Comment configurer l'authentification unique basée sur SAML pour le serveur VPN QuWAN QBelt avec Microsoft Entra ID comme fournisseur d'identité ?

1. Allez dans https://portal.azure.com.
2. Connectez-vous à l'aide de votre nom d'utilisateur Microsoft et de votre mot de passe.
3. Sur la bannière Microsoft Azure, cliquez sur .
4. Cliquez sur All services (Tous les services).
5. Cliquez sur Microsoft Entra ID.
6. Dans le panneau de gauche, sous Manage (Gérer), sélectionnez Enterprise applications (Applications d'entreprise).
7. Cliquez sur New application (Nouvelle application).
8. Cliquez sur Create your own application (Créer votre propre application).
9. Sous What's the name of your app? (Quel est le nom de votre application ?), spécifiez un nom pour votre application.
   Remarque

   Utilisez un nom clair et descriptif pour votre application SAML personnalisée, comme le nom du service lui-même (par exemple, « Serveur VPN QuWAN QBelt »).
10. Sélectionnez Integrate any other application you don't find in the gallery (Non-gallery) (Intégrez toute autre application que vous ne trouvez pas dans la galerie (hors galerie)).
11. Cliquez sur Create (Créer).

    Azure ajoute l'application et vous redirige vers la page de l'application Overview (Vue d'ensemble).

12. Sur le panneau latéral, cliquez sur Users and groups (Utilisateurs et groupes), pour attribuer des utilisateurs et des groupes spécifiques pour autoriser l'accès à l'application.
    Pour plus de détails, voir Gérer l'affectation des utilisateurs et des groupes à une application.

Pour activer l'authentification unique Microsoft Entra ID (Azure ID), vous devez créer un lien entre les utilisateurs Microsoft Entra ID et leurs groupes d'utilisateurs QuWAN QBelt VPN SAML SSO correspondants.

1. Accédez à https://quwan.qnap.com.
2. Connectez-vous en utilisant le nom d'utilisateur et le mot de passe de votre compte QNAP.
3. Sélectionnez votre organisation.
4. Allez dans Paramètres du serveur VPN > Paramètres des privilèges.
5. Allez dans Authentification unique SAML.
6. Cliquez sur Configurer l'authentification unique SAML maintenant.
7. Copiez l'identifiant (ID d'entité) et l'URL de réponse dans le presse-papiers.
8. Ouvrez le portail Azure.
9. Allez dans All services (Tous les services) > Manage (Gérer) > Enterprise applications (Applications d'entreprise).
10. Localisez et ouvrez l'application d'entreprise du serveur VPN QuWAN QBelt.
11. Sous Set up single sign on (Configurer l'authentification unique), cliquez sur Get started (Premiers pas).
12. Sélectionnez SAML comme méthode d'authentification unique.
13. Localisez l'étape 1, Basic SAML Configuration (Configuration SAML de base).
14. Cliquez sur Edit (Modifier).
15. Collez l'identifiant (ID d'entité) et l'URL de réponse copiés dans leurs champs respectifs.
16. Cliquez sur Save (Enregistrer).
17. Cliquez sur X pour fermer la fenêtre de configuration SAML.
18. Localisez l'étape 3, SAML Certificates (Certificats SAML).
19. Près de Certificate (Base64) (Certificat (Base64)), cliquez sur Download (Télécharger).
20. Localisez l'étape 4, Set up [Application_Name] (Configurer [Application_Name]).
21. Copiez l'URL de connexion et Microsoft Entra ID ou l'identifiant Azure AD dans le presse-papiers.
22. Configurez les attributs et les revendications.
    1. Localisez l'étape 2, Attributes & Claims (Attributs et revendications).
    2. Cliquez sur Edit (Modifier).
    3. Cliquez sur Add new claim (Ajouter une nouvelle revendication).
    4. Spécifiez le nom de la revendication comme étant email.
    5. Près de Source attribute (Attribut source), sélectionnez un attribut correspondant à la revendication email. Par exemple, sélectionnez user.mail.
    6. Cliquez sur Save (Enregistrer).
    7. Cliquez sur Add new claim (Ajouter une nouvelle revendication).
    8. Spécifiez le nom de la revendication comme étant groups.
    9. Près de Source attribute (Attribut source), sélectionnez un attribut correspondant à la revendication de groups. Par exemple, sélectionnez user.department.
    10. Cliquez sur Save (Enregistrer).
        Remarque

        • Pour faire correspondre le groupe d'utilisateurs d'authentification unique SAML de QuWAN avec un groupe déjà créé dans Microsoft Entra ID, cliquez sur Add group claim (Ajouter une revendication de groupe), sélectionnez All groups (Tous les groupes), et sélectionnez Custom group claim name (Nom de revendication de groupe personnalisé). Entrez le nom de la revendication groups.
        • Pour plus de détails sur la modification des revendications, voir Personnaliser les revendications de jeton SAML.
23. Ouvrez QuWAN Orchestrator.
24. Sélectionnez votre organisation.
25. Allez dans Paramètres du serveur VPN > Paramètres des privilèges.
26. Allez dans Authentification unique SAML.
27. Cliquez sur Configurer l'authentification unique SAML maintenant.
28. Collez l'URL d'authentification unique et l'identifiant IdP.
29. Ouvrez le certificat de téléchargement Base64 à l'aide d'une application texte.
30. Copiez le contenu du fichier de certificat.
31. Collez le contenu dans le champ Certificat (format Base64).
32. Cliquez sur Enregistrer.
33. Ajoutez un nouveau groupe d'utilisateurs d'Authentification unique SAML.
    1. Dans QuWAN Orchestrator, accédez à Paramètres du serveur VPN > Paramètres des privilèges > Authentification unique SAML.
    2. Près de Règles d'utilisation de l'authentification unique SAML, cliquez sur Ajouter.
    3. Activez la règle utilisateur.
    4. Configurez les paramètres du groupe d'utilisateurs.

       Paramètre	Action utilisateur
       Nom de la règle	Spécifiez un nom pour la règle utilisateur d'authentification unique SAML.
       Valeur de l'attribut	La valeur correspondant à l'attribut source configuré dans les revendications de groupe de Microsoft Entra ID. Remarque Si vous avez configuré l'attribut user.department dans "Attributes and Claims (Attributs et revendications)" sur le portail Microsoft Azure, entrez le nom du département de votre organisation comme valeur de l'attribut. La valeur de l'attribut source peut être récupérée à partir de l'application serveur VPN QuWAN QBelt dans le portail Microsoft Azure. Par exemple, sélectionnez votre profil utilisateur, allez sur Overview (Vue d'ensemble), puis cliquez sur Properties (Propriétés). Identifiez la valeur associée au champ Department (Département) et copiez la valeur. Si vous choisissez "Add group claim (Ajouter une revendication de groupe)", vous devez copier l'"Object ID (ID d'objet)". Par exemple, sélectionnez votre profil de groupe, accédez à "Overview (Vue d'ensemble)", puis copiez la valeur "Object ID (ID d'objet)". Sélectionnez Règle pour tous les utilisateurs pour appliquer la valeur d'attribut à tous les utilisateurs.
       Segment	Sélectionnez un segment préconfiguré.
       Hubs accessibles	Sélectionnez un ou plusieurs hubs auxquels vous connecter.

    5. Facultatif : Activer Autoriser les connexions multi-appareils concomitantes.
    6. Cliquez sur Enregistrer.
34. Cliquez sur Appliquer.

QuWAN Orchestrator enregistre les paramètres d'Authentification unique SAML.

Après avoir configuré avec succès l'authentification unique SAML de QuWAN, établissez une connexion au VPN QuWAN QBelt via QVPN Client.

1. Allez dans Utilitaires QNAP.
2. Localisez QVPN Client (anciennement nommé Client d'appareil QVPN).
3. Téléchargez l'utilitaire sur votre appareil.
4. Installez l'utilitaire sur l'appareil.
5. Ouvrez QVPN Client.
6. Cliquez sur Ajouter un profil QuWAN.
7. Spécifiez l'ID d'organisation.
   Remarque

   Vous pouvez trouver l'ID de l'organisation dans QuWAN Orchestrator. Accédez à Paramètres du serveur VPN > Paramètres des privilèges > Authentification unique SAML.
8. Cliquez sur Suivant.
   La page Paramètres d'authentification apparaît.
9. Sélectionnez Authentification unique SAML comme service.
10. Cliquez sur Suivant.
    QVPN Client vous invite à saisir les informations d'identification Microsoft Entra ID (Azure AD) une fois qu'il ouvre le navigateur par défaut.
11. Cliquez sur OK.
12. Entrez vos informations d'identification Microsoft Entra ID et connectez-vous.
13. Fermez le navigateur et revenez à QVPN Client.
14. Configurez les paramètres de profil.
    1. Spécifiez un nom de profil.
    2. Sélectionnez un hub régional dans le menu déroulant.
       Vous pouvez soit laisser le système sélectionner automatiquement le hub optimal pour vos besoins, soit choisir manuellement un hub spécifique et spécifier le port WAN auquel vous souhaitez vous connecter.
    3. Facultatif : Sélectionnez Se connecter immédiatement après l'enregistrement si vous souhaitez vous connecter au profil QuWAN immédiatement après avoir appliqué les paramètres.
15. Localisez le profil QuWAN dans QVPN Client, puis cliquez sur Se connecter.
    QVPN Client ouvre le navigateur système par défaut pour l'authentification des utilisateurs.
16. Entrez vos informations d'identification Microsoft Entra ID et connectez-vous.
    Vous pouvez fermer le navigateur après vous être connecté à Microsoft Entra et revenir à QVPN Client.

QVPN Client se connecte au serveur VPN QuWAN QBelt à l'aide de Microsoft Entra ID SSO.