Tutorial: Mengonfigurasi F5 BIG-IP SSL-VPN untuk SSO Microsoft Entra

  • Artikel

Dalam tutorial ini, pelajari cara mengintegrasikan jaringan privat virtual lapisan soket aman (SSL-VPN) berbasis F5 BIG-IP dengan ID Microsoft Entra untuk akses hibrid aman (SHA).

Mengaktifkan BIG-IP SSL-VPN untuk akses menyeluruh (SSO) Microsoft Entra memberikan banyak manfaat, termasuk:

Untuk mempelajari tentang manfaat lainnya, lihat

Catatan

VPN klasik tetap berorientasi pada jaringan, sering menyediakan sedikit atau tanpa akses mendetail ke aplikasi perusahaan. Kami mendorong pendekatan yang lebih berdekatan dengan identitas untuk mencapai Zero Trust. Pelajari selengkapnya: Lima langkah untuk mengintegrasikan semua aplikasi Anda dengan ID Microsoft Entra.

Deskripsi Skenario

Dalam skenario ini, instans BIG-IP APM dari layanan SSL-VPN dikonfigurasi sebagai penyedia layanan SAML (SP) dan ID Microsoft Entra adalah IDP SAML tepercaya. SSO dari ID Microsoft Entra disediakan melalui autentikasi berbasis klaim ke BIG-IP APM, pengalaman akses VPN yang mulus.

Diagram arsitektur integrasi.

Catatan

Ganti contoh string atau nilai dalam panduan ini dengan yang ada di lingkungan Anda.

Prasyarat

Pengalaman atau pengetahuan sebelumnya tentang F5 BIG-IP tidak diperlukan, namun, Anda akan memerlukan:

  • Langganan Microsoft Entra
    • Jika Anda tidak memilikinya, Anda bisa mendapatkan akun gratis Azure atau di atasnya
  • Identitas pengguna disinkronkan dari direktori lokal mereka ke ID Microsoft Entra.
  • Salah satu peran berikut: Administrator Global, Administrator Aplikasi Cloud, atau Administrator Aplikasi.
  • Infrastruktur BIG-IP dengan perutean lalu lintas klien ke dan dari BIG-IP
  • Catatan untuk layanan VPN yang diterbitkan BIG-IP di DNS publik
    • Atau file localhost klien pengujian saat menguji
  • BIG-IP yang disediakan dengan sertifikat SSL yang diperlukan untuk layanan penerbitan melalui HTTPS

Untuk meningkatkan pengalaman tutorial, Anda dapat mempelajari terminologi standar industri pada Glosarium F5 BIG-IP.

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Siapkan kepercayaan federasi SAML antara BIG-IP untuk memungkinkan Microsoft Entra BIG-IP menyerahkan pra-autentikasi dan Akses Berskalakan ke ID Microsoft Entra, sebelum memberikan akses ke layanan VPN yang diterbitkan.

  1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Aplikasi Cloud.
  2. Telusuri keAplikasi>Identitas>Aplikasi> PerusahaanSemua aplikasi, lalu pilih Aplikasi baru.
  3. Di galeri, cari F5 dan pilih integrasi F5 BIG-IP APM Azure AD.
  4. Masukkan nama untuk aplikasi.
  5. Pilih Tambahkan lalu Buat.
  6. Nama, sebagai ikon, muncul di pusat admin Microsoft Entra dan portal Office 365.

Mengonfigurasi SSO Microsoft Entra

  1. Dengan properti aplikasi F5, buka Mengelola>Akses menyeluruh.
  2. Di halaman Pilih metode akses menyeluruh, pilih SAML.
  3. Pilih Tidak, saya akan menyimpan nanti.
  4. Pada menu Siapkan akses menyeluruh dengan SAML , pilih ikon pena untuk Konfigurasi SAML Dasar.
  5. Ganti URL Pengidentifikasi dengan URL layanan yang diterbitkan BIG-IP Anda. Contohnya,https://ssl-vpn.contoso.com.
  6. Ganti URL Balasan, dan jalur titik akhir SAML. Contohnya:https://ssl-vpn.contoso.com/saml/sp/profile/post/acs

Catatan

Dalam konfigurasi ini, aplikasi beroperasi dalam mode yang dimulai IdP: id Microsoft Entra mengeluarkan pernyataan SAML sebelum mengalihkan ke layanan SAML BIG-IP.

  1. Untuk aplikasi yang tidak mendukung mode yang dimulai IdP, untuk layanan SAML BIG-IP, tentukan URL Masuk, misalnya, https://ssl-vpn.contoso.com.
  2. Untuk URL Keluar, masukkan titik akhir BIG-IP APM Single logout (SLO) yang telah ditunda sebelumnya oleh header host layanan yang diterbitkan. Contohnya, https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

Catatan

URL SLO memastikan sesi pengguna berakhir, di BIG-IP dan ID Microsoft Entra, setelah pengguna keluar. BIG-IP APM memiliki opsi untuk mengakhiri semua sesi saat memanggil URL aplikasi. Pelajari selengkapnya tentang artikel F5, K12056: Gambaran Umum opsi Sertakan URI Keluar.

Cuplikan layar URL konfigurasi SAML dasar..

Catatan

Dari TMOS v16, titik akhir SAML SLO telah diubah menjadi /saml/sp/profile/redirect/slo.

  1. Pilih Simpan

  2. Lewati perintah pengujian SSO.

  3. Di properti Klaim Atribut & Pengguna , amati detailnya.

    Cuplikan layar atribut pengguna dan properti klaim.

Anda dapat menambahkan klaim lain ke layanan yang diterbitkan BIG-IP Anda. Klaim yang ditentukan selain set default dikeluarkan jika berada dalam ID Microsoft Entra. Tentukan peran direktori atau keanggotaan grup terhadap objek pengguna di ID Microsoft Entra, sebelum dapat dikeluarkan sebagai klaim.

Cuplikan layar opsi Unduh XML Metadata Federasi.

Sertifikat penandatanganan SAML yang dibuat oleh ID Microsoft Entra memiliki masa pakai tiga tahun.

otorisasi Microsoft Entra

Secara default, id Microsoft Entra mengeluarkan token kepada pengguna dengan akses yang diberikan ke layanan.

  1. Dalam tampilan konfigurasi aplikasi, pilih Pengguna dan grup.

  2. Pilih + Tambahkan pengguna.

  3. Di menu Tambahkan Penugasan , pilih Pengguna dan grup.

  4. Dalam dialog Pengguna dan grup , tambahkan grup pengguna yang berwenang untuk mengakses VPN

  5. Pilih Pilih>Tetapkan.

    Cuplikan layar opsi Tambahkan Pengguna.

Anda dapat menyiapkan BIG-IP APM untuk menerbitkan layanan SSL-VPN. Konfigurasikan dengan properti yang sesuai untuk menyelesaikan kepercayaan untuk pra-autentikasi SAML.

Konfigurasi BIG-IP APM

Federasi SAML

Untuk menyelesaikan federasi layanan VPN dengan ID Microsoft Entra, buat penyedia layanan SAML BIG-IP dan objek IDP SAML yang sesuai.

  1. Buka Akses>Layanan SP LokalPenyedia> Layanan SAMLFederasi>.

  2. Pilih Buat.

    Cuplikan layar opsi Buat di halaman Layanan SP Lokal.

  3. Masukkan Nama dan ID Entitas yang ditentukan dalam ID Microsoft Entra.

  4. Masukkan Host FQDN untuk menyambungkan ke aplikasi.

    Cuplikan layar entri Nama dan Entitas.

Catatan

Jika ID entitas tidak sama persis dengan nama host URL yang diterbitkan, konfigurasikan pengaturan Nama SP, atau lakukan tindakan ini jika tidak dalam format URL nama host. Jika ID entitas adalah urn:ssl-vpn:contosoonline, berikan skema eksternal dan nama host aplikasi yang diterbitkan.

  1. Gulir ke bawah untuk memilih objek SAML SP baru.

  2. Pilih Ikat/Batalkan Ikatan Konektor IDP.

    Cuplikan layar opsi Ikat Koneksi IDP Ikatan di halaman Layanan SP Lokal.

  3. Pilih Buat Konektor IDP Baru.

  4. Dari menu drop-down, pilih Dari Metadata

    Cuplikan layar opsi Dari Metadata di halaman Edit IDP SAML.

  5. Telusuri ke file XML metadata federasi yang Anda unduh.

  6. Untuk objek APM, berikan Nama Penyedia Identitas yang mewakili IdP SAML eksternal.

  7. Untuk memilih konektor IdP eksternal Microsoft Entra baru, pilih Tambahkan Baris Baru.

    Cuplikan layar opsi Konektor IdP SAML di halaman Edit IdP SAML.

  8. Pilih Perbarui.

  9. PilihOK.

    Cuplikan layar tautan Umum, VPN Azure di halaman Edit IDP SAML.

Konfigurasi webtop

Aktifkan SSL-VPN untuk ditawarkan kepada pengguna melalui portal web BIG-IP.

  1. Masuk ke DaftarWebtops Access >Webtops>.

  2. Pilih Buat.

  3. Masukkan nama portal.

  4. Atur jenis ke Penuh, misalnya, Contoso_webtop.

  5. Selesaikan preferensi yang tersisa.

  6. Pilih Selesai.

    Cuplikan layar entri nama dan jenis di Properti Umum.

Konfigurasi VPN

Elemen VPN mengontrol aspek layanan keseluruhan.

  1. BukaKonektivitasAkses>/>Vpn Network Access (VPN)>IPV4 Lease Pools

  2. Pilih Buat.

  3. Masukkan nama untuk kumpulan alamat IP yang dialokasikan untuk klien VPN. Misalnya, Contoso_vpn_pool.

  4. Atur jenis ke Rentang Alamat IP.

  5. Masukkan IP awal dan akhir.

  6. Pilih Tambahkan.

  7. Pilih Selesai.

    Cuplikan layar entri nama dan daftar anggota di Properti Umum.

Daftar akses Jaringan menyediakan layanan dengan pengaturan IP dan DNS dari kumpulan VPN, izin perutean pengguna, dan dapat meluncurkan aplikasi.

  1. Buka Konektivitas Akses>/VPN: Akses Jaringan (VPN)>Daftar Akses Jaringan.

  2. Pilih Buat.

  3. Berikan nama untuk daftar akses VPN dan caption, misalnya, Contoso-VPN.

  4. Pilih Selesai.

    Cuplikan layar entri nama di Properti Umum, dan entri caption di Pengaturan Kustomisasi untuk bahasa Inggris.

  5. Dari pita atas, pilih Pengaturan Jaringan.

  6. Untuk Versi IP yang didukung: IPV4.

  7. Untuk Kumpulan Sewa IPV4, pilih kumpulan VPN yang dibuat, misalnya, Contoso_vpn_pool

    Cuplikan layar entri Kumpulan Sewa IPV4 di Pengaturan Umum.

Catatan

Gunakan opsi Pengaturan Klien untuk memberlakukan pembatasan tentang bagaimana lalu lintas klien dirutekan dalam VPN yang ditetapkan.

  1. Pilih Selesai.

  2. Buka tab DNS/Host .

  3. Untuk Server Nama Utama IPV4: IP DNS lingkungan Anda

  4. Untuk Akhiran Domain Default DNS: Akhiran domain untuk koneksi VPN ini. Misalnya, contoso.com

    Cuplikan layar entri untuk Nama Server Utama IPV4 dan Akhiran Domain Default DNS.

Catatan

Lihat artikel F5, Mengonfigurasi Sumber Daya Akses Jaringan untuk pengaturan lain.

Profil koneksi BIG-IP diperlukan untuk mengonfigurasi pengaturan jenis klien VPN yang perlu didukung layanan VPN. Misalnya, Windows, OSX, dan Android.

  1. BukaProfilKonektivitasAkses>/Konektivitas> VPN >

  2. Pilih Tambahkan.

  3. Masukkan nama profil.

  4. Atur profil induk ke /Common/connectivity, misalnya, Contoso_VPN_Profile.

    Cuplikan layar entri Nama Profil dan Nama Induk di Buat Profil Konektivitas Baru.

Untuk informasi selengkapnya tentang dukungan klien, lihat artikel F5, Akses F5, dan Klien BIG-IP Edge.

Mengakses konfigurasi profil

Kebijakan akses memungkinkan layanan untuk autentikasi SAML.

  1. Buka Profil Akses>/Profil Akses Kebijakan >(Kebijakan Per Sesi).

  2. Pilih Buat.

  3. Masukkan nama profil dan untuk jenis profil.

  4. Pilih Semua, misalnya, Contoso_network_access.

  5. Gulir ke bawah dan tambahkan setidaknya satu bahasa ke daftar Bahasa yang Diterima

  6. Pilih Selesai.

    Cuplikan layar entri Nama, Jenis Profil, dan Bahasa di Profil Baru.

  7. Di profil akses baru, pada bidang Kebijakan Per-Session, pilih Edit.

  8. Editor kebijakan visual terbuka di tab baru.

    Cuplikan layar opsi Edit pada Profil Akses, kebijakan pra-sesi.

  9. + Pilih tanda .

  10. Di menu, pilih Autentikasi>SAML Auth.

  11. Pilih Tambahkan Item.

  12. Dalam konfigurasi SP autentikasi SAML, pilih objek VPN SAML SP yang Anda buat

  13. Pilih Simpan.

    Cuplikan layar entri AAA Server di bawah SAML Authentication SP, pada tab Properti.

  14. Untuk cabang Autentikasi SAML yang berhasil, pilih + .

  15. Dari tab Penugasan, pilih Penetapan Sumber Daya Tingkat Lanjut.

  16. Pilih Tambahkan Item.

    Cuplikan layar tombol plus pada Kebijakan Akses.

  17. Di pop-up, pilih Entri Baru

  18. Pilih Tambahkan/Hapus.

  19. Di jendela, pilih Akses Jaringan.

  20. Pilih profil Akses Jaringan yang Anda buat.

    Cuplikan layar tombol Tambahkan entri baru pada Penugasan Sumber Daya, pada tab Properti.

  21. Buka tab Webtop .

  22. Tambahkan objek Webtop yang Anda buat.

    Cuplikan layar webtop yang dibuat pada tab Webtop.

  23. Pilih Perbarui.

  24. PilihSimpan.

  25. Untuk mengubah cabang Berhasil, pilih tautan di kotak Tolak atas.

  26. Label Izinkan muncul.

  27. Simpan.

    Cuplikan layar opsi Tolak pada Kebijakan Akses.

  28. Pilih Terapkan Kebijakan Akses

  29. Tutup tab editor kebijakan visual.

    Cuplikan layar opsi Terapkan Kebijakan Akses.

Menerbitkan layanan VPN

APM memerlukan server virtual front-end untuk mendengarkan klien yang terhubung ke VPN.

  1. PilihDaftar Server VirtualServer> Virtual Lalu Lintas> Lokal.

  2. Pilih Buat.

  3. Untuk server virtual VPN, masukkan Nama, misalnya, VPN_Listener.

  4. Pilih Alamat Tujuan IP yang tidak digunakan dengan perutean untuk menerima lalu lintas klien.

  5. Atur Port Layanan ke 443 HTTPS.

  6. Untuk Status, pastikan Diaktifkan dipilih.

    Cuplikan layar entri Nama dan Alamat Tujuan atau Masker pada Properti Umum.

  7. Atur Profil HTTP ke http.

  8. Tambahkan Profil SSL (Klien) untuk sertifikat SSL publik yang Anda buat.

    Cuplikan layar entri Profil HTTP untuk klien, dan entri yang dipilih Profil SSL untuk klien.

  9. Untuk menggunakan objek VPN yang dibuat, di bawah Kebijakan Akses, atur Profil Akses dan Profil Konektivitas.

    Cuplikan layar entri Profil Akses dan Profil Konektivitas pada Kebijakan Akses.

  10. Pilih Selesai.

Layanan SSL-VPN Anda diterbitkan dan dapat diakses melalui SHA, baik dengan URL-nya atau melalui portal aplikasi Microsoft.

Langkah berikutnya

  1. Buka browser pada klien Windows jarak jauh.

  2. Telusuri ke URL layanan BIG-IP VPN .

  3. Portal webtop BIG-IP dan peluncur VPN muncul.

    Cuplikan layar halaman Portal Jaringan Contoso dengan indikator akses jaringan.

Catatan

Pilih petak peta VPN untuk menginstal klien BIG-IP Edge dan membuat koneksi VPN yang dikonfigurasi untuk SHA. Aplikasi VPN F5 terlihat sebagai sumber daya target di akses bersyarah Microsoft Entra. Lihat Kebijakan Akses Bersyarah untuk mengaktifkan pengguna untuk autentikasi tanpa kata sandi ID Microsoft Entra.

Sumber