Search

如何使用 Google Workspace Admin 作为身份提供程序为 QuWAN QBelt VPN 服务器配置 SAML 单点登录?

最后修订日期: 2024-01-25

适用产品

  • QuWAN Orchestrator
  • QVPN Client
  • Google Workspace Admin

详细信息

QuWAN Orchestrator 允许使用安全断言标记语言 (SAML) 单点登录 (SSO) 与身份提供程序 (IdP)(例如 Google Workspace Admin)交换身份验证和授权数据。借助此功能,用户可以使用相同的 SAML IdP 凭据访问支持 SAML 身份验证的各项服务。这样即无需分别为每个应用程序和服务添加新凭据。

重要
要登录 Google 管理员帐号,必须拥有有效 Google Workspace 或 Cloud Identity 帐号。这些帐号授予您管理组织 Google 服务所必需的权限。

步骤

1. 使用 Google Workspace 管理员帐号为 QuWAN QBelt VPN 服务器创建自定义 SAML 单点登录

  1. 转到 https://admin.google.com
  2. 使用 Google Workspace 用户名和密码登录。
    此时将出现管理控制台。
  3. 单击
  4. 单击“Apps”(应用程序)。
  5. 单击“Web and mobile apps”(Web 和移动应用程序)。
  6. 单击“Add App”(添加应用程序),然后单击“Add custom SAML app”(添加自定义 SAML 应用程序)。
  7. 指定应用程序名称和描述。
    注意
    为自定义 SAML 应用程序使用清晰明了的描述性名称,如服务名称本身(例如“QuWAN QBelt VPN 服务”)。
  8. 可选:上传应用程序图标。
  9. 单击“Continue”(继续)。
    此时会出现“Google Identity Provider details”(Google 身份提供程序详细信息)页面。
  10. 将 SSO URL、“Entity ID”(实体 ID)和证书复制到剪贴板。
  11. 单击“Continue”(继续)。
    重要
    此步骤之后请勿关闭 Google Workspace Admin 控制台窗口。在 QuWAN Orchestrator 中继续配置 SAML SSO 设置,然后返回 Google Workspace Admin 控制台以完成创建自定义 SAML 应用程序的过程。

2.在 QuWAN Orchestrator 和 Google Workspace Admin 控制台中配置 QuWAN QBelt VPN 服务器设置。

要启用 Google Workspace Admin SAML SSO,您必须在 Google Workspace Admin 用户及其相应 QuWAN QBelt VPN SAML SSO 用户组之间建立链接。

  1. 在 QuWAN Orchestrator 上配置 SAML SSO 设置。
    1. 转到 https://quwan.qnap.com
    2. 使用您的 QNAP 帐户用户名和密码登录。
    3. 选择您的组织。
    4. 转到“VPN Server Settings”(VPN 服务器设置)>“Privilege Settings”(权限设置)。
    5. 转到 SAML SSO
    6. 在“Basic SAML Configuration”(基本 SAML 配置)字段中,单击
      此时将出现“Configure SAML SSO Settings”(配置 SAML SSO 设置)窗口。
    7. 在“Identity Provider Information”(身份提供程序信息)下,粘贴 SSO URL、“Entity ID”(实体 ID)和证书信息。
    8. 将“Identifier (Entity ID)”(标识符(实体 ID))和“Reply URL (ACS URL)”(回复 URL (ACS URL))复制到剪贴板。
    9. 单击“Save”(保存)。
  2. 在 Google Workspace Admin 控制台中配置服务提供商设置。
    1. 在浏览器上打开“Google Workspace Admin console”(Google Workspace Admin 控制台)标签页。
      此时将出现“Service provider details”(服务提供商详细信息)页面。
    2. 在相应字段中分别粘贴复制的“Identifier (Entity ID)”(标识符(实体 ID))和“Reply URL (ACS URL)”(回复 URL (ACS URL))。
    3. 单击“Continue”(继续)。
      此时会出现“Attribute mapping”(属性映射)页面。
    4. 根据 QuWAN SAML SSO 要求映射用户属性。
      1. 配置电子邮件属性以进行身份验证。
        1. 单击“Add mapping”(添加映射)。
        2. 在“Google Directory attributes”(Google Directory 属性)下,选择“Primary email”(主电子邮件)。
        3. 在“App attributes”(应用程序属性)字段中输入“email”(电子邮件)。
      2. 为权限控制配置组属性。
        1. 单击“Add mapping”(添加映射)。
        2. 在“Google Directory attributes”(Google Directory 属性)下,选择“Department”(部门)。
        3. 在“App attributes”(应用程序属性)字段中输入“groups”(组)。
          提示(可选)
          为了将 QuWAN SAML SSO 用户规则有效映射到对应的 Google Workspace Admin 组,请先在“Group membership (optional)”(组成员关系(可选))下选择要添加到 SAML 应用程序的 Google 组,然后输入“groups”(组)作为应用程序属性。
      3. 单击“Save”(保存)。
        Google Workspace Admin 控制台即会保存设置。
  3. 为 QuWAN QBelt SAML SSO 激活自定义应用程序。
    1. 转到 https://admin.google.com
    2. 使用 Google Workspace 用户名和密码登录。
      此时将出现管理控制台。
    3. 单击
    4. 单击“Apps”(应用程序)。
    5. 单击“Web and mobile apps”(Web 和移动应用程序)。
    6. 选择自定义 QuWAN QBelt VPN 服务器应用程序。
    7. 单击“User access”(用户访问权限)。
    8. 在“Service status”(服务状态)页面上,选择“On for everyone”(为所有人打开)。
    9. 单击“Save”(保存)。
    10. 可选:为一系列组激活服务。
      1. 单击“Groups”(组)。
      2. 选择一个或多个用户组。
      3. 选择“On”(打开)可启用此服务。
      4. 单击“Save”(保存)。

3.在 QuWAN Orchestrator 中添加 SAML SSO 用户规则

  1. 打开 QuWAN Orchestrator。
  2. 选择您的组织。
  3. 转到“VPN Server Settings”(VPN 服务器设置)>“Privilege Settings”(权限设置)。
  4. 转到 SAML SSO
  5. 单击“Configure SAML SSO Now”(立即配置 SAML SSO)。
  6. 添加新 SAML SSO 用户组。
    1. 在 QuWAN Orchestrator 中,转到 VPN 服务器设置 > 权限设置 > SAML SSO
    2. 在“SAML SSO User Rules”(SAML SSO 用户规则)旁边,单击“Add”(添加)。
    3. 启用用户规则。
    4. 配置用户组设置。
      设置用户操作
      规则名称为 SAML SSO 用户规则指定名称。
      属性值与在 Google Workspace Admin 控制台中为自定义 SAML 应用程序的组属性配置的源属性对应的值。
      注意
      • 如果组成员关系是在 Google Workspace 中配置的组属性,请使用 QuWAN Orchestrator 中对应的应用程序属性值。
      • 如果使用其他属性(例如“Department”(部门))作为组属性,请使用 QuWAN Orchestrator 中对应的应用程序属性值。您可以在 Google Workspace Admin 控制台的“Users”(用户)页面中查找相应的 Department 属性值。
      • 选择“Rule for all users”(规则适用所有用户),对所有用户应用属性值。
      Segment(网段)选择预配置的网段。
      Accessible Hubs(可访问中心)选择要连接的一个或多个中心。
    5. 可选:启用“Allow concurrent multidevice connections”(允许并发多设备连接)。
    6. 单击“Save”(保存)。
  7. 单击“Apply”(应用)。

QuWAN Orchestrator 将保存 SAML SSO 设置。

4.使用 QVPN Client 和 Google Workspace Admin SSO 连接到 QuWAN QBelt VPN 服务器

成功配置 QuWAN SAML SSO 后,通过 QVPN Client 建立与 QuWAN QBelt VPN 的连接。

  1. 转到“QNAP Utilities”(QNAP 实用工具)。
  2. 找到 QVPN Client(以前名为 QVPN 设备客户端)。
  3. 将实用工具下载到您的设备。
  4. 在设备上安装实用工具。
  5. 打开“QVPN Client”。
  6. 单击“Add a QuWAN Profile”(添加 QuWAN 配置文件)。
  7. 指定组织 ID。
    注意
    您可以在 QuWAN Orchestrator 中找到组织 ID。转到“VPN Server Settings”(VPN 服务器设置)>“Privilege Settings”(权限设置)> SAML SSO
  8. 单击“Next”(下一步)。
    此时会出现“Authentication Settings”(身份验证设置)页面。
  9. 选择 SAML SSO 作为服务。
  10. 单击“Next”(下一步)。
    打开默认浏览器时,QVPN Client 将提示您输入 Google Workspace Admin 凭据。
  11. 单击“OK”(确定)。
  12. 输入您的 Google Workspace Admin 凭据并登录。
  13. 关闭浏览器并返回 QVPN Client。
  14. 配置配置文件设置。
    1. 指定配置文件名称。
    2. 从下拉菜单中选择区域中心。
      您可以让系统自动选择可满足您需求的最佳中心,也可以手动选择特定中心,并指定要连接的 WAN 端口。
    3. 可选:如果要在应用设置后立即连接到 QuWAN 配置文件,请选择“Connect immediately After Save”(保存后立即连接)。
  15. 在 QVPN Client 中找到 QuWAN 配置文件,然后单击“Connect”(连接)。
    QVPN Client 将打开默认系统浏览器以进行用户身份验证。
  16. 输入您的 Google Workspace Admin 凭据并登录。
    登录 Google Workspace Admin 后,您可以关闭浏览器并返回 QVPN Client。

QVPN Client 将使用 Google Workspace Admin SSO 连接到 QuWAN QBelt VPN 服务器。

补充阅读

这篇文章有帮助吗?

谢谢您,我们已经收到您的意见。

请告诉我们如何改进这篇文章:

如果您想提供其他意见,请于下方输入。

选择规格

      显示更多 隐藏更多
      open menu
      back to top