配置远程访问的身份验证服务器

1. 在RADIUS服务器部分中，单击配置。

2. 在首要选项卡中，配置首要RADIUS服务器：

   • IP地址- 首要RADIUS服务器的IP地址。

   • 端口- 首要RADIUS服务器上监听的端口号。默认为1812。

   • 共享机密- 首要RADIUS服务器和Quantum Spark网关之间的机密（用于消息“加密”的预共享信息）。

     备注： 你不能在密码或共享密钥中使用以下字符：：{ } [ ] ` ~ | ‘ " \ （最大字符数：255） 选择 "显示"以查看共享秘密。

   • 超时（秒）- 与RADIUS服务器通信的超时值，单位是秒。默认超时时间为3秒。

   说明- 要删除所有设置，请单击清除。

3. 可选：在“次要”选项卡中，配置次要RADIUS服务器：

   • IP地址- 次要RADIUS服务器的IP地址。

   • 端口- 次要RADIUS服务器上的监听端口号。默认为1812。

   • 共享机密- 次要RADIUS服务器和Quantum Spark网关之间的机密（用于消息“加密”的预共享信息）。

     备注： 你不能在密码或共享密钥中使用以下字符：：{ } [ ] ` ~ | ‘ " \ （最大字符数：255） 选择 "显示"以查看共享秘密。

   • 超时（秒）- 与RADIUS服务器通信的超时值，单位是秒。默认超时时间为3秒。

   说明- 要删除所有设置，请单击清除。

4. 点击保存。

5. 启用RADIUS用户的远程访问权限：

   1. 在RADIUS用户的远程访问权限已禁用行中，单击RADIUS用户的权限链接。

      RADIUS认证窗口打开。

   2. 选择用户感知、远程访问和热点。

   3. 可选：选择对于远程访问仅使用特定的 RADIUS 组并输入适用RADIUS组的名称。

   4. 点击保存。

1. 在Active Directory部分中，单击新建。

2. 配置Active Directory域设置：

   • 域名- 域名。

     你只能配置此域一次。

   • IP地址- 这是您域中某个Active Directory域控制器的IPv4地址。

   • 用户名- 连接到Active Directory域控制器的用户名。该用户必须具有管理员权限才能简化配置过程并使用Active Directory中定义的用户创建基于用户的策略。

   • 密码- 用户连接到Active Directory域控制器的密码。

     注意 -你不能在密码或共享密钥中使用以下字符：：{ } [ ] ` ~ | ‘ " \ （最大字符数：255）

   • 用户DN - 用户的FQDN。单击发现以自动发现代表该用户的对象的DN，或者手动输入用户的DN。

     比如：CN=John James,OU=RnD,OU=Germany,O=Europe,DC=Acme,DC=com

   • 可选：如果你只想使用Active Directory中定义的部分用户数据库，请选择仅使用特定分支中的用户组：

     1. 点击“新建”。

     2. 输入适用Active Directory分支的完整DN。

     3. 点击保存。

3. 点击保存。

4. 配置如何从Active Directory域控制器同步Active Directory组：

   1. 在Active Directory部分中，单击配置。

   2. 选择适用的选项：

      • 自动同步（默认设置，每24小时运行一次）

      • 手动同步

        说明 - 你可以在WebUI中查看此用户数据库的所有位置同步用户数据库。 比如： 用户和对象视图 >用户管理部分 >用户页面。 访问策略视图 >防火墙部分 >策略页面。 在传入、内部和 VPN流量部分 >源列 > 单击[+] 。 说明 - 你不能从Active Directory中选择用户，只能从Active Directory用户组中选择。

   3. 点击保存。

5. 启用Active Directory用户的远程访问权限：

   1. 在远程访问用户页面中设置Active Directory用户的远程访问权限行中，单击链接Active Directory用户的权限 。

      打开Active Directory全局权限窗口。

   2. 选择适用的选项：

      • Active Directory中的所有用户

        说明- 大多数Active Directory域都包含大量用户列表。考虑将远程访问VPN权限仅限于特定用户组。

      • 选定的Active Directory用户组（默认设置）

        说明- 需要额外的配置。跟随配置远程访问用户。

   3. 点击保存。

远程访问VPN用户，输入他们的Microsoft Entra ID凭证以连接到Quantum Spark网关，并访问内部资源。

这比为Quantum Spark网关单独设置专用凭据要更简单。

管理员可以在Microsoft Entra ID门户中管理用户组，并强制执行单点登录 (SSO) 和双重身份验证 (2FA) 等身份验证方法。

在高级使用案例中，你可以为Microsoft Entra ID 中的特定用户组覆盖全局配置项 通过此安全网关路由来自连接客户端的互联网流量。有关通过此安全网关路由来自已连接客户端的互联网流量的更多信息，请参阅配置高级远程访问选项。

1. 远程访问 VPN 用户希望使用远程访问 VPN 访问位于 Quantum Spark 网关后面的内部资源。

2. Quantum Spark Gateway的SAML门户将用户重定向到SAML身份提供者 (IdP) 进行身份验证。

3. IdP根据你在IdP门户中配置的策略向远程用户询问凭证。

   例如，你可以配置单点登录 (SSO) 来识别用户是否已登录，或者要求双重身份验证 (2FA)。

4. IdP对用户进行身份验证，并向用户的Web浏览器发送SAML断言。

5. 远程用户的Web浏览器将SAML断言发送到Quantum Spark Gateway。

6. Quantum Spark网关验证SAML断言，并允许远程用户访问内部资源。

• 仅支持一个IdP配置。例如，如果你的组织有两个Microsoft Entra ID环境，则你只能使用其中一个作为SAML身份提供者

• 不支持为使用SAML身份提供者进行身份验证的用户创建访问控制规则 规则库中的一组流量参数和其他条件，用于对通信会话采取指定的操作。。

• 不支持Microsoft Entra ID身份标签。

在此过程中，请保持Azure门户和Quantum Spark Gateway WebUI处于打开状态。

1. 在Azure门户中，为Quantum Spark Gateway创建 SAML应用程序：

   1. 单击企业应用程序 。

   2. 单击新建应用程序 。

   3. 单击创建你自己的应用程序 。

      创建你自己的应用程序窗口打开。

   4. 输入应用程序的名称。

   5. 确保选择了此默认选项：

      集成你在图库中找不到的任何其他应用程序（非图库）

   6. 单击创建 。

2. 在Azure门户中，将用户或用户组分配给SAML应用程序：

   1. 在应用程序的概述页面上，在入门部分中，单击分配用户和组。

   2. 单击添加用户/组。

   3. 选择用户和组。

   4. 单击分配。

3. 在Azure门户中，导航到应用程序的基于SAML的登录屏幕：

   1. 在左侧菜单中，展开管理 。

   2. 单击单点登录。

   3. 选择SAML。

   4. 在基本SAML配置部分中，单击编辑（铅笔）图标。

      打开基本SAML配置窗口。

4. 在Quantum Spark Gateway WebUI中，从左侧导航面板中单击VPN视图。

5. 在远程访问部分中，单击身份验证服务器页面。

6. 在身份提供者部分中，单击配置。

   配置身份提供者窗口打开。

7. 在SAML身份提供者所需的数据部分中，按照以下步骤操作：

   1. 从Quantum Spark Gateway WebUI复制这些值并将其粘贴到Azure门户 >基本SAML配置窗口中：

      • 从Quantum Spark Gateway WebUI复制唯一标识符URL值，并将其粘贴到Azure门户的标识符（实体ID ）字段中。

      • 从Quantum Spark Gateway WebUI复制回复 URL ，并将其粘贴到Azure门户的回复URL （断言消费者服务URL ）字段中。

      说明- 默认情况下，WebUI根据设备视图 >系统部分 > DDNS和设备访问页面中的DDNS设置生成这些值。如果你未配置DDNS，这些值将基于设备的公共IP地址。如果你没有为集群 两个Quantum Spark设备相互连接以实现高可用性。配置DDNS，这些值将基于集群的虚拟IP地址 (VIP)。

   2. 可选：你可以覆盖 Quantum Spark 网关的 DDNS 或 IP 地址：

      • 要使用静态 IPv4 地址而不是 DDNS，请选择覆盖 DDNS/IP并输入 IPv4 地址。

        Quantum Spark Gateway WebUI 根据 IPv4 地址生成新的唯一标识符 URL和回复 URL。这些字段在用户第一次在网关上配置身份提供者对象时自动生成。

        如果之前配置了 DDNS，则这些字段将使用域名创建。否则，它们将使用网关的 IP 生成。

      • 要使用 DDNS 而不是静态公共 IP 地址作为唯一标识符 URL和回复 URL ，请选择覆盖 DDNS/IP并输入 DDNS。

      示例：你已配置了 DDNS，但想要使用 IP 地址作为唯一标识符 URL和回复 URL 。选中“覆盖DDNS/IP”复选框并输入IP地址后，唯一标识符URL和回复URL的值会发生变化，因为它们现在基于IP地址，而不是DDNS。

   3. 在Azure门户 >基本SAML配置窗口中，单击保存 。

8. 在SAML身份提供者接收的数据部分中，选择并配置适用的选项：

   • 导入元数据文件

     1. 在Azure门户 > SAML证书部分中，单击联合元数据XML旁边的下载。

        你的电脑下载元数据文件。

     2. 在Quantum Spark WebUI >从SAML身份提供者接收的数据部分中，单击元数据文件旁边的上传。

     3. 在你的电脑上，选择元数据文件并单击打开。

   • 手动插入

     1. 在Azure门户 >设置 [应用程序名称] 部分中，复制Microsoft Entra标识符。

     2. 在Quantum Spark Gateway WebUI >从SAML身份提供程序接收的数据部分中，粘贴从Azure门户复制的Microsoft Entra标识符。

     3. 在Azure门户 >设置 [应用程序名称] 部分中，复制登录URL 。

     4. 在Quantum Spark Gateway WebUI >从SAML身份提供者接收的数据部分中，粘贴从Azure门户复制的登录URL 。

     5. 在Azure门户 > SAML证书部分中，单击“证书 (Base64)”旁边的“下载” 。

        你的电脑下载证书文件。

     6. 在Quantum Spark Gateway WebUI >从SAML身份提供者接收的数据部分中，单击证书旁边的上传。

     7. 在你的电脑上，选择证书文件并单击打开。

9. 在Quantum Spark Gateway WebUI中，单击保存 。

10. 有两种可能的部署方案：

    • Quantum Spark 网关已经安装，并且具有具有不同身份验证方法的现有远程访问社区，管理员希望将该方法更改为“ SAML 用户”。

      1. 指示远程访问社区的成员断开与站点的连接并重新连接。选择“ SAML 用户”作为首选登录选项。

      2. 用户连接到网关后，将被重定向到 Azure 以输入其 Azure 凭证。

      3. 经过验证后，远程访问用户可以访问公司资源。

    • Quantum Spark Gateway 已经安装，但没有远程访问社区，管理员首次创建。

      1. 指导远程访问社区的成员创建以 Quantum Spark Gateway 作为 URL 的站点。（“ SAML 用户”已设置为默认身份验证方法）。

      2. 用户连接到网关后，将被重定向到 Azure 以输入其 Azure 凭证。

      3. 经过验证后，远程访问用户可以访问公司资源。

    更多信息，请参见：

    • Remote Access VPN Clients for Windows Administration Guide> “远程访问客户端入门” > “帮助用户创建站点”

    • Endpoint Security VPN for macOS Administration Guide>“帮助您的用户”>“帮助用户创建站点”。