Share via

Esercitazione: Configurare F5 BIG-IP SSL-VPN per Microsoft Entra SSO

  • Articolo

Questa esercitazione descrive come integrare F5 BIG-IP secure socket layer virtual private network (SSL-VPN) con Microsoft Entra ID for secure hybrid access (SHA).

L'abilitazione di big-IP SSL-VPN per l'accesso Single Sign-On (SSO) di Microsoft Entra offre molti vantaggi, tra cui:

Per altre informazioni sui vantaggi, vedere

Descrizione dello scenario

In questo scenario, l'istanza di Gestione criteri di accesso (APM) BIG-IP del servizio SSL-VPN è configurata come provider di servizi SAML (Security Assertion Markup Language) (SPL) e Microsoft Entra ID è il provider di identità SAML attendibile (IdP). L'accesso Single Sign-On (SSO) da Microsoft Entra ID è tramite l'autenticazione basata su attestazioni per big-IP APM, un'esperienza di accesso semplice di rete privata virtuale (VPN).

Diagramma dell'architettura di integrazione.

Nota

Sostituire stringhe o valori di esempio in questa guida con quelli nell'ambiente in uso.

Prerequisiti

L'esperienza o la conoscenza precedente di F5 BIG-IP non è tuttavia necessaria:

  • Sottoscrizione di Microsoft Entra
  • Identità utente sincronizzate dalla directory locale a Microsoft Entra ID
  • Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator
  • Infrastruttura BIG-IP con routing del traffico client da e verso BIG-IP
  • Record per il servizio VPN pubblicato big-IP in un server dns (Public Domain Name Server)
    • Oppure un file localhost del client di test durante il test
  • Provisioning di BIG-IP con i certificati SSL necessari per la pubblicazione di servizi tramite HTTPS

Per migliorare l'esperienza di esercitazione, è possibile apprendere la terminologia standard del settore nel glossario F5 BIG-IP.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Configurare un trust federativo SAML tra BIG-IP per consentire a Microsoft Entra BIG-IP di distribuire l'autenticazione preliminare e l'accesso condizionale all'ID Di Ingresso Microsoft, prima di concedere l'accesso al servizio VPN pubblicato.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni e quindi selezionare Nuova applicazione.
  3. Nella raccolta cercare F5 e selezionare F5 BIG-IP APM Microsoft Entra ID integration (Integrazione con MICROSOFT Entra ID).
  4. Immettere un nome per l'applicazione.
  5. Selezionare Aggiungi e quindi Crea.
  6. Il nome, come icona, viene visualizzato nell'interfaccia di amministrazione di Microsoft Entra e nel portale di Office 365.

Configurare l'accesso Single Sign-On di Microsoft Entra

  1. Con le proprietà dell'applicazione F5, passare a Gestire>l'accesso Single Sign-On.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  3. Selezionare No, verrà salvato in un secondo momento.

  4. Nel menu Configura accesso Single Sign-On con SAML selezionare l'icona della penna per Configurazione SAML di base.

  5. Sostituire l'URL dell'identificatore con l'URL del servizio pubblicato big-IP. Ad esempio: https://ssl-vpn.contoso.com.

  6. Sostituire l'URL di risposta e il percorso dell'endpoint SAML. Ad esempio: https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Nota

    In questa configurazione, l'applicazione opera in modalità avviata da IdP: Microsoft Entra ID emette un'asserzione SAML prima di reindirizzare al servizio SAML BIG-IP.

  7. Per le app che non supportano la modalità avviata da IdP, per il servizio SAML BIG-IP specificare l'URL di accesso, https://ssl-vpn.contoso.comad esempio .

  8. Per l'URL di disconnessione immettere l'endpoint SLO (Single Logout) BIG-IP APM anteporto dall'intestazione host del servizio in fase di pubblicazione. Ad esempio, https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Nota

    Un URL SLO garantisce che una sessione utente termini, in BIG-IP e Microsoft Entra ID, dopo che l'utente si disconnette. Big-IP APM offre un'opzione per terminare tutte le sessioni quando si chiama un URL dell'applicazione. Altre informazioni sull'articolo F5, K12056: Panoramica dell'opzione Di inclusione dell'URI disconnessione.

Screenshot degli URL di configurazione SAML di base..

Nota

Da TMOS v16, l'endpoint SLO SAML è stato modificato in /saml/sp/profile/redirect/slo.

  1. Seleziona Salva

  2. Ignorare il prompt di test dell'accesso Single Sign-On.

  3. Nelle proprietà Attributi utente e attestazioni osservare i dettagli.

    Screenshot delle proprietà degli attributi utente e delle attestazioni.

È possibile aggiungere altre attestazioni al servizio pubblicato big-IP. Le attestazioni definite oltre al set predefinito vengono rilasciate se si trovano nell'ID Microsoft Entra. Definire i ruoli della directory o le appartenenze ai gruppi rispetto a un oggetto utente in Microsoft Entra ID, prima che possano essere rilasciati come attestazione.

Screenshot dell'opzione Di download XML metadati federazione.

I certificati di firma SAML creati da Microsoft Entra ID hanno una durata di tre anni.

Autorizzazione Microsoft Entra

Per impostazione predefinita, Microsoft Entra ID emette token agli utenti con accesso concesso a un servizio.

  1. Nella visualizzazione configurazione dell'applicazione selezionare Utenti e gruppi.

  2. Selezionare + Aggiungi utente.

  3. Nel menu Aggiungi assegnazione selezionare Utenti e gruppi.

  4. Nella finestra di dialogo Utenti e gruppi aggiungere i gruppi di utenti autorizzati ad accedere alla VPN

  5. Selezionare Seleziona>Assegna.

    Screenshot dell'opzione Aggiungi utente.

È possibile configurare BIG-IP APM per pubblicare il servizio SSL-VPN. Configurarlo con le proprietà corrispondenti per completare l'attendibilità per la preautenticazione SAML.

Configurazione di BIG-IP APM

Federazione SAML

Per completare la federazione del servizio VPN con Microsoft Entra ID, creare il provider di servizi SAML BIG-IP e gli oggetti IDP SAML corrispondenti.

  1. Passare a Access Federation SAML Service Provider Local SP Services .Go to Access>Federation>SAML Service Provider>Local SP Services Services.

  2. Seleziona Crea.

    Screenshot dell'opzione Crea nella pagina Servizi SP locali.

  3. Immettere un nome e l'IDentità definiti in Microsoft Entra ID.

  4. Immettere il nome di dominio completo host (FQDN) per connettersi all'applicazione.

    Screenshot delle voci nome ed entità.

    Nota

    Se l'ID entità non corrisponde esattamente al nome host dell'URL pubblicato, configurare le impostazioni del nome SP o eseguire questa azione se non è in formato URL nome host. Se l'ID entità è urn:ssl-vpn:contosoonline, specificare lo schema esterno e il nome host dell'applicazione da pubblicare.

  5. Scorrere verso il basso per selezionare il nuovo oggetto SAML SP.

  6. Selezionare Bind/UnBind IDP Connessione ors.

    Screenshot dell'opzione Binding Unbind IDP Connessione ions nella pagina Servizi SP locali.

  7. Selezionare Crea nuovo provider di identità Connessione or.

  8. Dal menu a discesa selezionare Da metadati

    Screenshot dell'opzione Da metadati nella pagina Modifica ID SAML.

  9. Passare al file XML dei metadati della federazione scaricato.

  10. Per l'oggetto APM specificare un nome provider di identità che rappresenta l'IdP SAML esterno.

  11. Per selezionare il nuovo connettore Microsoft Entra external IdP, selezionare Aggiungi nuova riga.

    Screenshot dell'opzione SAML IdP Connessione ors nella pagina Modifica IDP SAML.

  12. Selezionare Aggiorna.

  13. Seleziona OK.

    Screenshot del collegamento Di Azure VPN comune nella pagina Modifica ID SAML.

Configurazione di Webtop

Abilitare SSL-VPN da offrire agli utenti tramite il portale Web BIG-IP.

  1. Passare a Access Webtops Webtop Lists .Go to Access Webtops Webtop Lists.Go to Access>Webtops>Webtop Lists.

  2. Seleziona Crea.

  3. Immettere un nome del portale.

  4. Impostare il tipo su Full, Contoso_webtopad esempio .

  5. Completare le preferenze rimanenti.

  6. Selezionare Completato.

    Screenshot delle voci nome e tipo in Proprietà generali.

Configurazione VPN

Gli elementi VPN controllano gli aspetti del servizio complessivo.

  1. Passare a Access> Connessione ivity/VPN>Network Access (VPN)>IPV4 Lease Pools (IPV4 Lease Pool)

  2. Seleziona Crea.

  3. Immettere un nome per il pool di indirizzi IP allocato ai client VPN. Ad esempio, Contoso_vpn_pool.

  4. Impostare il tipo su Intervallo di indirizzi IP.

  5. Immettere un indirizzo IP iniziale e finale.

  6. Selezionare Aggiungi.

  7. Selezionare Completato.

    Screenshot delle voci dell'elenco dei nomi e dei membri in Proprietà generali.

Un elenco di accesso alla rete effettua il provisioning del servizio con impostazioni IP e DNS dal pool VPN, autorizzazioni di routing utente e può avviare applicazioni.

  1. Passare a Access> Connessione ivity/VPN: Network Access (VPN)>Network Access Lists (Elenchi di accesso alla rete).

  2. Seleziona Crea.

  3. Specificare un nome per l'elenco di accesso VPN e didascalia, ad esempio Contoso-VPN.

  4. Selezionare Completato.

    Screenshot della voce nome in Proprietà generali e didascalia voce in Personalizzazione Impostazioni per l'inglese.

  5. Nella barra multifunzione superiore selezionare Rete Impostazioni.

  6. Per Versione IP supportata: IPV4.

  7. Per Pool di lease IPV4 selezionare il pool VPN creato, ad esempio Contoso_vpn_pool

    Screenshot della voce Pool di lease IPV4 in Generale Impostazioni.

    Nota

    Usare le opzioni client Impostazioni per applicare restrizioni per il modo in cui il traffico client viene instradato in una VPN stabilita.

  8. Selezionare Completato.

  9. Passare alla scheda DNS/Hosts .

  10. Per il server dei nomi primari IPV4: IP DNS dell'ambiente

  11. Per suffisso di dominio predefinito DNS: suffisso di dominio per questa connessione VPN. Ad esempio, contoso.com

    Screenshot delle voci per Nome server primario IPV4 e Suffisso di dominio predefinito DNS.

Nota

Vedere l'articolo F5 Configurazione delle risorse di accesso alla rete per altre impostazioni.

Per configurare le impostazioni del tipo di client VPN, è necessario un profilo di connessione BIG-IP che il servizio VPN deve supportare. Ad esempio, Windows, OSX e Android.

  1. Passare a Access> Connessione ivity/VPN> Connessione ivity Profiles>

  2. Selezionare Aggiungi.

  3. Immettere un nome di profilo.

  4. Impostare il profilo padre su /Common/connectivity, ad esempio Contoso_VPN_Profile.

    Screenshot delle voci Nome profilo e Nome padre in Crea nuovo profilo di Connessione ivity.

Configurazione del profilo di accesso

Un criterio di accesso abilita il servizio per l'autenticazione SAML.

  1. Passare a Profili di accesso>/Criteri>profili di accesso (criteri per sessione) .

  2. Seleziona Crea.

  3. Immettere un nome di profilo e per il tipo di profilo.

  4. Selezionare Tutti, ad esempio Contoso_network_access.

  5. Scorrere verso il basso e aggiungere almeno una lingua all'elenco Lingue accettate

  6. Selezionare Completato.

    Screenshot delle voci Nome, Tipo di profilo e Lingua in Nuovo profilo.

  7. Nel nuovo profilo di accesso selezionare Modifica nel campo Criteri per sessione.

  8. L'editor dei criteri visivi viene aperto in una nuova scheda.

    Screenshot dell'opzione Modifica in Profili di accesso, criteri di presessione.

  9. Selezionare il + segno.

  10. Nel menu selezionare Authentication SAML Auth (Autenticazione>SAML Auth).

  11. Selezionare Aggiungi elemento.

  12. Nella configurazione di SAML authentication SP selezionare l'oggetto SP SAML VPN creato

  13. Seleziona Salva.

    Screenshot della voce AAA Server in SAML Authentication SP nella scheda Proprietà.

  14. Per il ramo Riuscito dell'autenticazione SAML, selezionare + .

  15. Nella scheda Assegnazione selezionare Assegnazione risorsa avanzata.

  16. Selezionare Aggiungi elemento.

  17. Nella finestra popup selezionare Nuova voce

  18. Selezionare Aggiungi/Elimina.

  19. Nella finestra selezionare Accesso alla rete.

  20. Selezionare il profilo di accesso alla rete creato.

    Screenshot del pulsante Aggiungi nuova voce in Assegnazione risorse nella scheda Proprietà.

  21. Passare alla scheda Webtop .

  22. Aggiungere l'oggetto Webtop creato.

    Screenshot del webtop creato nella scheda Webtop.

  23. Selezionare Aggiorna.

  24. Seleziona Salva.

  25. Per modificare il ramo Operazione riuscita, selezionare il collegamento nella casella Nega superiore.

  26. Viene visualizzata l'etichetta Consenti.

  27. Salva.

    Screenshot dell'opzione Nega in Criteri di accesso.

  28. Selezionare Applica criteri di accesso

  29. Chiudere la scheda Editor criteri visivi.

    Screenshot dell'opzione Applica criteri di accesso.

Pubblicare il servizio VPN

APM richiede che un server virtuale front-end sia in ascolto dei client che si connettono alla VPN.

  1. Selezionare Local Traffic Virtual Servers Virtual Server List (Server>virtuali del traffico>locale).

  2. Seleziona Crea.

  3. Per il server virtuale VPN immettere un nome, ad esempio VPN_Listener.

  4. Selezionare un indirizzo di destinazione IP inutilizzato con routing per ricevere il traffico client.

  5. Impostare la porta del servizio su 443 HTTPS.

  6. Per Stato verificare che l'opzione Abilitato sia selezionata.

    Screenshot delle voci Nome e Indirizzo di destinazione o Maschera nelle proprietà generali.

  7. Impostare il profilo HTTP su http.

  8. Aggiungere il profilo SSL (client) per il certificato SSL pubblico creato.

    Screenshot della voce profilo HTTP per le voci client e profilo SSL selezionate per il client.

  9. Per usare gli oggetti VPN creati, in Criteri di accesso impostare profilo di accesso e profilo di Connessione ivity.

    Screenshot delle voci del profilo di accesso e della Connessione ivity nei criteri di accesso.

  10. Selezionare Completato.

Il servizio SSL-VPN viene pubblicato e accessibile tramite SHA, con il relativo URL o tramite i portali delle applicazioni Microsoft.

Passaggi successivi

  1. Aprire un browser in un client Windows remoto.

  2. Passare all'URL del servizio VPN BIG-IP.

  3. Viene visualizzato il portale Webtop BIG-IP e l'utilità di avvio VPN.

    Screenshot della pagina Del portale di rete Contoso con l'indicatore di accesso alla rete.

    Nota

    Selezionare il riquadro VPN per installare il client BIG-IP Edge e stabilire una connessione VPN configurata per SHA. L'applicazione VPN F5 è visibile come risorsa di destinazione nell'accesso condizionale Microsoft Entra. Vedere Criteri di accesso condizionale per abilitare gli utenti per l'autenticazione senza password di Microsoft Entra ID.

Risorse