Zelfstudie: F5 BIG-IP SSL-VPN configureren voor Microsoft Entra eenmalige aanmelding
In deze zelfstudie leert u hoe u op F5 BIG-IP gebaseerde Secure Socket Layer Virtual Private Network (SSL-VPN) integreert met Microsoft Entra ID voor beveiligde hybride toegang (SHA).
Het inschakelen van een BIG-IP SSL-VPN voor Microsoft Entra eenmalige aanmelding (SSO) biedt veel voordelen, waaronder:
- Verbeterde zero trust governance via Microsoft Entra verificatie vooraf en voorwaardelijke toegang.
- Verificatie zonder wachtwoord voor de VPN-service
- Identiteiten en toegang beheren vanuit één besturingsvlak, het Microsoft Entra beheercentrum
Zie voor meer informatie over de voordelen
Notitie
Klassieke VPN's blijven netwerkgeoriënteerd en bieden vaak weinig tot geen verfijnde toegang tot bedrijfstoepassingen. We moedigen een meer identiteitsgerichte benadering aan om Zero Trust te bereiken. Meer informatie: Vijf stappen voor het integreren van al uw apps met Microsoft Entra-id.
Scenariobeschrijving
In dit scenario wordt het BIG-IP APM-exemplaar van de SSL-VPN-service geconfigureerd als een SAML-serviceprovider (SP) en is Microsoft Entra id de vertrouwde SAML-IDP. Eenmalige aanmelding van Microsoft Entra-id wordt geleverd via op claims gebaseerde verificatie voor de BIG-IP APM, een naadloze VPN-toegangservaring.
Notitie
Vervang voorbeeldtekenreeksen of -waarden in deze handleiding door die in uw omgeving.
Vereisten
Eerdere ervaring of kennis van F5 BIG-IP is niet nodig, maar u hebt het volgende nodig:
- Een Microsoft Entra-abonnement
- Als u nog geen account hebt, kunt u een gratis Azure-account krijgen of hoger
- Gebruikersidentiteiten die vanuit hun on-premises adreslijst zijn gesynchroniseerd met Microsoft Entra-id.
- Een van de volgende rollen: Globale beheerder, Cloudtoepassingsbeheerder of Toepassingsbeheerder.
- BIG-IP-infrastructuur met clientverkeerroutering van en naar big-IP
- Een record voor de gepubliceerde BIG-IP VPN-service in openbare DNS
- Of een localhost-bestand van de client testen tijdens het testen
- Het BIG-IP-adres ingericht met de benodigde SSL-certificaten voor het publiceren van services via HTTPS
Als u de zelfstudie-ervaring wilt verbeteren, kunt u standaardterminologie leren op de F5 BIG-IP-woordenlijst.
F5 BIG-IP toevoegen vanuit de galerie Microsoft Entra
Tip
De stappen in dit artikel kunnen enigszins verschillen, afhankelijk van de portal waaruit u begint.
Stel een SAML-federatieve vertrouwensrelatie tussen big-IP in, zodat de Microsoft Entra BIG-IP de verificatie vooraf en voorwaardelijke toegang aan Microsoft Entra id kan overdragen voordat toegang wordt verleend tot de gepubliceerde VPN-service.
- Meld u ten minste als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
- Blader naar Identiteitstoepassingen>>Bedrijfstoepassingen>Alle toepassingen en selecteer vervolgens Nieuwe toepassing.
- Zoek in de galerie naar F5 en selecteer F5 BIG-IP APM Azure AD integratie.
- Voer een naam in voor de toepassing.
- Selecteer Toevoegen en vervolgens Maken.
- De naam wordt als pictogram weergegeven in het Microsoft Entra-beheercentrum en Office 365 portal.
Eenmalige aanmelding voor Microsoft Entra configureren
- Ga met F5-toepassingseigenschappen naarEenmalige aanmeldingbeheren>.
- Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.
- Selecteer Nee, ik sla later op.
- Selecteer in het menu Eenmalige aanmelding met SAML instellen het penpictogram voor Standaard SAML-configuratie.
- Vervang de id-URL door de gepubliceerde BIG-IP-service-URL. Bijvoorbeeld
https://ssl-vpn.contoso.com
. - Vervang de antwoord-URL en het SAML-eindpuntpad. Bijvoorbeeld
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.
Notitie
In deze configuratie werkt de toepassing in een door IdP geïnitieerde modus: Microsoft Entra-id geeft een SAML-assertie uit voordat deze wordt omgeleid naar de BIG-IP SAML-service.
- Voor apps die de door IdP geïnitieerde modus niet ondersteunen, geeft u voor de BIG-IP SAML-service de aanmeldings-URL op, bijvoorbeeld
https://ssl-vpn.contoso.com
. - Voer voor afmeldings-URL het SLO-eindpunt (SINGLE logout) van BIG-IP APM in dat vooraf is opgegeven door de hostheader van de service die wordt gepubliceerd. Bijvoorbeeld:
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
Notitie
Een SLO-URL zorgt ervoor dat een gebruikerssessie wordt beëindigd, op BIG-IP en Microsoft Entra-id, nadat de gebruiker zich afmeldt. BIG-IP APM heeft een optie om alle sessies te beëindigen bij het aanroepen van een toepassings-URL. Meer informatie over het F5-artikel, K12056: Overzicht van de optie Afmeldings-URI opnemen.
Notitie
Vanaf TMOS v16 is het SAML SLO-eindpunt gewijzigd in /saml/sp/profile/redirect/slo.
Selecteer Opslaan
Sla de testprompt voor eenmalige aanmelding over.
Bekijk de details in Eigenschappen van gebruikerskenmerken & claims .
U kunt andere claims toevoegen aan uw gepubliceerde BIG-IP-service. Claims die naast de standaardset zijn gedefinieerd, worden uitgegeven als ze zich in Microsoft Entra id bevinden. Definieer directoryrollen of groepslidmaatschappen voor een gebruikersobject in Microsoft Entra-id voordat ze als claim kunnen worden uitgegeven.
SAML-handtekeningcertificaten die door Microsoft Entra-id zijn gemaakt, hebben een levensduur van drie jaar.
Microsoft Entra autorisatie
Standaard geeft Microsoft Entra-id tokens uit aan gebruikers met toegang tot een service.
Selecteer gebruikers en groepen in de configuratieweergave van de toepassing.
Selecteer + Gebruiker toevoegen.
Selecteer gebruikers en groepen in het menu Toewijzing toevoegen.
Voeg in het dialoogvenster Gebruikers en groepen de gebruikersgroepen toe die zijn gemachtigd voor toegang tot het VPN
Selecteer Toewijzen selecteren>.
U kunt BIG-IP APM instellen om de SSL-VPN-service te publiceren. Configureer deze met bijbehorende eigenschappen om de vertrouwensrelatie voor SAML-verificatie vooraf te voltooien.
BIG-IP APM-configuratie
SAML-federatie
Als u de VPN-service wilt federeren met Microsoft Entra-id, maakt u de BIG-IP SAML-serviceprovider en de bijbehorende SAML IDP-objecten.
Ga naar Toegang tot>FederatieSAML-serviceprovider>>Lokale SP-services.
Selecteer Maken.
Voer een naam en de entiteits-id in die zijn gedefinieerd in Microsoft Entra-id.
Voer de host-FQDN in om verbinding te maken met de toepassing.
Notitie
Als de entiteits-id niet exact overeenkomt met de hostnaam van de gepubliceerde URL, configureert u de instellingen voor de SP-naam of voert u deze actie uit als deze niet de url-indeling van de hostnaam heeft. Als entiteits-id is urn:ssl-vpn:contosoonline
, geeft u het externe schema en de hostnaam op van de toepassing die wordt gepubliceerd.
Schuif omlaag om het nieuwe SAML SP-object te selecteren.
Selecteer IDP-connectors binden/ontkoppelen.
Selecteer Nieuwe IDP-connector maken.
Selecteer uit metagegevens in de vervolgkeuzelijst
Blader naar het XML-bestand met federatieve metagegevens dat u hebt gedownload.
Geef voor het APM-object een id-providernaam op die de externe SAML IdP vertegenwoordigt.
Als u de nieuwe Microsoft Entra externe IdP-connector wilt selecteren, selecteert u Nieuwe rij toevoegen.
Selecteer Update.
Selecteer OK.
Webtopconfiguratie
Schakel de SSL-VPN in om aan gebruikers te worden aangeboden via de BIG-IP-webportal.
Ga naarWebtops-webtoplijsten> van Access>.
Selecteer Maken.
Voer een portalnaam in.
Stel het type in op Volledig, bijvoorbeeld
Contoso_webtop
.Vul de resterende voorkeuren in.
Selecteer Voltooid.
VPN-configuratie
VPN-elementen bepalen aspecten van de algehele service.
Ga naar Toegangsconnectiviteit>/VPN-netwerktoegang>(VPN)>IPV4-leasepools
Selecteer Maken.
Voer een naam in voor de IP-adresgroep die is toegewezen aan VPN-clients. bijvoorbeeld Contoso_vpn_pool.
Stel type in op IP-adresbereik.
Voer een begin- en eind-IP-adres in.
Selecteer Toevoegen.
Selecteer Voltooid.
Een netwerktoegangslijst richt de service in met IP- en DNS-instellingen uit de VPN-groep, machtigingen voor gebruikersroutering en kan toepassingen starten.
Ga naar Toegangsconnectiviteit>/VPN: Netwerktoegang (VPN)>Netwerktoegangslijsten.
Selecteer Maken.
Geef een naam op voor de VPN-toegangslijst en onderschrift, bijvoorbeeld Contoso-VPN.
Selecteer Voltooid.
Selecteer netwerkinstellingen op het bovenste lint.
Voor ondersteunde IP-versie: IPV4.
Selecteer voor IPV4-leasepool de VPN-pool die is gemaakt, bijvoorbeeld Contoso_vpn_pool
Notitie
Gebruik de opties voor clientinstellingen om beperkingen af te dwingen voor de wijze waarop clientverkeer wordt gerouteerd in een tot stand gebracht VPN.
Selecteer Voltooid.
Ga naar het tabblad DNS/hosts .
Voor PRIMAIRE IPV4-naamserver: DNS-IP van uw omgeving
Voor dns-standaarddomeinachtervoegsel: het domeinachtervoegsel voor deze VPN-verbinding. Bijvoorbeeld contoso.com
Notitie
Zie het F5-artikel Configuring Network Access Resources (Netwerktoegangsbronnen configureren ) voor andere instellingen.
Een BIG-IP-verbindingsprofiel is vereist voor het configureren van instellingen van het type VPN-client die de VPN-service moet ondersteunen. Bijvoorbeeld Windows, OSX en Android.
Ga naar Access>Connectivity/VPN>Connectivity>Profiles
Selecteer Toevoegen.
Voer een profielnaam in.
Stel het bovenliggende profiel in op /Common/connectivity, bijvoorbeeld Contoso_VPN_Profile.
Zie het F5-artikel F5-toegang en BIG-IP Edge-client voor meer informatie over clientondersteuning.
Configuratie van toegangsprofielen
Een toegangsbeleid schakelt de service in voor SAML-verificatie.
Ga naar Toegangsprofielen>/beleid>Toegangsprofielen (beleid per sessie).
Selecteer Maken.
Voer een profielnaam en voor het profieltype in.
Selecteer Alle, bijvoorbeeld Contoso_network_access.
Schuif omlaag en voeg ten minste één taal toe aan de lijst Geaccepteerde talen
Selecteer Voltooid.
Selecteer in het nieuwe toegangsprofiel in het veld Per-Session Beleid de optie Bewerken.
De editor voor visueel beleid wordt geopend op een nieuw tabblad.
Selecteer het + teken.
Selecteer Verificatie>SAML-verificatie in het menu.
Selecteer Item toevoegen.
Selecteer in de SP-configuratie voor SAML-verificatie het VPN SAML SP-object dat u hebt gemaakt
Selecteer Opslaan.
Selecteer + voor de vertakking Geslaagd van SAML-verificatie.
Selecteer op het tabblad Toewijzing de optie Geavanceerde resourcetoewijzing.
Selecteer Item toevoegen.
Selecteer Nieuw item in het pop-upvenster
Selecteer Toevoegen/verwijderen.
Selecteer Netwerktoegang in het venster.
Selecteer het netwerktoegangsprofiel dat u hebt gemaakt.
Ga naar het tabblad Webtop .
Voeg het webtopobject toe dat u hebt gemaakt.
Selecteer Update.
SelecteerOpslaan.
Als u de vertakking Geslaagd wilt wijzigen, selecteert u de koppeling in het bovenste vak Weigeren .
Het label Toestaan wordt weergegeven.
Opslaan.
Selecteer Toegangsbeleid toepassen
Sluit het tabblad Editor voor visueel beleid.
De VPN-service publiceren
De APM vereist een front-end virtuele server om te luisteren naar clients die verbinding maken met het VPN.
Selecteer Local Traffic>Virtual Servers>Virtual Server List.
Selecteer Maken.
Voer voor de virtuele VPN-server een naam in, bijvoorbeeld VPN_Listener.
Selecteer een ongebruikt IP-doeladres met routering om clientverkeer te ontvangen.
Stel de servicepoort in op 443 HTTPS.
Zorg ervoor dat ingeschakeld is geselecteerd voor Status.
Stel het HTTP-profiel in op http.
Voeg het SSL-profiel (client) toe voor het openbare SSL-certificaat dat u hebt gemaakt.
Als u de gemaakte VPN-objecten wilt gebruiken, stelt u onder Toegangsbeleid het toegangsprofiel en connectiviteitsprofiel in.
Selecteer Voltooid.
Uw SSL-VPN-service wordt gepubliceerd en toegankelijk via SHA, met de URL of via Microsoft-toepassingsportals.
Volgende stappen
Open een browser op een externe Windows-client.
Blader naar de URL van de BIG-IP VPN-service .
De BIG-IP-webtopportal en het VPN-startprogramma worden weergegeven.
Notitie
Selecteer de VPN-tegel om de BIG-IP Edge-client te installeren en een VPN-verbinding tot stand te brengen die is geconfigureerd voor SHA. De F5 VPN-toepassing is zichtbaar als een doelresource in Microsoft Entra Voorwaardelijke toegang. Zie Beleid voor voorwaardelijke toegang om gebruikers Microsoft Entra-id-verificatie zonder wachtwoord in te schakelen.