Zelfstudie: F5 BIG-IP SSL-VPN configureren voor Microsoft Entra eenmalige aanmelding

  • Artikel

In deze zelfstudie leert u hoe u op F5 BIG-IP gebaseerde Secure Socket Layer Virtual Private Network (SSL-VPN) integreert met Microsoft Entra ID voor beveiligde hybride toegang (SHA).

Het inschakelen van een BIG-IP SSL-VPN voor Microsoft Entra eenmalige aanmelding (SSO) biedt veel voordelen, waaronder:

Zie voor meer informatie over de voordelen

Notitie

Klassieke VPN's blijven netwerkgeoriënteerd en bieden vaak weinig tot geen verfijnde toegang tot bedrijfstoepassingen. We moedigen een meer identiteitsgerichte benadering aan om Zero Trust te bereiken. Meer informatie: Vijf stappen voor het integreren van al uw apps met Microsoft Entra-id.

Scenariobeschrijving

In dit scenario wordt het BIG-IP APM-exemplaar van de SSL-VPN-service geconfigureerd als een SAML-serviceprovider (SP) en is Microsoft Entra id de vertrouwde SAML-IDP. Eenmalige aanmelding van Microsoft Entra-id wordt geleverd via op claims gebaseerde verificatie voor de BIG-IP APM, een naadloze VPN-toegangservaring.

Diagram van integratiearchitectuur.

Notitie

Vervang voorbeeldtekenreeksen of -waarden in deze handleiding door die in uw omgeving.

Vereisten

Eerdere ervaring of kennis van F5 BIG-IP is niet nodig, maar u hebt het volgende nodig:

  • Een Microsoft Entra-abonnement
  • Gebruikersidentiteiten die vanuit hun on-premises adreslijst zijn gesynchroniseerd met Microsoft Entra-id.
  • Een van de volgende rollen: Globale beheerder, Cloudtoepassingsbeheerder of Toepassingsbeheerder.
  • BIG-IP-infrastructuur met clientverkeerroutering van en naar big-IP
  • Een record voor de gepubliceerde BIG-IP VPN-service in openbare DNS
    • Of een localhost-bestand van de client testen tijdens het testen
  • Het BIG-IP-adres ingericht met de benodigde SSL-certificaten voor het publiceren van services via HTTPS

Als u de zelfstudie-ervaring wilt verbeteren, kunt u standaardterminologie leren op de F5 BIG-IP-woordenlijst.

Tip

De stappen in dit artikel kunnen enigszins verschillen, afhankelijk van de portal waaruit u begint.

Stel een SAML-federatieve vertrouwensrelatie tussen big-IP in, zodat de Microsoft Entra BIG-IP de verificatie vooraf en voorwaardelijke toegang aan Microsoft Entra id kan overdragen voordat toegang wordt verleend tot de gepubliceerde VPN-service.

  1. Meld u ten minste als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Identiteitstoepassingen>>Bedrijfstoepassingen>Alle toepassingen en selecteer vervolgens Nieuwe toepassing.
  3. Zoek in de galerie naar F5 en selecteer F5 BIG-IP APM Azure AD integratie.
  4. Voer een naam in voor de toepassing.
  5. Selecteer Toevoegen en vervolgens Maken.
  6. De naam wordt als pictogram weergegeven in het Microsoft Entra-beheercentrum en Office 365 portal.

Eenmalige aanmelding voor Microsoft Entra configureren

  1. Ga met F5-toepassingseigenschappen naarEenmalige aanmeldingbeheren>.
  2. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.
  3. Selecteer Nee, ik sla later op.
  4. Selecteer in het menu Eenmalige aanmelding met SAML instellen het penpictogram voor Standaard SAML-configuratie.
  5. Vervang de id-URL door de gepubliceerde BIG-IP-service-URL. Bijvoorbeeld https://ssl-vpn.contoso.com.
  6. Vervang de antwoord-URL en het SAML-eindpuntpad. Bijvoorbeeld https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

Notitie

In deze configuratie werkt de toepassing in een door IdP geïnitieerde modus: Microsoft Entra-id geeft een SAML-assertie uit voordat deze wordt omgeleid naar de BIG-IP SAML-service.

  1. Voor apps die de door IdP geïnitieerde modus niet ondersteunen, geeft u voor de BIG-IP SAML-service de aanmeldings-URL op, bijvoorbeeld https://ssl-vpn.contoso.com.
  2. Voer voor afmeldings-URL het SLO-eindpunt (SINGLE logout) van BIG-IP APM in dat vooraf is opgegeven door de hostheader van de service die wordt gepubliceerd. Bijvoorbeeld: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

Notitie

Een SLO-URL zorgt ervoor dat een gebruikerssessie wordt beëindigd, op BIG-IP en Microsoft Entra-id, nadat de gebruiker zich afmeldt. BIG-IP APM heeft een optie om alle sessies te beëindigen bij het aanroepen van een toepassings-URL. Meer informatie over het F5-artikel, K12056: Overzicht van de optie Afmeldings-URI opnemen.

Schermopname van STANDAARD SAML-configuratie-URL's.

Notitie

Vanaf TMOS v16 is het SAML SLO-eindpunt gewijzigd in /saml/sp/profile/redirect/slo.

  1. Selecteer Opslaan

  2. Sla de testprompt voor eenmalige aanmelding over.

  3. Bekijk de details in Eigenschappen van gebruikerskenmerken & claims .

    Schermopname van gebruikerskenmerken en claimeigenschappen.

U kunt andere claims toevoegen aan uw gepubliceerde BIG-IP-service. Claims die naast de standaardset zijn gedefinieerd, worden uitgegeven als ze zich in Microsoft Entra id bevinden. Definieer directoryrollen of groepslidmaatschappen voor een gebruikersobject in Microsoft Entra-id voordat ze als claim kunnen worden uitgegeven.

Schermopname van de optie XML-download met federatieve metagegevens.

SAML-handtekeningcertificaten die door Microsoft Entra-id zijn gemaakt, hebben een levensduur van drie jaar.

Microsoft Entra autorisatie

Standaard geeft Microsoft Entra-id tokens uit aan gebruikers met toegang tot een service.

  1. Selecteer gebruikers en groepen in de configuratieweergave van de toepassing.

  2. Selecteer + Gebruiker toevoegen.

  3. Selecteer gebruikers en groepen in het menu Toewijzing toevoegen.

  4. Voeg in het dialoogvenster Gebruikers en groepen de gebruikersgroepen toe die zijn gemachtigd voor toegang tot het VPN

  5. Selecteer Toewijzen selecteren>.

    Schermopname van de optie Gebruiker toevoegen.

U kunt BIG-IP APM instellen om de SSL-VPN-service te publiceren. Configureer deze met bijbehorende eigenschappen om de vertrouwensrelatie voor SAML-verificatie vooraf te voltooien.

BIG-IP APM-configuratie

SAML-federatie

Als u de VPN-service wilt federeren met Microsoft Entra-id, maakt u de BIG-IP SAML-serviceprovider en de bijbehorende SAML IDP-objecten.

  1. Ga naar Toegang tot>FederatieSAML-serviceprovider>>Lokale SP-services.

  2. Selecteer Maken.

    Schermopname van de optie Maken op de pagina Lokale SP-services.

  3. Voer een naam en de entiteits-id in die zijn gedefinieerd in Microsoft Entra-id.

  4. Voer de host-FQDN in om verbinding te maken met de toepassing.

    Schermopname van de vermeldingen Naam en Entiteit.

Notitie

Als de entiteits-id niet exact overeenkomt met de hostnaam van de gepubliceerde URL, configureert u de instellingen voor de SP-naam of voert u deze actie uit als deze niet de url-indeling van de hostnaam heeft. Als entiteits-id is urn:ssl-vpn:contosoonline, geeft u het externe schema en de hostnaam op van de toepassing die wordt gepubliceerd.

  1. Schuif omlaag om het nieuwe SAML SP-object te selecteren.

  2. Selecteer IDP-connectors binden/ontkoppelen.

    Schermopname van de optie Binding unbind IDP Connections op de pagina Local SP Services.

  3. Selecteer Nieuwe IDP-connector maken.

  4. Selecteer uit metagegevens in de vervolgkeuzelijst

    Schermopname van de optie Van metagegevens op de pagina SAML-id's bewerken.

  5. Blader naar het XML-bestand met federatieve metagegevens dat u hebt gedownload.

  6. Geef voor het APM-object een id-providernaam op die de externe SAML IdP vertegenwoordigt.

  7. Als u de nieuwe Microsoft Entra externe IdP-connector wilt selecteren, selecteert u Nieuwe rij toevoegen.

    Schermopname van de optie SAML IdP-connectors op de pagina SAML IdP bewerken.

  8. Selecteer Update.

  9. Selecteer OK.

    Schermopname van de koppeling Common, VPN Azure op de pagina SAML IdPs bewerken.

Webtopconfiguratie

Schakel de SSL-VPN in om aan gebruikers te worden aangeboden via de BIG-IP-webportal.

  1. Ga naarWebtops-webtoplijsten> van Access>.

  2. Selecteer Maken.

  3. Voer een portalnaam in.

  4. Stel het type in op Volledig, bijvoorbeeld Contoso_webtop.

  5. Vul de resterende voorkeuren in.

  6. Selecteer Voltooid.

    Schermopname van naam- en typevermeldingen in Algemene eigenschappen.

VPN-configuratie

VPN-elementen bepalen aspecten van de algehele service.

  1. Ga naar Toegangsconnectiviteit>/VPN-netwerktoegang>(VPN)>IPV4-leasepools

  2. Selecteer Maken.

  3. Voer een naam in voor de IP-adresgroep die is toegewezen aan VPN-clients. bijvoorbeeld Contoso_vpn_pool.

  4. Stel type in op IP-adresbereik.

  5. Voer een begin- en eind-IP-adres in.

  6. Selecteer Toevoegen.

  7. Selecteer Voltooid.

    Schermopname van vermeldingen in de lijst met namen en leden in Algemene eigenschappen.

Een netwerktoegangslijst richt de service in met IP- en DNS-instellingen uit de VPN-groep, machtigingen voor gebruikersroutering en kan toepassingen starten.

  1. Ga naar Toegangsconnectiviteit>/VPN: Netwerktoegang (VPN)>Netwerktoegangslijsten.

  2. Selecteer Maken.

  3. Geef een naam op voor de VPN-toegangslijst en onderschrift, bijvoorbeeld Contoso-VPN.

  4. Selecteer Voltooid.

    Schermopname van naamvermelding in Algemene eigenschappen en onderschrift vermelding in Aanpassingsinstellingen voor Engels.

  5. Selecteer netwerkinstellingen op het bovenste lint.

  6. Voor ondersteunde IP-versie: IPV4.

  7. Selecteer voor IPV4-leasepool de VPN-pool die is gemaakt, bijvoorbeeld Contoso_vpn_pool

    Schermopname van de vermelding IPV4-leasepool in Algemene instellingen.

Notitie

Gebruik de opties voor clientinstellingen om beperkingen af te dwingen voor de wijze waarop clientverkeer wordt gerouteerd in een tot stand gebracht VPN.

  1. Selecteer Voltooid.

  2. Ga naar het tabblad DNS/hosts .

  3. Voor PRIMAIRE IPV4-naamserver: DNS-IP van uw omgeving

  4. Voor dns-standaarddomeinachtervoegsel: het domeinachtervoegsel voor deze VPN-verbinding. Bijvoorbeeld contoso.com

    Schermopname van vermeldingen voor IPV4 Primaire servernaam en DNS-standaarddomeinachtervoegsel.

Notitie

Zie het F5-artikel Configuring Network Access Resources (Netwerktoegangsbronnen configureren ) voor andere instellingen.

Een BIG-IP-verbindingsprofiel is vereist voor het configureren van instellingen van het type VPN-client die de VPN-service moet ondersteunen. Bijvoorbeeld Windows, OSX en Android.

  1. Ga naar Access>Connectivity/VPN>Connectivity>Profiles

  2. Selecteer Toevoegen.

  3. Voer een profielnaam in.

  4. Stel het bovenliggende profiel in op /Common/connectivity, bijvoorbeeld Contoso_VPN_Profile.

    Schermopname van de vermeldingen Profielnaam en Bovenliggende naam in Nieuw connectiviteitsprofiel maken.

Zie het F5-artikel F5-toegang en BIG-IP Edge-client voor meer informatie over clientondersteuning.

Configuratie van toegangsprofielen

Een toegangsbeleid schakelt de service in voor SAML-verificatie.

  1. Ga naar Toegangsprofielen>/beleid>Toegangsprofielen (beleid per sessie).

  2. Selecteer Maken.

  3. Voer een profielnaam en voor het profieltype in.

  4. Selecteer Alle, bijvoorbeeld Contoso_network_access.

  5. Schuif omlaag en voeg ten minste één taal toe aan de lijst Geaccepteerde talen

  6. Selecteer Voltooid.

    Schermopname van de vermeldingen Naam, Profieltype en Taal in Nieuw profiel.

  7. Selecteer in het nieuwe toegangsprofiel in het veld Per-Session Beleid de optie Bewerken.

  8. De editor voor visueel beleid wordt geopend op een nieuw tabblad.

    Schermopname van de optie Bewerken in Toegangsprofielen, pre-sessiebeleidsregels.

  9. Selecteer het + teken.

  10. Selecteer Verificatie>SAML-verificatie in het menu.

  11. Selecteer Item toevoegen.

  12. Selecteer in de SP-configuratie voor SAML-verificatie het VPN SAML SP-object dat u hebt gemaakt

  13. Selecteer Opslaan.

    Schermopname van de vermelding AAA-server onder SAML Authentication SP op het tabblad Eigenschappen.

  14. Selecteer + voor de vertakking Geslaagd van SAML-verificatie.

  15. Selecteer op het tabblad Toewijzing de optie Geavanceerde resourcetoewijzing.

  16. Selecteer Item toevoegen.

    Schermopname van de plusknop op toegangsbeleid.

  17. Selecteer Nieuw item in het pop-upvenster

  18. Selecteer Toevoegen/verwijderen.

  19. Selecteer Netwerktoegang in het venster.

  20. Selecteer het netwerktoegangsprofiel dat u hebt gemaakt.

    Schermopname van de knop Nieuwe vermelding toevoegen in Resourcetoewijzing op het tabblad Eigenschappen.

  21. Ga naar het tabblad Webtop .

  22. Voeg het webtopobject toe dat u hebt gemaakt.

    Schermopname van de gemaakte webtop op het tabblad Webtop.

  23. Selecteer Update.

  24. SelecteerOpslaan.

  25. Als u de vertakking Geslaagd wilt wijzigen, selecteert u de koppeling in het bovenste vak Weigeren .

  26. Het label Toestaan wordt weergegeven.

  27. Opslaan.

    Schermopname van de optie Weigeren in Toegangsbeleid.

  28. Selecteer Toegangsbeleid toepassen

  29. Sluit het tabblad Editor voor visueel beleid.

    Schermopname van de optie Toegangsbeleid toepassen.

De VPN-service publiceren

De APM vereist een front-end virtuele server om te luisteren naar clients die verbinding maken met het VPN.

  1. Selecteer Local Traffic>Virtual Servers>Virtual Server List.

  2. Selecteer Maken.

  3. Voer voor de virtuele VPN-server een naam in, bijvoorbeeld VPN_Listener.

  4. Selecteer een ongebruikt IP-doeladres met routering om clientverkeer te ontvangen.

  5. Stel de servicepoort in op 443 HTTPS.

  6. Zorg ervoor dat ingeschakeld is geselecteerd voor Status.

    Schermopname van de vermeldingen Naam en Doeladres of Masker in Algemene eigenschappen.

  7. Stel het HTTP-profiel in op http.

  8. Voeg het SSL-profiel (client) toe voor het openbare SSL-certificaat dat u hebt gemaakt.

    Schermopname van http-profielvermelding voor client en ssl-profiel geselecteerde vermeldingen voor client.

  9. Als u de gemaakte VPN-objecten wilt gebruiken, stelt u onder Toegangsbeleid het toegangsprofiel en connectiviteitsprofiel in.

    Schermopname van de vermeldingen Toegangsprofiel en Connectiviteitsprofiel in Toegangsbeleid.

  10. Selecteer Voltooid.

Uw SSL-VPN-service wordt gepubliceerd en toegankelijk via SHA, met de URL of via Microsoft-toepassingsportals.

Volgende stappen

  1. Open een browser op een externe Windows-client.

  2. Blader naar de URL van de BIG-IP VPN-service .

  3. De BIG-IP-webtopportal en het VPN-startprogramma worden weergegeven.

    Schermopname van de pagina Contoso Network Portal met indicator voor netwerktoegang.

Notitie

Selecteer de VPN-tegel om de BIG-IP Edge-client te installeren en een VPN-verbinding tot stand te brengen die is geconfigureerd voor SHA. De F5 VPN-toepassing is zichtbaar als een doelresource in Microsoft Entra Voorwaardelijke toegang. Zie Beleid voor voorwaardelijke toegang om gebruikers Microsoft Entra-id-verificatie zonder wachtwoord in te schakelen.

Resources