AWS Client VPN

Casdoor como um SAML IdP no AWS Client VPN

Este guia mostrará como configurar o Casdoor e o AWS Client VPN para adicionar o Casdoor como um SAML IdP no AWS Client VPN.

Pré-requisitos

Para completar esta configuração, você precisará:

• Uma conta AWS com direitos administrativos para acessar as configurações do provedor de serviço.

• Um Amazon VPC com uma instância EC2

  • Configurando o VPC
  • Iniciando uma instância EC2
    • No Grupo de Segurança da instância, permita o tráfego ICMP do intervalo CIDR do VPC - isso é necessário para testes.

• Um certificado privado importado para o AWS Certificate Manager (ACM)

  • Gerando e importando um certificado para o ACM

• Um sistema Windows ou Mac executando o software AWS Client VPN mais recente.

  • Baixe o software

Configurar Aplicativo SAML

• No Aplicativo Casdoor, defina a URL de Redirecionamento para urn:amazon:webservices:clientvpn.

• Defina a URL de Resposta SAML para http://127.0.0.1:35001.

• Salve o conteúdo no Metadados SAML como um arquivo XML.

Configurar AWS

Configurar o Casdoor como um Provedor de Identidade AWS

1. Abrir o console IAM e selecionar Provedores de identidade na barra de navegação.

2. Clique em Criar um Provedor.

3. Especifique SAML para o Tipo de Provedor, adicione um nome único para este provedor e faça o upload do documento de metadados - o mesmo arquivo que você salvou do Aplicativo Casdoor na seção anterior.

4. Clique em Próximo Passo. Na próxima tela, clique em Criar.

Criar um Endpoint de VPN do Cliente AWS

1. Abrir o console Amazon VPC em uma Região AWS de sua escolha.

2. No menu de navegação do lado esquerdo, selecione Endpoints de VPN do Cliente em Rede Privada Virtual (VPN).

3. Clique em Criar Endpoint de VPN do Cliente.

4. Digite o intervalo de IP para seus usuários remotos no campo CIDR IPv4 do Cliente para alocar um intervalo de IP.

5. Para ARN do Certificado do Servidor, selecione o certificado que você criou.

6. Para Opções de Autenticação, selecione Usar autenticação baseada em usuário, em seguida, Autenticação federada.

7. Para ARN do provedor SAML, selecione o provedor de identidade que você criou.

8. Clique em Criar Endpoint de VPN do Cliente.

Associar uma VPN do Cliente com um VPC Alvo

1. Selecione Associações de rede alvo nas opções de VPN do Cliente, em seguida, clique em Associar rede alvo.

2. No menu suspenso, selecione o VPC alvo e a sub-rede que você deseja associar ao seu endpoint.

Configurar Autorização Específica de Grupo SAML

1. Escolha a aba Regras de autorização nas suas opções de VPN do Cliente e clique em Adicionar regra de autorização.

2. Para Rede de destino a habilitar, especifique o endereço IP da sua instância EC2 criada nos pré-requisitos. Por exemplo, 172.31.16.0/20.

3. Em Conceder acesso a, selecione Permitir acesso a usuários em um grupo de acesso específico. Por exemplo, casdoor.

4. Forneça uma descrição opcional e clique em Adicionar regra de autorização.

Conectar à VPN do Cliente

1. Selecione o endpoint de VPN do Cliente que você acabou de criar. Agora deve estar no estado Disponível.

2. Clique em Baixar Configuração do Cliente para baixar o perfil de configuração para sua área de trabalho.

3. Abra o aplicativo de desktop AWS Client VPN em sua máquina.

4. No menu superior, selecione Arquivo e Gerenciar Perfis.

5. Clique em Adicionar Perfil e aponte para o arquivo recentemente baixado.

6. Você agora deve ver o perfil na lista no software AWS Client VPN. Selecione-o e clique em Conectar.