Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans ce tutoriel, vous allez apprendre à intégrer la solution Secure Socket Layer Virtual Private Network (SSL-VPN) basée sur F5 BIG-IP avec Microsoft Entra ID pour un accès hybride sécurisé (SHA).
L’activation d’une solution BIG-IP SSL-VPN pour l’authentification unique Microsoft Entra offre de nombreux avantages, notamment :
- Gouvernance Confiance Zéro via la préauthentification Microsoft Entra et l’accès conditionnel.
- Authentification sans mot de passe auprès du service VPN
- Gestion des identités et des accès à partir d’un seul plan de contrôle, le Centre d’administration Microsoft Entra
Pour découvrir d’autres avantages, consultez
Authentification unique dans Microsoft Entra ID
Remarque
Les VPN classiques restent orientés réseau, en fournissant souvent peu ou pas d’accès affiné aux applications d’entreprise. Nous encourageons une approche plus axée sur l’identité pour atteindre la Confiance Zéro. En savoir plus : Cinq étapes pour intégrer toutes vos applications à l’ID Microsoft Entra.
Description du scénario
Dans ce scénario, l’instance BIG-IP APM (Access Policy Manager) du service SSL-VPN est configurée en tant que fournisseur de services SAML (Security Assertion Markup Language) et Microsoft Entra ID est le fournisseur d’identité SAML approuvé. L’authentification unique depuis Microsoft Entra ID est fournie via une authentification par revendications auprès de BIG-IP APM, offrant une expérience d’accès facile au réseau privé virtuel.
Remarque
Remplacez les exemples de chaînes ou de valeurs de ce guide par ceux de votre environnement.
Prérequis
Aucune expérience ni connaissances préalables de F5 BIG-IP n’est nécessaire. Vous avez cependant besoin des éléments suivants :
- Un abonnement Microsoft Entra
- Si vous n’en avez pas, vous pouvez obtenir un compte gratuit Azure
- Identités utilisateur synchronisées à partir de leur répertoire local vers l’ID Microsoft Entra
- Un des rôles suivants : Administrateur d’application cloud ou Administrateur d’application
- Une infrastructure BIG-IP avec routage du trafic client vers et depuis le système BIG-IP.
- Un enregistrement pour le service VPN publié par BIG-IP dans un DNS public
- Ou un fichier localhost du client test lors des tests
- Le système BIG-IP provisionné avec les certificats SSL nécessaires pour la publication de services via HTTPS
Pour améliorer l’expérience du didacticiel, vous pouvez apprendre la terminologie standard du secteur sur le glossaire BIG-IP F5.
Ajouter F5 BIG-IP à partir de la galerie Microsoft Entra
Configurez une approbation de fédération SAML entre BIG-IP pour permettre à Microsoft Entra BIG-IP de transmettre la pré-authentification et l’accès conditionnel à Microsoft Entra ID, avant d’accorder l’accès au service VPN publié.
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.
- Accédez à Entra ID>Applications d'entreprise>Toutes les applications, puis sélectionnez Nouvelle application.
- Dans la galerie, recherchez F5 et sélectionnez F5 BIG-IP intégration d’APM Microsoft Entra ID.
- Entrez un nom pour l’application.
- Sélectionnez Ajouter , puis Créer.
- Le nom, sous forme d’icône, apparaît dans le centre d’administration Microsoft Entra et le portail Office 365.
Configurer Microsoft Entra SSO
Avec les propriétés de l’application F5, accédez à Gérer>l’authentification unique.
Dans la page Sélectionner une méthode d’authentification unique , sélectionnez SAML.
Sélectionnez Non, je vais enregistrer ultérieurement.
Dans le menu Configurer l’authentification unique avec SAML , sélectionnez l’icône de stylet pour la configuration SAML de base.
Remplacez l’URL de l’identificateur par votre URL de service publiée BIG-IP. Par exemple :
https://ssl-vpn.contoso.com
.Remplacez l’URL de réponse et le chemin du point de terminaison SAML. Par exemple :
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.Remarque
Dans cette configuration, l’application fonctionne dans un mode lancé par le fournisseur d’identité : Microsoft Entra ID émet une assertion SAML avant la redirection vers le service BIG-IP SAML.
Pour les applications qui ne prennent pas en charge le mode initié par le fournisseur d’identité, pour le service SAML BIG-IP, spécifiez l’URL de connexion, par exemple
https://ssl-vpn.contoso.com
.Pour l’URL de déconnexion, entrez le point de terminaison Single Logout (SLO) de BIG-IP APM précédé de l’en-tête de l’hôte du service publié. Par exemple,
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
Remarque
Une URL SLO garantit qu’une session utilisateur prend fin, côté BIG-IP et côté Microsoft Entra ID, une fois que l’utilisateur s’est déconnecté. BIG-IP APM a également une option pour mettre fin à toutes les sessions lors de l’appel d’une URL d’application. En savoir plus sur l’article F5, K12056 : Vue d’ensemble de l’option d’inclusion du Logout URI.
.
Remarque
Depuis TMOS v16, le point de terminaison SLO SAML a été remplacé par /saml/sp/profile/redirect/slo.
Sélectionner Enregistrer
Ignorez l’invite de test de l’authentification unique.
Dans les propriétés Attributs utilisateur et revendications , observez les détails.
Vous pouvez ajouter d’autres revendications à votre service publié BIG-IP. Les revendications définies en plus de l’ensemble par défaut sont émises si elles sont présentes dans Microsoft Entra ID. Établissez les rôles d'annuaire ou les appartenances à un groupe pour un utilisateur dans Microsoft Entra ID, avant qu'ils ne soient émis en tant que revendication.
Les certificats de signature SAML créés par Microsoft Entra ID ont une durée de vie de trois ans.
Autorisation Microsoft Entra
Par défaut, Microsoft Entra ID émet des jetons aux utilisateurs auxquels l’accès à un service a été accordé.
Dans la vue de configuration de l’application, sélectionnez Utilisateurs et groupes.
Sélectionnez + Ajouter un utilisateur.
Dans le menu Ajouter une affectation , sélectionnez Utilisateurs et groupes.
Dans la boîte de dialogue Utilisateurs et groupes , ajoutez les groupes d’utilisateurs autorisés à accéder au VPN
Sélectionnez Sélectionner>Affecter.
Vous pouvez configurer BIG-IP APM pour publier le service SSL-VPN. Configurez-le avec les propriétés correspondantes pour effectuer l’approbation pour la pré-authentification SAML.
Configuration de BIG-IP APM
Fédération SAML
Pour procéder à la fédération du service VPN avec Microsoft Entra ID, créez le fournisseur de service BIG-IP SAML et les objets de fournisseur d’identité SAML correspondants.
Accédez à Access>Federation>SAML Service Provider>Local SP Services.
Sélectionnez Créer.
Entrez un nom et l’ID d’entité défini dans l’ID Microsoft Entra.
Entrez le nom de domaine complet (FQDN) de l’hôte pour vous connecter à l’application.
Remarque
Si l'ID d'entité n'est pas une correspondance exacte du nom d'hôte de l'URL de publication, configurez les paramètres Name du SP, ou effectuez cette action si ce n'est pas au format d'URL de nom d'hôte. Si l’ID d’entité est
urn:ssl-vpn:contosoonline
, spécifiez le schéma externe et le nom d’hôte de l’application en cours de publication.Faites défiler vers le bas pour sélectionner le nouvel objet SAML SP.
Sélectionnez Lier/Délier les connecteurs IDP.
Sélectionnez Créer un connecteur IDP.
Dans le menu déroulant, sélectionnez À partir des métadonnées
Accédez au fichier XML de métadonnées de fédération que vous avez téléchargé.
Pour l’objet APM, fournissez un nom de fournisseur d’identité qui représente le fournisseur d’identité SAML externe.
Pour sélectionner le nouveau connecteur IdP externe Microsoft Entra, sélectionnez Ajouter une nouvelle ligne.
Sélectionnez Mettre à jour.
Sélectionnez OK.
Configuration des webtops
Activez le VPN SSL à proposer aux utilisateurs via le portail web BIG-IP.
Accédez à Access>Webtop>Listes des Webtop.
Sélectionnez Créer.
Entrez un nom de portail.
Définissez le type sur Full, par exemple
Contoso_webtop
.Renseignez les préférences restantes.
Sélectionnez Terminé.
Configuration VPN
Les éléments VPN contrôlent les aspects du service global.
Allez à Accès>Connectivité/VPN>Accès Réseau (VPN)>Pools de Baux IPV4
Sélectionnez Créer.
Entrez un nom pour le pool d’adresses IP allouées aux clients VPN. Par exemple, Contoso_vpn_pool.
Définissez le type sur plage d’adresses IP.
Entrez une adresse IP de début et de fin.
Sélectionnez Ajouter.
Sélectionnez Terminé.
Une liste d’accès réseau provisionne le service avec les paramètres IP et DNS du pool VPN, les autorisations de routage des utilisateurs, et peut lancer les applications.
Accédez à Accès>Connectivité/VPN : Accès réseau (VPN)>Listes d'accès réseau.
Sélectionnez Créer.
Donnez un nom pour la liste d’accès VPN et une légende, par exemple, Contoso-VPN.
Sélectionnez Terminé.
Dans le ruban supérieur, sélectionnez Paramètres réseau.
Pour la version IP prise en charge : IPV4.
Pour le pool de baux IPV4, sélectionnez le pool VPN créé, par exemple, Contoso_vpn_pool
Remarque
Utilisez les options Paramètres client pour appliquer des restrictions sur la façon dont le trafic client est routé dans un VPN établi.
Sélectionnez Terminé.
Accédez à l’onglet DNS/Hosts .
Pour le serveur de noms principal IPV4 : adresse IP DNS de votre environnement
Pour le suffixe de domaine par défaut DNS : suffixe de domaine pour cette connexion VPN. Par exemple, contoso.com
Remarque
Consultez l’article F5, Configuration des ressources d’accès réseau pour d’autres paramètres.
Un profil de connexion BIG-IP est requis pour configurer les paramètres de type de client VPN que le service VPN doit prendre en charge. Par exemple, Windows, OSX et Android.
Allez dans Access>Connectivité/VPN>Connectivité>Profils
Sélectionnez Ajouter.
Entrez un nom de profil.
Définissez le profil parent sur /Common/connectivity, par exemple, Contoso_VPN_Profile.
Configuration du profil d’accès
Une stratégie d’accès active le service pour l’authentification SAML.
Accédez à Accès>Profils/Stratégies>Profils d'accès (Per-Session Stratégies).
Sélectionnez Créer.
Entrez un nom de profil et pour le type de profil.
Sélectionnez Tout, par exemple, Contoso_network_access.
Faites défiler vers le bas et ajoutez au moins une langue à la liste Langues acceptées
Sélectionnez Terminé.
Dans le nouveau profil d’accès, dans le champ Per-Session Stratégie, sélectionnez Modifier.
L’éditeur de stratégie visuelle s’ouvre dans un nouvel onglet.
Sélectionnez le signe +.
Dans le menu, sélectionnez Authentification>SAML Auth.
Sélectionnez Ajouter un élément.
Dans la configuration du fournisseur de services d’authentification SAML, sélectionnez l’objet SP SAML VPN que vous avez créé.
Sélectionnez Enregistrer.
Pour la branche Succès de l’authentification SAML, sélectionnez +.
Sous l’onglet Affectation, sélectionnez Affectation de ressource avancée.
Sélectionnez Ajouter un élément.
Dans la fenêtre contextuelle, sélectionnez Nouvelle entrée
Sélectionnez Ajouter/Supprimer.
Dans la fenêtre, sélectionnez Accès réseau.
Sélectionnez le profil d’accès réseau que vous avez créé.
Accédez à l’onglet Webtop .
Ajoutez l’objet Webtop que vous avez créé.
Sélectionnez Mettre à jour.
SélectionnezEnregistrer.
Pour modifier la branche Réussite, sélectionnez le lien dans la zone Refus située en haut.
L’étiquette Autoriser s’affiche.
Enregistrer.
Sélectionner Appliquer une stratégie d’accès
Fermez l’onglet de l’éditeur de stratégie visuelle.
Publier le service VPN
L’APM a besoin d’un serveur virtuel front-end pour écouter les clients qui se connectent au VPN.
Sélectionnez Trafic local>Serveurs virtuels>Liste des serveurs virtuels.
Sélectionnez Créer.
Pour le serveur virtuel VPN, entrez un nom, par exemple, VPN_Listener.
Sélectionnez une adresse de destination IP inutilisée avec routage pour recevoir le trafic client.
Définissez le port de service sur 443 HTTPS.
Pour l’état, vérifiez que Activé est sélectionné.
Définissez le profil HTTP sur http.
Ajoutez le profil SSL (client) pour le certificat SSL public que vous avez créé.
Pour utiliser les objets VPN créés, sous Stratégie d’accès, définissez le profil d’accès et le profil de connectivité.
Sélectionnez Terminé.
Votre service SSL-VPN est publié et accessible via SHA, soit avec son URL, soit via les portails d’applications de Microsoft.
Étapes suivantes
Ouvrez un navigateur sur un client Windows distant.
Accédez à l’URL du service VPNBIG-IP .
Le portail webtop BIG-IP et le lanceur VPN s’affichent.
Remarque
Sélectionnez la vignette VPN pour installer le client BIG-IP Edge et établir une connexion VPN configurée pour SHA. L’application F5 VPN est visible en tant que ressource cible dans Accès conditionnel Microsoft Entra. Consultez les stratégies d’accès conditionnel pour activer l'authentification sans mot de passe Microsoft Entra ID pour les utilisateurs.