Aracılığıyla paylaş

Öğretici: Microsoft Entra SSO için F5 BIG-IP SSL-VPN yapılandırma

Bu öğreticide, F5 BIG-IP tabanlı güvenli yuva katmanı sanal özel ağı (SSL-VPN) güvenli karma erişim (SHA) için Microsoft Entra kimliğiyle tümleştirmeyi öğrenin.

Çoklu oturum açma (SSO) Microsoft Entra için BIG-IP SSL-VPN'i etkinleştirmek aşağıdakiler gibi birçok avantaj sağlar:

Daha fazla avantaj hakkında bilgi edinmek için bkz.

Not

Klasik VPN'ler ağ odaklı kalır ve genellikle kurumsal uygulamalara çok az ve hiç ayrıntılı erişim sağlamaz. Sıfır Güven ulaşmak için daha kimlik odaklı bir yaklaşımı teşvik ediyoruz. Daha fazla bilgi edinin: Tüm uygulamalarınızı Microsoft Entra kimliğiyle tümleştirmek için beş adım.

Senaryo açıklaması

Bu senaryoda, SSL-VPN hizmetinin BIG-IP APM örneği bir SAML hizmet sağlayıcısı (SP) olarak yapılandırılır ve Microsoft Entra Kimliği güvenilen SAML IDP'dir. Microsoft Entra Kimliğinden SSO, sorunsuz bir VPN erişim deneyimi olan BIG-IP APM'ye talep tabanlı kimlik doğrulaması aracılığıyla sağlanır.

Tümleştirme mimarisi diyagramı.

Not

Bu kılavuzdaki örnek dizeleri veya değerleri ortamınızdakilerle değiştirin.

Önkoşullar

Önceden F5 BIG-IP deneyimi veya bilgisi gerekli değildir, ancak şunlara ihtiyacınız olacaktır:

Öğretici deneyimini geliştirmek için F5 BIG-IP Sözlüğünde endüstri standardı terminolojiyi öğrenebilirsiniz.

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz farklılık gösterebilir.

Microsoft Entra BIG-IP'nin yayımlanan VPN hizmetine erişim izni vermeden önce ön kimlik doğrulamasını ve Koşullu Erişimi Microsoft Entra kimliğine vermesine izin vermek için BIG-IP arasında bir SAML federasyon güveni ayarlayın.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamalarıTüm uygulamalar'a> göz atın ve Ardından Yeni uygulama'yı seçin.
  3. Galeride F5 için arama yapın ve F5 BIG-IP APM Azure AD tümleştirme'yi seçin.
  4. Uygulama için bir ad girin.
  5. Ekle'yi ve ardından Oluştur'u seçin.
  6. Ad, simge olarak Microsoft Entra yönetim merkezinde ve Office 365 portalında görünür.

Microsoft Entra SSO yapılandırma

  1. F5 uygulama özellikleriyleÇoklu oturum açmayıyönet'e> gidin.
  2. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.
  3. Hayır, daha sonra kaydedeceğim'i seçin.
  4. SAML ile çoklu oturum açmayı ayarla menüsünde Temel SAML Yapılandırması için kalem simgesini seçin.
  5. Tanımlayıcı URL'sini BIG-IP tarafından yayımlanan hizmet URL'nizle değiştirin. Örneğin, https://ssl-vpn.contoso.com.
  6. Yanıt URL'sini ve SAML uç noktası yolunu değiştirin. Örneğin, https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

Not

Bu yapılandırmada, uygulama IdP tarafından başlatılan modda çalışır: Microsoft Entra Kimliği, BIG-IP SAML hizmetine yeniden yönlendirmeden önce bir SAML onayı verir.

  1. IdP tarafından başlatılan modu desteklemeyen uygulamalar için BIG-IP SAML hizmeti için Oturum açma URL'sini belirtin, örneğin, https://ssl-vpn.contoso.com.
  2. Oturum Kapatma URL'si için, yayımlanmakta olan hizmetin ana bilgisayar üst bilgisi tarafından önceden kaleme alınmış BIG-IP APM Tek oturum kapatma (SLO) uç noktasını girin. Örneğin, https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

Not

SLO URL'si, kullanıcı oturumu kapatıldıktan sonra BIG-IP ve Microsoft Entra Kimliği'nde bir kullanıcı oturumunun sonlandırılmasını sağlar. BIG-IP APM, uygulama URL'sini çağırırken tüm oturumları sonlandırma seçeneğine sahiptir. F5 makalesi olan K12056: Oturumu Kapatma URI'sini Ekleme seçeneğine genel bakış hakkında daha fazla bilgi edinin.

Temel SAML yapılandırma URL'lerinin ekran görüntüsü..

Not

TMOS v16 sürümünde SAML SLO uç noktası /saml/sp/profile/redirect/slo olarak değiştirildi.

  1. Kaydet’i seçin

  2. SSO test istemini atlayın.

  3. Kullanıcı Öznitelikleri & Talepleri özelliklerinde ayrıntıları gözlemleyin.

    Kullanıcı özniteliklerinin ve talep özelliklerinin ekran görüntüsü.

BIG-IP yayımlanmış hizmetinize başka talepler ekleyebilirsiniz. Varsayılan kümeye ek olarak tanımlanan talepler, Microsoft Entra kimliğindeyse verilir. Talep olarak verilmeden önce, Microsoft Entra kimliğindeki bir kullanıcı nesnesine karşı dizin rollerini veya grup üyeliklerini tanımlayın.

Federasyon Meta Verileri XML İndirme seçeneğinin ekran görüntüsü.

Microsoft Entra kimliğiyle oluşturulan SAML imzalama sertifikaları üç yıllık bir kullanım ömrüne sahiptir.

Microsoft Entra yetkilendirme

Varsayılan olarak, Microsoft Entra Kimliği bir hizmete erişim izni verilen kullanıcılara belirteç verir.

  1. Uygulama yapılandırma görünümünde Kullanıcılar ve gruplar'ı seçin.

  2. + Kullanıcı ekle'yi seçin.

  3. Atama Ekle menüsünde Kullanıcılar ve gruplar'ı seçin.

  4. Kullanıcılar ve gruplar iletişim kutusunda, VPN'ye erişim yetkisi olan kullanıcı gruplarını ekleyin

  5. Ata'yı seçin>.

    Kullanıcı Ekle seçeneğinin ekran görüntüsü.

BIG-IP APM'yi SSL-VPN hizmetini yayımlamak için ayarlayabilirsiniz. SAML ön kimlik doğrulaması güvenini tamamlamak için ilgili özelliklerle yapılandırın.

BIG-IP APM yapılandırması

SAML federasyonu

VPN hizmetini Microsoft Entra kimliğiyle federasyona ayırmayı tamamlamak için BIG-IP SAML hizmet sağlayıcısını ve ilgili SAML IDP nesnelerini oluşturun.

  1. Access>Federasyon>SAML Hizmet Sağlayıcısı>Yerel SP Hizmetleri'ne gidin.

  2. Oluştur’u seçin.

    Yerel SP Hizmetleri sayfasındaki Oluştur seçeneğinin ekran görüntüsü.

  3. bir Ad ve Microsoft Entra Kimliği'nde tanımlanan Varlık Kimliğini girin.

  4. Uygulamaya bağlanmak için Konak FQDN'sini girin.

    Ad ve Varlık girişlerinin ekran görüntüsü.

Not

Varlık kimliği yayımlanan URL'nin ana bilgisayar adıyla tam olarak eşleşmiyorsa SP Adı ayarlarını yapılandırın veya ana bilgisayar adı URL biçiminde değilse bu eylemi gerçekleştirin. Varlık kimliği ise urn:ssl-vpn:contosoonline, yayımlanan uygulamanın dış düzenini ve ana bilgisayar adını sağlayın.

  1. Yeni SAML SP nesnesini seçmek için aşağı kaydırın.

  2. IDP Bağlayıcılarını Bağla/Bağlamayı Kaldır'ı seçin.

    Yerel SP Hizmetleri sayfasındaki Bağlamayı Kaldır IDP Bağlantılarını Bağla seçeneğinin ekran görüntüsü.

  3. Yeni IDP Bağlayıcısı Oluştur'u seçin.

  4. Açılan menüden Meta Verilerden'i seçin

    SAML IdP'lerini Düzenle sayfasındaki Meta Verilerden seçeneğinin ekran görüntüsü.

  5. İndirdiğiniz federasyon meta verileri XML dosyasına göz atın.

  6. APM nesnesi için, dış SAML IdP'sini temsil eden bir Kimlik Sağlayıcısı Adı sağlayın.

  7. Yeni Microsoft Entra dış IdP bağlayıcısını seçmek için Yeni Satır Ekle'yi seçin.

    SAML IdP Bağlayıcılarını Düzenle sayfasındaki SAML IdP Bağlayıcıları seçeneğinin ekran görüntüsü.

  8. Güncelleştir’i seçin.

  9. Tamam’ı seçin.

    SAML IdP'lerini Düzenle sayfasındaki Ortak, VPN Azure bağlantısının ekran görüntüsü.

Webtop yapılandırması

SSL-VPN'in BIG-IP web portalı aracılığıyla kullanıcılara sunulmasını sağlayın.

  1. Access>WebTops>WebTop Listeleri'ne gidin.

  2. Oluştur’u seçin.

  3. Bir portal adı girin.

  4. Türü Tam olarak ayarlayın, örneğin. Contoso_webtop

  5. Kalan tercihleri tamamlayın.

  6. Bitti'yi seçin.

    Genel Özellikler'deki ad ve tür girdilerinin ekran görüntüsü.

VPN yapılandırması

VPN öğeleri, genel hizmetin özelliklerini denetler.

  1. Erişim>Bağlantısı/VPNAğ Erişimi (VPN>)>IPV4 Kiralama Havuzları'na gidin

  2. Oluştur’u seçin.

  3. VPN istemcilerine ayrılan IP adresi havuzu için bir ad girin. Örneğin, Contoso_vpn_pool.

  4. Türü IP Adresi Aralığı olarak ayarlayın.

  5. Başlangıç ve bitiş IP'lerini girin.

  6. Add (Ekle) seçeneğini belirleyin.

  7. Bitti'yi seçin.

    Genel Özellikler'deki ad ve üye listesi girişlerinin ekran görüntüsü.

Ağ erişim listesi, HIZMETI VPN havuzundan IP ve DNS ayarlarıyla, kullanıcı yönlendirme izinleriyle sağlar ve uygulamaları başlatabilir.

  1. Erişim>Bağlantısı/VPN: Ağ Erişimi (VPN)>Ağ Erişim Listeleri'ne gidin.

  2. Oluştur’u seçin.

  3. VPN erişim listesi ve başlık için contoso-VPN gibi bir ad sağlayın.

  4. Bitti'yi seçin.

    Genel Özellikler'deki ad girişinin ve İngilizce Özelleştirme Ayarları'ndaki başlık girişinin ekran görüntüsü.

  5. Üst şeritten Ağ Ayarları'nı seçin.

  6. Desteklenen IP sürümü için: IPV4.

  7. IPV4 Kira Havuzu için oluşturulan VPN havuzunu seçin, örneğin Contoso_vpn_pool

    Genel Ayarlar'daki IPV4 Kira Havuzu girişinin ekran görüntüsü.

Not

İstemci trafiğinin yerleşik bir VPN'de nasıl yönlendiriliyor kısıtlamaları zorlamak için İstemci Ayarları seçeneklerini kullanın.

  1. Bitti'yi seçin.

  2. DNS/Konaklar sekmesine gidin.

  3. IPV4 Birincil Ad Sunucusu için: Ortamınız DNS IP

  4. DNS Varsayılan Etki Alanı Soneki için: Bu VPN bağlantısı için etki alanı soneki. Örneğin, contoso.com

    IPV4 Birincil Sunucu Adı ve DNS Varsayılan Etki Alanı Soneki girişlerinin ekran görüntüsü.

Not

Diğer ayarlar için Ağ Erişim Kaynaklarını Yapılandırma başlıklı F5 makalesine bakın.

VPN hizmetinin desteklemesi gereken VPN istemci türü ayarlarını yapılandırmak için BIG-IP bağlantı profili gerekir. Örneğin, Windows, OSX ve Android.

  1. Erişim>Bağlantısı/VPN>Bağlantı>Profilleri'ne gidin

  2. Add (Ekle) seçeneğini belirleyin.

  3. Bir profil adı girin.

  4. Üst profili /Common/connectivity olarak ayarlayın, örneğin Contoso_VPN_Profile.

    Yeni Bağlantı Profili Oluştur'daki Profil Adı ve Üst Ad girdilerinin ekran görüntüsü.

İstemci desteği hakkında daha fazla bilgi için F5 Access ve BIG-IP Edge İstemcisi başlıklı F5 makalesine bakın.

Erişim profili yapılandırması

Erişim ilkesi, hizmeti SAML kimlik doğrulaması için etkinleştirir.

  1. Erişim>Profilleri/İlkeler>Erişim Profilleri (Oturum Başına İlkeler) bölümüne gidin.

  2. Oluştur’u seçin.

  3. Profil türü için bir profil adı ve girin.

  4. Tümü'ne (örneğin, Contoso_network_access) tıklayın.

  5. Ekranı aşağı kaydırın ve Kabul Edilen Diller listesine en az bir dil ekleyin

  6. Bitti'yi seçin.

    Yeni Profil'de Ad, Profil Türü ve Dil girdilerinin ekran görüntüsü.

  7. Yeni erişim profilinde, Per-Session İlkesi alanında Düzenle'yi seçin.

  8. Görsel ilkesi düzenleyicisi yeni bir sekmede açılır.

    Oturum öncesi ilkeler olan Erişim Profilleri'nin Düzenle seçeneğinin ekran görüntüsü.

  9. İşareti + seçin.

  10. Menüde Kimlik DoğrulamasıSAML Kimlik Doğrulaması'nı> seçin.

  11. Öğe Ekle'yi seçin.

  12. SAML kimlik doğrulaması SP yapılandırmasında, oluşturduğunuz VPN SAML SP nesnesini seçin

  13. Kaydet’i seçin.

    Özellikler sekmesinde, SAML Kimlik Doğrulama SP'si altındaki AAA Sunucusu girişinin ekran görüntüsü.

  14. SAML kimlik doğrulamasının Başarılı dalı için öğesini seçin + .

  15. Atama sekmesinde Gelişmiş Kaynak Atama'yı seçin.

  16. Öğe Ekle'yi seçin.

    Erişim İlkesi'nin artı düğmesinin ekran görüntüsü.

  17. Açılır pencerede Yeni Giriş'i seçin

  18. Ekle/Sil'i seçin.

  19. Pencerede Ağ Erişimi'ni seçin.

  20. Oluşturduğunuz Ağ Erişimi profilini seçin.

    Özellikler sekmesindeki Kaynak Ataması'nda Yeni giriş ekle düğmesinin ekran görüntüsü.

  21. Webtop sekmesine gidin.

  22. Oluşturduğunuz Webtop nesnesini ekleyin.

    Webtop sekmesinde oluşturulan webtopunun ekran görüntüsü.

  23. Güncelleştir’i seçin.

  24. Kaydet'i seçin.

  25. Başarılı dalını değiştirmek için, üstTeki Reddet kutusundaki bağlantıyı seçin.

  26. İzin Ver etiketi görüntülenir.

  27. Kaydet'i seçin.

    Erişim İlkesi'nin Reddet seçeneğinin ekran görüntüsü.

  28. Erişim İlkesi Uygula'yı seçin

  29. Görsel ilkesi düzenleyicisi sekmesini kapatın.

    Erişim İlkesi Uygula seçeneğinin ekran görüntüsü.

VPN hizmetini yayımlama

APM, VPN'e bağlanan istemcileri dinlemek için bir ön uç sanal sunucusu gerektirir.

  1. Yerel Trafik>Sanal Sunucuları Sanal Sunucu>Listesi'ne tıklayın.

  2. Oluştur’u seçin.

  3. VPN sanal sunucusu için, örneğin VPN_Listener bir Ad girin.

  4. İstemci trafiğini almak için yönlendirmeli kullanılmayan bir IP Hedef Adresi seçin.

  5. Hizmet Bağlantı Noktası'nı 443 HTTPS olarak ayarlayın.

  6. Durum için Etkin'in seçili olduğundan emin olun.

    Genel Özellikler'de Ad ve Hedef Adresi veya Maske girdilerinin ekran görüntüsü.

  7. HTTP Profilinihttp olarak ayarlayın.

  8. Oluşturduğunuz genel SSL sertifikası için SSL Profilini (İstemci) ekleyin.

    İstemci için HTTP Profili girişinin ve istemci için SSL Profili'nin seçili girişlerinin ekran görüntüsü.

  9. Oluşturulan VPN nesnelerini kullanmak için, Erişim İlkesi'nin altında Erişim Profili ve Bağlantı Profili'ni ayarlayın.

    Erişim İlkesi'nin Erişim Profili ve Bağlantı Profili girişlerinin ekran görüntüsü.

  10. Bitti'yi seçin.

SSL-VPN hizmetiniz, URL'si ile veya Microsoft uygulama portalları aracılığıyla SHA aracılığıyla yayımlanır ve erişilebilir.

Sonraki adımlar

  1. Uzak bir Windows istemcisinde bir tarayıcı açın.

  2. BIG-IP VPN hizmeti URL'sine göz atın.

  3. BIG-IP webtop portalı ve VPN başlatıcı görüntülenir.

    Ağ erişim göstergesi içeren Contoso Ağ Portalı sayfasının ekran görüntüsü.

Not

BIG-IP Edge istemcisini yüklemek ve SHA için yapılandırılmış bir VPN bağlantısı kurmak için VPN kutucuğunu seçin. F5 VPN uygulaması, Microsoft Entra Koşullu Erişim'de hedef kaynak olarak görünür. Kullanıcıların Microsoft Entra kimliği parolasız kimlik doğrulamasına olanak tanımak için bkz. Koşullu Erişim ilkeleri.

Kaynaklar