Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (2024)

Table of Contents
W tym artykule Opis scenariusza Wymagania wstępne Dodawanie F5 BIG-IP z galerii Microsoft Entra Konfigurowanie logowania jednokrotnego Microsoft Entra autoryzacja Microsoft Entra Konfiguracja APM BIG-IP Federacja SAML Konfiguracja elementu Webtop Konfiguracja sieci VPN Konfiguracja profilu dostępu Publikowanie usługi sieci VPN Następne kroki Zasoby
  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować wirtualną sieć prywatną (SSL-VPN) opartą na protokole F5 BIG-IP z identyfikatorem Microsoft Entra na potrzeby bezpiecznego dostępu hybrydowego (SHA).

Włączenie protokołu SSL-VPN BIG-IP dla Microsoft Entra logowania jednokrotnego zapewnia wiele korzyści, w tym:

  • Ulepszono zarządzanie zerowym zaufaniem za pomocą Microsoft Entra uwierzytelniania wstępnego i dostępu warunkowego.
    • Co to jest dostęp warunkowy?
  • Uwierzytelnianie bez hasła w usłudze sieci VPN
  • Zarządzanie tożsamościami i dostępem z jednej płaszczyzny sterowania— centrum administracyjne Microsoft Entra

Aby dowiedzieć się więcej o dodatkowych korzyściach, zobacz

  • Integrowanie F5 BIG-IP z identyfikatorem Microsoft Entra
  • Co to jest logowanie jednokrotne w identyfikatorze Microsoft Entra?

Uwaga

Klasyczne sieci VPN pozostają zorientowane na sieć, często nie zapewniając szczegółowego dostępu do aplikacji firmowych. Zachęcamy do bardziej skoncentrowanego na tożsamości podejścia do osiągnięcia Zero Trust. Dowiedz się więcej: Pięć kroków integracji wszystkich aplikacji z identyfikatorem Microsoft Entra.

Opis scenariusza

W tym scenariuszu wystąpienie APM BIG-IP usługi SSL-VPN jest skonfigurowane jako dostawca usług SAML (SP), a identyfikator Microsoft Entra jest zaufanym dostawcą tożsamości SAML. Logowanie jednokrotne z identyfikatora Microsoft Entra jest udostępniane za pośrednictwem uwierzytelniania opartego na oświadczeniach do aplikacji APM BIG-IP, co zapewnia bezproblemowe środowisko dostępu do sieci VPN.

Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (1)

Uwaga

Zastąp przykładowe ciągi lub wartości w tym przewodniku tymi w środowisku.

Wymagania wstępne

Wcześniejsze doświadczenie lub wiedza na temat F5 BIG-IP nie jest konieczne, jednak potrzebne są następujące elementy:

  • Subskrypcja Microsoft Entra
    • Jeśli go nie masz, możesz uzyskać bezpłatne konto platformy Azure lub nowsze
  • Tożsamości użytkowników zsynchronizowane z katalogu lokalnego do identyfikatora Microsoft Entra.
  • Jedna z następujących ról: Administrator globalny, Administrator aplikacji w chmurze lub Administrator aplikacji.
  • Infrastruktura BIG-IP z routingiem ruchu klienta do i z big-IP
    • Lub wdróż wersję wirtualną BIG-IP na platformie Azure
  • Rekord dla opublikowanej usługi SIECI VPN BIG-IP w publicznym systemie DNS
    • Lub testowy plik localhost klienta podczas testowania
  • Adres BIG-IP aprowizowany przy użyciu wymaganych certyfikatów SSL do publikowania usług za pośrednictwem protokołu HTTPS

Aby ulepszyć środowisko samouczka, możesz poznać standardową terminologię dotyczącą słownika F5 BIG-IP.

Dodawanie F5 BIG-IP z galerii Microsoft Entra

Porada

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Skonfiguruj relację zaufania federacji SAML między adresem BIG-IP, aby umożliwić Microsoft Entra big-IP przekazanie dostępu wstępnego i dostępu warunkowego do identyfikatora Microsoft Entra, zanim udzieli dostępu do opublikowanej usługi sieci VPN.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator aplikacji w chmurze.
  2. Przejdź dopozycjiAplikacje dlaprzedsiębiorstwTożsamości>>Wszystkie aplikacje>, a następnie wybierz pozycję Nowa aplikacja.
  3. W galerii wyszukaj pozycję F5 i wybierz pozycję F5 BIG-IP APM Azure AD integracji.
  4. Wprowadź nazwę aplikacji.
  5. Wybierz pozycję Dodaj , a następnie pozycję Utwórz.
  6. Nazwa, jako ikona, pojawia się w centrum administracyjnym Microsoft Entra i portalu Office 365.

Konfigurowanie logowania jednokrotnego Microsoft Entra

  1. W przypadku właściwości aplikacji F5 przejdź do pozycji Zarządzanie logowaniem>jednokrotnym.
  2. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
  3. Wybierz pozycję Nie, zapiszę później.
  4. W menu Setup single sign-on with SAML (Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML ) wybierz ikonę pióra dla pozycji Podstawowa konfiguracja protokołu SAML.
  5. Zastąp adres URL identyfikatora adresem URL opublikowanej usługi BIG-IP. Na przykład https://ssl-vpn.contoso.com.
  6. Zastąp adres URL odpowiedzi i ścieżką punktu końcowego SAML. Na przykład https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

Uwaga

W tej konfiguracji aplikacja działa w trybie inicjowanym przez dostawcę tożsamości: Microsoft Entra identyfikator wystawia asercji SAML przed przekierowaniem do usługi SAML BIG-IP.

  1. W przypadku aplikacji, które nie obsługują trybu inicjowanego przez dostawcę tożsamości, w przypadku usługi SAML BIG-IP określ adres URL logowania, na przykład https://ssl-vpn.contoso.com.
  2. W polu Adres URL wylogowywania wprowadź punkt końcowy logowania jednokrotnego BIG-IP APM (SLO) wstępnie pended przez nagłówek hosta opublikowanej usługi. Na przykład https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

Uwaga

Adres URL slo zapewnia zakończenie sesji użytkownika przy użyciu adresu BIG-IP i identyfikatora Microsoft Entra po wylogowaniu się użytkownika. Funkcja BIG-IP APM ma możliwość zakończenia wszystkich sesji podczas wywoływania adresu URL aplikacji. Dowiedz się więcej na temat artykułu F5 K12056: Omówienie opcji Dołączanie identyfikatora URI wylogowania.

Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (2)

Uwaga

Z TMOS w wersji 16 punkt końcowy SLO SAML został zmieniony na /saml/sp/profile/redirect/slo.

  1. Wybierz pozycję Zapisz

  2. Pomiń monit testu logowania jednokrotnego.

  3. W obszarze Właściwości oświadczeń atrybutów & użytkownika obserwuj szczegóły.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (3)

Możesz dodać inne oświadczenia do opublikowanej usługi BIG-IP. Oświadczenia zdefiniowane oprócz zestawu domyślnego są wystawiane, jeśli znajdują się w identyfikatorze Microsoft Entra. Zdefiniuj role katalogu lub członkostwo w grupie względem obiektu użytkownika w identyfikatorze Microsoft Entra, zanim będzie można je wydać jako oświadczenie.

Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (4)

Certyfikaty podpisywania SAML utworzone przez identyfikator Microsoft Entra mają okres istnienia trzech lat.

autoryzacja Microsoft Entra

Domyślnie Microsoft Entra identyfikator wystawia tokeny użytkownikom z udzielonym dostępem do usługi.

  1. W widoku konfiguracji aplikacji wybierz pozycję Użytkownicy i grupy.

  2. Wybierz pozycję + Dodaj użytkownika.

  3. W menu Dodawanie przypisania wybierz pozycję Użytkownicy i grupy.

  4. W oknie dialogowym Użytkownicy i grupy dodaj grupy użytkowników autoryzowane do uzyskiwania dostępu do sieci VPN

  5. Wybierz pozycję Wybierz pozycję>Przypisz.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (5)

    See Also
    BIG-IP Virtual EditionWhat is BIG-IP? Understanding F5’s Software Products - WorldTech IT

Aby opublikować usługę SSL-VPN, możesz skonfigurować big-IP APM. Skonfiguruj ją z odpowiednimi właściwościami, aby ukończyć relację zaufania dla uwierzytelniania wstępnego SAML.

Konfiguracja APM BIG-IP

Federacja SAML

Aby ukończyć federację usługi sieci VPN z identyfikatorem Microsoft Entra, utwórz dostawcę usługi SAML BIG-IP i odpowiadające im obiekty dostawcy tożsamości SAML.

  1. Przejdź do pozycji Dostęp do>lokalnych usługdostawcy> usług SAMLfederacji>.

  2. Wybierz przycisk Utwórz.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (6)

  3. Wprowadź nazwę i identyfikator jednostki zdefiniowany w identyfikatorze Microsoft Entra.

  4. Wprowadź nazwę FQDN hosta, aby nawiązać połączenie z aplikacją.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (7)

Uwaga

Jeśli identyfikator jednostki nie jest dokładnym dopasowaniem nazwy hosta opublikowanego adresu URL, skonfiguruj ustawienia nazwy sp lub wykonaj tę akcję, jeśli nie jest w formacie adresu URL nazwy hosta. Jeśli identyfikator jednostki to urn:ssl-vpn:contosoonline, podaj schemat zewnętrzny i nazwę hosta opublikowanej aplikacji.

  1. Przewiń w dół, aby wybrać nowy obiekt SAML SP.

  2. Wybierz pozycję Bind/UnBind IDP Connector (Powiązania/UnBind IDP Connector).

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (8)

  3. Wybierz pozycję Utwórz nowy łącznik dostawcy tożsamości.

  4. Z menu rozwijanego wybierz pozycję Z metadanych

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (9)

  5. Przejdź do pobranego pliku XML metadanych federacji.

  6. W przypadku obiektu APM podaj nazwę dostawcy tożsamości , która reprezentuje zewnętrzną dostawcę tożsamości SAML.

  7. Aby wybrać nowy łącznik zewnętrznego dostawcy tożsamości Microsoft Entra, wybierz pozycję Dodaj nowy wiersz.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (10)

  8. Wybierz pozycję Aktualizuj.

  9. Wybierz przycisk OK.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (11)

Konfiguracja elementu Webtop

Włącz usługę SSL-VPN, aby być oferowana użytkownikom za pośrednictwem portalu internetowego BIG-IP.

  1. Przejdź do pozycji AccessWebtops Webtop List (Listy webtopów>programuAccess>).

  2. Wybierz przycisk Utwórz.

  3. Wprowadź nazwę portalu.

  4. Ustaw typ na Wartość Pełna, na przykład Contoso_webtop.

  5. Ukończ pozostałe preferencje.

  6. Wybierz pozycję Zakończono.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (12)

Konfiguracja sieci VPN

Elementy sieci VPN kontrolują aspekty ogólnej usługi.

  1. Przejdź do pozycji Łączność/Dostęp do>sieci VPN (VPN>)>Pule dzierżaw IPV4

  2. Wybierz przycisk Utwórz.

  3. Wprowadź nazwę puli adresów IP przydzielonej klientom sieci VPN. Na przykład Contoso_vpn_pool.

  4. Ustaw typ na Zakres adresów IP.

  5. Wprowadź początkowy i końcowy adres IP.

  6. Wybierz pozycję Dodaj.

  7. Wybierz pozycję Zakończono.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (13)

Lista dostępu do sieci aprowizuje usługę przy użyciu ustawień IP i DNS z puli sieci VPN, uprawnień routingu użytkowników i może uruchamiać aplikacje.

  1. Przejdź do pozycji Łączność dostępu>/sieć VPN: listy dostępu do sieci (VPN)>Network Access List.

  2. Wybierz przycisk Utwórz.

  3. Podaj nazwę listy dostępu do sieci VPN i podpis, na przykład Contoso-VPN.

  4. Wybierz pozycję Zakończono.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (14)

  5. Na górnej wstążce wybierz pozycję Ustawienia sieciowe.

  6. W przypadku obsługiwanej wersji adresu IP: IPV4.

  7. W polu Pula dzierżaw IPV4 wybierz utworzoną pulę sieci VPN, na przykład Contoso_vpn_pool

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (15)

Uwaga

Użyj opcji Ustawienia klienta, aby wymusić ograniczenia dotyczące sposobu kierowania ruchu klienta w ustalonej sieci VPN.

  1. Wybierz pozycję Zakończono.

  2. Przejdź do karty DNS/Hosty .

  3. Dla podstawowego serwera nazw IPV4: Adres IP DNS środowiska

  4. Dla domyślnego sufiksu domeny DNS: sufiks domeny dla tego połączenia sieci VPN. Na przykład contoso.com

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (16)

Uwaga

Zobacz artykuł F5 Konfigurowanie zasobów dostępu do sieci w celu uzyskania innych ustawień.

Profil połączenia BIG-IP jest wymagany do skonfigurowania ustawień typu klienta sieci VPN, które usługa sieci VPN musi obsługiwać. Na przykład Windows, OSX i Android.

  1. Przejdź do pozycji Dostęp do>profilów łączności/łączności>sieci VPN>

  2. Wybierz pozycję Dodaj.

  3. Wprowadź nazwę profilu.

  4. Ustaw profil nadrzędny na /Common/connectivity, na przykład Contoso_VPN_Profile.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (17)

Aby uzyskać więcej informacji na temat obsługi klienta, zobacz artykuł F5 Access i BIG-IP Edge Client.

Konfiguracja profilu dostępu

Zasady dostępu umożliwiają usłudze uwierzytelnianie SAML.

  1. Przejdź do pozycjiProfile dostępu/Profiledostępu> zasad >(zasady sesji).

  2. Wybierz przycisk Utwórz.

  3. Wprowadź nazwę profilu i typ profilu.

  4. Wybierz pozycję Wszystkie, na przykład Contoso_network_access.

  5. Przewiń w dół i dodaj co najmniej jeden język do listy Zaakceptowane języki

  6. Wybierz pozycję Zakończono.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (18)

  7. W nowym profilu dostępu w polu Per-Session Zasady wybierz pozycję Edytuj.

  8. Edytor zasad wizualizacji zostanie otwarty na nowej karcie.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (19)

  9. + Wybierz znak.

  10. W menu wybierz pozycję Uwierzytelnianie>SAML Auth.

  11. Wybierz pozycję Dodaj element.

  12. W konfiguracji dostawcy uwierzytelniania SAML wybierz utworzony obiekt SP PROTOKOŁU VPN SAML

  13. Wybierz pozycję Zapisz.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (20)

  14. W polu Pomyślna gałąź uwierzytelniania SAML wybierz pozycję + .

  15. Na karcie Przypisanie wybierz pozycję Zaawansowane przypisywanie zasobów.

  16. Wybierz pozycję Dodaj element.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (21)

  17. W wyskakującym okienku wybierz pozycję Nowy wpis

  18. Wybierz pozycję Dodaj/Usuń.

  19. W oknie wybierz pozycję Dostęp sieciowy.

  20. Wybierz utworzony profil dostępu do sieci.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (22)

  21. Przejdź do karty Webtop .

  22. Dodaj utworzony obiekt Webtop.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (23)

  23. Wybierz pozycję Aktualizuj.

  24. Wybierzpozycję Zapisz.

  25. Aby zmienić gałąź Powodzenie, wybierz link w górnym polu Odmów .

  26. Zostanie wyświetlona etykieta Zezwalaj.

  27. Zapisz.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (24)

  28. Wybierz pozycję Zastosuj zasady dostępu

  29. Zamknij kartę edytora zasad wizualizacji.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (25)

Publikowanie usługi sieci VPN

Usługa APM wymaga serwera wirtualnego frontonu do nasłuchiwania klientów łączących się z siecią VPN.

  1. Wybierzpozycję Lista serwerów wirtualnychserwerów wirtualnych> ruchu >lokalnego.

  2. Wybierz przycisk Utwórz.

  3. W przypadku serwera wirtualnego sieci VPN wprowadź nazwę, na przykład VPN_Listener.

  4. Wybierz nieużywany adres docelowy IP z routingiem, aby odbierać ruch klienta.

  5. Ustaw port usługi na 443 HTTPS.

  6. W obszarze Stan upewnij się, że wybrano opcję Włączone .

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (26)

  7. Ustaw profil HTTP na http.

  8. Dodaj profil SSL (klient) dla utworzonego publicznego certyfikatu SSL.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (27)

  9. Aby użyć utworzonych obiektów sieci VPN, w obszarze Zasady dostępu ustaw profil dostępu i profil łączności.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (28)

  10. Wybierz pozycję Zakończono.

Usługa SSL-VPN jest publikowana i dostępna za pośrednictwem algorytmu SHA przy użyciu adresu URL lub portali aplikacji firmy Microsoft.

Następne kroki

  1. Otwórz przeglądarkę na zdalnym kliencie systemu Windows.

  2. Przejdź do adresu URL usługi SIECI VPN BIG-IP .

  3. Zostanie wyświetlony portal webtop BIG-IP i uruchamianie sieci VPN.

    Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (29)

Uwaga

Wybierz kafelek sieci VPN, aby zainstalować klienta usługi BIG-IP Edge i ustanowić połączenie sieci VPN skonfigurowane dla algorytmu SHA. Aplikacja sieci VPN F5 jest widoczna jako zasób docelowy w Microsoft Entra dostęp warunkowy. Zobacz Zasady dostępu warunkowego, aby umożliwić użytkownikom Microsoft Entra uwierzytelnianie bez hasła.

Zasoby

  • Koniec haseł, przechodzenie bez hasła
  • Pięć kroków pełnej integracji aplikacji z identyfikatorem Microsoft Entra
  • Platforma Microsoft Zero Trust w celu włączenia pracy zdalnej
Konfigurowanie rozwiązania F5 BIG-IP SSL-VPN w identyfikatorze Microsoft Entra - Microsoft Entra (2024)
Top Articles
125 Flirty Good Morning Texts For Your Crush (Him/Her)
100+ Good Morning Handsome Quotes & Messages for Him in 2024 - Sweet Love Messages
Milton Antibacterial Spray 500ml
How to grab a bargain staycation - as prices are slashed by up to 40%
Craigslist Wausau Wisconsin
Cuivre River Power Outage Map
Arcane Odyssey Map - Full Locations Guide! - Try Hard Guides
How to Awaken in Roblox Arcane Odyssey - Complete Awakening Guide
Rocky Bfb Asset
Workday and IBM Expand Partnership to Help Customers Plan Return to the Workplace
Piedmont Healthstream Sign In
Janet Alonso Income Tax
Latest Posts
Physician / Doctor, Urgent Care Hourly Pay in 2024
200+ Good Morning Love Messages and Wishes | WishesMsg
Article information

Author: Stevie Stamm

Last Updated:

Views: 6344

Rating: 5 / 5 (80 voted)

Reviews: 87% of readers found this page helpful

Author information

Name: Stevie Stamm

Birthday: 1996-06-22

Address: Apt. 419 4200 Sipes Estate, East Delmerview, WY 05617

Phone: +342332224300

Job: Future Advertising Analyst

Hobby: Leather crafting, Puzzles, Leather crafting, scrapbook, Urban exploration, Cabaret, Skateboarding

Introduction: My name is Stevie Stamm, I am a colorful, sparkling, splendid, vast, open, hilarious, tender person who loves writing and wants to share my knowledge and understanding with you.