Tutorial: Configurar F5 BIG-IP SSL-VPN para Microsoft Entra SSO

  • Artigo

Neste tutorial, saiba como integrar a rede virtual privada de camada de soquete segura (SSL-VPN) baseada em F5 BIG-IP com a ID do Microsoft Entra para acesso híbrido seguro (SHA).

Habilitar um BIG-IP SSL-VPN para Microsoft Entra single sign-on (SSO) oferece muitos benefícios, incluindo:

  • Governança Zero Trust por meio da pré-autenticação e Acesso Condicional do Microsoft Entra.
  • Autenticação sem senha para o serviço VPN
  • Gerenciamento de identidade e acesso a partir de um único plano de controle, o centro de administração do Microsoft Entra

Para saber mais sobre os benefícios, consulte

Descrição do cenário

Nesse cenário, a instância do BIG-IP Access Policy Manager (APM) do serviço SSL-VPN é configurada como um provedor de serviços (SP) SAML (Security Assertion Markup Language) e o Microsoft Entra ID é o provedor de identidade SAML confiável (IdP). O logon único (SSO) do Microsoft Entra ID é por meio de autenticação baseada em declarações para o BIG-IP APM, uma experiência de acesso de rede virtual privada (VPN) perfeita.

Diagrama de arquitetura de integração.

Nota

Substitua cadeias de caracteres ou valores de exemplo neste guia por aqueles em seu ambiente.

Pré-requisitos

Experiência prévia ou conhecimento de F5 BIG-IP não é necessário, no entanto, você precisa:

  • Uma subscrição do Microsoft Entra
  • Identidades de usuário sincronizadas de seu diretório local para o ID do Microsoft Entra
  • Uma das seguintes funções: Administrador de aplicativos na nuvem ou Administrador de aplicativos
  • Infraestrutura BIG-IP com roteamento de tráfego de cliente de e para o BIG-IP
  • Um registro para o serviço VPN publicado BIG-IP em um servidor de nomes de domínio público (DNS)
    • Ou um arquivo localhost do cliente de teste durante o teste
  • O BIG-IP provisionado com os certificados SSL necessários para serviços de publicação por HTTPS

Para melhorar a experiência do tutorial, você pode aprender a terminologia padrão do setor no Glossário F5 BIG-IP.

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Configure uma confiança de federação SAML entre o BIG-IP para permitir que o Microsoft Entra BIG-IP entregue a pré-autenticação e o Acesso Condicional ao ID do Microsoft Entra, antes de conceder acesso ao serviço VPN publicado.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Aplicativos de identidade>>Aplicativos>corporativos Todos os aplicativos e selecione Novo aplicativo.
  3. Na galeria, procure por F5 e selecione F5 BIG-IP APM Microsoft Entra ID integration.
  4. Insira um nome para o aplicativo.
  5. Selecione Adicionar e, em seguida, Criar.
  6. O nome, como um ícone, aparece no centro de administração do Microsoft Entra e no portal do Office 365.

Configurar o Microsoft Entra SSO

  1. Com as propriedades do aplicativo F5, vá para Gerenciar>logon único.

  2. Na página Selecione um método de logon único, selecione SAML.

  3. Selecione Não, vou salvar mais tarde.

  4. No menu Configurar logon único com SAML, selecione o ícone de caneta para Configuração SAML básica.

  5. Substitua o URL do identificador pelo URL do serviço publicado pelo BIG-IP. Por exemplo, https://ssl-vpn.contoso.com.

  6. Substitua a URL de resposta e o caminho do ponto de extremidade SAML. Por exemplo, https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Nota

    Nessa configuração, o aplicativo opera em um modo iniciado pelo IdP: o Microsoft Entra ID emite uma asserção SAML antes de redirecionar para o serviço BIG-IP SAML.

  7. Para aplicações que não suportam o modo iniciado por IdP, para o serviço BIG-IP SAML, especifique o URL de início de sessão, por exemplo, https://ssl-vpn.contoso.com.

  8. Para a URL de Logout, insira o ponto de extremidade BIG-IP APM Single Logout (SLO) precedido pelo cabeçalho do host do serviço que está sendo publicado. Por exemplo, https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Nota

    Uma URL SLO garante que uma sessão de usuário seja encerrada, em BIG-IP e Microsoft Entra ID, depois que o usuário sai. O BIG-IP APM tem uma opção para encerrar todas as sessões ao chamar uma URL de aplicativo. Saiba mais no artigo F5, K12056: Visão geral da opção Incluir URI de logout.

Captura de tela de URLs de configuração SAML básicas..

Nota

A partir do TMOS v16, o ponto de extremidade SAML SLO foi alterado para /saml/sp/profile/redirect/slo.

  1. Selecione Guardar

  2. Ignore o prompt de teste SSO.

  3. Nas propriedades Atributos do Usuário & Declarações , observe os detalhes.

    Captura de tela de atributos de usuário e propriedades de declarações.

Você pode adicionar outras declarações ao seu serviço publicado BIG-IP. As declarações definidas além do conjunto padrão são emitidas se estiverem na ID do Microsoft Entra. Defina funções de diretório ou associações de grupo em relação a um objeto de usuário na ID do Microsoft Entra, antes que elas possam ser emitidas como uma declaração.

Os certificados de assinatura SAML criados pelo Microsoft Entra ID têm uma vida útil de três anos.

Autorização do Microsoft Entra

Por padrão, o Microsoft Entra ID emite tokens para usuários com acesso concedido a um serviço.

  1. Na visualização de configuração do aplicativo, selecione Usuários e grupos.

  2. Selecione + Adicionar usuário.

  3. No menu Adicionar atribuição, selecione Usuários e grupos.

  4. Na caixa de diálogo Usuários e grupos, adicione os grupos de usuários autorizados a acessar a VPN

  5. Selecione Selecionar>atribuir.

    Captura de ecrã da opção Adicionar utilizador.

Você pode configurar o BIG-IP APM para publicar o serviço SSL-VPN. Configure-o com as propriedades correspondentes para concluir a confiança para pré-autenticação SAML.

Configuração do BIG-IP APM

Federação SAML

Para concluir a federação do serviço VPN com o Microsoft Entra ID, crie o provedor de serviços BIG-IP SAML e os objetos SAML IDP correspondentes.

  1. Vá para Access>Federation>SAML Service Provider>Local SP Services.

  2. Selecione Criar.

    Captura de tela da opção Criar na página Serviços do SP Local.

  3. Insira um Nome e a ID da Entidade definida na ID do Microsoft Entra.

  4. Insira o FQDN (nome de domínio totalmente qualificado) do host para se conectar ao aplicativo.

    Captura de ecrã das entradas Nome e Entidade.

    Nota

    Se o ID da entidade não for uma correspondência exata do nome do host da URL publicada, defina as configurações do Nome da controladora de armazenamento ou execute essa ação se ela não estiver no formato de URL do nome do host. Se o ID da entidade for urn:ssl-vpn:contosoonline, forneça o esquema externo e o nome do host do aplicativo que está sendo publicado.

  5. Role para baixo para selecionar o novo objeto SAML SP.

  6. Selecione Bind/UnBind IDP Connectors.

    Captura de tela da opção Vincular Desvincular Conexões IDP na página Serviços do SP Local.

  7. Selecione Criar novo conector IDP.

  8. No menu suspenso, selecione Dos metadados

    Captura de tela da opção De metadados na página Editar IdPs SAML.

  9. Navegue até o arquivo XML de metadados de federação que você baixou.

  10. Para o objeto APM, forneça um Nome do Provedor de Identidade que represente o IdP SAML externo.

  11. Para selecionar o novo conector IdP externo do Microsoft Entra, selecione Adicionar nova linha.

    Captura de ecrã da opção SAML IdP Connectors na página Editar SAML IdP.

  12. Selecione Atualizar.

  13. Selecione OK.

    Captura de tela do link Comum, VPN do Azure na página Editar IdPs SAML.

Configuração do Webtop

Permita que o SSL-VPN seja oferecido aos usuários através do portal web BIG-IP.

  1. Vá para Access>Webtops>Webtop Lists.

  2. Selecione Criar.

  3. Insira um nome de portal.

  4. Defina o tipo como Completo, por exemplo, Contoso_webtop.

  5. Preencha as restantes preferências.

  6. Selecione Concluído.

    Captura de ecrã das entradas de nome e tipo em Propriedades Gerais.

Configuração de VPN

Os elementos VPN controlam aspetos do serviço geral.

  1. Vá para Conectividade/Acesso à Rede VPN>(VPN)>Pools de Concessão IPV4>

  2. Selecione Criar.

  3. Insira um nome para o pool de endereços IP alocado para clientes VPN. Por exemplo, Contoso_vpn_pool.

  4. Defina o tipo como Intervalo de endereços IP.

  5. Insira um IP inicial e final.

  6. Selecione Adicionar.

  7. Selecione Concluído.

    Captura de ecrã das entradas do nome e da lista de membros em Propriedades Gerais.

Uma lista de acesso à rede provisiona o serviço com configurações de IP e DNS do pool de VPN, permissões de roteamento do usuário e pode iniciar aplicativos.

  1. Vá para Conectividade de Acesso>/VPN: Listas de Acesso à Rede (VPN)>Listas de Acesso à Rede.

  2. Selecione Criar.

  3. Forneça um nome para a lista de acesso VPN e legenda, por exemplo, Contoso-VPN.

  4. Selecione Concluído.

    Captura de ecrã da entrada de nome em Propriedades Gerais e entrada de legenda em Definições de Personalização para Inglês.

  5. Na faixa de opções superior, selecione Configurações de Rede.

  6. Para a versão IP suportada: IPV4.

  7. Para Pool de Concessão IPV4, selecione o pool de VPN criado, por exemplo, Contoso_vpn_pool

    Captura de ecrã da entrada do Pool de Concessões IPV4 nas Definições Gerais.

    Nota

    Use as opções de Configurações do Cliente para impor restrições sobre como o tráfego do cliente é roteado em uma VPN estabelecida.

  8. Selecione Concluído.

  9. Vá para a guia DNS/Hosts .

  10. Para Servidor de Nomes Primário IPV4: O IP DNS do seu ambiente

  11. Para o sufixo de domínio padrão DNS: o sufixo de domínio para esta conexão VPN. Por exemplo, contoso.com

    Captura de ecrã das entradas para Nome do Servidor Principal IPV4 e Sufixo de Domínio Predefinido DNS.

Nota

Consulte o artigo F5, Configurando recursos de acesso à rede para obter outras configurações.

Um perfil de conexão big-IP é necessário para definir as configurações do tipo de cliente VPN que o serviço VPN precisa suportar. Por exemplo, Windows, OSX e Android.

  1. Vá para Acessar>perfis de conectividade/conectividade VPN>>

  2. Selecione Adicionar.

  3. Insira um nome de perfil.

  4. Defina o perfil pai como /Common/connectivity, por exemplo, Contoso_VPN_Profile.

    Captura de ecrã das entradas Nome do Perfil e Nome do Pai em Criar Novo Perfil de Conectividade.

Configuração do perfil de acesso

Uma política de acesso habilita o serviço para autenticação SAML.

  1. Vá para Perfis de acesso>/Políticas>Perfis de acesso (políticas por sessão).

  2. Selecione Criar.

  3. Insira um nome de perfil e para o tipo de perfil.

  4. Selecione Todos, por exemplo, Contoso_network_access.

  5. Desloque-se para baixo e adicione pelo menos um idioma à lista Idiomas Aceites

  6. Selecione Concluído.

    Captura de ecrã das entradas Nome, Tipo de Perfil e Idioma em Novo Perfil.

  7. No novo perfil de acesso, no campo Política por sessão, selecione Editar.

  8. O editor de política visual é aberto em uma nova guia.

    Captura de ecrã da opção Editar em Perfis de Acesso, políticas de pré-sessão.

  9. Selecione o + sinal.

  10. No menu, selecione Autenticação>SAML Auth.

  11. Selecione Adicionar item.

  12. Na configuração da controladora de armazenamento de autenticação SAML, selecione o objeto VPN SAML SP que você criou

  13. Selecione Guardar.

    Captura de tela da entrada do Servidor AAA em SP de Autenticação SAML, na guia Propriedades.

  14. Para a ramificação bem-sucedida do SAML auth, selecione + .

  15. Na guia Atribuição, selecione Atribuição Avançada de Recursos.

  16. Selecione Adicionar item.

  17. No pop-up, selecione Nova entrada

  18. Selecione Adicionar/Excluir.

  19. Na janela, selecione Acesso à rede.

  20. Selecione o perfil de Acesso à Rede que criou.

    Captura de ecrã do botão Adicionar nova entrada em Atribuição de Recursos, no separador Propriedades.

  21. Vá para a guia Webtop .

  22. Adicione o objeto Webtop que você criou.

    Captura de ecrã do webtop criado no separador Webtop.

  23. Selecione Atualizar.

  24. SelecioneGuardar.

  25. Para alterar a ramificação bem-sucedida, selecione o link na caixa superior Negar .

  26. O rótulo Permitir é exibido.

  27. Guardar.

    Captura de ecrã da opção Negar na Política de Acesso.

  28. Selecione Aplicar Política de Acesso

  29. Feche a guia do editor de política visual.

    Captura de ecrã da opção Aplicar Política de Acesso.

Publicar o serviço VPN

O APM requer um servidor virtual front-end para escutar os clientes que se conectam à VPN.

  1. Selecione Lista de Servidores Virtuais de Tráfego>Local>.

  2. Selecione Criar.

  3. Para o servidor virtual VPN, insira um Nome, por exemplo, VPN_Listener.

  4. Selecione um endereço de destino IP não utilizado com roteamento para receber o tráfego do cliente.

  5. Defina a porta de serviço como 443 HTTPS.

  6. Em Estado, verifique se Habilitado está selecionado.

    Captura de ecrã das entradas Nome e Endereço de Destino ou Máscara nas Propriedades Gerais.

  7. Defina o perfil HTTP como http.

  8. Adicione o Perfil SSL (Cliente) para o certificado SSL público que você criou.

    Captura de ecrã da entrada do Perfil HTTP para o cliente e das entradas selecionadas do Perfil SSL para o cliente.

  9. Para usar os objetos VPN criados, em Política de Acesso, defina o Perfil de Acesso e o Perfil de Conectividade.

    Captura de ecrã das entradas Perfil de Acesso e Perfil de Conectividade na Política de Acesso.

  10. Selecione Concluído.

Seu serviço SSL-VPN é publicado e acessível via SHA, seja com sua URL ou através de portais de aplicativos da Microsoft.

Próximos passos

  1. Abra um navegador em um cliente remoto do Windows.

  2. Navegue até o URL do serviço BIG-IP VPN.

  3. O portal BIG-IP webtop e o iniciador VPN aparecem.

    Captura de ecrã da página Portal de Rede Contoso com indicador de acesso à rede.

    Nota

    Selecione o bloco VPN para instalar o cliente de borda BIG-IP e estabelecer uma conexão VPN configurada para SHA. O aplicativo VPN F5 é visível como um recurso de destino no Acesso Condicional do Microsoft Entra. Consulte Políticas de acesso condicional para habilitar os usuários para autenticação sem senha do Microsoft Entra ID.

Recursos