자습서: Microsoft Entra SSO에 대한 F5 BIG-IP SSL-VPN 구성

  • 아티클

이 자습서에서는 F5의 BIG-IP 기반 SSL-VPN(Secure Socket Layer 가상 사설망)을 SHA(Secure Hybrid Access)용 Microsoft Entra ID와 통합하는 방법에 대해 알아봅니다.

Microsoft Entra SSO(Single Sign-On)에 BIG-IP SSL-VPN을 사용하도록 설정하면 다음을 비롯한 다양한 이점이 있습니다.

이점에 대해 자세히 알아보려면 다음을 참조하세요.

시나리오 설명

이 시나리오에서 SSL-VPN 서비스의 APM(BIG-IP 액세스 정책 관리자) 인스턴스는 SAML(Security Assertion Markup Language) SP(서비스 공급자)로 구성되고 Microsoft Entra ID는 신뢰할 수 있는 SAML ID 공급자(IdP)입니다. Microsoft Entra ID의 SSO(Single Sign-On)는 VPN(원활한 가상 사설망) 액세스 환경인 BIG-IP APM에 대한 클레임 기반 인증을 통해 이루어집니다.

통합 아키텍처 다이어그램.

참고 항목

이 가이드의 예제 문자열 또는 값을 환경의 문자열과 값으로 바꾸어야 합니다.

필수 조건

F5 BIG-IP에 대한 이전 경험이나 지식은 필요하지 않지만 다음이 필요합니다.

  • Microsoft Entra 구독
  • 온-프레미스 디렉터리에서 Microsoft Entra ID로 동기화된 사용자 ID
  • 전역 관리자, 클라우드 애플리케이션 관리자 또는 애플리케이션 관리자 역할 중 하나
  • BIG-IP를 드나드는 클라이언트 트래픽 라우팅이 있는 BIG-IP 인프라
  • 공용 do기본 이름 서버(DNS)의 BIG-IP 게시된 VPN 서비스에 대한 레코드입니다.
    • 또는 테스트하는 동안 클라이언트 localhost 파일 테스트
  • HTTPS를 통해 서비스를 게시하는 데 필요한 SSL 인증서를 사용하여 BIG-IP를 프로비전해야 함

자습서 환경을 개선하기 위해 F5 BIG-IP 용어집에서 업계 표준 용어를 배울 수 있습니다.

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

게시된 VPN 서비스에 대한 액세스 권한을 부여하기 전에 Microsoft Entra BIG-IP가 사전 인증 및 조건부 액세스를 Microsoft Entra ID에 전달할 수 있도록 BIG-IP 간에 SAML 페더레이션 트러스트를 설정합니다.

  1. 최소한 클라우드 애플리케이션 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>애플리케이션>엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동한 다음 새 애플리케이션을 선택합니다.
  3. 갤러리에서 F5를 검색하고 F5 BIG-IP APM Microsoft Entra ID 통합을 선택합니다.
  4. 애플리케이션의 이름을 입력합니다.
  5. 추가, 만들기를 차례로 선택합니다.
  6. Microsoft Entra 관리 센터 및 Office 365 포털에 이름이 아이콘으로 나타납니다.

Microsoft Entra SSO 구성

  1. F5 애플리케이션 속성이 표시된 상태에서 관리>Single Sign-On으로 이동합니다.

  2. Single Sign-On 방법 선택 페이지에서 SAML을 선택합니다.

  3. 아니요, 나중에 저장을 선택합니다.

  4. SAML로 Single Sign-On 설정 메뉴에서 기본 SAML 구성에 대한 펜 아이콘을 선택합니다.

  5. 식별자 URL을 BIG-IP 게시 서비스의 URL로 바꿉니다. 예: https://ssl-vpn.contoso.com.

  6. 회신 URL 및 SAML 엔드포인트 경로를 바꿉니다. 예: https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    참고 항목

    이 구성에서 애플리케이션은 IdP 시작 모드에서 작동합니다. Microsoft Entra ID는 BIG-IP SAML 서비스로 리디렉션하기 전에 SAML 어설션을 발행합니다.

  7. IdP 시작 모드를 지원하지 않는 앱에서 BIG-IP SAML 서비스의 경우 로그온 URL을 지정합니다(예: https://ssl-vpn.contoso.com).

  8. 로그아웃 URL의 경우 게시 중인 서비스의 호스트 헤더 앞에 BIG-IP APM SLO(단일 로그아웃) 엔드포인트를 입력합니다. 예를 들어 https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    참고 항목

    SLO URL을 통해 사용자가 로그아웃한 후 BIG-IP 및 Microsoft Entra ID에서 사용자 세션이 종료됩니다. BIG-IP APM은 애플리케이션 URL을 호출할 때 모든 세션을 종료하는 옵션을 제공합니다. 자세한 내용은 F5 문서 K12056: 로그아웃 URI 포함 옵션 개요를 참조하세요.

기본 SAML 구성 URL의 스크린샷..

참고 항목

TMOS v16부터 SAML SLO 엔드포인트가 /saml/sp/profile/redirect/slo로 변경되었습니다.

  1. 저장을 선택합니다.

  2. SSO 테스트 프롬프트를 건너뜁니다.

  3. 사용자 특성 및 클레임 속성에서 세부 정보를 관찰합니다.

    사용자 특성 및 클레임 속성의 스크린샷

BIG-IP 게시된 서비스에 다른 클레임을 추가할 수 있습니다. 기본 집합과 함께 정의된 클레임은 Microsoft Entra ID에 있는 경우 발급됩니다. 디렉터리 역할 또는 그룹 멤버 자격은 클레임으로 발급되기 전에 Microsoft Entra ID의 사용자 개체에 대해 정의합니다.

페더레이션 메타데이터 XML 다운로드 옵션의 스크린샷.

Microsoft Entra ID에서 만들어진 SAML 서명 인증서의 수명은 3년입니다.

Microsoft Entra 권한 부여

기본적으로 Microsoft Entra ID는 서비스에 대한 액세스 권한이 부여된 사용자에게 토큰을 발급합니다.

  1. 애플리케이션의 구성 보기에서 사용자 및 그룹을 선택합니다.

  2. + 사용자 추가를 선택합니다.

  3. 할당 추가 메뉴에서 사용자 및 그룹을 선택합니다.

  4. 사용자 및 그룹 대화 상자에서 VPN에 액세스 권한이 있는 사용자 그룹을 추가합니다.

  5. 선택>할당을 선택합니다.

    사용자 추가 옵션의 스크린샷.

BIG-IP APM을 설정하여 SSL-VPN 서비스를 게시할 수 있습니다. 해당 속성을 사용하여 구성하여 SAML 사전 인증에 대한 트러스트를 완료합니다.

BIG-IP APM 구성

SAML 페더레이션

Microsoft Entra ID를 사용하여 VPN 서비스 페더레이션을 완료하려면 BIG-IP SAML 서비스 공급자 및 해당 SAML IDP 개체를 만듭니다.

  1. 액세스>페더레이션>SAML 서비스 공급자>로컬 SP 서비스로 이동합니다.

  2. 만들기를 실행합니다.

    로컬 SP 서비스 페이지의 만들기 옵션 스크린샷

  3. Microsoft Entra ID에 정의된 이름엔터티 ID를 입력합니다.

  4. FQDN(호스트 정규화된 do기본 이름)을 입력하여 애플리케이션에 연결합니다.

    이름 및 엔터티 항목의 스크린샷

    참고 항목

엔터티 ID가 게시된 URL의 호스트 이름과 정확히 일치하지 않는 경우 SP 이름 설정을 구성하거나 호스트 이름 URL 형식이 아닌 경우 이 작업을 수행합니다. 엔터티 ID가 urn:ssl-vpn:contosoonline인 경우 게시되는 애플리케이션의 외부 스키마 및 호스트 이름을 제공합니다.

  1. 아래로 스크롤하여 새 SAML SP 개체를 선택합니다.

  2. 바인딩/바인딩 해제 IDP 커넥터를 선택합니다.

    로컬 SP 서비스 페이지의 바인딩되지 않은 IDP 커넥트ions 바인딩 옵션 스크린샷

  3. 새 IDP 커넥터 만들기를 선택합니다.

  4. 드롭다운 메뉴에서 메타데이터에서를 선택합니다.

    SAML IdP 편집 페이지의 메타데이터 원본 옵션 스크린샷.

  5. 다운로드한 페더레이션 메타데이터 XML 파일로 이동합니다.

  6. APM 개체의 경우 외부 SAML IdP를 나타내는 ID 공급자 이름을 제공합니다.

  7. 새 Microsoft Entra 외부 IdP 커넥터를 선택하려면 새 행 추가를 선택합니다.

    SAML IdP 편집 페이지의 SAML IdP 커넥트ors 옵션 스크린샷

  8. 업데이트를 선택합니다.

  9. 확인을 선택합니다.

    SAML IdP 편집 페이지의 공통 VPN Azure 링크 스크린샷.

웹톱 구성

BIG-IP 웹 포털을 통해 사용자에게 SSL-VPN을 제공할 수 있도록 설정합니다.

  1. 액세스>웹톱>웹톱 목록으로 이동합니다.

  2. 만들기를 실행합니다.

  3. 포털 이름을 입력합니다.

  4. 형식을 전체(예: Contoso_webtop)로 설정합니다.

  5. 나머지 기본 설정을 완료합니다.

  6. 마침을 선택합니다.

    일반 속성의 이름 및 형식 항목 스크린샷

VPN 구성

VPN 요소는 전체 서비스의 측면을 제어합니다.

  1. 액세스>연결/VPN>네트워크 액세스(VPN)>IPV4 임대 풀로 이동합니다.

  2. 만들기를 실행합니다.

  3. VPN 클라이언트에 할당된 IP 주소 풀의 이름을 제공합니다. 예를 들어 Contoso_vpn_pool입니다.

  4. 형식을 IP 주소 범위로 설정합니다.

  5. 시작 및 끝 IP를 입력합니다.

  6. 추가를 선택합니다.

  7. 마침을 선택합니다.

    일반 속성의 이름 및 멤버 목록 항목 스크린샷

네트워크 액세스 목록은 VPN 풀의 IP 및 DNS 설정, 사용자 라우팅 사용 권한으로 서비스를 프로비전하고 애플리케이션을 시작할 수 있습니다.

  1. 액세스>연결/VPN: 네트워크 액세스(VPN)>네트워크 액세스 목록으로 이동합니다.

  2. 만들기를 실행합니다.

  3. VPN 액세스 목록 및 캡션의 이름(예: Contoso-VPN)을 제공합니다.

  4. 마침을 선택합니다.

    일반 속성의 이름 항목 및 영어 사용자 지정 설정 캡션 항목의 스크린샷

  5. 위쪽 리본에서 네트워크 설정을 선택합니다.

  6. 지원되는 IP 버전은 IPV4입니다.

  7. IPV4 임대 풀의 경우 만든 VPN 풀(예: Contoso_vpn_pool)을 선택합니다.

    일반 설정 IPV4 임대 풀 항목의 스크린샷

    참고 항목

    클라이언트 설정 옵션을 사용하여 클라이언트 트래픽이 설정된 VPN에서 라우팅되는 방식에 대한 제한 사항을 적용합니다.

  8. 마침을 선택합니다.

  9. DNS/호스트 탭으로 이동합니다.

  10. IPV4 기본 이름 서버의 경우: 사용자 환경 DNS IP

  11. DNS 기본 도메인 접미사의 경우 이 VPN 연결에 대한 도메인 접미사입니다. 예를 들면 contoso.com입니다.

    IPV4 주 서버 이름 및 DNS 기본 Do기본 접미사 항목의 스크린샷

참고 항목

다른 설정의 경우 F5 문서 네트워크 액세스 리소스 구성을 참조하세요.

VPN 서비스가 지원해야 하는 VPN 클라이언트 형식 설정을 구성하려면 BIG-IP 연결 프로필이 필요합니다. 예를 들어 Windows, OSX 및 Android 등입니다.

  1. 액세스>연결/VPN>연결>프로필로 이동합니다.

  2. 추가를 선택합니다.

  3. 프로필 이름을 입력합니다.

  4. 상위 프로필을 /Common/connectivity로 설정합니다(예: Contoso_VPN_Profile).

    새 커넥트 만들기 프로필의 프로필 이름 및 부모 이름 항목 스크린샷

클라이언트 지원에 대한 자세한 내용은 F5 문서 F5 액세스 및 BIG-IP Edge 클라이언트를 참조하세요.

액세스 프로필 구성

액세스 정책을 사용하면 서비스에서 SAML 인증을 사용할 수 있습니다.

  1. 액세스>프로필/정책>액세스 프로필(세션별 정책)로 이동합니다.

  2. 만들기를 실행합니다.

  3. 프로필 이름 및 프로필 유형을 입력합니다.

  4. 모두(예: Contoso_network_access)를 선택합니다.

  5. 아래로 스크롤하여 허용된 언어 목록에 언어를 하나 이상 추가를 선택합니다.

  6. 마침을 선택합니다.

    새 프로필의 이름, 프로필 유형 및 언어 항목 스크린샷

  7. 새 액세스 프로필의 세션별 정책 필드에서 편집을 선택합니다.

  8. 시각적 정책 편집기가 새 탭에서 열립니다.

    액세스 프로필, 사전 설정 정책의 편집 옵션 스크린샷

  9. + 기호를 선택합니다.

  10. 메뉴에서 인증>SAML 인증을 선택합니다.

  11. 항목 추가를 선택합니다.

  12. SAML 인증 SP 구성에서 만든 VPN SAML SP 개체를 선택합니다.

  13. 저장을 선택합니다.

    속성 탭의 SAML 인증 SP 아래에 있는 AAA 서버 항목의 스크린샷

  14. SAML 인증의 분기의 경우 +를 선택합니다.

  15. 할당 탭에서 고급 리소스 할당을 선택합니다.

  16. 항목 추가를 선택합니다.

    액세스 정책의 더하기 단추 스크린샷

  17. 팝업에서 새 항목을 선택합니다.

  18. 추가/삭제를 선택합니다.

  19. 창에서 네트워크 액세스를 선택합니다.

  20. 만든 네트워크 액세스 프로필을 선택합니다.

    속성 탭에 있는 리소스 할당의 새 항목 추가 단추 스크린샷

  21. 웹톱 탭으로 이동합니다.

  22. 만든 웹톱 개체를 추가합니다.

    웹톱 탭에서 만든 웹톱의 스크린샷.

  23. 업데이트를 선택합니다.

  24. 저장을 선택합니다.

  25. 성공 분기를 변경하려면 상단의 거부 상자에서 링크를 선택합니다.

  26. 허용 레이블이 나타납니다.

  27. 저장합니다.

    액세스 정책의 거부 옵션 스크린샷

  28. 액세스 정책 적용을 선택합니다.

  29. 시각적 정책 편집기 탭을 닫습니다.

    액세스 정책 적용 옵션의 스크린샷.

VPN 서비스 게시

APM은 VPN에 연결하는 클라이언트를 수신 대기할 프런트 엔드 가상 서버가 필요합니다.

  1. 로컬 트래픽>가상 서버>가상 서버 목록을 선택합니다.

  2. 만들기를 실행합니다.

  3. VPN 가상 서버의 경우 이름(예: VPN_Listener)을 입력합니다.

  4. 클라이언트 트래픽을 수신하기 위해 라우팅이 있는 사용되지 않는 IP 대상 주소를 선택합니다.

  5. 서비스 포트를 443 HTTPS로 설정합니다.

  6. 상태의 경우 사용이 선택되어 있는지 확인합니다.

    일반 속성의 이름 및 대상 주소 또는 마스크 항목 스크린샷

  7. HTTP 프로필http로 설정합니다.

  8. 만든 공용 SSL 인증서에 대한 SSL 프로필(클라이언트)을 추가합니다.

    클라이언트에 대한 HTTP 프로필 항목 및 클라이언트에 대해 SSL 프로필이 선택한 항목의 스크린샷

  9. 만든 VPN 개체를 사용하려면 액세스 정책에서 액세스 프로필연결 프로필을 설정합니다.

    액세스 정책에 대한 액세스 프로필 및 커넥트- 프로필 항목의 스크린샷.

  10. 마침을 선택합니다.

SSL-VPN 서비스는 SHA를 통해 게시되고 액세스할 수 있습니다. 해당 URL을 사용하여 또는 Microsoft의 애플리케이션 포털을 통합니다.

다음 단계

  1. 원격 Windows 클라이언트에서 브라우저를 엽니다.

  2. BIG-IP VPN 서비스 URL로 이동합니다.

  3. BIG-IP 웹톱 포털 및 VPN 시작 관리자가 나타납니다.

    네트워크 액세스 표시기가 있는 Contoso 네트워크 포털 페이지의 스크린샷

    참고 항목

    VPN 타일을 선택하면 BIG-IP Edge 클라이언트를 설치하고 SHA에 대해 구성된 VPN 연결을 설정합니다. F5 VPN 애플리케이션이 Microsoft Entra 조건부 액세스에서 대상 리소스로 표시됩니다. 사용자가 Microsoft Entra ID 암호 없는 인증을 사용할 수 있도록 하려면 조건부 액세스 정책을 참조하세요.

리소스