Esercitazione: Configurare la VPN SSL di F5 BIG-IP per SSO di Microsoft Entra

  • Articolo

Questa esercitazione descrive come integrare la rete privata virtuale Secure Socket Layer (VPN SSL) basata su F5 BIG-IP con Microsoft Entra ID per l'accesso ibrido sicuro.

L'abilitazione di una VPN SSL BIG-IP per l'accesso Single Sign-On (SSO) di Microsoft Entra offre molti vantaggi, tra cui:

Per altre informazioni sui vantaggi, vedere

Descrizione dello scenario

In questo scenario, l'istanza BIG-IP Access Policy Manager (APM) del servizio VPN SSL è configurata come provider di servizi SAML (Security Assertion Markup Language) e Microsoft Entra ID è il provider di identità SAML attendibile. L'accesso Single Sign-On (SSO) da Microsoft Entra ID avviene tramite l'autenticazione basata su attestazioni a BIG-IP APM, un'esperienza di accesso semplice alla rete privata virtuale (VPN).

Diagramma dell'architettura di integrazione.

Nota

Sostituire le stringhe o i valori di esempio in questa guida con quelli nell'ambiente in uso.

Prerequisiti

L'esperienza o la conoscenza precedente di F5 BIG-IP non è necessaria, ma l'utente deve avere:

  • Una sottoscrizione di Microsoft Entra
  • Identità utente sincronizzate dalla directory locale a Microsoft Entra ID
  • Uno dei ruoli seguenti: Amministratore applicazione cloud o Amministratore applicazione
  • Infrastruttura BIG-IP con routing del traffico client da e verso BIG-IP
  • Un record per il servizio VPN pubblicato di BIG-IP in un Domain Name Server (DNS)
    • Oppure un file localhost del client di test durante il test
  • Provisioning di BIG-IP con i certificati SSL necessari per la pubblicazione di servizi tramite HTTPS

Per migliorare l'esperienza dell'esercitazione, è possibile apprendere la terminologia standard del settore nel glossario di F5 BIG-IP.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Configurare un trust federativo SAML tra BIG-IP per consentire a BIG-IP di Microsoft Entra di distribuire la preautenticazione e l'accesso condizionale a Microsoft Entra ID, prima che venga concesso l'accesso al servizio VPN pubblicato.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni e quindi selezionare Nuova applicazione.
  3. Nella raccolta cercare F5 e selezionare Integrazione di Microsoft Entra ID con F5 BIG-IP APM.
  4. Immettere un nome per l'applicazione.
  5. Selezionare Aggiungi e quindi Crea.
  6. Il nome, come icona, viene visualizzato nell'Interfaccia di amministrazione di Microsoft Entra e nel portale di Office 365.

Configurare l'accesso Single Sign-On di Microsoft Entra

  1. Con le proprietà dell'applicazione F5, passare a Gestisci>Single Sign-On.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  3. Selezionare No, il salvataggio verrà eseguito più tardi.

  4. Nel menu Configura l'accesso Single Sign-On con SAML selezionare l'icona della penna per Configurazione SAML di base.

  5. Sostituire l'URL dell'identificatore con l'URL del servizio pubblicato di BIG-IP. Ad esempio: https://ssl-vpn.contoso.com.

  6. Sostituire l'URL di risposta e il percorso dell'endpoint SAML. Ad esempio: https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Nota

    In questa configurazione, l'applicazione opera in modalità avviata da provider di identità: Microsoft Entra ID emette un'asserzione SAML prima di reindirizzare al servizio SAML di BIG-IP.

  7. Per le app che non supportano la modalità avviata da provider di identità, per il servizio SAML di BIG-IP specificare l'URL di accesso, ad esempio https://ssl-vpn.contoso.com.

  8. Per l'URL di disconnessione, immettere l'endpoint SLO (Single Logout) di BIG-IP APM preceduto dall'intestazione host del servizio pubblicato. Ad esempio, https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Nota

    Un URL SLO garantisce che una sessione utente termini, in BIG-IP e Microsoft Entra ID, dopo che l'utente si disconnette. BIG-IP APM offre un'opzione per terminare tutte le sessioni quando si chiama un URL dell'applicazione. Altre informazioni sull'articolo F5, K12056: Overview of the Logout URI Include option.

Screenshot degli URL della configurazione SAML di base..

Nota

Da TMOS v16, l'endpoint SLO SAML è stato modificato in /saml/sp/profile/redirect/slo.

  1. Seleziona Salva

  2. Ignorare il prompt di test di SSO.

  3. Nelle proprietà Attributi utente e attestazioni osservare i dettagli.

    Screenshot delle proprietà Attributi utente e attestazioni.

È possibile aggiungere altre attestazioni al servizio pubblicato di BIG-IP. Le attestazioni definite oltre al set predefinito vengono rilasciate se si trovano in Microsoft Entra ID. Definire i ruoli o le appartenenze ai gruppi della directory rispetto a un oggetto utente in Microsoft Entra ID, prima che possano essere rilasciati come attestazione.

I certificati di firma SAML creati da Microsoft Entra ID hanno una durata di tre anni.

Autorizzazione Microsoft Entra

Per impostazione predefinita, Microsoft Entra ID emette token agli utenti a cui è stato concesso l'accesso a un servizio.

  1. Nella vista di configurazione dell'applicazione selezionare Utenti e gruppi.

  2. Selezionare + Aggiungi utente.

  3. Nel menu Aggiungi assegnazione selezionare Utenti e gruppi.

  4. Nella finestra di dialogo Utenti e gruppi aggiungere i gruppi di utenti autorizzati ad accedere alla VPN.

  5. Selezionare Selezionare>Assegna.

    Screenshot dell'opzione Aggiungi utente.

È possibile configurare BIG-IP APM per pubblicare il servizio VPN SSL. Configurarlo con le proprietà corrispondenti per completare l'attendibilità per la preautenticazione SAML.

Configurazione di BIG-IP APM

Federazione SAML

Per completare la federazione del servizio VPN con Microsoft Entra ID, creare il provider di servizi SAML di BIG-IP e gli oggetti del provider di identità SAML corrispondenti.

  1. Passare a Access>Federation>SAML Service Provider>Local SP Services.

  2. Seleziona Crea.

    Screenshot dell'opzione Create nella pagina Local SP Services.

  3. Immettere un nome e l'ID entità definiti in Microsoft Entra ID.

  4. Immettere il nome di dominio completo (FQDN) dell'host per connettersi all'applicazione.

    Screenshot delle voci relative al nome e all'identità.

    Nota

    Se l'ID entità non corrisponde esattamente al nome host dell'URL pubblicato, configurare le impostazioni del nome del provider di servizi o eseguire questa azione se non è in formato URL del nome host. Se l'ID entità è urn:ssl-vpn:contosoonline, specificare lo schema esterno e il nome host dell'applicazione pubblicata.

  5. Scorrere verso il basso per selezionare il nuovo oggetto SAML SP.

  6. Selezionare Bind/UnBind IDP Connectors.

    Screenshot dell'opzione Bind/UnBind IDP Connectors nella pagina Local SP Services.

  7. Selezionare Create New IDP Connector.

  8. Dal menu a discesa selezionare From Metadata.

    Screenshot dell'opzione From Metadata nella pagina Edit SAML IdPs.

  9. Passare al file XML dei metadati della federazione scaricato.

  10. Per l'oggetto APM, specificare un nome del provider di identità che rappresenta il provider di identità SAML esterno.

  11. Per selezionare il nuovo connettore del provider di identità esterno di Microsoft Entra, selezionare Add New Row.

    Screenshot dell'opzione SAML IdP Connectors nella pagina Edit SAML IdPs.

  12. Selezionare Aggiorna.

  13. Seleziona OK.

    Screenshot del collegamento di Azure alla VPN comune nella pagina Edit SAML IdPs.

Configurazione dei Webtop

Abilitare la VPN SSL da offrire agli utenti tramite il portale Web di BIG-IP.

  1. Passare ad Access>Webtops>Webtop Lists.

  2. Seleziona Crea.

  3. Immettere il nome del portale.

  4. Impostare il tipo su Full, ad esempio Contoso_webtop.

  5. Completare le preferenze rimanenti.

  6. Selezionare Completato.

    Screenshot delle voci Name e Type in General Properties.

Configurazione VPN

Gli elementi della VPN controllano gli aspetti del servizio complessivo.

  1. Passare ad Access>Connectivity/VPN>Network Access (VPN)>IPV4 Lease Pools

  2. Seleziona Crea.

  3. Immettere un nome per il pool di indirizzi IP allocato ai client VPN. Ad esempio, Contoso_vpn_pool.

  4. Impostare il tipo su IP Address Range.

  5. Immettere un indirizzo IP iniziale e finale.

  6. Selezionare Aggiungi.

  7. Selezionare Completato.

    Screenshot delle voci Name e Member List in General Properties.

Un elenco di accesso alla rete effettua il provisioning del servizio con impostazioni IP e DNS dal pool VPN, autorizzazioni di routing dell'utente, e può avviare applicazioni.

  1. Passare ad Access>Connectivity/VPN: Network Access (VPN)>Network Access Lists.

  2. Seleziona Crea.

  3. Specificare un nome per l'elenco di accesso della VPN e la didascalia, ad esempio Contoso-VPN.

  4. Selezionare Completato.

    Screenshot della voce Name in General Properties e voce della didascalia in Customization Settings for English.

  5. Nella barra multifunzione superiore selezionare Network Settings.

  6. Per Supported IP version: IPV4.

  7. Per IPV4 Lease Pool, selezionare il pool VPN creato, ad esempio Contoso_vpn_pool.

    Screenshot della voce IPV4 Lease Pool in General Settings.

    Nota

    Usare le opzioni Client Settings per applicare restrizioni relative all'indirizzamento del traffico client in una VPN stabilita.

  8. Selezionare Completato.

  9. Passare alla scheda DNS/Hosts.

  10. Per IPV4 Primary Name Server, immettere l'IP del DNS dell'ambiente.

  11. Per DNS Default Domain Suffix, immettere il suffisso di dominio per questa connessione VPN. Ad esempio, contoso.com.

    Screenshot delle voci per IPV4 Primary Server Name e DNS Default Domain Suffix.

Nota

Vedere l'articolo di F5 Configuring Network Access Resources per altre impostazioni.

È necessario un profilo di connessione BIG-IP per configurare le impostazioni del tipo di client VPN che il servizio VPN deve supportare. Ad esempio, Windows, OSX e Android.

  1. Passare ad Access>Connectivity/VPN>Connectivity>Profiles.

  2. Selezionare Aggiungi.

  3. Immettere un nome del profilo.

  4. Impostare il profilo padre su /Common/connectivity, ad esempio Contoso_VPN_Profile.

    Screenshot delle voci Profile Name e Parent Name in Create New Connectivity Profile.

Configurazione del profilo di accesso

Un criterio di accesso abilita il servizio per l'autenticazione SAML.

  1. Passare ad Access>Profiles/Policies>Access Profiles (Per-Session Policies).

  2. Seleziona Crea.

  3. Immettere un nome del profilo per il tipo di profilo.

  4. Selezionare All, ad esempio Contoso_network_access.

  5. Scorrere verso il basso e aggiungere almeno una lingua all'elenco Accepted Languages

  6. Selezionare Completato.

    Screenshot delle voci Name, Profile Type e Language in New Profile.

  7. Nel nuovo profilo di accesso selezionare Edit nel campo Per-Session Policy.

  8. L'editor dei criteri visivi viene aperto in una nuova scheda.

    Screenshot dell'opzione Edit in Access Profiles (Per-Session Policies).

  9. Selezionare il segno +.

  10. Nel menu selezionare Authentication>SAML Auth.

  11. Selezionare Add Item.

  12. Nella configurazione SAML Authentication SP selezionare l'oggetto SP SAML VPN creato

  13. Seleziona Salva.

    Screenshot della voce AAA Server in SAML Authentication SP nella scheda Properties.

  14. Per il ramo Successful di SAML auth, selezionare +.

  15. Nella scheda Assignment selezionare Advanced Resource Assign.

  16. Selezionare Add Item.

  17. Nella finestra popup selezionare New Entry

  18. Selezionare Add/Delete.

  19. Nella finestra selezionare Network Access.

  20. Selezionare il profilo di Network Access creato.

    Screenshot del pulsante Add new entry in Resource Assignment nella scheda Properties.

  21. Passare alla scheda Webtop.

  22. Aggiungere l'oggetto Webtop creato.

    Screenshot del webtop creato nella scheda Webtop.

  23. Selezionare Aggiorna.

  24. Seleziona Salva.

  25. Per modificare il ramo Successful, selezionare il collegamento nella casella Deny superiore.

  26. Viene visualizzata l'etichetta Allow.

  27. Salva.

    Screenshot dell'opzione Deny in Access Policy.

  28. Selezionare Apply Access Policy.

  29. Chiudere la scheda dell'editor dei criteri visivi.

    Screenshot dell'opzione Apply Access Policy option.

Pubblicare il servizio VPN

APM richiede che un server virtuale front-end sia in ascolto per i client che si connettono alla VPN.

  1. Selezionare Local Traffic>Virtual Servers>Virtual Server List.

  2. Seleziona Crea.

  3. Per il server virtuale della VPN immettere un nome, ad esempio VPN_Listener.

  4. Selezionare un indirizzo di destinazione IP inutilizzato con routing per ricevere il traffico del client.

  5. Impostare la porta del servizio su 443 HTTPS.

  6. Per State, verificare che l'opzione Enabled sia selezionata.

    Screenshot delle voci Name and Destination Address o Mask in General Properties.

  7. Impostare HTTP Profile su http.

  8. Aggiungere il profilo SSL (client) per il certificato SSL pubblico creato.

    Screenshot delle voci HTTP Profile per il client e del profilo SSL selezionato per il client.

  9. Per usare gli oggetti VPN creati, in Access Policy, impostare Access Profile e Connectivity Profile.

    Screenshot delle voci Access Profile e Connectivity Profile in Access Policy.

  10. Selezionare Completato.

Il servizio VPN SSL viene pubblicato ed è accessibile tramite l'accesso ibrido sicuro, con il relativo URL o tramite i portali delle applicazioni Microsoft.

Passaggi successivi

  1. Aprire un browser in un client Windows remoto.

  2. Passare all'URL del servizio VPN di BIG-IP.

  3. Viene visualizzato il portale del Webtop di BIG-IP e l'icona di avvio della VPN.

    Screenshot della pagina Contoso Network Portal con l'indicatore Network Access.

    Nota

    Selezionare il riquadro della VPN per installare BIG-IP Edge client e stabilire una connessione VPN configurata per l'accesso ibrido sicuro. L'applicazione F5 VPN è visibile come risorsa di destinazione nell'accesso condizionale di Microsoft Entra. Vedere Criteri di accesso condizionale per abilitare gli utenti all'autenticazione senza password di Microsoft Entra ID.

Risorse