フォームベースの SSO 用に F5 BIG-IP Access Policy Manager を構成する

  • [アーティクル]

F5 BIG-IP Access Policy Manager (APM) と Microsoft Entra ID を構成して、フォームベースのアプリケーションへの安全なハイブリッド アクセス (SHA) を可能にする方法について説明します。 Microsoft Entra シングル サインオン (SSO) 用の BIG-IP 公開サービスには、次のような利点があります。

詳細情報:

シナリオの説明

このシナリオでは、フォームベース認証 (FBA) 用に構成された内部レガシ アプリケーションがあります。 レガシには最新の認証プロトコルがないため、Microsoft Entra ID でアプリケーション アクセスを管理するのが理想的です。 最新化には時間と労力がかかり、ダウンタイムのリスクが生じます。 代わりに、パブリック インターネットと内部アプリケーションの間に BIG-IP をデプロイします。 この構成により、アプリケーションへの受信アクセスが制限されます。

アプリケーションの前に BIG-IP を配置することにより、Microsoft Entra の事前認証とヘッダーベース SSO でサービスをオーバーレイできます。 このオーバーレイにより、アプリケーションのセキュリティ体制が向上します。

シナリオのアーキテクチャ

SHA ソリューションには、次のコンポーネントがあります。

  • アプリケーション - SHA で保護された BIG-IP 公開サービス。
    • アプリケーションではユーザー資格情報を検証する
    • 任意のディレクトリやオープンソースなどを使用する
  • Microsoft Entra ID - ユーザーの資格情報、条件付きアクセス、BIG-IP に対する SSO を検証する Security Assertion Markup Language (SAML) ID プロバイダー (IdP)。
    • SSO では、ユーザー識別子を含む属性が Microsoft Entra ID から BIG-IP に提供されます
  • BIG-IP - アプリケーションへのリバース プロキシおよび SAML サービス プロバイダー (SP)。
    • SAML IdP に認証を委任する BIG-IP では、バックエンド アプリケーションに対するヘッダーベースの SSO を実行します。
    • SSO では、他のフォーム ベースの認証アプリケーションに対して、キャッシュされたユーザー資格情報が使用されます

SHA では、SP と IdP によって開始されるフローがサポートされます。 次の図は、SP によって開始されるフローを示しています。

SP (Service Provider)-Initiated フローの図。

  1. ユーザーがアプリケーション エンドポイント (BIG-IP) に接続します。
  2. BIG-IP APM アクセス ポリシーにより、ユーザーが Microsoft Entra ID (SAML IdP) にリダイレクトされます。
  3. Microsoft Entra がユーザーを事前認証し、強制的な条件付きアクセス ポリシーを適用します。
  4. ユーザーが BIG-IP (SAML SP) にリダイレクトされ、発行された SAML トークンを使用して SSO が実行されます。
  5. BIG-IP は、ユーザーにアプリケーション パスワードの入力を求め、キャッシュに格納します。
  6. BIG-IP はアプリケーションに要求を送信し、サインオン フォームを受信します。
  7. APM スクリプトによってユーザー名とパスワードが入力され、フォームが送信されます。
  8. Web サーバーによってアプリケーション ペイロードが提供され、クライアントに送信されます。

前提条件

次のコンポーネントが必要です。

  • Azure サブスクリプション
  • 次のいずれかのロール: クラウド アプリケーション管理者、アプリケーション管理者
  • BIG-IP、または Azure に BIG-IP Virtual Edition (VE) をデプロイします
  • 次のいずれかの F5 BIG-IP ライセンス:
    • F5 BIG-IP® Best バンドル
    • F5 BIG-IP Access Policy Manager™ (APM) スタンドアロン ライセンス
    • BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM) に対する F5 BIG-IP Access Policy Manager™ (APM) アドオン ライセンス
    • 90 日間の BIG-IP 全機能試用版。 無料試用版に関するページを参照してください。
  • オンプレミスのディレクトリから Microsoft Entra ID に同期されたユーザー ID
  • HTTPS でサービスを公開するための SSL 証明書。または、テスト中は既定の証明書を使用します
  • フォーム ベースの認証アプリケーション、またはテスト用にインターネット インフォメーション サービス (IIS) フォーム ベース認証 (FBA) アプリを設定する

BIG-IP の構成

この記事の構成は、柔軟な SHA 実装: BIG-IP 構成オブジェクトの手動作成です。 この方法は、ガイド付き構成テンプレートで対応できないシナリオに使用します。

注意

サンプルの文字列または値は、実際の環境のものに置き換えてください。

Microsoft Entra ID に F5 BIG-IP を登録する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

BIG-IP 登録は、エンティティ間の SSO の最初の手順です。 F5 BIG-IP ギャラリー テンプレートから作成するアプリは証明書利用者であり、BIG-IP で公開されているアプリケーションの SAML SP を表します。

  1. Microsoft Entra 管理センタークラウド アプリケーション管理者 以上の権限でサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
  3. [すべてのアプリケーション] ウィンドウで、[新しいアプリケーション] を選択します。
  4. [Microsoft Entra ギャラリーを参照する] ウィンドウが開きます。
  5. クラウド プラットフォーム、オンプレミス アプリケーション、おすすめのアプリケーション用のタイルが表示されます。 [おすすめのアプリケーション] アイコンは、フェデレーション SSO とプロビジョニングのサポートを示しています。
  6. Azure ギャラリーで「F5」を検索します。
  7. [F5 BIG-IP APM Microsoft Entra ID 統合] を選びます。
  8. アプリケーションのインスタンスを認識するために新しいアプリケーションで使用される [名前] を入力します。
  9. [追加] を選択します。
  10. [作成] を選択します

F5 BIG-IP への SSO を有効にする

BIG-IP APM から要求された SAML トークンを実行するように BIG-IP の登録を構成します。

  1. 左側のメニューの [管理] セクションで、[シングル サインオン] を選択します。
  2. [シングル サインオン] ペインが表示されます。
  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。
  4. [いいえ、後で保存します] を選択します。
  5. [SAML によるシングル サインオンのセットアップ] ペインで、ペンのアイコンを選択します。
  6. [識別子] では、値を BIG-IP 公開アプリケーションの URL に置き換えます。
  7. [応答 URL] では、値を置き換えますが、アプリケーションの SAML SP エンドポイントのパスはそのままにします。 この構成により、SAML フローは IdP-Initiated モードで動作します。
  8. Microsoft Entra ID によって SAML アサーションが発行され、ユーザーが BIG-IP エンドポイントにリダイレクトされます。
  9. SP-Initiated モードでは、[サインオン URL] にアプリケーションの URL を入力します。
  10. [ログアウト URL] には、サービス ホスト ヘッダーが前についた BIG-IP APM シングル ログアウト (SLO) エンドポイントを入力します。
  11. この結果、BIG-IP APM ユーザー セッションは、Microsoft Entra ID からユーザーがサインアウトすると終了します。
  12. [保存] を選択します。
  13. [SAML 構成] ペインを閉じます。
  14. SSO テスト プロンプトをスキップします。
  15. [ユーザー属性とクレーム] セクションのプロパティをメモします。 Microsoft Entra ID によって BIG-IP APM 認証とバックエンド アプリケーションへの SSO のためのプロパティが発行されます。
  16. [SAML 署名証明書] ペインで [ダウンロード] を選択します。
  17. フェデレーション メタデータ XML ファイルがコンピューターに保存されます。

注意

Traffic Management Operating System (TMOS) v16 以降、SAML SLO エンドポイントは /saml/sp/profile/redirect/slo です。

SAML 構成の URL のスクリーンショット。

注意

Microsoft Entra SAML 署名証明書の有効期間は 3 年です。

詳細情報については、「チュートリアル: フェデレーション シングル サインオンのための証明書の管理」を参照してください。

ユーザーとグループの割り当て

Microsoft Entra ID により、アプリケーションへのアクセスが許可されているユーザーにトークンが発行されます。 特定のユーザーとグループにアプリケーションへのアクセスを付与するには、次の手順に従います。

  1. [F5 BIG-IP アプリケーションの概要] ペインで、[ユーザーとグループの割り当て] を選択します。
  2. [+ ユーザーまたはグループの追加] を選択します。
  3. 目的のユーザーとグループを選択します。
  4. 割り当てを選びます。

BIG-IP の高度な構成

次の手順を使用して BIG-IP を構成します。

SAML サービス プロバイダーの設定を構成する

SAML SP の設定は、APM がレガシ アプリケーションを SAML 事前認証でオーバーレイするために使用する SAML SP プロパティを定義します。 それらを構成するには、次の手順に従います。

  1. [アクセス]>[フェデレーション]>[SAML サービス プロバイダー] を選択します。

  2. [ローカル SP サービス] を選択します。

  3. [作成] を選択します

    [SAML サービス プロバイダー] タブの [作成] オプションのスクリーンショット。

  4. [新しい SAML SP サービスの作成][名前][エンティティ ID] に、定義された名前とエンティティ ID を入力します。

    [新しい SAML SP サービスの作成] の [名前] と [エンティティ ID] フィールドを示すスクリーンショット。

    注意

    エンティティ ID が公開 URL のホスト名部分と一致しない場合は、[SP Name Settings](SP 名の設定) の値が必要です。 または、エンティティ ID が通常のホスト名ベースの URL 形式でない場合は、値が必要です。

  5. エンティティ ID が urn:myvacation:contosoonline の場合は、アプリケーションの外部スキームとホスト名を入力します。

外部 IdP コネクタを構成する

SAML IdP コネクタは、BIG-IP APM が SAML IdP として Microsoft Entra ID を信頼するための設定を定義します。 これらの設定によって、SAML サービス プロバイダーが SAML IdP に接続されます。これにより、APM と Microsoft Entra ID の間にフェデレーションの信頼が確立されます。

コネクタを構成するには、次の手順に従います。

  1. 新しい SAML サービス プロバイダー オブジェクトを選択します。

  2. [IdP コネクタのバインドまたはバインド解除] を選択します。

    [SAML サービス プロバイダー] タブの [IdP コネクタのバインドまたはバインド解除] オプションを示すスクリーンショット。

  3. [新しい IdP コネクタの作成] リストで、[メタデータから] を選択します。

    [新しい IdP コネクタの作成] ドロップダウン リストの [メタデータから] オプションを示すスクリーンショット。

  4. [新しい SAML IdP コネクタの作成] ペインで、ダウンロードしたフェデレーション メタデータ XML ファイルを参照します。

  5. 外部 SAML IdP を表す APM オブジェクトの [ID プロバイダー名] を入力します。 たとえば、MyVacation_EntraID です。

    [新しい SAML IdP コネクタの作成] の [ファイルの選択] と [ID プロバイダー名] フィールドを示すスクリーンショット。

  6. [新しい行の追加] を選択します。

  7. 新しい SAML IdP コネクタを選択します。

  8. [更新] を選択します。

    [更新] オプションのスクリーンショット。

  9. [OK] を選択します。

    [この SP を使用する SAML IdP の編集] ダイアログのスクリーンショット。

フォームベースの SSO を構成する

バックエンド アプリケーションへの FBA SSO を実行するための APM SSO オブジェクトを作成します。

Client-Initiated モードまたは BIG-IP-Initiated モードで FBA SSO を実行します。 どちらの方法でも、ユーザー名とパスワードのタグに資格情報を挿入することで、ユーザー サインオンがエミュレートされます。 フォームが送信されます。 ユーザーは、FBA アプリケーションにアクセスするためのパスワードを指定します。 パスワードはキャッシュされ、他の FBA アプリケーションに再使用されます。

  1. [アクセス]>[シングル サインオン] を選択します。

  2. [フォームベース] を選択します。

  3. [作成] を選択します

  4. [名前] には、わかりやすい名前を入力します。 たとえば、Contoso\FBA\sso など。

  5. [SSO テンプレートの使用] には、[なし] を選択します。

  6. [Username Source](ユーザー名のソース) には、パスワード コレクション フォームを事前入力するためのユーザー名のソースを入力します。 既定の session.sso.token.last.username は、サインインしているユーザーの Microsoft Entra ユーザー プリンシパル名 (UPN) が含まれているため、適切に機能します。

  7. [パスワード ソース] では、BIG-IP がユーザー パスワードをキャッシュするために使う APM 変数の既定値 session.sso.token.last.password のままにします。

    [新しい SSO 構成] の [名前] と [SSO テンプレートの使用] オプションを示すスクリーンショット。

  8. [開始 URI] に、FBA アプリケーションのログオン URI を入力します。 要求 URI がこの URI 値と一致すると、APM のフォームベース認証で SSO が実行されます。

  9. [フォーム アクション] は、空白のままにします。 この結果、元の要求 URL が SSO に使用されます。

  10. [ユーザー名のフォーム パラメーター] には、サインイン フォームのユーザー名フィールド要素を入力します。 ブラウザー開発ツールを使用して、要素を特定します。

  11. [パスワードのフォーム パラメーター] に、サインイン フォームのパスワード フィールド要素を入力します。 ブラウザー開発ツールを使用して、要素を特定します。

[開始 URI]、[ユーザー名のフォーム パラメーター]、[パスワードのフォーム パラメーター] フィールドのスクリーンショット。

ユーザー名フィールドとパスワード フィールドのコールアウトを含むサインイン ページのスクリーンショット。

詳細については、techdocs.f5.com にアクセスして、手動チャプター: シングル サインオン方法に関する記事を参照してください。

アクセス プロファイルを構成する

アクセス プロファイルは、アクセス ポリシー、SSO 構成、UI 設定など、BIG-IP 仮想サーバーへのアクセスを管理する APM 要素をバインドします。

  1. [アクセス]>[プロファイル / ポリシー] を選択します。

  2. [アクセス プロファイル (セッションごとのポリシー)] を選択します。

  3. [作成] を選択します

  4. [名前] を入力します。

  5. [プロファイルの種類] では、[すべて] を選択します。

  6. [SSO 構成] では、作成した FBA SSO 構成オブジェクトを選択します。

  7. [受け入れ可能な言語] では、少なくとも 1 つの言語を選択します。

    [セッション ポリシーごとのアクセス プロファイル]、[新しいプロファイル] のオプションと選択を示すスクリーンショット。

  8. [セッションごとのポリシー] 列で、プロファイルに対して [編集] を選択します。

  9. APM ビジュアル ポリシー エディターが起動します。

    [セッションごとのポリシー] 列の [編集] オプションを示すスクリーンショット。

  10. [フォールバック] の下で + 記号を選択します。

APM ビジュアル ポリシー エディターの、フォールバックの下のプラス記号オプションを示すスクリーンショット。

  1. ポップアップで [認証] を選択します。
  2. [SAML 認証] を選択します。
  3. [項目の追加] を選択します。

SAML 認証オプションのスクリーンショット。

  1. [SAML 認証 SP] で、[名前][Microsoft Entra auth] に変更します。
  2. [AAA サーバー] ドロップダウンで、作成した SAML サービス プロバイダー オブジェクトを入力します。

Microsoft Entra 認証サーバーの設定を示すスクリーンショット。

  1. [成功] ブランチで + 記号を選択します。
  2. ポップアップで [認証] を選択します。
  3. [ログオン ページ] を選択します。
  4. [項目の追加] を選択します。

[ログオン] タブの [ログオン ページ] オプションを示すスクリーンショット。

  1. [ユーザー名] では、[読み取り専用] 列で、[はい] を選びます。

[プロパティ] タブの username 行の [はい] オプションを示すスクリーンショット。

  1. サインイン ページのフォールバックで + 記号を選択します。 このアクションにより、SSO 資格情報マッピング オブジェクトが追加されます。

  2. ポップアップで、[割り当て] タブを選択します。

  3. [SSO 資格情報のマッピング] を選択します。

  4. [項目の追加] を選択します。

    [割り当て] タブの [SSO 資格情報のマッピング] オプションを示すスクリーンショット。

  5. [変数の割り当て: SSO 資格情報のマッピング] では、既定の設定をそのままにします。

  6. [保存] を選択します。

    [プロパティ] タブの [保存] オプションを示すスクリーンショット。

  7. 上部の [拒否] ボックスで、リンクを選択します。

  8. [成功] ブランチが [許可] に変わります。

  9. [保存] を選択します。

(省略可能) 属性マッピングを構成する

LogonID_Mapping 構成を追加できます。 この結果、BIG-IP アクティブ セッション一覧には、セッション番号ではなく、サインインしているユーザーの UPN が含まれます。 この情報は、ログの分析やトラブルシューティングに使用します。

  1. SAML 認証の [成功] ブランチでは、+ 記号を選択します。

  2. ポップアップで、[割り当て] を選択します。

  3. [変数の割り当て] を選択します。

  4. [項目の追加] を選択します。

    [割り当て] タブの [変数の割り当て] オプションのスクリーンショット。

  5. [プロパティ] タブで、[名前] を入力します。 たとえば、「LogonID_Mapping」と入力します。

  6. [変数の割り当て] で、[新しいエントリの追加] を選択します。

  7. [変更] を選択します。

    [新しいエントリの追加] オプションと [変更] オプションを示すスクリーンショット。

  8. [カスタム変数] には、session.logon.last.username を使用します。

  9. セッション変数には、session.saml.last.identity を使用します。

  10. [完了] を選択します。

  11. [保存] を選択します。

  12. [アクセス ポリシーの適用] を選択します。

  13. ビジュアル ポリシー エディターを閉じます。

[アクセス ポリシーの適用] でのアクセス ポリシーを示すスクリーンショット。

バックエンド プールを構成する

BIG-IP でクライアント トラフィックを正しく転送できるようにするには、アプリケーションをホストするバックエンド サーバーを表す BIG-IP ノード オブジェクトを作成します。 その後、そのノードを BIG-IP サーバー プールに配置します。

  1. [ローカル トラフィック]>[プール] を選択します。

  2. [プール一覧] を選択します。

  3. [作成] を選択します

  4. サーバー プール オブジェクトの [名前] を入力します。 たとえば、MyApps_VMs など。

    [新しいプール] の [名前] フィールドを示すスクリーンショット。

  5. [ノード名] には、サーバーの表示名を入力します。 このサーバーは、バックエンド Web アプリケーションをホストします。

  6. [アドレス] には、アプリケーション サーバーのホスト IP アドレスを入力します。

  7. [サービス ポート] には、アプリケーションがリッスンする HTTP/S ポートを入力します。

    [ノード名]、[アドレス]、[サービス ポート] フィールドと [追加] オプションを示すスクリーンショット。

    注意

    正常性モニターには、この記事で説明されていない構成が必要です。 support.f5.com にアクセスして、K13397: BIG-IP DNS システム用の HTTP 正常性モニター要求の書式設定の概要に関するページを参照してください。

仮想サーバーを構成する

仮想サーバーは、仮想 IP アドレスで表される BIG-IP データ プレーン オブジェクトです。 サーバーは、アプリケーションへのクライアント要求をリッスンします。 受信したトラフィックはすべて処理され、仮想サーバーに関連付けられている APM アクセス プロファイルに照らして評価されます。 トラフィックはポリシーに従って送信されます。

仮想サーバーを構成するには、次の手順に従います。

  1. [ローカル トラフィック]>[仮想サーバー] を選択します。

  2. [仮想サーバーのリスト] を選択します。

  3. [作成] を選択します

  4. [名前] を入力します。

  5. [宛先アドレス/マスク] では [ホスト] を選択し、IPv4 または IPv6 アドレスを入力します。 このアドレスは、公開されたバックエンド アプリケーションのクライアント トラフィックを受信します。

  6. [サービス ポート] では [ポート] を選択し、「443」と入力し、[HTTPS] を選択します。

    [名前]、[宛先アドレス]、[サービス ポート] の各フィールドとオプションを示すスクリーンショット。

  7. [HTTP プロファイル (クライアント)] では、[http] を選択します。

  8. [SSL プロファイル (クライアント)] では、作成したプロファイルを選択するか、テスト用の既定値のままにします。 このオプションを使用すると、トランスポート層セキュリティ (TLS) 用の仮想サーバーで HTTPS 経由でサービスを公開できます。

    HTTP プロファイル クライアントと SSL プロファイル クライアントのオプションのスクリーンショット。

  9. [ソース アドレス変換] では、[自動マップ] を選択します。

    [ソース アドレス変換] の [自動マップ] 選択を示すスクリーンショット。

  10. [アクセス ポリシー][アクセス プロファイル] ボックスに、作成した名前を入力します。 このアクションにより、Microsoft Entra SAML 事前認証プロファイルと FBA SSO ポリシーが仮想サーバーにバインドされます。

[アクセス ポリシー] の [アクセス プロファイル] エントリのスクリーンショット。

  1. [リソース][既定のプール] で、作成したバックエンド プール オブジェクトを選択します。
  2. [完了] を選択します。

[リソース] の [既定のプール] オプションを示すスクリーンショット。

セッション管理の設定を構成する

BIG-IP セッション管理設定では、セッションの終了と継続の条件を定義します。 この領域にポリシーを作成します。

  1. [アクセス ポリシー] に移動します。
  2. [アクセス プロファイル] を選択します。
  3. [アクセス プロファイル] を選択します。
  4. 一覧から、アプリケーションを選択します。

Microsoft Entra ID にシングル ログアウト URI 値を定義した場合は、MyApps からの IdP-Initiated サインアウトにより、クライアントと BIG-IP APM のセッションが終了します。 インポートしたアプリケーションのフェデレーション メタデータ XML ファイルは、SP-Initiated サインアウトのための Microsoft Entra SAML エンドポイントを APM に提供します。APM がユーザー サインアウトに正しく応答することを確認してください。

BIG-IP Web ポータルがない場合、ユーザーはサインアウトするよう APM に指示できません。ユーザーがアプリケーションからサインアウトした場合、BIG-IP では認識されません。 アプリケーション セッションは、SSO を使用して復帰できます。 SP-Initiated サインアウトでは、セッションが安全に終了することを確認してください。

アプリケーションのサインアウト ボタンに SLO 関数を追加できます。 この機能により、クライアントは Microsoft Entra SAML のサインアウト エンドポイントにリダイレクトされます。 SAML サインアウト エンドポイントを見つけるには、[アプリの登録]>[エンドポイント] に移動します。

アプリを変更できない場合は、BIG-IP でアプリのサインアウト呼び出しをリッスンして SLO をトリガーしてください。

詳細情報:

公開アプリケーション

アプリケーションは公開され、アプリの URL または Microsoft ポータルにより SHA を使用してアクセスできます。

アプリケーションは、条件付きアクセスのターゲット リソースとして表示されます。 詳細については、「条件付きアクセス ポリシーの構築」を参照してください。

セキュリティを強化するには、BIG-IP 経由のパスを適用して、アプリケーションへの直接アクセスをブロックします。

テスト

  1. ユーザーは、アプリケーションの外部 URL に接続するか、My Apps でアプリケーション アイコンを選びます。

  2. Microsoft Entra ID に対してユーザー認証を行います。

  3. ユーザーは、アプリケーションの BIG-IP エンドポイントにリダイレクトされます。

  4. パスワードのプロンプトが表示されます。

  5. APM により、Microsoft Entra ID からの UPN でユーザー名が入力されます。 ユーザー名は、セッションの一貫性のために読み取り専用です。 このフィールドは、必要に応じて非表示にしてください。

  6. 情報が送信されます。

  7. ユーザーがアプリケーションにサインインします。

    ウェルカム ページのスクリーンショット。

トラブルシューティング

トラブルシューティングを行うときは、次の情報を考慮してください。

  • BIG-IP は、URI でサインイン フォームを解析するときに FBA SSO を実行します

    • BIG-IP は、構成からユーザー名とパスワードの要素タグをシークします

  • 要素タグが一貫していることを確認してください。そうでなければ、SSO が失敗します

  • 動的に生成される複雑なフォームでは、サインイン フォームを理解するために開発ツールの分析が必要になる場合があります

  • クライアントによる開始は、複数のフォームを含むサインイン ページの場合に適しています

    • フォーム名を選択し、JavaScript フォーム ハンドラー ロジックをカスタマイズできます

  • FBA SSO の方法では、フォーム操作を非表示にしてユーザー エクスペリエンスとセキュリティを最適化します。

    • 資格情報が挿入されているかどうかを検証できます
    • Client によって開始されるモードでは、SSO プロファイルでフォームの自動送信を無効にします
    • 開発ツールを使用して、サインイン ページの表示を妨げる 2 つのスタイル プロパティを無効にします

    [プロパティ] ページのスクリーンショット。

ログの詳細度を上げる

BIG-IP ログには、認証と SSO の問題を分離するための情報が含まれています。 次の手順を実行して、ログの詳細レベルを上げます。

  1. [アクセス ポリシー]>[概要] に移動します。
  2. [イベント ログ] を選びます。
  3. 設定を選択します。
  4. 発行されたアプリケーションの行を選択します。
  5. [編集]を選択します。
  6. [システム ログへのアクセス] を選びます。
  7. SSO の一覧で [デバッグ] を選択します。
  8. [OK] を選択します。
  9. 問題を再現します。
  10. ログを確認します。

設定を元に戻します。そうしないと、過剰なデータが提供されます。

BIG-IP のエラー メッセージ

Microsoft Entra の事前認証後に BIG-IP のエラーが表示される場合は、問題が Microsoft Entra ID と BIG-IP の SSO に関連している可能性があります。

  1. [アクセス]>[概要] に移動します。
  2. [レポートへのアクセス] を選びます。
  3. 直近 1 時間のレポートを実行します。
  4. ログに手がかりがないか確認します。

セッションの [セッション変数の表示] リンクを使用して、予想される Microsoft Entra クレームを APM が受け取っているかどうかを確認します。

BIG-IP エラー メッセージなし

BIG-IP エラー メッセージが表示されない場合、問題はバックエンド要求、または BIG-IP からアプリケーションへの SSO に関連している可能性があります。

  1. [アクセス ポリシー]>[概要] を選択します。
  2. [アクティブなセッション] を選びます。
  3. アクティブなセッション リンクを選びます。

この場所の [変数の表示] リンクを使用すると、特に APM で正しいユーザー識別子とパスワードを取得できない場合に、根本原因を特定するのに役立ちます。

詳細については、techdocs.f5.com で手動チャプター: セッション変数に関する記事を参照してください。

リソース