Jak skonfigurować logowanie jednokrotne przez SAML na serwerze QuWAN QBelt VPN z usługą Microsoft Entra ID jako dostawcą tożsamości?

1. Przejdź na stronę https://portal.azure.com.
2. Zaloguj się przy użyciu nazwy użytkownika i hasła do konta Microsoft.
3. Na banerze Microsoft Azure kliknij ikonę .
4. Kliknij pozycję All services (Wszystkie usługi).
5. Kliknij pozycję Microsoft Entra ID.
6. W lewym panelu w obszarze Manage (Zarządzaj) wybierz opcję Enterprise applications (Aplikacje korporacyjne).
7. Kliknij pozycję New application (Nowa aplikacja).
8. Kliknij pozycję Create your own application (Utwórz własną aplikację).
9. W obszarze What's the name of your app? (Jak nazywa się Twoja aplikacja?) podaj nazwę aplikacji.
   Uwaga

   Wpisz zrozumiałą, opisową nazwę niestandardowej aplikacji SAML, odpowiadającą nazwie usługi (np. „Serwer QuWAN QBelt VPN”).
10. Wybierz opcję Integrate any other application you don't find in the gallery (Non-gallery) (Zintegruj dowolną aplikację, której nie ma w galerii (spoza galerii)).
11. Kliknij opcję Create (Utwórz).

    Platforma Azure doda aplikację, po czym nastąpi przekierowanie do strony Overview (Przegląd) aplikacji.

12. Na panelu bocznym kliknij opcję Users and groups (Użytkownicy i grupy), aby przypisać określonych użytkowników i wskazane grupy na potrzeby autoryzacji dostępu do aplikacji.
    Aby uzyskać szczegółowe informacje, zobacz Zarządzanie przypisaniem użytkowników i grup do aplikacji.

Aby włączyć logowanie jednokrotne w usłudze Microsoft Entra ID (Azure ID), należy połączyć użytkowników Microsoft Entra ID z odpowiednimi grupami użytkowników logowania jednokrotnego SAML w usłudze QuWAN QBelt VPN.

1. Przejdź na stronę https://quwan.qnap.com.
2. Zaloguj się przy użyciu nazwy użytkownika i hasła do konta QNAP.
3. Wybierz organizację.
4. Wybierz kolejno Ustawienia serwera VPN > Ustawienia uprawnień.
5. Wybierz pozycję Logowanie jednokrotne SAML.
6. Kliknij pozycję Skonfiguruj logowanie jednokrotne SAML teraz.
7. Skopiuj identyfikator (ID jednostki) i adres URL odpowiedzi do schowka.
8. Otwórz witrynę Azure Portal.
9. Wybierz kolejno All services (Wszystkie usługi) > Manage (Zarządzaj) > Enterprise applications (Aplikacje korporacyjne).
10. Znajdź i otwórz aplikację korporacyjną na serwerze QuWAN QBelt VPN.
11. W sekcji Set up single sign on (Skonfiguruj logowanie jednokrotne) kliknij pozycję Get started (Rozpocznij).
12. Wybierz opcję SAML jako metodę logowania jednokrotnego.
13. Przejdź do kroku 1: Basic SAML Configuration (Podstawowa konfiguracja SAML).
14. Kliknij opcję Edit (Edytuj).
15. Wklej skopiowany identyfikator (ID jednostki) i adres URL odpowiedzi w odpowiednich polach.
16. Kliknij opcję Save (Zapisz).
17. Kliknij przycisk X, aby zamknąć okno konfiguracji funkcji SAML.
18. Przejdź do kroku 3: SAML Certificates (Certyfikaty SAML).
19. Obok opcji Certificate (Base64) (Certyfikat (Base64)), kliknij pozycję Download (Pobierz).
20. Przejdź do kroku 4: Set up [Application_Name] (Konfigurowanie aplikacji [Nazwa_aplikacji]).
21. Skopiuj adres URL logowania i identyfikator Microsoft Entra ID lub Azure AD do schowka.
22. Skonfiguruj atrybuty i roszczenia.
    1. Przejdź do kroku 2: Attributes & Claims (Atrybuty i roszczenia).
    2. Kliknij opcję Edit (Edytuj).
    3. Kliknij pozycję Add new claim (Dodaj nowe roszczenie).
    4. Określ nazwę roszczenia jako email.
    5. Obok opcji Source attribute (Atrybut źródłowy) wybierz atrybut odpowiadający roszczeniu email. Na przykład: user.mail.
    6. Kliknij opcję Save (Zapisz).
    7. Kliknij pozycję Add new claim (Dodaj nowe roszczenie).
    8. Określ nazwę roszczenia jako groups.
    9. Obok opcji Source attribute (Atrybut źródłowy) wybierz atrybut odpowiadający roszczeniu groups. Na przykład: user.department.
    10. Kliknij opcję Save (Zapisz).
        Uwaga

        • Aby powiązać grupę użytkowników usługi Logowanie jednokrotne SAML QuWAN z grupą, która została utworzona na platformie Microsoft Entra ID, kliknij pozycję Add group claim (Dodaj roszczenie grupy), wybierz opcję All groups (Wszystkie grupy), a następnie wybierz opcję Custom group claim name (Niestandardowa nazwa roszczenia grupy). Określ nazwę roszczenia jako groups.
        • Aby uzyskać szczegółowe informacje dotyczące modyfikowania roszczeń, zobacz artykuł Dostosowywanie roszczeń tokenu SAML.
23. Otwórz platformę QuWAN Orchestrator.
24. Wybierz organizację.
25. Wybierz kolejno Ustawienia serwera VPN > Ustawienia uprawnień.
26. Wybierz pozycję Logowanie jednokrotne SAML.
27. Kliknij pozycję Skonfiguruj logowanie jednokrotne SAML teraz.
28. Wklej adres URL logowania jednokrotnego i identyfikator dostawcy tożsamości.
29. Otwórz pobrany certyfikat Base64 w aplikacji tekstowej.
30. Skopiuj zawartość pliku certyfikatu.
31. Wklej zawartość w polu Certyfikat (format Base64).
32. Kliknij opcję Zapisz.
33. Dodaj nową grupę użytkowników usługi Logowanie jednokrotne SAML.
    1. Na platformie QuWAN Orchestrator wybierz kolejno Ustawienia serwera VPN > Ustawienia uprawnień > Logowanie jednokrotne SAML.
    2. Obok opcji Reguły użytkowników usługi Logowanie jednokrotne SAML kliknij pozycję Dodaj.
    3. Uaktywnij regułę użytkowników.
    4. Skonfiguruj ustawienia reguł użytkowników.

       Ustawienie	Działanie użytkownika
       Nazwa reguły	Podaj nazwę reguły użytkowników usługi Logowanie jednokrotne SAML.
       Wartość atrybutu	Wartość odpowiadająca atrybutowi źródłowemu skonfigurowanemu w roszczeniach grupy Microsoft Entra ID. Uwaga Jeśli skonfigurowano atrybut user.department w sekcji "Attributes and Claims (Atrybuty i roszczenia)" w witrynie Microsoft Azure Portal, należy wprowadzić nazwę działu organizacji jako wartość atrybutu. Wartość atrybutu źródłowego można uzyskać w aplikacji serwera QuWAN QBelt VPN w portalu Microsoft Azure. Na przykład: wybierz profil użytkownika, wybierz pozycję Overview (Przegląd), a następnie kliknij opcję Properties (Właściwości). Znajdź wartość powiązaną z polem Department (Dział) i skopiuj ją. W przypadku wybrania opcji "Add Group Claim (Dodaj roszczenie grupy)" należy skopiować "Object ID (Identyfikator obiektu)". Na przykład: wybierz profil grupy, przejdź do obszaru "Overview (Przegląd)", a następnie skopiuj wartość "Object ID (Identyfikator obiektu)". Wybierz opcję Reguła obowiązująca u wszystkich użytkowników, aby zastosować wartość atrybutu do wszystkich użytkowników.
       Segment	Wybierz wstępnie skonfigurowany segment.
       Dostępne huby	Wybierz co najmniej jeden hub, z którym zostanie nawiązane połączenie.

    5. Opcjonalnie: Włącz opcję Zezwalaj na jednoczesne połączenia wielu urządzeń.
    6. Kliknij opcję Zapisz.
34. Kliknij przycisk Zastosuj.

Platforma QuWAN Orchestrator zapisze ustawienia usługi Logowanie jednokrotne SAML.

Po skonfigurowaniu logowania jednokrotnego SAML QuWAN nawiąż połączenie z serwerem VPN QuWAN QBelt za pośrednictwem aplikacji QVPN Client.

1. Przejdź do obszaru Narzędzia QNAP.
2. Znajdź aplikację QVPN Client (wcześniej nazywaną Klient urządzenia QVPN).
3. Pobierz narzędzie na urządzenie.
4. Zainstaluj narzędzie na urządzeniu.
5. Otwórz aplikację QVPN Client.
6. Kliknij opcję Dodaj Profil QuWAN.
7. Podaj identyfikator organizacji.
   Uwaga

   Identyfikator organizacji można znaleźć na platformie QuWAN Orchestrator. Wybierz kolejno Ustawienia serwera VPN > Ustawienia uprawnień > Logowanie jednokrotne SAML.
8. Kliknij opcję Dalej.
   Zostanie wyświetlona strona Ustawienia uwierzytelniania.
9. Wybierz pozycję Logowanie jednokrotne SAML jako usługę.
10. Kliknij opcję Dalej.
    Po otwarciu domyślnej przeglądarki w aplikacji QVPN Client zostanie wyświetlony monit o wprowadzenie poświadczeń do usługi Microsoft Entra ID (Azure AD).
11. Kliknij przycisk OK.
12. Wprowadź poświadczenia i zaloguj się w usłudze Microsoft Entra ID.
13. Zamknij przeglądarkę i wróć do aplikacji QVPN Client.
14. Skonfiguruj ustawienia profilu.
    1. Określ nazwę profilu.
    2. Z menu rozwijanego wybierz hub regionalny.
       Możesz zezwolić na automatyczny wybór hubu przez system lub ręcznie wybrać odpowiedni hub i określić port WAN, z którym chcesz nawiązać połączenie.
    3. Opcjonalnie: Wybierz opcję Połącz niezwłocznie po zapisaniu, jeśli chcesz nawiązać połączenie z profilem QuWAN od razu po zastosowaniu ustawień.
15. Znajdź profil QuWAN w aplikacji QVPN Client, a następnie kliknij opcję Połącz.
    Aplikacja QVPN Client otworzy domyślną przeglądarkę systemową w celu uwierzytelnienia użytkownika.
16. Wprowadź poświadczenia do usługi Microsoft Entra ID i zaloguj się.
    Po zalogowaniu się w usłudze Microsoft Entra możesz zamknąć przeglądarkę i wrócić do aplikacji QVPN Client.

Aplikacja QVPN Client połączy się z serwerem QuWAN QBelt VPN za pomocą logowania jednokrotnego w usłudze Microsoft Entra ID.