Tutoriel : configurer BIG-IP Easy Button F5 pour l’authentification unique à Oracle PeopleSoft

Dans cet article, apprenez à sécuriser Oracle PeopleSoft avec Microsoft Entra ID, avec la configuration guidée 16.1 de BIG-IP Easy Button F5.

Intégrez BIG-IP à Microsoft Entra ID pour de nombreux avantages :

En savoir plus :

Description du scénario

Pour ce tutoriel, nous utilisons une application PeopleSoft utilisant des en-têtes d’autorisation HTTP pour gérer l’accès au contenu protégé.

Les applications héritées ne disposent pas de protocoles modernes pour prendre en charge l’intégration de Microsoft Entra. Une modernisation est coûteuse, nécessite une planification et présente un risque potentiel de temps d’arrêt. Au lieu de cela, utilisez un contrôleur de remise d’application (ADC) F5 BIG-IP pour combler le manque entre les applications héritées et le contrôle d’ID moderne, avec la transition de protocole.

Avec un BIG-IP devant l’application, vous pouvez superposer le service avec la pré-authentification Microsoft Entra et l’authentification unique basée sur l’en-tête. Cette action améliore l’état de la sécurité de l’application.

Remarque

Obtenez un accès à distance à ce type d’application avec le proxy d’application Microsoft Entra.
Voir Accès à distance aux applications sur site via le proxy d'application Microsoft Entra.

Architecture du scénario

La solution d’accès hybride sécurisé (SHA) pour ce tutoriel comprend les éléments suivants :

  • Application PeopleSoft : service publié par BIG-IP protégé par l’accès hybride sécurisé (SHA) Microsoft Entra
  • Microsoft Entra ID – Fournisseur d'identité (IdP) Security Assertion Markup Language (SAML) qui vérifie les informations d’identification d’utilisateur, l'accès conditionnel et l'authentification unique basée sur SAML sur le BIG-IP
    • Avec l’authentification unique, Microsoft Entra ID fournit des attributs de session à BIG-IP
  • BIG-IP : proxy inverse et fournisseur de services SAML (SP) pour l’application. Il délègue l’authentification au fournisseur d’identité SAML, puis effectue une authentification unique basée sur l’en-tête auprès du service PeopleSoft.

Pour ce scénario, SHA prend en charge les flux lancés par le fournisseur de services et le fournisseur d’identité. Le diagramme suivant montre le flux lancé par le fournisseur de services.

Diagramme d’un accès hybride sécurisé avec le flux initié par le fournisseur de services.

  1. L’utilisateur se connecte au point de terminaison d’application (BIG-IP).
  2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
  3. Microsoft Entra pré-authentifie l’utilisateur et applique les stratégies d’accès conditionnel.
  4. L’utilisateur est redirigé vers BIG-IP (SP SAML) et l’authentification unique s’effectue avec le jeton SAML émis.
  5. BIG-IP injecte les attributs Microsoft Entra sous forme d’en-têtes dans la demande envoyée à l’application.
  6. L’application autorise la demande et renvoie une charge utile.

Prérequis

Configuration de BIG-IP

Ce tutoriel utilise la Configuration guidée version 16.1 avec un modèle Easy Button.

Avec l’Easy Button, les administrateurs n’ont pas à faire des allers-retours entre Microsoft Entra ID et BIG-IP afin d’activer les services pour SHA. L’Assistant Configuration guidée APM et Microsoft Graph gèrent le déploiement et la gestion des stratégies. L’intégration garantit que les applications prennent en charge la fédération d’identités, l’authentification unique et l’accès conditionnel.

Remarque

Remplacez les exemples de chaînes ou de valeurs de ce didacticiel par ceux de votre environnement.

Inscrire l’Easy Button

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Avant qu’un client ou un service accède à Microsoft Graph, la plateforme d’identités Microsoft doit l’approuver.

En savoir plus : Démarrage rapide : Inscrire une application avec la plateforme d’identités Microsoft

Les instructions suivantes vous aident à créer une inscription d’application client pour autoriser l’accès Easy Button à Graph. Avec ces autorisations, le BIG-IP envoie les configurations pour établir une relation d’approbation entre une instance SAML SP pour une application publiée et Microsoft Entra ID en tant qu’IdP SAML.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité> Applications> Inscriptions d’applications > Nouvelle inscription.

  3. Saisissez le nom d’une application.

  4. Pour Comptes dans cet annuaire organisationnel uniquement, spécifiez qui utilise l’application.

  5. Sélectionnez Inscrire.

  6. Accédez à Autorisations de l’API.

  7. Autorisez les autorisations d’application Microsoft Graph suivantes :

    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All
  8. Accorder le consentement administrateur à votre organisation.

  9. Accédez à Certificats et secrets.

  10. Générez une Clé secrète client et notez-la.

  11. Accédez à Vue d’ensemble, notez l’ID client et l’ID de locataire.

Configurer Easy Button

  1. Lancez la configuration guidée d’APM.
  2. Lancez le modèle Easy Button.
  3. Accédez à Accès > Configuration guidée.
  4. Sélectionnez Microsoft Integration.
  5. Sélectionnez Application Microsoft Entra.
  6. Passez en revue la séquence de configuration.
  7. Sélectionnez Suivant
  8. Suivez la séquence de configuration.

Suivez la séquence de configuration sous Configuration de l’Application Microsoft Entra.

Configuration des propriétés

Utilisez l’onglet Propriétés de configuration pour créer des configurations d’application et des objets SSO. La section Détails du compte de service Azure représente le client que vous avez inscrit dans le client Microsoft Entra en tant qu’application. Utilisez les paramètres du client OAuth BIG-IP pour inscrire un fournisseur de services SAML dans le client, avec des propriétés d’authentification unique. Easy Button effectue cette action pour les services BIG-IP publiés et activés pour SHA.

Remarque

Certains des paramètres suivants sont globaux. Vous pouvez les réutiliser afin de publier d’autres applications.

  1. Saisissez un Nom de configuration. Les noms uniques permettent de distinguer les configurations.
  2. Pour Authentification unique (SSO) et en-têtes HTTP, sélectionnez Activé.
  3. Saisissez l’ID de client, l’ID Client, et la Clé secrète client que vous avez notés.
  4. Vérifiez que BIG-IP se connecte au client.
  5. Sélectionnez Suivant.

Fournisseur de services

Utilisez les paramètres du Fournisseur de services pour définir les propriétés du fournisseur de services SAML pour l’instance APM qui représente l’application sécurisée par SHA.

  1. Pour Hôte, saisissez le nom de domaine complet public de l’application sécurisée.
  2. Pour ID d’entité, saisissez l’identifiant utilisé par Microsoft Entra ID pour identifier le SP SAML demandant un jeton.

Capture d’écran des options et des sélections pour le fournisseur de services.

  1. (Facultatif) Pour les paramètres de sécurité, indiquez que Microsoft Entra ID chiffre les assertions SAML émises. Cette option renforce l’assurance que les jetons de contenu ne sont pas interceptés et que les données ne sont pas compromises.

  2. Dans la liste Clé privée de déchiffrement d’assertion, sélectionnez Créer.

Capture d’écran de Créer nouveau dans la liste Clé privée de déchiffrement d’assertion.

  1. Sélectionnez OK.
  2. La boîte de dialogue Importer un certificat et des clés SSL s’ouvre dans un nouvel onglet.
  3. Pour Type d’importation, sélectionnez PKCS 12 (IIS). Cette option importe votre certificat et votre clé privée.
  4. Fermez l’onglet du navigateur pour revenir à l’onglet principal.

Capture d’écran des options et des sélections pour le certificat SSL et la source clé

  1. Pour Activer l’assertion chiffrée, activez la case.
  2. Si vous avez activé le chiffrement, sélectionnez votre certificat dans la liste Clé privée de déchiffrement d’assertion. Cette clé privée correspond au certificat qu’utilise BIG-IP APM pour déchiffrer les assertions Microsoft Entra.
  3. Si vous avez activé le chiffrement, sélectionnez votre certificat dans la liste Certificat de déchiffrement d’assertion. BIG-IP charge ce certificat dans Microsoft Entra ID pour chiffrer les assertions SAML émises.

Capture d’écran des options et des sélections de paramètres de sécurité.

Microsoft Entra ID

Easy Button fournit des modèles pour Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP et un modèle SHA générique.

  1. Sélectionnez Oracle PeopleSoft.
  2. Sélectionnez Ajouter.

Configuration d’Azure

  1. Saisissez le Nom d’affichage de l’application que BIG-IP crée dans le client. Le nom apparaît sur une icône dans Mes applications.

  2. (Facultatif) Pour URL de connexion, saisissez le nom de domaine complet public de l’application PeopleSoft.

  3. En regard des options Clé de signature et Certificat de signature, sélectionnez actualiser. Cette action localise le certificat que vous avez importé.

  4. Pour Phrase secrète de la clé de signature, saisissez le mot de passe du certificat.

  5. (Facultatif) Pour Option de signature, sélectionnez une option. Cette sélection garantit que BIG-IP accepte les jetons et les revendications signés par Microsoft Entra ID.

Capture d’écran des options de clé de signature, de certificat de signature et de phrase secrète de clé de signature sous le certificat de signature SAML.

  1. Les utilisateurs et les groupes d'utilisateurs sont interrogés dynamiquement à partir du client Microsoft Entra.
  2. Ajoutez un utilisateur ou un groupe pour les tests ; sinon, les accès sont refusés.

Capture d’écran de l’option Ajouter dans la section Utilisateurs et groupe d’utilisateurs.

Attributs utilisateur et revendications

Quand un utilisateur s’authentifie, Microsoft Entra ID émet un jeton SAML avec des revendications et des attributs par défaut qui identifient cet utilisateur. L’onglet Attributs utilisateur et revendications contient les revendications par défaut à émettre pour la nouvelle application. Utilisez-le pour configurer d’autres revendications. Le modèle Easy Button a la revendication d’ID d’employé requise par PeopleSoft.

Capture d’écran des options et des sélections pour Attributs utilisateur et revendications.

Si nécessaire, incluez d’autres attributs Microsoft Entra. L’exemple d’application PeopleSoft nécessite des attributs prédéfinis.

Attributs utilisateur supplémentaires

L’onglet Attributs utilisateur supplémentaires prend en charge les systèmes distribués nécessitant des attributs stockés dans d’autres annuaires pour l’augmentation de la session. Les attributs d’une source LDAP sont injectés en tant qu’en-têtes SSO supplémentaires pour contrôler l’accès en fonction des rôles et des ID de partenaire, entre autres.

Remarque

Cette fonctionnalité n'a aucune corrélation avec Microsoft Entra ID, elle constitue une autre source d'attributs.

Stratégie d’accès conditionnel

Les stratégies d’accès conditionnel sont appliquées après la pré-authentification Microsoft Entra pour contrôler l’accès en fonction de l’appareil, de l’application, de l’emplacement et des signaux de risque. La vue Stratégies disponibles contient les stratégies d’accès conditionnel sans action de l’utilisateur. L’affichage Stratégies sélectionnées répertorie les stratégies qui ciblent des applications cloud. Vous ne pouvez pas désélectionner ni déplacer ces stratégies vers la liste des stratégies disponibles, car elles sont appliquées au niveau du client.

Sélectionnez une stratégie pour l’application.

  1. Dans la liste Stratégies disponibles, sélectionnez une stratégie.
  2. Sélectionnez la flèche droite et déplacez la stratégie vers les Stratégies sélectionnées.

Les stratégies sélectionnées doivent avoir l’option Inclure ou Exclure cochée. Si les deux options sont cochées, la stratégie n’est pas appliquée.

Capture d’écran des stratégies exclues, sous Stratégies sélectionnées, sous l’onglet Stratégie d’accès conditionnel.

Remarque

La liste des stratégies s’affiche une fois, lorsque vous sélectionnez l’onglet. Utilisez Actualiser pour l’Assistant afin d’interroger le client. Cette option apparaît une fois l’application déployée.

Propriétés du serveur virtuel

Un serveur virtuel est un objet de plan de données BIG-IP représenté par une adresse IP virtuelle. Le serveur écoute les requêtes du client adressées à l’application. Le trafic reçu est traité et évalué par rapport au profil APM de serveur virtuel. Le trafic est ensuite dirigé conformément à la stratégie.

  1. Pour Adresse de destination, saisissez l’adresse IPv4 ou IPv6 utilisée par BIG-IP pour recevoir le trafic client. Un enregistrement correspondant apparaît dans DNS, ce qui permet aux clients de résoudre l’URL externe de l’application publiée sur l’adresse IP. Utilisez un DNS localhost d’ordinateur de test pour les tests.
  2. Pour Port de service, saisissez 443, puis sélectionnez HTTPS.
  3. Pour Activer le port de redirection, activez la case.
  4. Pour Port de redirection, saisissez 80, puis sélectionnez HTTP. Cette option redirige le trafic entrant du client HTTP vers HTTPS.
  5. Pour Profil SSL du client, sélectionnez Utiliser l’existant.
  6. Sous Courant, sélectionnez l’option que vous avez créée. En cas de test, conservez la valeur par défaut. Le profil SSL du client permet d’activer le serveur virtuel pour HTTPS afin que les connexions clientes soient chiffrées sur TLS.

Capture d’écran des options et des sélections pour les propriétés du serveur virtuel.

Propriétés du pool

L’onglet Pool d'applications a des services derrière BIG-IP, représentés comme un pool avec des serveurs d’application.

  1. Pour Sélectionner un pool, sélectionnez Créer ou sélectionnez-en un.
  2. Pour Méthode d’équilibrage de charge, sélectionnez Tournoi toutes rondes.
  3. Pour Pool Servers (Serveurs de pool), dans IP Address/Node Name (Adresse IP/nom de nœud), ou saisissez une adresse IP et un port pour les serveurs hébergeant l’application PeopleSoft.

Capture d’écran des options Adresse IP/Nom de nœud et Port sur les propriétés du pool.

Authentification unique et en-têtes HTTP

L’Assistant Easy Button prend en charge Kerberos, OAuth Bearer et les en-têtes d’autorisation HTTP pour l’authentification unique pour les applications publiées. L’application PeopleSoft attend des en-têtes.

  1. Pour En-têtes HTTP, cochez la case.
  2. Pour Opération d’en-tête, sélectionnez remplacer.
  3. Pour Nom de l’en-tête, saisissez PS_SSO_UID.
  4. Pour Valeur de l’en-tête, saisissez %{session.sso.token.last.username}.

Capture d’écran des entrées de valeur Opération d’en-tête, Nom d’en-tête et En-tête sous Authentification unique et en-têtes HTTP.

Remarque

Les variables de session APM entre accolades respectent la casse. Par exemple, si vous saisissez OrclGUID et que le nom de l’attribut est orclguid, le mappage de l’attribut échoue.

Gestion des sessions

Utilisez les paramètres de gestion de session BIG-IP pour définir des conditions d’arrêt ou de continuation des sessions utilisateur. Définissez des limites pour les utilisateurs et les adresses IP, ainsi que des informations utilisateur correspondantes.

Pour en savoir plus, accédez à support.f5.com et consultez K18390492 : Sécurité | Guide des opérations BIG-IP APM

La fonctionnalité Single Log Out (SLO) n’est pas couverte dans ce guide des opérations. Elle garantit que les sessions entre le fournisseur d’identité, BIG-IP et l’agent utilisateur se terminent lorsque les utilisateurs se déconnectent. Lorsqu’Easy Button instancie une application SAML dans votre client Microsoft Entra, il remplit l’URL de déconnexion avec le point de terminaison SLO APM. La déconnexion lancée par le fournisseur d’identité à partir de Mes applications met fin aux sessions BIG-IP et clientes.

Les données de fédération SAML de l’application publiée sont importées à partir du client. Cette action fournit à l'APM le point de terminaison de déconnexion SAML pour Microsoft Entra ID, qui assure la déconnexion initiée par le SP à mettre fin au client et aux sessions Microsoft Entra. L’APM doit savoir quand un utilisateur se déconnecte.

Si le portail webtop BIG-IP accède aux applications publiées, APM traite une déconnexion pour appeler le point de terminaison de déconnexion Microsoft Entra. Si le portail webtop BIG-IP n’est pas utilisé, l’utilisateur ne peut pas demander à APM de se déconnecter. Si l’utilisateur se déconnecte de l’application, BIG-IP n’en a pas connaissance. La déconnexion initiée par le fournisseur de services nécessite un arrêt de session sécurisé. Ajoutez une fonction SLO au bouton de déconnexion de votre application pour rediriger votre client vers le point de terminaison de déconnexion Microsoft Entra SAML ou BIG-IP. L’URL du point de terminaison de déconnexion SAML de votre client dans Inscriptions d’applications > Points de terminaison.

Si vous ne pouvez pas modifier l’application, faites en sorte que BIG-IP écoute l’appel de déconnexion d’application et déclenche SLO. Pour plus d’informations, consultez Single Logout PeopleSoft dans la section suivante.

Déploiement

  1. Sélectionnez Déployer.
  2. Vérifiez l’application dans la liste de clients d’applications d’entreprise.
  3. L’application est publiée et accessible avec SHA.

Configurer PeopleSoft

Utilisez Oracle Access Manager pour la gestion des identités et des accès des applications PeopleSoft.

Pour en savoir plus, consultez le Guide d’intégration d’Oracle Access Manager – Intégration de PeopleSoft sur le site docs.oracle.com

Configurer l’authentification unique Oracle Access Manager

Configurez Oracle Access Manager pour qu’il accepte l’authentification unique à partir de BIG-IP.

  1. Connectez-vous à la console Oracle avec des autorisations d’administrateur.

Capture d’écran de la console Oracle.

  1. Accédez à PeopleTools > Sécurité.
  2. Sélectionnez Profils utilisateur.
  3. Sélectionnez Profils utilisateur.
  4. Créez un profil utilisateur.
  5. Pour Identifiant utilisateur, saisissez OAMPSFT
  6. Pour Rôle d’utilisateur, saisissez Utilisateur PeopleSoft.
  7. Sélectionnez Enregistrer.
  8. Accédez à People Tools>Profil web.
  9. Sélectionnez le profil web.
  10. Sous l’onglet Sécurité, dans Utilisateurs publics, sélectionnez Autoriser l’accès public.
  11. Pour Identifiant utilisateur, saisissez OAMPSFT.
  12. Saisissez le mot de passe.
  13. Quittez la console Peoplesoft.
  14. Démarrez PeopleTools Application Designer.
  15. Cliquez avec le bouton droit sur le champ LDAPAUTH.
  16. Sélectionnez Afficher PeopleCode.

Capture d’écran des options LDAPAUTH sous Application Designer.

  1. La fenêtre de code LDAPAUTH s’ouvre.

  2. Recherchez la fonction OAMSSO_AUTHENTICATION.

  3. Remplacez la valeur &defaultUserId par OAMPSFT.

    Capture d’écran de la valeur d’ID d’utilisateur égal à OAMPSFT sous Fonction.

  4. Enregistrez l’enregistrement.

  5. Accédez à **PeopleTools > Sécurité.

  6. Sélectionnez Objets de sécurité.

  7. Sélectionnez Se connecter à PeopleCode.

  8. Activez OAMSSO_AUTHENTICATION.

PeopleSoft Single Logout

Lorsque vous vous déconnectez de Mes applications, SLO PeopleSoft est lancé, ce qui à son tour appelle le point de terminaison SLO BIG-IP. BIG-IP a besoin d’instructions pour exécuter SLO pour le compte de l’application. Faites en sorte que BIG-IP écoute les demandes de déconnexion de l’utilisateur auprès de PeopleSoft, puis déclenche le SLO.

Ajoutez la prise en charge de SLO pour les utilisateurs PeopleSoft.

  1. Obtenez l’URL de déconnexion du portail PeopleSoft.
  2. Ouvrez le portail avec un navigateur web.
  3. Activez les outils de débogage.
  4. Recherchez l’élément avec l’ID PT_LOGOUT_MENU.
  5. Enregistrez le chemin d’accès de l’URL avec les paramètres de requête. Dans cet exemple : /psp/ps/?cmd=logout.

Capture d’écran montrant l’URL de déconnexion de PeopleSoft.

Créez une iRule BIG-IP pour rediriger les utilisateurs vers le point de terminaison de déconnexion du fournisseur de services SAML : /my.logout.php3.

  1. Accédez à **Trafic local > Liste d’iRules.
  2. Sélectionnez Créer.
  3. Saisissez un nom pour la règle.
  4. Saisissez les lignes de commande suivantes.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] { "/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3" }}}

  1. Sélectionnez Terminé.

Attribuez cette iRule au serveur virtuel BIG-IP.

  1. Accédez à Accès > Configuration guidée.
  2. Sélectionnez le lien configuration de l’application PeopleSoft.

Capture d’écran du lien de configuration de l’application PeopleSoft.

  1. Dans la barre de navigation supérieure, sélectionnez Serveur virtuel.
  2. Pour accéder aux paramètres avancés, sélectionnez *On.

Capture d’écran de l’option Paramètres avancés dans Propriétés du serveur virtuel.

  1. Faites défiler vers le bas.
  2. Sous Courant, ajoutez l’iRule que vous avez créée.

Capture d’écran de l’iRule sous Courant dans Configuration du serveur virtuel.

  1. Sélectionnez Enregistrer.
  2. Sélectionnez Suivant.
  3. Continuez pour configurer les paramètres.

Pour en savoir plus, accédez au site support.f5.com pour consulter :

Page d’accueil PeopleSoft par défaut

Redirigez les requêtes de l’utilisateur depuis la racine (« / ») vers le portail PeopleSoft externe, qui est généralement situé ici : « /psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GBL »

  1. Accédez à Trafic local > Liste d’iRules.
  2. Sélectionnez iRule_PeopleSoft.
  3. Ajoutez les lignes de commande suivantes.

when HTTP_REQUEST {switch -glob -- [HTTP::uri] {"/" {HTTP::redirect "/psc/ps/EXTERNAL/HRMS/c/NUI_FRAMEWORK.PT_LANDINGPAGE.GB"/psp/ps/?cmd=logout" {HTTP::redirect "/my.logout.php3"} } }

  1. Attribuez cette iRule au serveur virtuel BIG-IP.

Confirmer la configuration

  1. Avec un navigateur, accédez à l’URL externe de l’application PeopleSoft ou sélectionnez l’icône de l’application dans Mes Applications.

  2. Authentifiez-vous auprès de Microsoft Entra ID.

  3. Vous êtes redirigé vers le serveur virtuel BIG-IP et connecté avec l’authentification unique.

    Remarque

    Vous pouvez bloquer l’accès direct à l’application en forçant l’adoption d’un chemin d’accès par le biais de BIG-IP.

Déploiement avancé

Parfois les modèles de configuration guidée manquent parfois de flexibilité.

En savoir plus : Tutoriel : Configurer le manager de stratégie d’accès F5 BIG-IP pour l’authentification unique basée sur l’en-tête

Vous pouvez également désactiver le mode de gestion stricte Configuration guidée dans BIG-IP. Vous pouvez modifier manuellement les configurations. Toutefois, la plupart des configurations sont automatisées avec des modèles d’Assistant.

  1. Accédez à Accès > Configuration guidée.
  2. À la fin de la ligne, sélectionnez le cadenas.

Capture d’écran de l’icône de cadenas.

Les modifications effectuées avec l’interface utilisateur de l’Assistant ne pas possibles, mais tous les objets BIG-IP associés à l’instance publiée de l’application sont déverrouillés pour gestion.

Remarque

Si vous réactivez le mode strict et déployez une configuration, les réglages effectués en dehors de l’interface utilisateur Configuration guidée sont remplacés. Nous vous recommandons la configuration avancée pour les services de production.

Dépannage

Utilisez la journalisation BIG-IP pour isoler toutes sortes de problèmes liés à la connectivité, à l’authentification unique, aux violations de stratégies ou aux mappages de variables mal configurés.

Verbosité du journal

  1. Accédez à Stratégie d’accès > Vue d'ensemble.
  2. Sélectionnez Journaux des événements.
  3. Sélectionnez Paramètres.
  4. Sélectionnez la ligne de votre application publiée.
  5. Sélectionnez Modifier.
  6. Sélectionnez Accéder aux journaux système
  7. Dans la liste de l’authentification unique, sélectionnez Déboguer.
  8. Sélectionnez OK.
  9. Reproduisez votre problème.
  10. Inspectez les journaux d'activité.

Lorsque vous avez terminé, rétablissez la fonctionnalité, car le mode commentaires génère beaucoup de données.

Message d’erreur BIG-IP

Si une erreur BIG-IP apparaît après la pré-authentification Microsoft Entra, il est possible que le problème soit lié à Microsoft Entra ID vers l'authentification unique BIG-IP.

  1. Accédez à Accès > Vue d’ensemble.
  2. Sélectionnez Rapports d’accès.
  3. Exécutez le rapport pour la dernière heure.
  4. Passez en revue les journaux à la recherche d’indices.

Utilisez le lien de session Afficher la session pour vérifier qu’APM reçoit les revendications Microsoft Entra attendues.

Aucun message d’erreur BIG-IP

Si aucun message d’erreur BIG-IP n’apparaît, le problème peut être lié à la requête back-end ou à l’authentification unique entre BIG-IP et l’application.

  1. Accédez à Stratégie d’accès > Vue d'ensemble.
  2. Sélectionnez Sessions actives.
  3. Sélectionnez le lien de session active.

Utilisez le lien Afficher les variables pour déterminer les problèmes d’authentification unique, en particulier si APM BIG-IP obtient des attributs incorrects à partir de variables de session.

En savoir plus :