Acerca de los grupos de usuarios y los grupos de direcciones IP para las VPN de punto a sitio de usuario
Puede configurar las VPN P2S de usuario para asignar a los usuarios direcciones IP de grupos de direcciones específicos en función de sus credenciales de identidad o autenticación mediante la creación de grupos de usuarios. En este artículo se describen las distintas configuraciones y parámetros que usa VPN Gateway P2S de Virtual WAN para determinar grupos de usuarios y asignar direcciones IP. Para saber cómo configurar los pasos, consulte Configuración de grupos de usuarios y grupos de direcciones IP para VPN de usuario P2S.
En este artículo se tratan los siguientes conceptos:
- Conceptos de configuración del servidor
- Grupos de usuarios
- Miembros del grupo
- Grupo de directivas predeterminado
- Prioridad de grupo
- Configuración de grupo disponible
- Conceptos de puerta de enlace
- Requisitos y limitaciones de configuración
- Casos de uso
Conceptos de configuración del servidor
En las secciones siguientes se explican los términos y valores comunes que se usan para la configuración del servidor.
Grupos de usuarios (grupos de directivas)
Un grupo de usuarios o un grupo de directivas es una representación lógica de un grupo de usuarios a los que se deben asignar direcciones IP del mismo grupo de direcciones.
Miembros de grupo (miembros de directiva)
Los grupos de usuarios constan de miembros. Los miembros no se corresponden con usuarios individuales, sino que definen los criterios usados para determinar de qué grupo forma parte un usuario que se conecta. Un único grupo puede tener varios miembros. Si un usuario que se conecta coincide con los criterios especificados para uno de los miembros del grupo, se considera que el usuario forma parte de ese grupo y se le puede asignar una dirección IP adecuada. Los tipos de parámetros de miembro disponibles dependen de los métodos de autenticación especificados en la configuración del servidor VPN. Para una lista de criterios disponibles, consulte la sección Configuración de grupo disponible en este artículo.
Grupo predeterminado de usuarios o directivas
Para cada configuración de servidor VPN P2S, se debe seleccionar un grupo como predeterminado. Los usuarios que presentan credenciales que no coinciden con ninguna configuración de grupo se consideran parte del grupo predeterminado. Una vez creado un grupo, no se puede cambiar la configuración predeterminada de ese grupo.
Prioridad de grupo
A cada grupo también se le asigna una prioridad numérica. Las grupos con prioridad más baja se evalúan primero. Esto significa que si un usuario presenta credenciales que coinciden con la configuración de varios grupos, se considera parte del grupo con la prioridad más baja. Por ejemplo, si el usuario A presenta una credencial que corresponde al grupo de TI (prioridad 3) y al grupo de Finanzas (prioridad 4), el usuario A se considera parte del grupo de TI al asignar direcciones IP.
Configuración de grupo disponible
En la sección siguiente se describen los distintos parámetros que se pueden usar para definir los miembros de los grupos de los que forman parte. Los parámetros disponibles varían en función de los métodos de autenticación seleccionados. En la tabla siguiente se resumen los tipos de configuración disponibles y los valores aceptables. Para información más detallada sobre cada tipo de valor de miembro, vea la sección correspondiente al tipo de autenticación.
| Tipo de autenticación | Tipo de miembro | Valores de miembro | Valor de ejemplo |
|---|---|---|---|
| Microsoft Entra ID | AADGroupID | Identificador de objeto del grupo de Microsoft Entra | {valor de id. de objeto} |
| RADIUS | AzureRADIUSGroupID | Valor de atributo específico del proveedor (hexadecimal) (debe comenzar por 6ad1bd) | 6ad1bd23 |
| Certificado | AzureCertificateID | Nombre de dominio de nombre común del certificado (CN=user@red.com) | rojo |
Autenticación de Microsoft Entra (solo OpenVPN)
Las puertas de enlace que usan la autenticación de Microsoft Entra pueden usar identificadores de objeto del grupo de Microsoft Entra para determinar a qué grupo de usuarios pertenece un usuario. Si un usuario forma parte de varios grupos de Microsoft Entra, se considera que forma parte del grupo de usuarios de VPN de punto a sitio que tiene la prioridad numérica más baja.
Pero si tiene previsto que se conecten usuarios externos (aquellos que no forman parte del dominio de Microsoft Entra configurado en VPN Gateway) a la instancia de VPN Gateway de punto a sitio, asegúrese de que el tipo de usuario de los usuarios externos sea "Miembro" y no "Invitado". Asegúrese también de que el "Nombre" de los usuarios esté establecido en la dirección de correo electrónico de dichos usuarios. Si el tipo de usuario y el nombre del usuario que se conecta no se establecen correctamente como se ha descrito anteriormente, o bien no puede establecer un miembro externo como "Miembro" de su dominio de Microsoft Entra, ese usuario se asignará al grupo predeterminado y se le asigna una dirección IP del grupo de direcciones IP predeterminado.
También puede identificar si un usuario es externo examinando el nombre principal de usuario del usuario. Los usuarios externos tienen #EXT en su nombre principal de usuario.
Certificado de Azure (OpenVPN e IKEv2)
Las puertas de enlace que usan la autenticación basada en certificados usan el nombre de dominio de los nombres comunes (CN) del certificado de usuario para determinar en qué grupo se encuentra un usuario que se conecta. Los nombres comunes deben estar en uno de los formatos siguientes:
- dominio/nombre de usuario
- username@domain.com
Asegúrese de que el dominio sea la entrada de un miembro del grupo.
Servidor RADIUS (OpenVPN e IKEv2)
Las puertas de enlace que usan la autenticación basada en RADIUS usan un nuevo atributo específico del proveedor (VSA) para determinar los grupos de usuarios de VPN. Cuando la autenticación basada en RADIUS se configura en la puerta de enlace P2S, esta actúa como proxy de servidor de directivas de red (NPS). Esto significa que VPN Gateway P2S actúa como cliente para autenticar a los usuarios con el servidor RADIUS mediante el protocolo RADIUS.
Una vez que el servidor RADIUS haya comprobado correctamente las credenciales del usuario, el servidor RADIUS se puede configurar para enviar un nuevo atributo específico del proveedor (VSA) como parte de los paquetes de aceptación de acceso. VPN Gateway P2S procesa el VSA en los paquetes de aceptación de acceso y asigna direcciones IP específicas a los usuarios en función del valor de los VSA.
Por lo tanto, los servidores RADIUS deben configurarse para enviar un VSA con el mismo valor para todos los usuarios que forman parte del mismo grupo.
Nota
El valor de VSA debe ser una cadena hexadecimal de octetos en el servidor RADIUS y Azure. Esta cadena de octetos debe comenzar por 6ad1bd. Los dos últimos dígitos hexadecimales se pueden configurar libremente. Por ejemplo, 6ad1bd98 es válido, pero 6ad12323 y 6a1bd2 no serían válidos.
El nuevo VSA es MS-Azure-Policy-ID.
El servidor RADIUS usa el VSA MS-Azure-Policy-ID para enviar un identificador que usa el servidor VPN P2S para que coincida con una directiva de usuario de RADIUS autenticada configurada en Azure. Esta directiva se usa para seleccionar la configuración IP o enrutamiento (dirección IP asignada) para el usuario.
Los campos de MS-Azure-Policy-ID deben establecerse de la siguiente manera:
- Tipo de proveedor: entero de 8 bits sin signo que debe establecerse en 0x41 (entero: 65).
- Longitud del proveedor: entero de 8 bits sin signo que debe establecerse en la longitud de la cadena de octetos en el valor específico del atributo más 2.
- Valor específico del atributo: una cadena de octetos que contiene el id. de directiva configurado en el servidor VPN de punto a sitio de Azure.
Para obtener información de configuración, consulte RADIUS: configuración de NPS para atributos específicos del proveedor.
Conceptos de puerta de enlace
Cuando una instancia de VPN Gateway P2S de Virtual WAN se le asigna una configuración de servidor VPN que usa grupos de usuarios o directivas, puede crear varias configuraciones de conexión VPN P2S en la puerta de enlace.
Cada configuración de conexión puede contener uno o varios grupos de usuarios de configuración del servidor VPN. A continuación, cada configuración de conexión se asigna a uno o varios grupos de direcciones IP. A los usuarios que se conectan a esta puerta de enlace se les asigna una dirección IP en función de su identidad, credenciales, grupo predeterminado y prioridad.
En este ejemplo, la configuración del servidor VPN tiene configurados los siguientes grupos:
| Valor predeterminado | Priority | Nombre del grupo | Tipo de autenticación | Valor de miembro |
|---|---|---|---|---|
| Sí | 0 | Engineering | Microsoft Entra ID | groupObjectId1 |
| No | 1 | Finanzas | Microsoft Entra ID | groupObjectId2 |
| No | 2 | PM | Microsoft Entra ID | groupObjectId3 |
Esta configuración del servidor VPN se puede asignar a una instancia de VPN Gateway P2S en Virtual WAN con:
| Configuración | Grupos | Grupo de direcciones |
|---|---|---|
| Config0 | Ingeniería, PM | x.x.x.x/yy |
| Config1 | Finance | a.a.a.a/bb |
El resultado es el siguiente:
- A los usuarios que se conectan a esta VPN Gateway de punto a sitio se les asignará una dirección de x.x.x.x/yy si forman parte de los grupos de Ingeniería o PM de Microsoft Entra.
- A los usuarios que forman parte del grupo Finanzas de Microsoft Entra se les asignan direcciones IP de a.a.a.a/bb.
- Dado que Ingeniería es el grupo predeterminado, se supone que los usuarios que no forman parte de ningún grupo configurado forman parte de Ingeniería y se les asigna una dirección IP de x.x.x.x/yy.
Consideraciones de configuración
En esta sección se enumeran los requisitos de configuración y las limitaciones de los grupos de usuarios y los grupos de direcciones IP.
Grupos máximos: Una única puerta de enlace de VPN P2S puede hacer referencia a hasta 90 grupos.
Miembros máximos: El número total de miembros de directiva o grupo en todos los grupos asignados a una puerta de enlace es 390.
Varias asignaciones: Si se asigna un grupo a varias configuraciones de conexión en la misma puerta de enlace, y sus miembros se cuentan varias veces. Ejemplo: Un grupo de directivas con 10 miembros asignados a tres configuraciones de conexión VPN cuenta como tres grupos con 30 miembros, no un grupo con 10 miembros.
Usuarios simultáneos: El número total de usuarios simultáneos viene determinado por la unidad de escalado de la puerta de enlace y el número de direcciones IP asignadas a cada grupo de usuarios. Éste no está determinado por el número de miembros de directiva o grupo asociados a la puerta de enlace.
Una vez creado un grupo como parte de una configuración de servidor VPN, no se puede modificar el nombre ni la configuración predeterminada de un grupo.
Los nombres de grupo deben ser distintos.
Los grupos que tienen menor prioridad numérica se procesan antes que los grupos con mayor prioridad numérica. Si un usuario que se conecta es miembro de varios grupos, la puerta de enlace lo considera miembro del grupo con prioridad numérica más baja al asignar direcciones IP.
Los grupos que usan las instancias de VPN Gateway de punto a sitio existentes no se pueden eliminar.
Puede reordenar las prioridades de los grupos haciendo clic en los botones de flecha arriba y abajo correspondientes a ese grupo.
Los grupos de direcciones no se pueden superponer con los grupos de direcciones que se usan en otras configuraciones de conexión (de las mismas puertas de enlace o diferentes) en la misma Virtual WAN.
Los grupos de direcciones tampoco se pueden superponer con espacios de direcciones de red virtual, espacios de direcciones de centro de conectividad virtual o direcciones locales.
Casos de uso
Contoso Corporation se compone de varios departamentos funcionales, como Finanzas, Recursos Humanos e Ingeniería. Contoso usa Azure Virtual WAN para permitir que los trabajadores remotos (usuarios) se conecten a Virtual WAN y accedan a los recursos hospedados en el entorno local o en una instancia de Virtual Network conectada al centro de Virtual WAN.
Sin embargo, Contoso tiene directivas de seguridad internas por las que los usuarios del departamento de Finanzas solo pueden acceder a determinadas bases de datos, y las máquinas virtuales y los usuarios de Recursos Humanos tienen acceso a otras aplicaciones confidenciales.
Contoso puede configurar diferentes grupos de usuarios para cada uno de sus departamentos funcionales. Esto garantiza que a los usuarios de cada departamento se les asignen direcciones IP de un grupo de direcciones predefinidas de nivel de departamento.
Después, el administrador de la red de Contoso puede configurar reglas de firewall, grupos de seguridad de red (NSG) o listas de control de acceso (ACL) para permitir o denegar el acceso de determinados usuarios a los recursos en función de sus direcciones IP.
Pasos siguientes
- Para crear grupos de usuarios, consulte Creación de grupos de usuarios para VPN P2S de usuario.