教學課程:為 Microsoft Entra SSO 設定 F5 BIG-IP SSL-VPN
在本教學課程中,瞭解如何整合 F5 BIG-IP 型安全套接字層虛擬專用網 (SSL-VPN) 與 Microsoft Entra ID,以安全混合式存取 (SHA)。
為 Microsoft Entra 單一登錄啟用 BIG-IP SSL-VPN 提供許多優點,包括:
- 透過 Microsoft Entra 預先驗證和條件式存取 零信任 治理。
- VPN 服務的無密碼驗證
- Microsoft Entra 系統管理中心,從單一控制平面 進行身分識別和存取管理
若要深入了解權益,請參閱
-
注意
傳統 VPN 會保持網路導向,通常很少提供對公司應用程式的精細存取。 我們鼓勵以身分識別為中心的方法來達成 零信任。 深入瞭解: 整合所有應用程式與 Microsoft Entra ID 的五個步驟。
案例描述
在此案例中,SSL-VPN 服務的 BIG-IP 存取原則管理員 (APM) 實例會設定為安全性聲明標記語言 (SAML) 服務提供者 (SP) 和 Microsoft Entra ID 是受信任的 SAML 識別提供者 (IdP)。 來自 Microsoft Entra ID 的單一登錄是透過對 BIG-IP APM 進行宣告式驗證,這是順暢的虛擬專用網 (VPN) 存取體驗。
注意
將本指南中的範例字串或值取代為您環境中的字串或值。
必要條件
不過,您不需要先前的經驗或 F5 BIG-IP 知識,但您需要:
- Microsoft Entra 訂用帳戶
- 如果您沒有帳戶,您可以取得 Azure 免費帳戶
- 從其內部部署目錄同步處理到 Microsoft Entra 識別碼的使用者身分識別
- 下列其中一個角色:Global 管理員 istrator、Cloud Application 管理員 istrator 或 Application 管理員 istrator
- 具有來自 BIG-IP 之用戶端流量路由的 BIG-IP 基礎結構
- 公用功能變數名稱伺服器中 BIG-IP 已發佈 VPN 服務的記錄(DNS)
- 或測試時測試用戶端localhost檔案
- 透過 HTTPS 發佈服務所需的 SSL 憑證所佈建的 BIG-IP
若要改善教學課程體驗,您可以學習 F5 BIG-IP 詞彙的業界標準術語。
從 Microsoft Entra 資源庫新增 F5 BIG-IP
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
設定 BIG-IP 之間的 SAML 同盟信任,讓 Microsoft Entra BIG-IP 在授與已發佈 VPN 服務的存取權之前,先將預先驗證和 條件式存取 權交給 Microsoft Entra ID。
- 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式>企業應用程式>][所有應用程式],然後選取 [新增應用程式]。
- 在資源庫中,搜尋 F5 ,然後選取 F5 BIG-IP APM Microsoft Entra ID 整合。
- 輸入應用程式的名稱。
- 選取 [新增],然後選取 [建立]。
- 名稱會以圖示的形式出現在 Microsoft Entra 系統管理中心和 Office 365 入口網站中。
設定 Microsoft Entra SSO
使用 F5 應用程式屬性,移至 [管理>單一登錄]。
在 [選取單一登入方法] 頁面上,選取 [SAML]。
選取 [ 否],稍後我會儲存。
在 [使用 SAML 設定單一登錄] 功能表上,選取 [基本 SAML 組態] 的畫筆圖示。
將 標識碼 URL 取代為您的 BIG-IP 已發佈服務 URL。 例如:
https://ssl-vpn.contoso.com
。取代 [ 回復 URL] 和 [SAML 端點路徑]。 例如:
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
。注意
在此設定中,應用程式會以IdP起始模式運作:Microsoft Entra ID 會在重新導向至 BIG-IP SAML 服務之前發出 SAML 判斷提示。
針對不支援 IdP 起始模式的應用程式,針對 BIG-IP SAML 服務,指定 登入 URL,例如
https://ssl-vpn.contoso.com
。針對 [註銷 URL],輸入所發行服務的主機標頭前面加上 BIG-IP APM 單一註銷 (SLO) 端點。 例如,
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
注意
SLO URL 可確保使用者會話在用戶註銷之後,在 BIG-IP 和 Microsoft Entra 標識符終止。BIG-IP APM 可以選擇在呼叫應用程式 URL 時終止所有會話。 深入瞭解 F5 文章 K12056:註銷 URI Include 選項的概觀。
.
注意
從TMOS v16,SAML SLO端點已變更為 /saml/sp/profile/redirect/slo。
選取儲存
略過 SSO 測試提示。
在 [用戶屬性和宣告 ] 屬性中,觀察詳細數據。
您可以將其他宣告新增至您的 BIG-IP 已發佈服務。 如果宣告位於 Microsoft Entra ID 中,則除了預設集之外定義的宣告也會發出。 在 Microsoft Entra ID 中針對使用者物件定義目錄 角色或群組 成員資格,然後才能發出宣告。
Microsoft Entra ID 所建立的 SAML 簽署憑證的存續期為三年。
Microsoft Entra 授權
根據預設,Microsoft Entra ID 會將令牌發行給獲授與服務存取權的使用者。
在應用程式組態檢視中,選取 [ 使用者和群組]。
選取 [+ 新增使用者]。
在 [ 新增指派] 功能表中,選取 [ 使用者和群組]。
在 [ 使用者和群組] 對話框中,新增授權存取 VPN 的使用者群組
選取 [選取>指派]。
您可以設定 BIG-IP APM 來發佈 SSL-VPN 服務。 使用對應的屬性進行設定,以完成 SAML 預先驗證的信任。
BIG-IP APM 設定
SAML 同盟
若要完成將 VPN 服務與 Microsoft Entra ID 同盟,請建立 BIG-IP SAML 服務提供者和對應的 SAML IDP 物件。
移至存取>同盟>SAML 服務提供者>本機 SP 服務。
選取 建立。
輸入 Microsoft Entra ID 中定義的名稱和實體識別碼。
輸入主機完整功能變數名稱 (FQDN) 以連線到應用程式。
注意
如果實體識別碼與已發佈 URL 的主機名不完全相符,請設定 SP 名稱 設定,如果它不是主機名 URL 格式,請執行此動作。 如果實體識別碼為
urn:ssl-vpn:contosoonline
,請提供所發行應用程式的外部配置和主機名。
向下捲動以選取新的 SAML SP 物件。
選取 [系結/取消系結 IDP 連線 ors]。
選取 [建立新的 IDP 連線 or]。
從下拉功能表中,選取 [從元數據]
流覽至您下載的同盟元數據 XML 檔案。
針對 APM 物件,提供 代表外部 SAML IdP 的識別提供者名稱 。
若要選取新的 Microsoft Entra 外部 IdP 連接器,請選取 [ 新增數據列]。
選取更新。
選取 [確定]。
Webtop 組態
透過 BIG-IP 入口網站將 SSL-VPN 提供給使用者。
移至 [ 存取>Webtops>Webtop 列表]。
選取 建立。
輸入入口網站名稱。
將類型設定為 Full,例如
Contoso_webtop
。完成其餘喜好設定。
選取 [已完成]。
VPN 設定
VPN 元素可控制整體服務的各個層面。
移至存取 >連線 ivity/VPN 網路存取 (VPN>)>IPV4 租用集區
選取 建立。
輸入配置給 VPN 用戶端之 IP 位址池的名稱。 例如,Contoso_vpn_pool。
將類型設定為 [IP 位址範圍]。
輸入開始和結束IP。
選取 [新增]。
選取 [已完成]。
網路存取清單會從 VPN 集區、使用者路由許可權,以及啟動應用程式,使用 IP 和 DNS 設定來布建服務。
移至 [存取> 連線/VPN:網路存取(VPN)>網路存取清單。
選取 建立。
提供 VPN 存取清單和 標題 的名稱,例如 Contoso-VPN。
選取 [已完成]。
從頂端功能區中,選取 [網络 設定]。
針對 支援的IP版本:IPV4。
針對 [IPV4 租用集區],選取建立的 VPN 集區,例如Contoso_vpn_pool
注意
使用用戶端 設定 選項來強制執行用戶端流量在已建立 VPN 中路由傳送方式的限制。
選取 [已完成]。
移至 [ DNS/主機] 索引標籤 。
針對 IPV4 主要名稱伺服器:您的環境 DNS IP
針對 DNS 預設網域後綴:此 VPN 連線的網域後綴。 例如,contoso.com
注意
請參閱 F5 文章: 設定其他設定的網路存取資源 。
需要 BIG-IP 連線配置檔,才能設定 VPN 服務需要支援的 VPN 用戶端類型設定。 例如,Windows、OSX 和 Android。
移至 Access> 連線 ivity/VPN> 連線 ivity 配置檔>
選取 [新增]。
輸入配置檔名稱。
將父配置檔設定為 /Common/connectivity,例如,Contoso_VPN_Profile。
如需用戶端支援的詳細資訊,請參閱 F5 文章 F5 存取和 BIG-IP Edge 用戶端。
存取配置檔組態
存取原則會啟用 SAML 驗證的服務。
移至存取>配置檔/原則>存取配置檔(每一會話原則)。
選取 建立。
輸入設定檔名稱和配置檔類型。
選取 [全部],例如Contoso_network_access。
向下卷動,並將至少一種語言新增至 [ 接受的語言] 清單
選取 [已完成]。
在新的存取配置檔中,於 [每一會話原則] 字段上,選取 [ 編輯]。
可視化原則編輯器會在新的索引標籤中開啟。
選取符號 + 。
在功能表中,選取 [驗證>SAML 驗證]。
選取 [ 新增專案]。
在 SAML 驗證 SP 組態中,選取您建立的 VPN SAML SP 物件
選取 [儲存]。
針對 SAML 驗證的成功分支,選取 + 。
從 [指派] 索引標籤中,選取 [ 進階資源指派]。
選取 [ 新增專案]。
在彈出視窗中,選取 [ 新增專案]
選取 [ 新增/刪除]。
在視窗中,選取 [ 網络存取]。
選取您建立的網路存取設定檔。
移至 [ Webtop] 索引標籤 。
新增您建立的 Webtop 物件。
選取更新。
選取儲存。
若要變更 [成功] 分支,請選取上方 [拒絕 ] 方塊中的連結。
[允許] 標籤隨即出現。
儲存。
選取 [ 套用存取原則]
關閉視覺效果原則編輯器索引標籤。
發佈 VPN 服務
APM 需要前端虛擬伺服器接聽連線到 VPN 的用戶端。
選取 [本機流量>虛擬伺服器>虛擬伺服器] 清單。
選取 建立。
針對 VPN 虛擬伺服器,輸入 名稱,例如VPN_Listener。
選取具有路由的未使用 IP目的地位址 ,以接收用戶端流量。
將服務埠設定為 443 HTTPS。
針對 [狀態],請確定 已選取 [已啟用 ]。
將 HTTP 設定檔 設定為 HTTP。
為您所建立的公用SSL憑證新增 SSL 配置檔(用戶端)。
若要使用建立的 VPN 物件,請在 [存取原則] 底下設定 [存取配置檔] 和 [連線 ivity 配置檔]。
選取 [已完成]。
您的 SSL-VPN 服務會透過 SHA 發佈和存取,其 URL 或透過 Microsoft 應用程式入口網站。
下一步
在遠端 Windows 用戶端上開啟瀏覽器。
流覽至 BIG-IP VPN 服務 URL。
BIG-IP Webtop 入口網站和 VPN 啟動器隨即出現。