Udostępnij za pośrednictwem

Samouczek: konfigurowanie protokołu SSL-VPN protokołu F5 BIG-IP dla usługi Microsoft Entra SSO

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować wirtualną sieć prywatną (SSL-VPN) opartą na protokole F5 BIG-IP z funkcją Microsoft Entra ID na potrzeby bezpiecznego dostępu hybrydowego (SHA).

Włączenie protokołu SSL-VPN BIG-IP dla aplikacji Microsoft Entra z logowaniem jednokrotnym zapewnia wiele korzyści, w tym:

  • Ład zero trust za pośrednictwem wstępnego uwierzytelniania firmy Microsoft i dostępu warunkowego.
  • Uwierzytelnianie bez hasła w usłudze sieci VPN
  • Zarządzanie tożsamościami i dostępem z jednej płaszczyzny sterowania — centrum administracyjne firmy Microsoft Entra

Aby dowiedzieć się więcej o dodatkowych korzyściach, zobacz

Opis scenariusza

W tym scenariuszu wystąpienie menedżera zasad dostępu BIG-IP (APM) usługi SSL-VPN jest skonfigurowane jako dostawca usług SAML (Security Assertion Markup Language) i Microsoft Entra ID jest zaufanym dostawcą tożsamości SAML (IdP). Logowanie jednokrotne (SSO) z firmy Microsoft Entra ID odbywa się za pośrednictwem uwierzytelniania opartego na oświadczeniach do aplikacji BIG-IP APM, bezproblemowego środowiska dostępu wirtualnej sieci prywatnej (VPN).

Diagram architektury integracji.

Uwaga

Zastąp przykładowe ciągi lub wartości w tym przewodniku tymi w środowisku.

Wymagania wstępne

Wcześniejsze doświadczenie lub wiedza na temat F5 BIG-IP nie jest konieczne, jednak potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra
    • Jeśli go nie masz, możesz uzyskać bezpłatne konto platformy Azure
  • Tożsamości użytkowników synchronizowane z katalogu lokalnego do identyfikatora Entra firmy Microsoft
  • Jedna z następujących ról: Administrator aplikacji w chmurze lub Administrator aplikacji
  • Infrastruktura BIG-IP z routingiem ruchu klienta do i z big-IP
  • Rekord opublikowanej usługi sieci VPN BIG-IP na serwerze nazw domen publicznych (DNS)
    • Lub testowy plik localhost klienta podczas testowania
  • Adres BIG-IP aprowizowany przy użyciu wymaganych certyfikatów SSL do publikowania usług za pośrednictwem protokołu HTTPS

Aby ulepszyć środowisko samouczka, możesz poznać standardową terminologię dotyczącą słownika F5 BIG-IP.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Skonfiguruj relację zaufania federacji SAML między adresem BIG-IP, aby umożliwić firmie Microsoft Entra BIG-IP przekazanie wstępnego uwierzytelniania i dostępu warunkowego do identyfikatora Entra firmy Microsoft, zanim udzieli dostępu do opublikowanej usługi sieci VPN.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do pozycji Identity>Applications Enterprise Applications>Wszystkie aplikacje>, a następnie wybierz pozycję Nowa aplikacja.
  3. W galerii wyszukaj pozycję F5 i wybierz pozycję F5 BIG-IP APM Microsoft Entra ID integration (Integracja identyfikatora F5 BIG-IP APM Firmy Microsoft Entra).
  4. Wprowadź nazwę aplikacji.
  5. Wybierz pozycję Dodaj , a następnie pozycję Utwórz.
  6. Nazwa jest wyświetlana jako ikona w centrum administracyjnym firmy Microsoft i portalu usługi Office 365.

Konfigurowanie logowania jednokrotnego firmy Microsoft

  1. We właściwościach aplikacji F5 przejdź do pozycji Zarządzanie>logowaniem jednokrotnym.

  2. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  3. Wybierz pozycję Nie, zapiszę później.

  4. W menu Setup single sign-on with SAML (Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML) wybierz ikonę pióra dla pozycji Podstawowa konfiguracja protokołu SAML.

  5. Zastąp adres URL identyfikatora adresem URL opublikowanej usługi BIG-IP. Na przykład https://ssl-vpn.contoso.com.

  6. Zastąp adres URL odpowiedzi i ścieżką punktu końcowego SAML. Na przykład https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Uwaga

    W tej konfiguracji aplikacja działa w trybie inicjowanym przez dostawcę tożsamości: Identyfikator entra firmy Microsoft wystawia asercji SAML przed przekierowaniem do usługi SAML BIG-IP.

  7. W przypadku aplikacji, które nie obsługują trybu inicjowanego przez dostawcę tożsamości, w przypadku usługi SAML BIG-IP określ adres URL logowania, na przykład https://ssl-vpn.contoso.com.

  8. W polu Adres URL wylogowywania wprowadź punkt końcowy logowania jednokrotnego (SLO) BIG-IP APM poprzedzony nagłówkiem hosta publikowanej usługi. Na przykład https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Uwaga

    Adres URL celu slo zapewnia zakończenie sesji użytkownika w big-IP i microsoft Entra ID po wylogowaniu się użytkownika. Big-IP APM ma możliwość zakończenia wszystkich sesji podczas wywoływania adresu URL aplikacji. Dowiedz się więcej na temat artykułu F5 K12056 : Omówienie opcji Dołączanie identyfikatora URI wyloguj.

Zrzut ekranu przedstawiający podstawowe adresy URL konfiguracji protokołu SAML..

Uwaga

Z TMOS v16 punkt końcowy SLO SAML został zmieniony na /saml/sp/profile/redirect/slo.

  1. Wybierz pozycję Zapisz

  2. Pomiń wiersz testu logowania jednokrotnego.

  3. W obszarze Właściwości atrybutów użytkownika i oświadczeń obserwuj szczegóły.

    Zrzut ekranu przedstawiający atrybuty użytkownika i właściwości oświadczeń.

Możesz dodać inne oświadczenia do opublikowanej usługi BIG-IP. Oświadczenia zdefiniowane oprócz zestawu domyślnego są wystawiane, jeśli znajdują się w identyfikatorze Entra firmy Microsoft. Zdefiniuj role katalogu lub członkostwa w grupach względem obiektu użytkownika w identyfikatorze Entra firmy Microsoft, zanim będą one wystawiane jako oświadczenie.

Certyfikaty podpisywania SAML utworzone przez microsoft Entra ID mają okres istnienia wynoszący trzy lata.

Autoryzacja firmy Microsoft Entra

Domyślnie identyfikator Entra firmy Microsoft wystawia tokeny użytkownikom z udzielonym dostępem do usługi.

  1. W widoku konfiguracji aplikacji wybierz pozycję Użytkownicy i grupy.

  2. Wybierz pozycję + Dodaj użytkownika.

  3. W menu Dodawanie przypisania wybierz pozycję Użytkownicy i grupy.

  4. W oknie dialogowym Użytkownicy i grupy dodaj grupy użytkowników autoryzowane do uzyskiwania dostępu do sieci VPN

  5. Wybierz pozycję Wybierz>pozycję Przypisz.

    Zrzut ekranu przedstawiający opcję Dodaj użytkownika.

Możesz skonfigurować big-IP APM, aby opublikować usługę SSL-VPN. Skonfiguruj ją z odpowiednimi właściwościami, aby ukończyć zaufanie do wstępnego uwierzytelniania SAML.

Konfiguracja APM BIG-IP

Federacja SAML

Aby ukończyć federowanie usługi sieci VPN przy użyciu identyfikatora Firmy Microsoft Entra, utwórz dostawcę usługi SAML BIG-IP i odpowiadające im obiekty dostawcy tożsamości SAML.

  1. Przejdź do pozycji Uzyskaj dostęp do>lokalnych usług dostawcy usług>SAML federation.>

  2. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający opcję Utwórz na stronie Lokalne usługi SP.

  3. Wprowadź nazwę i identyfikator jednostki zdefiniowany w identyfikatorze Entra firmy Microsoft.

  4. Wprowadź w pełni kwalifikowaną nazwę domeny hosta (FQDN), aby nawiązać połączenie z aplikacją.

    Zrzut ekranu przedstawiający pozycje Nazwa i Jednostka.

    Uwaga

    Jeśli identyfikator jednostki nie jest dokładnym dopasowaniem nazwy hosta opublikowanego adresu URL, skonfiguruj ustawienia nazwy sp lub wykonaj tę akcję, jeśli nie ma formatu adresu URL nazwy hosta. Jeśli identyfikator jednostki to urn:ssl-vpn:contosoonline, podaj schemat zewnętrzny i nazwę hosta publikowanej aplikacji.

  5. Przewiń w dół, aby wybrać nowy obiekt SAML SP.

  6. Wybierz pozycję Bind/UnBind IDP Connectors (Powiązania/Usuń powiązanie łączników dostawcy tożsamości).

    Zrzut ekranu przedstawiający opcję Wiązanie niezwiązanych połączeń dostawcy tożsamości na stronie Lokalne usługi SP.

  7. Wybierz pozycję Utwórz nowy łącznik dostawcy tożsamości.

  8. Z menu rozwijanego wybierz pozycję Z metadanych

    Zrzut ekranu przedstawiający opcję Od metadanych na stronie Edytowanie identyfikatorów SAML.

  9. Przejdź do pobranego pliku XML metadanych federacji.

  10. W przypadku obiektu APM podaj nazwę dostawcy tożsamości reprezentującą zewnętrzny dostawcę tożsamości SAML.

  11. Aby wybrać nowy zewnętrzny łącznik dostawcy tożsamości firmy Microsoft, wybierz pozycję Dodaj nowy wiersz.

    Zrzut ekranu przedstawiający opcję Łączniki dostawcy tożsamości SAML na stronie Edytowanie dostawcy tożsamości SAML.

  12. Wybierz Aktualizuj.

  13. Wybierz przycisk OK.

    Zrzut ekranu przedstawiający link Common, VPN Azure na stronie Edytowanie dostawców tożsamości SAML.

Konfiguracjatopu internetowego

Włącz obsługę protokołu SSL-VPN dla użytkowników za pośrednictwem portalu internetowego BIG-IP.

  1. Przejdź do pozycji Access Webtops Webtop Lists (Listy webtopów>programu Access).>

  2. Wybierz pozycję Utwórz.

  3. Wprowadź nazwę portalu.

  4. Ustaw typ na Pełny, na przykład Contoso_webtop.

  5. Ukończ pozostałe preferencje.

  6. Wybierz pozycję Zakończono.

    Zrzut ekranu przedstawiający wpisy nazw i typów w obszarze Właściwości ogólne.

Konfiguracja sieci VPN

Elementy sieci VPN kontrolują aspekty ogólnej usługi.

  1. Przejdź do pozycji Łączność dostępu/Dostęp do>sieci VPN (VPN>)>Pule dzierżaw IPV4

  2. Wybierz pozycję Utwórz.

  3. Wprowadź nazwę puli adresów IP przydzielonej klientom sieci VPN. Na przykład Contoso_vpn_pool.

  4. Ustaw typ na Zakres adresów IP.

  5. Wprowadź początkowy i końcowy adres IP.

  6. Wybierz Dodaj.

  7. Wybierz pozycję Zakończono.

    Zrzut ekranu przedstawiający pozycje nazwy i listy elementów członkowskich w obszarze Właściwości ogólne.

Lista dostępu do sieci aprowizuje usługę z ustawieniami adresów IP i DNS z puli sieci VPN, uprawnieniami routingu użytkowników i może uruchamiać aplikacje.

  1. Przejdź do pozycji Łączność dostępu>/sieć VPN: Listy dostępu do sieci (VPN)>Network Access.

  2. Wybierz pozycję Utwórz.

  3. Podaj nazwę listy dostępu do sieci VPN i podpis, na przykład Contoso-VPN.

  4. Wybierz pozycję Zakończono.

    Zrzut ekranu przedstawiający wpis nazwy we właściwościach ogólnych i wpis podpisu w ustawieniach dostosowywania dla języka angielskiego.

  5. Na górnej wstążce wybierz pozycję Ustawienia sieciowe.

  6. W przypadku obsługiwanej wersji adresu IP: IPV4.

  7. W polu Pula dzierżaw IPV4 wybierz utworzoną pulę sieci VPN, na przykład Contoso_vpn_pool

    Zrzut ekranu przedstawiający wpis Puli dzierżaw IPV4 w obszarze Ustawienia ogólne.

    Uwaga

    Użyj opcji Ustawienia klienta, aby wymusić ograniczenia dotyczące sposobu kierowania ruchu klienta w ustalonej sieci VPN.

  8. Wybierz pozycję Zakończono.

  9. Przejdź do karty DNS/Hosty .

  10. W przypadku podstawowego serwera nazw IPV4: Adres IP DNS środowiska

  11. W przypadku domyślnego sufiksu domeny DNS: sufiks domeny dla tego połączenia sieci VPN. Na przykład contoso.com

    Zrzut ekranu przedstawiający wpisy dla nazwy serwera podstawowego IPV4 i domyślnego sufiksu domeny DNS.

Uwaga

Zobacz artykuł F5 Konfigurowanie zasobów dostępu do sieci w celu uzyskania innych ustawień.

Profil połączenia BIG-IP jest wymagany do skonfigurowania ustawień typu klienta sieci VPN, które usługa sieci VPN musi obsługiwać. Na przykład Windows, OSX i Android.

  1. Przejdź do pozycji Dostęp do>profilów łączności/łączności sieci VPN>>

  2. Wybierz Dodaj.

  3. Wprowadź nazwę profilu.

  4. Ustaw profil nadrzędny na /Common/connectivity, na przykład Contoso_VPN_Profile.

    Zrzut ekranu przedstawiający pozycje Nazwa profilu i Nazwa nadrzędna w obszarze Tworzenie nowego profilu łączności.

Konfiguracja profilu dostępu

Zasady dostępu umożliwiają usłudze uwierzytelnianie SAML.

  1. Przejdź do pozycji Profile dostępu/Profile dostępu>zasad>(zasady sesji).

  2. Wybierz pozycję Utwórz.

  3. Wprowadź nazwę profilu i typ profilu.

  4. Wybierz pozycję Wszystkie, na przykład Contoso_network_access.

  5. Przewiń w dół i dodaj co najmniej jeden język do listy Zaakceptowane języki

  6. Wybierz pozycję Zakończono.

    Zrzut ekranu przedstawiający pozycje Nazwa, Typ profilu i Język w nowym profilu.

  7. W nowym profilu dostępu w polu Zasady sesji wybierz pozycję Edytuj.

  8. Edytor zasad wizualizacji zostanie otwarty na nowej karcie.

    Zrzut ekranu przedstawiający opcję Edytuj w obszarze Profile dostępu, zasady presesji.

  9. + Wybierz znak.

  10. W menu wybierz pozycję Uwierzytelnianie SAML Auth>.

  11. Wybierz pozycję Dodaj element.

  12. W konfiguracji dostawcy usługi uwierzytelniania SAML wybierz utworzony obiekt SAML SP sieci VPN

  13. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający wpis serwera usługi AAA w obszarze SAML Authentication SP na karcie Właściwości.

  14. Dla gałęzi Powodzenie uwierzytelniania SAML wybierz pozycję + .

  15. Na karcie Przypisanie wybierz pozycję Zaawansowane przypisywanie zasobów.

  16. Wybierz pozycję Dodaj element.

  17. W wyskakującym okienku wybierz pozycję Nowy wpis

  18. Wybierz pozycję Dodaj/Usuń.

  19. W oknie wybierz pozycję Dostęp sieciowy.

  20. Wybierz utworzony profil dostępu do sieci.

    Zrzut ekranu przedstawiający przycisk Dodaj nowy wpis na karcie Właściwości przypisania zasobu.

  21. Przejdź do karty Webtop .

  22. Dodaj utworzony obiekt Webtop.

    Zrzut ekranu przedstawiający utworzony zestaw webtop na karcie Webtop.

  23. Wybierz Aktualizuj.

  24. Wybierz Zapisz.

  25. Aby zmienić gałąź Powodzenie, wybierz link w górnym polu Odmów .

  26. Zostanie wyświetlona etykieta Zezwalaj.

  27. Zapisz.

    Zrzut ekranu przedstawiający opcję Odmów w obszarze Zasady dostępu.

  28. Wybierz pozycję Zastosuj zasady dostępu

  29. Zamknij kartę edytora zasad wizualizacji.

    Zrzut ekranu przedstawiający opcję Zastosuj zasady dostępu.

Publikowanie usługi sieci VPN

Serwer wirtualny frontonu wymaga, aby serwer wirtualny frontonu nasłuchiwać klientów łączących się z siecią VPN.

  1. Wybierz pozycję Lista serwerów wirtualnych lokalnych serwerów wirtualnych>ruchu>.

  2. Wybierz pozycję Utwórz.

  3. W polu Serwer wirtualny sieci VPN wprowadź nazwę, na przykład VPN_Listener.

  4. Wybierz nieużywany adres docelowy IP z routingiem, aby odbierać ruch klienta.

  5. Ustaw port usługi na 443 HTTPS.

  6. W obszarze Stan upewnij się, że wybrano opcję Włączone .

    Zrzut ekranu przedstawiający pozycje Nazwa i Adres docelowy lub Maska we właściwościach ogólnych.

  7. Ustaw profil HTTP na http.

  8. Dodaj profil SSL (klient) dla utworzonego publicznego certyfikatu SSL.

    Zrzut ekranu przedstawiający wpis profilu HTTP dla klienta i wybrane wpisy profilu SSL dla klienta.

  9. Aby użyć utworzonych obiektów sieci VPN, w obszarze Zasady dostępu ustaw profil dostępu i profil łączności.

    Zrzut ekranu przedstawiający wpisy profilu dostępu i profilu łączności w zasadach dostępu.

  10. Wybierz pozycję Zakończono.

Usługa SSL-VPN jest publikowana i dostępna za pośrednictwem algorytmu SHA z adresem URL lub za pośrednictwem portali aplikacji firmy Microsoft.

Następne kroki

  1. Otwórz przeglądarkę na zdalnym kliencie systemu Windows.

  2. Przejdź do adresu URL usługi sieci VPN BIG-IP.

  3. Zostanie wyświetlony portal big-IP webtop i uruchamianie sieci VPN.

    Zrzut ekranu przedstawiający stronę Portalu sieci Contoso ze wskaźnikiem dostępu do sieci.

    Uwaga

    Wybierz kafelek sieci VPN, aby zainstalować klienta usługi BIG-IP Edge i ustanowić połączenie sieci VPN skonfigurowane dla algorytmu SHA. Aplikacja sieci VPN F5 jest widoczna jako zasób docelowy w usłudze Microsoft Entra Conditional Access. Zobacz Zasady dostępu warunkowego, aby umożliwić użytkownikom uwierzytelnianie bez hasła identyfikatora firmy Microsoft.

Zasoby