¿Cómo se configura el inicio de sesión único basado en SAML para el servidor QuWAN QBelt VPN con Microsoft Entra ID como proveedor de identidad?

1. Vaya a https://portal.azure.com.
2. Inicie sesión usando su nombre de usuario y contraseña de Microsoft.
3. En el banner de Microsoft Azure, haga clic en .
4. Haga clic en All services (Todos los servicios).
5. Haga clic en Microsoft Entra ID.
6. En el panel de la izquierda, debajo de Manage (Administrar), seleccione Enterprise applications (Aplicaciones empresariales).
7. Haga clic en New application (Nueva aplicación).
8. Haga clic en Create your own application (Crear su propia aplicación).
9. En What's the name of your app? (¿Cuál es el nombre de su aplicación?), especifique un nombre para su aplicación.
   Nota

   Utilice un nombre descriptivo claro para su aplicación personalizada de SAML, como el propio nombre del servicio (p. ej., "Servidor QuWAN QBelt VPN").
10. Seleccione Integrate any other application you don't find in the gallery (Non-gallery) (Integrar cualquier otra aplicación que no aparezca en la galería (de fuera de la galería)).
11. Haga clic en Create (Crear).

    Azure añadirá la aplicación y le redirigirá a la página Overview (Información general) de la aplicación.

12. En el panel lateral, haga clic en Users and groups (Usuarios y grupos) para asignar usuarios y grupos específicos a los que autorizar el acceso a la aplicación.
    Para obtener más información, consulte:Administrar la asignación de usuarios y grupos a una aplicación.

Para habilitar el SSO de Microsoft Entra ID (Azure ID), debe crear un vínculo entre los usuarios de Microsoft Entra ID y sus correspondientes grupos de usuarios de SSO de SAML de QuWAN QBelt VPN.

1. Vaya a https://quwan.qnap.com.
2. Inicie sesión usando el nombre de usuario y la contraseña de su cuenta de QNAP.
3. Seleccione su organización.
4. Vaya a Configuración de servidor VPN > Configuración de privilegios.
5. Vaya a SSO de SAML.
6. Haga clic en Configurar SSO de SAML ahora.
7. Copie en el portapapeles el identificador (ID de entidad) y el URL de respuesta.
8. Abra el portal de Azure.
9. Vaya a All services (Todos los servicios) > Manage (Administrar) > Enterprise applications (Aplicaciones empresariales).
10. Localice y abra la aplicación empresarial del servidor QuWAN QBelt VPN.
11. En Set up single sign on (Configurar inicio de sesión único), haga clic en Get started (Empezar).
12. Seleccione SAML como método de inicio de sesión único.
13. Localice el paso 1, Basic SAML Configuration (Configuración SAML básica).
14. Haga clic en Edit (Editar).
15. Pegue en sus campos respectivos el identificador (ID de entidad) y el URL de respuesta copiados.
16. Haga clic en Save (Guardar).
17. Haga clic en X para cerrar la ventana de configuración de SAML.
18. Localice el paso 3, SAML Certificates (Certificados SAML).
19. Junto a Certificate (Base64) (Certificado (Base64)), haga clic en Download (Descargar).
20. Localice el paso 4, Set up [Application_Name] (Configurar [Nombre_aplicación]).
21. Copie en el portapapeles el URL de inicio de sesión y el Microsoft Entra ID o Azure AD Identifier.
22. Configure los atributos y reclamos.
    1. Localice el paso 2, Attributes & Claims (Atributos y reclamos).
    2. Haga clic en Edit (Editar).
    3. Haga clic en Add new claim (Añadir nuevo reclamo).
    4. Especifique el nombre del reclamo como email.
    5. Junto a Source attribute (Source attribute), seleccione un atributo que se corresponda con el reclamo email. Por ejemplo, seleccione user.mail.
    6. Haga clic en Save (Guardar).
    7. Haga clic en Add new claim (Añadir nuevo reclamo).
    8. Especifique el nombre del reclamo como groups.
    9. Junto a Source attribute (Source attribute), seleccione un atributo que se corresponda con el reclamo groups. Por ejemplo, seleccione user.department.
    10. Haga clic en Save (Guardar).
        Nota

        • Para hacer corresponder el grupo de usuarios de SSO de SAML de QuWAN con un grupo ya creado en Microsoft Entra ID, haga clic en Add group claim (Añadir reclamo de grupo), seleccione All groups (Todos los grupos) y luego seleccione Custom group claim name (Nombre de reclamo de grupo personalizado). Introduzca el nombre del reclamo como groups.
        • Para obtener más información sobre la modificación de reclamos, consulte Personalización de las notificaciones de token de SAML.
23. Abra QuWAN Orchestrator.
24. Seleccione su organización.
25. Vaya a Configuración de servidor VPN > Configuración de privilegios.
26. Vaya a SSO de SAML.
27. Haga clic en Configurar SSO de SAML ahora.
28. Pegue el URL de inicio de sesión único y el identificador IdP.
29. Abra el certificado Base64 de descarga con una aplicación de texto.
30. Copie el contenido del archivo de certificado.
31. Pegue el contenido en el campo Certificado (formato Base64).
32. Haga clic en Guardar.
33. Añada un nuevo grupo de usuarios de SSO de SAML.
    1. En QuWAN Orchestrator, vaya a Configuración de servidor VPN > Configuración de privilegios > SSO de SAML.
    2. Junto a Reglas de usuarios SSO de SAML, haga clic en Añadir.
    3. Habilite la regla de usuarios.
    4. Establezca la configuración de la regla de usuarios.

       Configuración	Acción del usuario
       Nombre de la regla	Especifique un nombre para la regla de usuarios SSO de SAML.
       Valor de atributo	El valor se corresponde con el atributo de origen configurado en los reclamos de grupo de Microsoft Entra ID. Nota Si ha configurado el atributo user.department en "Attributes and Claims (Atributos y reclamos)" en el portal de Microsoft Azure, introduzca el nombre del departamento de su organización como valor del atributo. El valor del atributo de origen se puede recuperar desde la aplicación Servidor QuWAN QBelt VPN dentro del portal de Microsoft Azure. Por ejemplo, seleccione su perfil de usuario, vaya a Overview (Información general) y luego haga clic en Properties (Propiedades). Identifique el valor asociado con el campo Department (Departamento) y copie el valor. Si elige "Add Group Claim (Añadir reclamo de grupo)", debe copiar el "Object ID (ID de objeto)". Por ejemplo, seleccione su perfil de grupo, vaya a "Overview (Información general)" y luego copie el valor de "Object ID (ID de objeto)". Seleccione Regla para todos los usuarios para aplicar el valor del atributo a todos los usuarios.
       Segmento	Seleccione un segmento preconfigurado.
       Hubs accesibles	Seleccione uno o varios hubs para conectarse.

    5. Opcional: Habilite Permitir conexiones multidispositivo simultáneas.
    6. Haga clic en Guardar.
34. Haga clic en Aplicar.

QuWAN Orchestrator guardará la configuración de SSO de SAML.

Después de configurar correctamente el SSO de SAML de QuWAN, establezca una conexión con QuWAN QBelt VPN a través de QVPN Client.

1. Vaya a Utilidades de QNAP.
2. Localice QVPN Client (anteriormente denominado Cliente de dispositivos de QVPN).
3. Descargue la utilidad en su dispositivo.
4. Instale la utilidad en el dispositivo.
5. Abra QVPN Client.
6. Haga clic en Añadir un perfil de QuWAN.
7. Especifique el ID de la organización.
   Nota

   Encontrará el ID de la organización en QuWAN Orchestrator. Vaya a Configuración de servidor VPN > Configuración de privilegios > SSO de SAML.
8. Haga clic en Siguiente.
   Aparecerá la ventana Configuración de autenticación.
9. Seleccione SSO de SAML como servicio.
10. Haga clic en Siguiente.
    QVPN Client le solicitará que introduzca las credenciales de Microsoft Entra ID (Azure AD) una vez que abra el navegador predeterminado.
11. Haga clic en Aceptar.
12. Introduzca sus credenciales de Microsoft Entra ID e inicie sesión.
13. Cierre el navegador y regrese a QVPN Client.
14. Establezca la configuración del perfil.
    1. Especifique un nombre de perfil.
    2. Seleccione un hub regional desde el menú desplegable.
       Puede dejar que el sistema seleccione automáticamente el hub óptimo para sus necesidades o bien elegir un hub específico y especificar el puerto WAN al que desee conectarse.
    3. Opcional: Seleccione Conectar inmediatamente después de guardar si desea conectarse al perfil de QuWAN inmediatamente después de aplicar la configuración.
15. Localice el perfil de QuWAN en QVPN Client y luego haga clic en Conectar.
    QVPN Client abrirá el navegador predeterminado del sistema para la autenticación del usuario.
16. Introduzca sus credenciales de Microsoft Entra ID e inicie sesión.
    Puede cerrar el navegador después de iniciar sesión en Microsoft Entra y volver a QVPN Client.

QVPN Client se conectará con el servidor QuWAN QBelt VPN utilizando SSO de Microsoft Entra ID.