البرنامج التعليمي: تكوين F5 BIG-IP SSL-VPN Microsoft Entra SSO

  • مقالة

في هذا البرنامج التعليمي، تعرف على كيفية دمج الشبكة الخاصة الظاهرية لطبقة مأخذ التوصيل الآمنة المستندة إلى F5 BIG-IP (SSL-VPN) مع معرف Microsoft Entra للوصول المختلط الآمن (SHA).

يوفر تمكين BIG-IP SSL-VPN لتسجيل الدخول الأحادي (SSO) Microsoft Entra العديد من الفوائد، بما في ذلك:

للتعرف على المزيد من الفوائد، راجع

ملاحظة

تظل الشبكات الظاهرية الخاصة الكلاسيكية موجهة للشبكة، وغالبا ما توفر وصولا بسيطا أو معدوما إلى تطبيقات الشركات. نحن نشجع على اتباع نهج أكثر تركز على الهوية لتحقيق ثقة معدومة. تعرف على المزيد: خمس خطوات لدمج جميع تطبيقاتك مع معرف Microsoft Entra.

وصف السيناريو

في هذا السيناريو، يتم تكوين مثيل BIG-IP APM لخدمة SSL-VPN كموفر خدمة SAML (SP) ومعرف Microsoft Entra هو SAML IDP الموثوق به. يتم توفير تسجيل الدخول الأحادي من معرف Microsoft Entra من خلال المصادقة المستندة إلى المطالبات إلى BIG-IP APM، وهي تجربة وصول سلسة إلى VPN.

رسم تخطيطي لبنية التكامل.

ملاحظة

استبدل سلاسل المثال أو القيم في هذا الدليل بتلك الموجودة في بيئتك.

المتطلبات الأساسية

الخبرة السابقة أو المعرفة من F5 BIG-IP ليست ضرورية، ومع ذلك، ستحتاج:

  • اشتراك Microsoft Entra
  • تتم مزامنة هويات المستخدم من الدليل المحلي الخاص بهم إلى معرف Microsoft Entra.
  • أحد الأدوار التالية: مسؤول عام، أو مسؤول تطبيق سحابي، أو مسؤول التطبيق.
  • البنية الأساسية BIG-IP مع توجيه نسبة استخدام الشبكة للعميل من وإلى BIG-IP
  • سجل لخدمة VPN المنشورة BIG-IP في DNS العام
    • أو ملف المضيف المحلي لعميل الاختبار أثناء الاختبار
  • BIG-IP المزود بشهادات SSL المطلوبة لنشر الخدمات عبر HTTPS

لتحسين تجربة البرنامج التعليمي، يمكنك تعلم المصطلحات القياسية للصناعة على مسرد F5 BIG-IP.

تلميح

قد تختلف الخطوات الواردة في هذه المقالة قليلا استنادا إلى المدخل الذي تبدأ منه.

قم بإعداد ثقة اتحاد SAML بين BIG-IP للسماح Microsoft Entra BIG-IP بتسليم المصادقة المسبقة والوصول المشروط إلى معرف Microsoft Entra، قبل أن يمنح حق الوصول إلى خدمة VPN المنشورة.

  1. سجل الدخول إلى مركز إدارة Microsoft Entraكمسؤول تطبيق سحابي على الأقل.
  2. استعرض للوصول إلىتطبيقات>الهوية>تطبيقات> المؤسسةجميع التطبيقات، ثم حدد تطبيق جديد.
  3. في المعرض، ابحث عن F5 وحدد F5 BIG-IP APM Azure AD التكامل.
  4. أدخل اسمًا للتطبيق.
  5. حدد إضافة ثم إنشاء.
  6. يظهر الاسم، كأيقونة، في مركز إدارة Microsoft Entra ومدخل Office 365.

تكوين تسجيل الدخول الأحادي Microsoft Entra

  1. باستخدام خصائص تطبيق F5، انتقل إلى إدارة>تسجيل الدخول الأحادي.
  2. في الصفحة اختر تسجيل الدخول الأحادي واختر SAML.
  3. حدد لا، سأحفظ لاحقا.
  4. في قائمة إعداد تسجيل الدخول الأحادي باستخدام SAML ، حدد أيقونة القلم لتكوين SAML الأساسي.
  5. استبدل عنوان URL للمعرف بعنوان URL للخدمة المنشورة BIG-IP. على سبيل المثال، ⁧https://ssl-vpn.contoso.com⁩.
  6. استبدل عنوان URL للرد ومسار نقطة نهاية SAML. على سبيل المثال، ⁧https://ssl-vpn.contoso.com/saml/sp/profile/post/acs⁩.

ملاحظة

في هذا التكوين، يعمل التطبيق في وضع بدأه موفر الهوية: Microsoft Entra ID يصدر تأكيد SAML قبل إعادة التوجيه إلى خدمة BIG-IP SAML.

  1. بالنسبة للتطبيقات التي لا تدعم الوضع الذي بدأه موفر الهوية، لخدمة BIG-IP SAML، حدد عنوان URL لتسجيل الدخول، على سبيل المثال، https://ssl-vpn.contoso.com.
  2. بالنسبة إلى عنوان URL لتسجيل الخروج، أدخل نقطة نهاية تسجيل الخروج الأحادي (SLO) BIG-IP APM التي تم تحديدها مسبقا بواسطة عنوان المضيف للخدمة التي يتم نشرها. على سبيل المثال،⁧https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

ملاحظة

يضمن عنوان URL SLO إنهاء جلسة عمل المستخدم، في BIG-IP ومعرف Microsoft Entra، بعد تسجيل خروج المستخدم. يحتوي BIG-IP APM على خيار لإنهاء جميع الجلسات عند استدعاء عنوان URL للتطبيق. تعرف على المزيد حول مقالة F5، K12056: نظرة عامة على خيار تضمين عنوان URI لتسجيل الخروج.

لقطة شاشة لعناوين URL الأساسية لتكوين SAML.

ملاحظة

من الإصدار 16 من TMOS، تم تغيير نقطة نهاية SAML SLO إلى /saml/sp/profile/redirect/slo.

  1. تحديد الحفظ

  2. تخطي موجه اختبار SSO.

  3. في خصائص مطالبات سمات & المستخدم ، لاحظ التفاصيل.

    لقطة شاشة لخصائص سمات المستخدم والمطالبات.

يمكنك إضافة مطالبات أخرى إلى الخدمة المنشورة BIG-IP. يتم إصدار المطالبات المعرفة بالإضافة إلى المجموعة الافتراضية إذا كانت في معرف Microsoft Entra. حدد أدوار الدليل أو عضويات المجموعة مقابل عنصر مستخدم في معرف Microsoft Entra، قبل أن يمكن إصدارها كمطالبة.

لقطة شاشة لخيار تنزيل بيانات تعريف الاتحاد XML.

شهادات توقيع SAML التي تم إنشاؤها بواسطة معرف Microsoft Entra لها عمر ثلاث سنوات.

تخويل Microsoft Entra

بشكل افتراضي، يصدر معرف Microsoft Entra الرموز المميزة للمستخدمين الذين لديهم حق الوصول الممنوح إلى خدمة.

  1. في طريقة عرض تكوين التطبيق، حدد المستخدمين والمجموعات.

  2. حدد + Add user.

  3. في قائمة Add Assignment ، حدد Users and groups.

  4. في مربع الحوار Users and groups ، أضف مجموعات المستخدمين المصرح لها بالوصول إلى VPN

  5. حدد Select>Assign.

    لقطة شاشة لخيار إضافة مستخدم.

يمكنك إعداد BIG-IP APM لنشر خدمة SSL-VPN. قم بتكوينه مع الخصائص المقابلة لإكمال الثقة للمصادقة المسبقة ل SAML.

تكوينBIG-IP APM

اتحاد SAML

لإكمال توحيد خدمة VPN بمعرف Microsoft Entra، قم بإنشاء موفر خدمة BIG-IP SAML وعناصر SAML IDP المقابلة.

  1. انتقل إلى Access>Federation>SAML Service Provider>Local SP Services.

  2. حدد Create.

    لقطة شاشة لخيار Create في صفحة Local SP Services.

  3. أدخل Nameومعرف الكيان المحدد في معرف Microsoft Entra.

  4. أدخل Host FQDN للاتصال بالتطبيق.

    لقطة شاشة لإدخالات الاسم والكيان.

ملاحظة

إذا لم يكن معرف الكيان مطابقا تماما لاسم مضيف عنوان URL المنشور، فبادر بتكوين إعدادات اسم SP، أو نفذ هذا الإجراء إذا لم يكن بتنسيق عنوان URL لاسم المضيف. إذا كان معرف الكيان هو urn:ssl-vpn:contosoonline، فوفر النظام الخارجي واسم المضيف للتطبيق الذي يتم نشره.

  1. مرر لأسفل لتحديد كائن SAML SP الجديد.

  2. حدد Bind/UnBind IDP Connectors.

    لقطة شاشة لخيار Bind Unbind IDP Connections في صفحة Local SP Services.

  3. حدد Create New IDP Connector.

  4. من القائمة المنسدلة، حدد من بيانات التعريف

    لقطة شاشة لخيار من بيانات التعريف في صفحة تحرير SAML IdPs.

  5. استعرض للوصول إلى ملف XML لبيانات تعريف الاتحاد الذي قمت بتنزيله.

  6. بالنسبة لكائن APM، قم بتوفير اسم موفر الهوية الذي يمثل SAML IdP الخارجي.

  7. لتحديد موصل IdP الخارجي Microsoft Entra الجديد، حدد إضافة صف جديد.

    لقطة شاشة لخيار موصلات SAML IdP في صفحة تحرير SAML IdP.

  8. حدد تحديث.

  9. حدد "OK".

    لقطة شاشة لرابط Common، VPN Azure في صفحة تحرير SAML IdPs.

تكوين سطح الويب

تمكين SSL-VPN ليتم تقديمها للمستخدمين عبر مدخل ويب BIG-IP.

  1. انتقل إلى Access>Webtops>Webtop Lists.

  2. حدد Create.

  3. أدخل اسم المدخل.

  4. قم بتعيين النوع إلى كامل، على سبيل المثال، Contoso_webtop.

  5. أكمل التفضيلات المتبقية.

  6. حدد Finished.

    لقطة شاشة لإدخالات الاسم والنوع في الخصائص العامة.

تكوين VPN

تتحكم عناصر VPN في جوانب الخدمة الشاملة.

  1. انتقل إلى Access>Connectivity/VPN>Network Access (VPN)>IPV4 Lease Pools

  2. حدد Create.

  3. أدخل اسما لتجمع عناوين IP المخصص لعملاء VPN. على سبيل المثال، Contoso_vpn_pool.

  4. تعيين النوع إلى نطاق عناوين IP.

  5. أدخل عنوان IP للبدء والنهاية.

  6. حدد ⁧⁩إضافة⁧⁩.

  7. حدد Finished.

    لقطة شاشة لإدخالات الاسم وقائمة الأعضاء في الخصائص العامة.

توفر قائمة الوصول إلى الشبكة الخدمة بإعدادات IP وDNS من تجمع VPN وأذونات توجيه المستخدم ويمكنها تشغيل التطبيقات.

  1. انتقل إلى Access>Connectivity/VPN: Network Access (VPN)>قوائم الوصول إلى الشبكة.

  2. حدد Create.

  3. أدخل اسما لقائمة الوصول إلى VPN والتسمية التوضيحية، على سبيل المثال، Contoso-VPN.

  4. حدد Finished.

    لقطة شاشة لإدخال الاسم في الخصائص العامة وإدخال التسمية التوضيحية في إعدادات التخصيص للغة الإنجليزية.

  5. من الشريط العلوي، حدد إعدادات الشبكة.

  6. لإصدار IP المدعوم: IPV4.

  7. بالنسبة إلى IPV4 Lease Pool، حدد تجمع VPN الذي تم إنشاؤه، على سبيل المثال، Contoso_vpn_pool

    لقطة شاشة لإدخال IPV4 Lease Pool في الإعدادات العامة.

ملاحظة

استخدم خيارات إعدادات العميل لفرض قيود على كيفية توجيه نسبة استخدام الشبكة للعميل في VPN تم إنشاؤه.

  1. حدد Finished.

  2. انتقل إلى علامة التبويب DNS/Hosts .

  3. بالنسبة لخادم الاسم الأساسي IPV4: عنوان IP ل DNS للبيئة

  4. بالنسبة للاحقة المجال الافتراضي ل DNS: لاحقة المجال لاتصال VPN هذا. على سبيل المثال: contoso.com

    لقطة شاشة لإدخالات IPV4 Primary Server Name وDNS Default Domain Suffix.

ملاحظة

راجع مقالة F5، تكوين موارد الوصول إلى الشبكة لإعدادات أخرى.

مطلوب ملف تعريف اتصال BIG-IP لتكوين إعدادات نوع عميل VPN التي تحتاج خدمة VPN إلى دعمها. على سبيل المثال، Windows وOSX وAndroid.

  1. انتقل إلى Access>Connectivity/VPN>Connectivity>Profiles

  2. حدد ⁧⁩إضافة⁧⁩.

  3. أدخل اسم ملف تعريف.

  4. قم بتعيين ملف التعريف الأصل إلى /Common/connectivity، على سبيل المثال، Contoso_VPN_Profile.

    لقطة شاشة لإدخالات اسم ملف التعريف والاسم الأصل في إنشاء ملف تعريف اتصال جديد.

لمزيد من المعلومات حول دعم العميل، راجع مقالة F5 وF5 Access وعميل BIG-IP Edge.

تكوين ملف تعريف الوصول

يتيح نهج الوصول الخدمة لمصادقة SAML.

  1. انتقل إلى Access>Profiles/Policies>Access Profiles (نهج لكل جلسة عمل).

  2. حدد Create.

  3. أدخل اسم ملف تعريف ونوع ملف التعريف.

  4. حدد الكل، على سبيل المثال، Contoso_network_access.

  5. التمرير لأسفل وإضافة لغة واحدة على الأقل إلى قائمة اللغات المقبولة

  6. حدد Finished.

    لقطة شاشة لإدخالات الاسم ونوع ملف التعريف واللغة في ملف التعريف الجديد.

  7. في ملف تعريف الوصول الجديد، في حقل نهج Per-Session، حدد تحرير.

  8. يفتح محرر النهج المرئي في علامة تبويب جديدة.

    لقطة شاشة لخيار تحرير ملفات تعريف Access، نهج ما قبل الجلسة.

  9. حدد العلامة + .

  10. في القائمة، حدد Authentication>SAML Auth.

  11. حدد إضافة عنصر.

  12. في تكوين SAML authentication SP، حدد كائن VPN SAML SP الذي أنشأته

  13. حدد ⁧⁩حفظ⁧⁩.

    لقطة شاشة لإدخال خادم AAA ضمن SAML Authentication SP، في علامة التبويب Properties.

  14. بالنسبة إلى الفرع الناجح لمصادقة SAML، حدد + .

  15. من علامة التبويب Assignment، حدد Advanced Resource Assign.

  16. حدد إضافة عنصر.

    لقطة شاشة لزر علامة الجمع في نهج الوصول.

  17. في النافذة المنبثقة، حدد إدخال جديد

  18. حدد إضافة/حذف.

  19. في النافذة، حدد Network Access.

  20. حدد ملف تعريف الوصول إلى الشبكة الذي أنشأته.

    لقطة شاشة لزر إضافة إدخال جديد في تعيين المورد، في علامة التبويب خصائص.

  21. انتقل إلى علامة التبويب Webtop .

  22. أضف كائن Webtop الذي أنشأته.

    لقطة شاشة لسطح الويب الذي تم إنشاؤه على علامة التبويب Webtop.

  23. حدد تحديث.

  24. حدد ⁧⁩حفظ⁧⁩.

  25. لتغيير الفرع ناجح، حدد الارتباط في المربع العلوي رفض .

  26. تظهر تسمية السماح.

  27. حفظ.

    لقطة شاشة لخيار الرفض في نهج الوصول.

  28. حدد تطبيق نهج الوصول

  29. أغلق علامة تبويب محرر النهج المرئي.

    لقطة شاشة لخيار تطبيق نهج الوصول.

نشر خدمة VPN

يتطلب APM خادما ظاهريا للواجهة الأمامية للاستماع للعملاء المتصلين بشبكة VPN.

  1. حدد قائمة الخادمالظاهري للخوادم>الظاهريةلنسبة استخدام الشبكة> المحلية.

  2. حدد Create.

  3. بالنسبة إلى خادم VPN الظاهري، أدخل اسما، على سبيل المثال، VPN_Listener.

  4. حدد عنوان وجهة IP غير مستخدم مع التوجيه لتلقي نسبة استخدام الشبكة للعميل.

  5. تعيين منفذ الخدمة إلى 443 HTTPS.

  6. بالنسبة إلى State، تأكد من تحديد Enabled .

    لقطة شاشة لإدخالات الاسم وعنوان الوجهة أو القناع في الخصائص العامة.

  7. قم بتعيين ملف تعريف HTTP إلى http.

  8. أضف ملف تعريف SSL (العميل) لشهادة SSL العامة التي أنشأتها.

    لقطة شاشة لإدخال HTTP Profile للعميل، وإدخالات ملف تعريف SSL المحددة للعميل.

  9. لاستخدام عناصر VPN التي تم إنشاؤها، ضمن نهج الوصول، قم بتعيين ملف تعريف الوصول وملفتعريف الاتصال.

    لقطة شاشة لإدخالات ملف تعريف الوصول وملف تعريف الاتصال في نهج الوصول.

  10. حدد Finished.

يتم نشر خدمة SSL-VPN الخاصة بك ويمكن الوصول إليها عبر SHA، إما باستخدام عنوان URL الخاص بها أو من خلال مداخل تطبيقات Microsoft.

الخطوات التالية

  1. افتح مستعرضا على عميل Windows بعيد.

  2. استعرض للوصول إلى عنوان URL لخدمة BIG-IP VPN .

  3. يظهر مدخل BIG-IP webtop ومشغل VPN.

    لقطة شاشة لصفحة بوابة شبكة Contoso مع مؤشر الوصول إلى الشبكة.

ملاحظة

حدد لوحة VPN لتثبيت عميل BIG-IP Edge وإنشاء اتصال VPN تم تكوينه ل SHA. يظهر تطبيق F5 VPN كمورد مستهدف في Microsoft Entra الوصول المشروط. راجع نهج الوصول المشروط لتمكين المستخدمين من المصادقة بدون كلمة مرور لمعرف Microsoft Entra.

الموارد