บทนำ
Security Assertion Markup Language (SAML) 2.0 เป็น protocol มาตรฐานสำหรับ federated authentication ที่รองรับโดย Identity Provider (IdP) ส่วนใหญ่ เช่น Okta, Microsoft Entra ID (Azure AD), ADFS, Ping Identity และ OneLogin ตั้งแต่ Sangfor Access Secure เวอร์ชันปลายปี 2024 เป็นต้นไป ผู้ดูแลระบบสามารถกำหนดค่า SAML Authentication Source ได้โดยตรงที่ Sangfor Access Secure Console โดยไม่ต้องเข้าไปตั้งค่าในคอนโซล Sangfor IDaaS อีกต่อไป
ข้อกำหนดเบื้องต้น (Prerequisites)
- มีสิทธิ์ผู้ดูแลระบบบน Sangfor Access Secure Console
- มีสิทธิ์ผู้ดูแลระบบบน SAML Identity Provider ปลายทาง
- สร้าง SAML Application (SP) สำหรับ Sangfor Access Secure ที่ฝั่ง IdP แล้ว
- เตรียม IdP Metadata XML file หรือ IdP SSO URL, Entity ID และ X.509 Signing Certificate จาก IdP
- ผู้ใช้ที่จะ login มีอยู่ใน Universal Directory ของ Sangfor IDaaS แล้ว (สร้างเองหรือ sync มาจาก AD/Azure AD)
ขั้นตอนการตั้งค่า (Configuration Steps)
- เข้าสู่ Sangfor Access Secure Console
- ไปที่ Platform Management > Identity Management > Authentication Policies > Mobile Users
- คลิก Manage Auth Sources ที่มุมขวาบนของหน้า
- ในหน้าต่าง Manage Auth Sources คลิก Add Auth Source แล้วเลือก SAML
- ในหน้า Details ของ SAML Authentication Source ระบบจะแสดง Service Provider Metadata ของ Sangfor Access Secure ได้แก่ SP Entity ID, ACS URL (Assertion Consumer Service URL) และ SP Metadata XML ให้คัดลอกหรือดาวน์โหลดไปใช้กำหนดค่าใน SAML Application ที่ฝั่ง IdP
- ในแท็บ Basics กรอกข้อมูลจากฝั่ง IdP:
- IdP Entity ID: Entity ID ของ Identity Provider
- IdP SSO URL: URL ที่ใช้ส่ง SAML Authentication Request
- IdP Signing Certificate: X.509 certificate ของ IdP (สามารถ upload หรือ paste เป็น PEM ได้)
- NameID Format: เลือกให้ตรงกับที่ IdP กำหนด (เช่น emailAddress หรือ persistent)
- หาก IdP รองรับการ import Metadata XML สามารถคลิก Import IdP Metadata เพื่อ upload ไฟล์ XML และระบบจะกรอก Entity ID, SSO URL และ Certificate ให้อัตโนมัติ
- ในแท็บ Advanced กำหนดค่าเพิ่มเติมตามต้องการ:
- Attribute Mapping: ระบุว่า SAML Attribute ใดจะ map ไปยัง username, email, display name ใน Universal Directory
- Signed Request: เปิดใช้งานหาก IdP บังคับให้ SP ลงชื่อ AuthnRequest
- Force Re-authentication: เปิดหากต้องการบังคับให้ผู้ใช้ login ใหม่ทุกครั้ง
- คลิก OK เพื่อบันทึก
- คลิก Enable ที่มุมขวาบนของ Details panel เพื่อเปิดใช้งาน SAML Authentication Source
- กลับไปที่ Authentication Settings เลือก SAML เป็น Auth Method แล้วคลิก Save
การตรวจสอบ (Verification)
เปิดหน้า login authentication ของ Sangfor Access Secure จาก Endpoint Client หรือเว็บเบราว์เซอร์ ระบบจะแสดงปุ่ม Go to Login Page สำหรับ SAML เมื่อคลิกแล้ว ระบบจะ redirect ไปยังหน้า login ของ Identity Provider ให้กรอกบัญชีและรหัสผ่านที่ฝั่ง IdP เมื่อ authenticate สำเร็จ IdP จะส่ง SAML Assertion กลับมายัง Sangfor Access Secure และผู้ใช้จะเข้าสู่ระบบโดยอัตโนมัติ ตรวจสอบรายการผู้ใช้ที่ online ในหน้า Online Users เพื่อยืนยันว่า login ผ่านวิธี SAML
หมายเหตุ (Notes)
- SAML Authentication Source เป็น feature ที่เพิ่มเข้ามาในการ update ปลายปี 2024 ทำให้สามารถกำหนดค่าได้ที่ Sangfor Access Secure Console โดยตรง ไม่ต้องเข้า IDaaS Console อีกต่อไป
- เวลาของ Sangfor Access Secure และ IdP ต้อง sync กัน (NTP) เนื่องจาก SAML Assertion มี timestamp (NotBefore/NotOnOrAfter) หากเวลาเพี้ยน authentication จะล้มเหลว
- Username ที่ได้จาก SAML Assertion (ผ่าน NameID หรือ Attribute Mapping) ต้องตรงกับ user ที่มีอยู่ใน Universal Directory ไม่เช่นนั้นการ login จะไม่สำเร็จ
- หาก IdP ใช้ certificate ที่มีอายุจำกัด ควรเตรียมแผนเปลี่ยน certificate ล่วงหน้าเพื่อไม่ให้บริการหยุดชะงัก
- สามารถเปิดใช้งาน SAML Auth Source ควบคู่กับ Auth Source อื่น (Password, OIDC, OAuth 2.0, Certificate) ได้ โดยผู้ใช้เลือกวิธี login ที่หน้า portal
- ดูบทความที่เกี่ยวข้อง: การตั้งค่า Authentication Policy สำหรับ Mobile Users และ การตั้งค่า Multi-Factor Authentication (MFA) แบบละเอียด
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น