البرنامج التعليمي: تكوين F5 BIG-IP SSL-VPN Microsoft Entra SSO
في هذا البرنامج التعليمي، تعرف على كيفية دمج الشبكة الخاصة الظاهرية لطبقة مأخذ التوصيل الآمنة المستندة إلى F5 BIG-IP (SSL-VPN) مع معرف Microsoft Entra للوصول المختلط الآمن (SHA).
يوفر تمكين BIG-IP SSL-VPN لتسجيل الدخول الأحادي (SSO) Microsoft Entra العديد من الفوائد، بما في ذلك:
- تحسين إدارة الثقة المعدومة من خلال Microsoft Entra المصادقة المسبقة والوصول المشروط.
- المصادقة بدون كلمة مرور لخدمة VPN
- إدارة الهويات والوصول من وحدة تحكم واحدة، مركز إدارة Microsoft Entra
للتعرف على المزيد من الفوائد، راجع
ملاحظة
تظل الشبكات الظاهرية الخاصة الكلاسيكية موجهة للشبكة، وغالبا ما توفر وصولا بسيطا أو معدوما إلى تطبيقات الشركات. نحن نشجع على اتباع نهج أكثر تركز على الهوية لتحقيق ثقة معدومة. تعرف على المزيد: خمس خطوات لدمج جميع تطبيقاتك مع معرف Microsoft Entra.
وصف السيناريو
في هذا السيناريو، يتم تكوين مثيل BIG-IP APM لخدمة SSL-VPN كموفر خدمة SAML (SP) ومعرف Microsoft Entra هو SAML IDP الموثوق به. يتم توفير تسجيل الدخول الأحادي من معرف Microsoft Entra من خلال المصادقة المستندة إلى المطالبات إلى BIG-IP APM، وهي تجربة وصول سلسة إلى VPN.
ملاحظة
استبدل سلاسل المثال أو القيم في هذا الدليل بتلك الموجودة في بيئتك.
المتطلبات الأساسية
الخبرة السابقة أو المعرفة من F5 BIG-IP ليست ضرورية، ومع ذلك، ستحتاج:
- اشتراك Microsoft Entra
- إذا لم يكن لديك حساب، يمكنك الحصول على حساب Azure مجاني أو أعلى
- تتم مزامنة هويات المستخدم من الدليل المحلي الخاص بهم إلى معرف Microsoft Entra.
- أحد الأدوار التالية: مسؤول عام، أو مسؤول تطبيق سحابي، أو مسؤول التطبيق.
- البنية الأساسية BIG-IP مع توجيه نسبة استخدام الشبكة للعميل من وإلى BIG-IP
- سجل لخدمة VPN المنشورة BIG-IP في DNS العام
- أو ملف المضيف المحلي لعميل الاختبار أثناء الاختبار
- BIG-IP المزود بشهادات SSL المطلوبة لنشر الخدمات عبر HTTPS
لتحسين تجربة البرنامج التعليمي، يمكنك تعلم المصطلحات القياسية للصناعة على مسرد F5 BIG-IP.
إضافة F5 BIG-IP من معرض Microsoft Entra
تلميح
قد تختلف الخطوات الواردة في هذه المقالة قليلا استنادا إلى المدخل الذي تبدأ منه.
قم بإعداد ثقة اتحاد SAML بين BIG-IP للسماح Microsoft Entra BIG-IP بتسليم المصادقة المسبقة والوصول المشروط إلى معرف Microsoft Entra، قبل أن يمنح حق الوصول إلى خدمة VPN المنشورة.
- سجل الدخول إلى مركز إدارة Microsoft Entraكمسؤول تطبيق سحابي على الأقل.
- استعرض للوصول إلىتطبيقات>الهوية>تطبيقات> المؤسسةجميع التطبيقات، ثم حدد تطبيق جديد.
- في المعرض، ابحث عن F5 وحدد F5 BIG-IP APM Azure AD التكامل.
- أدخل اسمًا للتطبيق.
- حدد إضافة ثم إنشاء.
- يظهر الاسم، كأيقونة، في مركز إدارة Microsoft Entra ومدخل Office 365.
تكوين تسجيل الدخول الأحادي Microsoft Entra
- باستخدام خصائص تطبيق F5، انتقل إلى إدارة>تسجيل الدخول الأحادي.
- في الصفحة اختر تسجيل الدخول الأحادي واختر SAML.
- حدد لا، سأحفظ لاحقا.
- في قائمة إعداد تسجيل الدخول الأحادي باستخدام SAML ، حدد أيقونة القلم لتكوين SAML الأساسي.
- استبدل عنوان URL للمعرف بعنوان URL للخدمة المنشورة BIG-IP. على سبيل المثال،
https://ssl-vpn.contoso.com
. - استبدل عنوان URL للرد ومسار نقطة نهاية SAML. على سبيل المثال،
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.
ملاحظة
في هذا التكوين، يعمل التطبيق في وضع بدأه موفر الهوية: Microsoft Entra ID يصدر تأكيد SAML قبل إعادة التوجيه إلى خدمة BIG-IP SAML.
- بالنسبة للتطبيقات التي لا تدعم الوضع الذي بدأه موفر الهوية، لخدمة BIG-IP SAML، حدد عنوان URL لتسجيل الدخول، على سبيل المثال،
https://ssl-vpn.contoso.com
. - بالنسبة إلى عنوان URL لتسجيل الخروج، أدخل نقطة نهاية تسجيل الخروج الأحادي (SLO) BIG-IP APM التي تم تحديدها مسبقا بواسطة عنوان المضيف للخدمة التي يتم نشرها. على سبيل المثال،
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
ملاحظة
يضمن عنوان URL SLO إنهاء جلسة عمل المستخدم، في BIG-IP ومعرف Microsoft Entra، بعد تسجيل خروج المستخدم. يحتوي BIG-IP APM على خيار لإنهاء جميع الجلسات عند استدعاء عنوان URL للتطبيق. تعرف على المزيد حول مقالة F5، K12056: نظرة عامة على خيار تضمين عنوان URI لتسجيل الخروج.
ملاحظة
من الإصدار 16 من TMOS، تم تغيير نقطة نهاية SAML SLO إلى /saml/sp/profile/redirect/slo.
تحديد الحفظ
تخطي موجه اختبار SSO.
في خصائص مطالبات سمات & المستخدم ، لاحظ التفاصيل.
يمكنك إضافة مطالبات أخرى إلى الخدمة المنشورة BIG-IP. يتم إصدار المطالبات المعرفة بالإضافة إلى المجموعة الافتراضية إذا كانت في معرف Microsoft Entra. حدد أدوار الدليل أو عضويات المجموعة مقابل عنصر مستخدم في معرف Microsoft Entra، قبل أن يمكن إصدارها كمطالبة.
شهادات توقيع SAML التي تم إنشاؤها بواسطة معرف Microsoft Entra لها عمر ثلاث سنوات.
تخويل Microsoft Entra
بشكل افتراضي، يصدر معرف Microsoft Entra الرموز المميزة للمستخدمين الذين لديهم حق الوصول الممنوح إلى خدمة.
في طريقة عرض تكوين التطبيق، حدد المستخدمين والمجموعات.
حدد + Add user.
في قائمة Add Assignment ، حدد Users and groups.
في مربع الحوار Users and groups ، أضف مجموعات المستخدمين المصرح لها بالوصول إلى VPN
حدد Select>Assign.
يمكنك إعداد BIG-IP APM لنشر خدمة SSL-VPN. قم بتكوينه مع الخصائص المقابلة لإكمال الثقة للمصادقة المسبقة ل SAML.
تكوينBIG-IP APM
اتحاد SAML
لإكمال توحيد خدمة VPN بمعرف Microsoft Entra، قم بإنشاء موفر خدمة BIG-IP SAML وعناصر SAML IDP المقابلة.
انتقل إلى Access>Federation>SAML Service Provider>Local SP Services.
حدد Create.
أدخل Nameومعرف الكيان المحدد في معرف Microsoft Entra.
أدخل Host FQDN للاتصال بالتطبيق.
ملاحظة
إذا لم يكن معرف الكيان مطابقا تماما لاسم مضيف عنوان URL المنشور، فبادر بتكوين إعدادات اسم SP، أو نفذ هذا الإجراء إذا لم يكن بتنسيق عنوان URL لاسم المضيف. إذا كان معرف الكيان هو urn:ssl-vpn:contosoonline
، فوفر النظام الخارجي واسم المضيف للتطبيق الذي يتم نشره.
مرر لأسفل لتحديد كائن SAML SP الجديد.
حدد Bind/UnBind IDP Connectors.
حدد Create New IDP Connector.
من القائمة المنسدلة، حدد من بيانات التعريف
استعرض للوصول إلى ملف XML لبيانات تعريف الاتحاد الذي قمت بتنزيله.
بالنسبة لكائن APM، قم بتوفير اسم موفر الهوية الذي يمثل SAML IdP الخارجي.
لتحديد موصل IdP الخارجي Microsoft Entra الجديد، حدد إضافة صف جديد.
حدد تحديث.
حدد "OK".
تكوين سطح الويب
تمكين SSL-VPN ليتم تقديمها للمستخدمين عبر مدخل ويب BIG-IP.
انتقل إلى Access>Webtops>Webtop Lists.
حدد Create.
أدخل اسم المدخل.
قم بتعيين النوع إلى كامل، على سبيل المثال،
Contoso_webtop
.أكمل التفضيلات المتبقية.
حدد Finished.
تكوين VPN
تتحكم عناصر VPN في جوانب الخدمة الشاملة.
انتقل إلى Access>Connectivity/VPN>Network Access (VPN)>IPV4 Lease Pools
حدد Create.
أدخل اسما لتجمع عناوين IP المخصص لعملاء VPN. على سبيل المثال، Contoso_vpn_pool.
تعيين النوع إلى نطاق عناوين IP.
أدخل عنوان IP للبدء والنهاية.
حدد إضافة.
حدد Finished.
توفر قائمة الوصول إلى الشبكة الخدمة بإعدادات IP وDNS من تجمع VPN وأذونات توجيه المستخدم ويمكنها تشغيل التطبيقات.
انتقل إلى Access>Connectivity/VPN: Network Access (VPN)>قوائم الوصول إلى الشبكة.
حدد Create.
أدخل اسما لقائمة الوصول إلى VPN والتسمية التوضيحية، على سبيل المثال، Contoso-VPN.
حدد Finished.
من الشريط العلوي، حدد إعدادات الشبكة.
لإصدار IP المدعوم: IPV4.
بالنسبة إلى IPV4 Lease Pool، حدد تجمع VPN الذي تم إنشاؤه، على سبيل المثال، Contoso_vpn_pool
ملاحظة
استخدم خيارات إعدادات العميل لفرض قيود على كيفية توجيه نسبة استخدام الشبكة للعميل في VPN تم إنشاؤه.
حدد Finished.
انتقل إلى علامة التبويب DNS/Hosts .
بالنسبة لخادم الاسم الأساسي IPV4: عنوان IP ل DNS للبيئة
بالنسبة للاحقة المجال الافتراضي ل DNS: لاحقة المجال لاتصال VPN هذا. على سبيل المثال: contoso.com
ملاحظة
راجع مقالة F5، تكوين موارد الوصول إلى الشبكة لإعدادات أخرى.
مطلوب ملف تعريف اتصال BIG-IP لتكوين إعدادات نوع عميل VPN التي تحتاج خدمة VPN إلى دعمها. على سبيل المثال، Windows وOSX وAndroid.
انتقل إلى Access>Connectivity/VPN>Connectivity>Profiles
حدد إضافة.
أدخل اسم ملف تعريف.
قم بتعيين ملف التعريف الأصل إلى /Common/connectivity، على سبيل المثال، Contoso_VPN_Profile.
لمزيد من المعلومات حول دعم العميل، راجع مقالة F5 وF5 Access وعميل BIG-IP Edge.
تكوين ملف تعريف الوصول
يتيح نهج الوصول الخدمة لمصادقة SAML.
انتقل إلى Access>Profiles/Policies>Access Profiles (نهج لكل جلسة عمل).
حدد Create.
أدخل اسم ملف تعريف ونوع ملف التعريف.
حدد الكل، على سبيل المثال، Contoso_network_access.
التمرير لأسفل وإضافة لغة واحدة على الأقل إلى قائمة اللغات المقبولة
حدد Finished.
في ملف تعريف الوصول الجديد، في حقل نهج Per-Session، حدد تحرير.
يفتح محرر النهج المرئي في علامة تبويب جديدة.
حدد العلامة + .
في القائمة، حدد Authentication>SAML Auth.
حدد إضافة عنصر.
في تكوين SAML authentication SP، حدد كائن VPN SAML SP الذي أنشأته
حدد حفظ.
بالنسبة إلى الفرع الناجح لمصادقة SAML، حدد + .
من علامة التبويب Assignment، حدد Advanced Resource Assign.
حدد إضافة عنصر.
في النافذة المنبثقة، حدد إدخال جديد
حدد إضافة/حذف.
في النافذة، حدد Network Access.
حدد ملف تعريف الوصول إلى الشبكة الذي أنشأته.
انتقل إلى علامة التبويب Webtop .
أضف كائن Webtop الذي أنشأته.
حدد تحديث.
حدد حفظ.
لتغيير الفرع ناجح، حدد الارتباط في المربع العلوي رفض .
تظهر تسمية السماح.
حفظ.
حدد تطبيق نهج الوصول
أغلق علامة تبويب محرر النهج المرئي.
نشر خدمة VPN
يتطلب APM خادما ظاهريا للواجهة الأمامية للاستماع للعملاء المتصلين بشبكة VPN.
حدد قائمة الخادمالظاهري للخوادم>الظاهريةلنسبة استخدام الشبكة> المحلية.
حدد Create.
بالنسبة إلى خادم VPN الظاهري، أدخل اسما، على سبيل المثال، VPN_Listener.
حدد عنوان وجهة IP غير مستخدم مع التوجيه لتلقي نسبة استخدام الشبكة للعميل.
تعيين منفذ الخدمة إلى 443 HTTPS.
بالنسبة إلى State، تأكد من تحديد Enabled .
قم بتعيين ملف تعريف HTTP إلى http.
أضف ملف تعريف SSL (العميل) لشهادة SSL العامة التي أنشأتها.
لاستخدام عناصر VPN التي تم إنشاؤها، ضمن نهج الوصول، قم بتعيين ملف تعريف الوصول وملفتعريف الاتصال.
حدد Finished.
يتم نشر خدمة SSL-VPN الخاصة بك ويمكن الوصول إليها عبر SHA، إما باستخدام عنوان URL الخاص بها أو من خلال مداخل تطبيقات Microsoft.
الخطوات التالية
افتح مستعرضا على عميل Windows بعيد.
استعرض للوصول إلى عنوان URL لخدمة BIG-IP VPN .
يظهر مدخل BIG-IP webtop ومشغل VPN.
ملاحظة
حدد لوحة VPN لتثبيت عميل BIG-IP Edge وإنشاء اتصال VPN تم تكوينه ل SHA. يظهر تطبيق F5 VPN كمورد مستهدف في Microsoft Entra الوصول المشروط. راجع نهج الوصول المشروط لتمكين المستخدمين من المصادقة بدون كلمة مرور لمعرف Microsoft Entra.