SANGFOR-SSL-v7.0-2016年度渠道高級(jí)認(rèn)證培訓(xùn)05-單點(diǎn)登錄配置培訓(xùn)

SANGFORSSLVPN單點(diǎn)登錄配置培訓(xùn)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)單點(diǎn)登錄(SSO)1、了解單點(diǎn)登錄的概念自動(dòng)填表單點(diǎn)登錄1、掌握自動(dòng)填表單點(diǎn)登錄支持的應(yīng)用和配置方法。自動(dòng)構(gòu)建參數(shù)單點(diǎn)登錄1、掌握自動(dòng)構(gòu)建參數(shù)單點(diǎn)登錄支持的應(yīng)用。應(yīng)用案例1、掌握自動(dòng)填表單點(diǎn)登錄結(jié)合實(shí)際案例的配置思路2、掌握自動(dòng)填表單點(diǎn)登錄在實(shí)際案例中的配置步驟單點(diǎn)登錄（SSO）功能介紹和分類單點(diǎn)登錄典型應(yīng)用和配置案例深信服公司簡(jiǎn)介練練手SANGFORSSL單點(diǎn)登錄功能簡(jiǎn)介單點(diǎn)登錄（SSO）單點(diǎn)登錄（SingleSignOn），簡(jiǎn)稱為SSO，即用戶登錄SSLVPN之后，訪問資源服務(wù)器時(shí)無需再輸入服務(wù)器的用戶名密碼。用戶無需多次輸入用戶名和密碼，大大提升了易用性，同時(shí)也避免了密碼外泄的風(fēng)險(xiǎn)。

單點(diǎn)登錄的分類SSLVPN的單點(diǎn)登錄主要分為兩類：

自動(dòng)填表：用戶在登錄SSL控制臺(tái)以后，需要借助單點(diǎn)登錄助手在WEB頁面或應(yīng)用程序登錄頁面錄制單點(diǎn)登錄；自動(dòng)填表的單點(diǎn)登錄功能支持所有WEB應(yīng)用，TCP應(yīng)用

，L3VPN和遠(yuǎn)程應(yīng)用的所有B/S和C/S應(yīng)用。

自動(dòng)構(gòu)建參數(shù)：用戶在錄制SSL單點(diǎn)登錄的時(shí)候，不使用單點(diǎn)登錄助手，而是手動(dòng)填寫相應(yīng)單點(diǎn)登錄各個(gè)參數(shù)信息；自動(dòng)構(gòu)建參數(shù)的單點(diǎn)登錄方式只支持WEB應(yīng)用，TCP應(yīng)用，和L3VPN的HTTP，HTTPS應(yīng)用。單點(diǎn)登錄典型應(yīng)用和配置案例單點(diǎn)登錄典型應(yīng)用和配置實(shí)例

客戶需求：SANGFOR公司使用SSLVPN接入訪問公司的技術(shù)論壇，希望實(shí)現(xiàn)用戶登錄SSLVPN后，直接使用登錄SSLVPN的賬號(hào)和密碼登錄技術(shù)論壇，不需要再次輸入論壇的賬號(hào)和密碼。

解決方案：

使用自動(dòng)填表或者自動(dòng)構(gòu)建參數(shù)的單點(diǎn)登錄方式均可實(shí)現(xiàn)客戶的需求。注：本PPT先介紹自動(dòng)填表配置方法，再介紹自動(dòng)構(gòu)建參數(shù)配置方法

自動(dòng)填表的單點(diǎn)登錄配置思路7）用戶登錄SSLVPN，直接點(diǎn)擊資源鏈接登錄到內(nèi)部論壇。假如使用自動(dòng)填表的單點(diǎn)登錄方式來滿足客戶的需求，配置思路如下：1）SSLVPN設(shè)備開啟單點(diǎn)登錄功能序列號(hào)。2）添加相應(yīng)的資源，并啟用“單點(diǎn)登錄”，勾選“自動(dòng)填表”方式。3）下載單點(diǎn)登錄工具和單點(diǎn)登錄腳本。4）使用單點(diǎn)登錄工具進(jìn)行錄制。5）單點(diǎn)登錄工具錄制完成后，上傳單點(diǎn)登錄腳本到設(shè)備里。6）設(shè)置“角色授權(quán)”，將資源和用戶關(guān)聯(lián)起來。自動(dòng)填表的單點(diǎn)登錄功能配置1）SSLVPN設(shè)備開啟單點(diǎn)登錄功能序列號(hào)。自動(dòng)填表的單點(diǎn)登錄功能配置2）添加相應(yīng)的資源，并啟用“單點(diǎn)登錄”，選擇“自動(dòng)填表”方式。自動(dòng)填表的單點(diǎn)登錄功能配置3）下載單點(diǎn)登錄工具和單點(diǎn)登錄腳本。自動(dòng)填表的單點(diǎn)登錄功能配置4）使用單點(diǎn)登錄工具進(jìn)行錄制。安裝雙擊自動(dòng)填表的單點(diǎn)登錄功能配置4）使用單點(diǎn)登錄工具進(jìn)行錄制。自動(dòng)填表的單點(diǎn)登錄功能配置5）單點(diǎn)登錄工具錄制完成后，上傳單點(diǎn)登錄腳本到設(shè)備里。自動(dòng)填表的單點(diǎn)登錄功能配置6）設(shè)置“角色管理”，將資源和用戶關(guān)聯(lián)起來。（配置省略）7）用戶登錄SSLVPN，直接點(diǎn)擊資源鏈接登錄到論壇。C/S應(yīng)用的自動(dòng)填表單點(diǎn)登錄功能配置C/S應(yīng)用的自動(dòng)填表單點(diǎn)登錄功能配置過程與B/S應(yīng)用類似，不同的是設(shè)置資源的時(shí)候，需要填寫應(yīng)用程序在本地PC上的路徑。遠(yuǎn)程應(yīng)用的自動(dòng)填表單點(diǎn)登錄的配置過程與B/S應(yīng)用類似，在資源配置頁面下方勾選“啟用單點(diǎn)登錄”，然后用單點(diǎn)登錄工具進(jìn)行錄制、上傳腳本等操作即可。遠(yuǎn)程應(yīng)用的自動(dòng)填表單點(diǎn)登錄功能配置注意事項(xiàng)：1、如果遠(yuǎn)程應(yīng)用發(fā)布瀏覽器的話，遠(yuǎn)程應(yīng)用單點(diǎn)登錄只支持發(fā)布IE或IE內(nèi)核的瀏

覽器，不支持發(fā)布FireFox，Chrome，Safari等非IE內(nèi)核瀏覽器。2、用戶可以通過資源頁面的個(gè)人設(shè)置修改單點(diǎn)登錄的用戶名和密碼。3、移動(dòng)終端同樣也可以使用遠(yuǎn)程應(yīng)用發(fā)布的單點(diǎn)登錄資源4、錄制遠(yuǎn)程應(yīng)用發(fā)布單點(diǎn)登錄時(shí)可在任一客戶端進(jìn)行錄制。

自動(dòng)填表的單點(diǎn)登錄功能實(shí)際上是在登錄應(yīng)用系統(tǒng)時(shí)，由單點(diǎn)登錄腳本自動(dòng)填寫用戶名，密碼和點(diǎn)擊登錄按鈕提交給應(yīng)用系統(tǒng)進(jìn)行登錄。單點(diǎn)登錄錄制時(shí)選擇指定值：如果單點(diǎn)登錄錄制用戶名或者密碼時(shí)，選擇“指定值”并設(shè)置，則自動(dòng)把這個(gè)指定值當(dāng)成用戶名或者密碼提交給應(yīng)用系統(tǒng)。如果僅選擇“指定值”未設(shè)置，則會(huì)提示用戶名或者密碼為空，需要用戶手動(dòng)填寫和點(diǎn)擊登錄按鈕提交。想一想

如果登錄應(yīng)用系統(tǒng)的賬號(hào)與登錄SSLVPN的賬號(hào)相同，但是密碼不同，或者應(yīng)用系統(tǒng)的賬號(hào)密碼與SSLVPN的賬號(hào)和密碼都不同，這樣的場(chǎng)景下，能實(shí)現(xiàn)單點(diǎn)登錄嗎？可以?？赏ㄟ^允許用戶修改單點(diǎn)登錄用戶名密碼來實(shí)現(xiàn)。大多數(shù)應(yīng)用環(huán)境里，為了保護(hù)用戶的隱私和系統(tǒng)訪問的安全性，網(wǎng)絡(luò)管理員在設(shè)置SSLVPN賬號(hào)時(shí)，并不知道用戶登錄應(yīng)用系統(tǒng)的用戶名和密碼?；蚬芾韱T通過批量的方式添加的用戶，初始密碼相同。

在這樣的情況下，通過單點(diǎn)登錄錄制成“與VPN的用戶名相同”或“與VPN的密碼相同”，并不能單點(diǎn)登錄成功。通過錄制成“指定值”也只能實(shí)現(xiàn)所有用戶通過相同的用戶名/密碼登錄應(yīng)用系統(tǒng)或者用戶手動(dòng)輸入用戶名/密碼，不能很好的同時(shí)解決安全性和易用性的問題。允許用戶修改單點(diǎn)登錄的用戶名和密碼

通過“允許用戶修改單點(diǎn)登錄的用戶名密碼”，用戶第一次登錄SSLVPN后自行設(shè)置訪問某個(gè)應(yīng)用系統(tǒng)的用戶名密碼，并被單點(diǎn)登錄腳本保存配置，后續(xù)訪問即可實(shí)現(xiàn)無需輸入用戶名和密碼，直接登錄應(yīng)用系統(tǒng)。也可實(shí)現(xiàn)通過不同的用戶名密碼訪問不同的應(yīng)用系統(tǒng)單點(diǎn)登錄成功。1.SSL設(shè)備開啟允許用戶修改單點(diǎn)登錄的用戶名和密碼允許用戶修改單點(diǎn)登錄的用戶名和密碼2.進(jìn)行單點(diǎn)登錄功能錄制，錄制時(shí)，用戶名和密碼的輸入值必須分別選擇“與VPN用戶名相同”和“與VPN密碼相同”。允許用戶修改單點(diǎn)登錄的用戶名和密碼3.用戶登錄SSLVPN后，修改單點(diǎn)登錄的用戶名和密碼。填入用戶訪問應(yīng)用系統(tǒng)的用戶名和密碼允許用戶修改單點(diǎn)登錄的用戶名和密碼4.用戶注銷SSLVPN再登錄，即可實(shí)現(xiàn)單點(diǎn)登錄成功。通過“calin”的賬號(hào)再次登錄SSLVPN通過“l(fā)iushiqin”的賬號(hào)單點(diǎn)登錄論壇成功。1.遠(yuǎn)程應(yīng)用發(fā)布的單點(diǎn)登錄功能只支持自動(dòng)填表的單點(diǎn)登錄方式，不支持自動(dòng)構(gòu)建參數(shù)的單點(diǎn)登錄方式。2.修改單點(diǎn)登錄的用戶名、密碼后，遠(yuǎn)程應(yīng)用發(fā)布資源的單點(diǎn)登錄不需要重新登錄SSLVPN即可生效，WEB、TCP和L3VPN資源需要重新登錄SSLVPN，才會(huì)生效。注意事項(xiàng)自動(dòng)構(gòu)建參數(shù)的單點(diǎn)登錄配置思路6）用戶登錄SSLVPN，直接點(diǎn)擊資源鏈接登錄到內(nèi)部論壇假如使用自動(dòng)構(gòu)建參數(shù)的單點(diǎn)登錄方式來滿足客戶的需求，配置思路如下：1）SSLVPN設(shè)備開啟單點(diǎn)登錄功能序列號(hào)2）使用httpwatch工具抓取手動(dòng)登錄論壇時(shí)提交的賬號(hào)密碼關(guān)鍵字信息3）添加相應(yīng)的資源，并啟用“單點(diǎn)登錄”，勾選“自動(dòng)構(gòu)建訪問請(qǐng)求”方式4）將抓取到的賬號(hào)密碼關(guān)鍵字信息填入到參數(shù)列表中5）設(shè)置“角色授權(quán)”，將資源和用戶關(guān)聯(lián)起來自動(dòng)構(gòu)建參數(shù)的單點(diǎn)登錄功能配置1）SSLVPN設(shè)備開啟單點(diǎn)登錄功能序列號(hào)，并啟用單點(diǎn)登錄自動(dòng)構(gòu)建參數(shù)的單點(diǎn)登錄功能配置2）使用httpwatch工具抓取手動(dòng)登錄論壇時(shí)提交的賬號(hào)密碼關(guān)鍵字信息自動(dòng)構(gòu)建參數(shù)的單點(diǎn)登錄功能配置3）添加相應(yīng)的資源，并啟用“單點(diǎn)登錄”，選擇“自動(dòng)構(gòu)建訪問請(qǐng)求”方式。自動(dòng)構(gòu)建參數(shù)的單點(diǎn)登錄功能配置4）將抓取到的賬號(hào)密碼關(guān)鍵字信息填入到參數(shù)列表中5）設(shè)置“角色授權(quán)”，將資源和用戶關(guān)聯(lián)起來，然后登錄SSLVPN，驗(yàn)證效果（不再累贅）想一想

如果登錄應(yīng)用系統(tǒng)的賬號(hào)與登錄SSLVPN的賬號(hào)相同，但是密碼不同，或者應(yīng)用系統(tǒng)的賬號(hào)密碼與SSLVPN的賬號(hào)和密碼都不同，這樣的場(chǎng)景下，能實(shí)現(xiàn)單點(diǎn)登錄嗎？可以?？赏ㄟ^允許用戶修改單點(diǎn)登錄用戶名密碼來實(shí)現(xiàn)。注：配置步驟與前面的自動(dòng)填表方式類似，只是配置用戶名密碼參數(shù)時(shí)需要選擇“用戶可配置”。

練練手用自動(dòng)填表的單點(diǎn)登錄方式錄制一個(gè)FTP的應(yīng)用。1.用戶登錄到SSLVPN的用戶名密碼與登錄FTP的用戶名密碼相同的情況下，請(qǐng)實(shí)現(xiàn)用戶登錄到SSLVPN后可以直接打開FTP，無需再輸入用戶