Condividi tramite

Configurare il pulsante Easy Button BIG-IP di F5 per Single Sign-On basato sulle intestazioni con Microsoft Entra ID

Questo articolo illustra come integrare F5 con Microsoft Entra ID. L’integrazione di F5 con Microsoft Entra ID permette di:

  • Controllare in Microsoft Entra ID chi può accedere a F5.
  • Consentire agli utenti di accedere automaticamente a F5 con i loro account Microsoft Entra.
  • Gestire gli account in un'unica posizione centrale.

Nota

F5 BIG-IP APM Acquista ora.

Descrizione dello scenario

Questo scenario esamina l'applicazione legacy classica usando le intestazioni di autorizzazione HTTP per gestire l'accesso al contenuto protetto.

Essendo legacy, l'applicazione non dispone di protocolli moderni che supportino un'integrazione diretta con Microsoft Entra ID. L'applicazione può essere modernizzata, ma è costosa, richiede un'attenta pianificazione e introduce il rischio di potenziali tempi di inattività. Viene invece usato un controller ADC F5 BIG-IP per colmare il divario tra l'applicazione legacy e il piano di controllo dell'ID moderno, tramite la transizione del protocollo.

La presenza di BIG-IP davanti all'applicazione consente di sovrapporre il servizio con la pre-autenticazione di Microsoft Entra e il Single Sign-On basato su intestazioni, migliorando significativamente la postura di sicurezza complessiva dell'applicazione.

Nota

Le organizzazioni possono anche ottenere l'accesso remoto a questo tipo di applicazione con il proxy dell'applicazione Microsoft Entra.

Architettura dello scenario

La soluzione SHA per questo scenario è costituita da:

Applicazione: BIG-IP servizio pubblicato da proteggere con Microsoft Entra SHA.

ID Microsoft Entra: Fornitore di identità (IdP) di Security Assertion Markup Language (SAML) responsabile della verifica delle credenziali utente, dell'accesso condizionale e del Single Sign-On (SSO) basato su SAML al BIG-IP. Tramite l’accesso SSO, Microsoft Entra ID fornisce a BIG-IP gli attributi di sessione necessari.

BIG-IP: Proxy inverso e fornitore di servizi SAML (SP) per l'applicazione, delegando l'autenticazione al provider di identità SAML prima di eseguire l'autenticazione SSO basata su intestazioni all'applicazione back-end.

In questo scenario, SHA supporta sia i flussi iniziati dal Service Provider (SP) che dal Identity Provider (IdP). L’immagine seguente illustra il flusso avviato dal SP.

Screenshot di un accesso ibrido sicuro - flusso avviato da SP.

Passaggi Descrizione
1 L'utente si connette all'endpoint dell’applicazione (BIG-IP)
2 Il criterio di accesso APM di BIG-IP reindirizza l'utente a Microsoft Entra ID (provider di identità SAML)
3 Microsoft Entra ID preautentica l'utente e impone i criteri di accesso condizionale applicati
4 L'utente viene reindirizzato a BIG-IP (provider di servizi SAML) e l'accesso SSO viene eseguito usando il token SAML rilasciato
5 BIG-IP inserisce gli attributi di Microsoft Entra come intestazioni nella richiesta inviata all'applicazione
6 L'applicazione autorizza la richiesta e restituisce il payload

Prerequisiti

L'esperienza BIG-IP precedente non è necessaria, ma è necessario:

  • Sottoscrizione gratuita di Microsoft Entra ID o versione successiva.

  • Un BIG-IP esistente o distribuire un BIG-IP Virtual Edition (VE) in Azure.

  • Uno dei seguenti SKU di licenza F5 BIG-IP.

    • Il miglior bundle F5 BIG-IP®

    • Licenza autonoma F5 BIG-IP Access Policy Manager™ (APM).

    • Licenza del componente aggiuntivo F5 BIG-IP Access Policy Manager™ (APM) su un'istanza esistente di BIG-IP F5 BIG-IP® Local Traffic Manager™ (LTM).

    • 90 giorni BIG-IP licenza di valutazione completa delle funzionalità.

  • Da una directory locale a Microsoft Entra ID, le identità utente sono sincronizzate.

  • Un account con autorizzazioni di amministratore dell'applicazione Microsoft Entra.

  • Un certificato Web SSL per la pubblicazione di servizi tramite HTTPS oppure usare certificati predefiniti BIG-IP durante il test.

  • Un'applicazione esistente basata su header o configurare una semplice app IIS basata su header a fini di test.

Metodi di configurazione BIG-IP

Esistono molti metodi per configurare BIG-IP per questo scenario, tra cui due opzioni basate su modello e una configurazione avanzata. Questo articolo illustra la versione più recente della configurazione guidata 16.1 che offre un modello di pulsante Easy. Con Easy Button, gli amministratori non devono alternare tra Microsoft Entra ID e un BIG-IP per abilitare i servizi per SHA. La gestione della distribuzione e delle politiche viene gestita direttamente tra la procedura guidata di configurazione di APM e Microsoft Graph. Questa integrazione avanzata tra BIG-IP di APM e Microsoft Entra ID garantisce che le applicazioni possano supportare rapidamente la federazione delle identità, l'accesso SSO e l’accesso condizionale di Microsoft Entra, riducendo il sovraccarico amministrativo.

Nota

Tutte le stringhe o i valori di esempio a cui si fa riferimento in questa guida devono essere sostituiti con quelli dell'ambiente effettivo.

Registrare Easy Button

Prima che un client o un servizio possa accedere a Microsoft Graph, deve essere considerato attendibile da Microsoft Identity Platform.

Questo primo passaggio crea una registrazione dell'app tenant usata per autorizzare l'accesso easy Button a Graph. Tramite queste autorizzazioni, BIG-IP è autorizzato a trasmettere le configurazioni necessarie per stabilire un trust tra un'istanza di SAML SP per un'applicazione pubblicata e Microsoft Entra ID come IdP SAML.

  1. Accedere al portale di Azure usando un account con diritti amministrativi dell'applicazione.

  2. Nel riquadro di spostamento a sinistra selezionare il servizio MICROSOFT Entra ID .

  3. In Gestisci selezionare Registrazioni app>Nuova registrazione.

  4. Immettere un nome visualizzato per l'applicazione, ad esempio F5 BIG-IP Easy Button.

  5. Specificare chi può usare l'applicazione >Solo account in questa directory organizzativa.

  6. Selezionare Registra per completare la registrazione iniziale dell'app.

  7. Passare a Autorizzazioni API e autorizzare le autorizzazioni dell'applicazione Microsoft Graph seguenti:

    • Application.Read.All
    • Application.ReadWrite.All
    • Applicazione.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Politica.Lettura.Tutto
    • Criterio.LeggiScrivi.ConfigurazioneDell'Applicazione
    • Politica.LetturaScrittura.AccessoCondizionale
    • Utente.Leggi.Tutto

  8. Conferisci il consenso dell'amministratore per la tua organizzazione.

  9. Nel pannello Certificati e segreti generare un nuovo segreto client e annotarlo.

  10. Nel pannello Panoramica prendi nota di dell'ID client e dell'ID tenant.

Configurare Easy Button

Avviare la configurazione guidata dell'APM per lanciare il Template Easy Button.

  1. Passare a Access Guided Configuration > Microsoft Integration (Configurazione guidata di Microsoft > Integration) e selezionare Microsoft Entra Application (Applicazione Microsoft Entra).

  2. In Configurazione della soluzione usando i passaggi seguenti verranno creati gli oggetti necessari, esaminare l'elenco dei passaggi di configurazione e selezionare Avanti.

  3. In Configurazione guidata seguire la sequenza di passaggi necessari per pubblicare l'applicazione.

Proprietà di Configurazione

La scheda Proprietà di configurazione crea un oggetto SSO e una configurazione dell'applicazione BIG-IP. Si consideri la sezione Dettagli account del servizio di Azure per rappresentare il client registrato in precedenza nel tenant di Microsoft Entra, come applicazione. Queste impostazioni consentono a un client OAuth di BIG-IP di registrare singolarmente un provider di servizi SAML direttamente nel tenant, insieme alle proprietà SSO che normalmente vengono configurate manualmente. Easy Button esegue questa operazione per ogni servizio BIG-IP pubblicato e abilitato per SHA.

Alcune di queste sono impostazioni globali, quindi possono essere riutilizzate per la pubblicazione di altre applicazioni, riducendo ulteriormente il tempo di distribuzione e il lavoro richiesto.

  1. Immettere un nome di configurazione univoco in modo che gli amministratori possano distinguere facilmente tra le configurazioni di Easy Button.

  2. Abilitare intestazioni HTTP e single Sign-On (SSO).

  3. Immettere l'ID tenant, l'ID client e il segreto client annotati durante la registrazione del client Easy Button nel tenant.

  4. Verificare che il BIG-IP possa connettersi correttamente al tenant e quindi selezionare Avanti.

    Screenshot per le proprietà generali e di configurazione dell'account del servizio.

Fornitore di servizi

Le impostazioni di Service Provider definiscono le proprietà per l'istanza SAML SP dell'applicazione protetta tramite SHA.

  1. Immettere Host. Si tratta dell'FQDN pubblico dell'applicazione protetta.

  2. Immettere Entity ID (ID entità). Si tratta dell'identificatore che Microsoft Entra ID userà per identificare l'SP SAML che richiede un token.

    Screenshot per le impostazioni del provider di servizi.

    Le impostazioni di sicurezza facoltative specificano se Microsoft Entra ID deve crittografare le asserzioni SAML rilasciate. La crittografia delle asserzioni tra Microsoft Entra ID e BIG-IP APM garantisce che i token di contenuto non possano essere intercettati e che i dati personali o aziendali vengano compromessi.

  3. Nell'elenco Chiave privata di decrittografia dell'asserzione, selezionare Crea nuovo.

    Screenshot per Configure Easy Button- Create New import (Configura pulsante semplice- Crea nuova importazione).

  4. Selezionare OK. Verrà visualizzata la finestra di dialogo Importa certificato SSL e chiavi in una nuova scheda.

  5. Selezionare PKCS 12 (IIS) per importare il certificato e la chiave privata. Dopo aver eseguito il provisioning, chiudere la scheda del browser per tornare alla scheda principale.

    Screenshot per Configure Easy Button- Import new cert (Configura pulsante semplice- Importa nuovo certificato).

  6. Seleziona Abilita asserzione crittografata.

  7. Se hai abilitato la crittografia, seleziona il tuo certificato dall'elenco Chiave privata per la decrittografia delle asserzioni. Si tratta della chiave privata per il certificato che verrà usato da BIG-IP APM per decrittografare le asserzioni Microsoft Entra.

  8. Se hai abilitato la crittografia, seleziona il tuo certificato dall'elenco Certificato di decrittazione delle asserzioni. Si tratta del certificato che BIG-IP caricherà in Microsoft Entra ID per crittografare le asserzioni SAML rilasciate.

Screenshot per le impostazioni di sicurezza del fornitore di servizi.

Microsoft Entra ID

Questa sezione definisce tutte le proprietà che verrebbero normalmente usate per configurare manualmente una nuova applicazione SAML BIG-IP all'interno del tenant di Microsoft Entra. Easy Button offre un set di modelli di applicazione predefiniti per Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP e modello SHA generico per qualsiasi altra app.

Per questo scenario, nella pagina Configurazione di Azure selezionare F5 BIG-IP APM Azure AD Integration>Add( Aggiungi).

Configurazione di Azure

Nella pagina Configurazione di Azure seguire questa procedura:

  1. In Proprietà di configurazione immettere Nome visualizzato dell'app creata dal BIG-IP nel tenant di Microsoft Entra e l'icona visualizzata dagli utenti nel portale App personali.

  2. non immettere nulla nell'URL di accesso (facoltativo) per abilitare l'accesso avviato da IdP.

  3. Selezionare l'icona di aggiornamento accanto alla chiave di firma e al certificato di firma per individuare il certificato importato in precedenza.

  4. Immettere la password del certificato in Passphrase della chiave di firma.

  5. Abilita opzione di firma (facoltativo). In questo modo, BIG-IP accetta solo token e attestazioni firmati dall'ID Microsoft Entra.

    Screenshot della configurazione di Azure - Aggiungere informazioni sui certificati di firma.

  6. Gli utenti e i gruppi di utenti vengono sottoposti a query dinamiche dal tenant di Microsoft Entra e usati per autorizzare l'accesso all'applicazione. Aggiungere un utente o un gruppo che è possibile usare in un secondo momento per il test; in caso contrario, viene negato tutto l'accesso.

    Screenshot della configurazione di Azure - Aggiungere utenti e gruppi.

Attributi utente e attestazioni

Quando un utente esegue correttamente l'autenticazione, Microsoft Entra ID rilascia un token SAML con un set predefinito di attestazioni e attributi che identificano in modo univoco l'utente. La scheda Attributi utente e attestazioni mostra le attestazioni predefinite da rilasciare per la nuova applicazione. Consente anche di configurare più attestazioni.

Per questo esempio, è possibile includere un altro attributo:

  1. Immettere Nome intestazione come id dipendente.

  2. Immettere Source Attribute come user.employeeid.

    Screenshot per gli attributi dell'utente e le attestazioni.

Attributi utente aggiuntivi

Nella scheda Attributi utente aggiuntivi è possibile abilitare l'aumento delle sessioni richiesto da un'ampia gamma di sistemi distribuiti, ad esempio Oracle, SAP e altre implementazioni basate su JAVA che richiedono attributi archiviati in altre directory. Gli attributi recuperati da un'origine LDAP possono quindi essere inseriti come intestazioni SSO aggiuntive per controllare ulteriormente l'accesso in base a ruoli, ID partner e così via.

Nota

Questa funzionalità non ha alcuna correlazione con Microsoft Entra ID, ma è un'altra origine di attributi. 

Criteri di accesso condizionale

I criteri di accesso condizionale vengono applicati dopo la preautenticazione di Microsoft Entra per controllare l'accesso in base ai segnali di dispositivo, applicazione, posizione e rischio.

La visualizzazione Criteri disponibili , per impostazione predefinita, elenca tutti i criteri di accesso condizionale che non includono azioni basate sull'utente.

Per impostazione predefinita, nella visualizzazione Criteri selezionati vengono visualizzati tutti i criteri destinati a Tutte le risorse. Questi criteri non possono essere deselezionati o spostati nell'elenco Criteri disponibili perché vengono applicati a livello di tenant.

Per selezionare un criterio da applicare all'applicazione da pubblicare:

  1. Selezionare i criteri desiderati nell'elenco Criteri disponibili .
  2. Selezionare la freccia destra e spostarla nell'elenco Criteri selezionati .

I criteri selezionati devono avere un'opzione Includi o Escludi selezionata. Se vengono selezionate entrambe le opzioni, i criteri selezionati non vengono applicati.

Screenshot per i criteri di accesso condizionale.

Nota

L'elenco dei criteri viene enumerato una sola volta quando si passa per la prima volta a questa scheda. È disponibile un pulsante di aggiornamento per forzare manualmente la procedura guidata a eseguire query sul tuo tenant, ma questo pulsante viene visualizzato solo quando l'applicazione è stata effettivamente distribuita.

Proprietà del server virtuale

Un server virtuale è un oggetto del piano dati BIG-IP rappresentato da un indirizzo IP virtuale in attesa delle richieste client all'applicazione. Qualsiasi traffico ricevuto viene elaborato e valutato rispetto al profilo APM associato al server virtuale, prima di essere indirizzato in base ai risultati e alle impostazioni dei criteri.

  1. Immettere Indirizzo di destinazione. Può essere qualsiasi indirizzo IPv4/IPv6 disponibile che BIG-IP possa usare per ricevere il traffico client. Un record corrispondente deve esistere anche in DNS per consentire ai client di risolvere l'URL esterno dell'applicazione BIG-IP pubblicata in questo IP anziché l'applicazione stessa. L'uso del DNS localhost di un PC di test è corretto per i test.

  2. Immettere Service Port (Porta del servizio) come 443 per HTTPS.

  3. Seleziona Abilita porta di reindirizzamento e quindi immetti Porta di reindirizzamento. Reindirizza il traffico client HTTP in ingresso a HTTPS.

  4. Il profilo SSL client abilita il server virtuale per HTTPS, in modo che le connessioni client vengano crittografate tramite TLS. Selezionare il profilo SSL client creato come parte dei prerequisiti o lasciare il valore predefinito durante il test.

    Screenshot per il server virtuale.

Proprietà del pool

La scheda Pool di applicazioni fornisce dettagli sui servizi associati a un BIG-IP che sono rappresentati come un pool, contenente uno o più server di applicazioni.

  1. Scegli da Seleziona un pool. Creare un nuovo pool o selezionare uno esistente.

  2. Scegliere il metodo di bilanciamento del carico come Round Robin.

  3. Per Server del pool, selezionare un nodo esistente o specificare l'indirizzo IP e la porta per il server che ospita l'applicazione basata sull'intestazione.

    Screenshot del pool di applicazioni.

L'applicazione back-end si trova sulla porta HTTP 80, ma ovviamente passa a 443 se il tuo sistema usa HTTPS.

Single Sign-On e Intestazioni HTTP

L'abilitazione dell'accesso SSO consente agli utenti di accedere ai servizi pubblicati BIG-IP senza dover immettere le credenziali. La procedura guidata Easy Button supporta le intestazioni di autorizzazione Kerberos, OAuth Bearer e HTTP per l'accesso SSO; abiliteremo queste ultime per configurare quanto segue.

  • Intestazione operazione:Insert

  • Nome dell'intestazione:upn

  • Valore intestazione:%{session.saml.last.identity}

  • Intestazione operazione:Insert

  • Nome dell'intestazione:employeeid

  • Valore intestazione:%{session.saml.last.attr.name.employeeid}

    Screenshot per le intestazioni SSO e HTTP.

Nota

Le variabili di sessione APM definite tra parentesi graffe sono sensibili al CASE. Ad esempio, se si immette OrclGUID quando il nome dell'attributo Microsoft Entra viene definito come orclguid, si verificherà un errore di mapping degli attributi.

Gestione delle sessioni

Le impostazioni di gestione delle sessioni BIG-IP vengono usate per definire le condizioni in base alle quali le sessioni utente vengono continuate o terminate, i limiti per gli utenti e gli indirizzi IP e le informazioni utente corrispondenti. Per informazioni dettagliate su queste impostazioni, vedere la documentazione di F5 .

Ciò che non è trattato qui è tuttavia la funzionalità Single Log-Out (SLO), che garantisce che tutte le sessioni tra idP, BIG-IP e l'agente utente vengano terminate quando gli utenti si disconnettono. Quando Easy Button crea un'istanza di un'applicazione SAML nel tenant di Microsoft Entra, popola anche l'URL di disconnessione con l'endpoint SLO di APM. In questo modo, le disconnessioni avviate dall'IdP dal portale My Apps di Microsoft Entra interrompono anche la sessione tra BIG-IP e un client.

Oltre a questo, i metadati di federazione SAML per l'applicazione pubblicata vengono importati anche dal tenant, fornendo a APM l'endpoint di disconnessione SAML per Microsoft Entra ID. In questo modo, la disconnessione avviata dal provider di servizi termina la sessione tra un client e Microsoft Entra ID. Tuttavia, per essere veramente efficace, APM deve sapere esattamente quando un utente si disconnette dall'applicazione.

Se il portale webtop BIG-IP viene utilizzato per accedere alle applicazioni pubblicate, un processo di disconnessione da lì sarà gestito dall'APM per chiamare l'endpoint di disconnessione di Microsoft Entra. Si consideri tuttavia uno scenario in cui il portale Webtop BIG-IP non viene usato e in cui l'utente non ha modo di indicare a APM di disconnettersi. Anche se l'utente si disconnette dall'applicazione stessa, BIG-IP tecnicamente non lo sa. Per questo motivo, la disconnessione avviata dal provider di servizi deve essere valutata attentamente per assicurarsi che le sessioni vengano terminate in modo protetto quando non sono più necessarie. Un modo per ottenere questo risultato consiste nell'aggiungere una funzione SLO al pulsante di disconnessione delle applicazioni, in modo che possa reindirizzare il client all'endpoint di disconnessione SAML o BIG-IP di Microsoft Entra. L'URL per l'endpoint di disconnessione SAML per il tenant è disponibile in Registrazioni delle App Endpoints>.

Se apportare una modifica all'app non è possibile, valutare la possibilità di usare BIG-IP per ascoltare la chiamata di disconnessione dell'applicazione e configurarlo perché attivi SLO dopo il rilevamento della richiesta. Per ottenere questo risultato, vedere le linee guida per Oracle PeopleSoft SLO per l'uso di BIG-IP irules. Altre informazioni sull'uso di BIG-IP iRules per ottenere questo risultato sono disponibili nell'articolo della Knowledge Base F5 Configurazione della terminazione automatica della sessione (disconnessione) in base a un nome di file a cui si fa riferimento nell'URI e Panoramica dell'opzione di inclusione dell'URI per la disconnessione.

Riepilogo

Questo ultimo passaggio fornisce una suddivisione delle configurazioni. Selezionare Distribuisci per eseguire il commit di tutte le impostazioni e verificare che l'applicazione esista nell'elenco dei tenant di 'Applicazioni aziendali'.

L'applicazione dovrebbe ora essere pubblicata e accessibile tramite SHA, direttamente tramite il relativo URL o tramite i portali delle applicazioni di Microsoft.

Contenuto correlato

Da un browser connettersi all'URL esterno dell'applicazione o selezionare l'icona dell'applicazione nel portale Microsoft MyApps. Dopo l'autenticazione con Microsoft Entra ID, verrai reindirizzato al server virtuale BIG-IP per l'applicazione e autenticato automaticamente tramite Single Sign-On.

Per una maggiore sicurezza, le organizzazioni che usano questo schema potrebbero anche considerare di bloccare tutto l'accesso diretto all'applicazione, forzando così un percorso rigoroso attraverso il BIG-IP.

Distribuzione avanzata

In alcuni casi i modelli di configurazione guidata non dispongono della flessibilità necessaria per garantire requisiti più specifici. Per questi scenari, vedere Advanced Configuration for headers-based SSO (Configurazione avanzata per l'accesso SSO basato su intestazioni).

In alternativa, il BIG-IP offre la possibilità di disabilitare la modalità di gestione rigorosa della configurazione guidata. Ciò consente di modificare manualmente le configurazioni, anche se la maggior parte delle configurazioni viene automatizzata tramite i modelli basati su procedura guidata.

È possibile passare a Configurazione guidata di accesso > e selezionare l'icona a forma di lucchetto nell'estrema destra della riga per le configurazioni delle applicazioni.

Screenshot di Configure Easy Button - Strict Management ( Configura pulsante facile - Gestione strict).

A questo punto, le modifiche tramite l'interfaccia utente della procedura guidata non sono più possibili, ma tutti gli oggetti BIG-IP associati all'istanza pubblicata dell'applicazione vengono sbloccati per la gestione diretta.

Nota

Riabilitare la modalità strict e distribuire una configurazione sovrascriverà tutte le impostazioni configurate all'esterno dell'interfaccia utente della configurazione guidata. Pertanto, è consigliabile usare il metodo di configurazione avanzato per i servizi di produzione.

Risoluzione dei problemi

La mancata possibilità di accedere a un'applicazione protetta SHA può essere dovuta a vari fattori. La registrazione BIG-IP consente di isolare rapidamente tutti i tipi di problemi di connettività, SSO, violazioni dei criteri o mapping di variabili non configurati correttamente. Inizia la risoluzione dei problemi aumentando il livello di dettaglio del log.

  1. Vai a >.

  2. Selezionare la riga per l'applicazione pubblicata e quindi Modificare > i log di sistema di accesso.

  3. Selezionare Debug dall'elenco SSO e quindi OK.

Riproduci il tuo problema, quindi esamina i log, ma ricorda di ripristinare l'impostazione al termine perché la modalità dettagliata genera molti dati.

Se viene visualizzato un errore con marchio BIG-IP immediatamente dopo la preautenticazione di Microsoft Entra, è possibile che il problema si riferisca all'accesso SSO da Microsoft Entra ID a BIG-IP.

  1. Passare a Access > Overview Access Reports (Accedere ai report di accesso).>

  2. Eseguire il report riferito all'ultima ora per verificare se i log forniscono indizi. Il collegamento Visualizza variabili di sessione per la sessione consentirà anche di capire se APM riceve le attestazioni previste dall'ID Microsoft Entra.

Se non viene visualizzata una pagina di errore BIG-IP, il problema è probabilmente più correlato alla richiesta back-end o all'accesso SSO da BIG-IP all'applicazione.

  1. In questo caso, vai a > e seleziona il collegamento per la tua sessione attiva.

  2. Il collegamento Visualizza variabili in questa posizione può anche aiutare a identificare la causa principale dei problemi SSO, in particolare se il BIG-IP APM non riesce a ottenere gli attributi corretti da Microsoft Entra ID o da un'altra fonte.

Per altre informazioni, vedere questo articolo della Knowledge Base di F5 Configurazione dell'autenticazione remota LDAP per Active Directory. È disponibile anche un'ottima tabella di riferimento BIG-IP per diagnosticare i problemi correlati a LDAP in questo articolo della Knowledge Base di F5 su Query LDAP.