Partager via


Tutoriel : configurer F5 BIG-IP Access Policy Manager pour l’authentification unique basée sur l’en-tête

Apprenez à implémenter l’accès hybride sécurisé (SHA) avec l’authentification unique (SSO) pour les applications basées sur l’en-tête en utilisant la configuration avancée F5 BIG-IP. Applications publiées BIG-IP et avantages de configuration Microsoft Entra :

En savoir plus :

Description du scénario

Pour ce scénario, une application héritée utilise les en-têtes d’autorisation HTTP pour contrôler l’accès au contenu protégé. Dans l’idéal, Microsoft Entra ID gère l’accès aux applications. Toutefois, l’héritage ne dispose pas d’un protocole d’authentification moderne. La modernisation nécessite des efforts et du temps, tout en introduisant des coûts et des risques de temps d’arrêt. Au lieu de cela, déployez un BIG-IP entre l’Internet public et l’application interne pour contrôler l’accès entrant sur l’application.

BIG-IP devant l’application permet de superposer le service avec la pré-authentification Microsoft Entra et l’authentification unique basée sur l’en-tête. La configuration améliore la posture de sécurité des applications.

Architecture du scénario

La solution d’accès hybride sécurisé pour ce scénario est constituée des éléments suivants :

  • Application : service publié BIG-IP assurant la protection par SHA Microsoft Entra
  • Microsoft Entra ID : fournisseur d’identité (IdP) SAML (Security Assertion Markup Language) qui vérifie les informations d’identification utilisateur, l’accès conditionnel et l’authentification unique dans BIG-IP
    • Grâce à l’authentification unique, Microsoft Entra ID fournit à BIG-IP les attributs de session requis, y compris des identifiants utilisateur
  • BIG-IP : proxy inverse et fournisseur de services (SP) SAML pour l’application, déléguant l’authentification au fournisseur d’identité SAML avant d’effectuer une authentification unique basée sur l’en-tête auprès de l’application principale

Le diagramme suivant illustre le flux utilisateur avec Microsoft Entra ID, BIG-IP, APM et une application.

Diagramme du flux utilisateur avec Microsoft Entra ID, BIG-IP, APM et une application

  1. L’utilisateur se connecte au point de terminaison du fournisseur de services SAML de l’application (BIG-IP).
  2. La stratégie d’accès APM BIG-IP redirige l’utilisateur vers Microsoft Entra ID (Fournisseur d’identité SAML).
  3. Microsoft Entra pré-authentifie l’utilisateur et applique les stratégies d’accès conditionnel.
  4. L’utilisateur est redirigé vers BIG-IP (SP SAML), et l’authentification unique s’effectue à l’aide du jeton SAML émis.
  5. BIG-IP injecte les attributs de Microsoft Entra en tant qu’en-têtes dans la demande faite à l’application.
  6. L’application autorise la demande et renvoie une charge utile.

Prérequis

Pour le scénario, vous avez besoin des éléments suivants :

  • Un abonnement Azure
  • Un des rôles suivants : Administrateur d’application cloud ou Administrateur d’application
  • Un BIG-IP, ou déployez BIG-IP Virtual Edition (VE) dans Azure
  • L’une des licences F5 BIG-IP suivantes :
    • F5 BIG-IP® Best bundle
    • Licence autonome F5 BIG-IP Access Policy Manager™ (APM)
    • Licence de composant additionnel F5 BIG-IP Access Policy Manager™ (APM) sur une instance de BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM)
    • Essai de 90 jours des fonctionnalités complètes de BIG-IP. Consultez Free Trials.
  • Identités utilisateur synchronisées à partir d’un répertoire local vers Microsoft Entra ID
  • Un certificat SSL pour publier des services sur HTTPS, ou utilisez les certificats par défaut lors des tests
  • Une application basée sur l’en-tête ou une application à en-tête IIS à des fins de test

Méthode de configuration BIG-IP

Les instructions suivantes sont une méthode de configuration avancée, un moyen flexible d’implémenter SHA. Créez manuellement des objets de configuration BIG-IP. Utilisez cette méthode pour les scénarios non inclus dans les modèles de configuration guidée.

Notes

Remplacez les exemples de chaînes ou de valeurs par ceux de votre environnement.

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour implémenter SHA, la première étape consiste à configurer une confiance de fédération SAML entre BIG-IP APM et Microsoft Entra ID. La confiance établit l’intégration pour que BIG-IP transmette la pré-authentification et l’accès conditionnel à Microsoft Entra ID avant d’accorder l’accès au service publié.

Pour plus d’informations, consultez Présentation de l’accès conditionnel.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.

  3. Dans le ruban supérieur, sélectionnez + Nouvelle application.

  4. Dans la galerie, recherchez F5.

  5. Sélectionnez Intégration Microsoft Entra ID de F5 BIG-IP APM.

  6. Entrer le nom d’une application.

  7. Sélectionnez Ajouter/Créer.

  8. Le nom reflète le service.

Configurer Microsoft Entra SSO

  1. Les nouvelles propriétés de l’application F5 s’affichent.

  2. Sélectionnez Gérer>Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Ignorez l’invite pour enregistrer les paramètres d’authentification unique.

  5. Sélectionnez Non, j’enregistrerai plus tard.

  6. Dans Configurer l’authentification unique avec SAML, pour Configuration SAML de base, sélectionne l’icône de crayon.

  7. Remplacez l’URL d’identificateur par l’URL de votre service publié BIG-IP. Par exemple, https://mytravel.contoso.com

  8. Répétez cette opération pour l’URL de réponse et incluez le chemin du point de terminaison SAML APM. Par exemple : https://mytravel.contoso.com/saml/sp/profile/post/acs

    Remarque

    Dans cette configuration, le flux SAML fonctionne en mode IdP : Microsoft Entra ID envoie à l’utilisateur une assertion SAML avant qu’il ne soit redirigé vers le point de terminaison de service BIG-IP pour l’application. BIG-IP APM prend en charge les modes IdP et SP.

  9. Pour URI de déconnexion, entrez le point de terminaison Single Logout (SLO) de BIG-IP APM précédé de l’en-tête de l’hôte du service. L’URI SLO garantit que les sessions BIG-IP APM de l’utilisateur se terminent après la déconnexion de Microsoft Entra ID. Par exemple, https://mytravel.contoso.com/saml/sp/profile/redirect/slr

    Capture d’écran d’entrée de la configuration SAML de base pour l’identificateur, de l’URL de réponse, de l’URL de connexion, etc.

    Remarque

    À compter de Traffic Management Operating System (TMOS) v16, le point de terminaison SLO SAML est /saml/sp/profile/redirect/slo.

  10. Sélectionnez Enregistrer.

  11. Quittez la configuration SAML.

  12. Ignorez l’invite de test de l’authentification unique.

  13. Pour modifier les Attributs utilisateur et revendications > + Ajouter une nouvelle revendication, sélectionnez l’icône de crayon.

  14. Pour Nom, sélectionnez Employeeid.

  15. Pour Attribut source, sélectionnez user.employeeid.

  16. Sélectionnez Enregistrer.

Capture d’écran d’entrée du nom et de l’attribut source, dans la boîte de dialogue Gérer la revendication.

  1. Sélectionnez + Ajouter une revendication de groupe.
  2. Sélectionnez Groupes affectés à l’application>Attribut source>sAMAccountName.

Capture d’écran d’entrée de l’attribut source dans la boîte de dialogue Revendications de groupe.

  1. Sélectionnez Enregistrer pour enregistrer la configuration.
  2. Fermez la vue.
  3. Observez les propriétés de la section Attributs utilisateur et revendications. Microsoft Entra ID envoie à l’utilisateur les propriétés pour l’authentification BIG-IP APM et l’authentification unique à l’application principale.

Capture d’écran des attributs utilisateur et des informations sur les revendications, telles que le nom de famille, l’adresse e-mail, l’identité, etc.

Remarque

Ajoutez d’autres revendications que l’application publiée BIG-IP attend en tant qu’en-têtes. Des revendications plus définies sont émises si elles se trouvent dans Microsoft Entra ID. Définissez des appartenances à un annuaire et des objets utilisateur dans Microsoft Entra ID avant que des revendications puissent être émises. Consultez Configurer des revendications de groupe pour des applications en utilisant Microsoft Entra ID.

  1. Dans la section Certificat de signature SAML, sélectionnez Télécharger.
  2. Le fichier XML de métadonnées de fédération est enregistré sur votre ordinateur.

Les certificats de signature SAML créés par Microsoft Entra ID ont une durée de vie de trois ans.

Autorisation Microsoft Entra

Par défaut, Microsoft Entra ID émet des jetons aux utilisateurs auxquels l’accès à une application a été accordé.

  1. Dans la vue de la configuration de l’application, sélectionnez Utilisateurs et groupes.
  2. Sélectionnez + Ajouter un utilisateur, puis dans Ajouter une affectation, sélectionnez Utilisateurs et groupes.
  3. Dans la boîte de dialogue Utilisateurs et groupes, ajoutez les groupes d’utilisateurs autorisés à accéder à l’application basée sur l’en-tête.
  4. Sélectionnez Sélectionner.
  5. Sélectionnez Attribuer.

Microsoft Entra approbation de fédération SAML est terminée. Ensuite, configurez BIG-IP APM pour publier l’application web, configurée avec des propriétés pour terminer l’approbation de pré-authentification SAML.

Configuration avancée

Utilisez les sections suivantes pour configurer SAML, l’authentification unique d’en-tête, le profil d’accès, etc.

SAML Configuration

Pour effectuer la fédération de l’application publiée avec Microsoft Entra ID, créez le fournisseur de services BIG-IP SAML et les objets de fournisseur d’identité SAML correspondants.

  1. Sélectionnez Access (Accéder)>Federation (Fédération)>SAML Service Provider (Fournisseur de services SAML)>Local SP Services (Services de fournisseur de services locaux)>Create (Créer).

    Capture d’écran de l’option Créer sous l’onglet Fournisseur de services SAML.

  2. Saisissez un Nom.

  3. Entrez l’ID d’entité défini dans Microsoft Entra ID.

    Capture d’écran d’entrée du nom et de l’ID d’entité dans la boîte de dialogue Créer un service SP SAML.

  4. Pour les Paramètres du nom de fournisseur de services, effectuez des sélections si l’ID d’entité ne correspond pas au nom d’hôte de l’URL publiée, ou effectuez des sélections s’il n’est pas au format d’URL standard basé sur le nom d’hôte. Spécifiez le schéma externe et le nom d’hôte de l’application si l’ID d’entité est urn:mytravel:contosoonline.

  5. Faites défiler vers le bas pour sélectionner le nouvel objet SP SAML.

  6. Sélectionnez Associer/dissocier les connecteurs IdP.

    Capture d’écran de l’option Lier/dissocier des connecteurs IdP sous l’onglet Fournisseur de services SAML.

  7. Sélectionnez Créer un connecteur IdP.

  8. Dans la liste déroulante, sélectionnez À partir des métadonnées.

    Capture d’écran de l’option À partir des métadonnées dans le menu déroulant Créer une connexion IdP.

  9. Accédez au fichier XML de métadonnées de fédération que vous avez téléchargé.

  10. Entrez un nom de fournisseur d’identité pour l’objet APM pour le fournisseur d’identité SAML externe. Par exemple, MyTravel_EntraID

Capture d’écran de Sélectionner un fichier et Nom de fournisseur d'identité sous Créer un connecteur SAML IdP.

  1. Sélectionnez Ajouter une ligne.
  2. Sélectionnez le nouveau SAML IdP Connector.
  3. Sélectionnez Mettre à jour.

Capture d’écran de l’option Mettre à jour sous Connecteurs IdP SAML.

  1. Sélectionnez OK.

Capture d’écran des paramètres enregistrés

Configuration de l’authentification unique basée sur l’en-tête

Créez un objet APM SSO.

  1. Sélectionnez Access (Accès)>Profiles/Policies (Profils/Stratégies)>Per-Request Policies (Stratégies par demande)>Create (Créer).

  2. Saisissez un Nom.

  3. Ajoutez au moins une langue acceptée.

  4. Sélectionnez Finished (Terminé).

    Capture d’écran d’entrée du nom et de la langue acceptée.

  5. Pour la nouvelle stratégie par demande, sélectionnez Edit (Modifier).

    Capture d’écran de l’option Modifier dans la colonne Stratégie par demande.

  6. L’éditeur de stratégie visuelle démarre.

  7. Sous Fallback (Secours), sélectionnez le symbole +.

    Capture d’écran de l’option Plus sous Secours.

  8. Sous l’onglet General Purpose (Usage général), sélectionnez HTTP Headers (En-têtes HTTP)>Add Item (Ajouter un élément).

    Capture d’écran de l’option En-têtes HTTP.

  9. Sélectionnez Add new entry (Ajouter une nouvelle entrée).

  10. Créez trois entrées de modification HTTP et En-tête.

  11. Pour Header Name (Nom d’en-tête), entrez upn.

  12. Pour Header Value (Valeur d’en-tête), entrez %{session.saml.last.identity}.

  13. Pour Header Name (Nom d’en-tête), entrez employeeid.

  14. Pour Header Value (Valeur d’en-tête), entrez %{session.saml.last.attr.name.employeeid}.

  15. Pour Header Name (Nom d’en-tête), entrez group_authz.

  16. Pour Header Value (Valeur d’en-tête), entrez %{session.saml.last.attr.name.http://schemas.microsoft.com/ws/2008/06/identity/claims/groups}.

Notes

Les variables de session APM entre accolades respectent la casse. Nous vous recommandons de définir les attributs en minuscules.

Capture d’écran d’entrée d’en-tête, sous Modifier l’en-tête HTTP, sous l’onglet Propriétés.

  1. Sélectionnez Enregistrer.
  2. Fermez l’éditeur de stratégie visuelle.

Capture d’écran de l’éditeur de stratégie visuelle.

Configuration du profil d’accès

Un profil d’accès lie de nombreux éléments APM qui gèrent l’accès aux serveurs virtuels BIG-IP, notamment les stratégies d’accès, la configuration de l’authentification unique et les paramètres de l’interface utilisateur.

  1. Sélectionnez Access (Accès)>Profiles/Policies (Profils/Stratégies)>Access Profiles (Per-Session Policies) (Profils d’accès (stratégies par session))>Create (Créer).

  2. Pour Name (Nom), entrez MyTravel.

  3. Pour Profile Type (Type de profil), sélectionnez All (Tous).

  4. Pour Accepted Language (Langue acceptée), sélectionnez au moins une langue.

  5. Sélectionnez Finished (Terminé).

    Capture d’écran d’entrée du nom, du type de profil et de la langue acceptée.

  6. Pour le profil par session que vous avez créé, sélectionnez Modifier.

    Capture d’écran de l’option Modifier dans la colonne Stratégie par session.

  7. L’éditeur de stratégie visuelle démarre.

  8. Sous Fallback (Secours), sélectionnez le symbole +.

    Capture d’écran de l’option Plus.

  9. Sélectionnez Authentication (Authentification)>SAML Auth (Authentification SAML)>Add Item (Ajouter un élément).

    Capture d’écran de l’option Authentification SAML sous l’onglet Authentification.

  10. Dans la configuration SAML authentication SP (SP d’authentification SAML), dans la liste déroulante AAA Server (Serveur AAA), sélectionnez l’objet SP SAML que vous avez créé.

  11. Sélectionnez Enregistrer.

Capture d’écran de la sélection du serveur AAA.

Mappage d’attributs

Les instructions suivantes sont facultatives. Avec une configuration LogonID_Mapping, la liste des sessions actives BIG-IP a le nom d’utilisateur principal (UPN) de l’utilisateur connecté, et non un numéro de session. Utilisez ces données lors de l’analyse des journaux ou de la résolution des problèmes.

  1. Pour la branche Successful (Réussite) de l’authentification SAML, sélectionnez le symbole +.

    Capture d’écran du symbole Plus sur la branche Réussite de l’authentification SAML.

  2. Dans la fenêtre contextuelle, sélectionnezAssignment (Attribution)>Variable Assign (Attribuer une variable)>Add Item (Ajouter un élément).

    Capture d’écran de l’option Attribuer la variable sous l’onglet Affectation.

  3. Saisissez un nom

  4. Dans la section Variable Assign (Attribuer une variable), sélectionnez Add new entry (Ajouter une nouvelle entrée)>change (modifier). Par exemple, LogonID_Mapping.

    Capture d’écran des options Ajouter une nouvelle entrée et modifier

  5. Pour Custom Variable (Variable personnalisée), définissez session.saml.last.identity.

  6. Pour Session Variable (Variable de session), définissez session.logon.last.username.

  7. Sélectionnez Finished.

  8. Sélectionnez Enregistrer.

  9. Dans la branche Successful (Réussite) de la stratégie d'accès, sélectionnez le terminal Deny (Refuser).

  10. Sélectionnez Autoriser.

  11. Sélectionnez Enregistrer.

  12. Sélectionnez Apply Access Policy (Appliquer la stratégie d’accès).

  13. Fermez l’éditeur de stratégie visuelle.

Configuration de pool principal

Pour permettre à BIG-IP de transférer correctement le trafic client, créez un objet de nœud APM représentant le serveur principal hébergeant votre application. Placez le nœud dans un pool APM.

  1. Sélectionnez Local Traffic (Trafic local) > Pools > Pool List (Liste de pools) > Create (Créer).

  2. Pour un objet de pool de serveurs, entrez un Name (Nom. Par exemple, MyApps_VMs.

    Capture d’écran de l’option Appliquer la stratégie d’accès.

  3. Ajoutez un objet membre de pool.

  4. Pour Node Name (Nom du nœud), entrez un nom pour le serveur hébergeant l’application web principale.

  5. Pour Address (Adresse), entrez l’adresse IP du serveur hébergeant l’application.

  6. Pour Service Port (Port de service), entrez le port HTTP/S sur lequel l’application écoute.

  7. Sélectionnez Ajouter.

    Capture d’écran d’entrée du nom du nœud, de l’adresse, du port de service et de l’option Ajouter.

    Notes

    Pour en savoir plus, accédez au site my.f5.com et consultez l’article K13397 : vue d’ensemble de la mise en forme des requêtes de moniteur d’intégrité HTTP pour le système DNS BIG-IP.

Configuration du serveur virtuel

Un serveur virtuel est un objet de plan de données BIG-IP représenté par une adresse IP virtuelle écoutant les requêtes des clients adressées à l’application. Le trafic reçu est traité et évalué par rapport au profil d’accès APM associé au serveur virtuel. Le trafic est dirigé conformément à la stratégie.

  1. Sélectionnez Local Traffic (Trafic local)>Virtual Servers (Serveurs virtuels)>Virtual Server List (Liste de serveurs virtuels)>Create (Créer).

  2. Entrez un nom de serveur virtuel.

  3. Pour Destination Address/Mask (Adresse/Masque de destination), sélectionnez Host (Hôte).

  4. Entrez une adresse IP IPv4 ou IPv6 inutilisée à affecter à BIG-IP pour recevoir le trafic client.

  5. Pour Service Port (Port de service), sélectionnez Port, 443 et HTTPS.

    Capture d’écran d’entrée du nom, du masque d’adresse de destination et du port de service.

  6. Pour HTTP Profile (Client) (Profil HTTP (client)), sélectionnez http.

  7. Pour SSL Profile (Client) (Profil SSL (client)), sélectionnez le profil SSL client que vous avez créé, ou conservez la valeur par défaut pour les tests.

    Capture d’écran d’entrée du client de profil HTTP et du client de profil SSL.

  8. Pour Source Address Translation (Traduction de l’adresse source), sélectionnez Auto Map (Mappage automatique).

    Capture d’écran d’entrée de la traduction de l’adresse source.

  9. Pour Access Policy (Stratégie d’accès), définissez le profil d’accès créé précédemment. Cette action lie le profil de pré-authentification SAML de Microsoft Entra et la stratégie d’authentification unique des en-têtes au serveur virtuel.

  10. Pour Per-Request Policy (Stratégie par demande), sélectionnez SSO_Headers.

Capture d’écran d’entrée du profil d’accès et de la stratégie de pré-demande.

  1. Sous Default Pool (Pool par défaut), sélectionnez les objets de pool principal que vous avez créés.
  2. Sélectionnez Finished.

Capture d’écran de l’option Default Pool sous Resources.

Gestion des sessions

Utilisez le paramètre de gestion de session BIG-IP pour définir les conditions d’arrêt ou de continuation de session utilisateur. Créez une stratégie avec Access Policy (Stratégie d'accès)>Access Profiles (Profils d’accès). Sélectionnez une application dans la liste.

En ce qui concerne la fonctionnalité SLO, un URI SLO dans Microsoft Entra ID garantit qu’une déconnexion initiée par un fournisseur d’identité à partir du portail MyApps met fin à la session entre le client et BIG-IP APM. Le fichier metadata.xml de métadonnées de fédération d’application importé fournit à APM le point de terminaison de déconnexion Microsoft Entra SAML pour la déconnexion initiée par le fournisseur de services. Par conséquent, activez APM pour savoir quand un utilisateur se déconnecte.

S’il n’existe pas de portail web BIG-IP, l’utilisateur ne peut pas demander à APM de se déconnecter. Si l’utilisateur se déconnecte de l’application, BIG-IP n’en a pas connaissance. La session d’application peut être rétablie via l’authentification unique. Par conséquent, la déconnexion initiée par le fournisseur de services doit être soigneusement prise en compte.

Pour vous assurer que les sessions se terminent en toute sécurité, ajoutez une fonction SLO au bouton Déconnexion de votre application. Activez-le pour rediriger votre client vers le point de terminaison de déconnexion Microsoft Entra SAML. Pour le point de terminaison de déconnexion SAML de votre locataire, accédez à App Registrations (Inscriptions d’applications)>Endpoints (Points de terminaison).

Si vous ne pouvez pas modifier l’application, faites en sorte que BIG-IP écoute l’appel de déconnexion d’application et déclenche SLO. Pour en savoir plus :

Déployer

  1. Sélectionnez Deploy (Déployer) pour valider les paramètres.
  2. Vérifiez que l’application s’affiche dans votre locataire.
  3. Votre application est publiée et accessible avec SHA avec son URL ou les portails Microsoft.

Test

Effectuez le test suivant en tant qu’utilisateur.

  1. Sélectionnez l’URL externe de l’application ou, dans le portail MyApps, sélectionnez l’icône de l’application.

  2. Authentifiez-vous auprès de Microsoft Entra ID.

  3. Vous êtes redirigé vers le serveur virtuel BIG-IP pour l’application et connecté avec l’authentification unique.

  4. La sortie de l’en-tête injectée s’affiche par l’application basée sur l’en-tête.

    Capture d’écran des variables de serveur, telles que l’UPN, l’ID d’employé et l’autorisation de groupe.

Pour améliorer la sécurité, bloquez l’accès direct à l’application en forçant l’adoption d’un chemin par le biais de BIG-IP.

Dépannage

Utilisez les conseils suivants pour la résolution des problèmes.

Verbosité du journal

Les journaux BIG-IP disposent d’informations permettant d’isoler les problèmes d’authentification et d’authentification unique. Augmentez le niveau de verbosité du journal :

  1. Accédez à Access Policy (Stratégie d’accès)>Overview (Vue d’ensemble)>Event Logs (Journaux des événements).
  2. Sélectionnez Paramètres.
  3. Sélectionnez la ligne de votre application publiée.
  4. Sélectionnez Modifier>Journaux du système d’accès.
  5. Dans la liste de l’authentification unique, sélectionnez Debug (Déboguer).
  6. Sélectionnez OK.
  7. Reproduisez le problème.
  8. Vérifiez les journaux.
  9. Lorsque vous avez terminé, rétablissez les paramètres.

Message d’erreur BIG-IP

Si une erreur BIG-IP apparaît après la redirection, le problème peut être lié à l'authentification unique de Microsoft Entra ID vers BIG-IP.

  1. Accédez à Access Policy (Stratégie d'accès)>Overview (Vue d’ensemble).
  2. Sélectionnez Access reports (Accéder aux rapports).
  3. Exécutez le rapport pour la dernière heure.
  4. Passez en revue les journaux à la recherche d’éventuels indices.
  5. Pour votre session, sélectionnez le lien View session variables (Afficher les variables de session).
  6. Vérifiez que l’APM reçoit les revendications attendues de Microsoft Entra ID.

Aucun message d’erreur BIG-IP

Si vous ne voyez pas de page d’erreur BIG-IP, le problème est probablement davantage lié à l’authentification unique entre BIG-IP et l’application principale.

  1. Accédez à Access Policy (Stratégie d'accès)>Overview (Vue d’ensemble).
  2. Sélectionnez Active Sessions (Sessions actives).
  3. Sélectionnez le lien correspondant à votre session active.
  4. Sélectionnez le lien View Variables (Afficher les variables) pour déterminer les problèmes d’authentification unique.
  5. Vérifiez que BIG-IP APM échoue ou réussit pour obtenir les identificateurs d’utilisateur et de domaine corrects.

En savoir plus :

Ressources