《sangfor_ssl_v7.0_2016年度渠道高级认证培训05_单点登录配置培训剖析》由会员分享,可在线阅读,更多相关《sangfor_ssl_v7.0_2016年度渠道高级认证培训05_单点登录配置培训剖析(33页珍藏版)》请在金锄头文库上搜索。
1、SANGFOR SSL VPN单点登录配置培训,单点登录(SSO)功能介绍和分类,单点登录典型应用和配置案例,深信服公司简介,练练手,SANGFOR SSL,单点登录功能简介,单点登录(SSO) 单点登录(Single Sign On),简称为 SSO,即用户登录SSLVPN 之后,访问资源服务器时无需再输入服务器的用户名密码。用户无需多次输入用户名和密码,大大提升了易用性,同时也避免了密码外泄的风险。,单点登录的分类,SSL VPN的单点登录主要分为两类:,自动填表: 用户在登录SSL控制台以后,需要借助单点登录助手在WEB页面或应用程序登录页面录制单点登录; 自动填表的单点登录功能支持所有
2、WEB应用,TCP应用 ,L3VPN和远程应用的所有B/S和C/S应用。 自动构建参数: 用户在录制SSL单点登录的时候,不使用单点登录助手,而是手动填写相应单点登录各个参数信息; 自动构建参数的单点登录方式只支持WEB应用,TCP应用,和L3VPN的HTTP,HTTPS应用。,单点登录典型应用和配置案例,单点登录典型应用和配置实例,客户需求: SANGFOR公司使用SSL VPN接入访问公司的技术论坛,希望实现用户登录SSL VPN后,直接使用登录SSL VPN的账号和密码登录技术论坛,不需要再次输入论坛的账号和密码。 解决方案: 使用自动填表或者自动构建参数的单点登录方式均可实现客户的需求
3、。 注:本PPT先介绍自动填表配置方法,再介绍自动构建参数配置方法,自动填表的单点登录配置思路,7) 用户登录SSL VPN,直接点击资源链接登录到内部论坛。,假如使用自动填表的单点登录方式来满足客户的需求,配置思路如下:,1) SSL VPN设备开启单点登录功能序列号。,2) 添加相应的资源,并启用“单点登录”,勾选“自动填表”方式。,3) 下载单点登录工具和单点登录脚本。,4) 使用单点登录工具进行录制。,5) 单点登录工具录制完成后,上传单点登录脚本到设备里。,6) 设置“角色授权”,将资源和用户关联起来。,自动填表的单点登录功能配置,1) SSL VPN设备开启单点登录功能序列号。,自
4、动填表的单点登录功能配置,2) 添加相应的资源,并启用“单点登录”,选择“自动填表”方式。,自动填表的单点登录功能配置,3) 下载单点登录工具和单点登录脚本。,自动填表的单点登录功能配置,4) 使用单点登录工具进行录制。,安装,双击,自动填表的单点登录功能配置,4) 使用单点登录工具进行录制。,自动填表的单点登录功能配置,5) 单点登录工具录制完成后,上传单点登录脚本到设备里。,自动填表的单点登录功能配置,6) 设置“角色管理”,将资源和用户关联起来。(配置省略),7) 用户登录SSL VPN,直接点击资源链接登录到论坛。,C/S应用的自动填表单点登录功能配置,C/S应用的自动填表单点登录功能
5、配置过程与B/S应用类似,不同的是设置资源的时候,需要填写应用程序在本地PC上的路径。,远程应用的自动填表单点登录的配置过程与B/S应用类似,在资源配置页面下方勾选“启用单点登录”,然后用单点登录工具进行录制、上传脚本等操作即可。,远程应用的自动填表单点登录功能配置,注意事项: 1、如果远程应用发布浏览器的话,远程应用单点登录只支持发布IE或IE内核的浏 览器,不支持发布FireFox,Chrome,Safari等非IE内核浏览器。 2、用户可以通过资源页面的个人设置修改单点登录的用户名和密码。 3、移动终端同样也可以使用远程应用发布的单点登录资源 4、录制远程应用发布单点登录时可在任一客户端
6、进行录制。,自动填表的单点登录功能实际上是在登录应用系统时,由单点登录脚本自动填写用户名,密码和点击登录按钮提交给应用系统进行登录。,单点登录录制时选择指定值:,如果单点登录录制用户名或者密码时,选择“指定值”并设置,则自动把这个指定值当成用户名或者密码提交给应用系统。,如果仅选择“指定值”未设置,则会提示用户名或者密码为空,需要用户手动填写和点击登录按钮提交。,想一想,如果登录应用系统的账号与登录SSL VPN的账号相同,但是密码不同,或者应用系统的账号密码与SSL VPN的账号和密码都不同,这样的场景下,能实现单点登录吗?,可以。可通过允许用户修改单点登录用户名密码来实现。,大多数应用环境
7、里,为了保护用户的隐私和系统访问的安全性,网络管理员在设置SSL VPN账号时,并不知道用户登录应用系统的用户名和密码。或管理员通过批量的方式添加的用户,初始密码相同。 在这样的情况下,通过单点登录录制成“与VPN的用户名相同”或“与VPN的密码相同”,并不能单点登录成功。通过录制成“指定值”也只能实现所有用户通过相同的用户名/密码登录应用系统或者用户手动输入用户名/密码,不能很好的同时解决安全性和易用性的问题。,允许用户修改单点登录的用户名和密码,通过“允许用户修改单点登录的用户名密码”,用户第一次登录SSL VPN后自行设置访问某个应用系统的用户名密码,并被单点登录脚本保存配置,后续访问即
8、可实现无需输入用户名和密码,直接登录应用系统。 也可实现通过不同的用户名密码访问不同的应用系统单点登录成功。,1. SSL设备开启允许用户修改单点登录的用户名和密码,允许用户修改单点登录的用户名和密码,2. 进行单点登录功能录制,录制时,用户名和密码的输入值必须分别选择“与VPN用户名相同”和“与VPN密码相同”。,允许用户修改单点登录的用户名和密码,3. 用户登录SSL VPN后,修改单点登录的用户名和密码。,允许用户修改单点登录的用户名和密码,4. 用户注销SSL VPN再登录,即可实现单点登录成功。,1.远程应用发布的单点登录功能只支持自动填表的单点登录方式,不支持自动构建参数的单点登录
9、方式。 2.修改单点登录的用户名、密码后,远程应用发布资源的单点登录不需要重新登录SSL VPN即可生效,WEB、TCP和L3VPN资源需要重新登录SSL VPN,才会生效。,注意事项,自动构建参数的单点登录配置思路,6) 用户登录SSL VPN,直接点击资源链接登录到内部论坛,假如使用自动构建参数的单点登录方式来满足客户的需求,配置思路如下:,1) SSL VPN设备开启单点登录功能序列号,2) 使用httpwatch工具抓取手动登录论坛时提交的账号密码关键字信息,3) 添加相应的资源,并启用“单点登录”,勾选“自动构建访问请求”方式,4) 将抓取到的账号密码关键字信息填入到参数列表中,5)
10、 设置“角色授权”,将资源和用户关联起来,自动构建参数的单点登录功能配置,1) SSL VPN设备开启单点登录功能序列号,并启用单点登录,自动构建参数的单点登录功能配置,2) 使用httpwatch工具抓取手动登录论坛时提交的账号密码关键字信息,自动构建参数的单点登录功能配置,3) 添加相应的资源,并启用“单点登录”,选择“自动构建访问请求”方式。,自动构建参数的单点登录功能配置,4) 将抓取到的账号密码关键字信息填入到参数列表中,5) 设置“角色授权”,将资源和用户关联起来,然后登录SSL VPN,验证效果(不再累赘),想一想,如果登录应用系统的账号与登录SSL VPN的账号相同,但是密码不
11、同,或者应用系统的账号密码与SSL VPN的账号和密码都不同,这样的场景下,能实现单点登录吗?,可以。可通过允许用户修改单点登录用户名密码来实现。 注:配置步骤与前面的自动填表方式类似,只是配置用户名密码参数时 需要选择“用户可配置”。,练练手,用自动填表的单点登录方式录制一个FTP的应用。 1.用户登录到SSL VPN的用户名密码与登录FTP的用户名密码相同的情况下,请实现用户登录到SSL VPN后可以直接打开FTP,无需再输入用户名和密码。 2.用户登录到SSL VPN的用户名密码与登录FTP服务器的用户名密码不相同的情况下,请实现用户登录到SSL VPN后可以直接打开FTP,无需再输入用户名和密码。,问题思考,1.单点登录对用户来说有什么作用? 2.单点登录有哪两种实现方式,两种实现方式有什么不同? 3.某客户新建资源的时候发现单点登录的选项灰色的,不让勾选,请问可能是什么原因?,
