Tutoriel : Configurer F5 BIG-IP SSL-VPN pour l’authentification unique Microsoft Entra

Dans ce tutoriel, vous allez apprendre à intégrer la solution Secure Socket Layer Virtual Private Network (SSL-VPN) basée sur F5 BIG-IP avec Microsoft Entra ID pour un accès hybride sécurisé (SHA).

L’activation d’une solution BIG-IP SSL-VPN pour l’authentification unique Microsoft Entra offre de nombreux avantages, notamment :

Pour découvrir d’autres avantages, consultez

Description du scénario

Dans ce scénario, l’instance BIG-IP APM (Access Policy Manager) du service SSL-VPN est configurée en tant que fournisseur de services SAML (Security Assertion Markup Language) et Microsoft Entra ID est le fournisseur d’identité SAML approuvé. L’authentification unique depuis Microsoft Entra ID est fournie via une authentification par revendications auprès de BIG-IP APM, offrant une expérience d’accès facile au réseau privé virtuel.

Schéma de l’architecture d’intégration.

Notes

Remplacez les exemples de chaînes ou de valeurs de ce guide par ceux de votre environnement.

Prérequis

Aucune expérience ni connaissances préalables de F5 BIG-IP n’est nécessaire. Vous avez cependant besoin des éléments suivants :

  • Un abonnement Microsoft Entra
  • Des identités utilisateur synchronisées à partir de leur annuaire local dans Microsoft Entra ID
  • Un des rôles suivants : Administrateur d’application cloud ou Administrateur d’application
  • Une infrastructure BIG-IP avec routage du trafic client vers et depuis le système BIG-IP.
  • Un enregistrement pour le service VPN publié par BIG-IP dans un DNS public
    • Ou un fichier localhost du client test lors des tests
  • Le système BIG-IP provisionné avec les certificats SSL nécessaires pour la publication de services via HTTPS

Pour améliorer l’expérience du tutoriel, vous pouvez apprendre la terminologie standard dans le glossaire F5 BIG-IP.

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Configurez une approbation de fédération SAML entre BIG-IP pour permettre à Microsoft Entra BIG-IP de déléguer la pré-authentification et l’accès conditionnel à Microsoft Entra ID avant qu’il accorde l’accès au service VPN publié.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications, puis sélectionnez Nouvelle application.
  3. Dans la galerie, recherchez F5, puis sélectionnez Intégration F5 BIG-IP APM Microsoft Entra ID.
  4. Entrez un nom pour l’application.
  5. Sélectionnez Ajouter, puis Créer.
  6. Le nom, sous forme d’icône, apparaît dans le centre d’administration Microsoft Entra et le portail Office 365.

Configurer Microsoft Entra SSO

  1. Avec les propriétés d’application F5, allez dans Gérer>Authentification unique.

  2. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  3. Sélectionnez Non, j’enregistrerai plus tard.

  4. Dans le menu Configurer l’authentification unique avec SAML, sélectionnez l’icône de stylet pour Configuration SAML de base.

  5. Remplacez l’URL d’identificateur par l’URL de votre service publié BIG-IP. Par exemple : https://ssl-vpn.contoso.com.

  6. Remplacez l’URL de réponse et le chemin du point de terminaison SAML. Par exemple : https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Remarque

    Dans cette configuration, l’application fonctionne dans un mode lancé par le fournisseur d’identité : Microsoft Entra ID émet une assertion SAML avant la redirection vers le service BIG-IP SAML.

  7. Pour les applications qui ne prennent pas en charge le mode lancé par le fournisseur d’identité, pour le service SAML BIG-IP, spécifiez l’URL d’authentification, par exemple https://ssl-vpn.contoso.com.

  8. Pour l’URL de déconnexion, entrez le point de terminaison Single Logout (SLO) de BIG-IP APM précédé de l’en-tête de l’hôte du service publié. Par exemple, https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Remarque

    Une URL SLO garantit qu’une session utilisateur prend fin, côté BIG-IP et côté Microsoft Entra ID, une fois que l’utilisateur s’est déconnecté. BIG-IP APM a également une option pour mettre fin à toutes les sessions lors de l’appel d’une URL d’application. Pour en savoir plus, consultez l’article F5 K12056: Overview of the Logout URI Include option.

Capture d’écran des URL de configuration SAML de base..

Notes

Depuis TMOS v16, le point de terminaison SLO SAML a été remplacé par /saml/sp/profile/redirect/slo.

  1. Sélectionnez Enregistrer.

  2. Ignorez l’invite de test de l’authentification unique.

  3. Dans les propriétés Attributs utilisateur et revendications, observez les détails.

    Capture d’écran des propriétés des attributs utilisateur et des revendications.

Vous pouvez ajouter d’autres revendications à votre service publié BIG-IP. Les revendications définies en plus de l’ensemble par défaut sont émises si elles sont présentes dans Microsoft Entra ID. Définissez les appartenances à un groupe ou rôle d’annuaire sur un objet utilisateur dans Microsoft Entra ID avant qu’elles puissent être émises en tant que revendication.

Les certificats de signature SAML créés par Microsoft Entra ID ont une durée de vie de trois ans.

Autorisation Microsoft Entra

Par défaut, Microsoft Entra ID émet des jetons aux utilisateurs auxquels l’accès à un service a été accordé.

  1. Dans la vue de la configuration de l’application, sélectionnez Utilisateurs et groupes.

  2. Sélectionnez + Ajouter un utilisateur.

  3. Dans le menu Ajouter une attribution, sélectionnez Utilisateurs et groupes.

  4. Dans la boîte de dialogue Utilisateurs et groupes, ajoutez les groupes d’utilisateurs autorisés à accéder au VPN.

  5. Sélectionnez Sélectionner>Attribuer.

    Capture d’écran de l’option Ajouter un utilisateur.

Vous pouvez configurer BIG-IP APM pour publier le service SSL-VPN. Configurez-le avec les propriétés correspondantes pour effectuer l’approbation pour la pré-authentification SAML.

Configuration de BIG-IP APM

Fédération SAML

Pour procéder à la fédération du service VPN avec Microsoft Entra ID, créez le fournisseur de service BIG-IP SAML et les objets de fournisseur d’identité SAML correspondants.

  1. Allez à Accès>Fédération>Fournisseur de services SAML>Services de fournisseur de services locaux.

  2. Sélectionnez Create (Créer).

    Capture d’écran de l’option Créer dans la page Services de fournisseur de services locaux.

  3. Entrez un Nom et l’ID d’entité définis dans Microsoft Entra ID.

  4. Entrez le nom de domaine complet (FQDN) de l’hôte pour vous connecter à l’application.

    Capture d’écran des entrées Nom et Entité.

    Notes

    Si l’ID d’entité ne correspond pas exactement au nom d’hôte de l’URL publiée, configurez les paramètres Nom du fournisseur de services ou effectuez cette action s’il n’est pas au format de l’URL de nom d’hôte. Si l’ID d’entité est urn:ssl-vpn:contosoonline, spécifiez le schéma externe et le nom d’hôte de l’application en cours de publication.

  5. Faites défiler vers le bas pour sélectionner le nouvel objet SP SAML.

  6. Sélectionnez Associer/dissocier les connecteurs IdP.

    Capture d’écran de l’option Associer/dissocier les connecteurs IdP dans la page Services de fournisseur de services locaux.

  7. Sélectionnez Créer un nouveau connecteur IdP.

  8. Dans le menu déroulant, sélectionnez À partir des métadonnées.

    Capture d’écran de l’option À partir des métadonnées dans la page Modifier les IdP SAML.

  9. Accédez au fichier XML de métadonnées de fédération que vous avez téléchargé.

  10. Pour l’objet APM, spécifiez un Nom de fournisseur d’identité qui représente le fournisseur d’identité SAML externe.

  11. Pour sélectionner le nouveau connecteur de fournisseur d’identité externe Microsoft Entra, sélectionnez Ajouter une nouvelle ligne.

    Capture d’écran de l’option Connecteurs IdP SAML dans la page Modifier les IdP SAML.

  12. Sélectionnez Update.

  13. Sélectionnez OK.

    Capture d’écran du lien Azure VPN commun dans la page Modifier les IdP SAML.

Configuration des webtops

Activez le VPN SSL à proposer aux utilisateurs via le portail web BIG-IP.

  1. Allez à Accès>Webtops>Listes des webtops.

  2. Sélectionnez Create (Créer).

  3. Entrez un nom de portail.

  4. Définissez le type sur Complet, par exemple : Contoso_webtop.

  5. Renseignez les préférences restantes.

  6. Sélectionnez Finished.

    Capture d’écran des entrées Nom et Type dans Propriétés générales.

Configuration VPN

Les éléments VPN contrôlent les aspects du service global.

  1. Allez à Accès>Connectivité/VPN>Accès réseau (VPN)>Pools de baux IPV4.

  2. Sélectionnez Create (Créer).

  3. Entrez un nom pour le pool d’adresses IP allouées aux clients VPN. Par exemple, Contoso_vpn_pool.

  4. Définissez le type sur Plage d’adresses IP.

  5. Entrez une adresse IP de début et de fin.

  6. Sélectionnez Ajouter.

  7. Sélectionnez Finished.

    Capture d’écran des entrées Nom et Liste des membres dans Propriétés générales.

Une liste d’accès réseau provisionne le service avec les paramètres IP et DNS du pool VPN, les autorisations de routage des utilisateurs, et peut lancer les applications.

  1. Allez à Accès>Connectivité/VPN : Accès réseau>Listes d’accès réseau.

  2. Sélectionnez Create (Créer).

  3. Donnez un nom pour la liste d’accès VPN et une légende, par exemple, Contoso-VPN.

  4. Sélectionnez Finished.

    Capture d’écran de l’entrée Nom dans Propriétés générales et de l’entrée Légende dans Paramètres de personnalisation pour Anglais.

  5. Dans le ruban supérieur, sélectionnez Paramètres réseau.

  6. Pour Version IP prise en charge : IPV4.

  7. Pour Pool de baux IPV4, sélectionnez le pool VPN créé, par exemple, Contoso_vpn_pool

    Capture d’écran de l’entrée Pool de baux IPV4 dans Paramètres généraux.

    Notes

    Utilisez les options Paramètres client pour appliquer des restrictions sur la façon dont le trafic client est routé dans un VPN établi.

  8. Sélectionnez Finished.

  9. Accédez à l’onglet DNS/hôtes.

  10. Pour Serveur de noms principal IPV4 : IP DNS de votre environnement

  11. Pour Suffixe de domaine DNS par défaut : Suffixe de domaine pour cette connexion VPN. Par exemple, contoso.com

    Capture d’écran des entrées pour Serveur de noms principal IPV4 et Suffixe de domaine DNS par défaut.

Notes

Consultez l’article F5 Configuring Network Access Resources pour les autres paramètres.

Un profil de connexion BIG-IP est requis pour configurer les paramètres de type de client VPN que le service VPN doit prendre en charge. Par exemple, Windows, OSX et Android.

  1. Accédez à Accès>Connectivité/VPN>Connectivité>Profils.

  2. Sélectionnez Ajouter.

  3. Entrez un nom de profil.

  4. Définissez le profil parent sur /Common/connectivity, par exemple, Contoso_VPN_Profile.

    Capture d’écran des entrées Nom du profil et Nom du parent dans Créer un profil de connectivité.

Configuration du profil d’accès

Une stratégie d’accès active le service pour l’authentification SAML.

  1. Accédez à Accès>Profils/Stratégies>Profils d’accès (stratégies par session).

  2. Sélectionnez Create (Créer).

  3. Entrez un nom de profil et pour le type de profil.

  4. Sélectionnez Tout, par exemple, Contoso_network_access.

  5. Faites défiler vers le bas et ajoutez au moins une langue dans la liste Langues acceptées.

  6. Sélectionnez Finished.

    Capture d’écran des entrées Nom, Type de profil et Langue dans Nouveau profil.

  7. Dans le nouveau profil d’accès, dans le champ Stratégie par session, sélectionnez Modifier.

  8. L’éditeur de stratégie visuelle s’ouvre dans un nouvel onglet.

    Capture d’écran de l’option Modifier dans Profils d’accès, Stratégies de pré-session.

  9. Sélectionnez le signe +.

  10. Dans le menu, sélectionnez Authentification>Authentification SAML.

  11. Sélectionnez Ajouter un élément.

  12. Dans la configuration du fournisseur de services d’authentification SAML, sélectionnez l’objet SP SAML VPN que vous avez créé.

  13. Sélectionnez Enregistrer.

    Capture d’écran de l’entrée Serveur AAA sous Fournisseur de services d’authentification SAML, sous l’onglet Propriétés.

  14. Pour la branche Succès de l’authentification SAML, sélectionnez +.

  15. Sous l’onglet Affectation, sélectionnez Affectation avancée de ressources.

  16. Sélectionnez Ajouter un élément.

  17. Dans la fenêtre contextuelle, sélectionnez Nouvelle entrée.

  18. Sélectionnez Ajouter/supprimer.

  19. Dans la fenêtre, sélectionnez Accès réseau.

  20. Sélectionnez le profil d’accès réseau que vous avez créé.

    Capture d’écran du bouton Ajouter une nouvelle entrée dans Affectation des ressources, sous l’onglet Propriétés.

  21. Accédez à l’onglet Webtop.

  22. Ajoutez l’objet Webtop que vous avez créé.

    Capture d’écran du webtop créé sous l’onglet Webtop.

  23. Sélectionnez Update.

  24. Sélectionnez Enregistrer.

  25. Pour remplacer la branche Succès, sélectionnez le lien dans la zone Refuser en haut.

  26. L’étiquette Autoriser s’affiche.

  27. Enregistrez. .

    Capture d’écran de l’option Refuser dans Stratégie d’accès.

  28. Sélectionnez Appliquer la stratégie d’accès.

  29. Fermez l’onglet de l’éditeur de stratégie visuelle.

    Capture d’écran de l’option Appliquer la stratégie d’accès.

Publier le service VPN

L’APM a besoin d’un serveur virtuel front-end pour écouter les clients qui se connectent au VPN.

  1. Sélectionnez Trafic local>Serveurs virtuels>Liste de serveurs virtuels.

  2. Sélectionnez Create (Créer).

  3. Pour le serveur virtuel VPN, entrez un Nom, par exemple, VPN_Listener.

  4. Sélectionnez une Adresse IP de destination inutilisée avec routage pour recevoir le trafic client.

  5. Ensuite, définissez le port de service sur 443 HTTPS.

  6. Pour État, vérifiez que Activé est sélectionné.

    Capture d’écran des entrées Nom et Adresse de destination ou masque dans Propriétés générales.

  7. Définissez le Profil HTTP sur http.

  8. Ajoutez le profil SSL (client) pour le certificat SSL public que vous avez créé.

    Capture d’écran de l’entrée Profil HTTP pour le client et des entrées sélectionnées Profil SSL pour le client.

  9. Pour utiliser les objets VPN créés, sous Stratégie d’accès, définissez le Profil d’accès et le Profil de connectivité.

    Capture d’écran des entrées Profil d’accès et Profil de connectivité dans Stratégie d’accès.

  10. Sélectionnez Finished.

Votre service SSL-VPN est publié et accessible via SHA, soit avec son URL, soit via les portails d’applications de Microsoft.

Étapes suivantes

  1. Ouvrez un navigateur sur un client Windows distant.

  2. Accédez à l’URL du Service VPN BIG-IP.

  3. Le portail webtop BIG-IP et le lanceur VPN s’affichent.

    Capture d’écran de la page Portail réseau Contoso avec un indicateur d’accès réseau.

    Notes

    Sélectionnez la vignette VPN pour installer le client BIG-IP Edge et établir une connexion VPN configurée pour SHA. L’application F5 VPN est visible en tant que ressource cible dans Accès conditionnel Microsoft Entra. Consultez Stratégies d’accès conditionnel pour permettre aux utilisateurs de se servir de l’authentification sans mot de passe Microsoft Entra ID.

Ressources