Compartilhar via

Tutorial: Configurar a F5 BIG-IP SSL-VPN para o SSO do Microsoft Entra

  • Artigo

Neste tutorial, saiba como integrar a SSL-VPN (rede virtual privada do protocolo SSL) baseada no F5 BIG-IP ao Microsoft Entra ID para o SHA (acesso híbrido seguro).

A habilitação de uma BIG-IP SSL-VPN para o SSO (logon único) do Microsoft Entra oferece muitos benefícios, incluindo:

Para saber mais sobre os benefícios, confira

Descrição do cenário

Nesse cenário, a instância do APM (gerenciador de política de acesso) BIG-IP do serviço SSL-VPN é configurada como um provedor de serviços SAML (Security Assertion Markup Language) e o Microsoft Entra ID é o IdP (provedor de identidade SAML) confiável. O SSO (logon único) do Microsoft Entra ID é por meio da autenticação baseada em declarações para o BIG-IP APM, uma experiência de acesso de VPN (rede virtual privada) perfeita.

Diagrama da arquitetura de integração.

Observação

Substitua as cadeias de caracteres ou os valores de exemplo deste guia pelos do ambiente.

Pré-requisitos

A experiência ou o conhecimento anteriores ao BIG-IP da F5 não é obrigatório, no entanto você precisa de:

  • Uma assinatura do Microsoft Entra
  • Identidades de usuário sincronizadas do diretório local para o Microsoft Entra ID
  • Uma das seguintes funções: Administrador de Aplicativos de Nuvem ou Administrador de Aplicativos
  • Uma infraestrutura do BIG-IP com o roteamento de tráfego do cliente no BIG-IP
  • Um registro para o serviço VPN publicado por BIG-IP em um DNS (servidor de nomes de domínio) público
    • Ou um arquivo localhost do cliente de teste durante o teste
  • O BIG-IP provisionado com os certificados SSL necessários para publicar serviços via HTTPS

Para aprimorar a experiência do tutorial, conheça a terminologia padrão do setor no Glossário do F5 BIG-IP.

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Configure uma relação de confiança de federação SAML entre o BIG-IP para permitir que o BIG-IP do Microsoft Entra entregue a pré-autenticação e o acesso condicional ao Microsoft Entra ID antes de permitir acesso ao serviço de VPN publicado.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegar até Identidade>Aplicativos>Aplicativos empresariais>Todos os aplicativos e selecionar Novo aplicativo.
  3. Procure por F5 na galeria e selecione Integração do APM do BIG-IP da F5 ao Microsoft Entra ID.
  4. Insira um nome para o aplicativo.
  5. Selecione Adicionar e Criar.
  6. O nome, como um ícone, aparece no centro de administração do Microsoft Entra e no portal do Office 365.

Configurar o SSO do Microsoft Entra

  1. Com as propriedades do aplicativo do F5, acesse Gerenciar>Logon único.

  2. Na página Selecionar um método de logon único, escolha SAML.

  3. Selecione Não. Salvarei mais tarde.

  4. No menu Configurar logon único com o SAML, selecione o ícone de caneta da Configuração Básica do SAML.

  5. Substitua a URL de Identificador pela URL do serviço publicado do BIG-IP. Por exemplo, https://ssl-vpn.contoso.com.

  6. Substitua a URL de Resposta e o caminho do ponto de extremidade SAML. Por exemplo, https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Observação

    Nessa configuração, o aplicativo funciona em um modo iniciado pelo IdP: o Microsoft Entra ID emite uma declaração SAML antes do redirecionamento para o serviço SAML do BIG-IP.

  7. Nos caso dos aplicativos que não dão suporte ao modo iniciado pelo IdP, para o serviço SAML do BIG-IP, especifique a URL de Logon, por exemplo, https://ssl-vpn.contoso.com.

  8. Para a URL de logoff, insira o ponto de extremidade de SLO (logoff único) do APM do BIG-IP anexado pelo cabeçalho de host do serviço sendo publicado. Por exemplo, https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Observação

    Uma URL de SLO garante que uma sessão de usuário seja encerrada no BIG-IP e no Microsoft Entra ID, depois que o usuário se desconectar. O BIG-IP APM traz uma opção para encerrar todas as sessões quando uma URL de aplicativo é chamada. Saiba mais no artigo do F5 K12056: Visão geral da opção Incluir URI de Logoff.

Captura de tela das URLs de configuração básica do SAML..

Observação

Desde o TMOS v16, o ponto de extremidade de SLO SAML foi alterado para /saml/sp/profile/redirect/slo.

  1. Selecione Salvar

  2. Ignore o prompt de teste de SSO.

  3. Nas propriedades de Atributos e Declarações do Usuário, observe os detalhes.

    Captura de tela das propriedades de atributos e declarações do usuário.

Você pode adicionar outras declarações ao serviço publicado do BIG-IP. As declarações definidas além do conjunto padrão são emitidas se existem no Microsoft Entra ID. Defina funções de diretório ou associações a um grupo em um objeto de usuário no Microsoft Entra ID para que possam ser emitidas como uma declaração.

Os certificados de autenticação SAML criados pelo Microsoft Entra ID têm um ciclo de vida de três anos.

Autorização do Microsoft Entra

Por padrão, o Microsoft Entra ID emite tokens aos usuários com acesso concedido em um serviço.

  1. Na exibição de configuração do aplicativo, selecione Usuários e grupos.

  2. Selecione + Adicionar usuário.

  3. No menu Adicionar Atribuição, selecione Usuários e grupos.

  4. Na caixa de diálogo Usuários e grupos, adicione os grupos de usuários que estão autorizados a acessar a VPN

  5. Escolha Selecionar>Atribuir.

    Captura de tela da opção Adicionar Usuário.

Você pode configurar o BIG-IP APM para publicar o serviço SSL-VPN. Configure-o com as propriedades correspondentes para concluir a relação de confiança para a pré-autenticação do SAML.

Configuração do APM BIG-IP

Federação SAML

Para concluir a federação do serviço de VPN com o Microsoft Entra ID, crie o provedor de serviços do SAML do BIG-IP e os objetos correspondentes do IdP do SAML.

  1. Procure Acessar>Federação>Provedor de Serviços do SAML>Serviços do SP Local.

  2. Selecione Criar.

    Captura de tela da opção Criar na página Serviços do SP Local.

  3. Insira um Nome e a ID de Entidade definida no Microsoft Entra ID.

  4. Insira o FQDN (nome de domínio totalmente qualificado) do host para se conectar ao aplicativo.

    Captura de tela das entradas de Nome e Entidade.

    Observação

    Se a ID da entidade não for uma correspondência exata do nome do host da URL publicada, defina as configurações de Nome do SP ou execute essa ação se ela não estiver no formato de URL do nome do host. Se a ID da entidade for urn:ssl-vpn:contosoonline, forneça o esquema externo e o nome do host do aplicativo que está sendo publicado.

  5. Role a página para baixo para selecionar o novo objeto de SP do SAML.

  6. Selecione Associar/Desassociar Conectores de IdP.

    Captura de tela da opção Associar/Desassociar Conexões de IdP na página Serviços do SP Local.

  7. Selecione Criar Conector de IdP.

  8. No menu suspenso, selecione De Metadados

    Captura de tela da opção De Metadados na página Editar IdPs do SAML.

  9. Procure o arquivo XML de metadados de federação que você baixou.

  10. Para o objeto do APM, forneça um Nome do Provedor de Identidade que represente o IdP do SAML externo.

  11. Para escolher o novo conector de IdP externo do Microsoft Entra, selecione Adicionar Nova Linha.

    Captura de tela da opção Conectores de IdP do SAML na página Editar IdP do SAML.

  12. Selecione Atualizar.

  13. Selecione OK.

    Captura de tela do link Comum, VPN do Azure na página Editar IdPs do SAML.

Configuração do Webtop

Habilite a SSL-VPN a ser oferecida aos usuários por meio do portal da Web do BIG-IP.

  1. Procure Acessar>Webtops>Listas de Webtops.

  2. Selecione Criar.

  3. Insira um nome de portal.

  4. Defina o tipo como Completo, por exemplo, Contoso_webtop.

  5. Preencha as preferências restantes.

  6. Selecione Concluído.

    Captura de tela das entradas de nome e tipo em Propriedades Gerais.

Configuração de VPN

Os elementos de VPN controlam aspectos do serviço geral.

  1. Procure Acessar>Conectividade/VPN>Acesso à Rede (VPN)>Pools de Concessão IPV4

  2. Selecione Criar.

  3. Insira um nome para o pool de endereços IP alocados para os clientes VPN. Por exemplo, Contoso_vpn_pool.

  4. Defina o tipo como Intervalo de Endereços IP.

  5. Insira um IP inicial e final.

  6. Selecione Adicionar.

  7. Selecione Concluído.

    Captura de tela das entradas de nome e lista de membros em Propriedades Gerais.

Uma lista de acesso à rede provisiona o serviço com as configurações de IP e DNS do pool de VPN, das permissões de roteamento de usuário e pode iniciar aplicativos.

  1. Procure Acessar>Conectividade/VPN: Acesso à Rede (VPN)>Listas de Acesso à Rede.

  2. Selecione Criar.

  3. Forneça um nome para a lista de acesso à VPN e a legenda, por exemplo, Contoso-VPN.

  4. Selecione Concluído.

    Captura de tela da entrada de nome em Propriedades Gerais e da entrada de legenda em Configurações de Personalização para inglês.

  5. Na faixa de opções superior, selecione Configurações de Rede.

  6. Em Versão de IP compatível: IPV4.

  7. Em Pool de Concessão IPV4, selecione o pool de VPN criado, por exemplo, Contoso_vpn_pool

    Captura de tela da entrada do Pool de Concessão IPV4 em Configurações Gerais.

    Observação

    Use as opções de Configurações do Cliente para impor restrições de como o tráfego do cliente é roteado em uma VPN estabelecida.

  8. Selecione Concluído.

  9. Acesse a guia DNS/Hosts.

  10. Em Servidor de Nome Primário IPV4: o IP do DNS do ambiente

  11. Em Sufixo do Domínio Padrão de DNS: o sufixo do domínio desta conexão de VPN. Por exemplo, "contoso.com".

    Captura de tela das entradas de Nome do Servidor Primário IPV4 e Sufixo de Domínio Padrão do DNS.

Observação

Confira o artigo do F5 Como configurar recursos de acesso à rede para ver outras configurações.

Um perfil de conexão do BIG-IP é necessário para definir as configurações de tipos de cliente VPN aos quais o serviço de VPN precisa dar suporte. Por exemplo, Windows, OSX e Android.

  1. Procure Acessar>Conectividade/VPN>Conectividade>Perfis

  2. Selecione Adicionar.

  3. Insira um nome de perfil.

  4. Defina o perfil pai como /Common/connectivity, por exemplo, Contoso_VPN_Profile.

    Captura de tela das entradas de Nome do Perfil e Nome Pai em Criar Perfil de Conectividade.

Configuração do perfil de acesso

Uma política de acesso habilita o serviço para a autenticação SAML.

  1. Procure Acessar>Perfis/Políticas>Perfis de Acesso (Políticas por Sessão).

  2. Selecione Criar.

  3. Insira um nome de perfil e para o tipo de perfil.

  4. Selecione Todos, por exemplo, Contoso_network_access.

  5. Role a página para baixo para adicionar, pelo menos, um idioma à lista de Idiomas Aceitos

  6. Selecione Concluído.

    Captura de tela das entradas Nome, Tipo de Perfil e Idioma em Novo Perfil.

  7. No novo perfil de acesso, no campo Política por Sessão, selecione Editar.

  8. O editor de política visual será aberto em uma nova guia.

    Captura de tela da opção Editar em Perfis de Acesso, políticas de pré-sessão.

  9. Selecione o sinal +.

  10. No menu, escolha Autenticação>Autenticação SAML.

  11. Selecione Adicionar Item.

  12. Na configuração de SP da autenticação SAML, escolha o objeto de SP do SAML da VPN que você criou

  13. Clique em Salvar.

    Captura de tela da entrada Servidor do AAA em SP de Autenticação SAML, na guia Propriedades.

  14. Para o Branch bem-sucedido da autenticação SAML, selecione +.

  15. Na guia Atribuição, escolha Atribuição de Recurso Avançada.

  16. Selecione Adicionar Item.

  17. No pop-up, selecione Nova Entrada

  18. Selecione Adicionar/Excluir.

  19. Na janela, escolha Acesso à Rede.

  20. Selecione o perfil de Acesso à Rede que você criou.

    Captura de tela do botão Adicionar nova entrada em Atribuição de Recursos, na guia Propriedades.

  21. Acesse a guia Webtop.

  22. Adicione o objeto de Webtop criado.

    Captura de tela do webtop criado na guia Webtop.

  23. Selecione Atualizar.

  24. SelecioneSalvar.

  25. Para alterar o Branch bem-sucedido, escolha o link na caixa superior Negar.

  26. O rótulo Permitir será exibido.

  27. Salvar.

    Captura de tela da opção Negar em Política de Acesso.

  28. Selecione Adicionar Política de Acesso

  29. Feche a guia do editor de política visual.

    Captura de tela da opção Aplicar Política de Acesso.

Publique o serviço VPN

O APM exige um servidor virtual front-end para escutar os clientes que se conectam à VPN.

  1. Selecione Tráfego Local>Servidores Virtuais>Lista de Servidores Virtuais.

  2. Selecione Criar.

  3. Para o servidor virtual de VPN, insira um Nome, por exemplo, VPN_Listener.

  4. Escolha um Endereço de Destino IP não utilizado com roteamento para receber o tráfego do cliente.

  5. Defina a Porta de Serviço como 443 HTTPS.

  6. Em Estado, verifique se a opção Habilitado está selecionada.

    Captura de tela das entradas Nome e Endereço de Destino ou Máscara em Propriedades Gerais.

  7. Defina Perfil HTTP como HTTP.

  8. Adicione o Perfil de SSL (Cliente) para o certificado SSL público que você criou.

    Captura de tela da entrada do Perfil HTTP para o cliente e as entradas selecionadas do Perfil SSL para o cliente.

  9. Para usar os objetos de VPN criados, em Política de Acesso, defina Perfil de Acesso e Perfil de Conectividade.

    Captura de tela das entradas Perfil de Acesso e Perfil de Conectividade em Política de Acesso.

  10. Selecione Concluído.

O serviço SSL-VPN foi publicado e pode ser acessado por meio do SHA, com a URL ou por meio dos portais de aplicativos da Microsoft.

Próximas etapas

  1. Abra um navegador em um cliente remoto do Windows.

  2. Navegue até a URL do serviço de VPN do BIG-IP.

  3. O portal do webtop do BIG-IP e o inicializador de VPN serão exibidos.

    Captura de tela da página Portal de Rede da Contoso com o indicador de acesso à rede.

    Observação

    Selecione o bloco de VPN para instalar o cliente de Borda do BIG-IP e estabelecer uma conexão VPN configurada para o SHA. O aplicativo de VPN do F5 é visível como um recurso de destino no acesso condicional do Microsoft Entra. Confira Políticas de Acesso Condicional para habilitar os usuários para a autenticação sem senha do Microsoft Entra ID.

Recursos