Esercitazione: Configurare F5 BIG-IP SSL-VPN per Microsoft Entra SSO
Questa esercitazione descrive come integrare F5 BIG-IP secure socket layer virtual private network (SSL-VPN) con Microsoft Entra ID for secure hybrid access (SHA).
L'abilitazione di big-IP SSL-VPN per l'accesso Single Sign-On (SSO) di Microsoft Entra offre molti vantaggi, tra cui:
- Governance zero trust tramite la preautenticazione e l'accesso condizionale di Microsoft Entra.
- Autenticazione senza password per il servizio VPN
- Gestione delle identità e degli accessi da un singolo piano di controllo, l'interfaccia di amministrazione di Microsoft Entra
Per altre informazioni sui vantaggi, vedere
-
Nota
Le VPN classiche rimangono orientate alla rete, spesso fornendo poco a nessun accesso granulare alle applicazioni aziendali. È consigliabile adottare un approccio più incentrato sulle identità per ottenere Zero Trust. Altre informazioni: Cinque passaggi per l'integrazione di tutte le app con Microsoft Entra ID.
Descrizione dello scenario
In questo scenario, l'istanza di Gestione criteri di accesso (APM) BIG-IP del servizio SSL-VPN è configurata come provider di servizi SAML (Security Assertion Markup Language) (SPL) e Microsoft Entra ID è il provider di identità SAML attendibile (IdP). L'accesso Single Sign-On (SSO) da Microsoft Entra ID è tramite l'autenticazione basata su attestazioni per big-IP APM, un'esperienza di accesso semplice di rete privata virtuale (VPN).
Nota
Sostituire stringhe o valori di esempio in questa guida con quelli nell'ambiente in uso.
Prerequisiti
L'esperienza o la conoscenza precedente di F5 BIG-IP non è tuttavia necessaria:
- Sottoscrizione di Microsoft Entra
- Se non è disponibile, è possibile ottenere un account gratuito di Azure
- Identità utente sincronizzate dalla directory locale a Microsoft Entra ID
- Uno dei ruoli seguenti: Cloud Application Amministrazione istrator o Application Amministrazione istrator
- Infrastruttura BIG-IP con routing del traffico client da e verso BIG-IP
- In alternativa , distribuire un'edizione virtuale BIG-IP in Azure
- Record per il servizio VPN pubblicato big-IP in un server dns (Public Domain Name Server)
- Oppure un file localhost del client di test durante il test
- Provisioning di BIG-IP con i certificati SSL necessari per la pubblicazione di servizi tramite HTTPS
Per migliorare l'esperienza di esercitazione, è possibile apprendere la terminologia standard del settore nel glossario F5 BIG-IP.
Aggiungere F5 BIG-IP dalla raccolta di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Configurare un trust federativo SAML tra BIG-IP per consentire a Microsoft Entra BIG-IP di distribuire l'autenticazione preliminare e l'accesso condizionale all'ID Di Ingresso Microsoft, prima di concedere l'accesso al servizio VPN pubblicato.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni e quindi selezionare Nuova applicazione.
- Nella raccolta cercare F5 e selezionare F5 BIG-IP APM Microsoft Entra ID integration (Integrazione con MICROSOFT Entra ID).
- Immettere un nome per l'applicazione.
- Selezionare Aggiungi e quindi Crea.
- Il nome, come icona, viene visualizzato nell'interfaccia di amministrazione di Microsoft Entra e nel portale di Office 365.
Configurare l'accesso Single Sign-On di Microsoft Entra
Con le proprietà dell'applicazione F5, passare a Gestire>l'accesso Single Sign-On.
Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Selezionare No, verrà salvato in un secondo momento.
Nel menu Configura accesso Single Sign-On con SAML selezionare l'icona della penna per Configurazione SAML di base.
Sostituire l'URL dell'identificatore con l'URL del servizio pubblicato big-IP. Ad esempio:
https://ssl-vpn.contoso.com
.Sostituire l'URL di risposta e il percorso dell'endpoint SAML. Ad esempio:
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.Nota
In questa configurazione, l'applicazione opera in modalità avviata da IdP: Microsoft Entra ID emette un'asserzione SAML prima di reindirizzare al servizio SAML BIG-IP.
Per le app che non supportano la modalità avviata da IdP, per il servizio SAML BIG-IP specificare l'URL di accesso,
https://ssl-vpn.contoso.com
ad esempio .Per l'URL di disconnessione immettere l'endpoint SLO (Single Logout) BIG-IP APM anteporto dall'intestazione host del servizio in fase di pubblicazione. Ad esempio,
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
Nota
Un URL SLO garantisce che una sessione utente termini, in BIG-IP e Microsoft Entra ID, dopo che l'utente si disconnette. Big-IP APM offre un'opzione per terminare tutte le sessioni quando si chiama un URL dell'applicazione. Altre informazioni sull'articolo F5, K12056: Panoramica dell'opzione Di inclusione dell'URI disconnessione.
.
Nota
Da TMOS v16, l'endpoint SLO SAML è stato modificato in /saml/sp/profile/redirect/slo.
Seleziona Salva
Ignorare il prompt di test dell'accesso Single Sign-On.
Nelle proprietà Attributi utente e attestazioni osservare i dettagli.
È possibile aggiungere altre attestazioni al servizio pubblicato big-IP. Le attestazioni definite oltre al set predefinito vengono rilasciate se si trovano nell'ID Microsoft Entra. Definire i ruoli della directory o le appartenenze ai gruppi rispetto a un oggetto utente in Microsoft Entra ID, prima che possano essere rilasciati come attestazione.
I certificati di firma SAML creati da Microsoft Entra ID hanno una durata di tre anni.
Autorizzazione Microsoft Entra
Per impostazione predefinita, Microsoft Entra ID emette token agli utenti con accesso concesso a un servizio.
Nella visualizzazione configurazione dell'applicazione selezionare Utenti e gruppi.
Selezionare + Aggiungi utente.
Nel menu Aggiungi assegnazione selezionare Utenti e gruppi.
Nella finestra di dialogo Utenti e gruppi aggiungere i gruppi di utenti autorizzati ad accedere alla VPN
Selezionare Seleziona>Assegna.
È possibile configurare BIG-IP APM per pubblicare il servizio SSL-VPN. Configurarlo con le proprietà corrispondenti per completare l'attendibilità per la preautenticazione SAML.
Configurazione di BIG-IP APM
Federazione SAML
Per completare la federazione del servizio VPN con Microsoft Entra ID, creare il provider di servizi SAML BIG-IP e gli oggetti IDP SAML corrispondenti.
Passare a Access Federation SAML Service Provider Local SP Services .Go to Access>Federation>SAML Service Provider>Local SP Services Services.
Seleziona Crea.
Immettere un nome e l'IDentità definiti in Microsoft Entra ID.
Immettere il nome di dominio completo host (FQDN) per connettersi all'applicazione.
Nota
Se l'ID entità non corrisponde esattamente al nome host dell'URL pubblicato, configurare le impostazioni del nome SP o eseguire questa azione se non è in formato URL nome host. Se l'ID entità è
urn:ssl-vpn:contosoonline
, specificare lo schema esterno e il nome host dell'applicazione da pubblicare.Scorrere verso il basso per selezionare il nuovo oggetto SAML SP.
Selezionare Bind/UnBind IDP Connessione ors.
Selezionare Crea nuovo provider di identità Connessione or.
Dal menu a discesa selezionare Da metadati
Passare al file XML dei metadati della federazione scaricato.
Per l'oggetto APM specificare un nome provider di identità che rappresenta l'IdP SAML esterno.
Per selezionare il nuovo connettore Microsoft Entra external IdP, selezionare Aggiungi nuova riga.
Selezionare Aggiorna.
Seleziona OK.
Configurazione di Webtop
Abilitare SSL-VPN da offrire agli utenti tramite il portale Web BIG-IP.
Passare a Access Webtops Webtop Lists .Go to Access Webtops Webtop Lists.Go to Access>Webtops>Webtop Lists.
Seleziona Crea.
Immettere un nome del portale.
Impostare il tipo su Full,
Contoso_webtop
ad esempio .Completare le preferenze rimanenti.
Selezionare Completato.
Configurazione VPN
Gli elementi VPN controllano gli aspetti del servizio complessivo.
Passare a Access> Connessione ivity/VPN>Network Access (VPN)>IPV4 Lease Pools (IPV4 Lease Pool)
Seleziona Crea.
Immettere un nome per il pool di indirizzi IP allocato ai client VPN. Ad esempio, Contoso_vpn_pool.
Impostare il tipo su Intervallo di indirizzi IP.
Immettere un indirizzo IP iniziale e finale.
Selezionare Aggiungi.
Selezionare Completato.
Un elenco di accesso alla rete effettua il provisioning del servizio con impostazioni IP e DNS dal pool VPN, autorizzazioni di routing utente e può avviare applicazioni.
Passare a Access> Connessione ivity/VPN: Network Access (VPN)>Network Access Lists (Elenchi di accesso alla rete).
Seleziona Crea.
Specificare un nome per l'elenco di accesso VPN e didascalia, ad esempio Contoso-VPN.
Selezionare Completato.
Nella barra multifunzione superiore selezionare Rete Impostazioni.
Per Versione IP supportata: IPV4.
Per Pool di lease IPV4 selezionare il pool VPN creato, ad esempio Contoso_vpn_pool
Nota
Usare le opzioni client Impostazioni per applicare restrizioni per il modo in cui il traffico client viene instradato in una VPN stabilita.
Selezionare Completato.
Passare alla scheda DNS/Hosts .
Per il server dei nomi primari IPV4: IP DNS dell'ambiente
Per suffisso di dominio predefinito DNS: suffisso di dominio per questa connessione VPN. Ad esempio, contoso.com
Nota
Vedere l'articolo F5 Configurazione delle risorse di accesso alla rete per altre impostazioni.
Per configurare le impostazioni del tipo di client VPN, è necessario un profilo di connessione BIG-IP che il servizio VPN deve supportare. Ad esempio, Windows, OSX e Android.
Passare a Access> Connessione ivity/VPN> Connessione ivity Profiles>
Selezionare Aggiungi.
Immettere un nome di profilo.
Impostare il profilo padre su /Common/connectivity, ad esempio Contoso_VPN_Profile.
Configurazione del profilo di accesso
Un criterio di accesso abilita il servizio per l'autenticazione SAML.
Passare a Profili di accesso>/Criteri>profili di accesso (criteri per sessione) .
Seleziona Crea.
Immettere un nome di profilo e per il tipo di profilo.
Selezionare Tutti, ad esempio Contoso_network_access.
Scorrere verso il basso e aggiungere almeno una lingua all'elenco Lingue accettate
Selezionare Completato.
Nel nuovo profilo di accesso selezionare Modifica nel campo Criteri per sessione.
L'editor dei criteri visivi viene aperto in una nuova scheda.
Selezionare il + segno.
Nel menu selezionare Authentication SAML Auth (Autenticazione>SAML Auth).
Selezionare Aggiungi elemento.
Nella configurazione di SAML authentication SP selezionare l'oggetto SP SAML VPN creato
Seleziona Salva.
Per il ramo Riuscito dell'autenticazione SAML, selezionare + .
Nella scheda Assegnazione selezionare Assegnazione risorsa avanzata.
Selezionare Aggiungi elemento.
Nella finestra popup selezionare Nuova voce
Selezionare Aggiungi/Elimina.
Nella finestra selezionare Accesso alla rete.
Selezionare il profilo di accesso alla rete creato.
Passare alla scheda Webtop .
Aggiungere l'oggetto Webtop creato.
Selezionare Aggiorna.
Seleziona Salva.
Per modificare il ramo Operazione riuscita, selezionare il collegamento nella casella Nega superiore.
Viene visualizzata l'etichetta Consenti.
Salva.
Selezionare Applica criteri di accesso
Chiudere la scheda Editor criteri visivi.
Pubblicare il servizio VPN
APM richiede che un server virtuale front-end sia in ascolto dei client che si connettono alla VPN.
Selezionare Local Traffic Virtual Servers Virtual Server List (Server>virtuali del traffico>locale).
Seleziona Crea.
Per il server virtuale VPN immettere un nome, ad esempio VPN_Listener.
Selezionare un indirizzo di destinazione IP inutilizzato con routing per ricevere il traffico client.
Impostare la porta del servizio su 443 HTTPS.
Per Stato verificare che l'opzione Abilitato sia selezionata.
Impostare il profilo HTTP su http.
Aggiungere il profilo SSL (client) per il certificato SSL pubblico creato.
Per usare gli oggetti VPN creati, in Criteri di accesso impostare profilo di accesso e profilo di Connessione ivity.
Selezionare Completato.
Il servizio SSL-VPN viene pubblicato e accessibile tramite SHA, con il relativo URL o tramite i portali delle applicazioni Microsoft.
Passaggi successivi
Aprire un browser in un client Windows remoto.
Passare all'URL del servizio VPN BIG-IP.
Viene visualizzato il portale Webtop BIG-IP e l'utilità di avvio VPN.
Nota
Selezionare il riquadro VPN per installare il client BIG-IP Edge e stabilire una connessione VPN configurata per SHA. L'applicazione VPN F5 è visibile come risorsa di destinazione nell'accesso condizionale Microsoft Entra. Vedere Criteri di accesso condizionale per abilitare gli utenti per l'autenticazione senza password di Microsoft Entra ID.