教學課程:設定 F5 BIG-IP SSL-VPN for Microsoft Entra SSO
在本教學課程中,瞭解如何整合 F5 BIG IP 型安全通訊端層虛擬私人網路 (SSL-VPN) Microsoft Entra與安全混合式存取 (SHA) 識別碼。
啟用 BIG-IP SSL-VPN for Microsoft Entra 單一登入 (SSO) 提供許多優點,包括:
- 透過Microsoft Entra預先驗證和條件式存取改善零信任治理。
- VPN 服務的無密碼驗證
- 管理單一控制平面的身分識別和存取權,Microsoft Entra系統管理中心
若要深入瞭解權益,請參閱
注意
傳統 VPN 會維持網路導向,通常幾乎無法更精細地存取公司應用程式。 我們鼓勵以身分識別為中心的方法,以達成零信任。 深入瞭解:將所有應用程式與Microsoft Entra識別碼整合的五個步驟。
案例描述
在此案例中,SSL-VPN 服務的 BIG-IP APM 實例會設定為 SAML 服務提供者 (SP) ,而Microsoft Entra識別碼是受信任的 SAML IDP。 來自Microsoft Entra識別碼的 SSO 是透過宣告型驗證提供給 BIG-IP APM,這是順暢的 VPN 存取體驗。
注意
將本指南中的範例字串或值取代為您環境中的字串或值。
必要條件
不過,您不需要對 F5 BIG-IP 預先擁有經驗或知識,您只需要:
- Microsoft Entra訂用帳戶
- 如果您沒有帳戶,您可以取得 Azure 免費帳戶 或更新版本
- 從其內部部署目錄同步處理到Microsoft Entra識別碼的使用者身分識別。
- 下列其中一個角色:全域管理員、雲端應用程式管理員或應用程式管理員。
- 具有來自 BIG-IP 的用戶端流量路由的 BIG-IP 基礎結構
- 公用 DNS 中 BIG-IP 已發佈 VPN 服務的記錄
- 或測試時的測試用戶端 localhost 檔案
- 透過 HTTPS 發佈服務所需的 SSL 憑證所布建的 BIG-IP
若要改善教學課程體驗,您可以瞭解 F5 BIG-IP 詞彙的業界標準術語。
從Microsoft Entra資源庫新增 F5 BIG-IP
提示
本文中的步驟可能會根據您開始的入口網站稍有不同。
在 BIG-IP 之間設定 SAML 同盟信任,以允許Microsoft Entra BIG-IP 在授與已發行 VPN 服務的存取權之前,先將預先驗證和條件式存取授與Microsoft Entra識別碼。
- 至少以雲端應用程式管理員身分登入Microsoft Entra系統管理中心。
- 流覽至[身分> 識別應用程式>企業應用程式>][所有應用程式],然後選取 [新增應用程式]。
- 在資源庫中搜尋 F5 ,然後選取 F5 BIG-IP APM Azure AD 整合。
- 輸入應用程式的名稱。
- 選取 [新增 ],然後 選取 [建立]。
- 名稱會以圖示的形式出現在Microsoft Entra系統管理中心和Office 365入口網站中。
設定 Microsoft Entra SSO
- 使用 F5 應用程式屬性,移至[管理>單一登入]。
- 在 [選取單一登入方法] 頁面上,選取 [SAML]。
- 選取 [否],稍後會儲存。
- 在 [使用 SAML 設定單一登入] 功能表上,選取 [基本 SAML 組態] 的畫筆圖示。
- 以您的 BIG-IP 已發佈服務 URL 取代 識別碼 URL。 例如:
https://ssl-vpn.contoso.com
。 - 取代 [回復 URL] 和 [SAML 端點路徑]。 例如:
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
。
注意
在此設定中,應用程式會以 IdP 起始模式運作:Microsoft Entra識別碼會在重新導向至 BIG-IP SAML 服務之前發出 SAML 判斷提示。
- 對於不支援 IdP 起始模式的應用程式,針對 BIG-IP SAML 服務,指定 登入 URL,例如
https://ssl-vpn.contoso.com
。 - 針對 [登出 URL],輸入發行服務主機標頭預先傳送的 BIG-IP APM 單一登出 (SLO) 端點。 例如,
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
注意
SLO URL 可確保在使用者登出之後,在 BIG-IP 和Microsoft Entra識別碼終止使用者會話。BIG-IP APM 可以選擇在呼叫應用程式 URL 時終止所有會話。 深入瞭解 F5 文章 K12056:登出 URI 包含選項的概觀。
注意
從 TMOS v16 版本開始,SAML SLO 端點已變更為 /saml/sp/profile/redirect/slo。
選取 [儲存]
跳過 SSO 測試提示。
在 [使用者屬性 & 宣告 ] 屬性中,觀察詳細資料。
您可以將其他宣告新增至 BIG-IP 已發佈的服務。 如果宣告位於Microsoft Entra識別碼中,則除了預設集之外定義的宣告也會發出。 在Microsoft Entra識別碼中針對使用者物件定義目錄角色或群組成員資格,才能將其發行為宣告。
Microsoft Entra識別碼所建立的 SAML 簽署憑證存續期為三年。
Microsoft Entra授權
根據預設,Microsoft Entra識別碼會將權杖發出給具有服務存取權的使用者。
在應用程式組態檢視中,選取 [使用者和群組]。
選取 [+ 新增使用者]。
在 [ 新增指派] 功能表中,選取 [使用者和群組]。
在 [ 使用者和群組 ] 對話方塊中,新增授權存取 VPN 的使用者群組
選取[選取>指派]。
您可以設定 BIG-IP APM 來發佈 SSL-VPN 服務。 使用對應的屬性進行設定,以完成 SAML 預先驗證的信任。
BIG-IP APM 設定
SAML 同盟
若要完成將 VPN 服務與Microsoft Entra識別碼同盟,請建立 BIG-IP SAML 服務提供者和對應的 SAML IDP 物件。
移至存取>同盟>SAML 服務提供者>本機 SP 服務。
選取 [建立]。
輸入Microsoft Entra識別碼中定義的[名稱] 和[實體識別碼]。
輸入主機 FQDN 以連線到應用程式。
注意
如果實體識別碼與已發佈 URL 的主機名稱不完全相符,請設定 SP 名稱 設定,如果它不是主機名稱 URL 格式,請執行此動作。 如果實體識別碼為 urn:ssl-vpn:contosoonline
,請提供要發行之應用程式的外部配置和主機名稱。
向下捲動以選取新的 SAML SP 物件。
選取 [系結/取消系結 IDP 連接器]。
選取 [建立新的 IDP 連接器]。
從下拉式功能表中,選取 [從中繼資料]
流覽至您下載的同盟中繼資料 XML 檔案。
針對 APM 物件,提供代表外部 SAML IdP 的 識別提供者名稱 。
若要選取新的Microsoft Entra外部 IdP 連接器,請選取 [新增資料列]。
選取 [更新]。
選取 [確定]。
Webtop 設定
讓 SSL-VPN 可透過 BIG-IP 入口網站提供給使用者。
移至[存取>Webtops>Webtop 清單]。
選取 [建立]。
輸入入口網站名稱。
將類型設定為 Full,例如
Contoso_webtop
。完成其餘喜好設定。
選取 [完成]。
VPN 設定
VPN 元素控制整體服務的層面。
移至存取>連線能力/VPN>網路存取 (VPN) >IPV4 租用集區
選取 [建立]。
輸入配置給 VPN 用戶端的 IP 位址池名稱。 例如,Contoso_vpn_pool。
將類型設定為 [IP 位址範圍]。
輸入開始和結束 IP。
選取 [新增]。
選取 [完成]。
網路存取清單會從 VPN 集區、使用者路由許可權,以及啟動應用程式,使用 IP 和 DNS 設定來布建服務。
移至[存取>連線能力/VPN:網路存取 (VPN) >網路存取清單]。
選取 [建立]。
提供 VPN 存取清單和標題的名稱,例如 Contoso-VPN。
選取 [完成]。
從頂端功能區中,選取 [ 網路設定]。
針對 支援的 IP 版本:IPV4。
針對 IPV4 租用集區,選取建立的 VPN 集區,例如Contoso_vpn_pool
注意
使用 [用戶端設定] 選項,強制限制用戶端流量在已建立的 VPN 中路由的方式。
選取 [完成]。
移至 [DNS/主機] 索引標籤。
針對 IPV4 主要名稱伺服器:您的環境 DNS IP
針對 DNS 預設網域尾碼:此 VPN 連線的網域尾碼。 例如,contoso.com。
注意
請參閱 F5 文章:設定 網路存取資源 以取得其他設定。
需要 BIG-IP 連線設定檔,才能設定 VPN 服務需要支援的 VPN 用戶端類型設定。 例如,Windows、OSX 和 Android。
移至存取>連線能力/VPN>連線>設定檔
選取 [新增]。
輸入設定檔名稱。
例如,將父設定檔設定為 /Common/connectivity,例如Contoso_VPN_Profile。
如需用戶端支援的詳細資訊,請參閱 F5 文章 F5 Access 和 BIG-IP Edge Client。
存取設定檔設定
存取原則會啟用 SAML 驗證的服務。
移至存取設定檔/原則>存取>設定檔 (個別會話原則) 。
選取 [建立]。
輸入設定檔名稱和配置檔案類型。
選取 [全部],例如Contoso_network_access。
向下捲動,並將至少一種語言新增至 [接受的語言] 清單
選取 [完成]。
在新存取設定檔的 [Per-Session 原則] 欄位中,選取 [ 編輯]。
視覺化原則編輯器會在新的索引標籤中開啟。
+選取符號。
在功能表中,選取 [驗證>SAML 驗證]。
選取 [新增專案]。
在 SAML 驗證 SP 組態中,選取您建立的 VPN SAML SP 物件
選取 [儲存]。
針對 SAML 驗證的成功分支,選取 + 。
從 [指派] 索引標籤中,選取 [ 進階資源指派]。
選取 [新增專案]。
在快顯視窗中,選取 [新增專案]
選取 [新增/刪除]。
在視窗中,選取 [ 網路存取]。
選取您建立的網路存取設定檔。
移至 [Webtop] 索引標籤。
新增您所建立的 Webtop 物件。
選取 [更新]。
選取 [儲存]。
若要變更 [成功] 分支,請選取上方 [拒絕 ] 方塊中的連結。
[允許] 標籤隨即出現。
[儲存]。
選取 [套用存取原則]
關閉視覺化原則編輯器索引標籤。
發佈 VPN 服務
APM 需要前端虛擬伺服器接聽連線到 VPN 的用戶端。
選取[本機流量>虛擬伺服器>虛擬伺服器] 清單。
選取 [建立]。
針對 VPN 虛擬伺服器,輸入 名稱,例如VPN_Listener。
選取具有路由的未使用 IP 目的地位址 ,以接收用戶端流量。
將服務埠設定為 443 HTTPS。
針對 [狀態],確定已選取 [已啟用 ]。
將 HTTP 設定檔 設定為 HTTP。
針對您所建立的公用 SSL 憑證,新增 SSL 設定檔 (用戶端) 。
若要使用建立的 VPN 物件,請在 [存取原則] 底下,設定 存取設定檔 和 連線設定檔。
選取 [完成]。
您的 SSL-VPN 服務會透過 SHA 發佈,並透過其 URL 或透過 Microsoft 應用程式入口網站存取。
下一步
在遠端 Windows 用戶端上開啟瀏覽器。
流覽至 BIG-IP VPN 服務 URL。
BIG-IP Webtop 入口網站和 VPN 啟動器隨即出現。
注意
選取 VPN 圖格以安裝 BIG-IP Edge 用戶端,並建立針對 SHA 設定的 VPN 連線。 F5 VPN 應用程式會顯示為Microsoft Entra條件式存取中的目標資源。 請參閱條件式存取原則,讓使用者能夠Microsoft Entra識別碼無密碼驗證。