Självstudie: Konfigurera F5 BIG-IP SSL-VPN för Microsoft Entra enkel inloggning

  • Artikel

I den här självstudien lär du dig att integrera F5 BIG-IP-baserat virtuellt privat nätverk (SSL-VPN) med Microsoft Entra-ID för säker hybridåtkomst (SHA).

Att aktivera en BIG-IP SSL-VPN för Microsoft Entra enkel inloggning (SSO) ger många fördelar, inklusive:

Mer information om fler fördelar finns i

Anteckning

Klassiska VPN förblir nätverksorienterade, vilket ofta ger lite eller ingen detaljerad åtkomst till företagsprogram. Vi uppmuntrar till en mer identitetscentrerad strategi för att uppnå Nolltillit. Läs mer: Fem steg för att integrera alla dina appar med Microsoft Entra-ID.

Scenariobeskrivning

I det här scenariot konfigureras BIG-IP APM-instansen av SSL-VPN-tjänsten som en SAML-tjänstleverantör (SP) och Microsoft Entra-ID är den betrodda SAML-IDP:n. Enkel inloggning från Microsoft Entra-ID tillhandahålls via anspråksbaserad autentisering till BIG-IP APM, en sömlös VPN-åtkomstupplevelse.

Diagram över integrationsarkitektur.

Anteckning

Ersätt exempelsträngar eller värden i den här guiden med dem i din miljö.

Förutsättningar

Tidigare erfarenhet eller kunskaper om F5 BIG-IP är inte nödvändigt, men du behöver:

För att förbättra självstudieupplevelsen kan du lära dig branschstandardterminologi på F5 BIG-IP-ordlistan.

Tips

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Konfigurera ett SAML-federationsförtroende mellan BIG-IP så att Microsoft Entra BIG-IP kan lämna över förautentiseringen och villkorsstyrd åtkomst till Microsoft Entra-ID innan den ger åtkomst till den publicerade VPN-tjänsten.

  1. Logga in på Microsoft Entra administrationscenter som minst molnprogramadministratör.
  2. Bläddra till Företagsprogramföridentitetsprogram>>>Alla program och välj sedan Nytt program.
  3. I galleriet söker du efter F5 och väljer F5 BIG-IP APM Azure AD integration.
  4. Ange ett namn på programmet.
  5. Välj Lägg till och sedan Skapa.
  6. Namnet, som en ikon, visas i Microsoft Entra administrationscenter och Office 365 portalen.

Konfigurera Microsoft Entra enkel inloggning

  1. Med F5-programegenskaper går du till Hantera>enkel inloggning.
  2. På sidan Välj en metod för enkel inloggning väljer du SAML.
  3. Välj Nej, jag sparar senare.
  4. På menyn Konfigurera enkel inloggning med SAML väljer du pennikonen för Grundläggande SAML-konfiguration.
  5. Ersätt identifierar-URL:en med din BIG-IP-publicerade tjänst-URL. Till exempel https://ssl-vpn.contoso.com.
  6. Ersätt svars-URL:en och SAML-slutpunktssökvägen. Till exempel https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

Anteckning

I den här konfigurationen körs programmet i ett IdP-initierat läge: Microsoft Entra ID utfärdar en SAML-försäkran innan den omdirigeras till SAML-tjänsten BIG-IP.

  1. För appar som inte stöder IdP-initierat läge anger du för BIG-IP SAML-tjänsten inloggnings-URL, till exempel https://ssl-vpn.contoso.com.
  2. För utloggnings-URL anger du slutpunkten BIG-IP APM Single logout (SLO) som föresätts av värdhuvudet för tjänsten som publiceras. Till exempel https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

Anteckning

En SLO-URL säkerställer att en användarsession avslutas vid BIG-IP och Microsoft Entra-ID när användaren har loggat ut. BIG-IP APM har ett alternativ för att avsluta alla sessioner när du anropar en program-URL. Läs mer i F5-artikeln K12056: Översikt över alternativet Inkludera URI för utloggning.

Skärmbild av grundläggande URL:er för SAML-konfiguration.

Anteckning

Från TMOS v16 har SAML SLO-slutpunkten ändrats till /saml/sp/profile/redirect/slo.

  1. Välj Spara

  2. Hoppa över testprompten för enkel inloggning.

  3. Observera informationen i Egenskaper för användarattributanspråk&.

    Skärmbild av användarattribut och anspråksegenskaper.

Du kan lägga till andra anspråk i din BIG-IP-publicerade tjänst. Anspråk som definieras utöver standarduppsättningen utfärdas om de finns i Microsoft Entra-ID. Definiera katalogroller eller gruppmedlemskap mot ett användarobjekt i Microsoft Entra-ID innan de kan utfärdas som ett anspråk.

Skärmbild av nedladdningsalternativet XML för federationsmetadata.

SAML-signeringscertifikat som skapats av Microsoft Entra-ID har en livslängd på tre år.

Microsoft Entra auktorisering

Som standard utfärdar Microsoft Entra-ID token till användare med beviljad åtkomst till en tjänst.

  1. I programkonfigurationsvyn väljer du Användare och grupper.

  2. Välj + Lägg till användare.

  3. På menyn Lägg till tilldelning väljer du Användare och grupper.

  4. I dialogrutan Användare och grupper lägger du till de användargrupper som har behörighet att komma åt VPN

  5. Välj Välj>Tilldela.

    Skärmbild av alternativet Lägg till användare.

Du kan konfigurera BIG-IP APM för att publicera SSL-VPN-tjänsten. Konfigurera den med motsvarande egenskaper för att slutföra förtroendet för SAML-förautentisering.

BIG-IP APM-konfiguration

SAML-federation

För att slutföra federering av VPN-tjänsten med Microsoft Entra-ID skapar du SAML-tjänstprovidern BIG-IP och motsvarande SAML IDP-objekt.

  1. Gå till Access>Federation>SAML Service Provider>Local SP Services.

  2. Välj Skapa.

    Skärmbild av alternativet Skapa på sidan Lokala SP-tjänster.

  3. Ange ett namn och det entitets-ID som definierats i Microsoft Entra-ID.

  4. Ange värd-FQDN för att ansluta till programmet.

    Skärmbild av namn- och entitetsposter.

Anteckning

Om entitets-ID:t inte är en exakt matchning av värdnamnet för den publicerade URL:en konfigurerar du SP-namninställningar eller utför den här åtgärden om den inte är i värdnamns-URL-format. Om entitets-ID är urn:ssl-vpn:contosoonlineanger du det externa schemat och värdnamnet för programmet som publiceras.

  1. Rulla ned för att välja det nya SAML SP-objektet.

  2. Välj Bind/Ta bort bindnings-IDP-anslutningsappar.

    Skärmbild av alternativet Bind IDP-anslutningar utan bindning på sidan Lokala SP-tjänster.

  3. Välj Skapa ny IDP-anslutningsapp.

  4. I den nedrullningsbara menyn väljer du Från metadata

    Skärmbild av alternativet Från metadata på sidan Redigera SAML-IDP:er.

  5. Bläddra till XML-filen för federationsmetadata som du laddade ned.

  6. Ange ett identitetsprovidernamn som representerar den externa SAML-IdP:n för APM-objektet.

  7. Om du vill välja den nya Microsoft Entra externa IdP-anslutningsappen väljer du Lägg till ny rad.

    Skärmbild av alternativet SAML IdP Connectors på sidan Redigera SAML IdP.

  8. Välj Uppdatera.

  9. Välj OK.

    Skärmbild av länken Common, VPN Azure på sidan Redigera SAML-IP-adresser.

Webtop-konfiguration

Gör så att SSL-VPN kan erbjudas till användare via BIG-IP-webbportalen.

  1. Gå till Access>Webtops>Webtop-listor.

  2. Välj Skapa.

  3. Ange ett portalnamn.

  4. Ange typen till Fullständig, till exempel Contoso_webtop.

  5. Slutför de återstående inställningarna.

  6. Välj Slutförd.

    Skärmbild av namn och typposter i Allmänna egenskaper.

VPN-konfiguration

VPN-element styr aspekter av den övergripande tjänsten.

  1. Gå till Åtkomstanslutning>/VPN-nätverksåtkomst>(VPN)>IPV4-lånepooler

  2. Välj Skapa.

  3. Ange ett namn för IP-adresspoolen som allokerats till VPN-klienter. Till exempel Contoso_vpn_pool.

  4. Ange typ till IP-adressintervall.

  5. Ange en start- och slut-IP-adress.

  6. Välj Lägg till.

  7. Välj Slutförd.

    Skärmbild av namn- och medlemslistposter i Allmänna egenskaper.

En lista över nätverksåtkomst etablerar tjänsten med IP- och DNS-inställningar från VPN-poolen, behörigheter för användarroutning och kan starta program.

  1. Gå till Åtkomstanslutning>/VPN: Nätverksåtkomst (VPN)>Nätverksåtkomstlistor.

  2. Välj Skapa.

  3. Ange ett namn för VPN-åtkomstlistan och bildtext, till exempel Contoso-VPN.

  4. Välj Slutförd.

    Skärmbild av namnposten i Allmänna egenskaper och bildtext post i Anpassningsinställningar för engelska.

  5. Välj Nätverksinställningar i det övre menyfliksområdet.

  6. För IP-version som stöds: IPV4.

  7. För IPV4-lånepool väljer du den VPN-pool som skapats, till exempel Contoso_vpn_pool

    Skärmbild av posten IPV4-lånepool i Allmänna inställningar.

Anteckning

Använd alternativen för klientinställningar för att framtvinga begränsningar för hur klienttrafik dirigeras i ett etablerat VPN.

  1. Välj Slutförd.

  2. Gå till fliken DNS/Värdar .

  3. För IPV4 Primary Name Server: Din miljö DNS IP

  4. För DNS-standarddomänsuffix: Domänsuffixet för den här VPN-anslutningen. Till exempel contoso.com

    Skärmbild av poster för IPV4 Primary Server Name och DNS Default Domain Suffix.

Anteckning

Se F5-artikeln Konfigurera nätverksåtkomstresurser för andra inställningar.

En BIG-IP-anslutningsprofil krävs för att konfigurera VPN-klienttypsinställningar som VPN-tjänsten behöver stöd för. Till exempel Windows, OSX och Android.

  1. Gå till Åtkomstanslutning>/VPN-anslutningsprofiler>>

  2. Välj Lägg till.

  3. Ange ett profilnamn.

  4. Ange den överordnade profilen till /Common/connectivity, till exempel Contoso_VPN_Profile.

    Skärmbild av poster för profilnamn och överordnat namn i Skapa ny anslutningsprofil.

Mer information om klientsupport finns i F5-artikeln F5 Access och BIG-IP Edge Client.

Konfiguration av åtkomstprofil

En åtkomstprincip aktiverar tjänsten för SAML-autentisering.

  1. Gå till Åtkomstprofiler>/Principer>Åtkomstprofiler (per session-principer).

  2. Välj Skapa.

  3. Ange ett profilnamn och för profiltypen.

  4. Välj Alla, till exempel Contoso_network_access.

  5. Rulla nedåt och lägg till minst ett språk i listan Godkända språk

  6. Välj Slutförd.

    Skärmbild av namn, profiltyp och språkposter i Ny profil.

  7. I den nya åtkomstprofilen går du till fältet Per-Session Princip och väljer Redigera.

  8. Redigeraren för visuella principer öppnas på en ny flik.

    Skärmbild av alternativet Redigera för åtkomstprofiler, principer före sessionen.

  9. + Välj tecknet.

  10. På menyn väljer du Autentisering>SAML-autentisering.

  11. Välj Lägg till objekt.

  12. I SP-konfigurationen för SAML-autentisering väljer du DET VPN SAML SP-objekt som du skapade

  13. Välj Spara.

    Skärmbild av posten AAA Server under SAML Authentication SP på fliken Egenskaper.

  14. För grenen Lyckad SAML-autentisering väljer du + .

  15. På fliken Tilldelning väljer du Avancerad resurstilldelning.

  16. Välj Lägg till objekt.

    Skärmbild av plusknappen i Åtkomstprincip.

  17. I popup-fönstret väljer du Ny post

  18. Välj Lägg till/ta bort.

  19. I fönstret väljer du Nätverksåtkomst.

  20. Välj den nätverksåtkomstprofil som du skapade.

    Skärmbild av knappen Lägg till ny post i Resurstilldelning på fliken Egenskaper.

  21. Gå till fliken Webtop .

  22. Lägg till webtop-objektet som du skapade.

    Skärmbild av den skapade webbtoppen på fliken Webtop.

  23. Välj Uppdatera.

  24. VäljSpara.

  25. Om du vill ändra grenen Lyckad väljer du länken i den övre rutan Neka .

  26. Etiketten Tillåt visas.

  27. Spara.

    Skärmbild av alternativet Neka i åtkomstprincip.

  28. Välj Tillämpa åtkomstprincip

  29. Stäng fliken redigerare för visuella principer.

    Skärmbild av alternativet Tillämpa åtkomstprincip.

Publicera VPN-tjänsten

APM kräver en virtuell klientdelsserver för att lyssna efter klienter som ansluter till VPN.

  1. Välj listan Virtuell server för lokal trafik>>.

  2. Välj Skapa.

  3. För den virtuella VPN-servern anger du ett Namn, till exempel VPN_Listener.

  4. Välj en oanvänd IP-måladress med routning för att ta emot klienttrafik.

  5. Ange tjänstporten till 443 HTTPS.

  6. För Tillstånd kontrollerar du att Aktiverad har valts.

    Skärmbild av poster för Namn och Måladress eller Maskering i Allmänna egenskaper.

  7. Ange HTTP-profilen till http.

  8. Lägg till SSL-profilen (klienten) för det offentliga SSL-certifikatet som du skapade.

    Skärmbild av HTTP-profilposten för klienten och valda SSL-profilposter för klienten.

  9. Om du vill använda de skapade VPN-objekten går du till Åtkomstprincip och anger Åtkomstprofil och Anslutningsprofil.

    Skärmbild av åtkomstprofils- och anslutningsprofilposter i åtkomstprincip.

  10. Välj Slutförd.

Din SSL-VPN-tjänst publiceras och är tillgänglig via SHA, antingen med dess URL eller via Microsofts programportaler.

Nästa steg

  1. Öppna en webbläsare på en fjärransluten Windows-klient.

  2. Bläddra till URL:en för BIG-IP VPN-tjänsten .

  3. BIG-IP-webbportalen och VPN-startprogrammet visas.

    Skärmbild av sidan Contosos nätverksportal med nätverksåtkomstindikator.

Anteckning

Välj VPN-panelen för att installera BIG-IP Edge-klienten och upprätta en VPN-anslutning som konfigurerats för SHA. F5 VPN-programmet visas som en målresurs i Microsoft Entra villkorlig åtkomst. Se Principer för villkorsstyrd åtkomst för att aktivera användare för Microsoft Entra lösenordsfri autentisering med ID.

Resurser