Tutorial: Configurar o SSL-VPN BIG-IP F5 para Microsoft Entra SSO
Neste tutorial, saiba como integrar a rede privada virtual de camada de socket virtual (SSL-VPN) baseada em BIG-IP F5 com Microsoft Entra para acesso híbrido seguro (SHA).
Ativar uma SSL-VPN BIG-IP para Microsoft Entra início de sessão único (SSO) proporciona muitas vantagens, incluindo:
- Melhoramento da governação de confiança Zero através da pré-autenticação Microsoft Entra e acesso condicional.
- Autenticação sem palavra-passe no serviço VPN
- Gerir identidades e acesso a partir de um único plano de controlo, o centro de administração do Microsoft Entra
Para saber mais sobre mais benefícios, consulte
Nota
As VPNs clássicas permanecem orientadas para a rede, fornecendo frequentemente pouco ou nenhum acesso detalhado às aplicações empresariais. Encorajamos uma abordagem mais centrada na identidade para alcançar Confiança Zero. Saiba mais: Cinco passos para integrar todas as suas aplicações com Microsoft Entra ID.
Descrição do cenário
Neste cenário, a instância do APM BIG-IP do serviço SSL-VPN está configurada como um fornecedor de serviços SAML (SP) e Microsoft Entra ID é o IDP SAML fidedigno. O SSO do Microsoft Entra ID é fornecido através da autenticação baseada em afirmações para o APM BIG-IP, uma experiência de acesso VPN totalmente integrada.
Nota
Substitua cadeias de exemplo ou valores neste guia pelos que se encontram no seu ambiente.
Pré-requisitos
No entanto, não é necessária experiência ou conhecimento prévio do BIG-IP do F5. No entanto, precisará de:
- Uma subscrição de Microsoft Entra
- Se não tiver uma, pode obter uma conta gratuita do Azure ou superior
- Identidades de utilizador sincronizadas do respetivo diretório no local para Microsoft Entra ID.
- Uma das seguintes funções: Administrador Global, Administrador de Aplicações na Cloud ou Administrador de Aplicações.
- Infraestrutura BIG-IP com encaminhamento de tráfego de cliente de e para o BIG-IP
- Em alternativa , implemente uma Edição Virtual BIG-IP no Azure
- Um registo para o serviço VPN publicado pelo BIG-IP no DNS público
- Ou um ficheiro localhost de cliente de teste durante o teste
- O BIG-IP aprovisionado com os certificados SSL necessários para publicar serviços através de HTTPS
Para melhorar a experiência do tutorial, pode aprender terminologia padrão da indústria no Glossário F5 BIG-IP.
Adicionar F5 BIG-IP a partir da galeria de Microsoft Entra
Dica
Os passos neste artigo podem variar ligeiramente com base no portal a partir do qual começa.
Configure uma confiança de federação SAML entre o BIG-IP para permitir que o Microsoft Entra BIG-IP distribua a pré-autenticação e o Acesso Condicional para Microsoft Entra ID, antes de conceder acesso ao serviço VPN publicado.
- Inicie sessão no centro de administração do Microsoft Entra como, pelo menos, um Administrador de Aplicações na Cloud.
- Navegue para Aplicações de Identidade>Aplicações>Empresariais>Todas as aplicações e, em seguida, selecione Nova aplicação.
- Na galeria, procure F5 e selecione F5 BIG-IP APM Azure AD integração.
- Introduza um nome para a aplicação.
- Selecione Adicionar e, em seguida , Criar.
- O nome, como ícone, é apresentado no centro de administração Microsoft Entra e no portal de Office 365.
Configurar Microsoft Entra SSO
- Com as propriedades da aplicação F5, aceda a Gerir>Início de sessão único.
- Na página Selecionar um único método de início de sessão , selecione SAML.
- Selecione Não, guardarei mais tarde.
- No menu Configurar início de sessão único com SAML , selecione o ícone da caneta para Configuração SAML Básica.
- Substitua o URL do Identificador pelo URL do serviço publicado por BIG-IP. Por exemplo,
https://ssl-vpn.contoso.com
. - Substitua o URL de Resposta e o caminho do ponto final SAML. Por exemplo,
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.
Nota
Nesta configuração, a aplicação funciona num modo iniciado por IdP: Microsoft Entra ID emite uma asserção SAML antes de redirecionar para o serviço SAML BIG-IP.
- Para aplicações que não suportam o modo iniciado por IdP, para o serviço SAML BIG-IP, especifique o URL de Início de Sessão, por exemplo,
https://ssl-vpn.contoso.com
. - Para o URL de Início de Sessão, introduza o ponto final de início de sessão único (SLO) do APM BIG-IP pré-colocado pelo cabeçalho do anfitrião do serviço que está a ser publicado. Por exemplo,
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
Nota
Um URL de SLO garante que uma sessão de utilizador termina, em BIG-IP e Microsoft Entra ID, depois de o utilizador terminar sessão. O APM BIG-IP tem a opção de terminar todas as sessões ao chamar um URL da aplicação. Saiba mais no artigo F5, K12056: Descrição geral da opção Incluir URI de Início de Sessão.
Nota
A partir do TMOS v16, o ponto final do SLO SAML foi alterado para /saml/sp/profile/redirect/slo.
Selecione Guardar
Ignore a linha de comandos de teste do SSO.
Nas propriedades Afirmações de Atributos & de Utilizador , observe os detalhes.
Pode adicionar outras afirmações ao seu serviço publicado em BIG-IP. As afirmações definidas para além do conjunto predefinido são emitidas se estiverem em Microsoft Entra ID. Defina funções de diretório ou associações a grupos em relação a um objeto de utilizador no Microsoft Entra ID, antes de poderem ser emitidas como uma afirmação.
Os certificados de assinatura SAML criados por Microsoft Entra ID têm uma vida útil de três anos.
autorização de Microsoft Entra
Por predefinição, Microsoft Entra problemas de ID para os utilizadores com acesso concedido a um serviço.
Na vista de configuração da aplicação, selecione Utilizadores e grupos.
Selecione + Adicionar utilizador.
No menu Adicionar Atribuição , selecione Utilizadores e grupos.
Na caixa de diálogo Utilizadores e grupos , adicione os grupos de utilizadores autorizados a aceder à VPN
Selecione Selecionar>Atribuir.
Pode configurar o BIG-IP APM para publicar o serviço SSL-VPN. Configure-o com as propriedades correspondentes para concluir a fidedignidade da pré-autenticação SAML.
Configuração do APM BIG-IP
Federação SAML
Para concluir a federação do serviço VPN com Microsoft Entra ID, crie o fornecedor de serviços SAML BIG-IP e os objetos IDP SAML correspondentes.
Aceda a Aceder> aosServiços SP Locais do Fornecedor > deServiços SAMLde Federação>.
Selecione Criar.
Introduza um Nome e o ID da Entidade definidos em Microsoft Entra ID.
Introduza o FQDN do Anfitrião para ligar à aplicação.
Nota
Se o ID da entidade não for uma correspondência exata do nome do anfitrião do URL publicado, configure as definições de Nome do SP ou execute esta ação se não estiver no formato de URL de nome de anfitrião. Se o ID da entidade for , forneça o esquema externo e o nome do anfitrião da aplicação que está urn:ssl-vpn:contosoonline
a ser publicada.
Desloque-se para baixo para selecionar o novo objeto SP SAML.
Selecione Ligar/Desabinar Conectores IDP.
Selecione Criar Novo Conector IDP.
No menu pendente, selecione De Metadados
Navegue para o ficheiro XML de metadados de federação que transferiu.
Para o objeto APM, forneça um Nome do Fornecedor de Identidade que represente o IdP SAML externo.
Para selecionar o novo conector IdP externo Microsoft Entra, selecione Adicionar Nova Linha.
Selecione Atualizar.
Selecione OK.
Configuração do Webtop
Ative a oferta SSL-VPN aos utilizadores através do portal Web BIG-IP.
Aceda a ListasdeWebtops> do Access.>
Selecione Criar.
Introduza um nome de portal.
Defina o tipo como Completo, por exemplo,
Contoso_webtop
.Conclua as restantes preferências.
Selecione Concluído.
Configuração de VPN
Os elementos VPN controlam os aspetos do serviço geral.
Aceda a Conectividade de Acesso>/Acesso à Rede VPN> (VPN)>Conjuntos de Concessão IPV4
Selecione Criar.
Introduza um nome para o conjunto de endereços IP alocado a clientes VPN. Por exemplo, Contoso_vpn_pool.
Defina o tipo como Intervalo de Endereços IP.
Introduza um IP de início e de fim.
Selecione Adicionar.
Selecione Concluído.
Uma lista de acesso à rede aprovisiona o serviço com definições de IP e DNS do conjunto de VPN, permissões de encaminhamento de utilizadores e pode iniciar aplicações.
Aceda aConectividade/VPN de Acesso>: Acesso à Rede (VPN)>Listas de Acesso à Rede.
Selecione Criar.
Indique um nome para a lista de acesso VPN e legenda, por exemplo, Contoso-VPN.
Selecione Concluído.
No friso superior, selecione Definições de Rede.
Para a versão de IP suportada: IPV4.
Para o Conjunto de Concessões IPV4, selecione o conjunto de VPN criado, por exemplo, Contoso_vpn_pool
Nota
Utilize as opções Definições de Cliente para impor restrições para a forma como o tráfego de cliente é encaminhado numa VPN estabelecida.
Selecione Concluído.
Aceda ao separador DNS/Anfitriões .
Para o Servidor de Nomes Primários IPV4: O IP DNS do seu ambiente
Para O Sufixo de Domínio Predefinido do DNS: o sufixo de domínio para esta ligação VPN. Por exemplo, contoso.com
Nota
Veja o artigo F5 , Configurar Recursos de Acesso à Rede para outras definições.
É necessário um perfil de ligação BIG-IP para configurar as definições do tipo de cliente VPN que o serviço VPN precisa de suportar. Por exemplo, Windows, OSX e Android.
Aceda aAccess Connectivity/VPNConnectivity>Profiles (Perfis de Conectividade VPN>/Conectividade do Access>)
Selecione Adicionar.
Introduza um nome de perfil.
Defina o perfil principal como /Comum/conectividade, por exemplo, Contoso_VPN_Profile.
Para obter mais informações sobre o suporte ao cliente, consulte o artigo F5, Acesso F5 e Cliente BIG-IP Edge.
Configuração do perfil de acesso
Uma política de acesso ativa o serviço para autenticação SAML.
Aceda a Perfis de Acesso>/Perfis de Acesso de Políticas>(Políticas por Sessão).
Selecione Criar.
Introduza um nome de perfil e para o tipo de perfil.
Selecione Tudo, por exemplo, Contoso_network_access.
Desloque-se para baixo e adicione pelo menos um idioma à lista Idiomas Aceites
Selecione Concluído.
No novo perfil de acesso, no campo Per-Session Política, selecione Editar.
O editor de política visual é aberto num novo separador.
Selecione o + sinal.
No menu, selecione Autenticação>SAML Auth.
Selecione Adicionar Item.
Na configuração do SP de autenticação SAML, selecione o objeto SP SAML VPN que criou
Selecione Guardar.
Para o ramo Bem-sucedido da autenticação SAML, selecione + .
No separador Atribuição, selecione Atribuir Recurso Avançado.
Selecione Adicionar Item.
No pop-up, selecione Nova Entrada
Selecione Adicionar/Eliminar.
Na janela, selecione Acesso à Rede.
Selecione o perfil de Acesso à Rede que criou.
Aceda ao separador Webtop .
Adicione o objeto Webtop que criou.
Selecione Atualizar.
SelecioneGuardar.
Para alterar o ramo Com Êxito, selecione a ligação na caixa Negar superior.
É apresentada a etiqueta Permitir.
Guarde.
Selecione Aplicar Política de Acesso
Feche o separador do editor de políticas visuais.
Publicar o serviço VPN
O APM requer um servidor virtual de front-end para escutar os clientes que se ligam à VPN.
Selecione Lista deServidores>Virtuais de Tráfego> Local.
Selecione Criar.
Para o servidor virtual VPN, introduza um Nome, por exemplo, VPN_Listener.
Selecione um Endereço de Destino IP não utilizado com encaminhamento para receber tráfego de cliente.
Defina a Porta de Serviço como 443 HTTPS.
Em Estado, certifique-se de que Ativado está selecionado.
Defina o Perfil HTTP como http.
Adicione o Perfil SSL (Cliente) para o certificado SSL público que criou.
Para utilizar os objetos VPN criados, em Política de Acesso, defina o Perfil de Acesso e o Perfil de Conectividade.
Selecione Concluído.
O seu serviço SSL-VPN é publicado e acessível através de SHA, quer com o respetivo URL, quer através de portais de aplicações da Microsoft.
Passos seguintes
Abra um browser num cliente Windows remoto.
Navegue para o URL do serviço VPN BIG-IP .
O portal de webtop BIG-IP e o iniciador de VPN são apresentados.
Nota
Selecione o mosaico VPN para instalar o cliente BIG-IP Edge e estabelecer uma ligação VPN configurada para SHA. A aplicação VPN F5 é visível como um recurso de destino no Microsoft Entra Acesso Condicional. Veja Políticas de Acesso Condicional para permitir aos utilizadores Microsoft Entra autenticação sem palavra-passe de ID.