Search

如何使用 Microsoft Entra ID 作为身份提供程序为 QuWAN QBelt VPN 服务器配置 SAML 单点登录?

最后修订日期: 2025-04-09

适用产品

  • QuWAN Orchestrator
  • QVPN Client
  • Microsoft Entra ID

详细信息

QuWAN Orchestrator 允许使用安全断言标记语言 (SAML) 单点登录 (SSO) 与身份提供程序 (IdP)(例如 Microsoft Entra ID (Microsoft Azure AD))交换身份验证和授权数据。借助此功能,用户可以使用相同的 SAML IdP 凭据访问支持 SAML 身份验证的各项服务。这样即无需分别为每个应用程序和服务添加新凭据。

注意
Microsoft 已将 Azure Active Directory (AD) 更名为 Microsoft Entra ID。有关详细信息,请参见 Azure Active Directory 的新名称

步骤

1.使用 Microsoft Entra ID (Azure AD) 创建 QuWAN QBelt VPN 服务器应用程序

  1. 转到 https://portal.azure.com
  2. 使用 Microsoft 用户名和密码登录。
  3. 在 Microsoft Azure 横幅上,单击
  4. 单击“All services”(所有服务)。
  5. 单击 Microsoft Entra ID
  6. 在左侧面板中,在“Manage”(管理)下,选择“Enterprise applications”(企业应用程序)。
  7. 单击“New application”(新建应用程序)。
  8. 单击“Create your own application”(创建您自己的应用程序)。
  9. 在“What's the name of your app?”(应用程序的名称是什么?)下,指定应用程序的名称。
    注意
    为自定义 SAML 应用程序使用清晰明了的描述性名称,如服务名称本身(例如“QuWAN QBelt VPN 服务器”)。
  10. 选择“Integrate any other application you don't find in the gallery (Non-gallery)”(集成相册中找不到的其他应用程序(非相册))。
  11. 单击“Create”(创建)。

    Azure 即会添加应用程序并转到应用程序的“Overview”(概览)页面。

  12. 在侧面板上,单击“Users and groups”(用户和组),分配特定用户和组以授权访问应用程序。
    有关详细信息,请参见管理应用程序的用户和组分配

2.在 QuWAN Orchestrator 和 Azure 门户中为 QuWAN QBelt VPN 服务器配置 Microsoft Entra ID (Azure AD) SSO

要启用 Microsoft Entra ID (Azure ID) SSO,您必须在 Microsoft Entra ID 用户及其相应 QuWAN QBelt VPN SAML SSO 用户组之间建立链接。

  1. 转到 https://quwan.qnap.com
  2. 使用您的 QNAP 帐户用户名和密码登录。
  3. 选择您的组织。
  4. 转到“VPN Server Settings”(VPN 服务器设置)>“Privilege Settings”(权限设置)。
  5. 转到 SAML SSO
  6. 单击“Configure SAML SSO Now”(立即配置 SAML SSO)。
  7. 将“Identifier (Entity ID)”(标识符(实体 ID))和“Reply URL”(回复 URL)复制到剪贴板。
  8. 打开 Azure 门户。
  9. 转到“All services”(所有服务) > “Manage”(管理) > “Enterprise applications”(企业应用程序)。
  10. 找到并打开 QuWAN QBelt VPN 服务器企业应用程序。
  11. 在“Set up single sign on”(设置单点登录)下,单击“Get started”(开始使用)。
  12. 选择 SAML 作为单点登录方法。
  13. 找到步骤 1:“Basic SAML Configuration”(基本 SAML 配置)。
  14. 单击“Edit”(编辑)。
  15. 在相应字段中分别粘贴复制的“Identifier (Entity ID)”(标识符(实体 ID))和“Reply URL”(回复 URL)。
  16. 单击“Save”(保存)。
  17. 单击 X 以关闭 SAML 配置窗口。
  18. 找到步骤 3:“SAML Certificates”(SAML 证书)。
  19. 在“Certificate (Base64)”(证书(Base64))旁,单击“Download”(下载)。
  20. 找到步骤 4:“Set up [Application_Name]”(设置 [Application_Name])。
  21. 将“Login URL”(登录 URL)、Microsoft Entra ID 或“Azure AD Identifier”(Azure AD 标识符)复制到剪贴板。
  22. 配置属性和声明。
    1. 找到步骤 2:“Attributes & Claims”(属性和声明)。
    2. 单击“Edit”(编辑)。
    3. 单击“Add new claim”(添加新声明)。
    4. 将声明名称指定为 email
    5. 在“Source attribute”(源属性)中,选择与 email 相对应的属性。例如,选择 user.mail
    6. 单击“Save”(保存)。
    7. 单击“Add new claim”(添加新声明)。
    8. 将声明名称指定为 groups
    9. 在“Source attribute”(源属性)中,选择与 groups 声明相对应的属性。例如,选择 user.department
    10. 单击“Save”(保存)。
      注意
      • 要将 QuWAN SAML SSO 用户组与已在 Microsoft Entra ID 中创建的组相对应,请单击“Add group claim”(添加组声明),选择“All groups”(所有组),然后选择“Custom group claim name”(自定义组声明名称)。将声明名称输入为 groups
      • 有关修改声明的详细信息,请参见自定义 SAML 令牌声明
  23. 打开 QuWAN Orchestrator。
  24. 选择您的组织。
  25. 转到“VPN Server Settings”(VPN 服务器设置)>“Privilege Settings”(权限设置)。
  26. 转到 SAML SSO
  27. 单击“Configure SAML SSO Now”(立即配置 SAML SSO)。
  28. 粘贴单点登录 URL 和 IdP 标识符。
  29. 使用文本应用程序打开下载 Base64 证书。
  30. 复制证书文件的内容。
  31. 将内容粘贴到“Certificate (Base64 format)”(证书(Base64 格式))字段。
  32. 单击“Save”(保存)。
  33. 添加新 SAML SSO 用户组。
    1. 在 QuWAN Orchestrator 中,转到“VPN Server Settings”(VPN 服务器设置) > “Privilege Settings”(权限设置) > SAML SSO
    2. 在“SAML SSO User Rules”(SAML SSO 用户规则)旁边,单击“Add”(添加)。
    3. 启用用户规则。
    4. 配置用户规则设置。
      设置用户操作
      Rule name(规则名称)为 SAML SSO 用户规则指定名称。
      Attribute value(属性值)与在 Microsoft Entra ID 的组声明中配置的属性对应的值。
      注意
      • 如果已在 Microsoft Azure 门户的“Attributes and Claims”(属性和声明)中配置了 user.department 属性,请输入组织的部门名称作为属性值。
      • 可以在 Microsoft Azure 门户中从 QuWAN QBelt VPN 服务器应用程序检索源属性的值。例如,选择用户配置文件,转到“Overview”(概览),然后单击“Properties”(属性)。找到与“Department”(部门)字段关联的值,然后复制该值。
        如果选择“Add Group Claim”(添加组声明),则必须复制“Object ID”(对象 ID)。例如,选择组配置文件,转到“Overview”(概览),然后复制“Object ID”(对象 ID)值。
      • 选择“Rule for all users”(规则适用所有用户),对所有用户应用属性值。
      Segment(网段)选择预配置的网段。
      Accessible Hubs(可访问中心)选择要连接的一个或多个中心。
    5. 可选:启用“Allow concurrent multidevice connections”(允许并发多设备连接)。
    6. 单击“Save”(保存)。
  34. 单击“Apply”(应用)。

QuWAN Orchestrator 将保存 SAML SSO 设置。

3.使用 QVPN Client 和 Microsoft Entra ID (Azure AD) SSO 连接到 QuWAN QBelt VPN

成功配置 QuWAN SAML SSO 后,通过 QVPN Client 建立与 QuWAN QBelt VPN 的连接。

  1. 转到“QNAP Utilities”(QNAP 实用工具)。
  2. 找到 QVPN Client(以前名为 QVPN 设备客户端)。
  3. 将实用工具下载到您的设备。
  4. 在设备上安装实用工具。
  5. 打开“QVPN Client”。
  6. 单击“Add a QuWAN Profile”(添加 QuWAN 配置文件)。
  7. 指定组织 ID。
    注意
    您可以在 QuWAN Orchestrator 中找到组织 ID。转到“VPN Server Settings”(VPN 服务器设置)>“Privilege Settings”(权限设置)> SAML SSO
  8. 单击“Next”(下一步)。
    此时会出现“Authentication Settings”(身份验证设置)页面。
  9. 选择 SAML SSO 作为服务。
  10. 单击“Next”(下一步)。
    打开默认浏览器时,QVPN Client 将提示您输入 Microsoft Entra ID (Azure AD) 凭据。
  11. 单击“OK”(确定)。
  12. 输入您的 Microsoft Entra ID 凭据并登录。
  13. 关闭浏览器并返回 QVPN Client。
  14. 配置配置文件设置。
    1. 指定配置文件名称。
    2. 从下拉菜单中选择区域中心。
      您可以让系统自动选择可满足您需求的最佳中心,也可以手动选择特定中心,并指定要连接的 WAN 端口。
    3. 可选:如果要在应用设置后立即连接到 QuWAN 配置文件,请选择“Connect immediately After Save”(保存后立即连接)。
  15. 在 QVPN Client 中找到 QuWAN 配置文件,然后单击“Connect”(连接)。
    QVPN Client 将打开默认系统浏览器以进行用户身份验证。
  16. 输入您的 Microsoft Entra ID 凭据并登录。
    登录 Microsoft Entra 后,您可以关闭浏览器并返回 QVPN Client。

QVPN Client 将使用 Microsoft Entra ID SSO 连接到 QuWAN QBelt VPN 服务器。

补充阅读

有关 Microsoft Entra ID 功能的详细信息,请访问以下网页。

 

这篇文章有帮助吗?

谢谢您,我们已经收到您的意见。

请告诉我们如何改进这篇文章:

如果您想提供其他意见,请于下方输入。

选择规格

      显示更多 隐藏更多
      open menu
      back to top