Partager via


Tutoriel : Configurer F5 BIG-IP SSL-VPN pour l’authentification unique Microsoft Entra

Dans ce tutoriel, vous allez apprendre à intégrer la solution Secure Socket Layer Virtual Private Network (SSL-VPN) basée sur F5 BIG-IP avec Microsoft Entra ID pour un accès hybride sécurisé (SHA).

L’activation d’une solution BIG-IP SSL-VPN pour l’authentification unique Microsoft Entra offre de nombreux avantages, notamment :

Pour découvrir d’autres avantages, consultez

Description du scénario

Dans ce scénario, l’instance BIG-IP APM (Access Policy Manager) du service SSL-VPN est configurée en tant que fournisseur de services SAML (Security Assertion Markup Language) et Microsoft Entra ID est le fournisseur d’identité SAML approuvé. L’authentification unique depuis Microsoft Entra ID est fournie via une authentification par revendications auprès de BIG-IP APM, offrant une expérience d’accès facile au réseau privé virtuel.

Diagramme de l’architecture d’intégration.

Remarque

Remplacez les exemples de chaînes ou de valeurs de ce guide par ceux de votre environnement.

Prérequis

Aucune expérience ni connaissances préalables de F5 BIG-IP n’est nécessaire. Vous avez cependant besoin des éléments suivants :

  • Un abonnement Microsoft Entra
  • Identités utilisateur synchronisées à partir de leur répertoire local vers l’ID Microsoft Entra
  • Un des rôles suivants : Administrateur d’application cloud ou Administrateur d’application
  • Une infrastructure BIG-IP avec routage du trafic client vers et depuis le système BIG-IP.
  • Un enregistrement pour le service VPN publié par BIG-IP dans un DNS public
    • Ou un fichier localhost du client test lors des tests
  • Le système BIG-IP provisionné avec les certificats SSL nécessaires pour la publication de services via HTTPS

Pour améliorer l’expérience du didacticiel, vous pouvez apprendre la terminologie standard du secteur sur le glossaire BIG-IP F5.

Configurez une approbation de fédération SAML entre BIG-IP pour permettre à Microsoft Entra BIG-IP de transmettre la pré-authentification et l’accès conditionnel à Microsoft Entra ID, avant d’accorder l’accès au service VPN publié.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.
  2. Accédez à Entra ID>Applications d'entreprise>Toutes les applications, puis sélectionnez Nouvelle application.
  3. Dans la galerie, recherchez F5 et sélectionnez F5 BIG-IP intégration d’APM Microsoft Entra ID.
  4. Entrez un nom pour l’application.
  5. Sélectionnez Ajouter , puis Créer.
  6. Le nom, sous forme d’icône, apparaît dans le centre d’administration Microsoft Entra et le portail Office 365.

Configurer Microsoft Entra SSO

  1. Avec les propriétés de l’application F5, accédez à Gérer>l’authentification unique.

  2. Dans la page Sélectionner une méthode d’authentification unique , sélectionnez SAML.

  3. Sélectionnez Non, je vais enregistrer ultérieurement.

  4. Dans le menu Configurer l’authentification unique avec SAML , sélectionnez l’icône de stylet pour la configuration SAML de base.

  5. Remplacez l’URL de l’identificateur par votre URL de service publiée BIG-IP. Par exemple : https://ssl-vpn.contoso.com.

  6. Remplacez l’URL de réponse et le chemin du point de terminaison SAML. Par exemple : https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Remarque

    Dans cette configuration, l’application fonctionne dans un mode lancé par le fournisseur d’identité : Microsoft Entra ID émet une assertion SAML avant la redirection vers le service BIG-IP SAML.

  7. Pour les applications qui ne prennent pas en charge le mode initié par le fournisseur d’identité, pour le service SAML BIG-IP, spécifiez l’URL de connexion, par exemple https://ssl-vpn.contoso.com.

  8. Pour l’URL de déconnexion, entrez le point de terminaison Single Logout (SLO) de BIG-IP APM précédé de l’en-tête de l’hôte du service publié. Par exemple, https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Remarque

    Une URL SLO garantit qu’une session utilisateur prend fin, côté BIG-IP et côté Microsoft Entra ID, une fois que l’utilisateur s’est déconnecté. BIG-IP APM a également une option pour mettre fin à toutes les sessions lors de l’appel d’une URL d’application. En savoir plus sur l’article F5, K12056 : Vue d’ensemble de l’option d’inclusion du Logout URI.

Capture d’écran des URL de configuration SAML de base. .

Remarque

Depuis TMOS v16, le point de terminaison SLO SAML a été remplacé par /saml/sp/profile/redirect/slo.

  1. Sélectionner Enregistrer

  2. Ignorez l’invite de test de l’authentification unique.

  3. Dans les propriétés Attributs utilisateur et revendications , observez les détails.

    Capture d’écran des attributs utilisateur et des propriétés de revendications.

Vous pouvez ajouter d’autres revendications à votre service publié BIG-IP. Les revendications définies en plus de l’ensemble par défaut sont émises si elles sont présentes dans Microsoft Entra ID. Établissez les rôles d'annuaire ou les appartenances à un groupe pour un utilisateur dans Microsoft Entra ID, avant qu'ils ne soient émis en tant que revendication.

Les certificats de signature SAML créés par Microsoft Entra ID ont une durée de vie de trois ans.

Autorisation Microsoft Entra

Par défaut, Microsoft Entra ID émet des jetons aux utilisateurs auxquels l’accès à un service a été accordé.

  1. Dans la vue de configuration de l’application, sélectionnez Utilisateurs et groupes.

  2. Sélectionnez + Ajouter un utilisateur.

  3. Dans le menu Ajouter une affectation , sélectionnez Utilisateurs et groupes.

  4. Dans la boîte de dialogue Utilisateurs et groupes , ajoutez les groupes d’utilisateurs autorisés à accéder au VPN

  5. Sélectionnez Sélectionner>Affecter.

    Capture d’écran de l’option Ajouter un utilisateur.

Vous pouvez configurer BIG-IP APM pour publier le service SSL-VPN. Configurez-le avec les propriétés correspondantes pour effectuer l’approbation pour la pré-authentification SAML.

Configuration de BIG-IP APM

Fédération SAML

Pour procéder à la fédération du service VPN avec Microsoft Entra ID, créez le fournisseur de service BIG-IP SAML et les objets de fournisseur d’identité SAML correspondants.

  1. Accédez à Access>Federation>SAML Service Provider>Local SP Services.

  2. Sélectionnez Créer.

    Capture d’écran de l’option Créer sur la page Services SP locaux.

  3. Entrez un nom et l’ID d’entité défini dans l’ID Microsoft Entra.

  4. Entrez le nom de domaine complet (FQDN) de l’hôte pour vous connecter à l’application.

    Capture d’écran des entrées Nom et Entité.

    Remarque

    Si l'ID d'entité n'est pas une correspondance exacte du nom d'hôte de l'URL de publication, configurez les paramètres Name du SP, ou effectuez cette action si ce n'est pas au format d'URL de nom d'hôte. Si l’ID d’entité est urn:ssl-vpn:contosoonline, spécifiez le schéma externe et le nom d’hôte de l’application en cours de publication.

  5. Faites défiler vers le bas pour sélectionner le nouvel objet SAML SP.

  6. Sélectionnez Lier/Délier les connecteurs IDP.

    Capture d’écran de l’option Lier/Délier les connexions IDP sur la page des services SP locaux.

  7. Sélectionnez Créer un connecteur IDP.

  8. Dans le menu déroulant, sélectionnez À partir des métadonnées

    Capture d’écran de l’option From Metadata dans la page Modifier les fournisseurs d’identité SAML.

  9. Accédez au fichier XML de métadonnées de fédération que vous avez téléchargé.

  10. Pour l’objet APM, fournissez un nom de fournisseur d’identité qui représente le fournisseur d’identité SAML externe.

  11. Pour sélectionner le nouveau connecteur IdP externe Microsoft Entra, sélectionnez Ajouter une nouvelle ligne.

    Capture d’écran de l’option Connecteurs IDP SAML sur la page Modifier l’IDP SAML.

  12. Sélectionnez Mettre à jour.

  13. Sélectionnez OK.

    Capture d’écran du lien

Configuration des webtops

Activez le VPN SSL à proposer aux utilisateurs via le portail web BIG-IP.

  1. Accédez à Access>Webtop>Listes des Webtop.

  2. Sélectionnez Créer.

  3. Entrez un nom de portail.

  4. Définissez le type sur Full, par exemple Contoso_webtop.

  5. Renseignez les préférences restantes.

  6. Sélectionnez Terminé.

    Capture d’écran des entrées de nom et de type dans Propriétés générales.

Configuration VPN

Les éléments VPN contrôlent les aspects du service global.

  1. Allez à Accès>Connectivité/VPN>Accès Réseau (VPN)>Pools de Baux IPV4

  2. Sélectionnez Créer.

  3. Entrez un nom pour le pool d’adresses IP allouées aux clients VPN. Par exemple, Contoso_vpn_pool.

  4. Définissez le type sur plage d’adresses IP.

  5. Entrez une adresse IP de début et de fin.

  6. Sélectionnez Ajouter.

  7. Sélectionnez Terminé.

    Capture d’écran des entrées de nom et de liste de membres dans Propriétés générales.

Une liste d’accès réseau provisionne le service avec les paramètres IP et DNS du pool VPN, les autorisations de routage des utilisateurs, et peut lancer les applications.

  1. Accédez à Accès>Connectivité/VPN : Accès réseau (VPN)>Listes d'accès réseau.

  2. Sélectionnez Créer.

  3. Donnez un nom pour la liste d’accès VPN et une légende, par exemple, Contoso-VPN.

  4. Sélectionnez Terminé.

    Capture d’écran de l’entrée de nom dans Propriétés générales et entrée de légende dans Paramètres de personnalisation pour l’anglais.

  5. Dans le ruban supérieur, sélectionnez Paramètres réseau.

  6. Pour la version IP prise en charge : IPV4.

  7. Pour le pool de baux IPV4, sélectionnez le pool VPN créé, par exemple, Contoso_vpn_pool

    Capture d’écran de l’entrée du pool d'adresses IPv4 dans Paramètres généraux.

    Remarque

    Utilisez les options Paramètres client pour appliquer des restrictions sur la façon dont le trafic client est routé dans un VPN établi.

  8. Sélectionnez Terminé.

  9. Accédez à l’onglet DNS/Hosts .

  10. Pour le serveur de noms principal IPV4 : adresse IP DNS de votre environnement

  11. Pour le suffixe de domaine par défaut DNS : suffixe de domaine pour cette connexion VPN. Par exemple, contoso.com

Remarque

Consultez l’article F5, Configuration des ressources d’accès réseau pour d’autres paramètres.

Un profil de connexion BIG-IP est requis pour configurer les paramètres de type de client VPN que le service VPN doit prendre en charge. Par exemple, Windows, OSX et Android.

  1. Allez dans Access>Connectivité/VPN>Connectivité>Profils

  2. Sélectionnez Ajouter.

  3. Entrez un nom de profil.

  4. Définissez le profil parent sur /Common/connectivity, par exemple, Contoso_VPN_Profile.

    Capture d’écran des entrées Nom du profil et Nom parent dans Créer un profil de connectivité.

Configuration du profil d’accès

Une stratégie d’accès active le service pour l’authentification SAML.

  1. Accédez à Accès>Profils/Stratégies>Profils d'accès (Per-Session Stratégies).

  2. Sélectionnez Créer.

  3. Entrez un nom de profil et pour le type de profil.

  4. Sélectionnez Tout, par exemple, Contoso_network_access.

  5. Faites défiler vers le bas et ajoutez au moins une langue à la liste Langues acceptées

  6. Sélectionnez Terminé.

    Capture d’écran des entrées Nom, Type de profil et Langue sur Nouveau profil.

  7. Dans le nouveau profil d’accès, dans le champ Per-Session Stratégie, sélectionnez Modifier.

  8. L’éditeur de stratégie visuelle s’ouvre dans un nouvel onglet.

    Capture d’écran de l’option Modifier sur les profils d’accès, stratégies de présession.

  9. Sélectionnez le signe +.

  10. Dans le menu, sélectionnez Authentification>SAML Auth.

  11. Sélectionnez Ajouter un élément.

  12. Dans la configuration du fournisseur de services d’authentification SAML, sélectionnez l’objet SP SAML VPN que vous avez créé.

  13. Sélectionnez Enregistrer.

    Capture d’écran de l’entrée du serveur AAA sous SAML Authentication SP, sous l’onglet Propriétés.

  14. Pour la branche Succès de l’authentification SAML, sélectionnez +.

  15. Sous l’onglet Affectation, sélectionnez Affectation de ressource avancée.

  16. Sélectionnez Ajouter un élément.

  17. Dans la fenêtre contextuelle, sélectionnez Nouvelle entrée

  18. Sélectionnez Ajouter/Supprimer.

  19. Dans la fenêtre, sélectionnez Accès réseau.

  20. Sélectionnez le profil d’accès réseau que vous avez créé.

    Capture d’écran du bouton Ajouter une nouvelle entrée dans l’affectation de ressources, sous l’onglet Propriétés.

  21. Accédez à l’onglet Webtop .

  22. Ajoutez l’objet Webtop que vous avez créé.

    Capture d’écran du webtop créé sous l’onglet Webtop.

  23. Sélectionnez Mettre à jour.

  24. SélectionnezEnregistrer.

  25. Pour modifier la branche Réussite, sélectionnez le lien dans la zone Refus située en haut.

  26. L’étiquette Autoriser s’affiche.

  27. Enregistrer.

    Capture d’écran de l’option Refuser sur la stratégie d’accès.

  28. Sélectionner Appliquer une stratégie d’accès

  29. Fermez l’onglet de l’éditeur de stratégie visuelle.

    Capture d’écran de l’option Appliquer la stratégie d’accès.

Publier le service VPN

L’APM a besoin d’un serveur virtuel front-end pour écouter les clients qui se connectent au VPN.

  1. Sélectionnez Trafic local>Serveurs virtuels>Liste des serveurs virtuels.

  2. Sélectionnez Créer.

  3. Pour le serveur virtuel VPN, entrez un nom, par exemple, VPN_Listener.

  4. Sélectionnez une adresse de destination IP inutilisée avec routage pour recevoir le trafic client.

  5. Définissez le port de service sur 443 HTTPS.

  6. Pour l’état, vérifiez que Activé est sélectionné.

    Capture d’écran des entrées Nom et Adresse de destination ou Masque sur les propriétés générales.

  7. Définissez le profil HTTP sur http.

  8. Ajoutez le profil SSL (client) pour le certificat SSL public que vous avez créé.

    Capture d’écran de l’entrée de profil HTTP pour le client et des entrées sélectionnées pour le profil SSL pour le client.

  9. Pour utiliser les objets VPN créés, sous Stratégie d’accès, définissez le profil d’accès et le profil de connectivité.

    Capture d’écran des entrées de profil d’accès et de profil de connectivité sur la stratégie d’accès.

  10. Sélectionnez Terminé.

Votre service SSL-VPN est publié et accessible via SHA, soit avec son URL, soit via les portails d’applications de Microsoft.

Étapes suivantes

  1. Ouvrez un navigateur sur un client Windows distant.

  2. Accédez à l’URL du service VPNBIG-IP .

  3. Le portail webtop BIG-IP et le lanceur VPN s’affichent.

    Capture d’écran de la page Portail réseau Contoso avec indicateur d’accès réseau.

    Remarque

    Sélectionnez la vignette VPN pour installer le client BIG-IP Edge et établir une connexion VPN configurée pour SHA. L’application F5 VPN est visible en tant que ressource cible dans Accès conditionnel Microsoft Entra. Consultez les stratégies d’accès conditionnel pour activer l'authentification sans mot de passe Microsoft Entra ID pour les utilisateurs.

Ressources