教學課程：為 Microsoft Entra SSO 設定 F5 BIG-IP SSL-VPN

在本教學課程中，瞭解如何整合 F5 BIG-IP 型安全套接字層虛擬專用網 （SSL-VPN） 與 Microsoft Entra ID，以安全混合式存取 （SHA）。

為 Microsoft Entra 單一登錄啟用 BIG-IP SSL-VPN 提供許多優點，包括：

• 透過 Microsoft Entra 預先驗證和條件式存取 零信任 治理。
  • 條件式存取
• VPN 服務的無密碼驗證
• Microsoft Entra 系統管理中心，從單一控制平面 進行身分識別和存取管理

若要深入了解權益，請參閱

• F5 BIG-IP 與 Microsoft Entra ID 整合

• Microsoft Entra ID 中的 SSO

  注意

  傳統 VPN 會保持網路導向，通常很少提供對公司應用程式的精細存取。 我們鼓勵以身分識別為中心的方法來達成 零信任。 深入瞭解： 整合所有應用程式與 Microsoft Entra ID 的五個步驟。

案例描述

在此案例中，SSL-VPN 服務的 BIG-IP 存取原則管理員 （APM） 實例會設定為安全性聲明標記語言 （SAML） 服務提供者 （SP） 和 Microsoft Entra ID 是受信任的 SAML 識別提供者 （IdP）。 來自 Microsoft Entra ID 的單一登錄是透過對 BIG-IP APM 進行宣告式驗證，這是順暢的虛擬專用網 （VPN） 存取體驗。

注意

將本指南中的範例字串或值取代為您環境中的字串或值。

必要條件

不過，您不需要先前的經驗或 F5 BIG-IP 知識，但您需要：

• Microsoft Entra 訂用帳戶
  • 如果您沒有帳戶，您可以取得 Azure 免費帳戶
• 從其內部部署目錄同步處理到 Microsoft Entra 識別碼的使用者身分識別
• 下列其中一個角色：Global 管理員 istrator、Cloud Application 管理員 istrator 或 Application 管理員 istrator
• 具有來自 BIG-IP 之用戶端流量路由的 BIG-IP 基礎結構
  • 或 將 BIG-IP Virtual Edition 部署到 Azure
• 公用功能變數名稱伺服器中 BIG-IP 已發佈 VPN 服務的記錄（DNS）
  • 或測試時測試用戶端localhost檔案
• 透過 HTTPS 發佈服務所需的 SSL 憑證所佈建的 BIG-IP

若要改善教學課程體驗，您可以學習 F5 BIG-IP 詞彙的業界標準術語。

從 Microsoft Entra 資源庫新增 F5 BIG-IP

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

設定 BIG-IP 之間的 SAML 同盟信任，讓 Microsoft Entra BIG-IP 在授與已發佈 VPN 服務的存取權之前，先將預先驗證和 條件式存取 權交給 Microsoft Entra ID。

1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 [身分>識別應用程式>企業應用程式>][所有應用程式]，然後選取 [新增應用程式]。
3. 在資源庫中，搜尋 F5 ，然後選取 F5 BIG-IP APM Microsoft Entra ID 整合。
4. 輸入應用程式的名稱。
5. 選取 [新增]，然後選取 [建立]。
6. 名稱會以圖示的形式出現在 Microsoft Entra 系統管理中心和 Office 365 入口網站中。

設定 Microsoft Entra SSO

1. 使用 F5 應用程式屬性，移至 [管理>單一登錄]。

2. 在 [選取單一登入方法] 頁面上，選取 [SAML]。

3. 選取 [ 否]，稍後我會儲存。

4. 在 [使用 SAML 設定單一登錄] 功能表上，選取 [基本 SAML 組態] 的畫筆圖示。

5. 將 標識碼 URL 取代為您的 BIG-IP 已發佈服務 URL。 例如： https://ssl-vpn.contoso.com 。

6. 取代 [ 回復 URL] 和 [SAML 端點路徑]。 例如： https://ssl-vpn.contoso.com/saml/sp/profile/post/acs 。

   注意

   在此設定中，應用程式會以IdP起始模式運作：Microsoft Entra ID 會在重新導向至 BIG-IP SAML 服務之前發出 SAML 判斷提示。

7. 針對不支援 IdP 起始模式的應用程式，針對 BIG-IP SAML 服務，指定 登入 URL，例如 https://ssl-vpn.contoso.com。

8. 針對 [註銷 URL]，輸入所發行服務的主機標頭前面加上 BIG-IP APM 單一註銷 （SLO） 端點。 例如，https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

   注意

   SLO URL 可確保使用者會話在用戶註銷之後，在 BIG-IP 和 Microsoft Entra 標識符終止。BIG-IP APM 可以選擇在呼叫應用程式 URL 時終止所有會話。 深入瞭解 F5 文章 K12056：註銷 URI Include 選項的概觀。

.

注意

從TMOS v16，SAML SLO端點已變更為 /saml/sp/profile/redirect/slo。

9. 選取儲存

10. 略過 SSO 測試提示。

11. 在 [用戶屬性和宣告 ] 屬性中，觀察詳細數據。

    

您可以將其他宣告新增至您的 BIG-IP 已發佈服務。 如果宣告位於 Microsoft Entra ID 中，則除了預設集之外定義的宣告也會發出。 在 Microsoft Entra ID 中針對使用者物件定義目錄 角色或群組 成員資格，然後才能發出宣告。

Microsoft Entra ID 所建立的 SAML 簽署憑證的存續期為三年。

Microsoft Entra 授權

根據預設，Microsoft Entra ID 會將令牌發行給獲授與服務存取權的使用者。

1. 在應用程式組態檢視中，選取 [ 使用者和群組]。

2. 選取 [+ 新增使用者]。

3. 在 [ 新增指派] 功能表中，選取 [ 使用者和群組]。

4. 在 [ 使用者和群組] 對話框中，新增授權存取 VPN 的使用者群組

5. 選取 [選取>指派]。

   

您可以設定 BIG-IP APM 來發佈 SSL-VPN 服務。 使用對應的屬性進行設定，以完成 SAML 預先驗證的信任。

BIG-IP APM 設定

SAML 同盟

若要完成將 VPN 服務與 Microsoft Entra ID 同盟，請建立 BIG-IP SAML 服務提供者和對應的 SAML IDP 物件。

1. 移至存取>同盟>SAML 服務提供者>本機 SP 服務。

2. 選取 建立。

   

3. 輸入 Microsoft Entra ID 中定義的名稱和實體識別碼。

4. 輸入主機完整功能變數名稱 （FQDN） 以連線到應用程式。

   

   注意

如果實體識別碼與已發佈 URL 的主機名不完全相符，請設定 SP 名稱 設定，如果它不是主機名 URL 格式，請執行此動作。 如果實體識別碼為 urn:ssl-vpn:contosoonline，請提供所發行應用程式的外部配置和主機名。

5. 向下捲動以選取新的 SAML SP 物件。

6. 選取 [系結/取消系結 IDP 連線 ors]。

   

7. 選取 [建立新的 IDP 連線 or]。

8. 從下拉功能表中，選取 [從元數據]

   

9. 流覽至您下載的同盟元數據 XML 檔案。

10. 針對 APM 物件，提供 代表外部 SAML IdP 的識別提供者名稱 。

11. 若要選取新的 Microsoft Entra 外部 IdP 連接器，請選取 [ 新增數據列]。

    

12. 選取更新。

13. 選取 [確定]。

    

Webtop 組態

透過 BIG-IP 入口網站將 SSL-VPN 提供給使用者。

1. 移至 [ 存取>Webtops>Webtop 列表]。

2. 選取 建立。

3. 輸入入口網站名稱。

4. 將類型設定為 Full，例如 Contoso_webtop。

5. 完成其餘喜好設定。

6. 選取 [已完成]。

   

VPN 設定

VPN 元素可控制整體服務的各個層面。

1. 移至存取 >連線 ivity/VPN 網路存取 （VPN>）>IPV4 租用集區

2. 選取 建立。

3. 輸入配置給 VPN 用戶端之 IP 位址池的名稱。 例如，Contoso_vpn_pool。

4. 將類型設定為 [IP 位址範圍]。

5. 輸入開始和結束IP。

6. 選取 [新增]。

7. 選取 [已完成]。

   

網路存取清單會從 VPN 集區、使用者路由許可權，以及啟動應用程式，使用 IP 和 DNS 設定來布建服務。

1. 移至 [存取> 連線/VPN：網路存取（VPN）>網路存取清單。

2. 選取 建立。

3. 提供 VPN 存取清單和 標題 的名稱，例如 Contoso-VPN。

4. 選取 [已完成]。

   

5. 從頂端功能區中，選取 [網络 設定]。

6. 針對 支援的IP版本：IPV4。

7. 針對 [IPV4 租用集區]，選取建立的 VPN 集區，例如Contoso_vpn_pool

   

   注意

   使用用戶端 設定 選項來強制執行用戶端流量在已建立 VPN 中路由傳送方式的限制。

8. 選取 [已完成]。

9. 移至 [ DNS/主機] 索引標籤 。

10. 針對 IPV4 主要名稱伺服器：您的環境 DNS IP

11. 針對 DNS 預設網域後綴：此 VPN 連線的網域後綴。 例如，contoso.com

    

注意

請參閱 F5 文章： 設定其他設定的網路存取資源 。

需要 BIG-IP 連線配置檔，才能設定 VPN 服務需要支援的 VPN 用戶端類型設定。 例如，Windows、OSX 和 Android。

1. 移至 Access> 連線 ivity/VPN> 連線 ivity 配置檔>

2. 選取 [新增]。

3. 輸入配置檔名稱。

4. 將父配置檔設定為 /Common/connectivity，例如，Contoso_VPN_Profile。

   

如需用戶端支援的詳細資訊，請參閱 F5 文章 F5 存取和 BIG-IP Edge 用戶端。

存取配置檔組態

存取原則會啟用 SAML 驗證的服務。

1. 移至存取>配置檔/原則>存取配置檔（每一會話原則）。

2. 選取 建立。

3. 輸入設定檔名稱和配置檔類型。

4. 選取 [全部]，例如Contoso_network_access。

5. 向下卷動，並將至少一種語言新增至 [ 接受的語言] 清單

6. 選取 [已完成]。

   

7. 在新的存取配置檔中，於 [每一會話原則] 字段上，選取 [ 編輯]。

8. 可視化原則編輯器會在新的索引標籤中開啟。

   

9. 選取符號 + 。

10. 在功能表中，選取 [驗證>SAML 驗證]。

11. 選取 [ 新增專案]。

12. 在 SAML 驗證 SP 組態中，選取您建立的 VPN SAML SP 物件

13. 選取 [儲存]。

    

14. 針對 SAML 驗證的成功分支，選取 + 。

15. 從 [指派] 索引標籤中，選取 [ 進階資源指派]。

16. 選取 [ 新增專案]。

    

17. 在彈出視窗中，選取 [ 新增專案]

18. 選取 [ 新增/刪除]。

19. 在視窗中，選取 [ 網络存取]。

20. 選取您建立的網路存取設定檔。

    

21. 移至 [ Webtop] 索引標籤 。

22. 新增您建立的 Webtop 物件。

    

23. 選取更新。

24. 選取儲存。

25. 若要變更 [成功] 分支，請選取上方 [拒絕 ] 方塊中的連結。

26. [允許] 標籤隨即出現。

27. 儲存。

    

28. 選取 [ 套用存取原則]

29. 關閉視覺效果原則編輯器索引標籤。

    

發佈 VPN 服務

APM 需要前端虛擬伺服器接聽連線到 VPN 的用戶端。

1. 選取 [本機流量>虛擬伺服器>虛擬伺服器] 清單。

2. 選取 建立。

3. 針對 VPN 虛擬伺服器，輸入 名稱，例如VPN_Listener。

4. 選取具有路由的未使用 IP目的地位址 ，以接收用戶端流量。

5. 將服務埠設定為 443 HTTPS。

6. 針對 [狀態]，請確定 已選取 [已啟用 ]。

   

7. 將 HTTP 設定檔 設定為 HTTP。

8. 為您所建立的公用SSL憑證新增 SSL 配置檔（用戶端）。

   

9. 若要使用建立的 VPN 物件，請在 [存取原則] 底下設定 [存取配置檔] 和 [連線 ivity 配置檔]。

   

10. 選取 [已完成]。

您的 SSL-VPN 服務會透過 SHA 發佈和存取，其 URL 或透過 Microsoft 應用程式入口網站。

下一步

1. 在遠端 Windows 用戶端上開啟瀏覽器。

2. 流覽至 BIG-IP VPN 服務 URL。

3. BIG-IP Webtop 入口網站和 VPN 啟動器隨即出現。

   

   注意

   選取 [VPN] 圖格以安裝 BIG-IP Edge 用戶端，並建立針對 SHA 設定的 VPN 連線。 F5 VPN 應用程式會顯示為 Microsoft Entra 條件式存取中的目標資源。 請參閱 條件式存取原則 ，以讓用戶進行 Microsoft Entra ID 無密碼驗證。

資源

• 密碼結尾，無密碼
• 完整應用程式與 Microsoft Entra ID 整合的五個步驟
• Microsoft 零信任 架構來啟用遠端工作