AWS Client VPN

Casdoor เป็น SAML IdP ใน AWS Client VPN

คู่มือนี้จะแสดงวิธีการกำหนดค่า Casdoor และ AWS Client VPN เพื่อเพิ่ม Casdoor เป็น SAML IdP ใน AWS Client VPN

ข้อกำหนดเบื้องต้น

เพื่อทำการตั้งค่านี้ให้เสร็จสมบูรณ์ คุณจะต้องมี:

• บัญชี AWS ที่มีสิทธิ์การดูแลระบบเพื่อเข้าถึงการตั้งค่าการกำหนดค่าของผู้ให้บริการ

• Amazon VPC ที่มี EC2 instance

  • การตั้งค่า VPC
  • การเปิดตัว EC2 instance
    • ใน Security Group ของ instance, อนุญาต ICMP traffic จากช่วง CIDR ของ VPC - นี่เป็นสิ่งที่จำเป็นสำหรับการทดสอบ

• ใบรับรองส่วนตัวที่นำเข้าไปยัง AWS Certificate Manager (ACM)

  • การสร้างและนำเข้าใบรับรองไปยัง ACM

• ระบบ Windows หรือ Mac ที่รันซอฟต์แวร์ AWS Client VPN เวอร์ชันล่าสุด

  • ดาวน์โหลดซอฟต์แวร์

กำหนดค่า SAML Application

• ใน Casdoor Application, ตั้งค่า Redirect URL เป็น urn:amazon:webservices:clientvpn

• ตั้งค่า SAML reply URL เป็น http://127.0.0.1:35001

• บันทึกเนื้อหาใน SAML metadata เป็นไฟล์ XML

กำหนดค่า AWS

กำหนดค่า Casdoor เป็น AWS Identity Provider

1. เปิด IAM console และเลือก Identity providers จากแถบนำทาง

2. คลิก Create a Provider

3. ระบุ SAML สำหรับ Provider Type, เพิ่มชื่อที่ไม่ซ้ำสำหรับผู้ให้บริการนี้, และอัปโหลดเอกสาร metadata - ไฟล์เดียวกับที่คุณบันทึกจาก Casdoor Application ในส่วนก่อนหน้า

4. คลิก Next Step ในหน้าถัดไป, คลิก Create

สร้าง AWS Client VPN Endpoint

1. เปิด Amazon VPC console ใน AWS Region ที่คุณเลือก

2. ทางด้านซ้ายของการนำทาง, เลือก Client VPN Endpoints ภายใต้ Virtual Private Network (VPN)

3. คลิก Create Client VPN Endpoint.

4. ใส่ช่วง IP สำหรับผู้ใช้ระยะไกลในช่อง Client IPv4 CIDR เพื่อจัดสรรช่วง IP

5. สำหรับ Server Certificate ARN เลือกใบรับรองที่คุณสร้างขึ้น

6. สำหรับ Authentication Options, เลือก Use user-based authentication, จากนั้น Federated authentication.

7. สำหรับ SAML provider ARN เลือกผู้ให้บริการตัวตนที่คุณสร้างขึ้น

8. คลิก Create Client VPN Endpoint

เชื่อมต่อ Client VPN กับ Target VPC

1. เลือก Target network associations ในตัวเลือก Client VPN, จากนั้นคลิก Associate target network.

2. จากเมนูแบบดรอปดาวน์ เลือก VPC และ subnet ที่คุณต้องการเชื่อมต่อกับ endpoint ของคุณ

กำหนดค่า SAML Group-Specific Authorization

1. เลือกแท็บ Authorization rules ในตัวเลือก VPN ของลูกค้าและคลิก Add Authorize rule

2. สำหรับ Destination network to enable, ระบุ IP address ของ EC2 instance ที่สร้างไว้ในข้อกำหนดเบื้องต้น ตัวอย่างเช่น 172.31.16.0/20

3. ภายใต้ Grant access to เลือก Allow access to users in a specific access group ตัวอย่างเช่น casdoor

4. ให้คำอธิบายเพิ่มเติมและคลิก Add authorization rule

เชื่อมต่อกับ Client VPN

1. เลือก Client VPN endpoint ที่คุณเพิ่งสร้าง ตอนนี้ควรจะอยู่ในสถานะ Available

2. คลิก Download Client Configuration เพื่อดาวน์โหลดโปรไฟล์การตั้งค่าไปยังเดสก์ท็อปของคุณ

3. เปิดแอป AWS Client VPN บนเดสก์ท็อปของคุณ

4. ในเมนูด้านบน เลือก File และ Manage Profiles

5. คลิก Add Profile และเลือกไฟล์ที่ดาวน์โหลดมาเมื่อไม่นานนี้

6. ตอนนี้คุณควรจะเห็นโปรไฟล์ในรายการบนซอฟต์แวร์ AWS Client VPN เลือกมันและคลิก Connect