SSLVPN7.6.8对接第三方统一身份认证以及WEBVPN体验
项目背景
山东某大学,采购了金智统一身份认证,为了实现通过单点登录统一身份认证,采购了一台深信服SSLVPN设备,并使用最新版本的WEBVPN实现无客户端无插件的登录,真正做到无感知体验。
实施前准备
1.因为是对接第三方CAS,需要金智提供平台的登录地址、登出地址以及验证接口地址
2.SSLVPN升级到最新版,7.6.8
3.因为要单点登录知网,所以要启用泛域名映射,要学校申请一个泛域名,将A记录指给VPN的地址,泛域名格式基本为*.xx.xx
实施中
第二步,进行对接金智统一身份认证,点击认证设置-第三方主要认证-CAS票据认证,点击后,CASloginurl即为CAS登录地址,CASlogouturl即为登出地址,CASva开头的即为验证地址,请求方式为get,具体情况具体分析
第三步,做完第三方认证后,还需要设置门户,要把第三方认证进行应用,系统设置-主题管理-登录策略(如果使用WEBVPN接入,一定要使用免客户端模式,否则无法跳转统一身份认证界面)
第四步,现在统一门户基本已经做好了,下面我们要做资源,因为客户要实现无感知,我们全部发布为WEBVPN,之前老版存在兼容性问题,如果是老版升级上来的设备,建议删除重做,新版多了子站点地址,意思为我发布一个主站点,当我访问主站点时,在主站点点击下面子站点所有的地址,全部实现WEB反向代理,跟发布主站点的功能相同,比之前简便了很多,在这里我们发布一个学校内部图书馆网站,通过进入到学校内部图书馆,在图书馆内点击中国知网子网站,中国知网也会进行改写代理,到达访问知网时,也会显示学校IP,可以使用学校的地址进行浏览文献
SSLVPN设置-资源管理-WEB资源新版,这里我们没有填写子站点地址,是因为子站点很多的情况下,在做授权的时候,可以绑定全网WEB资源,也是可以实现相同效果
第五步,资源建好了,第三方认证建好了,就要把资源和用户通过授权绑定起来,第三方认证上线后,默认在默认用户组中,所以直接授权给默认用户组即可,将图书馆资源以及WEB全网资源进行绑定(这个就比较尴尬,没有截授权用户的图,只截取了授权资源图)
SSLVPN设置-角色授权-新增,添加授权用户为默认用户组,授权资源为WEB全网资源以及刚刚建好的图书馆资源
第六步,做到这,基本就结束所有配置了,是不是很简单,全部进行确定,立即生效,接下来就是测试效果
实施后测试
1.测试第一步,访问之前在域名服务商那进行A记录解析写好的地址,通过点击此地址,会跳转到统一身份登录平台,可以看到,我们登录的地址已经被改写为:8118
2.跟客户要个统一身份认证的测试账号,输入后,点击登录,没有任何提示界面,会直接在网页跳转到资源界面,点击图书馆资源进行测试
3.点击完图书馆后,会跳转到被改写的图书馆界面,在图书馆中,找到中国知网进行登陆测试,看是否是以学校IP进行登陆,也可以访问其他图书馆,进行测试,我们可以发现,在发布的资源中点击子站,也会进行改写,
点击除知网的其他图书馆测试,也可以正常改写,并使用校内IP访问
到这,整个实施基本完成,可以看到,整个过程很简单,很容易配置,而且对于客户来说也是实现无感知访问校内系统,在外办公时,使用校内地址随时查阅文献,现在客户处已经让所有老师在外办公都通过VPN接入,也得到了好评!欢迎大家提出宝贵意见~ |