Tutorial: Configuración de BIG-IP SSL-VPN de F5 para el inicio de sesión único en Azure AD

En este tutorial, aprenderá a integrar una red privada virtual con capa de sockets seguros (SSL-VPN) basada en BIG-IP de F5 con Azure Active Directory (AD) para el acceso híbrido seguro (SHA).

La habilitación de BIG-IP SSL-VPN para el inicio de sesión único en Azure AD ofrece muchas ventajas, entre las que se incluyen:

Para información sobre todas las ventajas, consulte Integración de BIG-IP de F5 con Azure Active Directory y ¿Qué es el inicio de sesión único en Azure Active Directory?

A pesar de estas grandes ventajas, las VPN clásicas siguen estando orientadas a la red, lo que a menudo proporciona poco o cero acceso específico a las aplicaciones corporativas. Por esta razón, se recomienda pasar a un enfoque más centrado en la identidad para lograr un acceso de Confianza cero para cada aplicación.

Descripción del escenario

En este escenario, la instancia de BIG-IP APM del servicio SSL-VPN se configurará como proveedor de servicios SAML y Azure AD se convertirá en el IDP de SAML de confianza. El inicio de sesión único de Azure AD se proporciona posteriormente mediante una autenticación basada en notificaciones para la instancia de BIG-IP APM, lo que proporciona una experiencia de acceso a VPN sin problemas.

Image shows ssl-vpn architecture

Nota:

Todas las cadenas o valores de ejemplo a los que se hace referencia en esta guía deben reemplazarse por aquellos de su entorno real.

Requisitos previos

No se requieren experiencias ni conocimientos previos de F5 BIG-IP. Sin embargo, necesitará:

  • Una suscripción gratuita de Azure AD u otra de nivel superior

  • Las identidades de usuario se deben sincronizar desde su directorio local en Azure AD.

  • Una cuenta con permisos de administrador de la aplicación de Azure AD

  • Una infraestructura de BIG-IP existente con enrutamiento del tráfico de cliente hacia BIG-IP y desde este, o la implementación de BIG-IP Virtual Edition.

  • Debe existir un registro del servicio VPN publicado de BIG-IP en el DNS público o en el archivo localhost del cliente de prueba durante la realización de las pruebas.

  • Se debe aprovisionar la instancia de BIG-IP con los certificados SSL necesarios para publicar los servicios a través de HTTPS.

Familiarizarse con la terminología de F5 BIG-IP también le ayudará a comprender los distintos componentes a los que se hace referencia en el tutorial.

Nota:

Azure evoluciona constantemente, por lo que no se sorprenda si encuentra algunas diferencias entre las instrucciones de esta guía y lo que aparece en Azure Portal. Las capturas de pantallas pertenecen a BIG-IP v15, sin embargo, son relativamente parecidas desde la versión v13.1.

La configuración de una confianza de federación de SAML en la instancia de BIG-IP permite que esta entregue la autenticación previa y el acceso condicional a Azure AD antes de conceder acceso al servicio VPN publicado.

  1. Inicie sesión en el portal de Azure AD con una cuenta con derechos de administrador de la aplicación.

  2. En el panel de navegación de la izquierda, seleccione el servicio Azure Active Directory.

  3. Vaya a Aplicaciones empresariales y, en la cinta de opciones de la parte superior, seleccione Nueva aplicación.

  4. Busque F5 en la galería y seleccione F5 BIG-IP APM Azure AD integration (Integración de Azure AD con F5 BIG-IP APM).

  5. Proporcione un nombre para la aplicación y, después, seleccione Agregar o Crear para que se agregue a su inquilino. El usuario puede ver el nombre como un icono en los portales de aplicaciones de Azure y Office 365. El nombre debe reflejar ese servicio específico. Por ejemplo, VPN.

Configuración del inicio de sesión único de Azure AD

  1. Con las nuevas propiedades de la aplicación F5 a la vista, vaya a Administrar>Inicio de sesión único.

  2. En la página Seleccione un método de inicio de sesión único, elija SAML. Omita el aviso para guardar la configuración del inicio de sesión único seleccionando No, I’ll save later (No, la guardaré más tarde).

  3. En el menú Setup single sign-on with SAML (Configurar el inicio de sesión único con SAML), seleccione el icono con forma de lápiz de Configuración básica de SAML y proporcione los siguientes detalles:

    • Reemplace la dirección URL predefinida del identificador por la dirección URL del servicio publicado de BIG-IP. Por ejemplo: https://ssl-vpn.contoso.com

    • Haga lo mismo con el cuadro de texto URL de respuesta, incluida la ruta de acceso del punto de conexión de SAML. Por ejemplo: https://ssl-vpn.contoso.com/saml/sp/profile/post/acs

    • En esta configuración, la aplicación funcionaría en un modo iniciado por IDP, donde Azure AD emite el usuario con una aserción de SAML antes de redirigir al servicio SAML de BIG-IP. En el caso de las aplicaciones que no admiten el modo iniciado por IDP, especifique la URL de inicio de sesión del servicio SAML de BIG-IP. Por ejemplo, https://ssl-vpn.contoso.com.

    • Para la URL de cierre de sesión, especifique el punto de conexión de cierre de sesión único (SLO) de BIG-IP APM precedido por el encabezado host del servicio que se está publicando. Por ejemplo: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

Proporcionar una URL de cierre de sesión único garantiza que una sesión de usuario se terminará en ambos extremos, BIG-IP y Azure AD, después de que el usuario cierre la sesión. BIG-IP APM proporciona también una opción para terminar todas las sesiones cuando se llama a una dirección URL específica de la aplicación.

Image shows basic saml configuration

Nota:

Desde TMOS v16, el punto de conexión de cierre de sesión único de SAML ha cambiado a /saml/sp/profile/redirect/slo.

  1. Seleccione Guardar antes de salir del menú de configuración de SAML y omita el mensaje de prueba del inicio de sesión único.

Observe las propiedades de la sección Atributos y notificaciones de usuario, ya que Azure AD las emitirá a los usuarios para la autenticación con BIG-IP APM.

Image shows user attributes claims

Puede agregar cualquier otra notificación específica que pueda esperar el servicio publicado de BIG-IP y tenga en cuenta que las notificaciones definidas, además de las del conjunto predeterminado, solo se emitirán si existen en Azure AD como atributos rellenados. Del mismo modo, las pertenencias de roles o grupos de directorio también se deben definir en un objeto de usuario de Azure AD antes de que puedan emitirse como una notificación.

Image shows federation metadata download link

Los certificados de firma de SAML creados por Azure AD tienen una duración de tres años, por lo que será necesario administrarlos mediante la guía publicada de Azure AD.

Autorización de Azure AD

De forma predeterminada, Azure AD solo emitirá tokens para los usuarios a los que se haya concedido acceso a un servicio.

  1. Todavía en la vista de configuración de la aplicación, seleccione Usuarios y grupos.

  2. Seleccione + Agregar usuario y, en el menú Agregar asignación, seleccione Usuarios y grupos.

  3. En el cuadro de diálogo Usuarios y grupos, agregue los grupos de usuarios que están autorizados para acceder a la VPN y, después, haga clic en Seleccionar>Asignar.

Image shows adding user link

  1. Esto completa la parte de Azure AD de la confianza de federación de SAML. Ahora se puede configurar BIG-IP APM para publicar el servicio SSL-VPN y configurarlo con el conjunto de propiedades correspondiente para completar la confianza, para la autenticación previa de SAML.

Configuración de BIG-IP APM

Federación de SAML

En la sección siguiente se crea el proveedor de servicios de SAML de BIG-IP y los objetos de IDP de SAML correspondientes necesarios para completar la federación del servicio VPN con Azure AD.

  1. Vaya a Access>Federation>SAML Service Provider>Local SP Services (Acceso > Proveedor de servicios de SAML > Servicios del SP local) y seleccione Create (Crear).

Image shows BIG-IP SAML configuration

  1. Escriba un nombre y el mismo valor de identificador de entidad que definió anteriormente en Azure AD, y el nombre de dominio completo del host que se usará para conectarse a la aplicación.

Image shows creating new SAML SP service

Los valores de nombre del proveedor de servicios solo son necesarios si el identificador de entidad no es una coincidencia exacta de la parte del nombre de host de la dirección URL publicada, o si no está en el formato de dirección URL normal basado en el nombre de host. Proporcione el esquema externo y el nombre de host de la aplicación que se va a publicar si el identificador de entidad es urn:ssl-vpn:contosoonline.

  1. Desplácese hacia abajo para seleccionar el nuevo objeto del proveedor de servicios de SAML y seleccione Bind/UnBind IDP Connectors (Enlazar/Desenlazar conectores de IDP).

Image shows creating federation with local SP service

  1. Seleccione Create New IDP Connector (Crear nuevo conector del IdP) y, en el menú desplegable, seleccione From Metadata (Desde metadatos).

Image shows create new IDP connector

  1. Busque el archivo XML de metadatos de federación que descargó anteriormente y proporcione un nombre de proveedor de identidades para el objeto de APM que representará el IDP externo de SAML.

  2. Seleccione Add New Row (Agregar nueva fila) para seleccionar el nuevo conector IDP externo de Azure AD.

Image shows external IDP connector

  1. Seleccione Update (Actualizar) para enlazar el objeto del proveedor de servicios de SAML al objeto IDP de SAML y, a continuación, seleccione OK (Aceptar).

Image shows SAML IDP using SP

Configuración de Webtop

Los pasos siguientes permiten que SSL-VPN se ofrezca a los usuarios a través del portal web propiedad de BIG-IP.

  1. Vaya a Access>Webtops>Webtop Lists (Acceso > Webtops > Listas de webtops) y seleccione Create (Crear).

  2. Asigne un nombre al portal y establezca el tipo en Full (Completo). Por ejemplo, Contoso_webtop.

  3. Ajuste las preferencias restantes y, después, seleccione Finished (Finalizado).

Image shows webtop configuration

Configuración de VPN

La funcionalidad de VPN se compone de varios elementos, cada uno de los cuales controla un aspecto diferente del servicio global.

  1. Vaya Access>Connectivity/VPN>Network Access (VPN)>IPV4 Lease Pools (Acceso > Conectividad/VPN > Acceso de red (VPN) > Grupos de concesión de IPV4) y seleccione Create (Crear).

  2. Proporcione un nombre para el grupo de direcciones IP que se va a asignar a los clientes VPN. Por ejemplo, Contoso_vpn_pool.

  3. Establezca el tipo en IP Address Range (intervalo de direcciones IP) y proporcione una dirección IP inicial y final y, después, seleccione Add (Agregar) y Finished (Finalizado).

Image shows vpn configuration

Una lista de acceso a redes aprovisiona el servicio con la configuración de IP y DNS del grupo de VPN y los permisos de enrutamiento de usuarios, y también puede iniciar aplicaciones si es necesario.

  1. Go to Access>Connectivity/VPN: Network Access (VPN)>Network Access Lists (Acceso > Conectividad/VPN > Listas de acceso a redes) y seleccione Create (Crear).

  2. Proporcione un nombre para la lista de acceso y el título de VPN, por ejemplo, Contoso-VPN, y seleccione Finished (Finalizado).

Image shows vpn configuration in network access list

  1. En la cinta de opciones superior, seleccione Network Settings (Configuración de red) y agregue la siguiente configuración:

    Versión de IP admitida: IPV4

    Grupo de concesión de IPV4: Seleccione el grupo de VPN creado anteriormente, por ejemplo, Contoso_vpn_pool.

Image shows contoso vpn pool

Las opciones de configuración de cliente se pueden usar para aplicar restricciones sobre cómo se enruta el tráfico de cliente cuando se establece una VPN.

  1. Seleccione Finished (Finalizado) y vaya a la pestaña DNS/Hosts para agregar esta configuración:

    Servidor de nombres principal IPV4: IP del servidor DNS del entorno

    Sufijo de dominio predeterminado de DNS: sufijo de dominio para esta conexión VPN específica. Por ejemplo, contoso.com.

Image shows default domain suffix

Este artículo de F5 proporciona detalles sobre cómo ajustar el resto de la configuración según sus preferencias.

Ahora se requiere un perfil de conexión de BIG-IP para configurar las opciones de cada uno de los tipos de cliente VPN que el servicio VPN necesita admitir. Por ejemplo, Windows, OSX y Android.

  1. Vaya a Access>Connectivity/VPN>Connectivity>Profiles (Acceso > Conectividad/VPN > Conectividad > Perfiles) y seleccione Add (Agregar).

  2. Proporcione un nombre de perfil y establezca el perfil primario en /Common/connectivity, por ejemplo, Contoso_VPN_Profile.

Image shows create new connectivity profile

La documentación de F5 proporciona más información sobre la compatibilidad con clientes.

Configuración del perfil de acceso

Con los objetos VPN configurados, se requiere una directiva de acceso para habilitar el servicio para la autenticación SAML.

  1. Vaya a Access>Profiles/Policies>Access Profiles (Per-Session Policies) (Acceso > Perfiles o directivas > Acceder a perfiles (directivas por sesión)) y seleccione Create (Crear).

  2. Proporcione un nombre de perfil y como tipo de perfil, seleccione All (Todos), por ejemplo, Contoso_network_access

  3. Desplácese hacia abajo para agregar al menos un idioma a la lista Accepted Languages (Idiomas aceptados) y seleccione Finished (Finalizado).

Image shows general properties

  1. Seleccione Edit (Editar) en el campo Per-Session Policy (Directiva por sesión) del nuevo perfil de acceso para que el editor de directivas visuales se inicie en una pestaña del explorador independiente.

Image shows per-session policy

  1. Seleccione el signo + y, en el elemento emergente, seleccione Authentication>SAML Auth>Add Item (Autenticación > Autenticación de SAML > Agregar elemento).

  2. En la configuración del proveedor de servicios de autenticación de SAML, seleccione el objeto VPN SAML SP que creó anteriormente y, después, seleccione Save (Guardar).

Image shows saml authentication

  1. Seleccione + para la rama correcta de la autenticación de SAML.

  2. En la pestaña Assignment (Asignación), seleccione Advanced Resource Assign (Asignación avanzada de recursos) y, después, seleccione Add Item (Agregar elemento).

Image shows advance resource assign

  1. En el elemento emergente, seleccione New Entry (Nueva entrada) y Add/Delete (Agregar o eliminar).

  2. En la ventana secundaria, seleccione Network Access (Acceso a la red) y, a continuación, seleccione el perfil de acceso a la red que se creó anteriormente.

Image shows adding new network access entry

  1. Cambie a la pestaña Webtop y agregue el objeto Webtop que creó anteriormente.

Image shows adding webtop object

  1. Seleccione Update (Actualizar) seguido de Save (Guardar).

  2. Seleccione el vínculo del cuadro Deny (Denegar) superior para cambiar la rama correcta a Allow (Permitir) y, después, seleccione Save (Guardar).

Image shows new visual policy editor

  1. Para confirmar esos valores, seleccione Apply Access Policy (Aplicar directiva de acceso) y cierre la pestaña del editor de directivas visuales.

Image shows new access policy manager

Publicación del servicio VPN

Con todas las opciones de configuración en vigor, APM requiere ahora un servidor virtual de front-end para escuchar a los clientes que se conectan a la VPN.

  1. Seleccione Local Traffic>Virtual Servers>Virtual Server List (Tráfico local > Servidores virtuales > Lista de servidores virtuales), y seleccione Create (Crear).

  2. Proporcione un nombre para el servidor virtual de la VPN, por ejemplo, VPN_Listener.

  3. Proporcione al servidor virtual una dirección IP de destino no usada que tenga el enrutamiento en vigor para recibir el tráfico de cliente.

  4. Establezca el puerto de servicio en 443 HTTPS y asegúrese de que el estado muestra Enabled (Habilitado).

Image shows new virtual server

  1. Establezca el perfil HTTP en http y agregue el perfil SSL (cliente) del certificado SSL público que aprovisionó como parte de los requisitos previos.

Image shows ssl profile

  1. En Directiva de acceso, establezca el perfil de acceso y el perfil de conectividad para usar los objetos VPN creados.

Image shows access policy

  1. Seleccione Finished (Finalizado) cuando termine.

  2. El servicio SSL-VPN ya se ha publicado y es accesible mediante el acceso híbrido seguro, ya sea directamente a través de su dirección URL o a través de los portales de aplicaciones de Microsoft.

Pasos siguientes

Abra un explorador en un cliente remoto de Windows y vaya a la dirección URL del servicio VPN de BIG-IP. Después de autenticarse en Azure AD, verá el portal de webtops de BIG-IP y el iniciador de VPN.

Image shows vpn launcher

Al seleccionar el icono de VPN se instalará BIG-IP Edge Client y se establecerá una conexión VPN configurada para el acceso híbrido seguro. La aplicación VPN de F5 también debe estar visible como un recurso de destino en el acceso condicional de Azure AD. Consulte nuestra guía para crear directivas de acceso condicional y permitir también a los usuarios la autenticación sin contraseña de Azure AD.

Recursos adicionales