設定遠端存取的身份驗證伺服器

VPN檢視 >遠端存取部分 >身份驗證伺服器頁面上可給連線到 Quantum Spark 閘道器的遠端存取 VPN 使用者設定和檢視不同的身份驗證伺服器(啟用遠端存取刀鋒--請參閱設定遠端存取blade).

有這些身份驗證方式可設定:

身份驗證方式

描述

RADIUS

當遠端存取 VPN 使用者連線時,Quantum Spark 閘道器會連線到已設定的 RADIUS 伺服器來驗證身份。

可在VPN檢視 >遠端存取部分 >遠端存取使用者頁面上設定 RADIUS 伺服器。

Active Directory

當遠端存取 VPN 使用者連線時,Quantum Spark 閘道器會連線到已設定的 Active Directory 伺服器來驗證身份。

可在VPN檢視 >遠端存取部分 >遠端存取使用者頁面上設定 Active Directory 伺服器。

SAML 身份驗證供應商

注意事項:這個功能在 R81.10.15 以上版本支援。

當遠端存取 VPN 使用者連線時,Quantum Spark 閘道器會連線到已設定的 SAML 身份驗證供應商來驗證身份。

須在 SAML 身份驗證供應商入口網站中將設定設妥。

設定遠端存取 VPN 的 RADIUS 身份驗證

  1. RADIUS 伺服器部分中,按一下設定

  2. 「主要」標籤中,設定主要 RADIUS 伺服器:

    • IP 位址:主要 RADIUS 伺服器的 IP 位址。

    • 連接埠:主要 RADIUS 伺服器上監聽的連接埠號碼。預設值為 1812。

    • 共用機密:主要 RADIUS 伺服器和 Quantum Spark 閘道器之間的機密(「加密」資訊用的預先共用資訊)。

      註解:

      • パスワードや共有秘密には、これらの文字は使用できません: { } [ ] ` ~ | ‘ " \ (最大文字数:255文字)

      • 選擇 「顯示」 以檢視共享密鑰。

    • 逾時(秒):與 RADIUS 伺服器通訊的逾時值(以秒為單位)。預設逾時時間為 3 秒。

    注意事項:若要刪除所有設定,請按一下清除

  3. 選用:「次要」標籤中,設定次要 RADIUS 伺服器:

    • IP 位址:次要 RADIUS 伺服器的 IP 位址。

    • 連接埠:次要 RADIUS 伺服器上的監聽連接埠號碼。預設值為 1812。

    • 共用機密:次要 RADIUS 伺服器和 Quantum Spark 閘道器之間的機密(「加密」資訊用的預先共用資訊)。

      註解:

      • パスワードや共有秘密には、これらの文字は使用できません: { } [ ] ` ~ | ‘ " \ (最大文字数:255文字)

      • 選擇 「顯示」 以檢視共享密鑰。

    • 逾時(秒):與 RADIUS 伺服器通訊的逾時值(以秒為單位)。預設逾時時間為 3 秒。

    注意事項:若要刪除所有設定,請按一下清除

  4. [保存]をクリックします。.

  5. 啟用 RADIUS 使用者的遠端存取權限:

    1. 「RADIUS 使用者的遠端存取權限已停用」一行中,按一下「RADIUS 使用者的權限」連結。

      將打開「 RADIUS 身份驗證 」 視窗。

    2. 選擇使用者感知、遠端存取和熱點

    3. 選用:選擇「遠端存取僅使用特定的 RADIUS 群組」並輸入適當的 RADIUS 群組關閉 有共用屬性的物件集合,例如使用者帳戶。名稱。

    4. [保存]をクリックします。.

  1. RADIUS 伺服器部分,按一下要編輯的 RADIUS 伺服器的 IP 位址連結。

  2. 進行必要的變更。

  3. [保存]をクリックします。.

RADIUS 伺服器部分,按一下要刪除的 RADIUS 伺服器旁的刪除連結

設定遠端存取 VPN 的 Active Directory 驗證

  1. Active Directory部分中,按一下新增

  2. 設定Active Directory 網域設定:

    • 網域:網域名稱。

      這個網域只能設定一次。

    • IP 位址:網域中其中一個 Active Directory 網域控制器的 IPv4 位址。

    • 使用者名稱:連線到 Active Directory 網域控制器的使用者名稱。該使用者須有管理員權限才能簡化設定流程,以 Active Directory 中定義的使用者新增用者原則。

    • 密碼:使用者連線到 Active Directory 網域控制器的密碼。

      注意:パスワードや共有秘密には、これらの文字は使用できません: { } [ ] ` ~ | ‘ " \ (最大文字数:255文字)

    • 使用者 DN:使用者的 FQDN。按一下「發現」,自動發現代表該使用者的物件的 DN,或手動輸入使用者 DN。

      例如:CN=John James,OU=RnD,OU=Germany,O=Europe,DC=Acme,DC=com

    • 選用:如果只想使用 Active Directory 中定義的部分使用者資料庫,請選擇僅使用特定分支中的使用者群組

      1. [新規]をクリック.

      2. 輸入適用 Active Directory 應用程式 分支的完整 DN。

      3. [保存]をクリックします。.

  3. [保存]をクリックします。.

  4. 設定從 Active Directory 網域控制器同步 Active Directory 群組方式:

    1. Active Directory部分中,按一下設定

    2. 選擇適用的選項:

      • 自動同步(這是預設,每 24 小時執行一次)

      • 手動同步

        注意事項:可在 WebUI 中所有位置同步使用者資料庫,那裡可檢視使用者資料庫。

        例如:

        • 使用者和物件檢視 >使用者管理部分 >使用者頁面。

        • 存取原則檢視 >防火牆部分 >原則頁面。

          傳入、內部和 VPN 流量部分 >來源欄 > 按一下[+]

          注意事項:無法從 Active Directory 中選擇使用者,只能從 Active Directory 使用者群組關閉 指定有相關職責的使用者群組。中選擇。

    3. [保存]をクリックします。.

  5. 啟用 Active Directory 使用者的遠端存取權限:

    1. 「遠端存取使用者」的遠端存取權限已在遠端存取使用者頁面中設定 一行中,按一下「Active Directory 使用者的權限」連結。

      開啟「Active Directory 全域權限」視窗。

    2. 選擇適用的選項:

      • Active Directory 中的所有使用者

        注意事項:大多數 Active Directory 網域都包含大量使用者清單。考慮將遠端存取 VPN 權限僅限於特定使用者群組。

      • 選定的 Active Directory 使用者群組(這是預設)

        注意事項:需額外設定。跟隨リモートアクセスユーザの設定.

    3. [保存]をクリックします。.

  1. Active Directory部分中,按一下要編輯的 Active Directory 網域。

  2. [編集]をクリックします。.

    網域資訊為唯讀,不能變更。

  3. 進行必要的變更。

  4. [保存]をクリックします。.

  1. Active Directory部分中,按一下要刪除的 Active Directory 網域。

  2. [削除]をクリックします。.

設定遠端存取 VPN 的 SAML 身份驗證

從 R81.10.15 開始可設定 SAML 身份驗證供應商 (IdP)來驗證 Quantum Spark 閘道器上的遠端存取 VPN 使用者。

注意事項:R81.10.15 版本僅支援 Microsoft Entra ID(舊稱 Azure AD)。

遠端存取 VPN 使用者輸入 Microsoft Entra ID 驗證資訊,連線到 Quantum Spark 閘道器,存取內部資源。

這比僅讓 Quantum Spark 閘道器使用特定驗證資訊簡單。

管理員可在 Microsoft Entra ID 入口網站中管理使用者群組,強制執行單一登入 (SSO) 和雙重認證 (2FA) 等驗證方式。

在進階使用場景中可覆寫用這個安全閘道器定向連線的客戶端來給 Microsoft Entra ID 中特定群組設定全域組態設定。更多用這個安全閘道器定向連線的客戶端相關資訊,請參閱詳細リモートアクセスオプションの設定.

  1. 遠端存取VPN使用者想要使用遠端存取VPN來存取Quantum Spark閘道後的內部資源。

  2. Quantum Spark 閘道器的 SAML 入口網站將使用者重新導向至 SAML 身份驗證供應商 (IdP)驗證。

  3. IdP 根據 IdP 入口網站中設定的原則,詢關閉 用於封鎖流量和檔案並顯示UserCheck訊息的UserCheck規則動作。使用者可以同意允許活動。遠端使用者驗證資訊。

    例如可設定單一登入 (SSO)來辨識使用者是否已登錄,或要求雙重認證 (2FA)。

  4. IdP 驗證身份,並向使用者的 Web 瀏覽器發送 SAML 判斷。

  5. 遠端使用者的 Web 瀏覽器將 SAML 判斷傳送至 Quantum Spark 閘道器。

  6. Quantum Spark 閘道器驗證 SAML 判斷,允許遠端使用者存取內部資源。

重要:系統管理員必須通知遠端存取使用者儲存他們收到的Azure驗證資訊。以 SAML使用者 驗證方式初次登入時需要這些驗證資訊。

過程中請維持 Azure 入口網站和 Quantum Spark 閘道器WebUI 開啟。

  1. 在 Azure 入口網站中,新增 Quantum Spark 閘道器的 SAML 應用程式:

    1. 按一下「企業版應用程式」

    2. 按一下「新增應用程式」

    3. 按一下「新增您擁有的應用程式」

      開啟新增您擁有的應用程式視窗。

    4. 輸入應用程式名稱。

    5. 請務必勾選這項預設:

      整合所有在圖庫中找不到的其他應用程式(非圖庫)

    6. 按一下「新增」

  2. 在 Azure 入口網站中,將使用者或使用者群組指派給 SAML 應用程式:

    1. 在應用程式的概觀頁面上,在開始使用部分中,按一下指派使用者和群組

    2. 按一下新增使用者/群組

    3. 選擇使用者和群組。

    4. 按一下指派

  3. 在 Azure 入口網站中,瀏覽至應用程式的從 SAML 登入畫面:

    1. 在左選單中,展開「管理」

    2. 按一下單一登入

    3. 選擇 SAML。

    4. 基本 SAML 設定部分中,按一下編輯(鉛筆)圖示。

      開啟「基本 SAML 設定」視窗。

  4. 在 Quantum Spark 閘道器WebUI 中,從左側導覽面板中按一下VPN檢視。

  5. 遠端存取部分中,按一下身份驗證伺服器頁面。

  6. 身份驗證供應商部分中,按一下設定

    開啟設定身份驗證供應商視窗。

  7. SAML 身份驗證供應商所需資料部分中,依下面的步驟操作:

    1. 複製 Quantum Spark 閘道器WebUI 的這些值,貼到 Azure 入口網站 >基本 SAML 設定視窗中:

      • 複製 Quantum Spark 閘道器WebUI 中的唯一辨識碼網址,貼到 Azure 入口網站的辨識碼(實體 ID)欄位中。

      • 複製 Quantum Spark 閘道器WebUI 的回覆網址,貼到 Azure 入口網站的回應網址判斷消費者服務網址)欄位。

      注意事項:預設WebUI 會根據裝置檢視 >系統部分 > DDNS 和裝置存取頁面中的 DDNS 設定自動輸入。若未設定 DDNS,這些值會根據裝置的公開 IP 位址。若尚未設定叢集關閉 兩個Quantum Spark Appliance互相連線,達成高可用性。的 DDNS,這些值會根據叢集的虛擬 IP 位址 (VIP)。

    2. 可選: 可覆寫Quantum Spark 閘道器的DDNS或IP位址:

      • 若要使用靜態IPv4位址而非DDNS,請選取「 覆寫DDNS/IP 」,然後輸入IPv4位址。

        Quantum Spark 閘道器 WebUI會根據IPv4位址產生新的 唯一辨識碼URL回覆URL。這些欄位會在使用者初次在閘道上設定身份提供者物件時自動產生。

        如果之前已設定DDNS,則會用網域名稱建立這些欄位。否則會以閘道IP建立。

      • 若要 唯一辨識碼URL回覆URL使用DDNS而非靜態公用IP位址,請選取「 覆寫DDNS/IP 」,然後輸入DDNS。

      範例: 已設定DDNS,但想要將IP位址用於 唯一辨識碼URL回覆URL。勾選「覆寫DDNS/IP」核取方塊並輸入 IP 位址後會變更唯一辨識碼網址回覆網址的值,因根據的是 IP 位址,而非 DDNS。

    3. 在 Azure 入口網站 >基本 SAML 設定視窗中,按一下「儲存」

  8. SAML 身份驗證供應商接收的資料部分中,選擇並設妥選項:

    • 匯入後設資料檔案

      1. 在 Azure 入口網站 > SAML 驗證資訊部分中,按一下同盟中繼資料 XML旁的下載

        電腦會下載中繼資料檔。

      2. 在 Quantum Spark WebUI >從 SAML 身份驗證供應商接收的資料部分中,按一下中繼資料檔案旁的上傳

      3. 在電腦上,選擇中繼資料檔案,按一下開啟

    • 手動插入

      1. 在 Azure 入口網站 >設定 [應用程式名稱] 部分中,複製Microsoft Entra 辨識碼

      2. 在 Quantum Spark 閘道器WebUI >從 SAML 身份驗證供應商接收的資料部分中,貼上從 Azure 入口網站複製的Microsoft Entra 辨識碼

      3. 在 Azure 入口網站 >設定 [應用程式名稱] 部分中,複製登入網址

      4. 在 Quantum Spark 閘道器WebUI >從 SAML 身份驗證供應商接收的資料部分中,貼上從 Azure 入口網站複製的登入網址

      5. 在 Azure 入口網站 > SAML 驗證資訊部分中,按一下「驗證資訊 (Base64)」旁的「下載」

        電腦會下載驗證資訊檔案。

      6. 在 Quantum Spark 閘道器WebUI >從 SAML 身份驗證供應商接收的資料部分中,按一下驗證資訊旁的上傳

      7. 在電腦上,選擇驗證資訊檔案,按一下開啟

  9. 在 Quantum Spark 閘道器WebUI 中,按一下「儲存」

  10. 可能有兩種部署情況:

    • Quantum Spark 閘道器已安裝,且現有不同驗證方式的遠端存取社群,管理員想把方式改為「SAML使用者」。

      1. 指示遠端存取社群成員中斷網站連線,然後重新連線。選擇「SAML使用者」作為首選登入選項。

      2. 使用者連線到閘道時,會重新導向到Azure,輸入Azure驗證資訊。

      3. 驗證時,遠端存取使用者可存取公司資源。

    • Quantum Spark 閘道器已安裝,但無遠端存取社群,這是系統管理員第一次建立。

      1. 指示遠端存取社群成員以Quantum Spark 閘道器作為URL建立網站(「SAML使用者」已設為預設驗證方式)。

      2. 使用者連線到閘道時,會重新導向到Azure,輸入Azure驗證資訊。

      3. 驗證時,遠端存取使用者可存取公司資源。

    如需詳細資訊,請參閱:

在基本設定中,把全域設定的用這個安全性閘道器定向連線用戶端的網際網路流量套用到使用 Microsoft Entra ID 驗證的遠端使用者。

進階設定中可覆寫Microsoft Entra ID 中特定群組的全域設定中之用這個安全性閘道器定向連線用戶端的網際網路流量

更多用這個安全閘道器定向連線的客戶端相關資訊,請參閱詳細リモートアクセスオプションの設定.

對 Microsoft Entra ID 中的多個群組執行這項程序。

  1. 將相關的 Microsoft Entra ID 使用者放入一個群組(例如: VPN_Users),並將群組指派給新增的 Quantum Spark 閘道器SAML 應用程式。

  2. 在 Azure 入口網站中,按一下「應用程式註冊」

    開啟應用程式註冊首頁。

  3. 按一下所有應用程式

  4. 按一下 Quantum Spark 閘道器新增的應用程式。

    開啟應用程式的應用程式註冊頁面。

  5. 展開左選單的「管理」 > 按一下「應用程式角色」

  6. 按一下「新增應用程式角色」

    開啟新增應用程式角色滑動視窗。

  7. 顯示名稱欄位中,輸入應用程式角色名稱。建議與組名相同(請參閱範例:VPN_Users)。

  8. 欄位中,輸入組名(請參閱範例:VPN_Users)。

  9. 輸入應用程式角色描述。

  10. 勾選下面的請問要啟用這個應用程式角色嗎?

  11. 按一下套用

  1. 按一下左上角「首頁」

  2. 按一下「企業版應用程式」

  3. 按一下 Quantum Spark 閘道器新增的應用程式的名稱。

  4. 展開左選單的「管理」 > 按一下「使用者和群組」

  5. 勾選群組名稱。

  6. 按一下「編輯指派」

  7. 選擇應用程式註冊新增的群組。

  8. 按一下「選擇角色」

  9. 選擇角色(請參閱範例:VPN_Users )指派給群組。

  10. 按一下「儲存」

  11. 按一下指派

  1. 按一下左上角「首頁」

  2. 按一下「企業版應用程式」

  3. 按一下 Quantum Spark 閘道器新增的應用程式的名稱。

  4. 展開左選單的「管理」 > 按一下「單一登入」

  5. 「屬性和聲明」部分中,按一下「編輯」

  6. 按一下「新增聲明」

  7. 名稱中輸入group_attr

  8. 來源中選擇屬性

  9. 在來源屬性中選擇user.assignedroles

  10. 按一下「儲存」

  1. 前往VPN檢視 >遠端存取部分 >遠端存取使用者頁面

  2. 「新增」按鈕附近,按一下向下箭頭 > Active Directory > Azure AD 群組

  3. 名稱欄位中,輸入在 Microsoft Entra ID 中設定的群組名稱。

    重要提示:在 Quantum Spark 閘道器上,名稱須一律以「EXT_ID_」開頭。

    範例:

    若 Azure AD 群組名為「VPN_Users」,則須輸入「EXT_ID_VPN_Users」。

  4. [保存]をクリックします。.

  1. 前往VPN檢視 >遠端存取部分 >進階頁面

  2. 在表格中,按一下使用 Microsoft Entra ID 驗證的使用者用的群組名稱。

    開啟編輯 [群組名稱]視窗。

  3. 選擇覆寫全域設定

  4. 執行:

    • 勾選用 VPN 定向這個 Azure AD 群組所有流量,覆寫全域設定。所有群組成員流量都經過 VPN 通道。

    • 不勾選用 VPN 定向這個 Azure AD 群組所有流量,覆寫全域設定。群組成員中只有到 Quantum Spark 閘道器後資源的流量才會通過 VPN 通道。

  5. 按一下「儲存」