Tutorial: Konfigurieren von F5 BIG-IP-SSL-VPN für das einmalige Anmelden (SSO) bei Microsoft Entra

In diesem Tutorial erfahren Sie, wie Sie die F5 BIG-IP-basierte SSL-VPN-Lösung (Secure Socket Layer) mit Microsoft Entra ID für den sicheren Hybridzugriff (Secure Hybrid Access, SHA) integrieren.

Das Aktivieren der BIG-IP-SSL-VPN-Lösung für einmaliges Anmelden (Single Sign-On, SSO) von Microsoft Entra bietet zahlreiche Vorteile:

Informationen zu weiteren Vorteilen finden Sie unter:

Beschreibung des Szenarios

In diesem Szenario wird die BIG-IP APM-Instanz (Access Policy Manager) des SSL-VPN-Dienstes als SAML-Dienstanbieter (Security Assertion Markup Language) konfiguriert, und Microsoft Entra ID ist der vertrauenswürdige SAML-Identitätsanbieter (Identity Provider, IdP). Das einmalige Anmelden (Single Sign-On, SSO) von Microsoft Entra ID erfolgt durch eine anspruchsbasierte Authentifizierung gegenüber BIG-IP APM, sodass insgesamt ein nahtloser VPN-Zugriff (Virtual Private Network, virtuelles privates Netzwerk) ermöglicht wird.

Diagramm: Integrationsarchitektur

Hinweis

Ersetzen Sie die Beispielzeichenfolgen oder -werte in dieser Anleitung durch die Zeichenfolgen oder Werte für Ihre Umgebung.

Voraussetzungen

Kenntnisse über F5 BIG-IP sind nicht erforderlich. Sie benötigen jedoch Folgendes:

Für eine bessere Erfahrung mit dem Tutorial können Sie sich im F5 BIG-IP-Glossar mit der branchenüblichen Terminologie vertraut machen.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Richten Sie eine Vertrauensstellung für den SAML-Verbund zwischen BIG-IP ein, um Microsoft Entra BIG-IP das Übergeben der Vorauthentifizierung und des bedingten Zugriffs an Microsoft Entra ID zu ermöglichen, bevor der Zugriff auf den veröffentlichten VPN-Dienst erteilt wird.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen, und wählen Sie dann Neue Anwendung aus.
  3. Suchen Sie im Katalog nach F5, und wählen Sie F5 BIG-IP APM Microsoft Entra ID-Integration aus.
  4. Geben Sie einen Namen für die Anwendung ein.
  5. Wählen Sie Hinzufügen und dann Erstellen aus.
  6. Der Name wird als Symbol im Microsoft Entra Admin Center und im Office 365-Portal angezeigt.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

  1. Navigieren Sie in den Eigenschaften der F5-Anwendung zu Verwalten>Einmaliges Anmelden.

  2. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  3. Wählen Sie Nein, später speichern aus.

  4. Wählen Sie im Menü Einmaliges Anmelden (SSO) mit SAML einrichten das Stiftsymbol für Grundlegende SAML-Konfiguration aus.

  5. Ersetzen Sie die Bezeichner-URL durch die URL für Ihren veröffentlichten BIG-IP-Dienst. Beispiel: https://ssl-vpn.contoso.com.

  6. Ersetzen Sie die Antwort-URL und den SAML-Endpunktpfad. Beispiel: https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Hinweis

    In dieser Konfiguration arbeitet die Anwendung in einem vom IdP initiierten Modus: Microsoft Entra ID stellt vor der Umleitung an den BIG-IP-SAML-Dienst eine SAML-Assertion aus.

  7. Geben Sie die Anmelde-URL für Apps, die den durch den IdP initiierten Modus für den BIG-IP SAML Service nicht unterstützen, z. B. https://ssl-vpn.contoso.com an.

  8. Geben Sie als Abmelde-URL den SLO-Endpunkt (Single Logout) von BIG-IP APM ein, und stellen Sie den Hostheader des zu veröffentlichenden Dienstes voran. Beispiel: https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Hinweis

    Durch eine SLO-URL wird sichergestellt, dass eine Benutzersitzung bei BIG-IP und in Microsoft Entra ID beendet wird. BIG-IP APM bietet eine Option zum Beenden aller Sitzungen, wenn eine Anwendungs-URL aufgerufen wird. Weitere Informationen finden Sie im F5-Artikel K12056: Übersicht über die Option „Abmelde-URI einschließen“.

Screenshot: URLs für grundlegende SAML-Konfiguration.

Hinweis

In TMOS v16 wurde der SAML-SLO-Endpunkt in „/saml/sp/profile/redirect/slo“ geändert.

  1. Wählen Sie Speichern aus.

  2. Überspringen Sie die Eingabeaufforderung zum Testen des einmaligen Anmeldens.

  3. Sehen Sie sich unter Benutzerattribute und Ansprüche die Details an.

    Screenshot: Eigenschaften für Benutzerattribute und Ansprüche

Sie können Ihrem veröffentlichten BIG-IP-Dienst weitere Ansprüche hinzufügen. Ansprüche, die zusätzlich zum Standardsatz definiert werden, werden ausgegeben, wenn sie in Microsoft Entra ID vorhanden sind. Definieren Sie Mitgliedschaften von Rollen oder Gruppen im Verzeichnis für ein Benutzerobjekt in Microsoft Entra ID, damit sie als Anspruch ausgestellt werden können.

Von Microsoft Entra ID erstellte SAML-Signaturzertifikate haben eine Lebensdauer von drei Jahren.

Microsoft Entra ID-Autorisierung

Standardmäßig gibt Microsoft Entra ID Token für Benutzer aus, für die Zugriff auf eine Anwendung gewährt wurde.

  1. Wählen Sie in der Konfigurationsansicht der Anwendung die Option Benutzer und Gruppen aus.

  2. Wählen Sie + Benutzer hinzufügen aus.

  3. Wählen Sie im Menü Zuweisung hinzufügen die Option Benutzer und Gruppen aus.

  4. Fügen Sie im Dialogfeld Benutzer und Gruppen die Benutzergruppen hinzu, die für den Zugriff auf das VPN autorisiert sind.

  5. Wählen Sie Auswählen>Zuweisen aus.

    Screenshot: Option „Benutzer hinzufügen“

Sie können BIG-IP APM für die Veröffentlichung des SSL-VPN-Diensts einrichten. Konfigurieren Sie die entsprechenden Eigenschaften, um die Vertrauensstellung für die SAML-Vorauthentifizierung abzuschließen.

Konfigurieren des BIG-IP APM

SAML-Verbund

Erstellen Sie den BIG-IP-SAML-Dienstanbieter und die zugehörigen SAML-IDP-Objekte, um den Verbund zwischen VPN-Dienst und Microsoft Entra ID abzuschließen.

  1. Wählen Sie Zugriff>Verbund>SAML-Dienstanbieter>Lokale SP-Dienste aus.

  2. Klicken Sie auf Erstellen.

    Screenshot: Option „Erstellen“ auf der Seite „Lokale SP-Dienste“

  3. Geben Sie unter Name einen Namen und unter Entitäts-ID die in Microsoft Entra ID definierte Entitäts-ID an.

  4. Geben Sie den vollqualifizierten Domänennamen (FQDN) des Hosts ein, um eine Verbindung mit der Anwendung herzustellen.

    Screenshot: Einträge für Name und Entität

    Hinweis

    Wenn die Entitäts-ID nicht genau mit dem Hostnamen der veröffentlichten URL übereinstimmt, konfigurieren Sie die SP-Einstellungen für Name, oder führen Sie die folgende Aktion aus, wenn sie nicht im Hostnamen-URL-Format vorliegt. Geben Sie das externe Schema und den Hostnamen der zu veröffentlichenden Anwendung an, wenn die Entitäts-ID urn:ssl-vpn:contosoonline ist.

  5. Scrollen Sie nach unten, um das neue SAML-SP-Objekt auszuwählen.

  6. Wählen Sie IdP-Connectors binden/Bindung der IdP-Connectors aufheben aus.

    Screenshot: Option zum Binden/Aufheben der Bindung der IdP-Connectors auf der Seite „Lokale SP-Dienste“

  7. Wählen Sie Neuen IdP-Connector erstellen aus.

  8. Wählen Sie im Dropdownmenü die Option Aus Metadaten aus.

    Screenshot: Option „Aus Metadaten“ auf der Seite „SAML-IdPs bearbeiten“

  9. Navigieren Sie zu der XML-Datei mit den Verbundmetadaten, die Sie heruntergeladen haben.

  10. Geben Sie für das APM-Objekt einen Identitätsanbieternamen an, der den externen SAML-IdP darstellt.

  11. Wählen Sie Neue Zeile hinzufügen aus, um den neuen externen IDP-Connector für Microsoft Entra auszuwählen.

    Screenshot: Option für SAML-IdP-Connectors auf der Seite zum Bearbeiten des SAML-IdP

  12. Wählen Sie Aktualisieren aus.

  13. Klicken Sie auf OK.

    Screenshot: Link „Common/VPN Azure“ auf der Seite zum Bearbeiten von SAML-IdPs

Webtop-Konfiguration

Aktivieren Sie das SSL-VPN, damit es Benutzern über das BIG-IP-Webportal angeboten werden kann.

  1. Navigieren Sie zu Zugriff>Webtops>Webtop-Listen.

  2. Klicken Sie auf Erstellen.

  3. Geben Sie einen Portalnamen ein.

  4. Legen Sie den Typ auf Vollzugriff fest, z. B. Contoso_webtop.

  5. Füllen Sie die übrigen Einstellungen aus.

  6. Wählen Sie Finished (Fertig) aus.

    Screenshot: Einträge für Name und Typ in den allgemeinen Eigenschaften

VPN-Konfiguration

VPN-Elemente steuern Aspekte des gesamten Diensts.

  1. Navigieren Sie zu Zugriff>Konnektivität/VPN>Netzwerkzugriff (VPN)>IPV4-Leasepools.

  2. Klicken Sie auf Erstellen.

  3. Geben Sie einen Namen für den IP-Adressenpool ein, der VPN-Clients zugewiesen ist. Beispiel: „Contoso_vpn_pool“.

  4. Legen Sie den Typ auf IP-Adressbereich fest.

  5. Geben Sie eine Start- und End-IP-Adresse ein.

  6. Wählen Sie Hinzufügen.

  7. Wählen Sie Finished (Fertig) aus.

    Screenshot: Listeneinträge für Name und Typ in den allgemeinen Eigenschaften

Mit einer Netzwerkzugriffsliste wird der Dienst mit IP- und DNS-Einstellungen aus dem VPN-Pool und Benutzerroutingberechtigungen bereitgestellt und können Anwendungen gestartet werden.

  1. Navigieren Sie zu Zugriff>Konnektivität/VPN: Netzwerkzugriff (VPN)>Netzwerkzugriffslisten.

  2. Klicken Sie auf Erstellen.

  3. Geben Sie einen Namen für die VPN-Zugriffsliste und eine Beschriftung an, z. B. „Contoso-VPN“.

  4. Wählen Sie Finished (Fertig) aus.

    Screenshot: Namenseintrag in den allgemeinen Eigenschaften und Beschriftungseintrag in den Anpassungseinstellungen für Englisch

  5. Wählen Sie im oberen Menüband Netzwerkeinstellungen aus.

  6. Wählen Sie für Unterstützte IP-Version die Option „IPV4“ aus.

  7. Wählen Sie für IPV4-Leasepool den erstellten VPN-Pool aus, etwa „Contoso_vpn_pool“.

    Screenshot: Eintrag für IPV4-Leasepool in den allgemeinen Einstellungen

    Hinweis

    Verwenden Sie die Optionen für die Clienteinstellungen, um Einschränkungen für die Weiterleitung von Clientdatenverkehr in einem eingerichteten VPN zu erzwingen.

  8. Wählen Sie Finished (Fertig) aus.

  9. Navigieren Sie zur Registerkarte DNS/Hosts.

  10. Geben Sie für Primärer IPv4-Namenserver die DNS-IP-Adresse Ihrer Umgebung ein.

  11. Geben Sie für DNS-Standarddomänensuffix das Domänensuffix für diese VPN-Verbindung ein. z. B. „contoso.com“.

    Screenshot: Einträge für „Primärer IPv4-Namenserver“ und „DNS-Standarddomänensuffix

Hinweis

Weitere Einstellungen finden Sie im F5-Artikel Konfigurieren von Netzwerkzugriffsressourcen.

Ein BIG-IP-Verbindungsprofil ist erforderlich, um die Einstellungen für die VPN-Clienttypen zu konfigurieren, die der VPN-Dienst unterstützen soll. Dies sind beispielsweise Windows, OS X und Android.

  1. Navigieren Sie zu Zugriff>Konnektivität/VPN>Konnektivität>Profile.

  2. Wählen Sie Hinzufügen.

  3. Geben Sie einen Profilnamen ein.

  4. Legen Sie das übergeordnete Profil auf /Common/connectivity fest, z. B. „Contoso_VPN_Profile“.

    Screenshot: Einträge für den Profilnamen und den übergeordneten Namen unter „Neues Konnektivitätsprofil erstellen“

Konfigurieren von Zugriffsprofilen

Eine Zugriffsrichtlinie aktiviert den Dienst für die SAML-Authentifizierung.

  1. Navigieren Sie zu Zugriff>Profile/Richtlinien>Zugriffsprofile (Sitzungsrichtlinien).

  2. Klicken Sie auf Erstellen.

  3. Geben Sie einen Profilnamen ein, und wählen Sie den Profiltyp aus.

  4. Wählen Sie Alle aus, und geben Sie beispielsweise „Contoso_network_access“ ein.

  5. Scrollen Sie nach unten, und fügen Sie der Liste Akzeptierte Sprachen mindestens eine Sprache hinzu.

  6. Wählen Sie Finished (Fertig) aus.

    Screenshot: Einträge für Name, Profiltyp und Sprache für das neue Profil

  7. Wählen Sie im neuen Zugriffsprofil im Feld „Sitzungsrichtlinie“ die Option Bearbeiten aus.

  8. Der visuelle Richtlinien-Editor wird auf einer neuen Registerkarte geöffnet.

    Screenshot: Option „Bearbeiten“ unter „Zugriffsprofile“, Richtlinien vor der Sitzung.

  9. Wählen Sie das Pluszeichen (+) aus.

  10. Wählen Sie im Menü Authentifizierung>SAML-Authentifizierung aus.

  11. Wählen Sie Element hinzufügen aus.

  12. Wählen Sie in der Konfiguration für den SAML-Authentifizierungs-SP das erstellte VPN-SAML-SP-Objekt aus.

  13. Wählen Sie Speichern aus.

    Screenshot: AAA-Servereintrag unter „SAML-Authentifizierungs-SP“ auf der Registerkarte „Eigenschaften“

  14. Wählen Sie in der erfolgreichen Verzweigung der SAML-Authentifizierung das Pluszeichen (+) aus.

  15. Wählen Sie auf der Registerkarte „Zuweisung“ die Option Erweiterte Ressourcenzuweisung aus.

  16. Wählen Sie Element hinzufügen aus.

  17. Wählen Sie im Popup Neuer Eintrag aus.

  18. Wählen Sie Hinzufügen/Löschen aus.

  19. Wählen Sie im Fenster Netzwerkzugriff aus.

  20. Wählen Sie das von Ihnen erstellte Netzwerkzugriffsprofil aus.

    Screenshot: Schaltfläche „Neuen Eintrag hinzufügen“ unter „Ressourcenzuweisung“ auf der Registerkarte „Eigenschaften“

  21. Wechseln Sie zur Registerkarte Webtop.

  22. Fügen Sie das von Ihnen erstellte Webtop-Objekt hinzu.

    Screenshot: Erstelltes Webtop auf der Registerkarte „Webtop“

  23. Wählen Sie Aktualisieren aus.

  24. Wählen SieSpeichern aus.

  25. Wählen Sie den Link im oberen Feld Verweigern aus, um den Branch „Erfolgreich“ zu ändern.

  26. Die Bezeichnung „Zulassen“ wird angezeigt.

  27. Speichern Sie sie.

    Screenshot: Option „Verweigern“ unter „Zugriffsrichtlinie“

  28. Wählen Sie Zugriffsrichtlinie anwenden aus.

  29. Schließen Sie die Registerkarte mit dem visuellen Richtlinien-Editor.

    Screenshot: Option „Zugriffsrichtlinie anwenden“

Veröffentlichen des VPN-Diensts

APM benötigt einen virtuellen Front-End-Server, um auf Clients zu lauschen, die eine Verbindung mit dem VPN herstellen.

  1. Wählen Sie Lokaler Datenverkehr>Virtuelle Server>Liste virtueller Server.

  2. Klicken Sie auf Erstellen.

  3. Geben Sie einen Namen für den virtuellen VPN-Server an, z. B. „VPN_Listener“.

  4. Wählen Sie eine nicht verwendete IP-Zieladresse mit Routing zum Empfangen von Clientdatenverkehr aus.

  5. Legen Sie den Dienstport auf 443 HTTPS fest.

  6. Vergewissern Sie sich, dass für Zustand die Option Aktiviert ausgewählt ist.

    Screenshot: Einträge für Name und Zieladresse/Maske in den allgemeinen Eigenschaften

  7. Legen Sie HTTP-Profil auf http fest.

  8. Fügen Sie das SSL-Profil (Client) für das öffentliche SSL-Zertifikat hinzu, das Sie erstellt haben.

    Screenshot: HTTP-Profileintrag für den Client und ausgewählte Einträge für den Client unter „SSL-Profil“

  9. Legen Sie unter „Zugriffsrichtlinie“ das Zugriffsprofil und das Konnektivitätsprofil fest, um die erstellten VPN-Objekte zu verwenden.

    Screenshot: Einträge für Zugriffsprofil und Konnektivitätsprofil unter „Zugriffsrichtlinie“

  10. Wählen Sie Finished (Fertig) aus.

Der SSL-VPN-Dienst ist veröffentlicht und über den sicheren Hybridzugriff (SHA) erreichbar. Dazu kann die URL oder eines der Anwendungsportale von Microsoft verwendet werden.

Nächste Schritte

  1. Öffnen Sie einen Browser auf einem Windows-Remoteclient.

  2. Navigieren Sie zur URL desBIG-IP-VPN-Diensts.

  3. Das BIG-IP-Webtopportal und das VPN-Startprogramm werden angezeigt.

    Screenshot: Seite des Contoso-Netzwerkportals mit Netzwerkzugriffsindikator

    Hinweis

    Wählen Sie die VPN-Kachel aus, um den BIG-IP-Edgeclient zu installieren und eine für SHA konfigurierte VPN-Verbindung einzurichten. Die F5-VPN-Anwendung wird im bedingten Zugriff von Microsoft Entra als Zielressource angezeigt. Informationen zum Aktivieren der kennwortlosen Microsoft Entra ID-Authentifizierung für Benutzer finden Sie unter Richtlinien für bedingten Zugriff.

Ressourcen