Sdílet prostřednictvím

Kurz: Konfigurace F5 BIG-IP SSL-VPN pro jednotné přihlašování Microsoft Entra

  • Článek

V tomto kurzu se dozvíte, jak integrovat protokol F5 BIG-IP s virtuální privátní sítí ssl-VPN (Secure Socket Layer) s Microsoft Entra ID pro zabezpečený hybridní přístup (SHA).

Povolení SÍTĚ SSL-VPN s VELKÝMI IP adresami pro jednotné přihlašování (SSO) microsoftu Entra nabízí mnoho výhod, mezi které patří:

Další informace o výhodách najdete v tématu

Popis scénáře

V tomto scénáři je instance APM (BIG-IP Access Policy Manager) služby SSL-VPN nakonfigurovaná jako poskytovatel služby SAML (Security Assertion Markup Language) a Microsoft Entra ID je důvěryhodný zprostředkovatel identity SAML (IdP). Jednotné přihlašování (SSO) z Microsoft Entra ID je prostřednictvím ověřování na základě deklarací identity k APM BIG-IP, bezproblémovému přístupu k virtuální privátní síti (VPN).

Diagram architektury integrace

Poznámka:

Nahraďte ukázkové řetězce nebo hodnoty v tomto průvodci hodnotami ve vašem prostředí.

Požadavky

Předchozí zkušenosti nebo znalosti F5 BIG-IP nejsou nutné, ale potřebujete:

  • Předplatné Microsoft Entra
  • Identity uživatelů synchronizované z místního adresáře do Microsoft Entra ID
  • Jedna z následujících rolí: Správce cloudových aplikací nebo Správce aplikací
  • Infrastruktura BIG-IP se směrováním provozu klientů do a z BIG-IP
  • Záznam publikované služby VPN BIG-IP na názvovém serveru veřejné domény (DNS)
    • Nebo testovací soubor localhost klienta při testování
  • Big-IP zřízená s potřebnými certifikáty SSL pro publikování služeb přes HTTPS

Pokud chcete vylepšovat výukové prostředí, můžete se naučit standardní terminologii f5 BIG-IP glosáře.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Nastavte vztah důvěryhodnosti federace SAML mezi big-IP adresou, aby microsoft Entra BIG-IP mohl předat předběžné ověření a podmíněný přístup k ID Microsoft Entra před udělením přístupu k publikované službě VPN.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace a pak vyberte Nová aplikace.
  3. V galerii vyhledejte F5 a vyberte F5 BIG-IP APM Integrace Microsoft Entra ID.
  4. Zadejte název aplikace.
  5. Vyberte Přidat a pak Vytvořit.
  6. Název se zobrazí jako ikona v Centru pro správu Microsoft Entra a na portálu Office 365.

Konfigurace jednotného přihlašování Microsoft Entra

  1. Ve vlastnostech aplikace F5 přejděte na Spravovat>jednotné přihlašování.

  2. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  3. Vyberte Ne, uložím ho později.

  4. V nabídce Nastavení jednotného přihlašování pomocí SAML vyberte ikonu pera pro základní konfiguraci SAML.

  5. Adresu URL identifikátoru nahraďte adresou URL publikované služby BIG-IP. Například https://ssl-vpn.contoso.com.

  6. Nahraďte adresu URL odpovědi a cestu ke koncovému bodu SAML. Například https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Poznámka:

    V této konfiguraci aplikace pracuje v režimu iniciovaném adresou IDP: Microsoft Entra ID vydá kontrolní výraz SAML před přesměrováním na službu SAML s velkými IP adresami.

  7. U aplikací, které nepodporují režim iniciovaný adresou IDP, zadejte pro službu SAML BIG-IP například přihlašovací adresu URLhttps://ssl-vpn.contoso.com.

  8. Jako adresu URL odhlášení zadejte koncový bod SLO (Big-IP APM Single Logout) před hlavičkou hostitele publikované služby. Například https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Poznámka:

    Adresa URL SLO zajišťuje, že se relace uživatele ukončí po odhlášení uživatele na adrese BIG-IP a Microsoft Entra ID. BIG-IP APM má možnost ukončit všechny relace při volání adresy URL aplikace. Další informace najdete v článku F5 K12056 : Přehled možnosti Zahrnout identifikátor URI odhlášení.

Snímek obrazovky se základními adresami URL konfigurace SAML.

Poznámka:

Z TMOS v16 se koncový bod SLO SAML změnil na /saml/sp/profile/redirect/slo.

  1. Zvolte Uložit.

  2. Přeskočte výzvu testu jednotného přihlašování.

  3. Ve vlastnostech atributů a deklarací identity uživatele si prohlédněte podrobnosti.

    Snímek obrazovky s atributy uživatele a vlastnostmi deklarací identity

Do publikované služby BIG-IP můžete přidat další deklarace identity. Deklarace identity definované kromě výchozí sady se vydávají, pokud jsou v MICROSOFT Entra ID. Před vydáním deklarace identity definujte role adresáře nebo členství ve skupinách vůči objektu uživatele v Microsoft Entra ID.

Podpisové certifikáty SAML vytvořené microsoftem Entra ID mají životnost tří let.

Autorizace Microsoft Entra

Ve výchozím nastavení Microsoft Entra ID vydává tokeny uživatelům s uděleným přístupem ke službě.

  1. V zobrazení konfigurace aplikace vyberte Uživatelé a skupiny.

  2. Vyberte + Přidat uživatele.

  3. V nabídce Přidat přiřazení vyberte Uživatelé a skupiny.

  4. V dialogovém okně Uživatelé a skupiny přidejte skupiny uživatelů autorizované pro přístup k síti VPN.

  5. Vyberte Vybrat>přiřadit.

    Snímek obrazovky s možností Přidat uživatele

Pro publikování služby SSL-VPN můžete nastavit službu BIG-IP APM. Nakonfigurujte ho s odpovídajícími vlastnostmi pro dokončení vztahu důvěryhodnosti předběžného ověření SAML.

Konfigurace APM s velkými IP adresami

Federace SAML

Pokud chcete dokončit federování služby VPN s Id Microsoft Entra, vytvořte poskytovatele služby SAML s velkými IP adresami a odpovídajícími objekty IDP SAML.

  1. Přejděte do části Přístup k místním službám>SP Services zprostředkovatele>federačních>služeb SAML.

  2. Vyberte Vytvořit.

    Snímek obrazovky s možností Vytvořit na stránce Místní služby SP Services

  3. Zadejte název a ID entity definované v Microsoft Entra ID.

  4. Zadejte plně kvalifikovaný název domény hostitele (FQDN) pro připojení k aplikaci.

    Snímek obrazovky s položkami názvu a entity

    Poznámka:

    Pokud ID entity není přesnou shodou názvu hostitele publikované adresy URL, nakonfigurujte nastavení názvu sp nebo proveďte tuto akci, pokud není ve formátu adresy URL názvu hostitele. Pokud je urn:ssl-vpn:contosoonlineID entity, zadejte externí schéma a název hostitele publikované aplikace.

  5. Posuňte se dolů a vyberte nový objekt SAML SP.

  6. Vyberte Konektory IDP s vazbou nebo zrušením vazby.

    Snímek obrazovky s možností Vytvořit vazbu bez vazby připojení ZDP na stránce Místní služby SP Services

  7. Vyberte Vytvořit nový konektor IDP.

  8. V rozevírací nabídce vyberte Z metadat.

    Snímek obrazovky s možností Z metadat na stránce Upravit zprostředkovatele identity SAML

  9. Přejděte do souboru XML federačních metadat, který jste stáhli.

  10. Pro objekt APM zadejte název zprostředkovatele identity, který představuje externí zprostředkovatele identity SAML IdP.

  11. Pokud chcete vybrat nový externí konektor Microsoft Entra IdP, vyberte Přidat nový řádek.

    Snímek obrazovky s možností Konektory SAML IdP na stránce Upravit zprostředkovatele identity SAML

  12. Vyberte Aktualizovat.

  13. Vyberte OK.

    Snímek obrazovky s odkazem Common, VPN Azure na stránce Upravit zprostředkovatele identity SAML

Konfigurace webového vrcholu

Povolte nabízení SSL-VPN uživatelům prostřednictvím webového portálu BIG-IP.

  1. Přejděte na Webtops Webtops Seznamy webových stránek>aplikace Access.>

  2. Vyberte Vytvořit.

  3. Zadejte název portálu.

  4. Nastavte typ na Hodnotu Úplná, například Contoso_webtop.

  5. Dokončete zbývající předvolby.

  6. Vyberte Dokončeno.

    Snímek obrazovky s položkami názvu a typu v obecných vlastnostech

Konfigurace sítě VPN

Prvky SÍTĚ VPN řídí aspekty celkové služby.

  1. Přejděte na Přístup k možnostem>Připojení / Přístup k síti VPN>(VPN)>Fondy zapůjčení PROTOKOLU IPV4

  2. Vyberte Vytvořit.

  3. Zadejte název fondu IP adres přidělených klientům VPN. Například Contoso_vpn_pool.

  4. Nastavte typ na rozsah IP adres.

  5. Zadejte počáteční a koncovou IP adresu.

  6. Vyberte Přidat.

  7. Vyberte Dokončeno.

    Snímek obrazovky s položkami seznamu jmen a členů v obecných vlastnostech

Seznam přístupu k síti zřídí službu s nastavením IP a DNS z fondu SÍTĚ VPN, oprávněními směrování uživatelů a může spouštět aplikace.

  1. Přejděte do části Připojení k přístupu>nebo VPN: Seznamy přístupu k síti (VPN).>a0>

  2. Vyberte Vytvořit.

  3. Zadejte název přístupového seznamu a titulku VPN, například Contoso-VPN.

  4. Vyberte Dokončeno.

    Snímek obrazovky s položkou názvu v části Obecné vlastnosti a položkou titulku v nastavení přizpůsobení pro angličtinu

  5. Na horním pásu karet vyberte Nastavení sítě.

  6. Pro podporovanou verzi IP adresy: IPV4.

  7. V případě fondu zapůjčení IPV4 vyberte vytvořený fond VPN, například Contoso_vpn_pool

    Snímek obrazovky s položkou fondu zapůjčení IPV4 v obecných nastaveních

    Poznámka:

    Pomocí možností Nastavení klienta vynucujte omezení směrování provozu klienta v zavedené síti VPN.

  8. Vyberte Dokončeno.

  9. Přejděte na kartu DNS/Hostitelé .

  10. Primární názvový server IPV4: IP adresa DNS vašeho prostředí

  11. Pro výchozí příponu domény DNS: Přípona domény pro toto připojení VPN. Například contoso.com

    Snímek obrazovky s položkami pro název primárního serveru IPV4 a výchozí příponu domény DNS

Poznámka:

Další nastavení najdete v článku F5 Konfigurace prostředků síťového přístupu.

Profil připojení BIG-IP se vyžaduje ke konfiguraci nastavení typu klienta VPN, které služba VPN potřebuje podporovat. Například Windows, OSX a Android.

  1. Přejděte na Přístup k možnostem>připojení nebo profily připojení>VPN.>

  2. Vyberte Přidat.

  3. Zadejte název profilu.

  4. Nastavte nadřazený profil na hodnotu /Common/connectivity, například Contoso_VPN_Profile.

    Snímek obrazovky s položkami názvu profilu a nadřazeného názvu v části Vytvořit nový profil připojení

Konfigurace profilu přístupu

Zásady přístupu umožňují službě ověřování SAML.

  1. Přejděte do profilů přístupu>nebo profilů přístupu k zásadám>(zásady pro jednotlivé relace).

  2. Vyberte Vytvořit.

  3. Zadejte název profilu a typ profilu.

  4. Vyberte například vše, Contoso_network_access.

  5. Posuňte se dolů a přidejte alespoň jeden jazyk do seznamu Akceptované jazyky .

  6. Vyberte Dokončeno.

    Snímek obrazovky s položkami Název, Typ profilu a Jazyk v novém profilu

  7. V novém přístupovém profilu v poli Zásady relace vyberte Upravit.

  8. Editor zásad vizuálu se otevře na nové kartě.

    Snímek obrazovky s možností Upravit v accessových profilech a předprodejních zásadách

  9. Vyberte znaménko + .

  10. V nabídce vyberte Ověřování>SAML Auth.

  11. Vyberte Přidat položku.

  12. V konfiguraci sp ověřování SAML vyberte objekt VPN SAML SP, který jste vytvořili.

  13. Zvolte Uložit.

    Snímek obrazovky s položkou Serveru AAA v části SAML Authentication SP na kartě Vlastnosti

  14. Pro úspěšnou větev ověřování SAML vyberte + .

  15. Na kartě Přiřazení vyberte Upřesnit přiřazení zdroje.

  16. Vyberte Přidat položku.

  17. V automaticky otevírané nabídce vyberte Nová položka.

  18. Vyberte Přidat nebo odstranit.

  19. V okně vyberte Síťový přístup.

  20. Vyberte profil síťového přístupu, který jste vytvořili.

    Snímek obrazovky s tlačítkem Přidat novou položku v přiřazení zdrojů na kartě Vlastnosti

  21. Přejděte na kartu Webtop .

  22. Přidejte objekt Webtop, který jste vytvořili.

    Snímek obrazovky s vytvořenou webtopovou částí na kartě Webtop

  23. Vyberte Aktualizovat.

  24. Vyberte Uložit.

  25. Pokud chcete změnit úspěšnou větev, vyberte odkaz v horním poli Odepřít .

  26. Zobrazí se popisek Povolit.

  27. Uložte.

    Snímek obrazovky s možností Odepřít v zásadách přístupu

  28. Výběr možnosti Použít zásady přístupu

  29. Zavřete kartu editoru zásad vizuálu.

    Snímek obrazovky s možností Použít zásadu přístupu

Publikování služby VPN

APM vyžaduje front-endový virtuální server, který naslouchá klientům připojujícím se k síti VPN.

  1. Vyberte seznam virtuálních serverů>místního provozu>.

  2. Vyberte Vytvořit.

  3. Jako virtuální server VPN zadejte název, například VPN_Listener.

  4. Vyberte nepoužitou cílovou adresu IP se směrováním pro příjem provozu klienta.

  5. Nastavte port služby na 443 HTTPS.

  6. V případě stavu se ujistěte, že je vybraná možnost Povoleno .

    Snímek obrazovky s položkami Název a Cílová adresa nebo Maska v obecných vlastnostech

  7. Nastavte profil HTTP na http.

  8. Přidejte profil SSL (klient) pro veřejný certifikát SSL, který jste vytvořili.

    Snímek obrazovky s položkou profilu HTTP pro klienta a vybranými položkami profilu SSL pro klienta

  9. Pokud chcete použít vytvořené objekty VPN, v části Zásady přístupu nastavte profil přístupu a profil připojení.

    Snímek obrazovky s položkami profilu přístupu a profilu připojení v zásadách přístupu

  10. Vyberte Dokončeno.

Vaše služba SSL-VPN je publikovaná a přístupná prostřednictvím SHA, ať už s její adresou URL, nebo prostřednictvím portálů aplikací Microsoftu.

Další kroky

  1. Otevřete prohlížeč na vzdáleném klientovi Windows.

  2. Přejděte na adresu URL služby VPN TYPU BIG-IP.

  3. Zobrazí se portál webtopu BIG-IP a spouštěč VPN.

    Snímek obrazovky se stránkou Portál sítě Contoso s indikátorem přístupu k síti

    Poznámka:

    Výběrem dlaždice VPN nainstalujte klienta BIG-IP Edge a vytvořte připojení VPN nakonfigurované pro SHA. Aplikace F5 VPN je viditelná jako cílový prostředek v podmíněném přístupu Microsoft Entra. Přečtěte si zásady podmíněného přístupu, které uživatelům umožňují ověřování bez hesla microsoft Entra ID.

Zdroje informací