Bagikan melalui

Tutorial: Mengonfigurasi F5 BIG-IP SSL-VPN untuk Microsoft Entra SSO

  • Artikel

Dalam tutorial ini, pelajari cara mengintegrasikan jaringan privat virtual lapisan soket aman berbasis F5 BIG-IP (SSL-VPN) dengan ID Microsoft Entra untuk akses hibrid aman (SHA).

Mengaktifkan BIG-IP SSL-VPN untuk akses menyeluruh (SSO) Microsoft Entra memberikan banyak manfaat, termasuk:

Untuk mempelajari tentang manfaat lainnya, lihat

Deskripsi Skenario

Dalam skenario ini, instans BIG-IP Access Policy Manager (APM) dari layanan SSL-VPN dikonfigurasi sebagai penyedia layanan Security Assertion Markup Language (SAML) dan ID Microsoft Entra adalah IdP (IdP) SAML tepercaya. Akses menyeluruh (SSO) dari MICROSOFT Entra ID adalah melalui autentikasi berbasis klaim ke BIG-IP APM, pengalaman akses jaringan privat virtual (VPN) yang mulus.

Diagram arsitektur integrasi.

Catatan

Ganti contoh string atau nilai dalam panduan ini dengan yang ada di lingkungan Anda.

Prasyarat

Pengalaman atau pengetahuan sebelumnya tentang F5 BIG-IP tidak diperlukan, namun, Anda perlu:

  • Langganan Microsoft Entra
  • Identitas pengguna disinkronkan dari direktori lokal mereka ke ID Microsoft Entra
  • Salah satu peran berikut: Administrator Aplikasi Cloud, atau Administrator Aplikasi
  • Infrastruktur BIG-IP dengan perutean lalu lintas klien ke dan dari BIG-IP
  • Catatan untuk layanan VPN yang diterbitkan BIG-IP di server nama domain publik (DNS)
    • Atau file localhost klien pengujian saat menguji
  • BIG-IP yang disediakan dengan sertifikat SSL yang diperlukan untuk layanan penerbitan melalui HTTPS

Untuk meningkatkan pengalaman tutorial, Anda dapat mempelajari terminologi standar industri pada Glosarium F5 BIG-IP.

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Siapkan kepercayaan federasi SAML antara BIG-IP untuk memungkinkan Microsoft Entra BIG-IP menyerahkan pra-autentikasi dan Akses Bersyariah ke ID Microsoft Entra, sebelum memberikan akses ke layanan VPN yang diterbitkan.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi, lalu pilih Aplikasi baru.
  3. Di galeri, cari F5 dan pilih integrasi F5 BIG-IP APM Microsoft Entra ID.
  4. Masukkan nama untuk aplikasi.
  5. Pilih Tambahkan lalu Buat.
  6. Nama, sebagai ikon, muncul di pusat admin Microsoft Entra dan portal Office 365.

Mengonfigurasi SSO Microsoft Entra

  1. Dengan properti aplikasi F5, buka Mengelola>Akses menyeluruh.

  2. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  3. Pilih Tidak, saya akan menyimpan nanti.

  4. Pada menu Siapkan akses menyeluruh dengan SAML, pilih ikon pena untuk Konfigurasi SAML Dasar.

  5. Ganti URL Pengidentifikasi dengan URL layanan yang diterbitkan BIG-IP Anda. Contohnya,https://ssl-vpn.contoso.com.

  6. Ganti URL Balasan, dan jalur titik akhir SAML. Contohnya,https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Catatan

    Dalam konfigurasi ini, aplikasi beroperasi dalam mode yang dimulai IdP: MICROSOFT Entra ID mengeluarkan pernyataan SAML sebelum mengalihkan ke layanan SAML BIG-IP.

  7. Untuk aplikasi yang tidak mendukung mode yang dimulai IdP, untuk layanan SAML BIG-IP, tentukan URL Masuk, misalnya, https://ssl-vpn.contoso.com.

  8. Untuk URL Keluar, masukkan titik akhir BIG-IP APM Single logout (SLO) yang telah ditambahkan sebelumnya oleh header host layanan yang diterbitkan. Misalnya: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Catatan

    URL SLO memastikan sesi pengguna berakhir, di BIG-IP dan ID Microsoft Entra, setelah pengguna keluar. BIG-IP APM memiliki opsi untuk mengakhiri semua sesi saat memanggil URL aplikasi. Pelajari selengkapnya tentang artikel F5, K12056: Gambaran Umum opsi Sertakan URI Keluar.

Cuplikan layar URL konfigurasi SAML dasar..

Catatan

Dari TMOS v16, titik akhir SAML SLO telah diubah menjadi /saml/sp/profile/redirect/slo.

  1. Pilih Simpan

  2. Lewati perintah pengujian SSO.

  3. Di properti Atribut Pengguna & Klaim , amati detailnya.

    Cuplikan layar atribut pengguna dan properti klaim.

Anda dapat menambahkan klaim lain ke layanan yang diterbitkan BIG-IP Anda. Klaim yang ditentukan selain set default dikeluarkan jika ada di ID Microsoft Entra. Tentukan peran direktori atau keanggotaan grup terhadap objek pengguna di ID Microsoft Entra, sebelum dapat dikeluarkan sebagai klaim.

Cuplikan layar opsi UnduhAN XML Metadata Federasi.

Sertifikat penandatanganan SAML yang dibuat oleh Microsoft Entra ID memiliki masa pakai tiga tahun.

Otorisasi Microsoft Entra

Secara default, ID Microsoft Entra mengeluarkan token kepada pengguna dengan akses yang diberikan ke layanan.

  1. Dalam tampilan konfigurasi aplikasi, pilih Pengguna dan grup.

  2. Pilih + Tambahkan pengguna.

  3. Di menu Tambahkan Penugasan , pilih Pengguna dan grup.

  4. Dalam dialog Pengguna dan grup, tambahkan grup pengguna yang berwenang untuk mengakses VPN

  5. Pilih Pilih>Tetapkan.

    Cuplikan layar opsi Tambahkan Pengguna.

Anda dapat menyiapkan BIG-IP APM untuk menerbitkan layanan SSL-VPN. Konfigurasikan dengan properti yang sesuai untuk menyelesaikan kepercayaan untuk praauthentikasi SAML.

Konfigurasi BIG-IP APM

Federasi SAML

Untuk menyelesaikan federasi layanan VPN dengan MICROSOFT Entra ID, buat penyedia layanan SAML BIG-IP dan objek IDP SAML yang sesuai.

  1. Buka Akses>Layanan SP Lokal Penyedia>Layanan SAML Federasi.>

  2. Pilih Buat.

    Cuplikan layar opsi Buat di halaman Layanan SP Lokal.

  3. Masukkan Nama dan ID Entitas yang ditentukan dalam ID Microsoft Entra.

  4. Masukkan Nama domain host yang sepenuhnya memenuhi syarat (FQDN) untuk menyambungkan ke aplikasi.

    Cuplikan layar entri Nama dan Entitas.

    Catatan

    Jika ID entitas tidak sama persis dengan nama host URL yang diterbitkan, konfigurasikan pengaturan Nama SP, atau lakukan tindakan ini jika tidak dalam format URL nama host. Jika ID entitas adalah urn:ssl-vpn:contosoonline, berikan skema eksternal dan nama host aplikasi yang diterbitkan.

  5. Gulir ke bawah untuk memilih objek SAML SP baru.

  6. Pilih Ikat/Batalkan Koneksi or IDP.

    Cuplikan layar opsi Ikat Koneksi IDP Ikatan di halaman Layanan SP Lokal.

  7. Pilih Buat Koneksi IDP Baru.

  8. Dari menu drop-down, pilih Dari Metadata

    Cuplikan layar opsi Dari Metadata di halaman Edit IDP SAML.

  9. Telusuri ke file XML metadata federasi yang Anda unduh.

  10. Untuk objek APM, berikan Nama Penyedia Identitas yang mewakili IDP SAML eksternal.

  11. Untuk memilih konektor IdP eksternal Microsoft Entra baru, pilih Tambahkan Baris Baru.

    Cuplikan layar opsi Koneksi or IDP SAML di halaman Edit IDP SAML.

  12. Pilih Perbarui.

  13. Pilih OK.

    Cuplikan layar tautan Umum, VPN Azure di halaman Edit IDP SAML.

Konfigurasi webtop

Aktifkan SSL-VPN untuk ditawarkan kepada pengguna melalui portal web BIG-IP.

  1. Buka Mengakses>Daftar Webtop Webtop.>

  2. Pilih Buat.

  3. Masukkan nama portal.

  4. Atur jenis ke Penuh, misalnya, Contoso_webtop.

  5. Selesaikan preferensi yang tersisa.

  6. Pilih Selesai.

    Cuplikan layar entri nama dan jenis di Properti Umum.

Konfigurasi VPN

Elemen VPN mengontrol aspek layanan keseluruhan.

  1. Buka Akses> Koneksi ivity/VPN>Network Access (VPN)>IPV4 Lease Pools

  2. Pilih Buat.

  3. Masukkan nama untuk kumpulan alamat IP yang dialokasikan untuk klien VPN. Misalnya, Contoso_vpn_pool.

  4. Atur jenis ke Rentang Alamat IP.

  5. Masukkan IP awal dan akhir.

  6. Pilih Tambahkan.

  7. Pilih Selesai.

    Cuplikan layar entri daftar nama dan anggota di Properti Umum.

Daftar akses Jaringan menyediakan layanan dengan pengaturan IP dan DNS dari kumpulan VPN, izin perutean pengguna, dan dapat meluncurkan aplikasi.

  1. Buka Akses> Koneksi ivity/VPN: Akses Jaringan (VPN)>Daftar Akses Jaringan.

  2. Pilih Buat.

  3. Berikan nama untuk daftar akses VPN dan keterangan, misalnya, Contoso-VPN.

  4. Pilih Selesai.

    Cuplikan layar entri nama di Properti Umum, dan entri keterangan di Kustomisasi Pengaturan untuk bahasa Inggris.

  5. Dari pita atas, pilih Jaringan Pengaturan.

  6. Untuk versi IP yang didukung: IPV4.

  7. Untuk Kumpulan Sewa IPV4, pilih kumpulan VPN yang dibuat, misalnya, Contoso_vpn_pool

    Cuplikan layar entri Kumpulan Sewa IPV4 di Pengaturan Umum.

    Catatan

    Gunakan opsi Pengaturan Klien untuk memberlakukan pembatasan tentang bagaimana lalu lintas klien dirutekan dalam VPN yang dibuat.

  8. Pilih Selesai.

  9. Buka tab DNS/Host.

  10. Untuk Server Nama Utama IPV4: IP DNS lingkungan Anda

  11. Untuk Akhiran Domain Default DNS: Akhiran domain untuk koneksi VPN ini. Misalnya, contoso.com

    Cuplikan layar entri untuk Nama Server Utama IPV4 dan Akhiran Domain Default DNS.

Catatan

Lihat artikel F5, Mengonfigurasi Sumber Daya Akses Jaringan untuk pengaturan lain.

Profil koneksi BIG-IP diperlukan untuk mengonfigurasi pengaturan jenis klien VPN yang perlu didukung layanan VPN. Misalnya, Windows, OSX, dan Android.

  1. Buka Akses> Koneksi ivity/VPN> Koneksi ivity>Profiles

  2. Pilih Tambahkan.

  3. Masukkan nama profil.

  4. Atur profil induk ke /Common/connectivity, misalnya, Contoso_VPN_Profile.

    Cuplikan layar entri Nama Profil dan Nama Induk di Buat Profil Koneksi ivitas Baru.

Mengakses konfigurasi profil

Kebijakan akses memungkinkan layanan untuk autentikasi SAML.

  1. Buka Profil Akses>/Profil Akses Kebijakan>(Kebijakan Per Sesi).

  2. Pilih Buat.

  3. Masukkan nama profil dan untuk jenis profil.

  4. Pilih Semua, misalnya, Contoso_network_access.

  5. Gulir ke bawah dan tambahkan setidaknya satu bahasa ke daftar Bahasa yang Diterima

  6. Pilih Selesai.

    Cuplikan layar entri Nama, Jenis Profil, dan Bahasa di Profil Baru.

  7. Di profil akses baru, pada bidang Kebijakan Per Sesi, pilih Edit.

  8. Editor kebijakan visual terbuka di tab baru.

    Cuplikan layar opsi Edit pada Profil Akses, kebijakan presesi.

  9. + Pilih tanda.

  10. Di menu, pilih Autentikasi>SAML Auth.

  11. Pilih Tambahkan Item.

  12. Dalam konfigurasi SP autentikasi SAML, pilih objek VPN SAML SP yang Anda buat

  13. Pilih Simpan.

    Cuplikan layar entri AAA Server di bawah SAML Authentication SP, pada tab Properti.

  14. Untuk cabang Autentikasi SAML yang berhasil, pilih + .

  15. Dari tab Penugasan, pilih Penetapan Sumber Daya Tingkat Lanjut.

  16. Pilih Tambahkan Item.

  17. Di pop-up, pilih Entri Baru

  18. Pilih Tambahkan/Hapus.

  19. Di jendela, pilih Akses Jaringan.

  20. Pilih profil Akses Jaringan yang Anda buat.

    Cuplikan layar tombol Tambahkan entri baru pada Penugasan Sumber Daya, pada tab Properti.

  21. Buka tab Webtop .

  22. Tambahkan objek Webtop yang Anda buat.

    Cuplikan layar webtop yang dibuat pada tab Webtop.

  23. Pilih Perbarui.

  24. PilihSimpan.

  25. Untuk mengubah cabang Berhasil, pilih tautan di kotak Tolak atas.

  26. Label Izinkan muncul.

  27. Simpan.

    Cuplikan layar opsi Tolak pada Kebijakan Akses.

  28. Pilih Terapkan Kebijakan Akses

  29. Tutup tab editor kebijakan visual.

    Cuplikan layar opsi Terapkan Kebijakan Akses.

Menerbitkan layanan VPN

APM memerlukan server virtual front-end untuk mendengarkan klien yang terhubung ke VPN.

  1. Pilih Daftar Server Virtual Server>Virtual Lalu Lintas>Lokal.

  2. Pilih Buat.

  3. Untuk server virtual VPN, masukkan Nama, misalnya, VPN_Listener.

  4. Pilih Alamat Tujuan IP yang tidak digunakan dengan perutean untuk menerima lalu lintas klien.

  5. Atur Port Layanan ke 443 HTTPS.

  6. Untuk Status, pastikan Diaktifkan dipilih.

    Cuplikan layar entri Nama dan Alamat Tujuan atau Mask pada Properti Umum.

  7. Atur Profil HTTP ke http.

  8. Tambahkan Profil SSL (Klien) untuk sertifikat SSL publik yang Anda buat.

    Cuplikan layar entri Profil HTTP untuk klien, dan entri yang dipilih Profil SSL untuk klien.

  9. Untuk menggunakan objek VPN yang dibuat, di bawah Kebijakan Akses, atur Profil Akses dan Profil Koneksi ivitas.

    Cuplikan layar Profil Akses dan entri Profil Koneksi ivitas pada Kebijakan Akses.

  10. Pilih Selesai.

Layanan SSL-VPN Anda diterbitkan dan dapat diakses melalui SHA, baik dengan URL-nya atau melalui portal aplikasi Microsoft.

Langkah berikutnya

  1. Buka browser pada klien Windows jarak jauh.

  2. Telusuri ke URL layanan VPN BIG-IP.

  3. Portal webtop BIG-IP dan peluncur VPN muncul.

    Cuplikan layar halaman Portal Jaringan Contoso dengan indikator akses jaringan.

    Catatan

    Pilih petak peta VPN untuk menginstal klien BIG-IP Edge dan membuat koneksi VPN yang dikonfigurasi untuk SHA. Aplikasi VPN F5 terlihat sebagai sumber daya target di Microsoft Entra Conditional Access. Lihat Kebijakan Akses Bersyar untuk mengaktifkan pengguna untuk autentikasi tanpa kata sandi ID Microsoft Entra.

Sumber