教程：为 Microsoft Entra SSO 配置 F5 BIG-IP SSL-VPN

在本教程中，了解如何将 F5 基于 BIG-IP 的安全套接字层虚拟专用网 (SSL-VPN) 与 Microsoft Entra ID 集成，以实现安全混合访问 (SHA)。

为 Microsoft Entra 单一登录 (SSO) 启用 BIG-IP SSL-VPN 有许多好处，其中包括：

• 通过 Microsoft Entra 预身份验证和条件访问实现零信任治理。
  • 条件访问
• 对 VPN 服务的无密码身份验证
• 从单个控制平面（即 Microsoft Entra 管理中心）进行标识和访问管理

要了解更多好处，请参阅

• F5 BIG-IP 与 Microsoft Entra ID 集成

• Microsoft Entra ID 中的 SSO

  注意

  经典 VPN 始终以网络为导向，通常很少或根本不会提供对企业应用程序的精细访问。 我们鼓励采用偏向于以标识为中心的方法来实现零信任。 详细了解：将所有应用与 Microsoft Entra ID 集成的五个步骤。

方案描述

在此方案中，SSL-VPN 服务的 BIG-IP 访问策略管理器 (APM) 实例配置为安全断言标记语言 (SAML) 服务提供商 (SP)，而 Microsoft Entra ID 是受信任的 SAML 标识提供者 (IdP)。 Microsoft Entra ID 的单一登录 (SSO) 是通过基于声明的身份验证到 BIG-IP APM，这是一种无缝的虚拟专用网 (VPN) 访问体验。

注意

将本指南中的示例字符串或值替换为你环境中的字符串或值。

先决条件

不要求以前必须拥有 F5 BIG-IP 经验或知识，但需要满足以下要求：

• Microsoft Entra 订阅
  • 如果没有，可以获取一个 Azure 免费帐户
• 从本地目录同步到 Microsoft Entra ID 的用户标识
• 以下角色之一：云应用程序管理员或应用程序管理员
• BIG-IP 基础结构，客户端流量在 BIG-IP 之间来回路由
  • 或者将 BIG-IP 虚拟版本部署到 Azure
• 公共域名服务器 (DNS) 中 BIG-IP 发布的 VPN 服务的记录
  • 或测试期间的测试客户端 localhost 文件
• BIG-IP 预配了通过 HTTPS 发布服务所需的 SSL 证书

若要改进教程体验，可以在 F5 BIG-IP 术语表中学习行业标准术语。

从 Microsoft Entra 库添加 F5 BIG-IP

提示

本文中的步骤可能因开始使用的门户而略有不同。

在 BIG-IP 之间设置 SAML 联合身份验证信任让 Microsoft Entra BIG-IP 能够在授予对已发布 VPN 服务的访问权限之前，将预身份验证和条件访问移交给 Microsoft Entra ID。

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”，然后选择“新建应用程序”。
3. 在库中，搜索 F5 并选择“F5 BIG-IP APM Microsoft Entra ID 集成”。
4. 输入应用程序的名称。
5. 选择“添加”，然后选择“创建”。
6. 该名称作为图标显示在 Microsoft Entra 管理中心和 Office 365 门户中。

配置 Microsoft Entra SSO

1. 通过新 F5 应用程序属性，转到“管理”>“单一登录”

2. 在“选择单一登录方法”页上选择“SAML” 。

3. 选择“否，稍后保存”。

4. 在“设置 SAML 单一登录”菜单上，选择“基本 SAML 配置”的笔形图标。

5. 将“标识符 URL”替换为 BIG-IP 已发布服务的 URL。 例如 https://ssl-vpn.contoso.com。

6. 替换“回复 URL”和“SAML 终结点路径”。 例如 https://ssl-vpn.contoso.com/saml/sp/profile/post/acs。

   注意

   在此配置中，应用程序会在 Idp 发起的模式下运行：Microsoft Entra ID 会先颁发 SAML 断言，然后再重定向到 BIG-IP SAML 服务。

7. 对于不支持 Idp 发起模式的应用，请为 BIG-IP SAML 服务指定“登录 URL”，例如 https://ssl-vpn.contoso.com。

8. 对于“退出登录 URI”，请输入 BIG-IP APM 单一退出登录 (SLO) 终结点，并以要发布的服务的主机头作为前缀。 例如： https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

   注意

   SLO URL 可确保用户注销后，在 BIG-IP 和 Microsoft Entra ID 终止用户会话。BIG-IP APM 提供一个选项，用于在调用应用程序 URL 时终止所有会话。 有关详细信息，请参阅 F5 文章 K12056：退出登录 URI 包括选项概述。

。

注意

从 TMOS v16 开始，SAML SLO 终结点已更改为 /saml/sp/profile/redirect/slo。

9. 选择“保存”

10. 跳过 SSO 测试提示。

11. 在“用户属性和声明”属性中，查看详细信息。

    

可以将其他声明添加到 BIG-IP 已发布服务。 除了默认集以外，定义的声明仅当在 Microsoft Entra ID 中时才会发出。 需要先针对 Microsoft Entra ID 中的用户对象定义目录角色或组成员身份，然后才能作为声明发出。

Microsoft Entra ID 创建的 SAML 签名证书的有效期为三年。

Microsoft Entra 授权

默认情况下，Microsoft Entra ID 仅向已被授予服务访问权限的用户颁发令牌。

1. 在应用程序配置视图中，选择“用户和组”。

2. 选择“+ 添加用户”。

3. 在“添加分配”菜单上，选择“用户和组”。

4. 在“用户和组”对话框中，添加已授权访问 VPN 的用户组

5. 选择“选择”>“分配”。

   

可以设置 BIG-IP APM 来发布 SSL-VPN 服务。 使用相应的属性对其进行配置，以完成 SAML 预身份验证信任。

BIG-IP APM 配置

SAML 联合身份验证

要完成 VPN 服务与 Microsoft Entra ID 的联合，请创建 BIG-IP SAML 服务提供程序和相应的 SAML IDP 对象。

1. 转到“访问”>“联合”>“SAML 服务提供程序”>“本地 SP 服务”。

2. 选择“创建”。

   

3. 输入在 Microsoft Entra ID 中定义的“名称”和“实体 ID”。

4. 输入主机完全限定的域名 (FQDN) 以连接到应用程序。

   

   注意

   如果实体 ID 与已发布 URL 的主机名不完全匹配，请配置 SP“名称”设置，或者如果它不是主机名 URL 格式，请执行此操作。 如果实体 ID 为 urn:ssl-vpn:contosoonline，请提供要发布的应用程序的外部方案和主机名。

5. 向下滚动以选择新的“SAML SP 对象”。

6. 选择“绑定/取消绑定 IDP 连接器”。

   

7. 选择“创建新的 IDP 连接器”。

8. 在下拉菜单中，选择“从元数据”

   

9. 浏览到下载的联合元数据 XML 文件。

10. 对于 APM 对象，请提供表示外部 SAML IdP 的“标识提供者名称”。

11. 要选择新的 Microsoft Entra 外部 IDP 连接器，请选择“添加新行”。

    

12. 选择“更新”。

13. 选择“确定”。

    

Webtop 配置

启用 SSL-VPN 通过 BIG-IP Web 门户提供给用户。

1. 转到“访问”>“Webtops”>“Webtop 列表”。

2. 选择“创建”。

3. 输入门户名称。

4. 将类型设置为“完全”，例如 Contoso_webtop。

5. 完成剩余的首选项。

6. 选择“完成”。

   

VPN 配置

VPN 元素控制整体服务的各个方面。

1. 转到“访问”>“连接/VPN”>“网络访问(VPN)”>“IPV4 租赁池”

2. 选择“创建”。

3. 输入分配到 VPN 客户端的 IP 地址池名称。 例如，Contoso_vpn_pool。

4. 将类型设置为“IP 地址范围”。

5. 输入开始和结束 IP。

6. 选择 添加 。

7. 选择“完成”。

   

网络访问列表使用 VPN 池中的 IP 和 DNS 设置、用户路由权限来预配服务，还可以启动应用程序。

1. 转到“访问”>“连接/VPN: 网络访问(VPN)”>”网络访问列表”。

2. 选择“创建”。

3. 为 VPN 访问列表和标题栏提供名称，例如 Contoso-VPN。

4. 选择“完成”。

   

5. 在顶部功能区中，选择“网络设置”。

6. 对于“支持的 IP 版本”：IPV4。

7. 对于“IPV4 租赁池”，选择创建的 VPN 池，例如 Contoso_vpn_pool

   

   注意

   使用“客户端设置”选项。强制限制客户端流量在已建立的 VPN 中的路由方式。

8. 选择“完成”。

9. 转到“DNS/主机”选项卡。

10. 对于“IPV4 主名称服务器”：你的环境 DNS IP

11. 对于“DNS 默认域后缀”：此 VPN 连接的域后缀。 例如，contoso.com

    

注意

有关其他设置，请参阅 F5 文章配置网络访问资源。

需要 BIG-IP 连接配置文件来配置 VPN 服务需要支持的 VPN 客户端类型设置。 例如，Windows、OSX 和 Android。

1. 转到“访问”>“连接/VPN”>“连接”>“配置文件”

2. 选择 添加 。

3. 输入配置文件名称。

4. 将父配置文件设置为“/Common/connectivity”，例如 Contoso_VPN_Profile。

   

访问配置文件配置

访问策略启用 SAML 身份验证服务。

1. 转到“访问”>“配置文件/策略”>“访问配置文件(按会话策略)”。

2. 选择“创建”。

3. 输入配置文件名称和配置文件类型。

4. 选择“全部”，例如，Contoso_network_access。

5. 向下滚动，将至少一种语言添加到“接受的语言”列表中

6. 选择“完成”。

   

7. 在新的访问配置文件中，在“每会话策略”字段中，选择“编辑”。

8. 将在新选项卡中打开可视化策略编辑器。

   

9. 选择 + 符号。

10. 在菜单中，选择“身份验证”>“SAML 身份验证”。

11. 选择“添加项”。

12. 在 SAML 身份验证 SP 配置中，选择你创建的 VPN SAML SP 对象

13. 选择“保存”。

    

14. 对于 SAML 身份验证的“成功”分支，选择 +。

15. 在“分配”选项卡中，选择“高级资源分配”。

16. 选择“添加项”。

17. 在弹出窗口中，选择“新建条目”

18. 选择“添加/删除”。

19. 在窗口中，选择“网络访问”。

20. 选择你创建的网络访问配置文件。

    

21. 转到“Webtop”选项卡。

22. 添加创建的 Webtop 对象。

    

23. 选择“更新”。

24. 选择“保存”。

25. 要更改“成功”分支，选择上方“拒绝”框中的链接。

26. 此时将显示“允许”标签。

27. 保存。

    

28. 选择“添加访问策略”

29. 关闭“可视化策略编辑器”选项卡。

    

发布 VPN 服务

APM 需要前端虚拟服务器来侦听连接到 VPN 的客户端。

1. 选择“本地流量”>“虚拟服务器”>“虚拟服务器列表”。

2. 选择“创建”。

3. 对于 VPN 虚拟服务器，输入“名称”，例如“VPN_Listener”。

4. 选择未使用的 IP 目标地址，其中包含用于接收客户端流量的路由。

5. 将服务端口设置为“443 HTTPS”。

6. 对于“状态”，请确保选择“已启用”。

   

7. 将“HTTP 配置文件”设置为“http”。

8. 为创建的公共 SSL 证书添加 SSL 配置文件（客户端）。

   

9. 要使用创建的 VPN 对象，在“访问策略”下，请设置“访问配置文件”和“连接配置文件”。

   

10. 选择“完成”。

SSL-VPN 服务已发布，并且可以通过 SHA 进行访问（通过其 URL 或通过 Microsoft 应用程序门户）。

后续步骤

1. 在远程 Windows 客户端上打开浏览器。

2. 浏览到“BIG-IP VPN 服务”URL。

3. 将显示 BIG-IP Webtop 门户和 VPN 启动器。

   

   注意

   选择 VPN 磁贴以安装 BIG-IP Edge 客户端并建立为 SHA 配置的 VPN 连接。 F5 VPN 应用程序在 Microsoft Entra 条件访问中作为目标资源可见。 请参阅条件访问策略，为用户启用 Microsoft Entra ID 无密码身份验证。

资源

• 密码身份验证的时代已结束，请改用无密码方式
• 与 Microsoft Entra ID 进行完整应用程序集成的五个步骤
• 用于实现远程办公的 Microsoft 零信任框架