Tutorial: Configuración de F5 BIG-IP SSL-VPN para el inicio de sesión único en Microsoft Entra

  • Artículo

En este tutorial, aprenderá a integrar la red privada virtual de capa de sockets seguros basada en F5 BIG-IP (SSL-VPN) con Microsoft Entra ID para el acceso híbrido seguro (SHA).

La habilitación de BIG-IP SSL-VPN para el inicio de sesión único en Microsoft Entra ofrece muchas ventajas, entre las que se incluyen:

Para obtener más información sobre estas ventajas, consulte:

Descripción del escenario

En este escenario, la instancia del administrador de directiva de acceso (APM) de BIG-IP del servicio SSL-VPN se configura como proveedor de servicios de Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) y Microsoft Entra ID es el proveedor de identidades SAML (IdP) de confianza. El inicio de sesión único (SSO) de Microsoft Entra ID se da a través de la autenticación basada en notificaciones en BIG-IP APM, una experiencia de acceso de red privada virtual (VPN) sin problemas.

Diagrama de la arquitectura de integración.

Nota:

Reemplace las cadenas o valores de ejemplo de esta guía por los de su entorno.

Requisitos previos

No se requieren experiencia ni conocimientos previos de BIG-IP de F5. Sin embargo, necesitará:

  • Una suscripción a Microsoft Entra
  • Identidades de usuario sincronizadas desde el directorio local en Microsoft Entra ID.
  • Uno de los roles siguientes: Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones
  • Infraestructura BIG-IP con enrutamiento de tráfico de cliente hacia y desde BIG-IP.
  • Registro del servicio VPN publicado de BIG-IP en un servidor de nombres de dominio público (DNS)
    • O un archivo localhost de cliente de prueba durante las pruebas.
  • Se debe aprovisionar BIG-IP con los certificados SSL necesarios para publicar los servicios a través de HTTPS.

Para mejorar la experiencia del tutorial, puede aprender terminología estándar del sector en el glosario de F5 BIG-IP.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Establezca una confianza de federación SAML entre BIG-IP para permitir que BIG-IP de Microsoft Entra entregue la autenticación previa y el Acceso condicional a Microsoft Entra ID, antes de conceder acceso al servicio VPN publicado.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Todas las aplicaciones y, a continuación, seleccione Nueva aplicación.
  3. En la galería, busque F5 y seleccione Integración de Microsoft Entra ID con BIG-IP APM de F5.
  4. Escriba un nombre para la aplicación.
  5. Seleccione Agregar y, a continuación, Crear.
  6. El nombre, como icono, aparece en el centro de administración de Microsoft Entra y en el portal de Office 365.

Configuración del inicio de sesión único de Microsoft Entra

  1. Con las propiedades de la aplicación F5, vaya a Administrar>Inicio de sesión único.

  2. En la página Seleccione un método de inicio de sesión único, elija SAML.

  3. Seleccione No, lo guardaré más tarde.

  4. En el menú Configurar el inicio de sesión único con SAML, seleccione el icono con forma de lápiz de Configuración básica de SAML.

  5. Reemplace la dirección URL predefinida del identificador por la dirección URL del servicio publicado de BIG-IP. Por ejemplo, https://ssl-vpn.contoso.com.

  6. Reemplace la dirección URL de respuesta y la ruta de acceso del punto de conexión de SAML. Por ejemplo, https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Nota:

    En esta configuración, la aplicación funcionaría en un modo iniciado por IdP, donde Microsoft Entra ID emite una aserción de SAML antes de redirigir al servicio SAML de BIG-IP.

  7. En el caso de las aplicaciones que no admiten el modo iniciado por IdP, para el servicio SAML de BIG-IP, especifique la dirección URL de inicio de sesión, por ejemplo, https://ssl-vpn.contoso.com.

  8. En Dirección URL de cierre de sesión, introduzca el punto de conexión de cierre de sesión único (SLO) de BIG-IP APM precedido por el encabezado host del servicio que se está publicando. Por ejemplo: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Nota:

    Una dirección URL de SLO garantiza que una sesión de usuario finalice, en BIG-IP y Microsoft Entra ID, después de que el usuario cierre la sesión. BIG-IP APM tiene una opción para terminar todas las sesiones cuando se llama a una URL de aplicación. Obtenga más información en el artículo de F5 K12056: Información general sobre la opción de inclusión del URI de cierre de sesión.

Captura de pantalla de las direcciones URL básicas de configuración de SAML..

Nota:

Desde TMOS v16, el punto de conexión de cierre de sesión único de SAML ha cambiado a /saml/sp/profile/redirect/slo.

  1. Seleccione Guardar.

  2. Omita el símbolo del sistema de prueba de SSO.

  3. En las propiedades Atributos y notificaciones del usuario, observe los detalles.

    Captura de pantalla de las propiedades de atributos del usuario y notificaciones.

Puede agregar otras notificaciones al servicio publicado de BIG-IP. Las notificaciones definidas además del conjunto predeterminado solo se emiten si están en Microsoft Entra ID. Defina las pertenencias de roles o grupos de directorio en un objeto de usuario de Microsoft Entra ID antes de que puedan emitirse como una notificación.

Captura de pantalla de la opción Descargar XML de metadatos de federación.

Los certificados de firma de SAML creados por Microsoft Entra ID tienen una duración de tres años.

Authorization de Microsoft Entra

De manera predeterminada, Microsoft Entra ID emite tokens a los usuarios en los que se concede acceso a un servicio.

  1. En la vista de configuración de la aplicación, seleccione Usuarios y grupos.

  2. Seleccionar Agregar usuario.

  3. En el menú Agregar asignación, seleccione Usuarios y grupos.

  4. En el cuadro de diálogo Usuarios y grupos, agregue los grupos de usuarios autorizados para acceder a la VPN

  5. Seleccione Seleccionar>Asignar.

    Captura de pantalla de la opción Agregar usuario.

Puede configurar BIG-IP APM para publicar el servicio SSL-VPN. Configúrelo con las propiedades correspondientes para completar la confianza para la autenticación previa de SAML.

Configuración de BIG-IP APM

Federación de SAML

Para completar la federación del servicio VPN con Microsoft Entra ID, cree el proveedor de servicios SAML de BIG-IP y los objetos IdP de SAML correspondientes.

  1. Vaya a Access>Federation>SAML Service Provider>Local SP Services.

  2. Seleccione Crear.

    Captura de pantalla de la opción para crear en la página de servicios SP locales.

  3. Escriba un nombre y el identificador de entidad definido en Microsoft Entra ID.

  4. Escriba el nombre de dominio completo (FQDN) del host para conectarse a la aplicación.

    Captura de pantalla de las entradas de nombre y entidad.

    Nota:

Si el identificador de entidad no coincide exactamente con el nombre de host de la dirección URL publicada, configure los valores del nombre de SP o realice esta acción si no está en formato de dirección URL de nombre de host. Si el identificador de entidad es urn:ssl-vpn:contosoonline, proporcione el esquema externo y el nombre de host de la aplicación que se va a publicar.

  1. Desplácese hacia abajo para seleccionar el nuevo objeto SP de SAML.

  2. Seleccione Bind/UnBind IDP Connectors.

    Captura de pantalla de la opción para enlazar o desenlazar conexiones de IdP en la página de servicios de SP locales.

  3. Seleccione Create New IDP Connector.

  4. En el menú desplegable, seleccione From Metadata.

    Captura de pantalla de la opción de metadatos en la página para editar proveedor de identidades de SAML.

  5. Vaya al archivo XML de metadatos de federación que descargó.

  6. Para el objeto APM, proporcione un nombre de proveedor de identidades que represente el IdP de SAML externo.

  7. Para seleccionar el nuevo conector de IdP externo de Microsoft Entra, seleccione Agregar nueva fila.

    Captura de pantalla de la opción de conectores de IdP de SAML en la página para editar proveedor de identidades de SAML.

  8. Selecciona Actualización.

  9. Seleccione Aceptar.

    Captura de pantalla del vínculo con la opción común, VPN de Azure en la página para editar proveedores de identidades de SAML.

Configuración de Webtop

Permita que SSL-VPN se ofrezca a los usuarios a través del portal web de BIG-IP.

  1. Vaya a Access>Webtops>Webtop Lists.

  2. Seleccione Crear.

  3. Escriba un nombre de portal.

  4. Establezca el tipo en Full, por ejemplo, Contoso_webtop.

  5. Rellene las demás preferencias.

  6. Seleccione Finished (Finalizado).

    Captura de pantalla de las entradas de nombre y tipo en las propiedades generales.

Configuración de VPN

Los elementos de VPN controlan aspectos del servicio general.

  1. Vaya Access>Connectivity/VPN>Network Access (VPN)>IPV4 Lease Pools.

  2. Seleccione Crear.

  3. Escriba un nombre para el grupo de direcciones IP asignadas a los clientes VPN. Por ejemplo, Contoso_vpn_pool.

  4. Establezca el tipo en IP Address Range.

  5. Escriba una dirección IP inicial y final.

  6. Seleccione Agregar.

  7. Seleccione Finished (Finalizado).

    Captura de pantalla de las entradas de la lista de nombres y miembros en las propiedades generales.

Una lista de acceso a redes aprovisiona el servicio con la configuración de IP y DNS del grupo de VPN, los permisos de enrutamiento de usuarios, y puede iniciar aplicaciones.

  1. Vaya a Access>Connectivity/VPN: Network Access (VPN)>Network Access Lists.

  2. Seleccione Crear.

  3. Proporcione un nombre para la lista de acceso y el título de VPN, por ejemplo, Contoso-VPN.

  4. Seleccione Finished (Finalizado).

    Captura de pantalla de la entrada de nombre en las propiedades generales y la entrada de título en la configuración de personalización para inglés.

  5. En la cinta de opciones superior, seleccione Network Settings.

  6. Para Supported IP version: IPV4.

  7. Para IPV4 Lease Pool, seleccione el grupo de VPN creado, por ejemplo, Contoso_vpn_pool.

    Captura de pantalla de la entrada del grupo de concesiones IPV4 en la configuración general.

    Nota:

    Use las opciones de configuración de cliente para aplicar restricciones sobre cómo se enruta el tráfico de cliente en una VPN establecida.

  8. Seleccione Finished (Finalizado).

  9. Vaya a la pestaña DNS/Hosts.

  10. Para IPV4 Primary Name Server: la dirección IP DNS del entorno.

  11. Para DNS Default Domain Suffix: el sufijo de dominio para esta conexión VPN. Por ejemplo, contoso.com.

    Captura de pantalla de las entradas para el nombre del servidor principal IPV4 y el sufijo de dominio predeterminado de DNS.

Nota:

Consulte el artículo F5 sobre la configuración de recursos de acceso a la red para ver otras opciones.

Se requiere un perfil de conexión de BIG-IP para configurar las opciones de los tipos de cliente VPN que el servicio VPN necesita admitir. Por ejemplo, Windows, OSX y Android.

  1. Vaya a Access>Connectivity/VPN>Connectivity>Profiles.

  2. Seleccione Agregar.

  3. Escriba un nombre del perfil.

  4. Establezca el perfil primario en /Common/connectivity, por ejemplo, Contoso_VPN_Profile.

    Captura de pantalla de las entradas de nombre del perfil y nombre principal en la página para crear nuevo perfil de conectividad.

Para obtener más información sobre el soporte técnico de cliente, consulte el artículo F5 sobre el acceso a F5 y el cliente perimetral de BIG-IP.

Configuración del perfil de acceso

Una directiva de acceso habilita el servicio para la autenticación SAML.

  1. Vaya a Access>Profiles/Policies>Access Profiles (Per-Session Policies).

  2. Seleccione Crear.

  3. Escriba un nombre de perfil y para el tipo de perfil.

  4. Seleccione All, por ejemplo, Contoso_network_access.

  5. Desplácese hacia abajo para agregar al menos un idioma a la lista Accepted Languages.

  6. Seleccione Finished (Finalizado).

    Captura de pantalla de las entradas de nombre, tipo de perfil e idioma en el nuevo perfil.

  7. En el nuevo perfil de acceso, en el campo Per-Session Policy, seleccione Editar.

  8. El editor de directivas visuales se abre en una nueva pestaña.

    Captura de pantalla de la opción Editar en Perfiles de acceso, en las directivas previas a la sesión.

  9. Seleccione el signo +.

  10. En el menú, seleccione Authentication>SAML Auth.

  11. Seleccione Add Item.

  12. En la configuración del proveedor de servicios de autenticación de SAML, seleccione el objeto VPN SAML SP que creó.

  13. Seleccione Guardar.

    Captura de pantalla de la entrada del servidor AAA en el proveedor de servicios de autenticación de SAML, en la pestaña de propiedades.

  14. Para la rama Successful de la autenticación de SAML, seleccione +.

  15. En la pestaña Assignment, seleccione Advanced Resource Assign.

  16. Seleccione Add Item.

    Captura de pantalla del botón más en la directiva de acceso.

  17. En el elemento emergente, seleccione New Entry.

  18. Seleccione Add/Delete.

  19. En la ventana, seleccione Network Access.

  20. Seleccione el perfil de acceso a la red que ha creado.

    Captura de pantalla del botón para agregar nueva entrada en la asignación de recursos, en la pestaña de propiedades.

  21. Vaya a la pestaña Webtop.

  22. Agregue el objeto Webtop que ha creado.

    Captura de pantalla del objeto webtop creado en la pestaña Webtop.

  23. Selecciona Actualización.

  24. Seleccione Guardar.

  25. Para cambiar la rama Successful, seleccione el vínculo en el cuadro Deny.

  26. Aparece la etiqueta Allow.

  27. Seleccione Guardar.

    Captura de pantalla de la opción Deny en Access Policy.

  28. Seleccione Apply Access Policy.

  29. Cierre la pestaña del editor de directivas visuales.

    Captura de pantalla de la opción Apply Access Policy.

Publicación del servicio VPN

APM requiere un servidor virtual de front-end para escuchar a los clientes que se conectan a la VPN.

  1. Seleccione Local Traffic>Virtual Servers>Virtual Server List.

  2. Seleccione Crear.

  3. En el servidor virtual VPN, escriba un nombre, por ejemplo, VPN_Listener.

  4. Seleccione una dirección de destino IP sin usar con enrutamiento para recibir tráfico de cliente.

  5. Establezca el puerto de servicio en 443 HTTPS.

  6. En State, asegúrese de está activado Enabled.

    Captura de pantalla de las entradas de nombre y dirección de destino o máscara en las propiedades generales.

  7. Establezca HTTP Profile en http.

  8. Agregue el perfil SSL (cliente) para el certificado SSL público que creó.

    Captura de pantalla de la entrada de perfil HTTP para el cliente y las entradas seleccionadas del perfil SSL para el cliente.

  9. Para usar los objetos VPN creados, en Access Policy, configure los valores de Access Profile y Connectivity Profile.

    Captura de pantalla de las entradas del perfil de acceso y del perfil de conectividad en la directiva de acceso.

  10. Seleccione Finished (Finalizado).

El servicio SSL-VPN se ha publicado y está accesible a través de SHA, ya sea con su URL o los portales de aplicaciones de Microsoft.

Pasos siguientes

  1. Abra un explorador en un cliente remoto de Windows.

  2. Vaya a la dirección URL del servicio BIG-IP VPN.

  3. Aparece el portal webtop de BIG-IP y el iniciador de VPN.

    Captura de pantalla de la página del portal de red de Contoso con el indicador de acceso a la red.

    Nota:

    Seleccione el icono de VPN para instalar el cliente perimetral de BIG-IP y establecer una conexión VPN configurada para el acceso híbrido seguro. La aplicación VPN de F5 es visible como recurso de destino en el acceso condicional de Microsoft Entra. Consulte las directivas de acceso condicional para habilitar a los usuarios para la autenticación sin contraseña de Microsoft Entra ID.

Recursos