教學課程：設定 F5 BIG-IP SSL-VPN for Microsoft Entra SSO

在本教學課程中，瞭解如何整合 F5 BIG IP 型安全通訊端層虛擬私人網路 (SSL-VPN) Microsoft Entra與安全混合式存取 (SHA) 識別碼。

啟用 BIG-IP SSL-VPN for Microsoft Entra 單一登入 (SSO) 提供許多優點，包括：

• 透過Microsoft Entra預先驗證和條件式存取改善零信任治理。
  • 何謂條件式存取？
• VPN 服務的無密碼驗證
• 管理單一控制平面的身分識別和存取權，Microsoft Entra系統管理中心

若要深入瞭解權益，請參閱

• 整合 F5 BIG-IP 與Microsoft Entra識別碼
• 什麼是單一登入Microsoft Entra識別碼？

注意

傳統 VPN 會維持網路導向，通常幾乎無法更精細地存取公司應用程式。 我們鼓勵以身分識別為中心的方法，以達成零信任。 深入瞭解：將所有應用程式與Microsoft Entra識別碼整合的五個步驟。

案例描述

在此案例中，SSL-VPN 服務的 BIG-IP APM 實例會設定為 SAML 服務提供者 (SP) ，而Microsoft Entra識別碼是受信任的 SAML IDP。 來自Microsoft Entra識別碼的 SSO 是透過宣告型驗證提供給 BIG-IP APM，這是順暢的 VPN 存取體驗。

注意

將本指南中的範例字串或值取代為您環境中的字串或值。

必要條件

不過，您不需要對 F5 BIG-IP 預先擁有經驗或知識，您只需要：

• Microsoft Entra訂用帳戶
  • 如果您沒有帳戶，您可以取得 Azure 免費帳戶 或更新版本
• 從其內部部署目錄同步處理到Microsoft Entra識別碼的使用者身分識別。
• 下列其中一個角色：全域管理員、雲端應用程式管理員或應用程式管理員。
• 具有來自 BIG-IP 的用戶端流量路由的 BIG-IP 基礎結構
  • 或 將 BIG-IP Virtual Edition 部署到 Azure
• 公用 DNS 中 BIG-IP 已發佈 VPN 服務的記錄
  • 或測試時的測試用戶端 localhost 檔案
• 透過 HTTPS 發佈服務所需的 SSL 憑證所布建的 BIG-IP

若要改善教學課程體驗，您可以瞭解 F5 BIG-IP 詞彙的業界標準術語。

從Microsoft Entra資源庫新增 F5 BIG-IP

提示

本文中的步驟可能會根據您開始的入口網站稍有不同。

在 BIG-IP 之間設定 SAML 同盟信任，以允許Microsoft Entra BIG-IP 在授與已發行 VPN 服務的存取權之前，先將預先驗證和條件式存取授與Microsoft Entra識別碼。

1. 至少以雲端應用程式管理員身分登入Microsoft Entra系統管理中心。
2. 流覽至[身分> 識別應用程式>企業應用程式>][所有應用程式]，然後選取 [新增應用程式]。
3. 在資源庫中搜尋 F5 ，然後選取 F5 BIG-IP APM Azure AD 整合。
4. 輸入應用程式的名稱。
5. 選取 [新增 ]，然後 選取 [建立]。
6. 名稱會以圖示的形式出現在Microsoft Entra系統管理中心和Office 365入口網站中。

設定 Microsoft Entra SSO

1. 使用 F5 應用程式屬性，移至[管理>單一登入]。
2. 在 [選取單一登入方法] 頁面上，選取 [SAML]。
3. 選取 [否]，稍後會儲存。
4. 在 [使用 SAML 設定單一登入] 功能表上，選取 [基本 SAML 組態] 的畫筆圖示。
5. 以您的 BIG-IP 已發佈服務 URL 取代 識別碼 URL。 例如： https://ssl-vpn.contoso.com 。
6. 取代 [回復 URL] 和 [SAML 端點路徑]。 例如： https://ssl-vpn.contoso.com/saml/sp/profile/post/acs 。

注意

在此設定中，應用程式會以 IdP 起始模式運作：Microsoft Entra識別碼會在重新導向至 BIG-IP SAML 服務之前發出 SAML 判斷提示。

7. 對於不支援 IdP 起始模式的應用程式，針對 BIG-IP SAML 服務，指定 登入 URL，例如 https://ssl-vpn.contoso.com 。
8. 針對 [登出 URL]，輸入發行服務主機標頭預先傳送的 BIG-IP APM 單一登出 (SLO) 端點。 例如， https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

注意

SLO URL 可確保在使用者登出之後，在 BIG-IP 和Microsoft Entra識別碼終止使用者會話。BIG-IP APM 可以選擇在呼叫應用程式 URL 時終止所有會話。 深入瞭解 F5 文章 K12056：登出 URI 包含選項的概觀。

注意

從 TMOS v16 版本開始，SAML SLO 端點已變更為 /saml/sp/profile/redirect/slo。

9. 選取 [儲存]

10. 跳過 SSO 測試提示。

11. 在 [使用者屬性 & 宣告 ] 屬性中，觀察詳細資料。

    

您可以將其他宣告新增至 BIG-IP 已發佈的服務。 如果宣告位於Microsoft Entra識別碼中，則除了預設集之外定義的宣告也會發出。 在Microsoft Entra識別碼中針對使用者物件定義目錄角色或群組成員資格，才能將其發行為宣告。

Microsoft Entra識別碼所建立的 SAML 簽署憑證存續期為三年。

Microsoft Entra授權

根據預設，Microsoft Entra識別碼會將權杖發出給具有服務存取權的使用者。

1. 在應用程式組態檢視中，選取 [使用者和群組]。

2. 選取 [+ 新增使用者]。

3. 在 [ 新增指派] 功能表中，選取 [使用者和群組]。

4. 在 [ 使用者和群組 ] 對話方塊中，新增授權存取 VPN 的使用者群組

5. 選取[選取>指派]。

   

您可以設定 BIG-IP APM 來發佈 SSL-VPN 服務。 使用對應的屬性進行設定，以完成 SAML 預先驗證的信任。

BIG-IP APM 設定

SAML 同盟

若要完成將 VPN 服務與Microsoft Entra識別碼同盟，請建立 BIG-IP SAML 服務提供者和對應的 SAML IDP 物件。

1. 移至存取>同盟>SAML 服務提供者>本機 SP 服務。

2. 選取 [建立]。

   

3. 輸入Microsoft Entra識別碼中定義的[名稱] 和[實體識別碼]。

4. 輸入主機 FQDN 以連線到應用程式。

   

注意

如果實體識別碼與已發佈 URL 的主機名稱不完全相符，請設定 SP 名稱 設定，如果它不是主機名稱 URL 格式，請執行此動作。 如果實體識別碼為 urn:ssl-vpn:contosoonline ，請提供要發行之應用程式的外部配置和主機名稱。

5. 向下捲動以選取新的 SAML SP 物件。

6. 選取 [系結/取消系結 IDP 連接器]。

   

7. 選取 [建立新的 IDP 連接器]。

8. 從下拉式功能表中，選取 [從中繼資料]

   

9. 流覽至您下載的同盟中繼資料 XML 檔案。

10. 針對 APM 物件，提供代表外部 SAML IdP 的 識別提供者名稱 。

11. 若要選取新的Microsoft Entra外部 IdP 連接器，請選取 [新增資料列]。

    

12. 選取 [更新]。

13. 選取 [確定]。

    

Webtop 設定

讓 SSL-VPN 可透過 BIG-IP 入口網站提供給使用者。

1. 移至[存取>Webtops>Webtop 清單]。

2. 選取 [建立]。

3. 輸入入口網站名稱。

4. 將類型設定為 Full，例如 Contoso_webtop 。

5. 完成其餘喜好設定。

6. 選取 [完成]。

   

VPN 設定

VPN 元素控制整體服務的層面。

1. 移至存取>連線能力/VPN>網路存取 (VPN) >IPV4 租用集區

2. 選取 [建立]。

3. 輸入配置給 VPN 用戶端的 IP 位址池名稱。 例如，Contoso_vpn_pool。

4. 將類型設定為 [IP 位址範圍]。

5. 輸入開始和結束 IP。

6. 選取 [新增]。

7. 選取 [完成]。

   

網路存取清單會從 VPN 集區、使用者路由許可權，以及啟動應用程式，使用 IP 和 DNS 設定來布建服務。

1. 移至[存取>連線能力/VPN：網路存取 (VPN) >網路存取清單]。

2. 選取 [建立]。

3. 提供 VPN 存取清單和標題的名稱，例如 Contoso-VPN。

4. 選取 [完成]。

   

5. 從頂端功能區中，選取 [ 網路設定]。

6. 針對 支援的 IP 版本：IPV4。

7. 針對 IPV4 租用集區，選取建立的 VPN 集區，例如Contoso_vpn_pool

   

注意

使用 [用戶端設定] 選項，強制限制用戶端流量在已建立的 VPN 中路由的方式。

8. 選取 [完成]。

9. 移至 [DNS/主機] 索引標籤。

10. 針對 IPV4 主要名稱伺服器：您的環境 DNS IP

11. 針對 DNS 預設網域尾碼：此 VPN 連線的網域尾碼。 例如，contoso.com。

    

注意

請參閱 F5 文章：設定 網路存取資源 以取得其他設定。

需要 BIG-IP 連線設定檔，才能設定 VPN 服務需要支援的 VPN 用戶端類型設定。 例如，Windows、OSX 和 Android。

1. 移至存取>連線能力/VPN>連線>設定檔

2. 選取 [新增]。

3. 輸入設定檔名稱。

4. 例如，將父設定檔設定為 /Common/connectivity，例如Contoso_VPN_Profile。

   

如需用戶端支援的詳細資訊，請參閱 F5 文章 F5 Access 和 BIG-IP Edge Client。

存取設定檔設定

存取原則會啟用 SAML 驗證的服務。

1. 移至存取設定檔/原則>存取>設定檔 (個別會話原則) 。

2. 選取 [建立]。

3. 輸入設定檔名稱和配置檔案類型。

4. 選取 [全部]，例如Contoso_network_access。

5. 向下捲動，並將至少一種語言新增至 [接受的語言] 清單

6. 選取 [完成]。

   

7. 在新存取設定檔的 [Per-Session 原則] 欄位中，選取 [ 編輯]。

8. 視覺化原則編輯器會在新的索引標籤中開啟。

   

9. +選取符號。

10. 在功能表中，選取 [驗證>SAML 驗證]。

11. 選取 [新增專案]。

12. 在 SAML 驗證 SP 組態中，選取您建立的 VPN SAML SP 物件

13. 選取 [儲存]。

    

14. 針對 SAML 驗證的成功分支，選取 + 。

15. 從 [指派] 索引標籤中，選取 [ 進階資源指派]。

16. 選取 [新增專案]。

    

17. 在快顯視窗中，選取 [新增專案]

18. 選取 [新增/刪除]。

19. 在視窗中，選取 [ 網路存取]。

20. 選取您建立的網路存取設定檔。

    

21. 移至 [Webtop] 索引標籤。

22. 新增您所建立的 Webtop 物件。

    

23. 選取 [更新]。

24. 選取 [儲存]。

25. 若要變更 [成功] 分支，請選取上方 [拒絕 ] 方塊中的連結。

26. [允許] 標籤隨即出現。

27. [儲存]。

    

28. 選取 [套用存取原則]

29. 關閉視覺化原則編輯器索引標籤。

    

發佈 VPN 服務

APM 需要前端虛擬伺服器接聽連線到 VPN 的用戶端。

1. 選取[本機流量>虛擬伺服器>虛擬伺服器] 清單。

2. 選取 [建立]。

3. 針對 VPN 虛擬伺服器，輸入 名稱，例如VPN_Listener。

4. 選取具有路由的未使用 IP 目的地位址 ，以接收用戶端流量。

5. 將服務埠設定為 443 HTTPS。

6. 針對 [狀態]，確定已選取 [已啟用 ]。

   

7. 將 HTTP 設定檔 設定為 HTTP。

8. 針對您所建立的公用 SSL 憑證，新增 SSL 設定檔 (用戶端) 。

   

9. 若要使用建立的 VPN 物件，請在 [存取原則] 底下，設定 存取設定檔 和 連線設定檔。

   

10. 選取 [完成]。

您的 SSL-VPN 服務會透過 SHA 發佈，並透過其 URL 或透過 Microsoft 應用程式入口網站存取。

下一步

1. 在遠端 Windows 用戶端上開啟瀏覽器。

2. 流覽至 BIG-IP VPN 服務 URL。

3. BIG-IP Webtop 入口網站和 VPN 啟動器隨即出現。

   

注意

選取 VPN 圖格以安裝 BIG-IP Edge 用戶端，並建立針對 SHA 設定的 VPN 連線。 F5 VPN 應用程式會顯示為Microsoft Entra條件式存取中的目標資源。 請參閱條件式存取原則，讓使用者能夠Microsoft Entra識別碼無密碼驗證。

資源

• 終結密碼，邁向無密碼
• 完整應用程式與Microsoft Entra識別碼整合的五個步驟
• 啟用遠端工作的 Microsoft 零信任架構