Öğretici: Microsoft Entra SSO için F5 BIG-IP SSL-VPN yapılandırma

  • Makale

Bu öğreticide, F5 BIG-IP tabanlı güvenli yuva katmanı sanal özel ağı (SSL-VPN) güvenli karma erişim (SHA) için Microsoft Entra ID ile tümleştirmeyi öğrenin.

Microsoft Entra çoklu oturum açma (SSO) için BIG-IP SSL-VPN'i etkinleştirmek aşağıdakiler gibi birçok avantaj sağlar:

Daha fazla avantaj hakkında bilgi edinmek için bkz.

Senaryo açıklaması

Bu senaryoda, SSL-VPN hizmetinin BIG-IP Erişim İlkesi Yöneticisi (APM) örneği Bir Güvenlik Onaylama İşaretleme Dili (SAML) hizmet sağlayıcısı (SP) olarak yapılandırılır ve Microsoft Entra ID güvenilir SAML kimlik sağlayıcısı (IdP) olarak yapılandırılır. Microsoft Entra Id'den çoklu oturum açma (SSO), sorunsuz bir sanal özel ağ (VPN) erişim deneyimi olan BIG-IP APM'ye talep tabanlı kimlik doğrulaması yoluyla yapılır.

Tümleştirme mimarisi diyagramı.

Not

Bu kılavuzdaki örnek dizeleri veya değerleri ortamınızdakilerle değiştirin.

Önkoşullar

F5 BIG-IP hakkında önceden deneyim veya bilgi gerekli değildir, ancak şunlara ihtiyacınız vardır:

  • Microsoft Entra aboneliği
  • Şirket içi dizinlerinden Microsoft Entra Id ile eşitlenen kullanıcı kimlikleri
  • Aşağıdaki rollerden biri: Bulut Uygulaması Yöneticisi veya Uygulama Yöneticisi
  • BIG-IP'ye gelen ve big-IP'den gelen istemci trafiği yönlendirmeli BIG-IP altyapısı
  • Genel etki alanı adı sunucusunda (DNS) BIG-IP tarafından yayımlanan VPN hizmeti için kayıt
    • Veya test sırasında bir test istemcisi localhost dosyası
  • HTTPS üzerinden hizmet yayımlamak için gereken SSL sertifikalarıyla sağlanan BIG-IP

Öğretici deneyimini geliştirmek için F5 BIG-IP Sözlüğünde endüstri standardı terminolojiyi öğrenebilirsiniz.

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Microsoft Entra BIG-IP'nin yayımlanan VPN hizmetine erişim vermeden önce ön kimlik doğrulamasını ve Koşullu Erişimi Microsoft Entra Id'ye devretmesine izin vermek için BIG-IP arasında bir SAML federasyon güveni ayarlayın.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları Tüm uygulamalar'a> göz atın ve Ardından Yeni uygulama'yı seçin.
  3. Galeride F5 araması yapın ve F5 BIG-IP APM Microsoft Entra ID tümleştirmesi'ni seçin.
  4. Uygulama için bir ad girin.
  5. Ekle'yi ve ardından Oluştur'u seçin.
  6. Ad, simge olarak Microsoft Entra yönetim merkezinde ve Office 365 portalında görünür.

Microsoft Entra SSO'sını yapılandırma

  1. F5 uygulama özellikleriyle Çoklu oturum açmayı yönet'e >gidin.

  2. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  3. Hayır, daha sonra kaydedeceğim'i seçin.

  4. SAML ile çoklu oturum açmayı ayarla menüsünde Temel SAML Yapılandırması için kalem simgesini seçin.

  5. Tanımlayıcı URL'sini BIG-IP tarafından yayımlanan hizmet URL'nizle değiştirin. Örneğin, https://ssl-vpn.contoso.com.

  6. Yanıt URL'sini ve SAML uç noktası yolunu değiştirin. Örneğin, https://ssl-vpn.contoso.com/saml/sp/profile/post/acs.

    Not

    Bu yapılandırmada uygulama IdP tarafından başlatılan modda çalışır: Microsoft Entra ID, BIG-IP SAML hizmetine yeniden yönlendirmeden önce bir SAML onayı verir.

  7. IdP tarafından başlatılan modu desteklemeyen uygulamalar için, BIG-IP SAML hizmeti için Oturum açma URL'sini (örneğin, https://ssl-vpn.contoso.com) belirtin.

  8. Oturumu Kapatma URL'si için, yayımlanmakta olan hizmetin ana bilgisayar üst bilgisi tarafından eklenen BIG-IP APM Tekli oturum kapatma (SLO) uç noktasını girin. Örneğin https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr

    Not

    SLO URL'si, kullanıcı oturumu kapatıldıktan sonra BIG-IP ve Microsoft Entra ID'de bir kullanıcı oturumunun sonlandırılmasını sağlar. BIG-IP APM, uygulama URL'sini çağırırken tüm oturumları sonlandırma seçeneğine sahiptir. F5 makalesi olan K12056: Oturumu Kapatma URI Ekleme seçeneğine genel bakış hakkında daha fazla bilgi edinin.

Temel SAML yapılandırma URL'lerinin ekran görüntüsü..

Not

TMOS v16 sürümünde SAML SLO uç noktası /saml/sp/profile/redirect/slo olarak değiştirildi.

  1. Kaydet'i seçin.

  2. SSO test istemini atlayın.

  3. Kullanıcı Öznitelikleri ve Talep özellikleri bölümünde ayrıntıları gözlemleyin.

    Kullanıcı özniteliklerinin ve talep özelliklerinin ekran görüntüsü.

BIG-IP tarafından yayımlanan hizmetinize başka talepler ekleyebilirsiniz. Varsayılan kümeye ek olarak tanımlanan talepler, Microsoft Entra Id içindeyse verilir. Talep olarak verilmeden önce, Microsoft Entra Id'deki bir kullanıcı nesnesine yönelik dizin rollerini veya grup üyeliklerini tanımlayın.

Microsoft Entra ID tarafından oluşturulan SAML imzalama sertifikaları üç yıllık bir kullanım ömrüne sahiptir.

Microsoft Entra yetkilendirmesi

Varsayılan olarak, Microsoft Entra Id bir hizmete erişim izni verilen kullanıcılara belirteçler verir.

  1. Uygulama yapılandırma görünümünde Kullanıcılar ve gruplar'ı seçin.

  2. + Kullanıcı ekle'yi seçin.

  3. Atama Ekle menüsünde Kullanıcılar ve gruplar'ı seçin.

  4. Kullanıcılar ve gruplar iletişim kutusunda, VPN'ye erişim yetkisi olan kullanıcı gruplarını ekleyin

  5. Ata'yı seçin>.

    Kullanıcı Ekle seçeneğinin ekran görüntüsü.

SSL-VPN hizmetini yayımlamak için BIG-IP APM ayarlayabilirsiniz. SAML ön kimlik doğrulaması güvenini tamamlamak için ilgili özelliklerle yapılandırın.

BIG-IP APM yapılandırması

SAML federasyonu

VPN hizmetini Microsoft Entra Id ile ilişkilendirmeyi tamamlamak için BIG-IP SAML hizmet sağlayıcısını ve buna karşılık gelen SAML IDP nesnelerini oluşturun.

  1. Federasyon>SAML Hizmet Sağlayıcısı>Yerel SP Hizmetlerine Erişme'ye >gidin.

  2. Oluştur'u belirleyin.

    Yerel SP Services sayfasındaki Oluştur seçeneğinin ekran görüntüsü.

  3. Microsoft Entra Id içinde tanımlanan bir Ad ve Varlık Kimliği girin.

  4. Uygulamaya bağlanmak için Ana bilgisayar tam etki alanı adını (FQDN) girin.

    Ad ve Varlık girişlerinin ekran görüntüsü.

    Not

    Varlık kimliği yayımlanan URL'nin ana bilgisayar adıyla tam olarak eşleşmiyorsa SP Adı ayarlarını yapılandırın veya ana bilgisayar adı URL biçiminde değilse bu eylemi gerçekleştirin. Varlık kimliği ise urn:ssl-vpn:contosoonline, yayımlanan uygulamanın dış düzenini ve ana bilgisayar adını belirtin.

  5. Yeni SAML SP nesnesini seçmek için aşağı kaydırın.

  6. IDP Bağlayıcılarını Bağla/Bağlamayı Kaldır'ı seçin.

    Yerel SP Hizmetleri sayfasındaki Bağlamayı Kaldır IDP Bağlantılarını Bağla seçeneğinin ekran görüntüsü.

  7. Yeni IDP Bağlayıcısı Oluştur'u seçin.

  8. Açılan menüden Meta Verilerden'i seçin

    SAML IdPs'lerini Düzenle sayfasındaki Meta Verilerden seçeneğinin ekran görüntüsü.

  9. İndirdiğiniz federasyon meta verileri XML dosyasına göz atın.

  10. APM nesnesi için, dış SAML IdP'sini temsil eden bir Kimlik Sağlayıcısı Adı sağlayın.

  11. Yeni Microsoft Entra dış IdP bağlayıcısını seçmek için Yeni Satır Ekle'yi seçin.

    SAML IdP'yi Düzenle sayfasındaki SAML IdP Bağlayıcıları seçeneğinin ekran görüntüsü.

  12. Güncelleştir'i seçin.

  13. Tamam'ı seçin.

    SAML IdPs'lerini Düzenle sayfasındaki Ortak, VPN Azure bağlantısının ekran görüntüsü.

Webtop yapılandırması

SSL-VPN'in BIG-IP web portalı üzerinden kullanıcılara sunulmasını etkinleştirin.

  1. Access>WebTops>WebTop Listeleri'ne gidin.

  2. Oluştur'u belirleyin.

  3. Bir portal adı girin.

  4. Türü Tam olarak ayarlayın, örneğin, Contoso_webtop.

  5. Kalan tercihleri tamamlayın.

  6. Bitti'yi seçin.

    Genel Özellikler'deki ad ve tür girdilerinin ekran görüntüsü.

VPN yapılandırması

VPN öğeleri, genel hizmetin özelliklerini denetler.

  1. Erişim>Bağlantısı/VPN>Ağ Erişimi (VPN)>IPV4 Kiralama Havuzları'na gidin

  2. Oluştur'u belirleyin.

  3. VPN istemcilerine ayrılan IP adresi havuzu için bir ad girin. Örneğin, Contoso_vpn_pool.

  4. Türü IP Adresi Aralığı olarak ayarlayın.

  5. Başlangıç ve bitiş IP'lerini girin.

  6. Ekle'yi seçin.

  7. Bitti'yi seçin.

    Genel Özellikler'deki ad ve üye listesi girdilerinin ekran görüntüsü.

Ağ erişim listesi, hizmeti VPN havuzundan, kullanıcı yönlendirme izinlerinden IP ve DNS ayarlarıyla sağlar ve uygulamaları başlatabilir.

  1. Erişim>Bağlantısı/VPN: Ağ Erişimi (VPN)>Ağ Erişim Listeleri'ne gidin.

  2. Oluştur'u belirleyin.

  3. VPN erişim listesi ve resim yazısı için contoso-VPN gibi bir ad sağlayın.

  4. Bitti'yi seçin.

    Genel Özellikler'deki ad girişinin ve İngilizce için Özelleştirme Ayarları'ndaki resim yazısı girişinin ekran görüntüsü.

  5. Üst şeritten Ağ Ayarları'nı seçin.

  6. Desteklenen IP sürümü için: IPV4.

  7. IPV4 Kira Havuzu için oluşturulan VPN havuzunu seçin, örneğin, Contoso_vpn_pool

    Genel Ayarlar'daki IPV4 Kira Havuzu girişinin ekran görüntüsü.

    Not

    İstemci trafiğinin yerleşik bir VPN'de nasıl yönlendirilmiş olduğuna ilişkin kısıtlamaları zorlamak için İstemci Ayarları seçeneklerini kullanın.

  8. Bitti'yi seçin.

  9. DNS/Konaklar sekmesine gidin.

  10. IPV4 Birincil Ad Sunucusu için: Ortamınız DNS IP

  11. DNS Varsayılan Etki Alanı Soneki için: Bu VPN bağlantısı için etki alanı son eki. Örneğin, contoso.com

    IPV4 Birincil Sunucu Adı ve DNS Varsayılan Etki Alanı Soneki girdilerinin ekran görüntüsü.

Not

Diğer ayarlar için Ağ Erişim Kaynaklarını Yapılandırma başlıklı F5 makalesine bakın.

VPN hizmetinin desteklemesi gereken VPN istemci türü ayarlarını yapılandırmak için BIR BIG-IP bağlantı profili gereklidir. Örneğin, Windows, OSX ve Android.

  1. Erişim>Bağlantısı/VPN>Bağlantı>Profilleri'ne gidin

  2. Ekle'yi seçin.

  3. Bir profil adı girin.

  4. Üst profili /Common/connectivity olarak ayarlayın, örneğin Contoso_VPN_Profile.

    Yeni Bağlantı Profili Oluştur'daki Profil Adı ve Üst Ad girdilerinin ekran görüntüsü.

Erişim profili yapılandırması

Erişim ilkesi, hizmeti SAML kimlik doğrulaması için etkinleştirir.

  1. Erişim>Profilleri/İlkeleri> Erişim Profilleri (Oturum başına İlkeler) bölümüne gidin.

  2. Oluştur'u belirleyin.

  3. Profil türü için bir profil adı ve girin.

  4. Tümü'ne (örneğin, Contoso_network_access) tıklayın.

  5. Ekranı aşağı kaydırın ve Kabul Edilen Diller listesine en az bir dil ekleyin

  6. Bitti'yi seçin.

    Yeni Profil'de Ad, Profil Türü ve Dil girdilerinin ekran görüntüsü.

  7. Yeni erişim profilinde, Oturum Başına İlke alanında Düzenle'yi seçin.

  8. Görsel ilkesi düzenleyicisi yeni bir sekmede açılır.

    Erişim Profilleri, ön yönetim ilkeleri'nin Düzenle seçeneğinin ekran görüntüsü.

  9. İşareti + seçin.

  10. Menüde Kimlik Doğrulaması SAML Kimlik Doğrulaması'nı> seçin.

  11. Öğe Ekle'yi seçin.

  12. SAML kimlik doğrulaması SP yapılandırmasında, oluşturduğunuz VPN SAML SP nesnesini seçin

  13. Kaydet'i seçin.

    Özellikler sekmesinde, SAML Kimlik Doğrulama SP'si altındaki AAA Sunucusu girişinin ekran görüntüsü.

  14. SAML kimlik doğrulamasının Başarılı dalı için öğesini seçin + .

  15. Atama sekmesinde Gelişmiş Kaynak Ataması'nı seçin.

  16. Öğe Ekle'yi seçin.

  17. Açılır pencerede Yeni Giriş'i seçin

  18. Ekle/Sil'i seçin.

  19. Pencerede Ağ Erişimi'ni seçin.

  20. Oluşturduğunuz Ağ Erişimi profilini seçin.

    Özellikler sekmesindeki Kaynak Ataması'nda Yeni giriş ekle düğmesinin ekran görüntüsü.

  21. Webtop sekmesine gidin.

  22. Oluşturduğunuz Webtop nesnesini ekleyin.

    Webtop sekmesinde oluşturulan webtopunun ekran görüntüsü.

  23. Güncelleştir'i seçin.

  24. Kaydet'i seçin.

  25. Başarılı dalını değiştirmek için, üstTeki Reddet kutusundaki bağlantıyı seçin.

  26. İzin ver etiketi görüntülenir.

  27. Save.

    Erişim İlkesi'nin Reddet seçeneğinin ekran görüntüsü.

  28. Erişim İlkesi Uygula'yı seçin

  29. Görsel ilke düzenleyicisi sekmesini kapatın.

    Erişim İlkesi Uygula seçeneğinin ekran görüntüsü.

VPN hizmetini yayımlama

APM, VPN'e bağlanan istemcileri dinlemek için bir ön uç sanal sunucusu gerektirir.

  1. Yerel Trafik>Sanal Sunucuları>Sanal Sunucu Listesi'ne tıklayın.

  2. Oluştur'u belirleyin.

  3. VPN sanal sunucusu için VPN_Listener gibi bir Ad girin.

  4. İstemci trafiğini almak için yönlendirmeli kullanılmayan bir IP Hedef Adresi seçin.

  5. Hizmet Bağlantı Noktası'nı 443 HTTPS olarak ayarlayın.

  6. Durum için Etkin'in seçili olduğundan emin olun.

    Genel Özellikler'de Ad ve Hedef Adresi veya Maske girdilerinin ekran görüntüsü.

  7. HTTP Profilini http olarak ayarlayın.

  8. Oluşturduğunuz genel SSL sertifikası için SSL Profilini (İstemci) ekleyin.

    İstemci için HTTP Profili girişinin ve istemci için SSL Profili'nin seçili girişlerinin ekran görüntüsü.

  9. Oluşturulan VPN nesnelerini kullanmak için Erişim İlkesi'nin altında Erişim Profili ve Bağlantı Profili'ni ayarlayın.

    Erişim İlkesi'nin Erişim Profili ve Bağlantı Profili girişlerinin ekran görüntüsü.

  10. Bitti'yi seçin.

SSL-VPN hizmetiniz, URL'si ile veya Microsoft uygulama portalları aracılığıyla SHA aracılığıyla yayımlanır ve erişilebilir.

Sonraki adımlar

  1. Uzak bir Windows istemcisinde bir tarayıcı açın.

  2. BIG-IP VPN hizmeti URL'sine göz atın.

  3. BIG-IP webtop portalı ve VPN başlatıcı görünür.

    Ağ erişim göstergesi içeren Contoso Ağ Portalı sayfasının ekran görüntüsü.

    Not

    BIG-IP Edge istemcisini yüklemek ve SHA için yapılandırılmış bir VPN bağlantısı kurmak için VPN kutucuğunu seçin. F5 VPN uygulaması, Microsoft Entra Koşullu Erişim'de hedef kaynak olarak görünür. Bkz. Microsoft Entra Id parolasız kimlik doğrulaması için kullanıcıları etkinleştirmek için Koşullu Erişim ilkeleri.

Kaynaklar