Condividi tramite

Esercitazione: Configurare F5 BIG-IP SSL-VPN per Microsoft Entra SSO

In questa esercitazione viene illustrato come integrare F5 BIG-IP based secure socket private network (SSL-VPN) con ID Microsoft Entra per l'accesso ibrido sicuro (SHA).

L'abilitazione di una VPN SSL BIG-IP per Microsoft Entra Single Sign-On (SSO) offre molti vantaggi, tra cui:

Per altre informazioni sui vantaggi, vedere

Nota

Le VPN classiche rimangono orientate alla rete, spesso fornendo poco a nessun accesso con granularità fine alle applicazioni aziendali. È consigliabile un approccio più incentrato sulle identità per ottenere Zero Trust. Altre informazioni: Cinque passaggi per l'integrazione di tutte le app con l'ID Microsoft Entra.

Descrizione dello scenario

In questo scenario, l'istanza BIG-IP APM del servizio SSL-VPN è configurata come provider di servizi SAML (SP) e Microsoft Entra ID è l'IDP SAML attendibile. L'accesso SSO da Microsoft Entra ID viene fornito tramite l'autenticazione basata su attestazioni all'APM BIG-IP, un'esperienza di accesso VPN semplice.

Diagramma dell'architettura di integrazione.

Nota

Sostituire stringhe di esempio o valori in questa guida con quelle nell'ambiente.

Prerequisiti

L'esperienza precedente o la conoscenza di F5 BIG-IP non è tuttavia necessaria:

  • Sottoscrizione di Microsoft Entra
  • Identità utente sincronizzate dalla directory locale a Microsoft Entra ID.
  • Uno dei ruoli seguenti: Amministratore globale, Amministratore applicazione cloud o Amministratore applicazione.
  • Infrastruttura BIG-IP con routing del traffico client verso e dall'INDIRIZZO BIG-IP
  • Record per il servizio VPN pubblicato big-IP nel DNS pubblico
    • O un file localhost client di test durante il test
  • Il provisioning di BIG-IP con i certificati SSL necessari per la pubblicazione di servizi tramite HTTPS

Per migliorare l'esperienza di esercitazione, è possibile apprendere la terminologia standard del settore nel glossario big-IP F5.

Suggerimento

I passaggi in questo articolo possono variare leggermente in base al portale da cui si inizia.

Configurare un trust federativo SAML tra BIG-IP per consentire all'Microsoft Entra BIG-IP di passare l'autenticazione preliminare e l'accesso condizionale all'ID Microsoft Entra, prima di concedere l'accesso al servizio VPN pubblicato.

  1. Accedere all'interfaccia di amministrazione Microsoft Entra almeno un amministratore dell'applicazione cloud.
  2. Passare a Applicazioni identity>>Enterprise>Tutte le applicazioni, quindi selezionare Nuova applicazione.
  3. Nella raccolta cercare F5 e selezionare F5 BIG-IP APM Integrazione di Azure AD.
  4. Immettere un nome per l'applicazione.
  5. Selezionare Aggiungi e quindi Crea.
  6. Il nome, come icona, viene visualizzato nell'interfaccia di amministrazione Microsoft Entra e nel portale di Office 365.

Configurare l'accesso Single Sign-On di Microsoft Entra

  1. Con le proprietà dell'applicazione F5, passare a Gestisci>Single Sign-On.
  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
  3. Selezionare No, verrà salvato in un secondo momento.
  4. Nel menu Configura accesso Single Sign-On con SAML selezionare l'icona della penna per Configurazione SAML di base.
  5. Sostituire l'URL identificatore con l'URL del servizio pubblicato da BIG IP. Ad esempio, https://ssl-vpn.contoso.com.
  6. Sostituire l'URL di risposta e il percorso dell'endpoint SAML. Ad esempio, https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

Nota

In questa configurazione l'applicazione opera in modalità avviata da IdP: Microsoft Entra ID genera un'asserzione SAML prima di reindirizzare al servizio SAML BIG-IP.

  1. Per le app che non supportano la modalità avviata da IdP, per il servizio SAML BIG-IP specificare l'URL di accesso, ad esempio https://ssl-vpn.contoso.com.
  2. Per l'URL di disconnessione immettere l'endpoint APM Single Logout (SLO) big-IP pre-pennato dall'intestazione host del servizio in fase di pubblicazione. Ad esempio: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

Nota

Un URL SLO garantisce che una sessione utente termina, in BIG-IP e Microsoft Entra ID, dopo la disconnessione dell'utente. BIG-IP APM offre un'opzione per terminare tutte le sessioni quando si chiama un URL dell'applicazione. Altre informazioni sull'articolo F5, K12056: Panoramica dell'opzione Includi URI logout.

Screenshot degli URL di configurazione SAML di base.

Nota

Da TMOS v16 l'endpoint SLO SAML è stato modificato in /saml/sp/profile/redirect/slo.

  1. Selezionare Salva

  2. Ignorare il prompt dei test SSO.

  3. Nelle proprietà Attestazioni attributi & utente osservare i dettagli.

    Screenshot delle proprietà degli attributi utente e delle attestazioni.

È possibile aggiungere altre attestazioni al servizio pubblicato BIG-IP. Le attestazioni definite oltre al set predefinito vengono rilasciate se sono in Microsoft Entra ID. Definire ruoli di directory o appartenenze di gruppo a un oggetto utente in Microsoft Entra ID, prima di poter essere rilasciati come attestazione.

Screenshot dell'opzione Download XML metadati federazione.

I certificati di firma SAML creati da Microsoft Entra ID hanno una durata di tre anni.

autorizzazione Microsoft Entra

Per impostazione predefinita, Microsoft Entra id genera token agli utenti con accesso concesso a un servizio.

  1. Nella visualizzazione configurazione dell'applicazione selezionare Utenti e gruppi.

  2. Selezionare + Aggiungi utente.

  3. Nel menu Aggiungi assegnazione selezionare Utenti e gruppi.

  4. Nella finestra di dialogo Utenti e gruppi aggiungere i gruppi di utenti autorizzati ad accedere alla VPN

  5. Selezionare Seleziona>assegna.

    Screenshot dell'opzione Aggiungi utente.

È possibile configurare BIG-IP APM per pubblicare il servizio SSL-VPN. Configurarlo con le proprietà corrispondenti per completare l'attendibilità per la pre-autenticazione SAML.

Configurazione di BIG-IP APM

Federazione SAML

Per completare la federazione del servizio VPN con Microsoft Entra ID, creare il provider di servizi SAML BIG-IP e gli oggetti IDP SAML corrispondenti.

  1. Passare a Access>Federation>SAML Service Provider>Local SP Services.

  2. Selezionare Crea.

    Screenshot dell'opzione Crea nella pagina Servizi SP locali.

  3. Immettere un nome e l'ID entità definito in Microsoft Entra ID.

  4. Immettere il nome di dominio completo host per connettersi all'applicazione.

    Screenshot delle voci Nome ed entità.

Nota

Se l'ID entità non corrisponde esattamente al nome host dell'URL pubblicato, configurare le impostazioni nome SP o eseguire questa azione se non è in formato URL nome host. Se l'ID entità è urn:ssl-vpn:contosoonline, specificare lo schema esterno e il nome host dell'applicazione da pubblicare.

  1. Scorrere verso il basso per selezionare il nuovo oggetto SAML SP.

  2. Selezionare Bind/UnBind IDP Connectors(Associa/UnBind IDP Connectors).

    Screenshot dell'opzione Bind Unbind IDP Connections (Associa connessioni IDP) nella pagina Servizi SP locali.

  3. Selezionare Crea nuovo connettore IDP.

  4. Dal menu a discesa selezionare Dai metadati

    Screenshot dell'opzione From Metadata (Da metadati) nella pagina Edit SAML IdPs (Modifica IDP SAML).

  5. Passare al file XML dei metadati della federazione scaricato.

  6. Per l'oggetto APM, specificare un nome provider di identità che rappresenta l'IdP SAML esterno.

  7. Per selezionare il nuovo connettore IdP esterno Microsoft Entra, selezionare Aggiungi nuova riga.

    Screenshot dell'opzione SAML IdP Connectors (Modifica IDP SAML) nella pagina Modifica IDP SAML.

  8. Selezionare Aggiorna.

  9. Selezionare OK.

    Screenshot del collegamento Di Azure VPN comune nella pagina Modifica ID SAML.

Configurazione di Webtop

Abilitare SSL-VPN da offrire agli utenti tramite il portale Web BIG-IP.

  1. Passare a AccessWebtops Webtop Lists (Accedere > agli elenchiWebtop).>

  2. Selezionare Crea.

  3. Immettere un nome del portale.

  4. Impostare il tipo su Full, Contoso_webtopad esempio .

  5. Completare le preferenze rimanenti.

  6. Selezionare Completato.

    Screenshot delle voci nome e tipo in Proprietà generali.

Configurazione VPN

Gli elementi VPN controllano gli aspetti del servizio complessivo.

  1. Passare a Connettività>/Accesso allarete VPN >(VPN)>Pool di lease IPV4

  2. Selezionare Crea.

  3. Immettere un nome per il pool di indirizzi IP allocato ai client VPN. Ad esempio, Contoso_vpn_pool.

  4. Impostare il tipo su Intervallo di indirizzi IP.

  5. Immettere un indirizzo IP iniziale e finale.

  6. Selezionare Aggiungi.

  7. Selezionare Completato.

    Screenshot delle voci dell'elenco dei nomi e dei membri in Proprietà generali.

Un elenco di accesso alla rete effettua il provisioning del servizio con le impostazioni IP e DNS dal pool VPN, le autorizzazioni di routing utente e può avviare le applicazioni.

  1. Passare a Connettività di accesso>/VPN: Elenchi di accesso alla rete (VPN)>Rete.

  2. Selezionare Crea.

  3. Specificare un nome per l'elenco di accesso VPN e didascalia, ad esempio Contoso-VPN.

  4. Selezionare Completato.

    Screenshot della voce del nome in Proprietà generali e didascalia voce in Impostazioni di personalizzazione per l'inglese.

  5. Nella barra multifunzione superiore selezionare Impostazioni di rete.

  6. Per versione IP supportata: IPV4.

  7. Per Pool di lease IPV4 selezionare il pool VPN creato, ad esempio Contoso_vpn_pool

    Screenshot della voce Pool di lease IPV4 in Impostazioni generali.

Nota

Usare le opzioni Impostazioni client per applicare restrizioni per la modalità di instradazione del traffico client in una VPN stabilita.

  1. Selezionare Completato.

  2. Passare alla scheda DNS/Hosts .

  3. Per il server dei nomi primari IPV4: IP DNS dell'ambiente

  4. Per suffisso di dominio predefinito DNS: suffisso di dominio per questa connessione VPN. Ad esempio, contoso.com

    Screenshot delle voci per il nome del server primario IPV4 e il suffisso di dominio predefinito DNS.

Nota

Per altre impostazioni, vedere l'articolo F5 Configurazione delle risorse di accesso alla rete .

È necessario un profilo di connessione BIG-IP per configurare le impostazioni del tipo di client VPN che il servizio VPN deve supportare. Ad esempio, Windows, OSX e Android.

  1. Passare a Connettività di accesso>/Profilidi connettività>VPN>

  2. Selezionare Aggiungi.

  3. Immettere un nome di profilo.

  4. Impostare il profilo padre su /Common/connectivity, ad esempio Contoso_VPN_Profile.

    Screenshot delle voci Nome profilo e Nome padre in Crea nuovo profilo di connettività.

Per altre informazioni sul supporto client, vedere l'articolo F5 Access e BIG-IP Edge Client.

Configurazione del profilo di accesso

Un criterio di accesso abilita il servizio per l'autenticazione SAML.

  1. Passare a Profili di accesso>/Criteri>di accesso (criteri per sessione).

  2. Selezionare Crea.

  3. Immettere un nome di profilo e per il tipo di profilo.

  4. Selezionare Tutti, ad esempio, Contoso_network_access.

  5. Scorrere verso il basso e aggiungere almeno una lingua all'elenco Lingue accettate

  6. Selezionare Completato.

    Screenshot delle voci Nome, Tipo di profilo e Lingua nel nuovo profilo.

  7. Nel nuovo profilo di accesso selezionare Modifica nel campo criteri di Per-Session.

  8. L'editor dei criteri visivi viene aperto in una nuova scheda.

    Screenshot dell'opzione Modifica in Profili di accesso, criteri di presessione.

  9. Selezionare il + segno.

  10. Nel menu selezionare Authentication SAML Auth ( Autenticazione>SAML Auth).

  11. Selezionare Aggiungi elemento.

  12. Nella configurazione di SAML authentication SP (AUTENTICAZIONE SAML) selezionare l'oggetto SP SAML VPN creato

  13. Selezionare Salva.

    Screenshot della voce AAA Server in SAML Authentication SP nella scheda Proprietà.

  14. Per il ramo Riuscito dell'autenticazione SAML selezionare + .

  15. Nella scheda Assegnazione selezionare Assegnazione risorsa avanzata.

  16. Selezionare Aggiungi elemento.

    Screenshot del pulsante più in Criteri di accesso.

  17. Nella finestra popup selezionare Nuova voce

  18. Selezionare Aggiungi/Elimina.

  19. Nella finestra selezionare Accesso alla rete.

  20. Selezionare il profilo di accesso alla rete creato.

    Screenshot del pulsante Aggiungi nuova voce in Assegnazione risorse della scheda Proprietà.

  21. Passare alla scheda Webtop .

  22. Aggiungere l'oggetto Webtop creato.

    Screenshot del webtop creato nella scheda Webtop.

  23. Selezionare Aggiorna.

  24. Selezionare Salva.

  25. Per modificare il ramo Riuscito, selezionare il collegamento nella casella Nega superiore.

  26. Viene visualizzata l'etichetta Consenti.

  27. Salvare.

    Screenshot dell'opzione Nega nei criteri di accesso.

  28. Selezionare Applica criteri di accesso

  29. Chiudere la scheda Editor criteri visivi.

    Screenshot dell'opzione Applica criteri di accesso.

Pubblicare il servizio VPN

APM richiede che un server virtuale front-end sia in ascolto dei client che si connettono alla VPN.

  1. Selezionare Servervirtuali> traffico locale>Elenco server virtuali.

  2. Selezionare Crea.

  3. Per il server virtuale VPN immettere un nome, ad esempio VPN_Listener.

  4. Selezionare un indirizzo DI destinazione IP inutilizzato con il routing per ricevere il traffico client.

  5. Impostare la porta del servizio su 443 HTTPS.

  6. Per Stato assicurarsi che sia selezionata l'opzione Abilitato .

    Screenshot delle voci Nome e Indirizzo di destinazione o Maschera nelle proprietà generali.

  7. Impostare il profilo HTTP su http.

  8. Aggiungere il profilo SSL (client) per il certificato SSL pubblico creato.

    Screenshot della voce del profilo HTTP per il client e le voci selezionate del profilo SSL per il client.

  9. Per usare gli oggetti VPN creati, in Criteri di accesso impostare il profilo di accesso e il profilo di connettività.

    Screenshot delle voci profilo di accesso e profilo di connettività nei criteri di accesso.

  10. Selezionare Completato.

Il servizio SSL-VPN viene pubblicato e accessibile tramite SHA, con il relativo URL o tramite i portali dell'applicazione Microsoft.

Passaggi successivi

  1. Aprire un browser in un client Windows remoto.

  2. Passare all'URL del servizio VPN BIG-IP .

  3. Viene visualizzato il portale webtop BIG-IP e l'utilità di avvio VPN.

    Screenshot della pagina Portale di rete Contoso con indicatore di accesso alla rete.

Nota

Selezionare il riquadro VPN per installare il client BIG-IP Edge e stabilire una connessione VPN configurata per SHA. L'applicazione VPN F5 è visibile come risorsa di destinazione in Microsoft Entra accesso condizionale. Vedere Criteri di accesso condizionale per consentire agli utenti di Microsoft Entra l'autenticazione senza password.

Risorse