Руководство по настройке SSL-VPN F5 BIG-IP для единого входа Microsoft Entra

В этом руководстве описано, как интегрировать виртуальную частную сеть на основе F5 BIG-IP с идентификатором Microsoft Entra ID для безопасного гибридного доступа (SHA).

Включение SSL-VPN BIG-IP для единого входа (SSO) Microsoft Entra обеспечивает множество преимуществ, в том числе:

• Управление нулевым доверием с помощью предварительной проверки подлинности Microsoft Entra и условного доступа.
  • Условный доступ
• Аутентификация без пароля для VPN-службы
• Управление удостоверениями и доступом из одной плоскости управления, Центр администрирования Microsoft Entra

Дополнительные сведения о преимуществах см. в статье

• Интеграция F5 BIG-IP с идентификатором Microsoft Entra

• Единый вход в идентификаторе Microsoft Entra

  Примечание.

  Классические виртуальные сети остаются ориентированными на сеть, часто предоставляя мало точного доступа к корпоративным приложениям. Мы поощряем более ориентированный на идентификацию подход к достижению нулевого доверия. Дополнительные сведения: пять шагов по интеграции всех приложений с идентификатором Microsoft Entra.

Описание сценария

В этом сценарии экземпляр диспетчера политик доступа BIG-IP (APM) службы SSL-VPN настраивается как поставщик службы разметки утверждений безопасности (SAML) и идентификатор Microsoft Entra id является доверенным поставщиком удостоверений SAML (IdP). Единый вход (SSO) из Идентификатора Microsoft Entra осуществляется через проверку подлинности на основе утверждений в APM BIG-IP, простой интерфейс доступа к виртуальной частной сети (VPN).

Примечание.

Замените примеры строк или значений в этом руководстве этими строками в вашей среде.

Необходимые компоненты

Предыдущий опыт или знание F5 BIG-IP не требуется, однако вам потребуется:

• Подписка Microsoft Entra
  • Если у вас ее нет, получите бесплатную учетную запись Azure.
• Удостоверения пользователей , синхронизированные из локального каталога с идентификатором Microsoft Entra
• Одна из следующих ролей: Cloud Application Администратор istrator или Application Администратор istrator
• Инфраструктура BIG-IP с маршрутизацией трафика клиента в BIG-IP и из нее
  • Или развертывание виртуального выпуска BIG-IP в Azure
• Запись для опубликованной VPN-службы BIG-IP на сервере доменных имен (DNS)
  • Или тестовый файл localhost клиента во время тестирования
• BIG-IP, подготовленный с необходимыми SSL-сертификатами для служб публикации по протоколу HTTPS

Чтобы улучшить работу с учебниками, вы можете узнать терминологию уровня "Стандартный" в Глоссарии F5 BIG-IP.

Добавление F5 BIG-IP из коллекции Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Настройте доверие федерации SAML между BIG-IP, чтобы разрешить Microsoft Entra BIG-IP передавать предварительную проверку подлинности и условный доступ к идентификатору Microsoft Entra, прежде чем предоставить доступ к опубликованной VPN-службе.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к приложениям Identity>Applications>Enterprise All,> а затем выберите "Создать приложение".
3. В коллекции найдите F5 и выберите F5 BIG-IP APM Microsoft Entra ID integration.
4. Введите имя приложения.
5. Нажмите кнопку "Добавить" и "Создать".
6. Имя, как значок, отображается на портале администрирования Microsoft Entra и Office 365.

Настройка единого входа Microsoft Entra

1. С помощью свойств приложения F5 перейдите к разделу "Управление>единым входом".

2. На странице Выбрать метод единого входа выберите SAML.

3. Нажмите кнопку "Нет", я сохраните позже.

4. В меню "Настройка единого входа" в меню SAML выберите значок пера для базовой конфигурации SAML.

5. Замените URL-адрес идентификатора URL-адресом опубликованной службы BIG-IP. Например, https://ssl-vpn.contoso.com.

6. Замените URL-адрес ответа и путь конечной точки SAML. Например: https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

   Примечание.

   В этой конфигурации приложение работает в режиме, инициированном поставщиком удостоверений: Идентификатор Microsoft Entra выдает утверждение SAML перед перенаправлением в службу SAML BIG-IP.

7. Для приложений, которые не поддерживают режим, инициированный поставщиком удостоверений, для службы SAML BIG-IP укажите URL-адрес входа, например https://ssl-vpn.contoso.com.

8. В поле URL-адреса выхода введите конечную точку единого выхода BIG-IP APM (SLO), предопределенную заголовком узла опубликованной службы. Например: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

   Примечание.

   URL-адрес SLO гарантирует завершение сеанса пользователя в BIG-IP и Идентификаторе Microsoft Entra после выхода пользователя. APM BIG-IP имеет возможность завершить все сеансы при вызове URL-адреса приложения. Дополнительные сведения см. в статье "F5" K12056: обзор параметра включения URI выхода.

.

Примечание.

По сравнению с TMOS версии 16 конечная точка единого выхода из системы SAML изменилась на /saml/sp/profile/redirect/slo.

9. Выберите Сохранить

10. Пропустите запрос на тестирование единого входа.

11. В свойствах атрибутов пользователей и утверждений просмотрите сведения.

    

Вы можете добавить другие утверждения в опубликованную службу BIG-IP. Утверждения, определенные в дополнение к набору по умолчанию, выдаются, если они находятся в идентификаторе Microsoft Entra. Определите роли каталога или членства в группах для пользовательского объекта в идентификаторе Microsoft Entra ID, прежде чем они могут быть выданы в качестве утверждения.

Сертификаты подписывания SAML, созданные идентификатором Microsoft Entra, имеют срок действия трех лет.

Авторизация Microsoft Entra

По умолчанию идентификатор Microsoft Entra выдает маркеры для пользователей с предоставленным доступом к службе.

1. В представлении конфигурации приложения выберите "Пользователи и группы".

2. Нажмите кнопку + Добавить пользователя.

3. В меню "Добавить назначение" выберите "Пользователи и группы".

4. В диалоговом окне "Пользователи и группы" добавьте группы пользователей, авторизованные для доступа к VPN

5. Выберите "Назначить>".

   

Вы можете настроить BIG-IP APM для публикации службы SSL-VPN. Настройте его с соответствующими свойствами, чтобы завершить доверие для предварительной проверки подлинности SAML.

Конфигурация APM BIG-IP

Федерация SAML

Чтобы завершить федерацию VPN-службы с идентификатором Microsoft Entra ID, создайте поставщика услуг SAML BIG-IP и соответствующие объекты ПОСТАВЩИКА удостоверений SAML.

1. Перейдите к> локальным службам поставщика служб>SAML федерации.>

2. Нажмите кнопку создания.

   

3. Введите имя и идентификатор сущности, определенный в идентификаторе Microsoft Entra.

4. Введите полное доменное имя узла (FQDN), чтобы подключиться к приложению.

   

   Примечание.

   Если идентификатор сущности не совпадает с именем узла опубликованного URL-адреса, настройте параметры имени субъекта-службы или выполните это действие, если он не задан в формате URL-адреса имени узла. Если идентификатор сущности имеется urn:ssl-vpn:contosoonline, укажите внешнюю схему и имя узла опубликованного приложения.

5. Прокрутите вниз, чтобы выбрать новый объект SAML SP.

6. Выберите Bind/UnBind IDP Подключение or.

   

7. Выберите "Создать новый идентификатор поставщика удостоверений" Подключение or.

8. В раскрывающемся меню выберите "Из метаданных"

   

9. Перейдите к скачанной XML-файлу метаданных федерации.

10. Для объекта APM укажите имя поставщика удостоверений, представляющее внешний поставщик удостоверений SAML IdP.

11. Чтобы выбрать новый внешний соединитель Поставщика удостоверений Microsoft Entra, нажмите кнопку "Добавить новую строку".

    

12. Выберите Обновить.

13. Нажмите ОК.

    

Конфигурация Webtop

Включите протокол SSL-VPN для пользователей с помощью веб-портала BIG-IP.

1. Перейдите к спискам веб-вершин Access>Webtops.>

2. Нажмите кнопку создания.

3. Введите имя портала.

4. Задайте для типа значение Full, например Contoso_webtop.

5. Выполните оставшиеся настройки.

6. Щелкните Готово.

   

Конфигурация VPN

Элементы VPN управляют аспектами общей службы.

1. Перейти к пулам >аренды IPV4 Подключение ivity/VPN>Network Access (VPN)>IPV4

2. Нажмите кнопку создания.

3. Введите имя пула IP-адресов, выделенного ДЛЯ VPN-клиентов. Например, Contoso_vpn_pool.

4. Задайте для типа диапазон IP-адресов.

5. Введите начальный и конечный IP-адрес.

6. Выберите Добавить.

7. Щелкните Готово.

   

Список доступа к сети подготавливает службу с параметрами IP-адресов и DNS из VPN-пула, разрешений маршрутизации пользователей и может запускать приложения.

1. Перейдите к спискам >доступа Подключение ivity/VPN: сетевой доступ (VPN).>

2. Нажмите кнопку создания.

3. Укажите имя списка VPN-доступа и подпись, например Contoso-VPN.

4. Щелкните Готово.

   

5. На верхней ленте выберите "Сеть Параметры".

6. Для поддерживаемой версии IP-адреса: IPV4.

7. Для пула аренды IPV4 выберите созданный VPN-пул, например Contoso_vpn_pool

   

   Примечание.

   Используйте параметры Параметры клиента для принудительного применения ограничений по маршрутизации трафика клиента в установленном VPN.

8. Щелкните Готово.

9. Перейдите на вкладку DNS/Hosts .

10. Для основного сервера имен IPV4: DNS-адрес среды

11. Для DNS по умолчанию суффикс домена: суффикс домена для этого VPN-подключения. Например, contoso.com.

    

Примечание.

См. статью F5 о настройке ресурсов доступа к сети для других параметров.

Профиль подключения BIG-IP необходим для настройки параметров типа VPN-клиента, необходимых для поддержки VPN-службы. Например, Windows, OSX и Android.

1. Перейдите к профилям >доступа Подключение ivity/VPN> Подключение ivity Profiles>

2. Выберите Добавить.

3. Введите имя профиля.

4. Задайте для родительского профиля значение /Common/connectivity, например Contoso_VPN_Profile.

   

Конфигурация профиля доступа

Политика доступа включает службу для проверки подлинности SAML.

1. Перейдите к профилям доступа>или профилям доступа политик (политики>доступа на сеанс)

2. Нажмите кнопку создания.

3. Введите имя профиля и тип профиля.

4. Выберите "Все", например Contoso_network_access.

5. Прокрутите вниз и добавьте хотя бы один язык в список принятых языков

6. Щелкните Готово.

   

7. В новом профиле доступа в поле "Политика каждого сеанса" нажмите кнопку "Изменить".

8. Откроется редактор визуальной политики на новой вкладке.

   

9. + Выберите знак.

10. В меню выберите проверку подлинности>SAML Auth.

11. Выберите " Добавить элемент".

12. В конфигурации службы проверки подлинности SAML выберите созданный объект VPN SAML SP

13. Выберите Сохранить.

    

14. Для успешной ветви проверки подлинности SAML выберите + .

15. На вкладке "Назначение" выберите "Дополнительное назначение ресурсов".

16. Выберите " Добавить элемент".

17. Во всплывающем итоге нажмите кнопку "Создать запись"

18. Нажмите кнопку "Добавить или удалить".

19. В окне выберите "Сетевой доступ".

20. Выберите созданный профиль сетевого доступа.

    

21. Перейдите на вкладку Webtop .

22. Добавьте созданный вами объект Webtop.

    

23. Выберите Обновить.

24. Выберите Сохранить.

25. Чтобы изменить ветвь "Успешно", выберите ссылку в верхнем поле "Запрет ".

26. Появится метка "Разрешить".

27. Сохраните.

    

28. Выбор "Применить политику доступа"

29. Закройте вкладку редактора визуальных политик.

    

Публикация службы VPN

Для APM требуется внешний виртуальный сервер для прослушивания клиентов, подключающихся к VPN.

1. Выберите список виртуальных серверов>локального трафика>.

2. Нажмите кнопку создания.

3. Для виртуального vpn-сервера введите имя, например VPN_Listener.

4. Выберите неиспользуемый IP-адрес назначения с маршрутизацией для получения трафика клиента.

5. Задайте для порта службы значение 443 HTTPS.

6. Для состояния убедитесь, что выбран параметр "Включено ".

   

7. Задайте для профиля HTTP значение http.

8. Добавьте профиль SSL (клиент) для созданного общедоступного SSL-сертификата.

   

9. Чтобы использовать созданные объекты VPN в разделе "Политика доступа", задайте профиль доступа и профиль Подключение тивности.

   

10. Щелкните Готово.

Служба SSL-VPN публикуется и доступна через SHA либо с помощью URL-адреса, либо через порталы приложений Майкрософт.

Следующие шаги

1. Откройте браузер на удаленном клиенте Windows.

2. Перейдите по URL-адресу службы VPN BIG-IP.

3. Появится веб-портал BIG-IP и средство запуска VPN.

   

   Примечание.

   Выберите плитку VPN, чтобы установить клиент BIG-IP Edge и установить VPN-подключение, настроенное для SHA. VPN-приложение F5 отображается в качестве целевого ресурса в условном доступе Microsoft Entra. Ознакомьтесь с политиками условного доступа, чтобы разрешить пользователям проверку подлинности без пароля Microsoft Entra ID.

Ресурсы

• Отказ от паролей в пользу беспарольных средств проверки подлинности
• Пять шагов по полной интеграции приложений с идентификатором Microsoft Entra
• Инфраструктура "Никому не доверяй" корпорации Майкрософт для удаленной работы