Tutorial: Konfigurieren von F5 BIG-IP-SSL-VPN für das einmalige Anmelden (SSO) bei Microsoft Entra
In diesem Tutorial erfahren Sie, wie Sie die F5 BIG-IP-basierte SSL-VPN-Lösung (Secure Socket Layer) mit Microsoft Entra ID für den sicheren Hybridzugriff (Secure Hybrid Access, SHA) integrieren.
Das Aktivieren der BIG-IP-SSL-VPN-Lösung für einmaliges Anmelden (Single Sign-On, SSO) von Microsoft Entra bietet zahlreiche Vorteile:
- Zero Trust-Governance durch Vorabauthentifizierung und bedingten Zugriff von Microsoft Entra.
- Kennwortlose Authentifizierung beim VPN-Dienst
- Identitäts- und Zugriffsverwaltung über eine einzelne Steuerungsebene, das Microsoft Entra Admin Center
Informationen zu weiteren Vorteilen finden Sie unter:
-
Hinweis
Klassische VPNs bleiben netzwerkorientiert und bieten oft wenig bis keinen differenzierten Zugriff auf Unternehmensanwendungen. Wir empfehlen einen stärker identitätsorientierten Ansatz, um Zero Trust zu erreichen. Weitere Informationen finden Sie unter Fünf Schritte zum Integrieren Ihrer gesamten Apps in Microsoft Entra ID.
Beschreibung des Szenarios
In diesem Szenario wird die BIG-IP APM-Instanz (Access Policy Manager) des SSL-VPN-Dienstes als SAML-Dienstanbieter (Security Assertion Markup Language) konfiguriert, und Microsoft Entra ID ist der vertrauenswürdige SAML-Identitätsanbieter (Identity Provider, IdP). Das einmalige Anmelden (Single Sign-On, SSO) von Microsoft Entra ID erfolgt durch eine anspruchsbasierte Authentifizierung gegenüber BIG-IP APM, sodass insgesamt ein nahtloser VPN-Zugriff (Virtual Private Network, virtuelles privates Netzwerk) ermöglicht wird.
Hinweis
Ersetzen Sie die Beispielzeichenfolgen oder -werte in dieser Anleitung durch die Zeichenfolgen oder Werte für Ihre Umgebung.
Voraussetzungen
Kenntnisse über F5 BIG-IP sind nicht erforderlich. Sie benötigen jedoch Folgendes:
- Ein Microsoft Entra-Abonnement
- Wenn Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto anfordern.
- Benutzeridentitäten, die aus dem lokalen Verzeichnis mit Microsoft Entra ID synchronisiert wurden
- Eine der folgenden Rollen: Cloudanwendungsadministrator oder Anwendungsadministrator
- Eine BIG-IP-Infrastruktur, in der Clientdatenverkehr zu und von BIG-IP weitergeleitet wird
- Ein Datensatz für den veröffentlichten BIG-IP-VPN-Dienst auf einem öffentlichen Domänennamenserver (DNS)
- Oder Testen einer Localhost-Clientdatei beim Testen
- Bereitstellen von BIG-IP mit den erforderlichen SSL-Zertifikaten für die Veröffentlichung von Diensten über HTTPS
Für eine bessere Erfahrung mit dem Tutorial können Sie sich im F5 BIG-IP-Glossar mit der branchenüblichen Terminologie vertraut machen.
Hinzufügen von F5 BIG-IP aus dem Microsoft Entra-Katalog
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Richten Sie eine Vertrauensstellung für den SAML-Verbund zwischen BIG-IP ein, um Microsoft Entra BIG-IP das Übergeben der Vorauthentifizierung und des bedingten Zugriffs an Microsoft Entra ID zu ermöglichen, bevor der Zugriff auf den veröffentlichten VPN-Dienst erteilt wird.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen, und wählen Sie dann Neue Anwendung aus.
- Suchen Sie im Katalog nach F5, und wählen Sie F5 BIG-IP APM Microsoft Entra ID-Integration aus.
- Geben Sie einen Namen für die Anwendung ein.
- Wählen Sie Hinzufügen und dann Erstellen aus.
- Der Name wird als Symbol im Microsoft Entra Admin Center und im Office 365-Portal angezeigt.
Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra
Navigieren Sie in den Eigenschaften der F5-Anwendung zu Verwalten>Einmaliges Anmelden.
Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.
Wählen Sie Nein, später speichern aus.
Wählen Sie im Menü Einmaliges Anmelden (SSO) mit SAML einrichten das Stiftsymbol für Grundlegende SAML-Konfiguration aus.
Ersetzen Sie die Bezeichner-URL durch die URL für Ihren veröffentlichten BIG-IP-Dienst. Beispiel:
https://ssl-vpn.contoso.com
.Ersetzen Sie die Antwort-URL und den SAML-Endpunktpfad. Beispiel:
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.Hinweis
In dieser Konfiguration arbeitet die Anwendung in einem vom IdP initiierten Modus: Microsoft Entra ID stellt vor der Umleitung an den BIG-IP-SAML-Dienst eine SAML-Assertion aus.
Geben Sie die Anmelde-URL für Apps, die den durch den IdP initiierten Modus für den BIG-IP SAML Service nicht unterstützen, z. B.
https://ssl-vpn.contoso.com
an.Geben Sie als Abmelde-URL den SLO-Endpunkt (Single Logout) von BIG-IP APM ein, und stellen Sie den Hostheader des zu veröffentlichenden Dienstes voran. Beispiel:
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
Hinweis
Durch eine SLO-URL wird sichergestellt, dass eine Benutzersitzung bei BIG-IP und in Microsoft Entra ID beendet wird. BIG-IP APM bietet eine Option zum Beenden aller Sitzungen, wenn eine Anwendungs-URL aufgerufen wird. Weitere Informationen finden Sie im F5-Artikel K12056: Übersicht über die Option „Abmelde-URI einschließen“.
.
Hinweis
In TMOS v16 wurde der SAML-SLO-Endpunkt in „/saml/sp/profile/redirect/slo“ geändert.
Wählen Sie Speichern aus.
Überspringen Sie die Eingabeaufforderung zum Testen des einmaligen Anmeldens.
Sehen Sie sich unter Benutzerattribute und Ansprüche die Details an.
Sie können Ihrem veröffentlichten BIG-IP-Dienst weitere Ansprüche hinzufügen. Ansprüche, die zusätzlich zum Standardsatz definiert werden, werden ausgegeben, wenn sie in Microsoft Entra ID vorhanden sind. Definieren Sie Mitgliedschaften von Rollen oder Gruppen im Verzeichnis für ein Benutzerobjekt in Microsoft Entra ID, damit sie als Anspruch ausgestellt werden können.
Von Microsoft Entra ID erstellte SAML-Signaturzertifikate haben eine Lebensdauer von drei Jahren.
Microsoft Entra ID-Autorisierung
Standardmäßig gibt Microsoft Entra ID Token für Benutzer aus, für die Zugriff auf eine Anwendung gewährt wurde.
Wählen Sie in der Konfigurationsansicht der Anwendung die Option Benutzer und Gruppen aus.
Wählen Sie + Benutzer hinzufügen aus.
Wählen Sie im Menü Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
Fügen Sie im Dialogfeld Benutzer und Gruppen die Benutzergruppen hinzu, die für den Zugriff auf das VPN autorisiert sind.
Wählen Sie Auswählen>Zuweisen aus.
Sie können BIG-IP APM für die Veröffentlichung des SSL-VPN-Diensts einrichten. Konfigurieren Sie die entsprechenden Eigenschaften, um die Vertrauensstellung für die SAML-Vorauthentifizierung abzuschließen.
Konfigurieren des BIG-IP APM
SAML-Verbund
Erstellen Sie den BIG-IP-SAML-Dienstanbieter und die zugehörigen SAML-IDP-Objekte, um den Verbund zwischen VPN-Dienst und Microsoft Entra ID abzuschließen.
Wählen Sie Zugriff>Verbund>SAML-Dienstanbieter>Lokale SP-Dienste aus.
Klicken Sie auf Erstellen.
Geben Sie unter Name einen Namen und unter Entitäts-ID die in Microsoft Entra ID definierte Entitäts-ID an.
Geben Sie den vollqualifizierten Domänennamen (FQDN) des Hosts ein, um eine Verbindung mit der Anwendung herzustellen.
Hinweis
Wenn die Entitäts-ID nicht genau mit dem Hostnamen der veröffentlichten URL übereinstimmt, konfigurieren Sie die SP-Einstellungen für Name, oder führen Sie die folgende Aktion aus, wenn sie nicht im Hostnamen-URL-Format vorliegt. Geben Sie das externe Schema und den Hostnamen der zu veröffentlichenden Anwendung an, wenn die Entitäts-ID
urn:ssl-vpn:contosoonline
ist.Scrollen Sie nach unten, um das neue SAML-SP-Objekt auszuwählen.
Wählen Sie IdP-Connectors binden/Bindung der IdP-Connectors aufheben aus.
Wählen Sie Neuen IdP-Connector erstellen aus.
Wählen Sie im Dropdownmenü die Option Aus Metadaten aus.
Navigieren Sie zu der XML-Datei mit den Verbundmetadaten, die Sie heruntergeladen haben.
Geben Sie für das APM-Objekt einen Identitätsanbieternamen an, der den externen SAML-IdP darstellt.
Wählen Sie Neue Zeile hinzufügen aus, um den neuen externen IDP-Connector für Microsoft Entra auszuwählen.
Wählen Sie Aktualisieren aus.
Klicken Sie auf OK.
Webtop-Konfiguration
Aktivieren Sie das SSL-VPN, damit es Benutzern über das BIG-IP-Webportal angeboten werden kann.
Navigieren Sie zu Zugriff>Webtops>Webtop-Listen.
Klicken Sie auf Erstellen.
Geben Sie einen Portalnamen ein.
Legen Sie den Typ auf Vollzugriff fest, z. B.
Contoso_webtop
.Füllen Sie die übrigen Einstellungen aus.
Wählen Sie Finished (Fertig) aus.
VPN-Konfiguration
VPN-Elemente steuern Aspekte des gesamten Diensts.
Navigieren Sie zu Zugriff>Konnektivität/VPN>Netzwerkzugriff (VPN)>IPV4-Leasepools.
Klicken Sie auf Erstellen.
Geben Sie einen Namen für den IP-Adressenpool ein, der VPN-Clients zugewiesen ist. Beispiel: „Contoso_vpn_pool“.
Legen Sie den Typ auf IP-Adressbereich fest.
Geben Sie eine Start- und End-IP-Adresse ein.
Wählen Sie Hinzufügen.
Wählen Sie Finished (Fertig) aus.
Mit einer Netzwerkzugriffsliste wird der Dienst mit IP- und DNS-Einstellungen aus dem VPN-Pool und Benutzerroutingberechtigungen bereitgestellt und können Anwendungen gestartet werden.
Navigieren Sie zu Zugriff>Konnektivität/VPN: Netzwerkzugriff (VPN)>Netzwerkzugriffslisten.
Klicken Sie auf Erstellen.
Geben Sie einen Namen für die VPN-Zugriffsliste und eine Beschriftung an, z. B. „Contoso-VPN“.
Wählen Sie Finished (Fertig) aus.
Wählen Sie im oberen Menüband Netzwerkeinstellungen aus.
Wählen Sie für Unterstützte IP-Version die Option „IPV4“ aus.
Wählen Sie für IPV4-Leasepool den erstellten VPN-Pool aus, etwa „Contoso_vpn_pool“.
Hinweis
Verwenden Sie die Optionen für die Clienteinstellungen, um Einschränkungen für die Weiterleitung von Clientdatenverkehr in einem eingerichteten VPN zu erzwingen.
Wählen Sie Finished (Fertig) aus.
Navigieren Sie zur Registerkarte DNS/Hosts.
Geben Sie für Primärer IPv4-Namenserver die DNS-IP-Adresse Ihrer Umgebung ein.
Geben Sie für DNS-Standarddomänensuffix das Domänensuffix für diese VPN-Verbindung ein. z. B. „contoso.com“.
Hinweis
Weitere Einstellungen finden Sie im F5-Artikel Konfigurieren von Netzwerkzugriffsressourcen.
Ein BIG-IP-Verbindungsprofil ist erforderlich, um die Einstellungen für die VPN-Clienttypen zu konfigurieren, die der VPN-Dienst unterstützen soll. Dies sind beispielsweise Windows, OS X und Android.
Navigieren Sie zu Zugriff>Konnektivität/VPN>Konnektivität>Profile.
Wählen Sie Hinzufügen.
Geben Sie einen Profilnamen ein.
Legen Sie das übergeordnete Profil auf /Common/connectivity fest, z. B. „Contoso_VPN_Profile“.
Konfigurieren von Zugriffsprofilen
Eine Zugriffsrichtlinie aktiviert den Dienst für die SAML-Authentifizierung.
Navigieren Sie zu Zugriff>Profile/Richtlinien>Zugriffsprofile (Sitzungsrichtlinien).
Klicken Sie auf Erstellen.
Geben Sie einen Profilnamen ein, und wählen Sie den Profiltyp aus.
Wählen Sie Alle aus, und geben Sie beispielsweise „Contoso_network_access“ ein.
Scrollen Sie nach unten, und fügen Sie der Liste Akzeptierte Sprachen mindestens eine Sprache hinzu.
Wählen Sie Finished (Fertig) aus.
Wählen Sie im neuen Zugriffsprofil im Feld „Sitzungsrichtlinie“ die Option Bearbeiten aus.
Der visuelle Richtlinien-Editor wird auf einer neuen Registerkarte geöffnet.
Wählen Sie das Pluszeichen (+) aus.
Wählen Sie im Menü Authentifizierung>SAML-Authentifizierung aus.
Wählen Sie Element hinzufügen aus.
Wählen Sie in der Konfiguration für den SAML-Authentifizierungs-SP das erstellte VPN-SAML-SP-Objekt aus.
Wählen Sie Speichern aus.
Wählen Sie in der erfolgreichen Verzweigung der SAML-Authentifizierung das Pluszeichen (+) aus.
Wählen Sie auf der Registerkarte „Zuweisung“ die Option Erweiterte Ressourcenzuweisung aus.
Wählen Sie Element hinzufügen aus.
Wählen Sie im Popup Neuer Eintrag aus.
Wählen Sie Hinzufügen/Löschen aus.
Wählen Sie im Fenster Netzwerkzugriff aus.
Wählen Sie das von Ihnen erstellte Netzwerkzugriffsprofil aus.
Wechseln Sie zur Registerkarte Webtop.
Fügen Sie das von Ihnen erstellte Webtop-Objekt hinzu.
Wählen Sie Aktualisieren aus.
Wählen SieSpeichern aus.
Wählen Sie den Link im oberen Feld Verweigern aus, um den Branch „Erfolgreich“ zu ändern.
Die Bezeichnung „Zulassen“ wird angezeigt.
Speichern Sie sie.
Wählen Sie Zugriffsrichtlinie anwenden aus.
Schließen Sie die Registerkarte mit dem visuellen Richtlinien-Editor.
Veröffentlichen des VPN-Diensts
APM benötigt einen virtuellen Front-End-Server, um auf Clients zu lauschen, die eine Verbindung mit dem VPN herstellen.
Wählen Sie Lokaler Datenverkehr>Virtuelle Server>Liste virtueller Server.
Klicken Sie auf Erstellen.
Geben Sie einen Namen für den virtuellen VPN-Server an, z. B. „VPN_Listener“.
Wählen Sie eine nicht verwendete IP-Zieladresse mit Routing zum Empfangen von Clientdatenverkehr aus.
Legen Sie den Dienstport auf 443 HTTPS fest.
Vergewissern Sie sich, dass für Zustand die Option Aktiviert ausgewählt ist.
Legen Sie HTTP-Profil auf http fest.
Fügen Sie das SSL-Profil (Client) für das öffentliche SSL-Zertifikat hinzu, das Sie erstellt haben.
Legen Sie unter „Zugriffsrichtlinie“ das Zugriffsprofil und das Konnektivitätsprofil fest, um die erstellten VPN-Objekte zu verwenden.
Wählen Sie Finished (Fertig) aus.
Der SSL-VPN-Dienst ist veröffentlicht und über den sicheren Hybridzugriff (SHA) erreichbar. Dazu kann die URL oder eines der Anwendungsportale von Microsoft verwendet werden.
Nächste Schritte
Öffnen Sie einen Browser auf einem Windows-Remoteclient.
Navigieren Sie zur URL desBIG-IP-VPN-Diensts.
Das BIG-IP-Webtopportal und das VPN-Startprogramm werden angezeigt.
Hinweis
Wählen Sie die VPN-Kachel aus, um den BIG-IP-Edgeclient zu installieren und eine für SHA konfigurierte VPN-Verbindung einzurichten. Die F5-VPN-Anwendung wird im bedingten Zugriff von Microsoft Entra als Zielressource angezeigt. Informationen zum Aktivieren der kennwortlosen Microsoft Entra ID-Authentifizierung für Benutzer finden Sie unter Richtlinien für bedingten Zugriff.