungspool werden die Dienste hinter einer BIG-IP-Instanz aufgeführt, dargestellt als Pool mit Anwendungsservern.
Wählen Sie unter Pool auswählen die Option Neu erstellen aus, oder wählen Sie einen Pool aus.
Wählen Sie als Lastenausgleichsmethode Roundrobin aus.
Wählen Sie unter Poolserver einen Serverknoten aus, oder geben Sie eine IP-Adresse und einen Port für den Back-End-Knoten an, der die headerbasierte Anwendung hostet.
Single Sign-On und HTTP-Header
Ermöglichen Sie mit Single Sign-On den Zugriff auf BIG-IP-Dienste, ohne Anmeldeinformationen eingeben zu müssen. Der Easy Button-Assistent unterstützt Kerberos-, OAuth-Bearer- und HTTP-Autorisierungsheader für SSO. Für die folgenden Schritte benötigen Sie das Kerberos-Delegierungskonto, das Sie erstellt haben.
Wählen Sie unter Single Sign-On & HTTP-Header für Erweiterte Einstellungen die Option Ein aus.
Wählen Sie unter Ausgewählter SSO-Typ die Option Kerberos aus.
Geben Sie unter Quelle des Benutzernamens eine Sitzungsvariable als Quelle der Benutzer-ID ein.
session.saml.last.identity
enthält den Microsoft Entra-Anspruch mit der angemeldeten Benutzer-ID.Die Option Quelle des Benutzerbereichs muss angegeben werden, wenn sich die Benutzerdomäne vom Kerberos-Bereich von BIG-IP unterscheidet. Auf diese Weise enthält die APM-Sitzungsvariable die angemeldete Benutzerdomäne. Beispiel:
session.saml.last.attr.name.domain
.Geben Sie für KDC eine Domänencontroller-IP oder einen vollqualifizierten Domänenname ein, wenn DNS konfiguriert ist.
Aktivieren Sie das Kontrollkästchen UPN-Unterstützung. APM verwendet den Benutzerprinzipalnamen (UPN) für das Kerberos-Ticketing.
Geben Sie unter SPN-Muster den Wert HTTP/%h ein. Hierdurch wird APM angewiesen, den Hostheader der Clientanforderung zu verwenden und den Dienstprinzipalnamen (SPN) zu erstellen, für den ein Kerberos-Token angefordert wird.
Deaktivieren Sie unter Autorisierung senden die Option für Anwendungen, die die Authentifizierung aushandeln. Zum Beispiel Tomcat.
Sitzungsverwaltung
Mit den BIG-IP-Einstellungen für die Sitzungsverwaltung können Sie Bedingungen für die Beendigung und Fortsetzung von Benutzersitzungen definieren. Zu den Bedingungen gehören Grenzwerte für Benutzer und IP-Adressen sowie entsprechende Benutzerinformationen.
Weitere Informationen finden Sie auf my.f5.com unter K18390492: Security | BIG-IP APM operations guide.
Der Betriebsleitfaden behandelt nicht das einmalige Abmelden (Single Log-Out, SLO). Dieses Feature stellt sicher, dass Sitzungen zwischen dem IdP, BIG-IP und dem Benutzer-Agent beendet werden, wenn sich Benutzer abmelden. Easy Button stellt eine SAML-Anwendung im Microsoft Entra-Mandanten bereit. Die Abmelde-URL wird mit dem APM-SLO-Endpunkt aufgefüllt. Eine vom IdP initiierte Abmeldung im Meine Apps-Portal beendet die Sitzung zwischen BIG-IP und dem Client.
Die SAML-Verbundmetadaten für die veröffentlichte Anwendung werden während der Bereitstellung aus dem Mandanten importiert. Dies stellt APM den SAML-Abmeldeendpunkt für Microsoft Entra ID bereit und hilft beim vom SP initiierten Abmelden, die Sitzung zwischen dem Client und Microsoft Entra ID zu beenden.
Bereitstellung
- Klicken Sie auf Bereitstellen.
- Vergewissern Sie sich, dass die Anwendung in der Liste Unternehmensanwendungen des Mandanten aufgeführt ist.
- Stellen Sie in einem Browser eine Verbindung mit der externen URL der Anwendung her, oder wählen Sie in Meine Apps das Symbol der Anwendung aus.
- Authentifizieren Sie sich bei Microsoft Entra ID.
- Sie werden zum virtuellen BIG-IP-Server umgeleitet und über SSO angemeldet.
Zum Erhöhen der Sicherheit können Sie den direkten Zugriff auf die Anwendung blockieren und einen Pfad über BIG-IP erzwingen.
Erweiterte Bereitstellung
In einigen Fällen sind die Vorlagen für die geführte Konfiguration nicht flexibel genug.
Weitere Informationen: Tutorial: Konfigurieren von F5 BIG-IP Access Policy Manager für die Kerberos-Authentifizierung.
Deaktivieren des strikten Verwaltungsmodus
Alternativ können Sie in BIG-IP den strikten Verwaltungsmodus der geführten Konfiguration deaktivieren. Sie können Ihre Konfigurationen manuell ändern, auch wenn die meisten Konfigurationen mit Assistentenvorlagen automatisiert sind.
Navigieren Sie zu Zugriff > Geführte Konfiguration.
Wählen Sie am rechten Ende der Zeile Ihrer Anwendungskonfiguration das Schlosssymbol aus.
BIG-IP-Objekte, die der veröffentlichten Anwendung zugeordnet sind, werden für die Verwaltung entsperrt. Änderungen über die Benutzeroberfläche des Assistenten sind nicht mehr möglich.
Hinweis
Um den strikten Verwaltungsmodus erneut zu aktivieren und eine Konfiguration bereitzustellen, welche alle Einstellungen überschreibt, die außerhalb der Benutzeroberfläche für die geführte Konfiguration vorgenommen wurden, empfehlen wir für Produktionsdienste die erweiterte Konfigurationsmethode.
Problembehandlung
Wenn Sie nicht auf die SHA-gesicherte Anwendung zugreifen können, lesen Sie die folgenden Anleitungen zur Problembehandlung.
- Kerberos ist zeitabhängig. Stellen Sie sicher, dass für Server und Clients die korrekte Zeit festgelegt ist und dass sie nach Möglichkeit mit einer zuverlässigen Zeitquelle synchronisiert werden.
- Stellen Sie sicher, dass der Domänencontroller und der Hostname der Web-App in DNS aufgelöst werden können.
- Vergewissern Sie sich, dass keine doppelten SPNs in der Umgebung vorhanden sind.
- Verwenden Sie auf einem Domänencomputer in der Befehlszeile die folgende Abfrage:
setspn -q HTTP/my_target_SPN
- Verwenden Sie auf einem Domänencomputer in der Befehlszeile die folgende Abfrage:
Informationen zum Überprüfen der KCD-Konfiguration einer Anwendung der Internetinformationsdienste (IIS) finden Sie unter Problembehandlung von Konfigurationen der eingeschränkten Kerberos-Delegierung für den Anwendungsproxy.
Auf techdocs.f5.com finden Sie Informationen zur Kerberos-SSO-Methode.
Protokollanalyse
Ausführlichkeit des Protokolls
Mithilfe der BIG-IP-Protokollierung können Sie Probleme mit der Konnektivität, SSO, Richtlinienverstößen oder falsch konfigurierten Variablenzuordnungen isolieren. Um mit der Problembehandlung zu beginnen, erhöhen Sie die Ausführlichkeit der Protokolle.
- Navigieren Sie zu Zugriffsrichtlinie > Übersicht.
- Wählen Sie Ereignisprotokolle aus.
- Wählen Sie Einstellungen aus.
- Wählen Sie die Zeile für Ihre veröffentlichte Anwendung aus.
- Wählen Sie Bearbeiten aus.
- Wählen Sie Auf Systemprotokolle zugreifen aus.
- Wählen Sie in der Liste „SSO“ die Option Debuggen aus.
- Wählen Sie OK aus.
- Reproduzieren Sie Ihr Problem.
- Untersuchen Sie die Protokolle.
Wenn die Überprüfung abgeschlossen ist, setzen Sie die Ausführlichkeit des Protokolls wieder zurück, da dieser Modus übermäßig viele Daten generiert.
BIG-IP-Fehlermeldung
Wenn nach der Microsoft Entra-Vorauthentifizierung eine BIG-IP-Fehlermeldung angezeigt wird, kann sich das Problem auf Microsoft Entra-Single Sign-On von ID-zu-BIG-IP beziehen.
- Navigieren Sie zu Zugriff > Übersicht.
- Wählen Sie Auf Berichte zugreifen aus.
- Führen Sie den Bericht für die letzte Stunde aus.
- Untersuchen Sie die Protokolle.
Verwenden Sie den Link Sitzungsvariablen anzeigen für Ihre Sitzung, um zu ermitteln, ob APM die erwarteten Microsoft Entra-Ansprüche empfängt.
Keine BIG-IP-Fehlermeldung
Wenn keine BIG-IP-Fehlermeldung angezeigt wird, hängt das Problem möglicherweise mit der Back-End-Anforderung oder dem Single Sign-On von BIG-IP bei der Anwendung zusammen.
- Navigieren Sie zu Zugriffsrichtlinie > Übersicht.
- Wählen Sie Aktive Sitzungen aus.
- Wählen Sie den Link für die aktuelle Sitzung aus.
- Verwenden Sie den Link Variablen anzeigen, um KCD-Probleme zu identifizieren, insbesondere ob BIG-IP-APM keine richtigen Benutzer- und Domänenbezeichner aus Sitzungsvariablen abruft.
Weitere Informationen:
- Auf devcentral.f5.com finden Sie Beispiele zum Zuweisen von APM-Variablen.
- Auf techdocs.f5.com finden Sie weitere Informationen zu Sitzungsvariablen.