Självstudie: Konfigurera F5 BIG-IP SSL-VPN för Microsoft Entra enkel inloggning
I den här självstudien lär du dig att integrera F5 BIG-IP-baserat virtuellt privat nätverk (SSL-VPN) med Microsoft Entra-ID för säker hybridåtkomst (SHA).
Att aktivera en BIG-IP SSL-VPN för Microsoft Entra enkel inloggning (SSO) ger många fördelar, inklusive:
- Förbättrad noll förtroendestyrning genom Microsoft Entra förautentisering och villkorsstyrd åtkomst.
- Lösenordsfri autentisering till VPN-tjänsten
- Hantera identiteter och åtkomst från ett enda kontrollplan, Microsoft Entra administrationscenter
Mer information om fler fördelar finns i
Anteckning
Klassiska VPN förblir nätverksorienterade, vilket ofta ger lite eller ingen detaljerad åtkomst till företagsprogram. Vi uppmuntrar till en mer identitetscentrerad strategi för att uppnå Nolltillit. Läs mer: Fem steg för att integrera alla dina appar med Microsoft Entra-ID.
Scenariobeskrivning
I det här scenariot konfigureras BIG-IP APM-instansen av SSL-VPN-tjänsten som en SAML-tjänstleverantör (SP) och Microsoft Entra-ID är den betrodda SAML-IDP:n. Enkel inloggning från Microsoft Entra-ID tillhandahålls via anspråksbaserad autentisering till BIG-IP APM, en sömlös VPN-åtkomstupplevelse.
Anteckning
Ersätt exempelsträngar eller värden i den här guiden med dem i din miljö.
Förutsättningar
Tidigare erfarenhet eller kunskaper om F5 BIG-IP är inte nödvändigt, men du behöver:
- En Microsoft Entra-prenumeration
- Om du inte har ett konto kan du skaffa ett kostnadsfritt Azure-konto eller senare
- Användaridentiteter synkroniseras från deras lokala katalog till Microsoft Entra-ID.
- En av följande roller: Global administratör, Molnprogramadministratör eller Programadministratör.
- BIG-IP-infrastruktur med klienttrafikroutning till och från BIG-IP
- En post för den BIG-IP-publicerade VPN-tjänsten i offentlig DNS
- Eller en localhost-testfil för klienten vid testning
- BIG-IP etableras med nödvändiga SSL-certifikat för publicering av tjänster via HTTPS
För att förbättra självstudieupplevelsen kan du lära dig branschstandardterminologi på F5 BIG-IP-ordlistan.
Lägga till F5 BIG-IP från galleriet Microsoft Entra
Tips
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Konfigurera ett SAML-federationsförtroende mellan BIG-IP så att Microsoft Entra BIG-IP kan lämna över förautentiseringen och villkorsstyrd åtkomst till Microsoft Entra-ID innan den ger åtkomst till den publicerade VPN-tjänsten.
- Logga in på Microsoft Entra administrationscenter som minst molnprogramadministratör.
- Bläddra till Företagsprogramföridentitetsprogram>>>Alla program och välj sedan Nytt program.
- I galleriet söker du efter F5 och väljer F5 BIG-IP APM Azure AD integration.
- Ange ett namn på programmet.
- Välj Lägg till och sedan Skapa.
- Namnet, som en ikon, visas i Microsoft Entra administrationscenter och Office 365 portalen.
Konfigurera Microsoft Entra enkel inloggning
- Med F5-programegenskaper går du till Hantera>enkel inloggning.
- På sidan Välj en metod för enkel inloggning väljer du SAML.
- Välj Nej, jag sparar senare.
- På menyn Konfigurera enkel inloggning med SAML väljer du pennikonen för Grundläggande SAML-konfiguration.
- Ersätt identifierar-URL:en med din BIG-IP-publicerade tjänst-URL. Till exempel
https://ssl-vpn.contoso.com
. - Ersätt svars-URL:en och SAML-slutpunktssökvägen. Till exempel
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.
Anteckning
I den här konfigurationen körs programmet i ett IdP-initierat läge: Microsoft Entra ID utfärdar en SAML-försäkran innan den omdirigeras till SAML-tjänsten BIG-IP.
- För appar som inte stöder IdP-initierat läge anger du för BIG-IP SAML-tjänsten inloggnings-URL, till exempel
https://ssl-vpn.contoso.com
. - För utloggnings-URL anger du slutpunkten BIG-IP APM Single logout (SLO) som föresätts av värdhuvudet för tjänsten som publiceras. Till exempel
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
Anteckning
En SLO-URL säkerställer att en användarsession avslutas vid BIG-IP och Microsoft Entra-ID när användaren har loggat ut. BIG-IP APM har ett alternativ för att avsluta alla sessioner när du anropar en program-URL. Läs mer i F5-artikeln K12056: Översikt över alternativet Inkludera URI för utloggning.
Anteckning
Från TMOS v16 har SAML SLO-slutpunkten ändrats till /saml/sp/profile/redirect/slo.
Välj Spara
Hoppa över testprompten för enkel inloggning.
Observera informationen i Egenskaper för användarattributanspråk&.
Du kan lägga till andra anspråk i din BIG-IP-publicerade tjänst. Anspråk som definieras utöver standarduppsättningen utfärdas om de finns i Microsoft Entra-ID. Definiera katalogroller eller gruppmedlemskap mot ett användarobjekt i Microsoft Entra-ID innan de kan utfärdas som ett anspråk.
SAML-signeringscertifikat som skapats av Microsoft Entra-ID har en livslängd på tre år.
Microsoft Entra auktorisering
Som standard utfärdar Microsoft Entra-ID token till användare med beviljad åtkomst till en tjänst.
I programkonfigurationsvyn väljer du Användare och grupper.
Välj + Lägg till användare.
På menyn Lägg till tilldelning väljer du Användare och grupper.
I dialogrutan Användare och grupper lägger du till de användargrupper som har behörighet att komma åt VPN
Välj Välj>Tilldela.
Du kan konfigurera BIG-IP APM för att publicera SSL-VPN-tjänsten. Konfigurera den med motsvarande egenskaper för att slutföra förtroendet för SAML-förautentisering.
BIG-IP APM-konfiguration
SAML-federation
För att slutföra federering av VPN-tjänsten med Microsoft Entra-ID skapar du SAML-tjänstprovidern BIG-IP och motsvarande SAML IDP-objekt.
Gå till Access>Federation>SAML Service Provider>Local SP Services.
Välj Skapa.
Ange ett namn och det entitets-ID som definierats i Microsoft Entra-ID.
Ange värd-FQDN för att ansluta till programmet.
Anteckning
Om entitets-ID:t inte är en exakt matchning av värdnamnet för den publicerade URL:en konfigurerar du SP-namninställningar eller utför den här åtgärden om den inte är i värdnamns-URL-format. Om entitets-ID är urn:ssl-vpn:contosoonline
anger du det externa schemat och värdnamnet för programmet som publiceras.
Rulla ned för att välja det nya SAML SP-objektet.
Välj Bind/Ta bort bindnings-IDP-anslutningsappar.
Välj Skapa ny IDP-anslutningsapp.
I den nedrullningsbara menyn väljer du Från metadata
Bläddra till XML-filen för federationsmetadata som du laddade ned.
Ange ett identitetsprovidernamn som representerar den externa SAML-IdP:n för APM-objektet.
Om du vill välja den nya Microsoft Entra externa IdP-anslutningsappen väljer du Lägg till ny rad.
Välj Uppdatera.
Välj OK.
Webtop-konfiguration
Gör så att SSL-VPN kan erbjudas till användare via BIG-IP-webbportalen.
Gå till Access>Webtops>Webtop-listor.
Välj Skapa.
Ange ett portalnamn.
Ange typen till Fullständig, till exempel
Contoso_webtop
.Slutför de återstående inställningarna.
Välj Slutförd.
VPN-konfiguration
VPN-element styr aspekter av den övergripande tjänsten.
Gå till Åtkomstanslutning>/VPN-nätverksåtkomst>(VPN)>IPV4-lånepooler
Välj Skapa.
Ange ett namn för IP-adresspoolen som allokerats till VPN-klienter. Till exempel Contoso_vpn_pool.
Ange typ till IP-adressintervall.
Ange en start- och slut-IP-adress.
Välj Lägg till.
Välj Slutförd.
En lista över nätverksåtkomst etablerar tjänsten med IP- och DNS-inställningar från VPN-poolen, behörigheter för användarroutning och kan starta program.
Gå till Åtkomstanslutning>/VPN: Nätverksåtkomst (VPN)>Nätverksåtkomstlistor.
Välj Skapa.
Ange ett namn för VPN-åtkomstlistan och bildtext, till exempel Contoso-VPN.
Välj Slutförd.
Välj Nätverksinställningar i det övre menyfliksområdet.
För IP-version som stöds: IPV4.
För IPV4-lånepool väljer du den VPN-pool som skapats, till exempel Contoso_vpn_pool
Anteckning
Använd alternativen för klientinställningar för att framtvinga begränsningar för hur klienttrafik dirigeras i ett etablerat VPN.
Välj Slutförd.
Gå till fliken DNS/Värdar .
För IPV4 Primary Name Server: Din miljö DNS IP
För DNS-standarddomänsuffix: Domänsuffixet för den här VPN-anslutningen. Till exempel contoso.com
Anteckning
Se F5-artikeln Konfigurera nätverksåtkomstresurser för andra inställningar.
En BIG-IP-anslutningsprofil krävs för att konfigurera VPN-klienttypsinställningar som VPN-tjänsten behöver stöd för. Till exempel Windows, OSX och Android.
Gå till Åtkomstanslutning>/VPN-anslutningsprofiler>>
Välj Lägg till.
Ange ett profilnamn.
Ange den överordnade profilen till /Common/connectivity, till exempel Contoso_VPN_Profile.
Mer information om klientsupport finns i F5-artikeln F5 Access och BIG-IP Edge Client.
Konfiguration av åtkomstprofil
En åtkomstprincip aktiverar tjänsten för SAML-autentisering.
Gå till Åtkomstprofiler>/Principer>Åtkomstprofiler (per session-principer).
Välj Skapa.
Ange ett profilnamn och för profiltypen.
Välj Alla, till exempel Contoso_network_access.
Rulla nedåt och lägg till minst ett språk i listan Godkända språk
Välj Slutförd.
I den nya åtkomstprofilen går du till fältet Per-Session Princip och väljer Redigera.
Redigeraren för visuella principer öppnas på en ny flik.
+ Välj tecknet.
På menyn väljer du Autentisering>SAML-autentisering.
Välj Lägg till objekt.
I SP-konfigurationen för SAML-autentisering väljer du DET VPN SAML SP-objekt som du skapade
Välj Spara.
För grenen Lyckad SAML-autentisering väljer du + .
På fliken Tilldelning väljer du Avancerad resurstilldelning.
Välj Lägg till objekt.
I popup-fönstret väljer du Ny post
Välj Lägg till/ta bort.
I fönstret väljer du Nätverksåtkomst.
Välj den nätverksåtkomstprofil som du skapade.
Gå till fliken Webtop .
Lägg till webtop-objektet som du skapade.
Välj Uppdatera.
VäljSpara.
Om du vill ändra grenen Lyckad väljer du länken i den övre rutan Neka .
Etiketten Tillåt visas.
Spara.
Välj Tillämpa åtkomstprincip
Stäng fliken redigerare för visuella principer.
Publicera VPN-tjänsten
APM kräver en virtuell klientdelsserver för att lyssna efter klienter som ansluter till VPN.
Välj listan Virtuell server för lokal trafik>>.
Välj Skapa.
För den virtuella VPN-servern anger du ett Namn, till exempel VPN_Listener.
Välj en oanvänd IP-måladress med routning för att ta emot klienttrafik.
Ange tjänstporten till 443 HTTPS.
För Tillstånd kontrollerar du att Aktiverad har valts.
Ange HTTP-profilen till http.
Lägg till SSL-profilen (klienten) för det offentliga SSL-certifikatet som du skapade.
Om du vill använda de skapade VPN-objekten går du till Åtkomstprincip och anger Åtkomstprofil och Anslutningsprofil.
Välj Slutförd.
Din SSL-VPN-tjänst publiceras och är tillgänglig via SHA, antingen med dess URL eller via Microsofts programportaler.
Nästa steg
Öppna en webbläsare på en fjärransluten Windows-klient.
Bläddra till URL:en för BIG-IP VPN-tjänsten .
BIG-IP-webbportalen och VPN-startprogrammet visas.
Anteckning
Välj VPN-panelen för att installera BIG-IP Edge-klienten och upprätta en VPN-anslutning som konfigurerats för SHA. F5 VPN-programmet visas som en målresurs i Microsoft Entra villkorlig åtkomst. Se Principer för villkorsstyrd åtkomst för att aktivera användare för Microsoft Entra lösenordsfri autentisering med ID.