Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

瞻博网络安全连接中的 SAML 身份验证

阅读本主题,了解瞻博网络安全连接中基于安全断言标记语言 (SAML) 的用户身份验证。

SAML 概览

安全断言标记语言 (SAML) 是基于 XML 的框架,用于在服务提供商 (SP) 和身份提供商 (IdP) 之间交换身份验证和授权数据。SAML 支持单点登录 (SSO),用户只需登录一次,即可无缝访问多个应用,而无需每次都重新输入凭据。

瞻博网络安全连接支持使用 SAML 版本 2 (SAML 2.0) 进行远程用户身份验证。使用 iked 进程运行 VPN 服务时,SRX 系列防火墙支持此功能。

用于瞻博网络安全连接的 SAML 组件

以下是用于瞻博网络安全连接的 SAML 中的关键组件:

  • 主体(用户) — 请求远程访问 VPN 连接等服务的用户。瞻博网络安全连接的任何远程用户都是委托人。用户设备(如 Windows 笔记本电脑)上可用的浏览器被用作 SSO 代理。

  • 身份提供商 (IdP) — 对用户进行身份验证并向服务提供商提供身份断言的实体。IdP 生成一个身份验证断言,以指示用户已通过身份验证。Okta 和 Microsoft Azure 是 IdP 的示例。

  • 服务提供商 (SP) — 向用户提供服务的实体。它依靠来自 IdP 的断言向用户授予访问权限。在瞻博网络安全连接中,SRX 系列防火墙充当服务提供商,提供远程访问 VPN 服务。

  • SAML 断言 - 一种基于 XML 的消息,携带用户的身份验证和授权信息。断言用于将用户身份信息从 IdP 传输到 SP。

  • SAML 绑定 — 定义 SAML 消息在 IdP 和 SP 之间的传输方式。 SRX 系列防火墙支持通过 HTTP 重定向和 HTTP POST 绑定的 SP 发起的 SSO 配置文件。

  • SAML 元数据 - 基于 XML 的数据,用于描述 IdP 和 SP 属性,例如实体 ID、证书、绑定、URL 等。这些实体相互交互。SRX 系列防火墙允许您导入 IdP 元数据和导出 SP 元数据。

表 1 显示了 SRX 系列防火墙支持的 SAML 功能列表。

表 1:SRX 系列防火墙中的 SAML 支持

SAML 功能

支持

SAML 版本

  • SAML 2.0

与 SAMLv1 不兼容。

SAML 配置文件

  • Web SSO:服务提供商发起的 SSO 配置文件

  • 单点注销:服务提供商接收用户注销请求,并仅将注销响应发送给 IdP。服务提供商不会生成用户注销请求,也不会向 IdP 发送用户注销请求。

SAML 绑定

  • HTTP 重定向:服务提供商到 IdP 消息(如身份验证请求和注销响应)使用 HTTP 重定向。

  • HTTP POST:服务提供商使用 HTTP POST 接受来自 IdP 的消息,例如注销请求和断言响应。

服务提供商散列算法

  • SHA-256、SHA-384、SHA-512

默认值为 SHA-256。

断言缓存

  • 是的。防火墙稍后可以使用相同的断言缓存进行用户身份验证。

支持高可用性

  • 机箱群集 (L2 HA)

  • 多节点高可用性 (L3 HA)

对正在进行的身份验证会话不支持高可用性。

好处

  • 改善用户体验 — SAML 在多应用访问场景中提供 SSO 功能。通过单点登录,除了瞻博网络安全连接之外,您还可以连接到不同服务提供商提供的多个应用。您无需为不同的应用程序输入不同的凭据。

  • 增强的安全性 — SAML 通过使用安全 IdP 提供单点身份验证,为瞻博网络安全连接远程用户提供增强的安全性。SAML 不会与服务提供商共享用户凭据。SAML 仅将身份信息传输给服务提供商,确保凭据仅发送给 IdP,而不是每个服务提供商。

  • 轻松集成 — SAML 作为一种开放标准,可促进与任何 IdP 轻松集成,以实现瞻博网络安全连接的远程用户身份验证。

  • 降低成本 — SAML 允许服务提供商降低维护多个用户帐户详细信息的成本。

SAML 如何在瞻博网络安全连接中工作

在使用 SAML 进行瞻博网络安全连接配置远程用户身份验证时,请考虑以下几点。

  • 在瞻博网络安全连接中选择 SAML 进行远程用户身份验证时,请确保您与 IdP 达成了协议。您必须了解服务提供商应了解的与 IdP 相关的配置设置。

  • 将 SAML 设置为访问配置文件的身份验证方法。请参阅 authentication-order(访问配置文件)。

  • 配置 SAML 访问参数,例如身份提供商 (IdP) 和服务提供商 (SP) 设置。请参见 saml

  • 指定访问配置文件的 SAML 设置。请参阅 SAML(访问配置文件)。

  • 如果您不希望缓存来自 IdP 的 SAML 断言,请在 SAML 选项中设置首选项。请参阅 saml-options

  • 要使用 SAML 对瞻博网络安全连接远程用户进行身份验证,远程访问 VPN 配置文件和 IKE 网关 AAA 访问配置文件都应基于 SAML。

图 1 展示了瞻博网络安全连接中基于 SAML 的用户身份验证工作流程。

图 1:使用瞻博网络安全连接 SAML Authentication Workflow with Juniper Secure Connect的 SAML 身份验证工作流程

  1. 瞻博网络安全连接远程用户向 SRX 系列防火墙发送连接请求,并指定特定的用户名和连接配置文件。

  2. SRX 系列防火墙会检查访问配置文件,以确定该配置文件是否使用 SAML 作为身份验证方法。一个访问配置文件可以包含不同域的多个 IdP。用户的域决定了 IdP 的选择。例如,如果用户名为 user1@domain1,并且在访问配置文件中配置了 domain1,则防火墙将为 domain1 选择相应的 IdP。如果未配置 domain1,防火墙将使用在域下 any 配置的 IdP。同样,如果用户名不包含电子邮件格式(如 user1),则防火墙将默认选择域下配置的 any IdP。

  3. 防火墙会向瞻博网络安全连接发送 SAML 身份验证请求。

  4. 瞻博网络安全连接启动 Web 浏览器(用户代理),并将 SAML 身份验证请求重定向到 IdP。

  5. IdP 对用户进行身份验证。

  6. 如果身份验证成功,IdP 将使用 HTTP POST 请求发送 SAML 断言。

  7. Web 浏览器将 SAML 断言中继到 SRX 系列防火墙。

  8. SRX 系列防火墙接收 SAML 断言并对其进行验证。

  9. 当 SAML 断言有效时,防火墙会将身份验证结果以及有效的 SAML 断言令牌发送到瞻博网络安全连接。

瞻博网络安全连接会在进行 SAML 身份验证后使用 SRX 系列防火墙建立远程访问 VPN 隧道。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
24.4R1
我们在 Junos OS 24.4R1 版中为瞻博网络安全连接引入了对基于 SAML 的用户身份验证的支持。