Руководство по настройке F5 BIG-IP SSL-VPN для Microsoft Entra единого входа
В этом руководстве описано, как интегрировать виртуальную частную сеть на основе F5 BIG-IP на уровне безопасных сокетов (SSL-VPN) с Microsoft Entra id для безопасного гибридного доступа (SHA).
Включение BIG-IP SSL-VPN для Microsoft Entra единого входа обеспечивает множество преимуществ, в том числе:
- Улучшено управление "Никому не доверяй" за счет Microsoft Entra предварительной проверки подлинности и условного доступа.
- Проверка подлинности без пароля для службы VPN
- Управление удостоверениями и доступом из единого уровня управления, центра администрирования Microsoft Entra
Дополнительные сведения о преимуществах см. в разделе
Примечание
Классические VPN по-прежнему ориентированы на сеть, часто не предоставляя детального доступа к корпоративным приложениям. Мы рекомендуем использовать подход, ориентированный на идентификацию, чтобы достичь уровня "Никому не доверяй". Дополнительные сведения: Пять шагов по интеграции всех приложений с идентификатором Microsoft Entra.
Описание сценария
В этом сценарии экземпляр BIG-IP APM службы SSL-VPN настраивается как поставщик служб SAML (SP), а Microsoft Entra идентификатор является доверенным поставщиком удостоверений SAML. Единый вход из идентификатора Microsoft Entra предоставляется с помощью проверки подлинности на основе утверждений в BIG-IP APM, который обеспечивает простой vpn-доступ.
Примечание
Замените примеры строк или значений в этом руководстве теми, которые есть в вашей среде.
Предварительные требования
Опыт работы или знание по F5 BIG-IP не обязательны, однако вам потребуется:
- Подписка Microsoft Entra
- Если у вас ее нет, вы можете получить бесплатную учетную запись Azure или более поздней версии.
- Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra.
- Одна из следующих ролей: глобальный администратор, администратор облачных приложений или администратор приложений.
- Инфраструктура BIG-IP с маршрутизацией клиентского трафика в big-IP и из нее
- Запись для опубликованной службы VPN BIG-IP в общедоступной службе DNS
- Или тестовый файл localhost клиента во время тестирования
- BIG-IP, подготовленный с необходимыми SSL-сертификатами для служб публикации по протоколу HTTPS
Чтобы улучшить работу с учебником, вы можете изучить стандартную в отрасли терминологию в Глоссарии F5 BIG-IP.
Добавление F5 BIG-IP из коллекции Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться в зависимости от того, с чего начинается портал.
Настройте доверие федерации SAML между BIG-IP, чтобы позволить Microsoft Entra BIG-IP передавать предварительную проверку подлинности и условный доступ к идентификатору Microsoft Entra, прежде чем предоставлять доступ к опубликованной службе VPN.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите враздел Приложения >удостоверений>Корпоративные приложения>Все приложения, а затем выберите Создать приложение.
- В коллекции найдите F5 и выберите F5 BIG-IP APM Azure AD интеграции.
- Введите имя приложения.
- Выберите Добавить , а затем Создать.
- Имя в виде значка отображается в Центре администрирования Microsoft Entra и на портале Office 365.
Настройка единого входа в Microsoft Entra
- В свойствах приложения F5 перейдите к разделу Управление>единым входетом.
- На странице Выбрать метод единого входа выберите SAML.
- Выберите Нет, я буду сохранять позже.
- В меню Настройка единого входа с помощью SAML выберите значок пера для элемента Базовая конфигурация SAML.
- Замените URL-адрес идентификатора URL-адресом опубликованной службы BIG-IP. Например,
https://ssl-vpn.contoso.com
. - Замените URL-адрес ответа и путь к конечной точке SAML. Например,
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.
Примечание
В этой конфигурации приложение работает в режиме, инициируемом поставщиком удостоверений: Microsoft Entra id выдает утверждение SAML перед перенаправлением в службу SAML BIG-IP.
- Для приложений, которые не поддерживают режим, инициируемый поставщиком удостоверений, для службы SAML BIG-IP укажите URL-адрес входа, например
https://ssl-vpn.contoso.com
. - В поле URL-адрес выхода введите конечную точку единого выхода (SLO) BIG-IP APM, предварительно задаваемую заголовком узла публикуемой службы. Например
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
.
Примечание
URL-адрес SLO гарантирует завершение сеанса пользователя по big-IP и идентификатору Microsoft Entra после выхода пользователя. Big-IP APM может завершить все сеансы при вызове URL-адреса приложения. Дополнительные сведения см. в статье F5 K12056: общие сведения о параметре "Включить URI выхода".
Примечание
По сравнению с TMOS версии 16 конечная точка единого выхода из системы SAML изменилась на /saml/sp/profile/redirect/slo.
Нажмите кнопку Сохранить.
Пропустите запрос теста единого входа.
В разделе Свойства утверждений атрибутов & пользователя просмотрите подробные сведения.
Вы можете добавить другие утверждения в опубликованную службу BIG-IP. Утверждения, определенные в дополнение к набору по умолчанию, выдаются, если они находятся в Microsoft Entra идентификаторе. Определите роли каталога или членство в группах для объекта пользователя в Microsoft Entra идентификаторе, прежде чем они могут быть выданы в качестве утверждения.
Срок действия сертификатов подписи SAML, созданных Microsoft Entra ID, составляет три года.
авторизация Microsoft Entra
По умолчанию Microsoft Entra ID выдает маркеры пользователям с предоставленным доступом к службе.
В представлении конфигурации приложения выберите Пользователи и группы.
Выберите + Добавить пользователя.
В меню Добавить назначение выберите Пользователи и группы.
В диалоговом окне Пользователи и группы добавьте группы пользователей, авторизованные для доступа к VPN.
Нажмите кнопку Назначить>.
Вы можете настроить BIG-IP APM для публикации службы SSL-VPN. Настройте его с соответствующими свойствами, чтобы завершить доверие для предварительной проверки подлинности SAML.
Конфигурация APM BIG-IP
Федерация SAML
Чтобы завершить федерацию службы VPN с идентификатором Microsoft Entra, создайте поставщик службы SAML BIG-IP и соответствующие объекты ПОСТАВЩИКА удостоверений SAML.
Перейдите в раздел Доступ к>локальнымслужбам поставщика >услуг SAMLфедерации>.
Нажмите кнопку создания.
Введите имя и идентификатор сущности, определенные в Microsoft Entra ID.
Введите полное доменное имя узла, чтобы подключиться к приложению.
Примечание
Если идентификатор сущности не соответствует имени узла опубликованного URL-адреса, настройте параметры имени поставщика услуг или выполните это действие, если он не в формате URL-адреса имени узла. Если идентификатор сущности имеет значение urn:ssl-vpn:contosoonline
, укажите внешнюю схему и имя узла публикуемого приложения.
Прокрутите вниз, чтобы выбрать новый объект SAML SP.
Выберите Привязка или отмена привязки соединителей IDP.
Выберите Создать новый соединитель поставщика удостоверений.
В раскрывающемся меню выберите Из метаданных.
Перейдите к скачанного XML-файлу метаданных федерации.
Для объекта APM укажите имя поставщика удостоверений , представляющее внешнего поставщика удостоверений SAML.
Чтобы выбрать новый соединитель Microsoft Entra внешнего поставщика удостоверений, выберите Добавить новую строку.
Щелкните Обновить.
Щелкните ОК.
Конфигурация Webtop
Включите SSL-VPN, который будет предлагаться пользователям через веб-портал BIG-IP.
Выберите Access>Webtops Webtops>Списки веб-страниц.
Нажмите кнопку создания.
Введите имя портала.
Присвойте типу Полный, например
Contoso_webtop
.Выполните остальные настройки.
Щелкните Готово.
Конфигурация VPN
Элементы VPN управляют аспектами общей службы.
Перейдите в раздел Access>Connectivity/VPN>Network Access (VPN)IPV4 Lease Pools (Пулы аренды IPV4).>
Нажмите кнопку создания.
Введите имя пула IP-адресов, выделенного для VPN-клиентов. Например, Contoso_vpn_pool.
Присвойте типу диапазон IP-адресов.
Введите начальный и конечный IP-адрес.
Выберите Добавить.
Щелкните Готово.
Список сетевого доступа подготавливает службу с параметрами IP-адреса и DNS из пула VPN, разрешениями маршрутизации пользователей и может запускать приложения.
Перейдите в раздел AccessConnectivity/VPN: Network Access (VPN)Network Access Lists (Access > Connectivity/VPN: Network Access Lists).>
Нажмите кнопку создания.
Укажите имя для списка доступа к VPN и подпись, например Contoso-VPN.
Щелкните Готово.
На верхней ленте выберите Параметры сети.
Для поддерживаемой версии IP:IPV4.
В поле Пул аренды IPV4 выберите созданный пул VPN, например Contoso_vpn_pool
Примечание
Используйте параметры клиента, чтобы применить ограничения для маршрутизации клиентского трафика в установленной VPN.
Щелкните Готово.
Перейдите на вкладку DNS/Узлы .
Для основного сервера имен IPV4: IP-адрес DNS среды
Для DNS-суффикс домена по умолчанию: суффикс домена для этого VPN-подключения. Например, contoso.com.
Примечание
Другие параметры см. в статье F5 Настройка ресурсов доступа к сети .
Профиль подключения BIG-IP необходим для настройки параметров типа VPN-клиента, которые должна поддерживать служба VPN. Например, Windows, OSX и Android.
Перейдите в раздел AccessConnectivity/VPNConnectivity Profiles (Доступ > кпрофилям подключения и VPN-подключений).>>
Выберите Добавить.
Введите имя профиля.
Задайте для родительского профиля значение /Common/connectivity, например, Contoso_VPN_Profile.
Дополнительные сведения о поддержке клиентов см. в статье F5 Access and BIG-IP Edge Client.
Конфигурация профиля доступа
Политика доступа позволяет службе выполнять проверку подлинности SAML.
Перейдите в раздел Профили доступа>/Политики>Профили доступа (политики для сеанса).
Нажмите кнопку создания.
Введите имя профиля и для типа профиля.
Выберите Все, например Contoso_network_access.
Прокрутите страницу вниз и добавьте хотя бы один язык в список Принятые языки .
Щелкните Готово.
В новом профиле доступа в поле политика Per-Session выберите Изменить.
Редактор визуальной политики откроется на новой вкладке.
+ Выберите знак.
В меню выберите Проверка подлинности>SAML Auth.
Выберите Добавить элемент.
В конфигурации поставщика службы проверки подлинности SAML выберите созданный объект ПОСТАВЩИКА VPN SAML.
Щелкните Сохранить.
В разделе Успешная ветвь проверки подлинности SAML выберите + .
На вкладке Назначение выберите Дополнительное назначение ресурсов.
Выберите Добавить элемент.
Во всплывающем окне выберите Создать запись.
Выберите Добавить или удалить.
В окне выберите Сетевой доступ.
Выберите созданный профиль сетевого доступа.
Перейдите на вкладку Webtop .
Добавьте созданный объект Webtop.
Щелкните Обновить.
Нажмите кнопкуСохранить.
Чтобы изменить ветвь Успешно, щелкните ссылку в верхнем поле Запретить .
Появится метка Разрешить.
Сохраните настройки.
Выберите Применить политику доступа.
Закройте вкладку редактора визуальных политик.
Публикация службы VPN
Для APM требуется интерфейсный виртуальный сервер для прослушивания клиентов, подключающихся к VPN.
Выберите Локальный трафик>Виртуальные серверыСписок виртуальных> серверов.
Нажмите кнопку создания.
В поле Виртуальный VPN-сервер введите имя, например VPN_Listener.
Выберите неиспользуемый IP-адрес назначения с маршрутизацией для получения трафика клиента.
Задайте для параметра Service Port (Порт службы) значение 443 HTTPS.
Для параметра Состояние убедитесь, что выбран параметр Включено .
Задайте для параметра Профиль HTTPзначение http.
Добавьте профиль SSL (клиент) для созданного общедоступного SSL-сертификата.
Чтобы использовать созданные объекты VPN, в разделе Политика доступа задайте профиль доступа и профиль подключения.
Щелкните Готово.
Ваша служба SSL-VPN публикуется и доступна через SHA с ее URL-адресом или через порталы приложений Майкрософт.
Дальнейшие действия
Откройте браузер на удаленном клиенте Windows.
Перейдите к URL-адресу службы VPN BIG-IP .
Появятся веб-портал BIG-IP и средство запуска VPN.
Примечание
Выберите плитку VPN, чтобы установить клиент BIG-IP Edge и установить VPN-подключение, настроенное для SHA. Приложение F5 VPN отображается как целевой ресурс в Microsoft Entra условного доступа. См. статью Политики условного доступа, чтобы разрешить пользователям проверку подлинности без пароля Microsoft Entra идентификатора.