Wiedza Jak skonfigurować jednokrotne logowanie oparte na SAML dla serwera VPN QuWAN QBelt z Microsoft Entra ID jako dostawcą tożsamości?

Produkty, których dotyczy artykuł

  • QuWAN Orchestrator
  • QVPN Client
  • Microsoft Entra ID

Szczegóły​


QuWAN Orchestrator umożliwia korzystanie z logowania jednokrotnego (SSO) opartego na protokole Security Assertion Markup Language (SAML) w celu wymiany danych uwierzytelniania i autoryzacji z dostawcą tożsamości (IdP), na przykład Microsoft Entra ID (Microsoft Azure AD). Dzięki tej funkcji użytkownicy mogą korzystać z tych samych poświadczeń SAML IdP, aby uzyskiwać dostęp do różnych usług obsługujących uwierzytelnianie SAML. Eliminuje to konieczność dodawania nowych poświadczeń dla każdej indywidualnej aplikacji i usługi.

uwaga
Firma Microsoft zmieniła nazwę Azure Active Directory (AD) na Microsoft Entra ID. Aby uzyskać szczegółowe informacje, zobacz New name for Azure Active Directory.


Procedura​


  1. Przejdź do Microsoft Azure.
  2. Zaloguj się, używając nazwy użytkownika i hasła Microsoft.
  3. Na pasku nawigacyjnym Microsoft Azure kliknij
    2290bacd49246f64dac82bb143d2d1d3.jpg

    .
  4. Kliknij All services.
  5. Kliknij Microsoft Entra ID.
  6. W lewym panelu, w sekcji Manage, wybierz Enterprise applications.
  7. Kliknij New application.
  8. Kliknij Create your own application.
  9. W polu What's the name of your app? podaj nazwę swojej aplikacji.
    28784133aa953312b021bad2a45c3631.jpg


    uwaga
    Użyj jasnej, opisowej nazwy dla niestandardowej aplikacji SAML, takiej jak sama nazwa usługi (np. „QuWAN QBelt VPN Server").
  10. Wybierz Integrate any other application you don't find in the gallery (Non-gallery).
  11. Kliknij Create.
    Azure dodaje aplikację i przekierowuje do strony Overview aplikacji.
    024968c6cbec25cef55bfb82301cc816.jpg
  12. W panelu bocznym kliknij Users and groups, aby przypisać określonych użytkowników i grupy do autoryzacji dostępu do aplikacji.
    Szczegółowe informacje zawiera sekcja Manage users and groups assignment to an application.

Aby włączyć SSO Microsoft Entra ID (Azure ID), należy utworzyć powiązanie między użytkownikami Microsoft Entra ID a odpowiadającymi im grupami użytkowników SAML SSO QuWAN QBelt VPN.

  1. Przejdź do QuWAN Orchestrator.
  2. Zaloguj się, używając nazwy użytkownika i hasła konta QNAP.
  3. Wybierz swoją organizację.
  4. Przejdź do VPN Server Settings > Privilege Settings.
  5. Przejdź do SAML SSO.
  6. Kliknij Configure SAML SSO Now.
  7. Skopiuj Identifier (Entity ID) oraz Reply URL do schowka.
    2b5cf23ec8475900b71837689dac0523.jpg
  8. Otwórz portal Azure.
  9. Przejdź do All services > Manage > Enterprise applications.
  10. Znajdź i otwórz aplikację korporacyjną QuWAN QBelt VPN Server.
  11. W sekcji Set up single sign on kliknij Get started.
  12. Wybierz metodę logowania jednokrotnego SAML.
  13. Znajdź krok 1, Basic SAML Configuration.
  14. Kliknij Edit.
  15. Wklej skopiowany Identifier (Entity ID) oraz Reply URL w odpowiednie pola.
    5d1770d2f0c8b496598c9394bc649a63.jpg
  16. Kliknij Save.
  17. Kliknij X, aby zamknąć okno konfiguracji SAML.
  18. Znajdź krok 3, SAML Certificates.
  19. Obok Certificate (Base64), kliknij Download.
    ce1da459f0b4b1c6baa30eed1771af2e.jpg
  20. Znajdź krok 4, Set up[Application_Name].
  21. Skopiuj Login URL oraz Microsoft Entra ID lub Azure AD Identifier do schowka.
    136534deefcf294778cc330f9996cdc4.jpg
  22. Skonfiguruj atrybuty i oświadczenia.
    1. Znajdź krok 2, Attributes & Claims.
    2. Kliknij Edit.
      8158bdb53006f90d92e09fd0bae2141c.jpg
    3. Kliknij Add new claim.
    4. Podaj nazwę oświadczenia jako email.
    5. Obok Source attribute wybierz atrybut odpowiadający oświadczeniu email. Na przykład wybierz user.mail.
      37f2ca618d59fc41044c87cff714cc43.jpg
    6. Kliknij Save.
    7. Kliknij Add new claim.
    8. Podaj nazwę oświadczenia jako groups.
    9. Obok Source attribute wybierz atrybut odpowiadający oświadczeniu groups. Na przykład wybierz user.department.
    10. Kliknij Save.
      uwaga
      • Aby powiązać grupę użytkowników SAML SSO QuWAN z grupą już utworzoną w Microsoft Entra ID, kliknij Add group claim, wybierz All groups, a następnie wybierz Custom group claim name. Wprowadź nazwę oświadczenia jako groups.
      • Szczegółowe informacje na temat modyfikowania oświadczeń zawiera sekcja Customize SAML token claims.
  23. Otwórz QuWAN Orchestrator.
  24. Wybierz swoją organizację.
  25. Przejdź do VPN Server Settings > Privilege Settings.
  26. Przejdź do SAML SSO.
  27. Kliknij Configure SAML SSO Now.
  28. Wklej adres URL logowania jednokrotnego oraz identyfikator IdP.
  29. Otwórz pobrany certyfikat Base64 za pomocą aplikacji tekstowej.
  30. Skopiuj zawartość pliku certyfikatu.
    16877eb74334b3a7c5a8cf4a2f3d2a24.jpg
  31. Wklej zawartość w polu Certificate (Base64 format).
  32. Kliknij Save.
  33. Dodaj nową grupę użytkowników SAML SSO.
    1. W QuWAN Orchestrator przejdź do VPN Server Settings > Privilege Settings > SAML SSO.
    2. Obok SAML SSO User Rules kliknij Add.
    3. Włącz regułę użytkownika.
      47f4c06106e6ddc13135972c942918f1.png
    4. Skonfiguruj ustawienia reguły użytkownika.
      UstawienieDziałanie użytkownika
      Nazwa regułyPodaj nazwę reguły użytkownika SAML SSO.
      Wartość atrybutuWartość odpowiadająca atrybutowi źródłowemu skonfigurowanemu w oświadczeniach grupy Microsoft Entra ID.
      uwaga
      • Jeśli w sekcji Attributes and Claims w portalu Microsoft Azure skonfigurowano atrybut user.department, wprowadź nazwę działu swojej organizacji jako wartość atrybutu.
      • Wartość atrybutu źródłowego można pobrać z aplikacji QuWAN QBelt VPN Server w portalu Microsoft Azure. Na przykład wybierz profil użytkownika, przejdź do Overview, a następnie kliknij Properties. Zidentyfikuj wartość powiązaną z polem Department i skopiuj ją.
        Jeśli wybierzesz Add Group Claim, musisz skopiować Object ID. Na przykład wybierz profil grupy, przejdź do Overview, a następnie skopiuj wartość Object ID.
      • Wybierz Rule for all users, aby zastosować wartość atrybutu do wszystkich użytkowników.
      SegmentWybierz wstępnie skonfigurowany segment.
      Dostępne hubyWybierz jeden lub więcej hubów, z którymi chcesz się połączyć.
    5. Opcjonalnie: Włącz Allow concurrent multidevice connections.
    6. Kliknij Save.
  34. Kliknij Apply.

QuWAN Orchestrator zapisuje ustawienia SAML SSO.

Po pomyślnym skonfigurowaniu QuWAN SAML SSO nawiąż połączenie z QuWAN QBelt VPN za pośrednictwem klienta QVPN.

  1. Przejdź do QNAP Utilities.
  2. Znajdź QVPN Client (dawniej QVPN Device Client).
  3. Pobierz narzędzie na swoje urządzenie.
  4. Zainstaluj narzędzie na urządzeniu.
  5. Otwórz QVPN Client.
  6. Kliknij Dodaj profil QuWAN.
  7. Podaj identyfikator organizacji.
    uwaga
    Identyfikator organizacji można znaleźć w QuWAN Orchestrator. Przejdź do Ustawienia serwera VPN > Ustawienia uprawnień > SAML SSO.
  8. Kliknij Dalej.
    Zostanie wyświetlona strona Ustawienia uwierzytelniania.
  9. Wybierz SAML SSO jako usługę.
  10. Kliknij Dalej.
    QVPN Client wyświetli monit o wprowadzenie poświadczeń Microsoft Entra ID (Azure AD) po otwarciu domyślnej przeglądarki.
  11. Kliknij OK.
  12. Wprowadź poświadczenia Microsoft Entra ID i zaloguj się.
  13. Zamknij przeglądarkę i wróć do QVPN Client.
  14. Skonfiguruj ustawienia profilu.
    1. Podaj nazwę profilu.
    2. Wybierz regionalny hub z menu rozwijanego.
      Możesz pozwolić systemowi automatycznie wybrać optymalny hub odpowiadający Twoim potrzebom lub ręcznie wybrać konkretny hub i wskazać port WAN, z którym chcesz się połączyć.
    3. Opcjonalnie: Zaznacz Połącz natychmiast po zapisaniu, jeśli chcesz połączyć się z profilem QuWAN bezpośrednio po zastosowaniu ustawień.
  15. Znajdź profil QuWAN w QVPN Client, a następnie kliknij Połącz.
    QVPN Client otwiera domyślną przeglądarkę systemową w celu uwierzytelnienia użytkownika.
  16. Wprowadź poświadczenia Microsoft Entra ID i zaloguj się.
    Po zalogowaniu do Microsoft Entra możesz zamknąć przeglądarkę i wrócić do QVPN Client.

QVPN Client łączy się z serwerem QuWAN QBelt VPN przy użyciu logowania jednokrotnego Microsoft Entra ID.

Dodatkowe informacje​


Aby uzyskać szczegółowe informacje na temat funkcji Microsoft Entra ID, odwiedź następujące strony internetowe.

 
Kliknij, aby rozwinąć...
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.
Początek strony Dół
Z powrotem