วิธีดึง Online Users จาก IAM มาที่ NGAF ด้วย SSO (Single Sign-On) – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

บทความนี้อธิบายวิธีตั้งค่า Single Sign-On (SSO) ระหว่าง Sangfor IAM กับ NGAF/NSF เพื่อให้ NGAF เห็น Online Users ที่ Authenticate ผ่าน IAM โดยไม่ต้องให้ User Login ซ้ำ

Requirements

Sangfor IAM Version 11.0R2 ขึ้นไป
NGAF/NSF ต้องสามารถสื่อสารกับ IAM ผ่าน Port 1775 ได้
IAM ต้องตั้งค่า Authentication สำหรับ User เรียบร้อยแล้ว

ขั้นตอนที่ 1: ตั้งค่าฝั่ง IAM — ส่ง User Credentials ไปยัง NGAF

ไปที่ User > Single Sign-On (SSO) > Sangfor Appliance

เปิด Send user credentials to other Sangfor appliances
กำหนดค่าในรูปแบบ: User_IP_Range%NGAF_IP%Description
- User_IP_Range: ช่วง IP ของ User ที่ต้องการส่งข้อมูลไป NGAF
- NGAF_IP: IP ของ NGAF ที่จะรับ SSO
- Description: คำอธิบาย (จะแสดงใน NGAF เวลาดู Online User Details)
กำหนด Shared Key — ต้องตรงกันทั้ง IAM และ NGAF

ขั้นตอนที่ 2: ตั้งค่าฝั่ง NGAF — รับ SSO จาก IAM

ไปที่ Policies > Authentication > User Authentication > Authentication Options > SSO Options

เปิดรับ SSO จาก IAM
ใส่ Shared Key ให้ตรงกับที่ตั้งไว้ใน IAM

ขั้นตอนที่ 3: ตั้ง Authentication Policy ให้รับ SSO

ไปที่ Policies > Authentication > User Authentication

สร้างหรือแก้ไข Authentication Policy สำหรับ User กลุ่มที่ใช้ IAM
ตั้ง Authentication Method เป็น None/SSO

การตรวจสอบ

หลังตั้งค่าเสร็จ ให้ User Login ผ่าน IAM ตามปกติ
ไปที่ NGAF ดู Online Users — ควรเห็นรายชื่อ User ที่ Login ผ่าน IAM แสดงขึ้นมาพร้อม Description
IAM จะส่งข้อมูล User (IP, Username) มายัง NGAF ผ่าน Port 1775 อัตโนมัติ

หมายเหตุ

Shared Key ต้องตรงกันทั้ง 2 ฝั่ง มิฉะนั้น SSO จะไม่ทำงาน
ตรวจสอบว่า Port 1775 ไม่ถูก Block โดย Firewall ระหว่าง IAM กับ NGAF
SSO จะทำงานเฉพาะ User ที่มี IP อยู่ใน Range ที่กำหนดไว้ในฝั่ง IAM
หาก User ไม่แสดงใน Online Users ให้ตรวจสอบ Shared Key, Port 1775 และ IP Range

เกี่ยวข้องกับ