วิธีทำ SSO ผ่าน AD บน NGAF

บทความนี้อธิบายวิธีตั้งค่า SSO (Single Sign-On) ผ่าน Active Directory บน Sangfor NGAF/NSF เพื่อให้ User ที่ Join Domain สามารถใช้งาน Internet ได้โดยไม่ต้อง Login ซ้ำ

ขั้นตอนที่ 1: Add External Auth Server (LDAP)

ไปที่ Policies > Authentication > User Authentication > External Auth Server

1. กด Add > LDAP Server

2. กรอกข้อมูล AD Server (ใช้ Account ที่มีสิทธิ์ Admin)
3. กด Test Validity เพื่อทดสอบ แล้วกด Save

ขั้นตอนที่ 2: สร้าง LDAP User Sync

ไปที่ Policies > Authentication > Local Users > LDAP User Sync แล้วกด Add

• Sync Mode: เลือก Sync ผ่าน OU หรือ Security Group
• Auto Sync: เปิด/ปิดการ Sync อัตโนมัติ
• LDAP Server: เลือก Server ที่สร้างในขั้นตอนที่ 1
• LDAP Directory: เลือกจุดที่ User อยู่ใน AD
• Local Directory: เลือกตำแหน่งที่จะเก็บ User ใน NGAF

กด Sync Now เพื่อเริ่ม Sync ครั้งแรก

ขั้นตอนที่ 3: ตรวจสอบ User ที่ Sync มา

ไปที่ Policies > Authentication > Local Users > Group/User

ขั้นตอนที่ 4: เปิด Domain SSO

ไปที่ Policies > Authentication > User Authentication > Authentication Options

• ไปที่ SSO Options > Client-Side Domain SSO
• กด Enable แล้วเลือก Domain SSO
• กด Add เพื่อเพิ่ม Domain Controller

*หากเครื่อง User ไม่ได้ Join Domain ไม่ต้องตั้งค่า SSO — ข้ามไปตั้ง Authentication Policy แทน

หมายเหตุ

• หลังตั้งค่า SSO เสร็จ จะสามารถตรวจสอบการ Login ผ่าน AD ได้ แต่ยังต้องตั้ง Authentication Policy เพิ่มเพื่อบังคับให้ User ต้อง Authenticate — ดูที่ การทำ Authentication บน NGAF
• Admin DN ต้องมีสิทธิ์อ่าน Log การ Login บน AD
• AD SSO มี 2 โหมด: Domain Script Distribution (ใช้ logon.exe/logff.exe ผ่าน GPO, Port 1775) และ Listening Mode (NGAF ฟัง UDP Port 88 โดยไม่ต้องติดตั้ง Script บน AD)
• หาก Login Data ไม่ผ่าน NGAF โดยตรง สามารถใช้ Mirror Interface เพื่อ Monitor ได้ (แต่จะ Monitor เฉพาะ Login ไม่รวม Logout)
• สำหรับการตั้งค่า SSO กับ Windows Server 2022 โดยละเอียด ดูที่ การตั้งค่า SSO กับ Windows Server 2022