Dela via

Självstudie: Konfigurera F5 BIG-IP SSL-VPN för Microsoft Entra SSO

  • Artikel

I den här självstudien lär du dig att integrera F5 BIG-IP-baserat virtuellt privat nätverk (SSL-VPN) med Microsoft Entra-ID för säker hybridåtkomst (SHA).

Att aktivera en BIG-IP SSL-VPN för enkel inloggning med Microsoft Entra (SSO) ger många fördelar, bland annat:

Mer information om fler fördelar finns i

Beskrivning av scenario

I det här scenariot konfigureras BIG-IP Access Policy Manager-instansen (APM) av SSL-VPN-tjänsten som en SAML-tjänstprovider (Security Assertion Markup Language) och Microsoft Entra ID är den betrodda SAML-identitetsprovidern (IdP). Enkel inloggning (SSO) från Microsoft Entra-ID sker via anspråksbaserad autentisering till BIG-IP APM, en smidig åtkomstupplevelse för virtuellt privat nätverk (VPN).

Diagram över integrationsarkitektur.

Kommentar

Ersätt exempelsträngar eller värden i den här guiden med dem i din miljö.

Förutsättningar

Tidigare erfarenhet eller kunskaper om F5 BIG-IP är inte nödvändigt, men du behöver:

  • En Microsoft Entra-prenumeration
    • Om du inte har ett konto kan du skaffa ett kostnadsfritt Azure-konto
  • Användaridentiteter som synkroniseras från deras lokala katalog till Microsoft Entra-ID
  • En av följande roller: Molnprogramadministratör eller programadministratör
  • BIG-IP-infrastruktur med klienttrafikroutning till och från BIG-IP
  • En post för den BIG IP-publicerade VPN-tjänsten på en offentlig domännamnsserver (DNS)
    • Eller en localhost-testklientfil vid testning
  • BIG-IP som etablerats med nödvändiga SSL-certifikat för publicering av tjänster via HTTPS

För att förbättra självstudieupplevelsen kan du lära dig branschstandardterminologi på F5 BIG-IP-ordlistan.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Konfigurera ett SAML-federationsförtroende mellan BIG-IP så att Microsoft Entra BIG-IP kan lämna ut förautentiseringen och villkorlig åtkomst till Microsoft Entra-ID innan den ger åtkomst till den publicerade VPN-tjänsten.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Alla program och välj sedan Nytt program.
  3. I galleriet söker du efter F5 och väljer F5 BIG-IP APM Microsoft Entra ID-integrering.
  4. Ange ett namn på programmet.
  5. Välj Lägg till och sedan Skapa.
  6. Namnet visas som en ikon i administrationscentret för Microsoft Entra och Office 365-portalen.

Konfigurera enkel inloggning med Microsoft Entra

  1. Med F5-programegenskaper går du till Hantera>enkel inloggning.

  2. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  3. Välj Nej, jag sparar senare.

  4. På menyn Konfigurera enkel inloggning med SAML väljer du pennikonen för Grundläggande SAML-konfiguration.

  5. Ersätt identifierar-URL :en med din BIG-IP-publicerade tjänst-URL. Exempel: https://ssl-vpn.contoso.com

  6. Ersätt svars-URL :en och SAML-slutpunktssökvägen. Exempel: https://ssl-vpn.contoso.com/saml/sp/profile/post/acs

    Kommentar

    I den här konfigurationen fungerar programmet i ett IdP-initierat läge: Microsoft Entra ID utfärdar en SAML-försäkran innan den omdirigeras till BIG-IP SAML-tjänsten.

  7. För appar som inte stöder IdP-initierat läge anger du till exempel https://ssl-vpn.contoso.cominloggnings-URL:en för BIG-IP SAML-tjänsten.

  8. För utloggnings-URL anger du slutpunkten BIG-IP APM Enkel utloggning (SLO) som förbereds av värdhuvudet för den tjänst som publiceras. Till exempel: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Kommentar

    En SLO-URL säkerställer att en användarsession avslutas vid BIG-IP och Microsoft Entra-ID när användaren har loggat ut. BIG-IP APM har möjlighet att avsluta alla sessioner när du anropar en program-URL. Läs mer i F5-artikeln K12056: Översikt över alternativet Inkludera utloggnings-URI.

Skärmbild av grundläggande URL:er för SAML-konfiguration..

Kommentar

Från TMOS v16 har SAML SLO-slutpunkten ändrats till /saml/sp/profile/redirect/slo.

  1. Välj Spara

  2. Hoppa över SSO-testprompten.

  3. Observera informationen i Egenskaper för användarattribut och anspråk .

    Skärmbild av egenskaper för användarattribut och anspråk.

Du kan lägga till andra anspråk i din BIG IP-publicerade tjänst. Anspråk som definieras utöver standarduppsättningen utfärdas om de finns i Microsoft Entra-ID. Definiera katalogroller eller gruppmedlemskap mot ett användarobjekt i Microsoft Entra-ID innan de kan utfärdas som ett anspråk.

SAML-signeringscertifikat som skapats av Microsoft Entra ID har en livslängd på tre år.

Microsoft Entra-auktorisering

Som standard utfärdar Microsoft Entra-ID token till användare med beviljad åtkomst till en tjänst.

  1. I programkonfigurationsvyn väljer du Användare och grupper.

  2. Välj + Lägg till användare.

  3. I menyn Lägg till tilldelning väljer du Användare och grupper.

  4. I dialogrutan Användare och grupper lägger du till användargrupper som har behörighet att komma åt VPN

  5. Välj Välj>Tilldela.

    Skärmbild av alternativet Lägg till användare.

Du kan konfigurera BIG-IP APM för att publicera SSL-VPN-tjänsten. Konfigurera den med motsvarande egenskaper för att slutföra förtroendet för SAML-förautentisering.

BIG-IP APM-konfiguration

SAML-federation

Om du vill slutföra federering av VPN-tjänsten med Microsoft Entra-ID skapar du SAML-tjänstprovidern BIG-IP och motsvarande SAML IDP-objekt.

  1. Gå till Access Federation SAML Service Provider Local SP Services( Access>Federation>SAML Service Provider>Local SP Services).

  2. Välj Skapa.

    Skärmbild av alternativet Skapa på sidan Lokala SP Services.

  3. Ange ett namn och ett entitets-ID som definierats i Microsoft Entra-ID.

  4. Ange det fullständigt kvalificerade domännamnet (FQDN) för att ansluta till programmet.

    Skärmbild av namn- och entitetsposter.

    Kommentar

    Om entitets-ID:t inte är en exakt matchning av värdnamnet för den publicerade URL:en konfigurerar du SP-namninställningar eller utför den här åtgärden om den inte är i värdnamns-URL-format. Om entitets-ID är urn:ssl-vpn:contosoonlineanger du det externa schemat och värdnamnet för programmet som publiceras.

  5. Rulla nedåt för att välja det nya SAML SP-objektet.

  6. Välj Bind/Koppla från IDP-anslutningsappar.

    Skärmbild av alternativet Bind obindade IDP-anslutningar på sidan Lokala SP-tjänster.

  7. Välj Skapa ny IDP-anslutningsapp.

  8. I den nedrullningsbara menyn väljer du Från metadata

    Skärmbild av alternativet Från metadata på sidan Redigera SAML-IP-adresser.

  9. Bläddra till XML-filen för federationsmetadata som du laddade ned.

  10. För APM-objektet anger du ett identitetsprovidernamn som representerar den externa SAML-IdP:n.

  11. Välj den nya externa IdP-anslutningsappen för Microsoft Entra genom att välja Lägg till ny rad.

    Skärmbild av alternativet SAML IdP-anslutningsappar på sidan Redigera SAML-IdP.

  12. Välj Uppdatera.

  13. Välj OK.

    Skärmbild av länken Common, VPN Azure på sidan Redigera SAML-IP-adresser.

Webtop-konfiguration

Aktivera SSL-VPN som ska erbjudas användare via BIG-IP-webbportalen.

  1. Gå till Access>Webtops Webtop-listor.>

  2. Välj Skapa.

  3. Ange ett portalnamn.

  4. Ange typen till Fullständig, till exempel Contoso_webtop.

  5. Slutför de återstående inställningarna.

  6. Välj Slutförd.

    Skärmbild av namn- och typposter i Allmänna egenskaper.

VPN-konfiguration

VPN-element styr aspekter av den övergripande tjänsten.

  1. Gå till Åtkomstanslutning>/VPN-nätverksåtkomst>(VPN)>IPV4-lånepooler

  2. Välj Skapa.

  3. Ange ett namn för IP-adresspoolen som allokerats till VPN-klienter. Till exempel Contoso_vpn_pool.

  4. Ange typ till IP-adressintervall.

  5. Ange en start- och slut-IP-adress.

  6. Markera Lägga till.

  7. Välj Slutförd.

    Skärmbild av namn- och medlemslistposter i Allmänna egenskaper.

En lista över nätverksåtkomst etablerar tjänsten med IP- och DNS-inställningar från VPN-poolen, användarroutningsbehörigheter och kan starta program.

  1. Gå till Åtkomstanslutning>/VPN: Nätverksåtkomst (VPN)>Nätverksåtkomstlistor.

  2. Välj Skapa.

  3. Ange ett namn för VPN-åtkomstlistan och undertexten, till exempel Contoso-VPN.

  4. Välj Slutförd.

    Skärmbild av namnposten i Allmänna egenskaper och rubrikpost i Anpassningsinställningar för engelska.

  5. Välj Nätverksinställningar i det övre menyfliksområdet.

  6. För IP-version som stöds: IPV4.

  7. För IPV4-lånepool väljer du den VPN-pool som skapats, till exempel Contoso_vpn_pool

    Skärmbild av posten IPV4-lånepool i Allmänna inställningar.

    Kommentar

    Använd alternativen Klientinställningar för att framtvinga begränsningar för hur klienttrafik dirigeras i ett etablerat VPN.

  8. Välj Slutförd.

  9. Gå till fliken DNS/Värdar .

  10. För IPV4 Primary Name Server: Din miljö DNS IP

  11. För DNS-standarddomänsuffix: Domänsuffixet för den här VPN-anslutningen. Till exempel contoso.com

    Skärmbild av poster för IPV4 Primary Server Name och DNS Default Domain Suffix.

Kommentar

Se F5-artikeln Konfigurera nätverksåtkomstresurser för andra inställningar.

En BIG-IP-anslutningsprofil krävs för att konfigurera INSTÄLLNINGAR av VPN-klienttyp som VPN-tjänsten behöver stöd för. Till exempel Windows, OSX och Android.

  1. Gå till Åtkomstanslutnings>-/VPN-anslutningsprofiler>>

  2. Markera Lägga till.

  3. Ange ett profilnamn.

  4. Ange den överordnade profilen till /Common/connectivity, till exempel Contoso_VPN_Profile.

    Skärmbild av poster för profilnamn och överordnat namn i Skapa ny anslutningsprofil.

Konfiguration av åtkomstprofil

En åtkomstprincip aktiverar tjänsten för SAML-autentisering.

  1. Gå till Åtkomstprofiler>/Principer>Åtkomstprofiler (principer per session).

  2. Välj Skapa.

  3. Ange ett profilnamn och för profiltypen.

  4. Välj Alla, till exempel Contoso_network_access.

  5. Rulla nedåt och lägg till minst ett språk i listan Godkända språk

  6. Välj Slutförd.

    Skärmbild av posterna Namn, Profiltyp och Språk i Ny profil.

  7. I den nya åtkomstprofilen går du till fältet Per session-princip och väljer Redigera.

  8. Redigeraren för visuella principer öppnas på en ny flik.

    Skärmbild av alternativet Redigera för åtkomstprofiler, försessionsprinciper.

  9. + Välj tecknet.

  10. På menyn väljer du Autentiserings-SAML-autentisering>.

  11. Välj Lägg till objekt.

  12. I SP-konfigurationen för SAML-autentisering väljer du det VPN SAML SP-objekt som du skapade

  13. Välj Spara.

    Skärmbild av posten AAA Server under SAML Authentication SP på fliken Egenskaper.

  14. För grenen Lyckad SAML-autentisering väljer du + .

  15. På fliken Tilldelning väljer du Avancerad resurstilldelning.

  16. Välj Lägg till objekt.

  17. I popup-fönstret väljer du Ny post

  18. Välj Lägg till/ta bort.

  19. I fönstret väljer du Nätverksåtkomst.

  20. Välj den nätverksåtkomstprofil som du skapade.

    Skärmbild av knappen Lägg till ny post i Resurstilldelning på fliken Egenskaper.

  21. Gå till fliken Webtop .

  22. Lägg till webtop-objektet som du skapade.

    Skärmbild av den skapade webbtoppen på fliken Webtop.

  23. Välj Uppdatera.

  24. Välj Spara.

  25. Om du vill ändra grenen Lyckad väljer du länken i den övre rutan Neka .

  26. Etiketten Tillåt visas.

  27. Spara

    Skärmbild av alternativet Neka i åtkomstprincip.

  28. Välj Tillämpa åtkomstprincip

  29. Stäng fliken visualiseringsprincipredigerare.

    Skärmbild av alternativet Tillämpa åtkomstprincip.

Publicera VPN-tjänsten

APM kräver en virtuell klientdelsserver för att lyssna efter klienter som ansluter till VPN.

  1. Välj listan Virtuell server för lokal trafik>>.

  2. Välj Skapa.

  3. För den virtuella VPN-servern anger du ett namn, till exempel VPN_Listener.

  4. Välj en oanvänd IP-måladress med routning för att ta emot klienttrafik.

  5. Ange tjänstporten till 443 HTTPS.

  6. För Tillstånd kontrollerar du att Aktiverad är markerat.

    Skärmbild av namn- och måladress- eller maskposter i Allmänna egenskaper.

  7. Ange HTTP-profilen till http.

  8. Lägg till SSL-profilen (klienten) för det offentliga SSL-certifikatet som du skapade.

    Skärmbild av HTTP-profilposten för klienten och valda poster för SSL-profil för klienten.

  9. Om du vill använda de skapade VPN-objekten anger du åtkomstprofilen och anslutningsprofilen under Åtkomstprincip.

    Skärmbild av åtkomstprofils- och anslutningsprofilposter i Åtkomstprincip.

  10. Välj Slutförd.

Din SSL-VPN-tjänst publiceras och är tillgänglig via SHA, antingen med dess URL eller via Microsofts programportaler.

Nästa steg

  1. Öppna en webbläsare på en fjärransluten Windows-klient.

  2. Bläddra till URL:en för VPN-tjänsten BIG-IP.

  3. BIG-IP-webbportalen och VPN-startprogrammet visas.

    Skärmbild av sidan Contosos nätverksportal med nätverksåtkomstindikator.

    Kommentar

    Välj VPN-panelen för att installera BIG-IP Edge-klienten och upprätta en VPN-anslutning som konfigurerats för SHA. F5 VPN-programmet visas som en målresurs i Villkorsstyrd åtkomst i Microsoft Entra. Se Principer för villkorsstyrd åtkomst för att aktivera användare för Lösenordsfri autentisering med Microsoft Entra-ID.

Resurser