Oktatóanyag: F5 BIG-IP SSL-VPN konfigurálása Microsoft Entra egyszeri bejelentkezéshez
Ebből az oktatóanyagból megtudhatja, hogyan integrálhatja az F5 BIG-IP-alapú biztonságos szoftvercsatornás rétegbeli virtuális magánhálózatot (SSL-VPN) Microsoft Entra azonosítóval a biztonságos hibrid hozzáféréshez (SHA).
A BIG-IP SSL-VPN engedélyezése Microsoft Entra egyszeri bejelentkezéshez (SSO) számos előnnyel jár, többek között:
- Továbbfejlesztett zéró megbízhatósági szabályozás Microsoft Entra előhitelesítéssel és feltételes hozzáféréssel.
- Jelszó nélküli hitelesítés a VPN-szolgáltatásban
- Identitások és hozzáférés kezelése egyetlen vezérlősíkról, a Microsoft Entra Felügyeleti központból
További előnyökért lásd:
- F5 BIG-IP integrálása Microsoft Entra ID azonosítóval
- Mi az az egyszeri bejelentkezés Microsoft Entra azonosítóban?
Megjegyzés
A klasszikus VPN-ek továbbra is hálózatorientáltak maradnak, és gyakran nemigen biztosítanak részletesebb hozzáférést a vállalati alkalmazásokhoz. A Teljes felügyelet elérése érdekében egy identitásközpontúbb megközelítést szorgalmazunk. További információ: Öt lépés az összes alkalmazás Microsoft Entra-azonosítóval való integrálásához.
Forgatókönyv leírása
Ebben a forgatókönyvben az SSL-VPN szolgáltatás BIG-IP APM-példánya SAML-szolgáltatóként (SP) van konfigurálva, és Microsoft Entra azonosító a megbízható SAML-identitásszolgáltató. A Microsoft Entra-azonosítóból származó egyszeri bejelentkezés jogcímalapú hitelesítéssel érhető el a BIG-IP APM-hez, amely zökkenőmentes VPN-hozzáférési élmény.
Megjegyzés
Cserélje le az útmutatóban szereplő példasztringeket vagy értékeket a környezetében lévőkre.
Előfeltételek
Az F5 BIG-IP előzetes ismerete vagy ismerete nem szükséges, azonban a következőkre lesz szüksége:
- Microsoft Entra-előfizetés
- Ha nem rendelkezik ilyen fiókkal, ingyenes Azure-fiókot vagy újabbat is kaphat
- A helyszíni címtárból szinkronizált felhasználói identitások Microsoft Entra azonosítóval.
- A következő szerepkörök egyike: globális rendszergazda, felhőalkalmazás-rendszergazda vagy alkalmazásadminisztrátor.
- BIG-IP-infrastruktúra a BIG-IP-címre és onnan érkező ügyfélforgalom-útválasztással
- A BIG-IP által közzétett VPN-szolgáltatás rekordja a nyilvános DNS-ben
- Vagy tesztügyfél localhost fájlja tesztelés közben
- A SZOLGÁLTATÁSOK HTTPS-en keresztüli közzétételéhez szükséges SSL-tanúsítványokkal kiépített BIG-IP
Az oktatóanyagi élmény javítása érdekében az F5 BIG-IP szószedet iparági szabvány szerinti terminológiáját sajátíthatja el.
F5 BIG-IP hozzáadása a Microsoft Entra katalógusból
Tipp
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Állítson be egy SAML összevonási megbízhatósági kapcsolatot a BIG-IP között, hogy a Microsoft Entra BIG-IP átadja az előhitelesítést és a feltételes hozzáférést Microsoft Entra-azonosítónak, mielőtt hozzáférést ad a közzétett VPN-szolgáltatáshoz.
- Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
- Keresse meg az Identity>Applications>Vállalati alkalmazások>Minden alkalmazás lehetőséget, majd válassza az Új alkalmazás lehetőséget.
- A katalógusban keressen rá az F5 kifejezésre, és válassza az F5 BIG-IP APM Azure AD integráció lehetőséget.
- Adjon nevet az alkalmazásnak.
- Válassza a Hozzáadás , majd a Létrehozás lehetőséget.
- A név ikonként jelenik meg a Microsoft Entra Felügyeleti központban és Office 365 portálon.
Microsoft Entra SSO konfigurálása
- Az F5-alkalmazástulajdonságokkal lépjen azEgyszeri bejelentkezéskezelése> elemre.
- Az Egyszeri bejelentkezési módszer kiválasztása lapon válassza az SAML lehetőséget.
- Válassza a Nem, később mentem lehetőséget.
- Az SAML-sel való egyszeri bejelentkezés beállítása menüben válassza az Egyszerű SAML-konfiguráció toll ikonját.
- Cserélje le az Azonosító URL-címet a BIG-IP által közzétett szolgáltatás URL-címére. Például:
https://ssl-vpn.contoso.com
. - Cserélje le a Válasz URL-címet és az SAML-végpont elérési útját. Például:
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.
Megjegyzés
Ebben a konfigurációban az alkalmazás identitásszolgáltató által kezdeményezett módban működik: Microsoft Entra azonosító SAML-helyességi feltételt ad ki, mielőtt átirányítja a BIG-IP SAML szolgáltatásra.
- Az idP által kezdeményezett módot nem támogató alkalmazások esetében a BIG-IP SAML szolgáltatáshoz adja meg a bejelentkezési URL-címet, például
https://ssl-vpn.contoso.com
: . - A Kijelentkezési URL-cím mezőbe írja be a big-IP APM egyszeri kijelentkezési (SLO) végpontot, amelyet a közzétett szolgáltatás gazdagépfejléce előre rögzít. Például:
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
Megjegyzés
Az SLO URL-cím biztosítja, hogy a felhasználói munkamenet BIG-IP-címmel és Microsoft Entra azonosítóval végződjön, miután a felhasználó kijelentkezett. A BIG-IP APM-nek lehetősége van az összes munkamenet leállítására egy alkalmazás URL-címének meghívásakor. További információ a K12056: A Kijelentkezés URI belefoglalása lehetőség áttekintése című F5-cikkről.
.
Megjegyzés
A TMOS v16-ból az SAML SLO-végpont /saml/sp/profile/redirect/slo-ra változott.
Válassza a Mentés lehetőséget
Hagyja ki az SSO-tesztüzenetet.
A Felhasználói attribútumok jogcímtulajdonságok & területen figyelje meg a részleteket.
A BIG-IP által közzétett szolgáltatáshoz más jogcímeket is hozzáadhat. Az alapértelmezett készleten kívül definiált jogcímek akkor lesznek kiállítva, ha Microsoft Entra azonosítóban vannak. Definiáljon címtár-szerepköröket vagy csoporttagságokat egy felhasználói objektumhoz Microsoft Entra azonosítóban, mielőtt jogcímként ki lehetne őket adni.
A Microsoft Entra id által létrehozott SAML aláíró tanúsítványok élettartama három év.
Microsoft Entra engedélyezés
Alapértelmezés szerint Microsoft Entra azonosító jogkivonatokat ad ki a szolgáltatáshoz hozzáféréssel rendelkező felhasználók számára.
Az alkalmazáskonfigurációs nézetben válassza a Felhasználók és csoportok lehetőséget.
Válassza a + Felhasználó hozzáadása lehetőséget.
A Hozzárendelés hozzáadása menüben válassza a Felhasználók és csoportok lehetőséget.
A Felhasználók és csoportok párbeszédpanelen adja hozzá a VPN elérésére jogosult felhasználói csoportokat
Válassza aHozzárendeléskiválasztása lehetőséget>.
Beállíthatja a BIG-IP APM-et az SSL-VPN szolgáltatás közzétételéhez. Konfigurálja a megfelelő tulajdonságokkal az SAML-előhitelesítés megbízhatóságának befejezéséhez.
BIG-IP APM-konfiguráció
SAML-összevonás
A VPN-szolgáltatás Microsoft Entra azonosítóval való összevonásához hozza létre a BIG-IP SAML-szolgáltatót és a megfelelő SAML IDP-objektumokat.
Lépjen az Access FederationSAML Service Provider> Local SP Services (Hozzáférés> azösszevonási> SAML-szolgáltatóhelyi SP-szolgáltatásaihoz) elemre.
Válassza a Létrehozás lehetőséget.
Adjon meg egy nevet és egy Microsoft Entra azonosítóban definiált entitásazonosítót.
Az alkalmazáshoz való csatlakozáshoz adja meg a gazdagép teljes tartománynevét.
Megjegyzés
Ha az entitásazonosító nem egyezik meg a közzétett URL-cím állomásnevével, konfigurálja az SP-név beállításait, vagy hajtsa végre ezt a műveletet, ha nem állomásnév URL-formátumban van. Ha az urn:ssl-vpn:contosoonline
entitás azonosítója , adja meg a közzétett alkalmazás külső sémáját és állomásnevét.
Görgessen le az új SAML SP objektum kiválasztásához.
Válassza a Bind/UnBind IDP Connectors (Identitásszolgáltató-összekötők kötése/leválasztása) lehetőséget.
Válassza az Új IDENTITÁSSZOLGÁLTATÓ-összekötő létrehozása lehetőséget.
A legördülő menüben válassza a Metaadatokból lehetőséget
Tallózással keresse meg a letöltött összevonási metaadat-XML-fájlt.
Az APM-objektumhoz adjon meg egy identitásszolgáltatói nevet , amely a külső SAML-identitásszolgáltatót jelöli.
Az új Microsoft Entra külső identitásszolgáltatói összekötő kiválasztásához válassza az Új sor hozzáadása lehetőséget.
Válassza a Frissítés lehetőséget.
Válassza az OK lehetőséget.
Webtop-konfiguráció
Engedélyezze az SSL-VPN használatát a felhasználóknak a BIG-IP webportálon keresztül.
Lépjen az AccessWebtops>Webtop Lists (Webes listákelérése>) lapra.
Válassza a Létrehozás lehetőséget.
Adjon meg egy portálnevet.
Állítsa a típust Teljes értékre, például
Contoso_webtop
: .Fejezze be a többi beállítást.
Válassza a Kész lehetőséget.
VPN-konfiguráció
A VPN-elemek a teljes szolgáltatás aspektusait szabályozzák.
Lépjen az Access>Connectivity/VPN>Network Access (VPN)>IPV4 bérletkészletek területre
Válassza a Létrehozás lehetőséget.
Adja meg a VPN-ügyfelek számára lefoglalt IP-címkészlet nevét. Például Contoso_vpn_pool.
Állítsa a típust IP-címtartományra.
Adja meg a kezdő és záró IP-címet.
Válassza a Hozzáadás lehetőséget.
Válassza a Kész lehetőséget.
A hálózati hozzáférési lista kiépítheti a szolgáltatást IP- és DNS-beállításokkal a VPN-készletből, a felhasználói útválasztási engedélyeket, és elindíthat alkalmazásokat.
Lépjen az Access>Connectivity/VPN: Network Access (VPN)Network Access Lists (Kapcsolat/VPN: Hálózati hozzáférés (VPN)>Hálózati hozzáférési listák területre.
Válassza a Létrehozás lehetőséget.
Adja meg a VPN hozzáférési listájának nevét, és képaláírás, például Contoso-VPN.
Válassza a Kész lehetőséget.
A felső menüszalagon válassza a Hálózati beállítások lehetőséget.
Támogatott IP-verzió: IPV4.
IPV4-bérletkészlet esetén válassza ki a létrehozott VPN-készletet, például Contoso_vpn_pool
Megjegyzés
Az Ügyfélbeállítások beállításokkal korlátozásokat kényszeríthet ki arra vonatkozóan, hogy az ügyfélforgalom hogyan legyen átirányítva egy létrehozott VPN-en.
Válassza a Kész lehetőséget.
Lépjen a DNS/Gazdagépek lapra.
IPV4 elsődleges névkiszolgáló esetén: A környezet DNS-IP-címe
ALAPÉRTELMEZETT DNS-tartomány utótagja: A VPN-kapcsolat tartományutótagja. Például contoso.com
Megjegyzés
További beállításokért lásd az F5-ös cikk Hálózati hozzáférési erőforrások konfigurálása című szakaszát.
A VPN-ügyféltípus beállításainak konfigurálásához BIG-IP kapcsolatprofil szükséges, amelyet a VPN-szolgáltatásnak támogatnia kell. Például Windows, OSX és Android.
Lépjen aKapcsolati/VPN-kapcsolati>>profilokelérése> elemre
Válassza a Hozzáadás lehetőséget.
Adjon meg egy profilnevet.
Állítsa a szülőprofilt /Common/connectivity értékre, például Contoso_VPN_Profile.
További információ az ügyféltámogatásról: F5 cikk, F5 Access és BIG-IP Edge-ügyfél.
Hozzáférési profil konfigurációja
A hozzáférési szabályzat engedélyezi a szolgáltatást az SAML-hitelesítéshez.
Lépjen a Hozzáférési>profilok/szabályzatok>hozzáférési profilok (munkamenet-alapú szabályzatok) területre.
Válassza a Létrehozás lehetőséget.
Adja meg a profil nevét és a profil típusát.
Válassza az Összes lehetőséget, például Contoso_network_access.
Görgessen lefelé, és adjon hozzá legalább egy nyelvet az Elfogadott nyelvek listához
Válassza a Kész lehetőséget.
Az új hozzáférési profil Per-Session Házirend mezőjében válassza a Szerkesztés lehetőséget.
A vizualizációszabályzat-szerkesztő egy új lapon nyílik meg.
Válassza ki a + jelet.
A menüben válassza a Hitelesítés>SAML-hitelesítés lehetőséget.
Válassza az Elem hozzáadása lehetőséget.
Az SAML hitelesítési SP konfigurációjában válassza ki a létrehozott VPN SAML SP objektumot
Kattintson a Mentés gombra.
Az SAML-hitelesítés sikeres ágához válassza a lehetőséget + .
A Hozzárendelés lapon válassza a Speciális erőforrás-hozzárendelés lehetőséget.
Válassza az Elem hozzáadása lehetőséget.
Az előugró ablakban válassza az Új bejegyzés lehetőséget
Válassza a Hozzáadás/törlés lehetőséget.
Az ablakban válassza a Hálózati hozzáférés lehetőséget.
Válassza ki a létrehozott Hálózati hozzáférési profilt.
Lépjen a Webtop lapra.
Adja hozzá a létrehozott Webtop objektumot.
Válassza a Frissítés lehetőséget.
Válassza aMentés lehetőséget.
A Sikeres ág módosításához válassza a felső Megtagadás mező hivatkozását.
Megjelenik az Engedélyezés felirat.
Mentés gombra.
Válassza a Hozzáférési szabályzat alkalmazása lehetőséget
Zárja be a vizualizációszabályzat-szerkesztő lapot.
A VPN-szolgáltatás közzététele
Az APM használatához előtér-virtuális kiszolgálóra van szükség a VPN-hez csatlakozó ügyfelek figyeléséhez.
Válassza a Helyi forgalom virtuális>kiszolgálók>virtuális kiszolgálóinak listája lehetőséget.
Válassza a Létrehozás lehetőséget.
A VPN virtuális kiszolgálóhoz adjon meg egy Nevet, például VPN_Listener.
Válasszon ki egy nem használt IP-célcímet útválasztással az ügyfélforgalom fogadásához.
Állítsa a szolgáltatásportot 443 HTTPS értékre.
Az Állapot beállításnál győződjön meg arról, hogy az Engedélyezve lehetőség van kiválasztva.
Állítsa a HTTP-profilthttp értékre.
Adja hozzá az SSL-profilt (ügyfelet) a létrehozott nyilvános SSL-tanúsítványhoz.
A létrehozott VPN-objektumok használatához a Hozzáférési szabályzat területen állítsa be a hozzáférési profilt és a kapcsolati profilt.
Válassza a Kész lehetőséget.
Az SSL-VPN szolgáltatás közzé van téve és elérhető az SHA-val, annak URL-címével vagy a Microsoft alkalmazásportáljaival.
Következő lépések
Nyisson meg egy böngészőt egy távoli Windows-ügyfélen.
Keresse meg a BIG-IP VPN-szolgáltatás URL-címét .
Megjelenik a BIG-IP webtop portál és a VPN-indító.
Megjegyzés
Válassza ki a VPN csempét a BIG-IP Edge-ügyfél telepítéséhez és az SHA-hoz konfigurált VPN-kapcsolat létrehozásához. Az F5 VPN-alkalmazás célerőforrásként látható Microsoft Entra feltételes hozzáférésben. Lásd: Feltételes hozzáférési szabályzatok, amelyek lehetővé teszik a felhasználók számára Microsoft Entra azonosító nélküli hitelesítést.