Udostępnij za pośrednictwem

Samouczek: konfigurowanie protokołu SSL-VPN big-IP dla usługi Microsoft Entra logowania jednokrotnego

Z tego samouczka dowiesz się, jak zintegrować wirtualną sieć prywatną (SSL-VPN) opartą na protokole F5 BIG-IP z identyfikatorem Microsoft Entra na potrzeby bezpiecznego dostępu hybrydowego (SHA).

Włączenie protokołu SSL-VPN BIG-IP dla Microsoft Entra logowania jednokrotnego zapewnia wiele korzyści, w tym:

Aby dowiedzieć się więcej o dodatkowych korzyściach, zobacz

Uwaga

Klasyczne sieci VPN pozostają zorientowane na sieć, często nie zapewniając szczegółowego dostępu do aplikacji firmowych. Zachęcamy do bardziej skoncentrowanego na tożsamości podejścia do osiągnięcia Zero Trust. Dowiedz się więcej: Pięć kroków integracji wszystkich aplikacji z identyfikatorem Microsoft Entra.

Opis scenariusza

W tym scenariuszu wystąpienie APM BIG-IP usługi SSL-VPN jest skonfigurowane jako dostawca usług SAML (SP), a identyfikator Microsoft Entra jest zaufanym dostawcą tożsamości SAML. Logowanie jednokrotne z identyfikatora Microsoft Entra jest udostępniane za pośrednictwem uwierzytelniania opartego na oświadczeniach do aplikacji APM BIG-IP, co zapewnia bezproblemowe środowisko dostępu do sieci VPN.

Diagram architektury integracji.

Uwaga

Zastąp przykładowe ciągi lub wartości w tym przewodniku tymi w środowisku.

Wymagania wstępne

Wcześniejsze doświadczenie lub wiedza na temat F5 BIG-IP nie jest konieczne, jednak potrzebne są następujące elementy:

  • Subskrypcja Microsoft Entra
  • Tożsamości użytkowników zsynchronizowane z katalogu lokalnego do identyfikatora Microsoft Entra.
  • Jedna z następujących ról: Administrator globalny, Administrator aplikacji w chmurze lub Administrator aplikacji.
  • Infrastruktura BIG-IP z routingiem ruchu klienta do i z big-IP
  • Rekord dla opublikowanej usługi SIECI VPN BIG-IP w publicznym systemie DNS
    • Lub testowy plik localhost klienta podczas testowania
  • Adres BIG-IP aprowizowany przy użyciu wymaganych certyfikatów SSL do publikowania usług za pośrednictwem protokołu HTTPS

Aby ulepszyć środowisko samouczka, możesz poznać standardową terminologię dotyczącą słownika F5 BIG-IP.

Porada

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Skonfiguruj relację zaufania federacji SAML między adresem BIG-IP, aby umożliwić Microsoft Entra big-IP przekazanie dostępu wstępnego i dostępu warunkowego do identyfikatora Microsoft Entra, zanim udzieli dostępu do opublikowanej usługi sieci VPN.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator aplikacji w chmurze.
  2. Przejdź dopozycjiAplikacje dlaprzedsiębiorstwTożsamości>>Wszystkie aplikacje>, a następnie wybierz pozycję Nowa aplikacja.
  3. W galerii wyszukaj pozycję F5 i wybierz pozycję F5 BIG-IP APM Azure AD integracji.
  4. Wprowadź nazwę aplikacji.
  5. Wybierz pozycję Dodaj , a następnie pozycję Utwórz.
  6. Nazwa, jako ikona, pojawia się w centrum administracyjnym Microsoft Entra i portalu Office 365.

Konfigurowanie logowania jednokrotnego Microsoft Entra

  1. W przypadku właściwości aplikacji F5 przejdź do pozycji Zarządzanie logowaniem>jednokrotnym.
  2. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
  3. Wybierz pozycję Nie, zapiszę później.
  4. W menu Setup single sign-on with SAML (Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML ) wybierz ikonę pióra dla pozycji Podstawowa konfiguracja protokołu SAML.
  5. Zastąp adres URL identyfikatora adresem URL opublikowanej usługi BIG-IP. Na przykład https://ssl-vpn.contoso.com.
  6. Zastąp adres URL odpowiedzi i ścieżką punktu końcowego SAML. Na przykład https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

Uwaga

W tej konfiguracji aplikacja działa w trybie inicjowanym przez dostawcę tożsamości: Microsoft Entra identyfikator wystawia asercji SAML przed przekierowaniem do usługi SAML BIG-IP.

  1. W przypadku aplikacji, które nie obsługują trybu inicjowanego przez dostawcę tożsamości, w przypadku usługi SAML BIG-IP określ adres URL logowania, na przykład https://ssl-vpn.contoso.com.
  2. W polu Adres URL wylogowywania wprowadź punkt końcowy logowania jednokrotnego BIG-IP APM (SLO) wstępnie pended przez nagłówek hosta opublikowanej usługi. Na przykład https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

Uwaga

Adres URL slo zapewnia zakończenie sesji użytkownika przy użyciu adresu BIG-IP i identyfikatora Microsoft Entra po wylogowaniu się użytkownika. Funkcja BIG-IP APM ma możliwość zakończenia wszystkich sesji podczas wywoływania adresu URL aplikacji. Dowiedz się więcej na temat artykułu F5 K12056: Omówienie opcji Dołączanie identyfikatora URI wylogowania.

Zrzut ekranu przedstawiający podstawowe adresy URL konfiguracji protokołu SAML.

Uwaga

Z TMOS w wersji 16 punkt końcowy SLO SAML został zmieniony na /saml/sp/profile/redirect/slo.

  1. Wybierz pozycję Zapisz

  2. Pomiń monit testu logowania jednokrotnego.

  3. W obszarze Właściwości oświadczeń atrybutów & użytkownika obserwuj szczegóły.

    Zrzut ekranu przedstawiający atrybuty użytkownika i właściwości oświadczeń.

Możesz dodać inne oświadczenia do opublikowanej usługi BIG-IP. Oświadczenia zdefiniowane oprócz zestawu domyślnego są wystawiane, jeśli znajdują się w identyfikatorze Microsoft Entra. Zdefiniuj role katalogu lub członkostwo w grupie względem obiektu użytkownika w identyfikatorze Microsoft Entra, zanim będzie można je wydać jako oświadczenie.

Zrzut ekranu przedstawiający opcję pobierania xml metadanych federacji.

Certyfikaty podpisywania SAML utworzone przez identyfikator Microsoft Entra mają okres istnienia trzech lat.

autoryzacja Microsoft Entra

Domyślnie Microsoft Entra identyfikator wystawia tokeny użytkownikom z udzielonym dostępem do usługi.

  1. W widoku konfiguracji aplikacji wybierz pozycję Użytkownicy i grupy.

  2. Wybierz pozycję + Dodaj użytkownika.

  3. W menu Dodawanie przypisania wybierz pozycję Użytkownicy i grupy.

  4. W oknie dialogowym Użytkownicy i grupy dodaj grupy użytkowników autoryzowane do uzyskiwania dostępu do sieci VPN

  5. Wybierz pozycję Wybierz pozycję>Przypisz.

    Zrzut ekranu przedstawiający opcję Dodaj użytkownika.

Aby opublikować usługę SSL-VPN, możesz skonfigurować big-IP APM. Skonfiguruj ją z odpowiednimi właściwościami, aby ukończyć relację zaufania dla uwierzytelniania wstępnego SAML.

Konfiguracja APM BIG-IP

Federacja SAML

Aby ukończyć federację usługi sieci VPN z identyfikatorem Microsoft Entra, utwórz dostawcę usługi SAML BIG-IP i odpowiadające im obiekty dostawcy tożsamości SAML.

  1. Przejdź do pozycji Dostęp do>lokalnych usługdostawcy> usług SAMLfederacji>.

  2. Wybierz przycisk Utwórz.

    Zrzut ekranu przedstawiający opcję Utwórz na stronie Lokalne usługi SP.

  3. Wprowadź nazwę i identyfikator jednostki zdefiniowany w identyfikatorze Microsoft Entra.

  4. Wprowadź nazwę FQDN hosta, aby nawiązać połączenie z aplikacją.

    Zrzut ekranu przedstawiający pozycje Nazwa i Jednostka.

Uwaga

Jeśli identyfikator jednostki nie jest dokładnym dopasowaniem nazwy hosta opublikowanego adresu URL, skonfiguruj ustawienia nazwy sp lub wykonaj tę akcję, jeśli nie jest w formacie adresu URL nazwy hosta. Jeśli identyfikator jednostki to urn:ssl-vpn:contosoonline, podaj schemat zewnętrzny i nazwę hosta opublikowanej aplikacji.

  1. Przewiń w dół, aby wybrać nowy obiekt SAML SP.

  2. Wybierz pozycję Bind/UnBind IDP Connector (Powiązania/UnBind IDP Connector).

    Zrzut ekranu przedstawiający opcję Wiązanie niezwiązanych połączeń dostawcy tożsamości na stronie Lokalne usługi SP.

  3. Wybierz pozycję Utwórz nowy łącznik dostawcy tożsamości.

  4. Z menu rozwijanego wybierz pozycję Z metadanych

    Zrzut ekranu przedstawiający opcję Z metadanych na stronie Edytowanie identyfikatorów SAML.

  5. Przejdź do pobranego pliku XML metadanych federacji.

  6. W przypadku obiektu APM podaj nazwę dostawcy tożsamości , która reprezentuje zewnętrzną dostawcę tożsamości SAML.

  7. Aby wybrać nowy łącznik zewnętrznego dostawcy tożsamości Microsoft Entra, wybierz pozycję Dodaj nowy wiersz.

    Zrzut ekranu przedstawiający opcję Łączniki dostawcy tożsamości SAML na stronie Edytowanie dostawcy tożsamości SAML.

  8. Wybierz pozycję Aktualizuj.

  9. Wybierz przycisk OK.

    Zrzut ekranu przedstawiający link Common, VPN Azure link na stronie Edytowanie identyfikatorów SAML.

Konfiguracja elementu Webtop

Włącz usługę SSL-VPN, aby być oferowana użytkownikom za pośrednictwem portalu internetowego BIG-IP.

  1. Przejdź do pozycji AccessWebtops Webtop List (Listy webtopów>programuAccess>).

  2. Wybierz przycisk Utwórz.

  3. Wprowadź nazwę portalu.

  4. Ustaw typ na Wartość Pełna, na przykład Contoso_webtop.

  5. Ukończ pozostałe preferencje.

  6. Wybierz pozycję Zakończono.

    Zrzut ekranu przedstawiający wpisy nazw i typów w obszarze Właściwości ogólne.

Konfiguracja sieci VPN

Elementy sieci VPN kontrolują aspekty ogólnej usługi.

  1. Przejdź do pozycji Łączność/Dostęp do>sieci VPN (VPN>)>Pule dzierżaw IPV4

  2. Wybierz przycisk Utwórz.

  3. Wprowadź nazwę puli adresów IP przydzielonej klientom sieci VPN. Na przykład Contoso_vpn_pool.

  4. Ustaw typ na Zakres adresów IP.

  5. Wprowadź początkowy i końcowy adres IP.

  6. Wybierz pozycję Dodaj.

  7. Wybierz pozycję Zakończono.

    Zrzut ekranu przedstawiający wpisy nazwy i listy elementów członkowskich w obszarze Właściwości ogólne.

Lista dostępu do sieci aprowizuje usługę przy użyciu ustawień IP i DNS z puli sieci VPN, uprawnień routingu użytkowników i może uruchamiać aplikacje.

  1. Przejdź do pozycji Łączność dostępu>/sieć VPN: listy dostępu do sieci (VPN)>Network Access List.

  2. Wybierz przycisk Utwórz.

  3. Podaj nazwę listy dostępu do sieci VPN i podpis, na przykład Contoso-VPN.

  4. Wybierz pozycję Zakończono.

    Zrzut ekranu przedstawiający wpis nazwy we właściwościach ogólnych i wpis podpis w obszarze Ustawienia dostosowywania dla języka angielskiego.

  5. Na górnej wstążce wybierz pozycję Ustawienia sieciowe.

  6. W przypadku obsługiwanej wersji adresu IP: IPV4.

  7. W polu Pula dzierżaw IPV4 wybierz utworzoną pulę sieci VPN, na przykład Contoso_vpn_pool

    Zrzut ekranu przedstawiający wpis Puli dzierżaw IPV4 w obszarze Ustawienia ogólne.

Uwaga

Użyj opcji Ustawienia klienta, aby wymusić ograniczenia dotyczące sposobu kierowania ruchu klienta w ustalonej sieci VPN.

  1. Wybierz pozycję Zakończono.

  2. Przejdź do karty DNS/Hosty .

  3. Dla podstawowego serwera nazw IPV4: Adres IP DNS środowiska

  4. Dla domyślnego sufiksu domeny DNS: sufiks domeny dla tego połączenia sieci VPN. Na przykład contoso.com

    Zrzut ekranu przedstawiający wpisy dla nazwy serwera podstawowego IPV4 i domyślnego sufiksu domeny DNS.

Uwaga

Zobacz artykuł F5 Konfigurowanie zasobów dostępu do sieci w celu uzyskania innych ustawień.

Profil połączenia BIG-IP jest wymagany do skonfigurowania ustawień typu klienta sieci VPN, które usługa sieci VPN musi obsługiwać. Na przykład Windows, OSX i Android.

  1. Przejdź do pozycji Dostęp do>profilów łączności/łączności>sieci VPN>

  2. Wybierz pozycję Dodaj.

  3. Wprowadź nazwę profilu.

  4. Ustaw profil nadrzędny na /Common/connectivity, na przykład Contoso_VPN_Profile.

    Zrzut ekranu przedstawiający wpisy Nazwa profilu i Nazwa nadrzędna w sekcji Tworzenie nowego profilu łączności.

Aby uzyskać więcej informacji na temat obsługi klienta, zobacz artykuł F5 Access i BIG-IP Edge Client.

Konfiguracja profilu dostępu

Zasady dostępu umożliwiają usłudze uwierzytelnianie SAML.

  1. Przejdź do pozycjiProfile dostępu/Profiledostępu> zasad >(zasady sesji).

  2. Wybierz przycisk Utwórz.

  3. Wprowadź nazwę profilu i typ profilu.

  4. Wybierz pozycję Wszystkie, na przykład Contoso_network_access.

  5. Przewiń w dół i dodaj co najmniej jeden język do listy Zaakceptowane języki

  6. Wybierz pozycję Zakończono.

    Zrzut ekranu przedstawiający wpisy Nazwa, Typ profilu i Język w nowym profilu.

  7. W nowym profilu dostępu w polu Per-Session Zasady wybierz pozycję Edytuj.

  8. Edytor zasad wizualizacji zostanie otwarty na nowej karcie.

    Zrzut ekranu przedstawiający opcję Edytuj w obszarze Profile dostępu, zasady sesji wstępnej.

  9. + Wybierz znak.

  10. W menu wybierz pozycję Uwierzytelnianie>SAML Auth.

  11. Wybierz pozycję Dodaj element.

  12. W konfiguracji dostawcy uwierzytelniania SAML wybierz utworzony obiekt SP PROTOKOŁU VPN SAML

  13. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający wpis serwera usługi AAA w obszarze DOSTAWCY uwierzytelniania SAML na karcie Właściwości.

  14. W polu Pomyślna gałąź uwierzytelniania SAML wybierz pozycję + .

  15. Na karcie Przypisanie wybierz pozycję Zaawansowane przypisywanie zasobów.

  16. Wybierz pozycję Dodaj element.

    Zrzut ekranu przedstawiający przycisk plus w obszarze Zasady dostępu.

  17. W wyskakującym okienku wybierz pozycję Nowy wpis

  18. Wybierz pozycję Dodaj/Usuń.

  19. W oknie wybierz pozycję Dostęp sieciowy.

  20. Wybierz utworzony profil dostępu do sieci.

    Zrzut ekranu przedstawiający przycisk Dodaj nowy wpis w przypisania zasobu na karcie Właściwości.

  21. Przejdź do karty Webtop .

  22. Dodaj utworzony obiekt Webtop.

    Zrzut ekranu przedstawiający utworzony element webtop na karcie Webtop.

  23. Wybierz pozycję Aktualizuj.

  24. Wybierzpozycję Zapisz.

  25. Aby zmienić gałąź Powodzenie, wybierz link w górnym polu Odmów .

  26. Zostanie wyświetlona etykieta Zezwalaj.

  27. Zapisz.

    Zrzut ekranu przedstawiający opcję Odmów w zasadach dostępu.

  28. Wybierz pozycję Zastosuj zasady dostępu

  29. Zamknij kartę edytora zasad wizualizacji.

    Zrzut ekranu przedstawiający opcję Zastosuj zasady dostępu.

Publikowanie usługi sieci VPN

Usługa APM wymaga serwera wirtualnego frontonu do nasłuchiwania klientów łączących się z siecią VPN.

  1. Wybierzpozycję Lista serwerów wirtualnychserwerów wirtualnych> ruchu >lokalnego.

  2. Wybierz przycisk Utwórz.

  3. W przypadku serwera wirtualnego sieci VPN wprowadź nazwę, na przykład VPN_Listener.

  4. Wybierz nieużywany adres docelowy IP z routingiem, aby odbierać ruch klienta.

  5. Ustaw port usługi na 443 HTTPS.

  6. W obszarze Stan upewnij się, że wybrano opcję Włączone .

    Zrzut ekranu przedstawiający pozycje Nazwa i Adres docelowy lub Maska we właściwościach ogólnych.

  7. Ustaw profil HTTP na http.

  8. Dodaj profil SSL (klient) dla utworzonego publicznego certyfikatu SSL.

    Zrzut ekranu przedstawiający wpis profilu HTTP dla klienta i wybrane wpisy profilu SSL dla klienta.

  9. Aby użyć utworzonych obiektów sieci VPN, w obszarze Zasady dostępu ustaw profil dostępu i profil łączności.

    Zrzut ekranu przedstawiający wpisy profilu dostępu i profilu łączności w zasadach dostępu.

  10. Wybierz pozycję Zakończono.

Usługa SSL-VPN jest publikowana i dostępna za pośrednictwem algorytmu SHA przy użyciu adresu URL lub portali aplikacji firmy Microsoft.

Następne kroki

  1. Otwórz przeglądarkę na zdalnym kliencie systemu Windows.

  2. Przejdź do adresu URL usługi SIECI VPN BIG-IP .

  3. Zostanie wyświetlony portal webtop BIG-IP i uruchamianie sieci VPN.

    Zrzut ekranu przedstawiający stronę Portal sieci contoso ze wskaźnikiem dostępu do sieci.

Uwaga

Wybierz kafelek sieci VPN, aby zainstalować klienta usługi BIG-IP Edge i ustanowić połączenie sieci VPN skonfigurowane dla algorytmu SHA. Aplikacja sieci VPN F5 jest widoczna jako zasób docelowy w Microsoft Entra dostęp warunkowy. Zobacz Zasady dostępu warunkowego, aby umożliwić użytkownikom Microsoft Entra uwierzytelnianie bez hasła.

Zasoby