Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questa esercitazione viene illustrato come integrare F5 BIG-IP based secure socket private network (SSL-VPN) con ID Microsoft Entra per l'accesso ibrido sicuro (SHA).
L'abilitazione di una VPN SSL BIG-IP per Microsoft Entra Single Sign-On (SSO) offre molti vantaggi, tra cui:
- Miglioramento della governance zero trust tramite Microsoft Entra l'autenticazione preliminare e l'accesso condizionale.
- Autenticazione senza password nel servizio VPN
- Gestire le identità e l'accesso da un singolo piano di controllo, l'interfaccia di amministrazione di Microsoft Entra
Per altre informazioni sui vantaggi, vedere
- Integrare F5 BIG-IP con Microsoft Entra ID
- Che cos'è l'accesso Single Sign-On in Microsoft Entra ID?
Nota
Le VPN classiche rimangono orientate alla rete, spesso fornendo poco a nessun accesso con granularità fine alle applicazioni aziendali. È consigliabile un approccio più incentrato sulle identità per ottenere Zero Trust. Altre informazioni: Cinque passaggi per l'integrazione di tutte le app con l'ID Microsoft Entra.
Descrizione dello scenario
In questo scenario, l'istanza BIG-IP APM del servizio SSL-VPN è configurata come provider di servizi SAML (SP) e Microsoft Entra ID è l'IDP SAML attendibile. L'accesso SSO da Microsoft Entra ID viene fornito tramite l'autenticazione basata su attestazioni all'APM BIG-IP, un'esperienza di accesso VPN semplice.
Nota
Sostituire stringhe di esempio o valori in questa guida con quelle nell'ambiente.
Prerequisiti
L'esperienza precedente o la conoscenza di F5 BIG-IP non è tuttavia necessaria:
- Sottoscrizione di Microsoft Entra
- Se non ne hai uno, puoi ottenere un account gratuito di Azure o versioni successive
- Identità utente sincronizzate dalla directory locale a Microsoft Entra ID.
- Uno dei ruoli seguenti: Amministratore globale, Amministratore applicazione cloud o Amministratore applicazione.
- Infrastruttura BIG-IP con routing del traffico client verso e dall'INDIRIZZO BIG-IP
- In alternativa , distribuire un'edizione virtuale BIG-IP in Azure
- Record per il servizio VPN pubblicato big-IP nel DNS pubblico
- O un file localhost client di test durante il test
- Il provisioning di BIG-IP con i certificati SSL necessari per la pubblicazione di servizi tramite HTTPS
Per migliorare l'esperienza di esercitazione, è possibile apprendere la terminologia standard del settore nel glossario big-IP F5.
Aggiungere F5 BIG-IP dalla raccolta di Microsoft Entra
Suggerimento
I passaggi in questo articolo possono variare leggermente in base al portale da cui si inizia.
Configurare un trust federativo SAML tra BIG-IP per consentire all'Microsoft Entra BIG-IP di passare l'autenticazione preliminare e l'accesso condizionale all'ID Microsoft Entra, prima di concedere l'accesso al servizio VPN pubblicato.
- Accedere all'interfaccia di amministrazione Microsoft Entra almeno un amministratore dell'applicazione cloud.
- Passare a Applicazioni identity>>Enterprise>Tutte le applicazioni, quindi selezionare Nuova applicazione.
- Nella raccolta cercare F5 e selezionare F5 BIG-IP APM Integrazione di Azure AD.
- Immettere un nome per l'applicazione.
- Selezionare Aggiungi e quindi Crea.
- Il nome, come icona, viene visualizzato nell'interfaccia di amministrazione Microsoft Entra e nel portale di Office 365.
Configurare l'accesso Single Sign-On di Microsoft Entra
- Con le proprietà dell'applicazione F5, passare a Gestisci>Single Sign-On.
- Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
- Selezionare No, verrà salvato in un secondo momento.
- Nel menu Configura accesso Single Sign-On con SAML selezionare l'icona della penna per Configurazione SAML di base.
- Sostituire l'URL identificatore con l'URL del servizio pubblicato da BIG IP. Ad esempio,
https://ssl-vpn.contoso.com
. - Sostituire l'URL di risposta e il percorso dell'endpoint SAML. Ad esempio,
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.
Nota
In questa configurazione l'applicazione opera in modalità avviata da IdP: Microsoft Entra ID genera un'asserzione SAML prima di reindirizzare al servizio SAML BIG-IP.
- Per le app che non supportano la modalità avviata da IdP, per il servizio SAML BIG-IP specificare l'URL di accesso, ad esempio
https://ssl-vpn.contoso.com
. - Per l'URL di disconnessione immettere l'endpoint APM Single Logout (SLO) big-IP pre-pennato dall'intestazione host del servizio in fase di pubblicazione. Ad esempio:
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
Nota
Un URL SLO garantisce che una sessione utente termina, in BIG-IP e Microsoft Entra ID, dopo la disconnessione dell'utente. BIG-IP APM offre un'opzione per terminare tutte le sessioni quando si chiama un URL dell'applicazione. Altre informazioni sull'articolo F5, K12056: Panoramica dell'opzione Includi URI logout.
.
Nota
Da TMOS v16 l'endpoint SLO SAML è stato modificato in /saml/sp/profile/redirect/slo.
Selezionare Salva
Ignorare il prompt dei test SSO.
Nelle proprietà Attestazioni attributi & utente osservare i dettagli.
È possibile aggiungere altre attestazioni al servizio pubblicato BIG-IP. Le attestazioni definite oltre al set predefinito vengono rilasciate se sono in Microsoft Entra ID. Definire ruoli di directory o appartenenze di gruppo a un oggetto utente in Microsoft Entra ID, prima di poter essere rilasciati come attestazione.
I certificati di firma SAML creati da Microsoft Entra ID hanno una durata di tre anni.
autorizzazione Microsoft Entra
Per impostazione predefinita, Microsoft Entra id genera token agli utenti con accesso concesso a un servizio.
Nella visualizzazione configurazione dell'applicazione selezionare Utenti e gruppi.
Selezionare + Aggiungi utente.
Nel menu Aggiungi assegnazione selezionare Utenti e gruppi.
Nella finestra di dialogo Utenti e gruppi aggiungere i gruppi di utenti autorizzati ad accedere alla VPN
Selezionare Seleziona>assegna.
È possibile configurare BIG-IP APM per pubblicare il servizio SSL-VPN. Configurarlo con le proprietà corrispondenti per completare l'attendibilità per la pre-autenticazione SAML.
Configurazione di BIG-IP APM
Federazione SAML
Per completare la federazione del servizio VPN con Microsoft Entra ID, creare il provider di servizi SAML BIG-IP e gli oggetti IDP SAML corrispondenti.
Passare a Access>Federation>SAML Service Provider>Local SP Services.
Selezionare Crea.
Immettere un nome e l'ID entità definito in Microsoft Entra ID.
Immettere il nome di dominio completo host per connettersi all'applicazione.
Nota
Se l'ID entità non corrisponde esattamente al nome host dell'URL pubblicato, configurare le impostazioni nome SP o eseguire questa azione se non è in formato URL nome host. Se l'ID entità è urn:ssl-vpn:contosoonline
, specificare lo schema esterno e il nome host dell'applicazione da pubblicare.
Scorrere verso il basso per selezionare il nuovo oggetto SAML SP.
Selezionare Bind/UnBind IDP Connectors(Associa/UnBind IDP Connectors).
Selezionare Crea nuovo connettore IDP.
Dal menu a discesa selezionare Dai metadati
Passare al file XML dei metadati della federazione scaricato.
Per l'oggetto APM, specificare un nome provider di identità che rappresenta l'IdP SAML esterno.
Per selezionare il nuovo connettore IdP esterno Microsoft Entra, selezionare Aggiungi nuova riga.
Selezionare Aggiorna.
Selezionare OK.
Configurazione di Webtop
Abilitare SSL-VPN da offrire agli utenti tramite il portale Web BIG-IP.
Passare a AccessWebtops Webtop Lists (Accedere > agli elenchiWebtop).>
Selezionare Crea.
Immettere un nome del portale.
Impostare il tipo su Full,
Contoso_webtop
ad esempio .Completare le preferenze rimanenti.
Selezionare Completato.
Configurazione VPN
Gli elementi VPN controllano gli aspetti del servizio complessivo.
Passare a Connettività>/Accesso allarete VPN >(VPN)>Pool di lease IPV4
Selezionare Crea.
Immettere un nome per il pool di indirizzi IP allocato ai client VPN. Ad esempio, Contoso_vpn_pool.
Impostare il tipo su Intervallo di indirizzi IP.
Immettere un indirizzo IP iniziale e finale.
Selezionare Aggiungi.
Selezionare Completato.
Un elenco di accesso alla rete effettua il provisioning del servizio con le impostazioni IP e DNS dal pool VPN, le autorizzazioni di routing utente e può avviare le applicazioni.
Passare a Connettività di accesso>/VPN: Elenchi di accesso alla rete (VPN)>Rete.
Selezionare Crea.
Specificare un nome per l'elenco di accesso VPN e didascalia, ad esempio Contoso-VPN.
Selezionare Completato.
Nella barra multifunzione superiore selezionare Impostazioni di rete.
Per versione IP supportata: IPV4.
Per Pool di lease IPV4 selezionare il pool VPN creato, ad esempio Contoso_vpn_pool
Nota
Usare le opzioni Impostazioni client per applicare restrizioni per la modalità di instradazione del traffico client in una VPN stabilita.
Selezionare Completato.
Passare alla scheda DNS/Hosts .
Per il server dei nomi primari IPV4: IP DNS dell'ambiente
Per suffisso di dominio predefinito DNS: suffisso di dominio per questa connessione VPN. Ad esempio, contoso.com
Nota
Per altre impostazioni, vedere l'articolo F5 Configurazione delle risorse di accesso alla rete .
È necessario un profilo di connessione BIG-IP per configurare le impostazioni del tipo di client VPN che il servizio VPN deve supportare. Ad esempio, Windows, OSX e Android.
Passare a Connettività di accesso>/Profilidi connettività>VPN>
Selezionare Aggiungi.
Immettere un nome di profilo.
Impostare il profilo padre su /Common/connectivity, ad esempio Contoso_VPN_Profile.
Per altre informazioni sul supporto client, vedere l'articolo F5 Access e BIG-IP Edge Client.
Configurazione del profilo di accesso
Un criterio di accesso abilita il servizio per l'autenticazione SAML.
Passare a Profili di accesso>/Criteri>di accesso (criteri per sessione).
Selezionare Crea.
Immettere un nome di profilo e per il tipo di profilo.
Selezionare Tutti, ad esempio, Contoso_network_access.
Scorrere verso il basso e aggiungere almeno una lingua all'elenco Lingue accettate
Selezionare Completato.
Nel nuovo profilo di accesso selezionare Modifica nel campo criteri di Per-Session.
L'editor dei criteri visivi viene aperto in una nuova scheda.
Selezionare il + segno.
Nel menu selezionare Authentication SAML Auth ( Autenticazione>SAML Auth).
Selezionare Aggiungi elemento.
Nella configurazione di SAML authentication SP (AUTENTICAZIONE SAML) selezionare l'oggetto SP SAML VPN creato
Selezionare Salva.
Per il ramo Riuscito dell'autenticazione SAML selezionare + .
Nella scheda Assegnazione selezionare Assegnazione risorsa avanzata.
Selezionare Aggiungi elemento.
Nella finestra popup selezionare Nuova voce
Selezionare Aggiungi/Elimina.
Nella finestra selezionare Accesso alla rete.
Selezionare il profilo di accesso alla rete creato.
Passare alla scheda Webtop .
Aggiungere l'oggetto Webtop creato.
Selezionare Aggiorna.
Selezionare Salva.
Per modificare il ramo Riuscito, selezionare il collegamento nella casella Nega superiore.
Viene visualizzata l'etichetta Consenti.
Salvare.
Selezionare Applica criteri di accesso
Chiudere la scheda Editor criteri visivi.
Pubblicare il servizio VPN
APM richiede che un server virtuale front-end sia in ascolto dei client che si connettono alla VPN.
Selezionare Servervirtuali> traffico locale>Elenco server virtuali.
Selezionare Crea.
Per il server virtuale VPN immettere un nome, ad esempio VPN_Listener.
Selezionare un indirizzo DI destinazione IP inutilizzato con il routing per ricevere il traffico client.
Impostare la porta del servizio su 443 HTTPS.
Per Stato assicurarsi che sia selezionata l'opzione Abilitato .
Impostare il profilo HTTP su http.
Aggiungere il profilo SSL (client) per il certificato SSL pubblico creato.
Per usare gli oggetti VPN creati, in Criteri di accesso impostare il profilo di accesso e il profilo di connettività.
Selezionare Completato.
Il servizio SSL-VPN viene pubblicato e accessibile tramite SHA, con il relativo URL o tramite i portali dell'applicazione Microsoft.
Passaggi successivi
Aprire un browser in un client Windows remoto.
Passare all'URL del servizio VPN BIG-IP .
Viene visualizzato il portale webtop BIG-IP e l'utilità di avvio VPN.
Nota
Selezionare il riquadro VPN per installare il client BIG-IP Edge e stabilire una connessione VPN configurata per SHA. L'applicazione VPN F5 è visibile come risorsa di destinazione in Microsoft Entra accesso condizionale. Vedere Criteri di accesso condizionale per consentire agli utenti di Microsoft Entra l'autenticazione senza password.