Tutorial: Configurar o SSL-VPN BIG-IP F5 para Microsoft Entra SSO

  • Artigo

Neste tutorial, saiba como integrar a rede privada virtual de camada de socket virtual (SSL-VPN) baseada em BIG-IP F5 com Microsoft Entra para acesso híbrido seguro (SHA).

Ativar uma SSL-VPN BIG-IP para Microsoft Entra início de sessão único (SSO) proporciona muitas vantagens, incluindo:

Para saber mais sobre mais benefícios, consulte

Nota

As VPNs clássicas permanecem orientadas para a rede, fornecendo frequentemente pouco ou nenhum acesso detalhado às aplicações empresariais. Encorajamos uma abordagem mais centrada na identidade para alcançar Confiança Zero. Saiba mais: Cinco passos para integrar todas as suas aplicações com Microsoft Entra ID.

Descrição do cenário

Neste cenário, a instância do APM BIG-IP do serviço SSL-VPN está configurada como um fornecedor de serviços SAML (SP) e Microsoft Entra ID é o IDP SAML fidedigno. O SSO do Microsoft Entra ID é fornecido através da autenticação baseada em afirmações para o APM BIG-IP, uma experiência de acesso VPN totalmente integrada.

Diagrama da arquitetura de integração.

Nota

Substitua cadeias de exemplo ou valores neste guia pelos que se encontram no seu ambiente.

Pré-requisitos

No entanto, não é necessária experiência ou conhecimento prévio do BIG-IP do F5. No entanto, precisará de:

  • Uma subscrição de Microsoft Entra
  • Identidades de utilizador sincronizadas do respetivo diretório no local para Microsoft Entra ID.
  • Uma das seguintes funções: Administrador Global, Administrador de Aplicações na Cloud ou Administrador de Aplicações.
  • Infraestrutura BIG-IP com encaminhamento de tráfego de cliente de e para o BIG-IP
  • Um registo para o serviço VPN publicado pelo BIG-IP no DNS público
    • Ou um ficheiro localhost de cliente de teste durante o teste
  • O BIG-IP aprovisionado com os certificados SSL necessários para publicar serviços através de HTTPS

Para melhorar a experiência do tutorial, pode aprender terminologia padrão da indústria no Glossário F5 BIG-IP.

Dica

Os passos neste artigo podem variar ligeiramente com base no portal a partir do qual começa.

Configure uma confiança de federação SAML entre o BIG-IP para permitir que o Microsoft Entra BIG-IP distribua a pré-autenticação e o Acesso Condicional para Microsoft Entra ID, antes de conceder acesso ao serviço VPN publicado.

  1. Inicie sessão no centro de administração do Microsoft Entra como, pelo menos, um Administrador de Aplicações na Cloud.
  2. Navegue para Aplicações de Identidade>Aplicações>Empresariais>Todas as aplicações e, em seguida, selecione Nova aplicação.
  3. Na galeria, procure F5 e selecione F5 BIG-IP APM Azure AD integração.
  4. Introduza um nome para a aplicação.
  5. Selecione Adicionar e, em seguida , Criar.
  6. O nome, como ícone, é apresentado no centro de administração Microsoft Entra e no portal de Office 365.

Configurar Microsoft Entra SSO

  1. Com as propriedades da aplicação F5, aceda a Gerir>Início de sessão único.
  2. Na página Selecionar um único método de início de sessão , selecione SAML.
  3. Selecione Não, guardarei mais tarde.
  4. No menu Configurar início de sessão único com SAML , selecione o ícone da caneta para Configuração SAML Básica.
  5. Substitua o URL do Identificador pelo URL do serviço publicado por BIG-IP. Por exemplo, https://ssl-vpn.contoso.com.
  6. Substitua o URL de Resposta e o caminho do ponto final SAML. Por exemplo, https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

Nota

Nesta configuração, a aplicação funciona num modo iniciado por IdP: Microsoft Entra ID emite uma asserção SAML antes de redirecionar para o serviço SAML BIG-IP.

  1. Para aplicações que não suportam o modo iniciado por IdP, para o serviço SAML BIG-IP, especifique o URL de Início de Sessão, por exemplo, https://ssl-vpn.contoso.com.
  2. Para o URL de Início de Sessão, introduza o ponto final de início de sessão único (SLO) do APM BIG-IP pré-colocado pelo cabeçalho do anfitrião do serviço que está a ser publicado. Por exemplo, https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

Nota

Um URL de SLO garante que uma sessão de utilizador termina, em BIG-IP e Microsoft Entra ID, depois de o utilizador terminar sessão. O APM BIG-IP tem a opção de terminar todas as sessões ao chamar um URL da aplicação. Saiba mais no artigo F5, K12056: Descrição geral da opção Incluir URI de Início de Sessão.

Captura de ecrã dos URLs básicos de configuração SAML.

Nota

A partir do TMOS v16, o ponto final do SLO SAML foi alterado para /saml/sp/profile/redirect/slo.

  1. Selecione Guardar

  2. Ignore a linha de comandos de teste do SSO.

  3. Nas propriedades Afirmações de Atributos & de Utilizador , observe os detalhes.

    Captura de ecrã das propriedades de atributos e afirmações do utilizador.

Pode adicionar outras afirmações ao seu serviço publicado em BIG-IP. As afirmações definidas para além do conjunto predefinido são emitidas se estiverem em Microsoft Entra ID. Defina funções de diretório ou associações a grupos em relação a um objeto de utilizador no Microsoft Entra ID, antes de poderem ser emitidas como uma afirmação.

Captura de ecrã da opção Transferência XML de Metadados de Federação.

Os certificados de assinatura SAML criados por Microsoft Entra ID têm uma vida útil de três anos.

autorização de Microsoft Entra

Por predefinição, Microsoft Entra problemas de ID para os utilizadores com acesso concedido a um serviço.

  1. Na vista de configuração da aplicação, selecione Utilizadores e grupos.

  2. Selecione + Adicionar utilizador.

  3. No menu Adicionar Atribuição , selecione Utilizadores e grupos.

  4. Na caixa de diálogo Utilizadores e grupos , adicione os grupos de utilizadores autorizados a aceder à VPN

  5. Selecione Selecionar>Atribuir.

    Captura de ecrã a mostrar a opção Adicionar Utilizador.

Pode configurar o BIG-IP APM para publicar o serviço SSL-VPN. Configure-o com as propriedades correspondentes para concluir a fidedignidade da pré-autenticação SAML.

Configuração do APM BIG-IP

Federação SAML

Para concluir a federação do serviço VPN com Microsoft Entra ID, crie o fornecedor de serviços SAML BIG-IP e os objetos IDP SAML correspondentes.

  1. Aceda a Aceder> aosServiços SP Locais do Fornecedor > deServiços SAMLde Federação>.

  2. Selecione Criar.

    Captura de ecrã a mostrar a opção Criar na página Serviços SP Locais.

  3. Introduza um Nome e o ID da Entidade definidos em Microsoft Entra ID.

  4. Introduza o FQDN do Anfitrião para ligar à aplicação.

    Captura de ecrã das entradas Nome e Entidade.

Nota

Se o ID da entidade não for uma correspondência exata do nome do anfitrião do URL publicado, configure as definições de Nome do SP ou execute esta ação se não estiver no formato de URL de nome de anfitrião. Se o ID da entidade for , forneça o esquema externo e o nome do anfitrião da aplicação que está urn:ssl-vpn:contosoonlinea ser publicada.

  1. Desloque-se para baixo para selecionar o novo objeto SP SAML.

  2. Selecione Ligar/Desabinar Conectores IDP.

    Captura de ecrã a mostrar a opção Vincular Ligações IDP Não Vinculadas na página Serviços SP Locais.

  3. Selecione Criar Novo Conector IDP.

  4. No menu pendente, selecione De Metadados

    Captura de ecrã a mostrar a opção De Metadados na página Editar IdPs SAML.

  5. Navegue para o ficheiro XML de metadados de federação que transferiu.

  6. Para o objeto APM, forneça um Nome do Fornecedor de Identidade que represente o IdP SAML externo.

  7. Para selecionar o novo conector IdP externo Microsoft Entra, selecione Adicionar Nova Linha.

    Captura de ecrã da opção Conectores IdP SAML na página Editar IdP SAML.

  8. Selecione Atualizar.

  9. Selecione OK.

    Captura de ecrã da ligação Comum do Azure VPN na página Editar IdPs SAML.

Configuração do Webtop

Ative a oferta SSL-VPN aos utilizadores através do portal Web BIG-IP.

  1. Aceda a ListasdeWebtops> do Access.>

  2. Selecione Criar.

  3. Introduza um nome de portal.

  4. Defina o tipo como Completo, por exemplo, Contoso_webtop.

  5. Conclua as restantes preferências.

  6. Selecione Concluído.

    Captura de ecrã a mostrar o nome e as entradas de tipo nas Propriedades Gerais.

Configuração de VPN

Os elementos VPN controlam os aspetos do serviço geral.

  1. Aceda a Conectividade de Acesso>/Acesso à Rede VPN> (VPN)>Conjuntos de Concessão IPV4

  2. Selecione Criar.

  3. Introduza um nome para o conjunto de endereços IP alocado a clientes VPN. Por exemplo, Contoso_vpn_pool.

  4. Defina o tipo como Intervalo de Endereços IP.

  5. Introduza um IP de início e de fim.

  6. Selecione Adicionar.

  7. Selecione Concluído.

    Captura de ecrã a mostrar as entradas de nome e lista de membros nas Propriedades Gerais.

Uma lista de acesso à rede aprovisiona o serviço com definições de IP e DNS do conjunto de VPN, permissões de encaminhamento de utilizadores e pode iniciar aplicações.

  1. Aceda aConectividade/VPN de Acesso>: Acesso à Rede (VPN)>Listas de Acesso à Rede.

  2. Selecione Criar.

  3. Indique um nome para a lista de acesso VPN e legenda, por exemplo, Contoso-VPN.

  4. Selecione Concluído.

    Captura de ecrã a mostrar a entrada de nome em Propriedades Gerais e legenda entrada em Definições de Personalização para Inglês.

  5. No friso superior, selecione Definições de Rede.

  6. Para a versão de IP suportada: IPV4.

  7. Para o Conjunto de Concessões IPV4, selecione o conjunto de VPN criado, por exemplo, Contoso_vpn_pool

    Captura de ecrã a mostrar a entrada do Conjunto de Concessões IPV4 em Definições Gerais.

Nota

Utilize as opções Definições de Cliente para impor restrições para a forma como o tráfego de cliente é encaminhado numa VPN estabelecida.

  1. Selecione Concluído.

  2. Aceda ao separador DNS/Anfitriões .

  3. Para o Servidor de Nomes Primários IPV4: O IP DNS do seu ambiente

  4. Para O Sufixo de Domínio Predefinido do DNS: o sufixo de domínio para esta ligação VPN. Por exemplo, contoso.com

    Captura de ecrã a mostrar as entradas do Nome do Servidor Primário IPV4 e do Sufixo de Domínio Predefinido DNS.

Nota

Veja o artigo F5 , Configurar Recursos de Acesso à Rede para outras definições.

É necessário um perfil de ligação BIG-IP para configurar as definições do tipo de cliente VPN que o serviço VPN precisa de suportar. Por exemplo, Windows, OSX e Android.

  1. Aceda aAccess Connectivity/VPNConnectivity>Profiles (Perfis de Conectividade VPN>/Conectividade do Access>)

  2. Selecione Adicionar.

  3. Introduza um nome de perfil.

  4. Defina o perfil principal como /Comum/conectividade, por exemplo, Contoso_VPN_Profile.

    Captura de ecrã a mostrar as entradas Nome do Perfil e Nome Principal em Criar Novo Perfil de Conectividade.

Para obter mais informações sobre o suporte ao cliente, consulte o artigo F5, Acesso F5 e Cliente BIG-IP Edge.

Configuração do perfil de acesso

Uma política de acesso ativa o serviço para autenticação SAML.

  1. Aceda a Perfis de Acesso>/Perfis de Acesso de Políticas>(Políticas por Sessão).

  2. Selecione Criar.

  3. Introduza um nome de perfil e para o tipo de perfil.

  4. Selecione Tudo, por exemplo, Contoso_network_access.

  5. Desloque-se para baixo e adicione pelo menos um idioma à lista Idiomas Aceites

  6. Selecione Concluído.

    Captura de ecrã a mostrar as entradas Nome, Tipo de Perfil e Idioma no Novo Perfil.

  7. No novo perfil de acesso, no campo Per-Session Política, selecione Editar.

  8. O editor de política visual é aberto num novo separador.

    Captura de ecrã a mostrar a opção Editar em Perfis de Acesso, políticas de pré-sessão.

  9. Selecione o + sinal.

  10. No menu, selecione Autenticação>SAML Auth.

  11. Selecione Adicionar Item.

  12. Na configuração do SP de autenticação SAML, selecione o objeto SP SAML VPN que criou

  13. Selecione Guardar.

    Captura de ecrã a mostrar a entrada do Servidor AAA em SP de Autenticação SAML, no separador Propriedades.

  14. Para o ramo Bem-sucedido da autenticação SAML, selecione + .

  15. No separador Atribuição, selecione Atribuir Recurso Avançado.

  16. Selecione Adicionar Item.

    Captura de ecrã a mostrar o botão de adição na Política de Acesso.

  17. No pop-up, selecione Nova Entrada

  18. Selecione Adicionar/Eliminar.

  19. Na janela, selecione Acesso à Rede.

  20. Selecione o perfil de Acesso à Rede que criou.

    Captura de ecrã a mostrar o botão Adicionar nova entrada na Atribuição de Recursos, no separador Propriedades.

  21. Aceda ao separador Webtop .

  22. Adicione o objeto Webtop que criou.

    Captura de ecrã do webtop criado no separador Webtop.

  23. Selecione Atualizar.

  24. SelecioneGuardar.

  25. Para alterar o ramo Com Êxito, selecione a ligação na caixa Negar superior.

  26. É apresentada a etiqueta Permitir.

  27. Guarde.

    Captura de ecrã a mostrar a opção Negar na Política de Acesso.

  28. Selecione Aplicar Política de Acesso

  29. Feche o separador do editor de políticas visuais.

    Captura de ecrã a mostrar a opção Aplicar Política de Acesso.

Publicar o serviço VPN

O APM requer um servidor virtual de front-end para escutar os clientes que se ligam à VPN.

  1. Selecione Lista deServidores>Virtuais de Tráfego> Local.

  2. Selecione Criar.

  3. Para o servidor virtual VPN, introduza um Nome, por exemplo, VPN_Listener.

  4. Selecione um Endereço de Destino IP não utilizado com encaminhamento para receber tráfego de cliente.

  5. Defina a Porta de Serviço como 443 HTTPS.

  6. Em Estado, certifique-se de que Ativado está selecionado.

    Captura de ecrã a mostrar as entradas Nome e Endereço de Destino ou Máscara nas Propriedades Gerais.

  7. Defina o Perfil HTTP como http.

  8. Adicione o Perfil SSL (Cliente) para o certificado SSL público que criou.

    Captura de ecrã a mostrar a entrada de Perfil HTTP para o cliente e as entradas selecionadas do Perfil SSL para o cliente.

  9. Para utilizar os objetos VPN criados, em Política de Acesso, defina o Perfil de Acesso e o Perfil de Conectividade.

    Captura de ecrã das entradas Perfil de Acesso e Perfil de Conectividade na Política de Acesso.

  10. Selecione Concluído.

O seu serviço SSL-VPN é publicado e acessível através de SHA, quer com o respetivo URL, quer através de portais de aplicações da Microsoft.

Passos seguintes

  1. Abra um browser num cliente Windows remoto.

  2. Navegue para o URL do serviço VPN BIG-IP .

  3. O portal de webtop BIG-IP e o iniciador de VPN são apresentados.

    Captura de ecrã da página Portal de Rede da Contoso com o indicador de acesso à rede.

Nota

Selecione o mosaico VPN para instalar o cliente BIG-IP Edge e estabelecer uma ligação VPN configurada para SHA. A aplicação VPN F5 é visível como um recurso de destino no Microsoft Entra Acesso Condicional. Veja Políticas de Acesso Condicional para permitir aos utilizadores Microsoft Entra autenticação sem palavra-passe de ID.

Recursos