Поделиться через

Руководство по настройке SSL-VPN F5 BIG-IP для единого входа Microsoft Entra

  • Статья

В этом руководстве описано, как интегрировать виртуальную частную сеть на основе F5 BIG-IP с идентификатором Microsoft Entra ID для безопасного гибридного доступа (SHA).

Включение SSL-VPN BIG-IP для единого входа (SSO) Microsoft Entra обеспечивает множество преимуществ, в том числе:

Дополнительные сведения о преимуществах см. в статье

Описание сценария

В этом сценарии экземпляр диспетчера политик доступа BIG-IP (APM) службы SSL-VPN настраивается как поставщик службы разметки утверждений безопасности (SAML) и идентификатор Microsoft Entra id является доверенным поставщиком удостоверений SAML (IdP). Единый вход (SSO) из Идентификатора Microsoft Entra осуществляется через проверку подлинности на основе утверждений в APM BIG-IP, простой интерфейс доступа к виртуальной частной сети (VPN).

Схема архитектуры интеграции.

Примечание.

Замените примеры строк или значений в этом руководстве этими строками в вашей среде.

Необходимые компоненты

Предыдущий опыт или знание F5 BIG-IP не требуется, однако вам потребуется:

  • Подписка Microsoft Entra
  • Удостоверения пользователей , синхронизированные из локального каталога с идентификатором Microsoft Entra
  • Одна из следующих ролей: администратор облачных приложений или администратор приложений
  • Инфраструктура BIG-IP с маршрутизацией трафика клиента в BIG-IP и из нее
  • Запись для опубликованной VPN-службы BIG-IP на сервере доменных имен (DNS)
    • Или тестовый файл localhost клиента во время тестирования
  • BIG-IP, подготовленный с необходимыми SSL-сертификатами для служб публикации по протоколу HTTPS

Чтобы улучшить работу с учебниками, вы можете узнать терминологию уровня "Стандартный" в Глоссарии F5 BIG-IP.

Настройте доверие федерации SAML между BIG-IP, чтобы разрешить Microsoft Entra BIG-IP передавать предварительную проверку подлинности и условный доступ к идентификатору Microsoft Entra, прежде чем предоставить доступ к опубликованной VPN-службе.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям Identity>Applications>Enterprise All,> а затем выберите "Создать приложение".
  3. В коллекции найдите F5 и выберите F5 BIG-IP APM Microsoft Entra ID integration.
  4. Введите имя приложения.
  5. Нажмите кнопку "Добавить" и "Создать".
  6. Имя, как значок, отображается на портале администрирования Microsoft Entra и Office 365.

Настройка единого входа Microsoft Entra

  1. С помощью свойств приложения F5 перейдите к разделу "Управление>единым входом".

  2. На странице Выбрать метод единого входа выберите SAML.

  3. Нажмите кнопку "Нет", я сохраните позже.

  4. В меню "Настройка единого входа" в меню SAML выберите значок пера для базовой конфигурации SAML.

  5. Замените URL-адрес идентификатора URL-адресом опубликованной службы BIG-IP. Например, https://ssl-vpn.contoso.com.

  6. Замените URL-адрес ответа и путь конечной точки SAML. Например, https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Примечание.

    В этой конфигурации приложение работает в режиме, инициированном поставщиком удостоверений: Идентификатор Microsoft Entra выдает утверждение SAML перед перенаправлением в службу SAML BIG-IP.

  7. Для приложений, которые не поддерживают режим, инициированный поставщиком удостоверений, для службы SAML BIG-IP укажите URL-адрес входа, например https://ssl-vpn.contoso.com.

  8. В поле URL-адреса выхода введите конечную точку единого выхода BIG-IP APM (SLO), предопределенную заголовком узла опубликованной службы. Например: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Примечание.

    URL-адрес SLO гарантирует завершение сеанса пользователя в BIG-IP и Идентификаторе Microsoft Entra после выхода пользователя. APM BIG-IP имеет возможность завершить все сеансы при вызове URL-адреса приложения. Дополнительные сведения см. в статье "F5" K12056: обзор параметра включения URI выхода.

Снимок экрана: базовые URL-адреса конфигурации SAML. .

Примечание.

По сравнению с TMOS версии 16 конечная точка единого выхода из системы SAML изменилась на /saml/sp/profile/redirect/slo.

  1. Выберите Сохранить

  2. Пропустите запрос на тестирование единого входа.

  3. В свойствах атрибутов пользователей и утверждений просмотрите сведения.

    Снимок экрана: атрибуты пользователя и свойства утверждений.

Вы можете добавить другие утверждения в опубликованную службу BIG-IP. Утверждения, определенные в дополнение к набору по умолчанию, выдаются, если они находятся в идентификаторе Microsoft Entra. Определите роли каталога или членства в группах для пользовательского объекта в идентификаторе Microsoft Entra ID, прежде чем они могут быть выданы в качестве утверждения.

Сертификаты подписывания SAML, созданные идентификатором Microsoft Entra, имеют срок действия трех лет.

Авторизация Microsoft Entra

По умолчанию идентификатор Microsoft Entra выдает маркеры для пользователей с предоставленным доступом к службе.

  1. В представлении конфигурации приложения выберите "Пользователи и группы".

  2. Нажмите кнопку + Добавить пользователя.

  3. В меню "Добавить назначение" выберите "Пользователи и группы".

  4. В диалоговом окне "Пользователи и группы" добавьте группы пользователей, авторизованные для доступа к VPN

  5. Выберите "Назначить>".

    Снимок экрана: параметр

Вы можете настроить BIG-IP APM для публикации службы SSL-VPN. Настройте его с соответствующими свойствами, чтобы завершить доверие для предварительной проверки подлинности SAML.

Конфигурация APM BIG-IP

Федерация SAML

Чтобы завершить федерацию VPN-службы с идентификатором Microsoft Entra ID, создайте поставщика услуг SAML BIG-IP и соответствующие объекты ПОСТАВЩИКА удостоверений SAML.

  1. Перейдите к>

  2. Нажмите кнопку создания.

    Снимок экрана: параметр

  3. Введите имя и идентификатор сущности, определенный в идентификаторе Microsoft Entra.

  4. Введите полное доменное имя узла (FQDN), чтобы подключиться к приложению.

    Снимок экрана: записи

    Примечание.

    Если идентификатор сущности не совпадает с именем узла опубликованного URL-адреса, настройте параметры имени субъекта-службы или выполните это действие, если он не задан в формате URL-адреса имени узла. Если идентификатор сущности имеется urn:ssl-vpn:contosoonline, укажите внешнюю схему и имя узла опубликованного приложения.

  5. Прокрутите вниз, чтобы выбрать новый объект SAML SP.

  6. Выберите соединители bind/UnBind IDP.

    Снимок экрана: параметр

  7. Выберите "Создать соединитель поставщика удостоверений".

  8. В раскрывающемся меню выберите "Из метаданных"

    Снимок экрана: параметр

  9. Перейдите к скачанной XML-файлу метаданных федерации.

  10. Для объекта APM укажите имя поставщика удостоверений, представляющее внешний поставщик удостоверений SAML IdP.

  11. Чтобы выбрать новый внешний соединитель Поставщика удостоверений Microsoft Entra, нажмите кнопку "Добавить новую строку".

    Снимок экрана: параметр соединителей поставщика удостоверений SAML на странице

  12. Выберите Обновить.

  13. Нажмите ОК.

    Снимок экрана: ссылка Common, VPN Azure на странице

Конфигурация Webtop

Включите протокол SSL-VPN для пользователей с помощью веб-портала BIG-IP.

  1. Перейдите к >

  2. Нажмите кнопку создания.

  3. Введите имя портала.

  4. Задайте для типа значение Full, например Contoso_webtop.

  5. Выполните оставшиеся настройки.

  6. Щелкните Готово.

    Снимок экрана: записи имени и типа в разделе

Конфигурация VPN

Элементы VPN управляют аспектами общей службы.

  1. Перейдите к> пулам аренды VPN-подключения и>VPN-сети (VPN)>IPV4

  2. Нажмите кнопку создания.

  3. Введите имя пула IP-адресов, выделенного ДЛЯ VPN-клиентов. Например, Contoso_vpn_pool.

  4. Задайте для типа диапазон IP-адресов.

  5. Введите начальный и конечный IP-адрес.

  6. Выберите Добавить.

  7. Щелкните Готово.

    Снимок экрана: записи списка имен и элементов в разделе

Список доступа к сети подготавливает службу с параметрами IP-адресов и DNS из VPN-пула, разрешений маршрутизации пользователей и может запускать приложения.

  1. Перейдите к >спискам доступа к подключению или VPN: сетевой доступ (VPN).>

  2. Нажмите кнопку создания.

  3. Укажите имя списка и заголовка VPN-доступа, например Contoso-VPN.

  4. Щелкните Готово.

    Снимок экрана: запись имени в разделе

  5. На верхней ленте выберите параметры сети.

  6. Для поддерживаемой версии IP-адреса: IPV4.

  7. Для пула аренды IPV4 выберите созданный VPN-пул, например Contoso_vpn_pool

    Снимок экрана: запись пула аренды IPV4 в разделе

    Примечание.

    Используйте параметры клиента для принудительного применения ограничений по маршрутизации трафика клиента в установленном VPN.

  8. Щелкните Готово.

  9. Перейдите на вкладку DNS/Hosts .

  10. Для основного сервера имен IPV4: DNS-адрес среды

  11. Для DNS по умолчанию суффикс домена: суффикс домена для этого VPN-подключения. Например, contoso.com.

Примечание.

См. статью F5 о настройке ресурсов доступа к сети для других параметров.

Профиль подключения BIG-IP необходим для настройки параметров типа VPN-клиента, необходимых для поддержки VPN-службы. Например, Windows, OSX и Android.

  1. Перейти к >

  2. Выберите Добавить.

  3. Введите имя профиля.

  4. Задайте для родительского профиля значение /Common/connectivity, например Contoso_VPN_Profile.

    Снимок экрана: записи

Конфигурация профиля доступа

Политика доступа включает службу для проверки подлинности SAML.

  1. Перейдите к >доступа на сеанс)

  2. Нажмите кнопку создания.

  3. Введите имя профиля и тип профиля.

  4. Выберите "Все", например Contoso_network_access.

  5. Прокрутите вниз и добавьте хотя бы один язык в список принятых языков

  6. Щелкните Готово.

    Снимок экрана: записи

  7. В новом профиле доступа в поле "Политика каждого сеанса" нажмите кнопку "Изменить".

  8. Откроется редактор визуальной политики на новой вкладке.

    Снимок экрана: параметр

  9. + Выберите знак.

  10. В меню выберите проверку подлинности>SAML Auth.

  11. Выберите " Добавить элемент".

  12. В конфигурации службы проверки подлинности SAML выберите созданный объект VPN SAML SP

  13. Выберите Сохранить.

    Снимок экрана: запись сервера AAA в пакете проверки подлинности SAML на вкладке

  14. Для успешной ветви проверки подлинности SAML выберите + .

  15. На вкладке "Назначение" выберите "Дополнительное назначение ресурсов".

  16. Выберите " Добавить элемент".

  17. Во всплывающем итоге нажмите кнопку "Создать запись"

  18. Нажмите кнопку "Добавить или удалить".

  19. В окне выберите "Сетевой доступ".

  20. Выберите созданный профиль сетевого доступа.

    Снимок экрана: кнопка

  21. Перейдите на вкладку Webtop .

  22. Добавьте созданный вами объект Webtop.

    Снимок экрана: созданный веб-стол на вкладке

  23. Выберите Обновить.

  24. Выберите Сохранить.

  25. Чтобы изменить ветвь "Успешно", выберите ссылку в верхнем поле "Запрет ".

  26. Появится метка "Разрешить".

  27. Сохраните.

    Снимок экрана: параметр

  28. Выбор "Применить политику доступа"

  29. Закройте вкладку редактора визуальных политик.

    Снимок экрана: параметр

Публикация службы VPN

Для APM требуется внешний виртуальный сервер для прослушивания клиентов, подключающихся к VPN.

  1. Выберите >

  2. Нажмите кнопку создания.

  3. Для виртуального vpn-сервера введите имя, например VPN_Listener.

  4. Выберите неиспользуемый IP-адрес назначения с маршрутизацией для получения трафика клиента.

  5. Задайте для порта службы значение 443 HTTPS.

  6. Для состояния убедитесь, что выбран параметр "Включено ".

    Снимок экрана:

  7. Задайте для профиля HTTP значение http.

  8. Добавьте профиль SSL (клиент) для созданного общедоступного SSL-сертификата.

    Снимок экрана: запись профиля HTTP для клиента и выбранные записи профиля SSL для клиента.

  9. Чтобы использовать созданные объекты VPN, в разделе "Политика доступа" задайте профиль доступа и профиль подключения.

    Снимок экрана: записи профиля доступа и профиля подключения в политике доступа.

  10. Щелкните Готово.

Служба SSL-VPN публикуется и доступна через SHA либо с помощью URL-адреса, либо через порталы приложений Майкрософт.

Следующие шаги

  1. Откройте браузер на удаленном клиенте Windows.

  2. Перейдите по URL-адресу службы VPN BIG-IP.

  3. Появится веб-портал BIG-IP и средство запуска VPN.

    Снимок экрана: страница

    Примечание.

    Выберите плитку VPN, чтобы установить клиент BIG-IP Edge и установить VPN-подключение, настроенное для SHA. VPN-приложение F5 отображается в качестве целевого ресурса в условном доступе Microsoft Entra. Ознакомьтесь с политиками условного доступа, чтобы разрешить пользователям проверку подлинности без пароля Microsoft Entra ID.

Ресурсы