如何為 QuWAN QBelt VPN 伺服器設定 SAML 型單一登入,並使用 Google Workspace 管理員做為身分識別提供者?
最後修訂日期:
2024-01-25
適用產品
- QuWAN Orchestrator
- QVPN Client
- Google Workspace 管理員
詳細資訊
QuWAN Orchestrator 支援使用 Security Assertion Markup Language (SAML) 型單一登入 (SSO) 與身分提供者 (IdP)(例如 Google Workspace 管理員)交換驗證和授權資料。透過這個功能,使用者可以利用相同的 SAML IdP 認證來存取支援 SAML 驗證的各種服務。如此一來,無需新增認證即可使用每個不同的應用程式和服務。
重要事項
若要登入 Google 管理員帳戶,您必須擁有有效的 Google Workspace 或 Cloud Identity 帳戶。這些帳戶為您提供管理貴組織的 Google 服務所需的權限。
程序
1.使用 Google Workspace 管理員帳戶為 QuWAN QBelt VPN 伺服器建立自訂 SAML 型單一登入
- 前往 https://admin.google.com。
- 使用您的 Google Workspace 使用者名稱和密碼登入。
系統會顯示管理控制台。 - 按一下
。 - 按一下[應用程式]。
- 按一下[網頁和行動應用程式]。
- 按一下[新增應用程式],然後按一下[新增自訂 SAML 應用程式]。
- 指定應用程式名稱和描述。備註為您的自訂 SAML 應用程式取一個清楚明確的描述性名稱,像是服務名稱本身(例如「QuWAN QBelt VPN 伺服器」)。
- 選擇性步驟:上傳您的應用程式的圖示。
- 按一下[繼續]。
將顯示[Google 識別資訊提供者詳細資料]頁面。 - 將 SSO URL、實體 ID 和憑證複製到剪貼簿。
- 按一下[繼續]。重要事項執行此步驟後,請勿關閉 Google Workspace 管理控制台視窗。請繼續在 QuWAN Orchestrator 中編輯 SAML SSO 設定,然後返回 Google Workspace 管理控制台以完成自訂 SAML 應用程式的建立作業。
2.在 QuWAN Orchestrator 和 Google Workspace 管理控制台中編輯 QuWAN QBelt VPN 伺服器設定
若要啟用 Google Workspace 管理員 SAML SSO,您必須在 Google Workspace 管理員使用者及其對應的 QuWAN QBelt VPN SAML SSO 使用者群組之間建立連結。
- 在 QuWAN Orchestrator 中進行 SAML SSO 設定。
- 前往 https://quwan.qnap.com。
- 使用您的 QNAP 帳戶使用者名稱和密碼登入。
- 選取組織。
- 前往[VPN 伺服器設定]>[權限設定]。
- 前往[SAML SSO]。
- 在[基本 SAML 設定]欄位中,按一下
。
[進行 SAML SSO 設定]視窗隨即顯示。 - 在[身分識別提供者資訊]下,貼上 SSO URL、實體 ID 和憑證資訊。
- 將識別碼(實體 ID)和回覆 URL (ACS URL) 複製到剪貼簿。
- 按一下[儲存]。
- 在 Google Workspace 管理控制台中進行服務供應商設定。
- 在瀏覽器上開啟 Google Workspace 管理控制台分頁。
[服務供應商詳細資訊]頁面隨即顯示。 - 將複製的識別碼(實體 ID)和回覆 URL (ACS URL) 貼到各自的欄位中。
- 按一下[繼續]。
[屬性對應]頁面隨即顯示。 - 根據 QuWAN SAML SSO 需求,對應使用者屬性。
- 為身分識別驗證設定電子郵件屬性。
- 按一下[新增對應]。
- 在[Google 目錄屬性]下,選擇[主要電子郵件]。
- 在[應用程式屬性]欄位中輸入 email。
- 為權限控制設定群組屬性。
- 按一下[新增對應]。
- 在[Google 目錄屬性]下,選擇[部門]。
- 在[應用程式屬性]欄位中輸入 groups。
提示(選擇性)若要將 QuWAN SAML SSO 使用者規則有效地對應到相對應的 Google Workspace 管理員群組,請先在[群組成員 (選用)]下選擇要新增至 SAML 應用程式的 Google 群組,然後輸入 groups 做為應用程式屬性。
- 按一下[儲存]。
Google Workspace 管理控制台將儲存這些設定。
- 為身分識別驗證設定電子郵件屬性。
- 在瀏覽器上開啟 Google Workspace 管理控制台分頁。
- 啟用 QuWAN QBelt SAML SSO 的自訂應用程式。
- 前往 https://admin.google.com。
- 使用您的 Google Workspace 使用者名稱和密碼登入。
系統會顯示管理控制台。 - 按一下 。
- 按一下[應用程式]。
- 按一下[網頁和行動應用程式]。
- 選擇您的自訂 QuWAN QBelt VPN 伺服器應用程式。
- 按一下[使用者存取]。
- 在[服務狀態]頁面上,選擇[為所有人啟用]。
- 按一下[儲存]。
- 選擇性步驟:為一組群組啟用服務。
- 按一下[群組]。
- 選擇一個或多個群組。
- 選擇[啟用]以啟用該服務。
- 按一下[儲存]。
3.在 QuWAN Orchestrator 中新增 SAML SSO 使用者規則
- 開啟 QuWAN Orchestrator。
- 選取組織。
- 前往[VPN 伺服器設定]>[權限設定]。
- 前往[SAML SSO]。
- 按一下[立即設定 SAML SSO]。
- 新增 SAML SSO 使用者群組。
- 在 QuWAN Orchestrator 中,前往[VPN 伺服器設定]>[權限設定]>[SAML SSO]。
- 按一下[SAML SSO 使用者規則]旁邊的[新增]。
- 啟用該使用者規則。
- 編輯使用者群組設定。
設定 使用者動作 規則名稱 指定 SAML SSO 使用者規則的名稱。 屬性值 此值對應於 Google Workspace 管理控制中為自訂 SAML 應用程式的群組屬性所設定的來源屬性。 備註- 如果群組成員資格是 Google Workspace 中設定的群組屬性,請使用 QuWAN Orchestrator 中對應的應用程式屬性值。
- 如果使用不同的屬性(例如,部門)做為群組屬性,請在 QuWAN Orchestrator 中使用其對應的應用程式屬性值。您可以在 Google Workspace 管理控制台的[使用者]頁面中找到屬性「部門」的對應值。
- 選擇[適用於所有使用者的規則]以將屬性值套用至所有使用者。
Segment 選取預先的 Segment。 可存取 Hub 選取一或多台要連接的 Hub。 - 選擇性步驟:勾選[允許多台裝置同時連線]。
- 按一下[儲存]。
- 按一下[套用]。
QuWAN Orchestrator 隨即儲存 SAML SSO 設定。
4.使用 QVPN Client 和 Google Workspace 管理員 SSO 連線到 QuWAN QBelt VPN 伺服器
成功設定 QuWAN SAML SSO 後,透過 QVPN Client 建立與 QuWAN QBelt VPN 的連線。
- 前往 QNAP 應用工具。
- 找到 QVPN Client(原本稱為 QVPN 裝置用戶端)。
- 將這個應用工具下載到您的裝置。
- 在裝置上安裝這個應用工具。
- 開啟 QVPN Client。
- 按一下[新增 QuWAN 設定檔]。
- 指定組織 ID。備註您可以在 QuWAN Orchestrator 中找到組織 ID。前往[VPN 伺服器設定]>[權限設定]>[SAML SSO]。
- 按一下[下一步]。
[驗證設定]頁面隨即顯示。 - 選擇[SAML SSO]做為服務。
- 按一下[下一步]。
QVPN Client 在開啟預設瀏覽器後,將提示您輸入 Google Workspace 管理員認證。 - 按一下[確定]。
- 輸入您的 Google Workspace 管理員認證並登入。
- 關閉瀏覽器並返回 QVPN Client。
- 編輯設定檔設定。
- 指定設定檔名稱。
- 從下拉式功能表中選擇區域中樞 (Hub)。
您可以讓系統自動選擇最適合您需求的 Hub,也可以手動選擇特定 Hub 並指定要連接的 WAN 連接埠。 - 選擇性步驟:如果您想在套用設定後立即連接到 QuWAN 設定檔,請選擇[儲存後立即連線]。
- 在 QVPN Client 中找到 QuWAN 設定檔,然後按一下[連線]。
QVPN Client 將開啟預設系統瀏覽器以進行使用者驗證。 - 輸入您的 Google Workspace 管理員認證並登入,
您可以在登入 Google Workspace 管理員後關閉瀏覽器並返回 QVPN Client。
QVPN Client 將使用 Google Workspace 管理員 SSO 連線到 QuWAN QBelt VPN 伺服器。
