การตั้งค่า Proxy SSO บน IAG – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

ภาพรวมของ Proxy SSO

Proxy SSO บน Sangfor IAG ใช้สำหรับสภาพแวดล้อมที่ผู้ใช้งานเข้าถึงอินเทอร์เน็ตผ่าน Proxy Server และแต่ละผู้ใช้มี Proxy Server Account เป็นของตัวเอง เมื่อ Proxy Server ทำการ Authenticate ผู้ใช้งานสำเร็จ IAG จะทำการ Authenticate ผู้ใช้งานโดยอัตโนมัติเช่นกัน ทำให้ผู้ใช้ไม่ต้อง Login ซ้ำ

Scenario 1: Proxy Server อยู่นอก Intranet

ในกรณีที่ Proxy Server อยู่นอก Intranet (เช่น อยู่ใน DMZ Zone) Data Flow จะเป็นดังนี้:

ผู้ใช้งานเข้าถึงอินเทอร์เน็ตผ่าน Proxy Server โดย IAG จะ Monitor การสื่อสารระหว่าง PC กับ Proxy Server
เมื่อ Proxy Server ทำการ Authenticate PC สำเร็จ IAG จะ Authenticate ผู้ใช้งานโดยอัตโนมัติ

ขั้นตอนการตั้งค่า Scenario 1 (Monitoring Mode)

ขั้นตอนที่ 1: ตั้งค่า Authentication Policy โดยไปที่ Access Mgt > Authentication > Web Authentication > Authentication Policy คลิก Add แล้วกำหนด Policy ตาม IP หรือ MAC Address ของผู้ใช้ที่ต้องการใช้ SSO

หมายเหตุ: หาก Proxy Server ไม่ได้อยู่ใน Intranet ของ IAG ต้องอนุญาตให้เข้าถึง Proxy Server ก่อน Authentication โดยไปที่ Authentication Policy > Action > Advanced > Before authentication, added to group แล้วกำหนด Group และ Internet Access Policy ที่อนุญาตให้เข้าถึง Proxy Server

ขั้นตอนที่ 2: ไปที่ Access Mgt > Authentication > Web Authentication > Single Sign-On(SSO) > Proxy แล้วเลือก Enable Proxy SSO

เลือก Obtain login profile by monitoring the data of computer logging into proxy server

กำหนดค่าใน Proxy Server List:

ใส่ IP Address และ Listening Port ของ Proxy Server
หากมี Proxy Server หลายตัว ให้ใส่ IP และ Port แต่ละตัวคนละบรรทัด

ตัวเลือกเพิ่มเติม:

Compatible with Kerberos authentication: เลือกเมื่อ Proxy Server ใช้ ISA ที่รองรับ IWA (Integrated Windows Authentication) ใช้ได้เฉพาะเมื่อ Login Packet ผ่าน IAG เท่านั้น ไม่รองรับใน Mirroring และ Bypass Mode

ขั้นตอนที่ 3: Login เข้าสู่ Proxy Server บนคอมพิวเตอร์ หาก Login สำเร็จจะสามารถเข้าถึงอินเทอร์เน็ตได้

หากเลือก Show Terms of Use ใน Authentication Policy > Action > Advanced จะต้อง Redirect ที่ DMZ Port มิฉะนั้นผู้ใช้จะไม่สามารถ Authenticate ได้

หมายเหตุ: Monitoring Mode ไม่รองรับ Compatible with Kerberos

Scenario 2: Proxy Server อยู่ใน Intranet

ในกรณีที่ Proxy Server อยู่ใน Intranet เดียวกัน IAG จะไม่ Forward Authentication Data โดยตรง จำเป็นต้องตั้งค่า Mirroring Port บน Switch เพื่อ Mirror ข้อมูลการ Login จาก PC ไปยัง Proxy Server มาที่ IAG

Data Flow:

ผู้ใช้งานเข้าถึงอินเทอร์เน็ตผ่าน Proxy Server โดย IAG ไม่ได้ Forward Authentication Data
Mirroring Port บน Switch จะ Mirror ข้อมูลที่ส่งจาก PC ไปยัง Proxy Server มาที่ IAG
เมื่อ Proxy Server Authenticate PC สำเร็จ IAG จะ Authenticate ผู้ใช้งานตาม

การตั้งค่าเหมือน Scenario 1 แต่เพิ่มขั้นตอน:

ขั้นตอนที่ 3: หาก Login Data ไม่ผ่าน IAG ให้ตั้งค่า Mirroring Port โดยไปที่แท็บ Others เลือก Enable Mirror Interface แล้วเลือก Interface ที่ว่างอยู่เพื่อรับข้อมูล Mirror

SSO in ISA Mode

ใช้สำหรับกรณีที่ ISA Server อยู่ใน Intranet และ Login Data ไม่ผ่าน IAG โดยจะติดตั้ง Extended Plug-in บน ISA Server เพื่อส่งข้อมูลการ Login ของ PC มาที่ IAG

Data Flow:

PC ทำ Proxy Authentication ผ่าน ISA โดยใช้ HTTP Proxy
ISA ส่งข้อมูล Login สำเร็จของ PC มายัง IAG
IAG ทำการ Authenticate PC และอนุญาตให้เข้าถึงอินเทอร์เน็ต

ขั้นตอนการตั้งค่า ISA Mode

ขั้นตอนที่ 1: ตั้งค่า Authentication Policy เหมือน Scenario ก่อนหน้า

ขั้นตอนที่ 2: ไปที่ Access Mgt > Authentication > Web Authentication > Single Sign-On(SSO) > Proxy เลือก Enable Proxy SSO แล้วเลือก Obtain login profile by executing logon control through proxy จากนั้นกำหนด Shared Key

ขั้นตอนที่ 3: ดาวน์โหลด ISA SSO Login Plug-in และ Configuration File จาก IAG แล้วตั้งค่าบน ISA Server:

บันทึก Plug-in MyAuthFilter.dll ไปที่ ISA Installation Directory เช่น C:\Program Files\ISA server\
รัน regsvr32 C:\Program Files\ISA server\MyAuthFilter.dll เพื่อ Register Plug-in
บันทึกไฟล์ SangforAC.ini ไปที่ Root Directory ของ Drive C แล้วแก้ไขค่า Config:
- acip = IP Address ของ IAG
- key = Packet Encryption Key (ต้องตรงกับ Shared Secret บน IAG)
- cycle = Minimum Interval สำหรับส่ง Login Packet (หน่วยเป็นวินาที)