# Referência de variáveis de sessão do APM

> O capítulo de Session Variables como uma consulta ciente de padrões: cole session.ad.last.attr.memberOf e ele resolve contra os próprios templates do capítulo, cole uma expressão mcget e cada referência dentro dela é explicada com a auditoria de variáveis seguras junto, a clássica armadilha do valor vazio nomeada com exatidão: um mcget puro em session.logon.last.password volta vazio, porque variáveis seguras exigem -secure.

- Tool: https://ronutz.com/pt-BR/tools/f5-apm-session-variable-reference
- Family: Identidade e tokens

---

# Referência de variáveis de sessão do APM

Tudo que uma access policy do BIG-IP Zero Trust Access (antigo BIG-IP APM - Access Policy Manager) aprende, ela guarda em variáveis de sessão, nomes hierárquicos que a própria figura de anatomia do guia do Visual Policy Editor soletra: a string session, um tipo, o nome do agente ou a string last, pedaços específicos do agente, um nó attr ou result, um nome de atributo. O capítulo de Session Variables é a tabela canônica desses nomes, e esta ferramenta o incorpora, um núcleo curado substancial cobrindo resultados de policy, o conjunto de gestão de sessão e de cliente, as famílias AD, LDAP e RADIUS, a família session.ssl.cert completa, as verificações de endpoint, OTP e atribuição de recursos, estendido com as linhas de encanamento de logon e SSO que o SSO Configuration Guide define, session.logon.last.* e session.sso.token.last.*, o par que todo método de SSO lê.

A consulta é ciente de padrões porque o capítulo escreve padrões. Linhas como session.ad.$name.attr.$attr_name são templates, cada atributo recuperado convertido em uma variável de sessão separada, então colar session.ad.last.attr.memberOf resolve para sua linha com os vínculos exibidos, $name = last, $attr_name = memberOf, junto com qual ação a popula, um AD Query nesse caso. Consultas por família e um modo de catálogo completo fecham o lado de referência.

Cole uma expressão e cada referência dentro dela é extraída e explicada, nas três sintaxes que a própria plataforma usa: expansão inline %{session.x}, que a mensagem de exemplo de OTP do próprio capítulo demonstra; mcget dentro de regras de ramo expr, cuja forma canônica a referência de per-request policy entrega como expr { [mcget {session.ad.last.attr.primaryGroupID}] == 100 }; e access::session data get e set. A auditoria de variáveis seguras acompanha as três, fundamentada literalmente no material de laboratório da própria F5: o valor de uma variável segura é armazenado criptografado no session db, não é exibido no relatório de sessão, não é registrado pelo agente de logging, e exige a flag -secure tanto para mcget quanto para access::session data get/set. O Exemplo de um clique é a armadilha clássica que esse contrato cria, um mcget puro em session.logon.last.password, e a ferramenta nomeia exatamente o que volta: um valor vazio, em silêncio, não um erro.

As bordas honestas estão declaradas nos cartões. Este é um snapshot do capítulo do 13.1, a última geração distribuída como capítulos de manual, com nomes e famílias estáveis entre versões e a verificação por versão como conselho permanente; variáveis fora do snapshot são relatadas como tal, com as duas superfícies de depuração nomeadas, o relatório de Current Sessions, que o laboratório nota exibir variáveis apenas de sessões ativas, daí seu truque de pausa com message box, e o comando sessiondump com suas visões sid e allkeys.

Tudo roda localmente; nada do que você cola sai da página.

## Standards and references

- [BIG-IP APM Visual Policy Editor 13.1 - Session Variables chapter (the vendored table: policy results, session management and client variables, AD/LDAP/RADIUS families with the each-attribute-becomes-a-variable rule, the full session.ssl.cert family, endpoint checks including the always-zero hd.state quirk, OTP with the official percent-expansion example, resource assignment; the naming anatomy figure; the sessiondump command)](https://techdocs.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-visual-policy-editor-13-1-0/5.html) - the vendored core of the variable table
- [F5 Access Solutions lab, VPE and Session Variables module (the secure contract verbatim: encrypted in the session db, hidden from the session report and the logging agent, -secure required for both mcget and access::session data get/set; the session.custom auto-container behavior; the active-sessions-only report note and the message-box pause trick; the mcget session.user.clientip and session.logon.last.upn examples)](https://f5-agility-labs-iam.readthedocs.io/en/latest/class8/module4/module4.html) - the secure-flag audit and the debug-surface observations
- [BIG-IP APM Visual Policy Editor 12.1 - Per-Request Policy Reference (the official branch-rule expressions: expr { [mcget {session.ad.last.attr.primaryGroupID}] == 100 } and the memberOf shape; populated-by actions per family: AD Query, LDAP Query, RADIUS Auth/Acct, Local Database with session.localdb.groups)](https://techdocs.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-visual-policy-editor-12-1-0/5.html) - the expression grammar and the populated-by attributions
- [BIG-IP APM Single Sign-On Configuration Guide 17.1 (the plumbing rows: NTLM Domain defaulting to session.logon.last.domain, the Form Based password source defaulting to session.sso.token.last.password, SSO Credential Mapping feeding session.sso.token.last.* from session.logon.last.*)](https://techdocs.f5.com/en-us/bigip-17-1-0/big-ip-access-policy-manager-single-sign-on-concepts-configuration/single-sign-on-methods.html) - the logon and sso family rows

## Related reading

- [Acesso e identidade no BIG-IP 21.1: DCR, SAML nativo e o IPsec volta para casa](https://ronutz.com/pt-BR/learn/bigip-21x-access-identity.md): A camada de acesso do BIG-IP 21.1 se moderniza em quatro direções ao mesmo tempo: o Dynamic Client Registration do OAuth 2.0 (RFC 7591) deixa clientes, incluindo sistemas de IA agêntica, registrarem a si mesmos com um Initial Access Token; o SAML pelo navegador padrão do sistema vira nativo no Windows e no macOS, destravando fluxos FIDO2 e Entra ID sem as velhas iRules; o Edge Client ganha túneis VPN IPsec de verdade ao lado do SSL-VPN; e o elenco de apoio inclui HTTP Connector em políticas per-session, ES13 no Portal Access e inspeção de endpoint em Ubuntu ARM64.
- [Variáveis de Sessão: Onde o APM Guarda Tudo Que Aprendeu](https://ronutz.com/pt-BR/learn/bigip-apm-session-variables.md): Toda ação de access policy escreve seus resultados em variáveis session.*, nomeadas por uma anatomia que o manual desenha e lidas por três sintaxes oficiais. A camada tem um contrato que vale memorizar: variáveis seguras são criptografadas, escondidas de relatórios e logs, e legíveis só com -secure, o que faz de um mcget puro numa senha a clássica leitura vazia silenciosa.
