Delen via

Zelfstudie: F5 BIG-IP SSL-VPN configureren voor Microsoft Entra SSO

  • Artikel

In deze zelfstudie leert u hoe u F5 BIG-IP-gebaseerde secure socket layer virtual private network (SSL-VPN) integreert met Microsoft Entra ID voor beveiligde hybride toegang (SHA).

Het inschakelen van een BIG-IP SSL-VPN voor Microsoft Entra-eenmalige aanmelding (SSO) biedt veel voordelen, waaronder:

Zie voor meer informatie over meer voordelen

Beschrijving van scenario

In dit scenario is het BIG-IP Access Policy Manager-exemplaar (APM) van de SSL-VPN-service geconfigureerd als een SAML-serviceprovider (Security Assertion Markup Language) en Microsoft Entra ID de vertrouwde SAML-id (IdP). Eenmalige aanmelding (SSO) van Microsoft Entra ID verloopt via verificatie op basis van claims voor de BIG-IP APM, een naadloze VPN-toegangservaring (Virtual Private Network).

Diagram van integratiearchitectuur.

Notitie

Vervang voorbeeldtekenreeksen of -waarden in deze handleiding door tekenreeksen of waarden in uw omgeving.

Vereisten

Eerdere ervaring of kennis van F5 BIG-IP is niet nodig, maar u hebt het volgende nodig:

  • Een Microsoft Entra-abonnement
  • Gebruikersidentiteiten gesynchroniseerd vanuit hun on-premises adreslijst naar Microsoft Entra-id
  • Een van de volgende rollen: Cloudtoepassingsbeheerder of Toepassingsbeheerder
  • BIG-IP-infrastructuur met routering van clientverkeer naar en van het BIG-IP-adres
  • Een record voor de BIG-IP gepubliceerde VPN-service in een openbare DNS (Domain Name Server)
    • Of een localhost-bestand van de testclient tijdens het testen
  • Het BIG-IP-adres dat is ingericht met de benodigde SSL-certificaten voor het publiceren van services via HTTPS

Als u de ervaring van de zelfstudie wilt verbeteren, kunt u de terminologie van de industriestandaard leren in de woordenlijst F5 BIG-IP.

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Stel een SAML-federatievertrouwensrelatie tussen het BIG-IP-adres in om microsoft Entra BIG-IP de preauthenticatie en voorwaardelijke toegang tot Microsoft Entra-id af te geven voordat deze toegang verleent tot de gepubliceerde VPN-service.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>alle toepassingen en selecteer vervolgens Nieuwe toepassing.
  3. Zoek in de galerie naar F5 en selecteer F5 BIG-IP APM Microsoft Entra ID-integratie.
  4. Voer bij Name een naam in voor de toepassing.
  5. Selecteer Toevoegen en vervolgens Maken.
  6. De naam, als pictogram, wordt weergegeven in het Microsoft Entra-beheercentrum en de Office 365-portal.

Eenmalige aanmelding voor Microsoft Entra configureren

  1. Ga met F5-toepassingseigenschappen naar Eenmalige aanmelding beheren>.

  2. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

  3. Selecteer Nee, ik sla het later op.

  4. Selecteer in het menu Setup eenmalige aanmelding met SAML het penpictogram voor Standaard SAML-configuratie.

  5. Vervang de ID-URL door uw gepubliceerde BIG-IP-service-URL. Bijvoorbeeld: https://ssl-vpn.contoso.com.

  6. Vervang de antwoord-URL en het SAML-eindpuntpad. Bijvoorbeeld: https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Notitie

    In deze configuratie werkt de toepassing in een door IdP geïnitieerde modus: Microsoft Entra ID geeft een SAML-assertie uit voordat deze wordt omgeleid naar de BIG-IP SAML-service.

  7. Voor apps die de door IdP geïnitieerde modus niet ondersteunen, geeft u voor de BIG-IP SAML-service de aanmeldings-URL op, bijvoorbeeld https://ssl-vpn.contoso.com.

  8. Voer voor de afmeldings-URL het SLO-eindpunt (BIG-IP APM Single Logout) in dat wordt voorafgegaan door de hostheader van de service die wordt gepubliceerd. Bijvoorbeeld https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Notitie

    Een SLO-URL zorgt ervoor dat een gebruikerssessie wordt beëindigd, bij BIG-IP en Microsoft Entra ID, nadat de gebruiker zich afmeldt. BIG-IP APM heeft een optie om alle sessies te beëindigen bij het aanroepen van een toepassings-URL. Meer informatie over het F5-artikel K12056 : Overzicht van de optie Afmeldings-URI Opnemen.

Schermopname van eenvoudige SAML-configuratie-URL's..

Notitie

Vanaf TMOS v16 is het SAML SLO-eindpunt gewijzigd in /saml/sp/profile/redirect/slo.

  1. Selecteer Opslaan

  2. Sla de testprompt voor eenmalige aanmelding over.

  3. Bekijk de details in eigenschappen van gebruikerskenmerken en claims .

    Schermopname van gebruikerskenmerken en claimeigenschappen.

U kunt andere claims toevoegen aan uw gepubliceerde BIG-IP-service. Claims die naast de standaardset zijn gedefinieerd, worden uitgegeven als ze zich in Microsoft Entra-id bevinden. Definieer directoryrollen of groepslidmaatschappen voor een gebruikersobject in Microsoft Entra ID voordat ze kunnen worden uitgegeven als een claim.

SAML-handtekeningcertificaten die door Microsoft Entra ID zijn gemaakt, hebben een levensduur van drie jaar.

Microsoft Entra-autorisatie

Standaard geeft Microsoft Entra ID tokens uit aan gebruikers met toegang tot een service.

  1. Selecteer Gebruikers en groepen in de configuratieweergave van de toepassing.

  2. Selecteer + Gebruiker toevoegen.

  3. Selecteer Gebruikers en groepen in het menu Toewijzing toevoegen.

  4. Voeg in het dialoogvenster Gebruikers en groepen de gebruikersgroepen toe die zijn gemachtigd voor toegang tot de VPN

  5. >Selecteer Toewijzen selecteren.

    Schermopname van de optie Gebruiker toevoegen.

U kunt BIG-IP APM instellen om de SSL-VPN-service te publiceren. Configureer deze met bijbehorende eigenschappen om de vertrouwensrelatie voor SAML-verificatie vooraf te voltooien.

BIG-IP APM-configuratie

SAML-federatie

Als u de VPN-service wilt federeren met Microsoft Entra ID, maakt u de BIG-IP SAML-serviceprovider en bijbehorende SAML IDP-objecten.

  1. Ga naar Lokale SP-services van federatieve>>SAML-serviceprovider.>

  2. Selecteer Maken.

    Schermopname van de optie Maken op de pagina Local SP Services.

  3. Voer een naam en de entiteits-id in die zijn gedefinieerd in Microsoft Entra-id.

  4. Voer de FQDN (Fully Qualified Domain Name) van de host in om verbinding te maken met de toepassing.

    Schermopname van de vermeldingen Naam en Entiteit.

    Notitie

    Als de entiteits-id niet exact overeenkomt met de hostnaam van de gepubliceerde URL, configureert u sp-naaminstellingen of voert u deze actie uit als deze niet de URL-indeling van de hostnaam heeft. Als de entiteits-id is urn:ssl-vpn:contosoonline, geeft u het externe schema en de hostnaam op van de toepassing die wordt gepubliceerd.

  5. Schuif omlaag om het nieuwe SAML SP-object te selecteren.

  6. Selecteer Bind/UnBind IDP Connectors.

    Schermopname van de optie Binding unbind IDP Connections op de pagina Local SP Services.

  7. Selecteer Nieuwe IDP-connector maken.

  8. Selecteer in de vervolgkeuzelijst De optie Uit metagegevens

    Schermopname van de optie Van metagegevens op de pagina SAML-id's bewerken.

  9. Blader naar het XML-bestand met federatieve metagegevens dat u hebt gedownload.

  10. Geef voor het APM-object een id-providernaam op die de externe SAML IdP vertegenwoordigt.

  11. Als u de nieuwe externe IdP-connector van Microsoft Entra wilt selecteren, selecteert u Nieuwe rij toevoegen.

    Schermopname van de optie SAML IdP-connectors op de pagina SAML IdP bewerken.

  12. Selecteer Bijwerken.

  13. Selecteer OK.

    Schermopname van de koppeling Common, VPN Azure op de pagina SAML IdPs bewerken.

Webtopconfiguratie

Schakel in dat de SSL-VPN wordt aangeboden aan gebruikers via de BIG-IP-webportal.

  1. Ga naar Lijsten met webtops van>Access.>

  2. Selecteer Maken.

  3. Voer een portalnaam in.

  4. Stel het type in op Volledig, bijvoorbeeld Contoso_webtop.

  5. Voltooi de resterende voorkeuren.

  6. Selecteer Voltooid.

    Schermopname van naam- en typevermeldingen in Algemene eigenschappen.

VPN-configuratie

VPN-elementen beheren aspecten van de algehele service.

  1. Ga naar Toegangsconnectiviteit>/VPN-netwerktoegang>(VPN)>IPV4-leasegroepen

  2. Selecteer Maken.

  3. Voer een naam in voor de IP-adresgroep die is toegewezen aan VPN-clients. Bijvoorbeeld Contoso_vpn_pool.

  4. Type instellen op IP-adresbereik.

  5. Voer een begin- en eind-IP-adres in.

  6. Selecteer Toevoegen.

  7. Selecteer Voltooid.

    Schermopname van vermeldingen in de lijst met namen en leden in Algemene eigenschappen.

Een lijst met netwerktoegang richt de service in met IP- en DNS-instellingen uit de VPN-pool, machtigingen voor gebruikersroutering en kan toepassingen starten.

  1. Ga naar Toegangsconnectiviteit>/VPN: Netwerktoegangslijsten (VPN)> netwerktoegang.

  2. Selecteer Maken.

  3. Geef een naam op voor de VPN-toegangslijst en het bijschrift, bijvoorbeeld Contoso-VPN.

  4. Selecteer Voltooid.

    Schermopname van naamvermelding in Algemene eigenschappen en bijschriftvermelding in Aanpassingsinstellingen voor Engels.

  5. Selecteer Netwerkinstellingen in het bovenste lint.

  6. Voor ondersteunde IP-versie: IPV4.

  7. Selecteer voor IPV4-leasegroep de VPN-pool die is gemaakt, bijvoorbeeld Contoso_vpn_pool

    Schermopname van de vermelding IPV4-leasegroep in Algemene instellingen.

    Notitie

    Gebruik de opties clientinstellingen om beperkingen af te dwingen voor de wijze waarop clientverkeer wordt gerouteerd in een tot stand gebracht VPN.

  8. Selecteer Voltooid.

  9. Ga naar het tabblad DNS/Hosts .

  10. Voor IPV4 Primaire naamserver: DNS-IP van uw omgeving

  11. Voor DNS-standaarddomeinachtervoegsel: het domeinachtervoegsel voor deze VPN-verbinding. Bijvoorbeeld contoso.com

    Schermopname van vermeldingen voor IPV4 Primary Server Name en DNS Default Domain Suffix.

Notitie

Zie het artikel F5, Resources voor netwerktoegang configureren voor andere instellingen.

Een BIG-IP-verbindingsprofiel is vereist voor het configureren van instellingen voor HET VPN-clienttype die de VPN-service moet ondersteunen. Bijvoorbeeld Windows, OSX en Android.

  1. Ga naar Toegangsconnectiviteit>/VPN-connectiviteitsprofielen>>

  2. Selecteer Toevoegen.

  3. Voer een profielnaam in.

  4. Stel het bovenliggende profiel in op /Common/connectivity, bijvoorbeeld Contoso_VPN_Profile.

    Schermopname van de vermeldingen Profielnaam en Bovenliggende naam in Nieuw connectiviteitsprofiel maken.

Configuratie van toegangsprofielen

Met een toegangsbeleid kan de service voor SAML-verificatie worden ingeschakeld.

  1. Ga naar Access>Profiles/Policies>Access Profiles (Per-Session Policies).

  2. Selecteer Maken.

  3. Voer een profielnaam en voor het profieltype in.

  4. Selecteer Bijvoorbeeld Alles Contoso_network_access.

  5. Schuif omlaag en voeg ten minste één taal toe aan de lijst geaccepteerde talen

  6. Selecteer Voltooid.

    Schermopname van de vermeldingen Naam, Profieltype en Taal in Nieuw profiel.

  7. Selecteer Bewerken in het nieuwe toegangsprofiel in het veld Beleid per sessie.

  8. De editor voor visualbeleid wordt geopend op een nieuw tabblad.

    Schermopname van de optie Bewerken in Access-profielen, presession-beleid.

  9. Selecteer het + teken.

  10. Selecteer verificatie-SAML-verificatie> in het menu.

  11. Selecteer Item toevoegen.

  12. Selecteer in de CONFIGURATIE van de SAML-verificatie-SP het VPN SAML SP-object dat u hebt gemaakt

  13. Selecteer Opslaan.

    Schermopname van de AAA-serververmelding onder SAML Authentication SP op het tabblad Eigenschappen.

  14. Selecteer + voor de geslaagde vertakking van SAML-verificatie.

  15. Selecteer Op het tabblad Toewijzing geavanceerde resource toewijzen.

  16. Selecteer Item toevoegen.

  17. Selecteer Nieuw item in het pop-upvenster

  18. Selecteer Toevoegen/verwijderen.

  19. Selecteer Netwerktoegang in het venster.

  20. Selecteer het netwerktoegangsprofiel dat u hebt gemaakt.

    Schermopname van de knop Nieuw item toevoegen in Resourcetoewijzing op het tabblad Eigenschappen.

  21. Ga naar het tabblad Webtop .

  22. Voeg het webtopobject toe dat u hebt gemaakt.

    Schermopname van het gemaakte webtop op het tabblad Webtop.

  23. Selecteer Bijwerken.

  24. SelecteerOpslaan.

  25. Als u de vertakking Geslaagd wilt wijzigen, selecteert u de koppeling in het bovenste vak Weigeren .

  26. Het label Toestaan wordt weergegeven.

  27. Opslaan.

    Schermopname van de optie Weigeren voor toegangsbeleid.

  28. Toegangsbeleid toepassen selecteren

  29. Sluit het tabblad Visual Policy Editor.

    Schermopname van de optie Toegangsbeleid toepassen.

De VPN-service publiceren

De APM vereist een front-end virtuele server om te luisteren naar clients die verbinding maken met het VPN.

  1. Selecteer de lijst met virtuele servers>voor lokaal verkeer>.

  2. Selecteer Maken.

  3. Voer voor de virtuele VPN-server een naam in, bijvoorbeeld VPN_Listener.

  4. Selecteer een ongebruikt IP-doeladres met routering om clientverkeer te ontvangen.

  5. Stel de servicepoort in op 443 HTTPS.

  6. Zorg ervoor dat Ingeschakeld is geselecteerd voor Status.

    Schermopname van vermeldingen voor naam en doeladres of masker in Algemene eigenschappen.

  7. Stel het HTTP-profiel in op http.

  8. Voeg het SSL-profiel (client) toe voor het openbare SSL-certificaat dat u hebt gemaakt.

    Schermopname van http-profielvermelding voor client en geselecteerde vermeldingen voor SSL-profiel voor client.

  9. Als u de gemaakte VPN-objecten wilt gebruiken, stelt u onder Toegangsbeleid het toegangsprofiel en het connectiviteitsprofiel in.

    Schermopname van vermeldingen in het toegangsprofiel en connectiviteitsprofiel in Het toegangsbeleid.

  10. Selecteer Voltooid.

Uw SSL-VPN-service is gepubliceerd en toegankelijk via SHA, met de URL of via Microsoft-toepassingsportals.

Volgende stappen

  1. Open een browser op een externe Windows-client.

  2. Blader naar de URL van de BIG-IP VPN-service .

  3. De BIG-IP-webtopportal en het VPN-startprogramma worden weergegeven.

    Schermopname van de pagina Contoso Network Portal met netwerktoegangsindicator.

    Notitie

    Selecteer de VPN-tegel om de BIG-IP Edge-client te installeren en maak een VPN-verbinding die is geconfigureerd voor SHA. De F5 VPN-toepassing is zichtbaar als doelresource in voorwaardelijke toegang van Microsoft Entra. Zie beleid voor voorwaardelijke toegang om gebruikers in te schakelen voor verificatie zonder wachtwoord voor Microsoft Entra ID.

Resources