SANGFOR-SSL-v7.0-2016年度渠道高級認證培訓05-單點登錄配置培訓

SANGFORSSLVPN單點登錄配置培訓培訓內(nèi)容培訓目標單點登錄(SSO)1、了解單點登錄的概念自動填表單點登錄1、掌握自動填表單點登錄支持的應用和配置方法。自動構建參數(shù)單點登錄1、掌握自動構建參數(shù)單點登錄支持的應用。應用案例1、掌握自動填表單點登錄結合實際案例的配置思路2、掌握自動填表單點登錄在實際案例中的配置步驟單點登錄（SSO）功能介紹和分類單點登錄典型應用和配置案例深信服公司簡介練練手SANGFORSSL單點登錄功能簡介單點登錄（SSO）單點登錄（SingleSignOn），簡稱為SSO，即用戶登錄SSLVPN之后，訪問資源服務器時無需再輸入服務器的用戶名密碼。用戶無需多次輸入用戶名和密碼，大大提升了易用性，同時也避免了密碼外泄的風險。

單點登錄的分類SSLVPN的單點登錄主要分為兩類：

自動填表：用戶在登錄SSL控制臺以后，需要借助單點登錄助手在WEB頁面或應用程序登錄頁面錄制單點登錄；自動填表的單點登錄功能支持所有WEB應用，TCP應用

，L3VPN和遠程應用的所有B/S和C/S應用。

自動構建參數(shù)：用戶在錄制SSL單點登錄的時候，不使用單點登錄助手，而是手動填寫相應單點登錄各個參數(shù)信息；自動構建參數(shù)的單點登錄方式只支持WEB應用，TCP應用，和L3VPN的HTTP，HTTPS應用。單點登錄典型應用和配置案例單點登錄典型應用和配置實例

客戶需求：SANGFOR公司使用SSLVPN接入訪問公司的技術論壇，希望實現(xiàn)用戶登錄SSLVPN后，直接使用登錄SSLVPN的賬號和密碼登錄技術論壇，不需要再次輸入論壇的賬號和密碼。

解決方案：

使用自動填表或者自動構建參數(shù)的單點登錄方式均可實現(xiàn)客戶的需求。注：本PPT先介紹自動填表配置方法，再介紹自動構建參數(shù)配置方法

自動填表的單點登錄配置思路7）用戶登錄SSLVPN，直接點擊資源鏈接登錄到內(nèi)部論壇。假如使用自動填表的單點登錄方式來滿足客戶的需求，配置思路如下：1）SSLVPN設備開啟單點登錄功能序列號。2）添加相應的資源，并啟用“單點登錄”，勾選“自動填表”方式。3）下載單點登錄工具和單點登錄腳本。4）使用單點登錄工具進行錄制。5）單點登錄工具錄制完成后，上傳單點登錄腳本到設備里。6）設置“角色授權”，將資源和用戶關聯(lián)起來。自動填表的單點登錄功能配置1）SSLVPN設備開啟單點登錄功能序列號。自動填表的單點登錄功能配置2）添加相應的資源，并啟用“單點登錄”，選擇“自動填表”方式。自動填表的單點登錄功能配置3）下載單點登錄工具和單點登錄腳本。自動填表的單點登錄功能配置4）使用單點登錄工具進行錄制。安裝雙擊自動填表的單點登錄功能配置4）使用單點登錄工具進行錄制。自動填表的單點登錄功能配置5）單點登錄工具錄制完成后，上傳單點登錄腳本到設備里。自動填表的單點登錄功能配置6）設置“角色管理”，將資源和用戶關聯(lián)起來。（配置省略）7）用戶登錄SSLVPN，直接點擊資源鏈接登錄到論壇。C/S應用的自動填表單點登錄功能配置C/S應用的自動填表單點登錄功能配置過程與B/S應用類似，不同的是設置資源的時候，需要填寫應用程序在本地PC上的路徑。遠程應用的自動填表單點登錄的配置過程與B/S應用類似，在資源配置頁面下方勾選“啟用單點登錄”，然后用單點登錄工具進行錄制、上傳腳本等操作即可。遠程應用的自動填表單點登錄功能配置注意事項：1、如果遠程應用發(fā)布瀏覽器的話，遠程應用單點登錄只支持發(fā)布IE或IE內(nèi)核的瀏

覽器，不支持發(fā)布FireFox，Chrome，Safari等非IE內(nèi)核瀏覽器。2、用戶可以通過資源頁面的個人設置修改單點登錄的用戶名和密碼。3、移動終端同樣也可以使用遠程應用發(fā)布的單點登錄資源4、錄制遠程應用發(fā)布單點登錄時可在任一客戶端進行錄制。

自動填表的單點登錄功能實際上是在登錄應用系統(tǒng)時，由單點登錄腳本自動填寫用戶名，密碼和點擊登錄按鈕提交給應用系統(tǒng)進行登錄。單點登錄錄制時選擇指定值：如果單點登錄錄制用戶名或者密碼時，選擇“指定值”并設置，則自動把這個指定值當成用戶名或者密碼提交給應用系統(tǒng)。如果僅選擇“指定值”未設置，則會提示用戶名或者密碼為空，需要用戶手動填寫和點擊登錄按鈕提交。想一想

如果登錄應用系統(tǒng)的賬號與登錄SSLVPN的賬號相同，但是密碼不同，或者應用系統(tǒng)的賬號密碼與SSLVPN的賬號和密碼都不同，這樣的場景下，能實現(xiàn)單點登錄嗎？可以?？赏ㄟ^允許用戶修改單點登錄用戶名密碼來實現(xiàn)。大多數(shù)應用環(huán)境里，為了保護用戶的隱私和系統(tǒng)訪問的安全性，網(wǎng)絡管理員在設置SSLVPN賬號時，并不知道用戶登錄應用系統(tǒng)的用戶名和密碼?；蚬芾韱T通過批量的方式添加的用戶，初始密碼相同。

在這樣的情況下，通過單點登錄錄制成“與VPN的用戶名相同”或“與VPN的密碼相同”，并不能單點登錄成功。通過錄制成“指定值”也只能實現(xiàn)所有用戶通過相同的用戶名/密碼登錄應用系統(tǒng)或者用戶手動輸入用戶名/密碼，不能很好的同時解決安全性和易用性的問題。允許用戶修改單點登錄的用戶名和密碼

通過“允許用戶修改單點登錄的用戶名密碼”，用戶第一次登錄SSLVPN后自行設置訪問某個應用系統(tǒng)的用戶名密碼，并被單點登錄腳本保存配置，后續(xù)訪問即可實現(xiàn)無需輸入用戶名和密碼，直接登錄應用系統(tǒng)。也可實現(xiàn)通過不同的用戶名密碼訪問不同的應用系統(tǒng)單點登錄成功。1.SSL設備開啟允許用戶修改單點登錄的用戶名和密碼允許用戶修改單點登錄的用戶名和密碼2.進行單點登錄功能錄制，錄制時，用戶名和密碼的輸入值必須分別選擇“與VPN用戶名相同”和“與VPN密碼相同”。允許用戶修改單點登錄的用戶名和密碼3.用戶登錄SSLVPN后，修改單點登錄的用戶名和密碼。填入用戶訪問應用系統(tǒng)的用戶名和密碼允許用戶修改單點登錄的用戶名和密碼4.用戶注銷SSLVPN再登錄，即可實現(xiàn)單點登錄成功。通過“calin”的賬號再次登錄SSLVPN通過“l(fā)iushiqin”的賬號單點登錄論壇成功。1.遠程應用發(fā)布的單點登錄功能只支持自動填表的單點登錄方式，不支持自動構建參數(shù)的單點登錄方式。2.修改單點登錄的用戶名、密碼后，遠程應用發(fā)布資源的單點登錄不需要重新登錄SSLVPN即可生效，WEB、TCP和L3VPN資源需要重新登錄SSLVPN，才會生效。注意事項自動構建參數(shù)的單點登錄配置思路6）用戶登錄SSLVPN，直接點擊資源鏈接登錄到內(nèi)部論壇假如使用自動構建參數(shù)的單點登錄方式來滿足客戶的需求，配置思路如下：1）SSLVPN設備開啟單點登錄功能序列號2）使用httpwatch工具抓取手動登錄論壇時提交的賬號密碼關鍵字信息3）添加相應的資源，并啟用“單點登錄”，勾選“自動構建訪問請求”方式4）將抓取到的賬號密碼關鍵字信息填入到參數(shù)列表中5）設置“角色授權”，將資源和用戶關聯(lián)起來自動構建參數(shù)的單點登錄功能配置1）SSLVPN設備開啟單點登錄功能序列號，并啟用單點登錄自動構建參數(shù)的單點登錄功能配置2）使用httpwatch工具抓取手動登錄論壇時提交的賬號密碼關鍵字信息自動構建參數(shù)的單點登錄功能配置3）添加相應的資源，并啟用“單點登錄”，選擇“自動構建訪問請求”方式。自動構建參數(shù)的單點登錄功能配置4）將抓取到的賬號密碼關鍵字信息填入到參數(shù)列表中5）設置“角色授權”，將資源和用戶關聯(lián)起來，然后登錄SSLVPN，驗證效果（不再累贅）想一想

如果登錄應用系統(tǒng)的賬號與登錄SSLVPN的賬號相同，但是密碼不同，或者應用系統(tǒng)的賬號密碼與SSLVPN的賬號和密碼都不同，這樣的場景下，能實現(xiàn)單點登錄嗎？可以?？赏ㄟ^允許用戶修改單點登錄用戶名密碼來實現(xiàn)。注：配置步驟與前面的自動填表方式類似，只是配置用戶名密碼參數(shù)時需要選擇“用戶可配置”。

練練手用自動填表的單點登錄方式錄制一個FTP的應用。1.用戶登錄到SSLVPN的用戶名密碼與登錄FTP的用戶名密碼相同的情況下，請實現(xiàn)用戶登錄到SSLVPN后可以直接打開FTP，無需再輸入用戶