การตั้งค่า Federal Authentication (LDAP/SSO) บน SCP

บทนำ

Sangfor SCP รองรับ SAML 2.0-based SSO (Single Sign-On) Federal Identity Authentication ซึ่งช่วยให้ผู้ดูแลระบบสามารถเชื่อมต่อกับ Enterprise Identity Provider เพื่อ Single Sign-On ของ Enterprise User เข้าสู่ SCP Platform รวมถึงตั้งค่า Third-Party Service Provider เพื่อขยาย Service Catalog ของ Platform

ข้อกำหนดเบื้องต้น

• ได้รับ Metadata File ของ Target Identity/Service Provider แล้ว
• Client สามารถเข้าถึง SCP และ Target Provider ได้พร้อมกัน
• ต้องตั้งค่า Data Center Settings (Service Port) ให้เรียบร้อย
• เวลาของ SCP และ NTP Server ต้อง Sync กัน (ความต่างของเวลาจะทำให้ SSO ล้มเหลว)

SCP เป็น Identity Provider (IdP)

SCP ทำหน้าที่เป็น IdP โดยใช้ SAML 2.0 Protocol เพื่อให้ Tenant และ Tenant Sub-Account สามารถเข้าถึง Third-Party Service ผ่าน SSO ได้

ข้อจำกัด:

• รองรับการสร้าง Service Provider สำหรับ Tenant เท่านั้น แต่ละ Tenant สร้างได้สูงสุด 10 Service Provider (ทั้ง Platform สูงสุด 500)
• รองรับ Issuer Entry แบบ HTTP-POST และ HTTP-Redirect เท่านั้น
• หาก SCP มี Active/Standby ต้อง Reconfigure Service Provider หลัง Switchover

ขั้นตอน (ตัวอย่าง AWS SSO):

1. เข้า AWS SSO Portal คลิก Choose your Identity Source
2. ที่ Settings คลิก Change เพื่อเปลี่ยน Identity Source
3. เลือก External Identity Provider แล้วคลิก Download metadata file
4. เข้าสู่ระบบ SCP ไปที่ Application Identity Service > Service Provider Management คลิก New
5. ตั้งชื่อ เลือก Tenant แล้วเลือก Upload an existing file เพื่ออัปโหลด Metadata File จาก AWS (หากไม่มี Metadata File ให้เลือก Specified แล้วกรอก SAML Audiences และ ACS URL)
6. ตั้งค่า User Attribute Mapping เลือก Specified สำหรับ Value แล้วกรอก User Login Name
7. Download IdP Metadata File และ Certificate จาก SCP แล้วอัปโหลดไปยัง AWS
8. ที่ AWS พิมพ์ ACCEPT เพื่อยืนยันการเปลี่ยน Identity Source
9. ตั้งค่า Access Authorization โดยสร้าง User/User Group ที่ User and Access Management > User
10. ไปที่ Service Provider คลิก Authorize เลือก User และ User Group
11. ได้ User Portal URL จาก AWS Dashboard เพื่อใช้ SSO Login

SCP เป็น Service Provider (SP)

SCP ทำหน้าที่เป็น SP โดยรองรับการสร้าง Identity Provider แบบ SAML2 Protocol ซึ่ง IdP User สามารถ Login เข้า SCP ผ่าน SSO ได้

ข้อจำกัด:

• รองรับเฉพาะ HTTP-POST type SAML Assertion Consumption Entry
• สร้าง Identity Provider ได้สูงสุด 10 รายการ
• หาก SCP มี Active/Standby ต้อง Reconfigure Identity Provider หลัง Switchover

ขั้นตอน:

1. เข้าสู่ระบบ SCP ไปที่ User and Access Management เลือก External Identity Provider คลิก Download Metadata File
2. เข้า Target Identity Provider Site อัปโหลด SCP Metadata Document และเพิ่ม SCP เป็น Service Provider แล้วรับ Metadata Document ของ IdP
3. กลับมาที่ SCP ไปที่ Identity Provider คลิก New กรอกข้อมูลและอัปโหลด IdP Metadata
4. ตั้งค่า Identity Conversion Policy เพื่อ Map User Attribute ของ IdP กับ Local User

การตรวจสอบ

• ทดสอบ SSO Login จาก IdP ไปยัง SCP (กรณี SCP เป็น SP)
• ทดสอบ SSO Login จาก SCP ไปยัง Third-Party Service (กรณี SCP เป็น IdP)
• ตรวจสอบ User Attribute Mapping ว่าถูกต้อง

หมายเหตุ

• ต้องตรวจสอบความถูกต้องของ Identity Provider Metadata Document ก่อนดำเนินการ เพราะ Illegal IdP อาจ Login เข้า SCP ผ่าน Illegal Account ทำให้สูญเสีย Platform Resource
• Federal Authentication ใช้ Service Port ดังนั้นต้องตั้งค่า Service Port ให้มั่นคง หากมีการเปลี่ยนแปลงต้องอัปเดต Data Center Configuration
• ไม่จำเป็นต้องมี Network Connection ระหว่าง SCP กับ IdP โดยตรง เนื่องจาก SAML2 Protocol ใช้ Browser เป็นตัวกลาง

บทความที่เกี่ยวข้อง

• การใช้งาน SCP Application Center
• การติดตั้ง Database Management Platform (DMP) บน SCP
• การ deployment SCP แบบ Active - Standby
• การสร้าง VLAN (ทำ Port Group) ใน HCI และ SCP