บทนำ
Allowed IPs/Domains เป็นการกำหนดรายการ IP address และ domain name ที่อนุญาตให้ผู้ใช้สามารถเข้าถึงได้แม้ยังไม่ผ่านการ authenticate บน Sangfor Access Secure ฟีเจอร์นี้จำเป็นเมื่อต้องใช้ third-party authentication services เช่น SAML, OAuth 2.0, OIDC, Ping Identity, Lark, WeCom หรือ DingTalk เพราะผู้ใช้ต้องเข้าถึงหน้า login ของผู้ให้บริการก่อนจึงจะ authenticate สำเร็จ
ข้อกำหนดเบื้องต้น (Prerequisites)
- ใช้งานบน Sangfor Access Secure แบบ hardware device เท่านั้น (ไม่รองรับใน cloud edition)
- มีสิทธิ์ Administrator บน Sangfor Access Secure Console
- ทราบรายการ IP address และ domain ของ third-party authentication service ที่ใช้งาน
- ตั้งค่า third-party authentication policy ไว้แล้ว
ขั้นตอนการตั้งค่า (Configuration Steps)
- เข้าสู่ Sangfor Access Secure console ผ่าน Platform-X
- ไปที่ Platform Management > Identity Management > Authentication Settings > Allowed IPs/Domains
- ระบบจะแสดงรายการบริการที่รองรับ ได้แก่ SAML, OAuth 2.0, OIDC, Ping Identity, Lark, WeCom, DingTalk และอื่นๆ
- สำหรับแต่ละบริการ คลิกที่ช่องกรอกข้อมูล แล้วระบุ:
-
IP address เช่น
192.168.1.1หรือ IP range -
Domain name เช่น
www.domain.com
-
IP address เช่น
- กรอกรายการละ 1 บรรทัด สามารถใส่ได้หลายรายการต่อบริการ
- คลิก Save เพื่อบันทึก
การตรวจสอบ (Verification)
ทดสอบโดยใช้ผู้ใช้ที่ยังไม่ได้ authenticate เปิด browser แล้วเข้าถึง domain ที่อยู่ใน Allowed list (เช่น หน้า login ของ SAML IdP) ระบบควรอนุญาตให้เข้าได้โดยไม่ redirect ไปยังหน้า authentication ของ SASE จากนั้นเมื่อผู้ใช้ login กับ third-party แล้ว ควรกลับมาที่ Sangfor Access Secure และเข้าถึง resource อื่นได้
หมายเหตุ (Notes)
- ฟีเจอร์นี้ใช้ได้เฉพาะกับ hardware device เท่านั้น สำหรับ cloud edition ไม่จำเป็นต้องตั้งค่า
- ควรเพิ่มเฉพาะ IP/Domain ที่จำเป็น เพื่อหลีกเลี่ยงช่องโหว่ที่ผู้ไม่ประสงค์ดีอาจใช้ bypass การ authenticate
- หากเพิ่ม domain ใหม่ควรตรวจสอบ DNS ให้แน่ใจว่า resolve ได้จริงจาก client
- ควรอัปเดตรายการเป็นระยะตามการเปลี่ยนแปลงของ third-party service เช่น เมื่อผู้ให้บริการเปลี่ยน endpoint
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น