AWS Client VPN

Casdoor作为AWS Client VPN中的SAML IdP

本指南将向您展示如何配置Casdoor和AWS Client VPN，以在AWS Client VPN中添加Casdoor作为SAML IdP。

先决条件

要完成此设置，您将需要：

• 具有访问服务提供商配置设置的管理权限的AWS账户。

• 带有EC2实例的Amazon VPC

  • 设置VPC
  • 启动EC2实例
    • 在实例安全组中，允许来自VPC CIDR范围的ICMP流量 - 这是测试所需的。

• 将私有证书导入到AWS证书管理器(ACM)

  • 生成并导入证书到ACM

• 运行最新AWS Client VPN软件的Windows或Mac系统。

  • 下载软件

配置SAML应用程序

• 在Casdoor应用程序中，将Redirect URL设置为urn:amazon:webservices:clientvpn。

• 将SAML回复URL设置为http://127.0.0.1:35001。

• 将SAML元数据的内容保存为XML文件。

配置AWS

将Casdoor配置为AWS身份提供商

1. 打开IAM控制台，从导航栏中选择身份提供商。

2. 点击创建提供商。

3. 为提供商类型指定SAML，为此提供商添加一个唯一的名称，并上传元数据文档 - 与您在上一节中从Casdoor应用程序保存的文件相同。

4. 点击下一步。 在下一个屏幕上，点击创建。

创建AWS Client VPN端点

1. 在您选择的AWS区域中打开Amazon VPC控制台。

2. 在左侧导航中，选择客户端VPN端点，位于虚拟专用网络(VPN)下。

3. 点击创建客户端VPN端点。

4. 在客户端IPv4 CIDR字段中输入您的远程用户的IP范围，以分配IP范围。

5. 对于服务器证书ARN，选择您创建的证书。

6. 对于身份验证选项，选择使用基于用户的身份验证，然后选择联合身份验证。

7. 对于SAML提供商ARN，选择您创建的身份提供商。

8. 点击创建客户端VPN端点。

将客户端VPN与目标VPC关联

1. 在客户端VPN选项中选择目标网络关联，然后点击关联目标网络。

2. 从下拉菜单中，选择您想要将您的端点关联的目标VPC和子网。

配置SAML组特定授权

1. 在您的客户端VPN选项中，选择授权规则选项卡，然后点击添加授权规则。

2. 对于要启用的目标网络，指定在先决条件中创建的EC2实例的IP地址。 例如，172.31.16.0/20。

3. 在授予访问权限下，选择允许特定访问组中的用户访问。 例如，casdoor。

4. 提供一个可选的描述，然后点击添加授权规则。

连接到客户端VPN

1. 选择您刚刚创建的客户端VPN端点。 现在应该处于可用状态。

2. 点击下载客户端配置，将配置文件下载到您的桌面。

3. 在您的机器上打开AWS Client VPN桌面应用程序。

4. 在顶部菜单中，选择文件和管理配置文件。

5. 点击添加配置文件，并指向最近下载的文件。

6. 您现在应该在AWS Client VPN软件的列表中看到该配置文件。 选择它并点击连接。