Informazioni sui gruppi di utenti e sui pool di indirizzi IP per VPN utente P2S - Anteprima
È possibile configurare VPN utente P2S per assegnare agli utenti indirizzi IP da pool di indirizzi specifici in base alle proprie credenziali di identità o autenticazione creando gruppi di utenti. Questo articolo descrive le diverse configurazioni e parametri usati dal gateway VPN P2S rete WAN virtuale per determinare i gruppi di utenti e assegnare indirizzi IP.
Casi d'uso
Contoso corporation è composta da più reparti funzionali, ad esempio Finance, Human Resources e Engineering. Contoso usa rete WAN virtuale per consentire ai lavoratori remoti (utenti) di connettersi ad Azure rete WAN virtuale e accedere alle risorse ospitate in locale o in un Rete virtuale connesso all'hub rete WAN virtuale.
Contoso dispone tuttavia di criteri di sicurezza interni in cui gli utenti del reparto Finance possono accedere solo a determinati database e Macchine virtuali e utenti provenienti da Human Resources hanno accesso ad altre applicazioni sensibili.
Contoso può configurare gruppi di utenti diversi per ognuno dei relativi reparti funzionali. In questo modo gli utenti di ogni reparto vengono assegnati indirizzi IP da un pool di indirizzi pre-definito a livello di reparto.
L'amministratore di rete di Contoso può quindi configurare regole del firewall, gruppi di sicurezza di rete (NSG) o elenchi di controllo di accesso (ACL) per consentire o negare a determinati utenti l'accesso alle risorse in base agli indirizzi IP.
Concetti di configurazione del server
Le sezioni seguenti illustrano i termini e i valori comuni usati per la configurazione del server.
Gruppi di utenti (gruppi di criteri)
Un gruppo di criteri o un gruppo di criteri di gruppo di utenti è una rappresentazione logica di un gruppo di utenti che devono essere assegnati indirizzi IP dallo stesso pool di indirizzi.
Membri del gruppo (membri dei criteri)
I gruppi di utenti sono costituiti da membri. I membri non corrispondono a singoli utenti, ma definiscono invece i criteri usati per determinare quale gruppo un utente di connessione fa parte. Un singolo gruppo può avere più membri. Se un utente di connessione corrisponde ai criteri specificati per uno dei membri del gruppo, l'utente viene considerato parte di tale gruppo e può essere assegnato un indirizzo IP appropriato. I tipi di parametri membro disponibili dipendono dai metodi di autenticazione specificati nella configurazione del server VPN. Per un elenco completo dei criteri disponibili, vedere la sezione Impostazioni gruppo disponibili di questo articolo.
Gruppo di utenti/criteri predefinito
Per ogni configurazione del server VPN P2S, è necessario selezionare un gruppo come predefinito. Gli utenti che presentano le credenziali che non corrispondono alle impostazioni del gruppo vengono considerati parte del gruppo predefinito. Dopo aver creato un gruppo, l'impostazione predefinita di tale gruppo non può essere modificata.
Priorità del gruppo
Ogni gruppo viene assegnato anche una priorità numerica. I gruppi con priorità inferiore vengono valutati prima. Ciò significa che se un utente presenta le credenziali che corrispondono alle impostazioni di più gruppi, verrà considerato parte del gruppo con la priorità più bassa. Ad esempio, se l'utente A presenta una credenziale corrispondente al gruppo IT (priorità 3) e al gruppo Finance (priorità 4), l'utente A verrà considerato parte del gruppo IT a scopo di assegnazione di indirizzi IP.
Impostazioni del gruppo disponibili
La sezione seguente descrive i diversi parametri che possono essere usati per definire i membri dei gruppi che fanno parte di . I parametri disponibili variano in base ai metodi di autenticazione selezionati. La tabella seguente riepiloga i tipi di impostazione disponibili e i valori accettabili. Per informazioni più dettagliate su ogni tipo di valore membro, visualizzare la sezione corrispondente al tipo di autenticazione.
| Tipo di autenticazione | Tipo di membro | Valori membro | Valore membro di esempio |
|---|---|---|---|
| Azure Active Directory | AADGroupID | ID oggetto gruppo di Azure Active Directory | 0cf484f2-238e-440b-8c73-7bf232b248dc |
| RADIUS | AzureRADIUSGroupID | Valore attributo specifico del fornitore (esadecimale) (deve iniziare con 6ad1bd) | 6ad1bd23 |
| Certificato | AzureCertificateID | Nome di dominio nome comune certificato (CN=user@red.com) | rosso |
Autenticazione di Azure Active Directory (solo OpenVPN)
I gateway che usano l'autenticazione di Azure Active Directory possono usare ID oggetto gruppo di Azure Active Directory per determinare a quale utente appartiene un utente. Se un utente fa parte di più gruppi di Azure Active Directory, viene considerato parte del gruppo di utenti rete WAN virtuale che ha la priorità numerica più bassa.
Tuttavia, se si prevede di avere utenti esterni (gli utenti che non fanno parte del dominio di Azure Active Directory configurato nel Gateway VPN) si connettono al rete WAN virtuale Gateway VPN da punto a sito, assicurarsi che il tipo utente dell'utente esterno sia "Membro" e non "Guest". Assicurarsi inoltre che il "Nome" dell'utente sia impostato sull'indirizzo di posta elettronica dell'utente. Se il tipo di utente e il nome dell'utente di connessione non sono impostati correttamente come descritto in precedenza o non è possibile impostare un membro esterno per essere un "Membro" del dominio di Azure Active Directory, che verrà assegnato all'utente di connessione al gruppo predefinito e assegnato un INDIRIZZO IP dal pool di indirizzi IP predefinito.
È anche possibile identificare se un utente è esterno esaminando il "Nome entità utente" dell'utente. Gli utenti esterni avranno #EXT nel relativo "Nome entità utente".
Certificato di Azure (OpenVPN e IKEv2)
I gateway che usano l'autenticazione basata su certificati usano il nome di dominio dei nomi comuni del certificato utente (CN) per determinare il gruppo in cui si trova un utente connesso. I nomi comuni devono essere in uno dei formati seguenti:
- dominio/nome utente
- username@domain.com
Assicurarsi che il dominio sia l'input come membro del gruppo.
Server RADIUS (OpenVPN e IKEv2)
I gateway che usano l'autenticazione basata su RADIUS usano un nuovo attributo specifico del fornitore per determinare i gruppi di utenti VPN. Quando l'autenticazione basata su RADIUS è configurata nel gateway P2S, il gateway funge da proxy server criteri di rete (NPS). Ciò significa che il gateway VPN P2S funge da client per autenticare gli utenti con il server RADIUS usando il protocollo RADIUS.
Dopo che il server RADIUS ha verificato correttamente le credenziali dell'utente, il server RADIUS può essere configurato per inviare un nuovo attributo specifico del fornitore (VSA) come parte dei pacchetti Access-Accept. Il gateway VPN P2S elabora il vsA nei pacchetti di Access-Accept e assegna indirizzi IP specifici agli utenti in base al valore di VSAs.
Pertanto, i server RADIUS devono essere configurati per inviare un oggetto VSA con lo stesso valore per tutti gli utenti che fanno parte dello stesso gruppo.
Nota
Il valore di VSA deve essere una stringa esadecimale ottetto nel server RADIUS e in Azure. Questa stringa ottetto deve iniziare con 6ad1bd. Le ultime due cifre esadecimali possono essere configurate liberamente. Ad esempio, 6ad1bd98 è valido, ma non sarebbe valido 6ad12323 e 6a1bd2.
Il nuovo VSA è MS-Azure-Policy-ID.
Ms-Azure-Policy-ID VSA viene usato dal server RADIUS per inviare un identificatore usato dal server VPN P2S per corrispondere a un criterio utente RADIUS autenticato configurato sul lato Azure. Questo criterio viene usato per selezionare la configurazione IP/Routing (indirizzo IP assegnato) per l'utente.
I campi di MS-Azure-Policy-ID devono essere impostati come segue:
- Tipo di fornitore: Intero senza segno a 8 bit impostato su 0x41 (intero: 65).
- Lunghezza fornitore: Intero senza segno a 8 bit che deve essere impostato sulla lunghezza della stringa ottetto nella Attribute-Specific Valore più 2.
- Valore specifico dell'attributo: Stringa ottetto contenente ID criterio configurato nel server VPN del punto di Azure.
Per informazioni sulla configurazione, vedere RADIUS : configurare i criteri di rete per gli attributi specifici del fornitore.
Concetti relativi al gateway
Quando un gateway VPN P2S rete WAN virtuale viene assegnata una configurazione del server VPN che usa gruppi di utenti/criteri, è possibile creare più configurazioni di connessione VPN P2S nel gateway.
Ogni configurazione di connessione può contenere uno o più gruppi di utenti di configurazione del server VPN. Ogni configurazione di connessione viene quindi mappata a uno o più pool di indirizzi IP. Gli utenti che si connettono a questo gateway vengono assegnati un indirizzo IP in base alla propria identità, credenziali, gruppo predefinito e priorità.
In questo esempio, la configurazione del server VPN ha i gruppi seguenti configurati:
| Predefinito | Priorità | Nome gruppo | Tipo di autenticazione | Valore del membro |
|---|---|---|---|---|
| Sì | 0 | Engineering | Azure Active Directory | groupObjectId1 |
| No | 1 | Finance | Azure Active Directory | groupObjectId2 |
| No | 2 | PM | Azure Active Directory | groupObjectId3 |
Questa configurazione del server VPN può essere assegnata a un gateway VPN P2S in rete WAN virtuale con:
| Configurazione | Gruppi | Pool di indirizzi |
|---|---|---|
| Config0 | Ingegneria, PM | x.x.x.x/yy |
| Config1 | Finance | a.a.a.a/bb |
Il risultato seguente è:
- Gli utenti che si connettono a questo gateway VPN P2S verranno assegnati un indirizzo da x.x.x.x/y se fanno parte dei gruppi Engineering o PM Azure Active Directory.
- Gli utenti che fanno parte del gruppo Finance di Azure Active Directory vengono assegnati indirizzi IP da a.a.a.a/bb.
- Poiché Engineering è il gruppo predefinito, gli utenti che non fanno parte di alcun gruppo configurato vengono considerati parte di Engineering e hanno assegnato un indirizzo IP da x.x.x.x/y.
Considerazioni sulla configurazione
- Il numero massimo di gruppi a cui è possibile fare riferimento un singolo Gateway VPN da punto a sito è 90. Numero massimo di membri criteri/gruppi (criteri usati per identificare il gruppo di un utente che connette un utente è parte di) nei gruppi assegnati a un gateway è 390. Tuttavia, se un gruppo viene assegnato a più configurazioni di connessione nello stesso gateway, questo gruppo e i relativi membri vengono conteggiati più volte verso i limiti. Ad esempio, se è presente un gruppo di criteri con 10 membri assegnati a tre configurazioni di connessione VPN nel gateway. Questa configurazione conta tre gruppi con 30 membri totali anziché un gruppo con 10 membri. Si noti che il numero totale di utenti simultanei che si connettono a un gateway è limitato dall'unità di scala del gateway e dal numero di indirizzi IP allocati a ogni gruppo di utenti e non dal numero di membri di criteri/gruppo associati a un gateway.
- Dopo aver creato un gruppo come parte di una configurazione del server VPN, non è possibile modificare il nome e l'impostazione predefinita di un gruppo.
- I nomi di gruppo devono essere distinti.
- I gruppi con priorità numerica inferiore vengono elaborati prima dei gruppi con priorità numerica superiore. Se un utente di connessione è membro di più gruppi, il gateway considera che sia membro del gruppo con priorità numerica inferiore ai fini dell'assegnazione di indirizzi IP.
- I gruppi usati dai gateway VPN da punto a sito esistenti non possono essere eliminati.
- È possibile riordinare le priorità dei gruppi facendo clic sui pulsanti freccia verso il basso corrispondenti a tale gruppo.
- Durante l'anteprima pubblica, le modifiche della configurazione del server VPN (ad esempio, l'aggiunta o la rimozione dei membri, la modifica delle priorità) non vengono propagate automaticamente al gateway. Per assicurarsi che il gateway usi la versione più recente della configurazione del server VPN, modificare i pool di indirizzi associati alle configurazioni di connessione VPN.
- I pool di indirizzi non possono sovrapporsi a pool di indirizzi usati in altre configurazioni di connessione (uguali o diversi gateway) nella stessa rete WAN virtuale. I pool di indirizzi non possono anche sovrapporsi agli spazi indirizzi di rete virtuale, agli spazi indirizzi dell'hub virtuale o agli indirizzi locali.
Passaggi successivi
- Per creare gruppi di utenti, vedere Creare gruppi di utenti per VPN utente P2S.