Руководство по настройке F5 BIG-IP SSL-VPN для Microsoft Entra единого входа

  • Статья

В этом руководстве описано, как интегрировать виртуальную частную сеть на основе F5 BIG-IP на уровне безопасных сокетов (SSL-VPN) с Microsoft Entra id для безопасного гибридного доступа (SHA).

Включение BIG-IP SSL-VPN для Microsoft Entra единого входа обеспечивает множество преимуществ, в том числе:

Дополнительные сведения о преимуществах см. в разделе

Примечание

Классические VPN по-прежнему ориентированы на сеть, часто не предоставляя детального доступа к корпоративным приложениям. Мы рекомендуем использовать подход, ориентированный на идентификацию, чтобы достичь уровня "Никому не доверяй". Дополнительные сведения: Пять шагов по интеграции всех приложений с идентификатором Microsoft Entra.

Описание сценария

В этом сценарии экземпляр BIG-IP APM службы SSL-VPN настраивается как поставщик служб SAML (SP), а Microsoft Entra идентификатор является доверенным поставщиком удостоверений SAML. Единый вход из идентификатора Microsoft Entra предоставляется с помощью проверки подлинности на основе утверждений в BIG-IP APM, который обеспечивает простой vpn-доступ.

Схема архитектуры интеграции.

Примечание

Замените примеры строк или значений в этом руководстве теми, которые есть в вашей среде.

Предварительные требования

Опыт работы или знание по F5 BIG-IP не обязательны, однако вам потребуется:

  • Подписка Microsoft Entra
  • Удостоверения пользователей, синхронизированные из локального каталога с идентификатором Microsoft Entra.
  • Одна из следующих ролей: глобальный администратор, администратор облачных приложений или администратор приложений.
  • Инфраструктура BIG-IP с маршрутизацией клиентского трафика в big-IP и из нее
  • Запись для опубликованной службы VPN BIG-IP в общедоступной службе DNS
    • Или тестовый файл localhost клиента во время тестирования
  • BIG-IP, подготовленный с необходимыми SSL-сертификатами для служб публикации по протоколу HTTPS

Чтобы улучшить работу с учебником, вы можете изучить стандартную в отрасли терминологию в Глоссарии F5 BIG-IP.

Совет

Действия, описанные в этой статье, могут немного отличаться в зависимости от того, с чего начинается портал.

Настройте доверие федерации SAML между BIG-IP, чтобы позволить Microsoft Entra BIG-IP передавать предварительную проверку подлинности и условный доступ к идентификатору Microsoft Entra, прежде чем предоставлять доступ к опубликованной службе VPN.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите враздел Приложения >удостоверений>Корпоративные приложения>Все приложения, а затем выберите Создать приложение.
  3. В коллекции найдите F5 и выберите F5 BIG-IP APM Azure AD интеграции.
  4. Введите имя приложения.
  5. Выберите Добавить , а затем Создать.
  6. Имя в виде значка отображается в Центре администрирования Microsoft Entra и на портале Office 365.

Настройка единого входа в Microsoft Entra

  1. В свойствах приложения F5 перейдите к разделу Управление>единым входетом.
  2. На странице Выбрать метод единого входа выберите SAML.
  3. Выберите Нет, я буду сохранять позже.
  4. В меню Настройка единого входа с помощью SAML выберите значок пера для элемента Базовая конфигурация SAML.
  5. Замените URL-адрес идентификатора URL-адресом опубликованной службы BIG-IP. Например, https://ssl-vpn.contoso.com.
  6. Замените URL-адрес ответа и путь к конечной точке SAML. Например, https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

Примечание

В этой конфигурации приложение работает в режиме, инициируемом поставщиком удостоверений: Microsoft Entra id выдает утверждение SAML перед перенаправлением в службу SAML BIG-IP.

  1. Для приложений, которые не поддерживают режим, инициируемый поставщиком удостоверений, для службы SAML BIG-IP укажите URL-адрес входа, например https://ssl-vpn.contoso.com.
  2. В поле URL-адрес выхода введите конечную точку единого выхода (SLO) BIG-IP APM, предварительно задаваемую заголовком узла публикуемой службы. Например https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr.

Примечание

URL-адрес SLO гарантирует завершение сеанса пользователя по big-IP и идентификатору Microsoft Entra после выхода пользователя. Big-IP APM может завершить все сеансы при вызове URL-адреса приложения. Дополнительные сведения см. в статье F5 K12056: общие сведения о параметре "Включить URI выхода".

Снимок экрана: URL-адреса базовой конфигурации SAML.

Примечание

По сравнению с TMOS версии 16 конечная точка единого выхода из системы SAML изменилась на /saml/sp/profile/redirect/slo.

  1. Нажмите кнопку Сохранить.

  2. Пропустите запрос теста единого входа.

  3. В разделе Свойства утверждений атрибутов & пользователя просмотрите подробные сведения.

    Снимок экрана: атрибуты пользователя и свойства утверждений.

Вы можете добавить другие утверждения в опубликованную службу BIG-IP. Утверждения, определенные в дополнение к набору по умолчанию, выдаются, если они находятся в Microsoft Entra идентификаторе. Определите роли каталога или членство в группах для объекта пользователя в Microsoft Entra идентификаторе, прежде чем они могут быть выданы в качестве утверждения.

Снимок экрана: параметр скачивания XML метаданных федерации.

Срок действия сертификатов подписи SAML, созданных Microsoft Entra ID, составляет три года.

авторизация Microsoft Entra

По умолчанию Microsoft Entra ID выдает маркеры пользователям с предоставленным доступом к службе.

  1. В представлении конфигурации приложения выберите Пользователи и группы.

  2. Выберите + Добавить пользователя.

  3. В меню Добавить назначение выберите Пользователи и группы.

  4. В диалоговом окне Пользователи и группы добавьте группы пользователей, авторизованные для доступа к VPN.

  5. Нажмите кнопку Назначить>.

    Снимок экрана: параметр

Вы можете настроить BIG-IP APM для публикации службы SSL-VPN. Настройте его с соответствующими свойствами, чтобы завершить доверие для предварительной проверки подлинности SAML.

Конфигурация APM BIG-IP

Федерация SAML

Чтобы завершить федерацию службы VPN с идентификатором Microsoft Entra, создайте поставщик службы SAML BIG-IP и соответствующие объекты ПОСТАВЩИКА удостоверений SAML.

  1. Перейдите в раздел Доступ к>локальнымслужбам поставщика >услуг SAMLфедерации>.

  2. Нажмите кнопку создания.

    Снимок экрана: параметр

  3. Введите имя и идентификатор сущности, определенные в Microsoft Entra ID.

  4. Введите полное доменное имя узла, чтобы подключиться к приложению.

    Снимок экрана: записи

Примечание

Если идентификатор сущности не соответствует имени узла опубликованного URL-адреса, настройте параметры имени поставщика услуг или выполните это действие, если он не в формате URL-адреса имени узла. Если идентификатор сущности имеет значение urn:ssl-vpn:contosoonline, укажите внешнюю схему и имя узла публикуемого приложения.

  1. Прокрутите вниз, чтобы выбрать новый объект SAML SP.

  2. Выберите Привязка или отмена привязки соединителей IDP.

    Снимок экрана: параметр Привязка несвязываемых подключений поставщика удостоверений на странице Локальные службы sp Services.

  3. Выберите Создать новый соединитель поставщика удостоверений.

  4. В раскрывающемся меню выберите Из метаданных.

    Снимок экрана: параметр

  5. Перейдите к скачанного XML-файлу метаданных федерации.

  6. Для объекта APM укажите имя поставщика удостоверений , представляющее внешнего поставщика удостоверений SAML.

  7. Чтобы выбрать новый соединитель Microsoft Entra внешнего поставщика удостоверений, выберите Добавить новую строку.

    Снимок экрана: параметр SAML IdP Connectors (Соединители поставщика удостоверений SAML) на странице Изменение поставщика удостоверений SAML.

  8. Щелкните Обновить.

  9. Щелкните ОК.

    Снимок экрана: ссылка

Конфигурация Webtop

Включите SSL-VPN, который будет предлагаться пользователям через веб-портал BIG-IP.

  1. Выберите Access>Webtops Webtops>Списки веб-страниц.

  2. Нажмите кнопку создания.

  3. Введите имя портала.

  4. Присвойте типу Полный, например Contoso_webtop.

  5. Выполните остальные настройки.

  6. Щелкните Готово.

    Снимок экрана: записи имени и типа в общих свойствах.

Конфигурация VPN

Элементы VPN управляют аспектами общей службы.

  1. Перейдите в раздел Access>Connectivity/VPN>Network Access (VPN)IPV4 Lease Pools (Пулы аренды IPV4).>

  2. Нажмите кнопку создания.

  3. Введите имя пула IP-адресов, выделенного для VPN-клиентов. Например, Contoso_vpn_pool.

  4. Присвойте типу диапазон IP-адресов.

  5. Введите начальный и конечный IP-адрес.

  6. Выберите Добавить.

  7. Щелкните Готово.

    Снимок экрана: записи в списке имен и элементов в разделе Общие свойства.

Список сетевого доступа подготавливает службу с параметрами IP-адреса и DNS из пула VPN, разрешениями маршрутизации пользователей и может запускать приложения.

  1. Перейдите в раздел AccessConnectivity/VPN: Network Access (VPN)Network Access Lists (Access > Connectivity/VPN: Network Access Lists).>

  2. Нажмите кнопку создания.

  3. Укажите имя для списка доступа к VPN и подпись, например Contoso-VPN.

  4. Щелкните Готово.

    Снимок экрана: запись имени в разделе Общие свойства и запись подпись в разделе Параметры настройки для английского языка.

  5. На верхней ленте выберите Параметры сети.

  6. Для поддерживаемой версии IP:IPV4.

  7. В поле Пул аренды IPV4 выберите созданный пул VPN, например Contoso_vpn_pool

    Снимок экрана: запись пула аренды IPV4 в разделе

Примечание

Используйте параметры клиента, чтобы применить ограничения для маршрутизации клиентского трафика в установленной VPN.

  1. Щелкните Готово.

  2. Перейдите на вкладку DNS/Узлы .

  3. Для основного сервера имен IPV4: IP-адрес DNS среды

  4. Для DNS-суффикс домена по умолчанию: суффикс домена для этого VPN-подключения. Например, contoso.com.

    Снимок экрана: записи для имени основного сервера IPV4 и DNS-суффикса домена по умолчанию.

Примечание

Другие параметры см. в статье F5 Настройка ресурсов доступа к сети .

Профиль подключения BIG-IP необходим для настройки параметров типа VPN-клиента, которые должна поддерживать служба VPN. Например, Windows, OSX и Android.

  1. Перейдите в раздел AccessConnectivity/VPNConnectivity Profiles (Доступ > кпрофилям подключения и VPN-подключений).>>

  2. Выберите Добавить.

  3. Введите имя профиля.

  4. Задайте для родительского профиля значение /Common/connectivity, например, Contoso_VPN_Profile.

    Снимок экрана: записи

Дополнительные сведения о поддержке клиентов см. в статье F5 Access and BIG-IP Edge Client.

Конфигурация профиля доступа

Политика доступа позволяет службе выполнять проверку подлинности SAML.

  1. Перейдите в раздел Профили доступа>/Политики>Профили доступа (политики для сеанса).

  2. Нажмите кнопку создания.

  3. Введите имя профиля и для типа профиля.

  4. Выберите Все, например Contoso_network_access.

  5. Прокрутите страницу вниз и добавьте хотя бы один язык в список Принятые языки .

  6. Щелкните Готово.

    Снимок экрана: записи

  7. В новом профиле доступа в поле политика Per-Session выберите Изменить.

  8. Редактор визуальной политики откроется на новой вкладке.

    Снимок экрана: параметр

  9. + Выберите знак.

  10. В меню выберите Проверка подлинности>SAML Auth.

  11. Выберите Добавить элемент.

  12. В конфигурации поставщика службы проверки подлинности SAML выберите созданный объект ПОСТАВЩИКА VPN SAML.

  13. Щелкните Сохранить.

    Снимок экрана: запись сервера AAA в разделе SAML Authentication SP на вкладке Свойства.

  14. В разделе Успешная ветвь проверки подлинности SAML выберите + .

  15. На вкладке Назначение выберите Дополнительное назначение ресурсов.

  16. Выберите Добавить элемент.

    Снимок экрана: кнопка

  17. Во всплывающем окне выберите Создать запись.

  18. Выберите Добавить или удалить.

  19. В окне выберите Сетевой доступ.

  20. Выберите созданный профиль сетевого доступа.

    Снимок экрана: кнопка

  21. Перейдите на вкладку Webtop .

  22. Добавьте созданный объект Webtop.

    Снимок экрана: созданная веб-панель на вкладке Webtop.

  23. Щелкните Обновить.

  24. Нажмите кнопкуСохранить.

  25. Чтобы изменить ветвь Успешно, щелкните ссылку в верхнем поле Запретить .

  26. Появится метка Разрешить.

  27. Сохраните настройки.

    Снимок экрана: параметр

  28. Выберите Применить политику доступа.

  29. Закройте вкладку редактора визуальных политик.

    Снимок экрана: параметр

Публикация службы VPN

Для APM требуется интерфейсный виртуальный сервер для прослушивания клиентов, подключающихся к VPN.

  1. Выберите Локальный трафик>Виртуальные серверыСписок виртуальных> серверов.

  2. Нажмите кнопку создания.

  3. В поле Виртуальный VPN-сервер введите имя, например VPN_Listener.

  4. Выберите неиспользуемый IP-адрес назначения с маршрутизацией для получения трафика клиента.

  5. Задайте для параметра Service Port (Порт службы) значение 443 HTTPS.

  6. Для параметра Состояние убедитесь, что выбран параметр Включено .

    Снимок экрана: записи

  7. Задайте для параметра Профиль HTTPзначение http.

  8. Добавьте профиль SSL (клиент) для созданного общедоступного SSL-сертификата.

    Снимок экрана: запись профиля HTTP для клиента и выбранные записи профиля SSL для клиента.

  9. Чтобы использовать созданные объекты VPN, в разделе Политика доступа задайте профиль доступа и профиль подключения.

    Снимок экрана: записи профиля доступа и профиля подключения в политике доступа.

  10. Щелкните Готово.

Ваша служба SSL-VPN публикуется и доступна через SHA с ее URL-адресом или через порталы приложений Майкрософт.

Дальнейшие действия

  1. Откройте браузер на удаленном клиенте Windows.

  2. Перейдите к URL-адресу службы VPN BIG-IP .

  3. Появятся веб-портал BIG-IP и средство запуска VPN.

    Снимок экрана: страница сетевого портала Contoso с индикатором сетевого доступа.

Примечание

Выберите плитку VPN, чтобы установить клиент BIG-IP Edge и установить VPN-подключение, настроенное для SHA. Приложение F5 VPN отображается как целевой ресурс в Microsoft Entra условного доступа. См. статью Политики условного доступа, чтобы разрешить пользователям проверку подлинности без пароля Microsoft Entra идентификатора.

Ресурсы