Oktatóanyag: F5 BIG-IP SSL-VPN konfigurálása Microsoft Entra egyszeri bejelentkezéshez

  • Cikk

Ebből az oktatóanyagból megtudhatja, hogyan integrálhatja az F5 BIG-IP-alapú biztonságos szoftvercsatornás rétegbeli virtuális magánhálózatot (SSL-VPN) Microsoft Entra azonosítóval a biztonságos hibrid hozzáféréshez (SHA).

A BIG-IP SSL-VPN engedélyezése Microsoft Entra egyszeri bejelentkezéshez (SSO) számos előnnyel jár, többek között:

További előnyökért lásd:

Megjegyzés

A klasszikus VPN-ek továbbra is hálózatorientáltak maradnak, és gyakran nemigen biztosítanak részletesebb hozzáférést a vállalati alkalmazásokhoz. A Teljes felügyelet elérése érdekében egy identitásközpontúbb megközelítést szorgalmazunk. További információ: Öt lépés az összes alkalmazás Microsoft Entra-azonosítóval való integrálásához.

Forgatókönyv leírása

Ebben a forgatókönyvben az SSL-VPN szolgáltatás BIG-IP APM-példánya SAML-szolgáltatóként (SP) van konfigurálva, és Microsoft Entra azonosító a megbízható SAML-identitásszolgáltató. A Microsoft Entra-azonosítóból származó egyszeri bejelentkezés jogcímalapú hitelesítéssel érhető el a BIG-IP APM-hez, amely zökkenőmentes VPN-hozzáférési élmény.

Az integrációs architektúra ábrája.

Megjegyzés

Cserélje le az útmutatóban szereplő példasztringeket vagy értékeket a környezetében lévőkre.

Előfeltételek

Az F5 BIG-IP előzetes ismerete vagy ismerete nem szükséges, azonban a következőkre lesz szüksége:

Az oktatóanyagi élmény javítása érdekében az F5 BIG-IP szószedet iparági szabvány szerinti terminológiáját sajátíthatja el.

Tipp

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Állítson be egy SAML összevonási megbízhatósági kapcsolatot a BIG-IP között, hogy a Microsoft Entra BIG-IP átadja az előhitelesítést és a feltételes hozzáférést Microsoft Entra-azonosítónak, mielőtt hozzáférést ad a közzétett VPN-szolgáltatáshoz.

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Keresse meg az Identity>Applications>Vállalati alkalmazások>Minden alkalmazás lehetőséget, majd válassza az Új alkalmazás lehetőséget.
  3. A katalógusban keressen rá az F5 kifejezésre, és válassza az F5 BIG-IP APM Azure AD integráció lehetőséget.
  4. Adjon nevet az alkalmazásnak.
  5. Válassza a Hozzáadás , majd a Létrehozás lehetőséget.
  6. A név ikonként jelenik meg a Microsoft Entra Felügyeleti központban és Office 365 portálon.

Microsoft Entra SSO konfigurálása

  1. Az F5-alkalmazástulajdonságokkal lépjen azEgyszeri bejelentkezéskezelése> elemre.
  2. Az Egyszeri bejelentkezési módszer kiválasztása lapon válassza az SAML lehetőséget.
  3. Válassza a Nem, később mentem lehetőséget.
  4. Az SAML-sel való egyszeri bejelentkezés beállítása menüben válassza az Egyszerű SAML-konfiguráció toll ikonját.
  5. Cserélje le az Azonosító URL-címet a BIG-IP által közzétett szolgáltatás URL-címére. Például: https://ssl-vpn.contoso.com.
  6. Cserélje le a Válasz URL-címet és az SAML-végpont elérési útját. Például: https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

Megjegyzés

Ebben a konfigurációban az alkalmazás identitásszolgáltató által kezdeményezett módban működik: Microsoft Entra azonosító SAML-helyességi feltételt ad ki, mielőtt átirányítja a BIG-IP SAML szolgáltatásra.

  1. Az idP által kezdeményezett módot nem támogató alkalmazások esetében a BIG-IP SAML szolgáltatáshoz adja meg a bejelentkezési URL-címet, például https://ssl-vpn.contoso.com: .
  2. A Kijelentkezési URL-cím mezőbe írja be a big-IP APM egyszeri kijelentkezési (SLO) végpontot, amelyet a közzétett szolgáltatás gazdagépfejléce előre rögzít. Például: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

Megjegyzés

Az SLO URL-cím biztosítja, hogy a felhasználói munkamenet BIG-IP-címmel és Microsoft Entra azonosítóval végződjön, miután a felhasználó kijelentkezett. A BIG-IP APM-nek lehetősége van az összes munkamenet leállítására egy alkalmazás URL-címének meghívásakor. További információ a K12056: A Kijelentkezés URI belefoglalása lehetőség áttekintése című F5-cikkről.

Képernyőkép az ALAPVETŐ SAML-konfigurációs URL-címekről.

Megjegyzés

A TMOS v16-ból az SAML SLO-végpont /saml/sp/profile/redirect/slo-ra változott.

  1. Válassza a Mentés lehetőséget

  2. Hagyja ki az SSO-tesztüzenetet.

  3. A Felhasználói attribútumok jogcímtulajdonságok & területen figyelje meg a részleteket.

    Képernyőkép a felhasználói attribútumokról és jogcímtulajdonságokról.

A BIG-IP által közzétett szolgáltatáshoz más jogcímeket is hozzáadhat. Az alapértelmezett készleten kívül definiált jogcímek akkor lesznek kiállítva, ha Microsoft Entra azonosítóban vannak. Definiáljon címtár-szerepköröket vagy csoporttagságokat egy felhasználói objektumhoz Microsoft Entra azonosítóban, mielőtt jogcímként ki lehetne őket adni.

Képernyőkép az Összevonási metaadatok XML-letöltési lehetőségéről.

A Microsoft Entra id által létrehozott SAML aláíró tanúsítványok élettartama három év.

Microsoft Entra engedélyezés

Alapértelmezés szerint Microsoft Entra azonosító jogkivonatokat ad ki a szolgáltatáshoz hozzáféréssel rendelkező felhasználók számára.

  1. Az alkalmazáskonfigurációs nézetben válassza a Felhasználók és csoportok lehetőséget.

  2. Válassza a + Felhasználó hozzáadása lehetőséget.

  3. A Hozzárendelés hozzáadása menüben válassza a Felhasználók és csoportok lehetőséget.

  4. A Felhasználók és csoportok párbeszédpanelen adja hozzá a VPN elérésére jogosult felhasználói csoportokat

  5. Válassza aHozzárendeléskiválasztása lehetőséget>.

    Képernyőkép a Felhasználó hozzáadása lehetőségről.

Beállíthatja a BIG-IP APM-et az SSL-VPN szolgáltatás közzétételéhez. Konfigurálja a megfelelő tulajdonságokkal az SAML-előhitelesítés megbízhatóságának befejezéséhez.

BIG-IP APM-konfiguráció

SAML-összevonás

A VPN-szolgáltatás Microsoft Entra azonosítóval való összevonásához hozza létre a BIG-IP SAML-szolgáltatót és a megfelelő SAML IDP-objektumokat.

  1. Lépjen az Access FederationSAML Service Provider> Local SP Services (Hozzáférés> azösszevonási> SAML-szolgáltatóhelyi SP-szolgáltatásaihoz) elemre.

  2. Válassza a Létrehozás lehetőséget.

    Képernyőkép a Helyi SP-szolgáltatások lapon található Létrehozás lehetőségről.

  3. Adjon meg egy nevet és egy Microsoft Entra azonosítóban definiált entitásazonosítót.

  4. Az alkalmazáshoz való csatlakozáshoz adja meg a gazdagép teljes tartománynevét.

    Képernyőkép a Név és az Entitás bejegyzésekről.

Megjegyzés

Ha az entitásazonosító nem egyezik meg a közzétett URL-cím állomásnevével, konfigurálja az SP-név beállításait, vagy hajtsa végre ezt a műveletet, ha nem állomásnév URL-formátumban van. Ha az urn:ssl-vpn:contosoonlineentitás azonosítója , adja meg a közzétett alkalmazás külső sémáját és állomásnevét.

  1. Görgessen le az új SAML SP objektum kiválasztásához.

  2. Válassza a Bind/UnBind IDP Connectors (Identitásszolgáltató-összekötők kötése/leválasztása) lehetőséget.

    Képernyőkép a Helyi SP-szolgáltatások oldalon található Kötés nélküli IDP-kapcsolatok lehetőségről.

  3. Válassza az Új IDENTITÁSSZOLGÁLTATÓ-összekötő létrehozása lehetőséget.

  4. A legördülő menüben válassza a Metaadatokból lehetőséget

    Képernyőkép a Metaadatokból lehetőségről az SAML idP-k szerkesztése lapon.

  5. Tallózással keresse meg a letöltött összevonási metaadat-XML-fájlt.

  6. Az APM-objektumhoz adjon meg egy identitásszolgáltatói nevet , amely a külső SAML-identitásszolgáltatót jelöli.

  7. Az új Microsoft Entra külső identitásszolgáltatói összekötő kiválasztásához válassza az Új sor hozzáadása lehetőséget.

    Képernyőkép az SAML IdP-összekötők lehetőségről az SAML idP szerkesztése lapon.

  8. Válassza a Frissítés lehetőséget.

  9. Válassza az OK lehetőséget.

    Képernyőkép a Gyakori, VPN Azure hivatkozásról az SAML idP-k szerkesztése oldalon.

Webtop-konfiguráció

Engedélyezze az SSL-VPN használatát a felhasználóknak a BIG-IP webportálon keresztül.

  1. Lépjen az AccessWebtops>Webtop Lists (Webes listákelérése>) lapra.

  2. Válassza a Létrehozás lehetőséget.

  3. Adjon meg egy portálnevet.

  4. Állítsa a típust Teljes értékre, például Contoso_webtop: .

  5. Fejezze be a többi beállítást.

  6. Válassza a Kész lehetőséget.

    Képernyőkép az Általános tulajdonságok területen található név- és típusbejegyzésekről.

VPN-konfiguráció

A VPN-elemek a teljes szolgáltatás aspektusait szabályozzák.

  1. Lépjen az Access>Connectivity/VPN>Network Access (VPN)>IPV4 bérletkészletek területre

  2. Válassza a Létrehozás lehetőséget.

  3. Adja meg a VPN-ügyfelek számára lefoglalt IP-címkészlet nevét. Például Contoso_vpn_pool.

  4. Állítsa a típust IP-címtartományra.

  5. Adja meg a kezdő és záró IP-címet.

  6. Válassza a Hozzáadás lehetőséget.

  7. Válassza a Kész lehetőséget.

    Képernyőkép a név- és taglista-bejegyzésekről az Általános tulajdonságok területen.

A hálózati hozzáférési lista kiépítheti a szolgáltatást IP- és DNS-beállításokkal a VPN-készletből, a felhasználói útválasztási engedélyeket, és elindíthat alkalmazásokat.

  1. Lépjen az Access>Connectivity/VPN: Network Access (VPN)Network Access Lists (Kapcsolat/VPN: Hálózati hozzáférés (VPN)>Hálózati hozzáférési listák területre.

  2. Válassza a Létrehozás lehetőséget.

  3. Adja meg a VPN hozzáférési listájának nevét, és képaláírás, például Contoso-VPN.

  4. Válassza a Kész lehetőséget.

    Képernyőkép a névbejegyzésről az Általános tulajdonságok területen, és képaláírás bejegyzést az angol testreszabási beállításokban.

  5. A felső menüszalagon válassza a Hálózati beállítások lehetőséget.

  6. Támogatott IP-verzió: IPV4.

  7. IPV4-bérletkészlet esetén válassza ki a létrehozott VPN-készletet, például Contoso_vpn_pool

    Képernyőkép az Általános beállítások IPV4-bérletkészlet bejegyzéséről.

Megjegyzés

Az Ügyfélbeállítások beállításokkal korlátozásokat kényszeríthet ki arra vonatkozóan, hogy az ügyfélforgalom hogyan legyen átirányítva egy létrehozott VPN-en.

  1. Válassza a Kész lehetőséget.

  2. Lépjen a DNS/Gazdagépek lapra.

  3. IPV4 elsődleges névkiszolgáló esetén: A környezet DNS-IP-címe

  4. ALAPÉRTELMEZETT DNS-tartomány utótagja: A VPN-kapcsolat tartományutótagja. Például contoso.com

    Képernyőkép az IPV4 elsődleges kiszolgáló nevének és a DNS alapértelmezett tartomány-utótagjának bejegyzéséről.

Megjegyzés

További beállításokért lásd az F5-ös cikk Hálózati hozzáférési erőforrások konfigurálása című szakaszát.

A VPN-ügyféltípus beállításainak konfigurálásához BIG-IP kapcsolatprofil szükséges, amelyet a VPN-szolgáltatásnak támogatnia kell. Például Windows, OSX és Android.

  1. Lépjen aKapcsolati/VPN-kapcsolati>>profilokelérése> elemre

  2. Válassza a Hozzáadás lehetőséget.

  3. Adjon meg egy profilnevet.

  4. Állítsa a szülőprofilt /Common/connectivity értékre, például Contoso_VPN_Profile.

    Képernyőkép a Profilnév és a Szülőnév bejegyzésről az Új kapcsolati profil létrehozása területen.

További információ az ügyféltámogatásról: F5 cikk, F5 Access és BIG-IP Edge-ügyfél.

Hozzáférési profil konfigurációja

A hozzáférési szabályzat engedélyezi a szolgáltatást az SAML-hitelesítéshez.

  1. Lépjen a Hozzáférési>profilok/szabályzatok>hozzáférési profilok (munkamenet-alapú szabályzatok) területre.

  2. Válassza a Létrehozás lehetőséget.

  3. Adja meg a profil nevét és a profil típusát.

  4. Válassza az Összes lehetőséget, például Contoso_network_access.

  5. Görgessen lefelé, és adjon hozzá legalább egy nyelvet az Elfogadott nyelvek listához

  6. Válassza a Kész lehetőséget.

    Képernyőkép az Új profil név, Profiltípus és Nyelv bejegyzéséről.

  7. Az új hozzáférési profil Per-Session Házirend mezőjében válassza a Szerkesztés lehetőséget.

  8. A vizualizációszabályzat-szerkesztő egy új lapon nyílik meg.

    Képernyőkép az Access-profilok szerkesztési lehetőségéről, valamint a munkamenet előtti szabályzatok beállításáról.

  9. Válassza ki a + jelet.

  10. A menüben válassza a Hitelesítés>SAML-hitelesítés lehetőséget.

  11. Válassza az Elem hozzáadása lehetőséget.

  12. Az SAML hitelesítési SP konfigurációjában válassza ki a létrehozott VPN SAML SP objektumot

  13. Kattintson a Mentés gombra.

    Képernyőkép az AAA Server bejegyzésről az SAML Authentication SP területen, a Tulajdonságok lapon.

  14. Az SAML-hitelesítés sikeres ágához válassza a lehetőséget + .

  15. A Hozzárendelés lapon válassza a Speciális erőforrás-hozzárendelés lehetőséget.

  16. Válassza az Elem hozzáadása lehetőséget.

    Képernyőkép a hozzáférési szabályzat plusz gombjáról.

  17. Az előugró ablakban válassza az Új bejegyzés lehetőséget

  18. Válassza a Hozzáadás/törlés lehetőséget.

  19. Az ablakban válassza a Hálózati hozzáférés lehetőséget.

  20. Válassza ki a létrehozott Hálózati hozzáférési profilt.

    Képernyőkép az Erőforrás-hozzárendelés Új bejegyzés hozzáadása gombjáról a Tulajdonságok lapon.

  21. Lépjen a Webtop lapra.

  22. Adja hozzá a létrehozott Webtop objektumot.

    Képernyőkép a létrehozott webtopról a Webtop lapon.

  23. Válassza a Frissítés lehetőséget.

  24. Válassza aMentés lehetőséget.

  25. A Sikeres ág módosításához válassza a felső Megtagadás mező hivatkozását.

  26. Megjelenik az Engedélyezés felirat.

  27. Mentés gombra.

    Képernyőkép a Hozzáférési szabályzat Megtagadás lehetőségéről.

  28. Válassza a Hozzáférési szabályzat alkalmazása lehetőséget

  29. Zárja be a vizualizációszabályzat-szerkesztő lapot.

    Képernyőkép a Hozzáférési szabályzat alkalmazása lehetőségről.

A VPN-szolgáltatás közzététele

Az APM használatához előtér-virtuális kiszolgálóra van szükség a VPN-hez csatlakozó ügyfelek figyeléséhez.

  1. Válassza a Helyi forgalom virtuális>kiszolgálók>virtuális kiszolgálóinak listája lehetőséget.

  2. Válassza a Létrehozás lehetőséget.

  3. A VPN virtuális kiszolgálóhoz adjon meg egy Nevet, például VPN_Listener.

  4. Válasszon ki egy nem használt IP-célcímet útválasztással az ügyfélforgalom fogadásához.

  5. Állítsa a szolgáltatásportot 443 HTTPS értékre.

  6. Az Állapot beállításnál győződjön meg arról, hogy az Engedélyezve lehetőség van kiválasztva.

    Képernyőkép az Általános tulajdonságok név- és célcím- vagy maszkbejegyzéséről.

  7. Állítsa a HTTP-profilthttp értékre.

  8. Adja hozzá az SSL-profilt (ügyfelet) a létrehozott nyilvános SSL-tanúsítványhoz.

    Képernyőkép az ügyfél HTTP-profil bejegyzéséről és az ssl-profil ügyfélhez kiválasztott bejegyzéséről.

  9. A létrehozott VPN-objektumok használatához a Hozzáférési szabályzat területen állítsa be a hozzáférési profilt és a kapcsolati profilt.

    Képernyőkép az Access-profil- és kapcsolatprofil-bejegyzésekről a hozzáférési szabályzatban.

  10. Válassza a Kész lehetőséget.

Az SSL-VPN szolgáltatás közzé van téve és elérhető az SHA-val, annak URL-címével vagy a Microsoft alkalmazásportáljaival.

Következő lépések

  1. Nyisson meg egy böngészőt egy távoli Windows-ügyfélen.

  2. Keresse meg a BIG-IP VPN-szolgáltatás URL-címét .

  3. Megjelenik a BIG-IP webtop portál és a VPN-indító.

    Képernyőkép a Contoso hálózati portál oldaláról a hálózati hozzáférés jelzőjével.

Megjegyzés

Válassza ki a VPN csempét a BIG-IP Edge-ügyfél telepítéséhez és az SHA-hoz konfigurált VPN-kapcsolat létrehozásához. Az F5 VPN-alkalmazás célerőforrásként látható Microsoft Entra feltételes hozzáférésben. Lásd: Feltételes hozzáférési szabályzatok, amelyek lehetővé teszik a felhasználók számára Microsoft Entra azonosító nélküli hitelesítést.

Források