SAML-Authentifizierung in Juniper Secure Connect

In diesem Thema erfahren Sie mehr über die auf Security Assertion Markup Language (SAML) basierende Benutzerauthentifizierung in Juniper Secure Connect.

SAML – Überblick

Security Assertion Markup Language (SAML) ist ein XML-basiertes Framework für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen dem Service Provider (SP) und dem Identity Provider (IdP). SAML ermöglicht Single Sign-On (SSO), mit dem sich Benutzer einmal anmelden und dann nahtlos auf mehrere Anwendungen zugreifen können, ohne ihre Anmeldeinformationen jedes Mal neu eingeben zu müssen.

Juniper Secure Connect unterstützt die Remote-Benutzerauthentifizierung mit SAML Version 2 (SAML 2.0). Wenn Sie einen VPN-Service mit dem iked-Prozess ausführen, unterstützen die Firewalls der SRX-Serie diese Funktion.

SAML-Komponenten für Juniper Secure Connect

Im Folgenden sind die wichtigsten Komponenten in SAML für Juniper Secure Connect aufgeführt:

Prinzipal (Benutzer): Der Benutzer, der Services wie die VPN-Verbindung für den Remote-Zugriff anfordert. Jeder Remote-Benutzer von Juniper Secure Connect ist der Prinzipal. Der auf dem Gerät des Benutzers (z. B. einem Windows-Laptop) verfügbare Browser wird als Agent für SSO verwendet.
Identitätsanbieter (IdP): Die Entität, die Benutzer authentifiziert und dem Service Provider Identitätszusicherungen bereitstellt. Der IdP generiert eine Authentifizierungsassertion, um anzugeben, dass der Benutzer authentifiziert wurde. Okta und Microsoft Azure sind Beispiele für IdPs.
Service Provider (SP) —Entität, die den Service für den Benutzer bereitstellt. Er verlässt sich auf die Assertionen des IdP, um dem Benutzer Zugriff zu gewähren. In Juniper Secure Connect fungiert die Firewall der SRX-Serie als SP, der einen VPN-Service für den Remote-Zugriff bereitstellt.
SAML-Assertion: Eine XML-basierte Nachricht, die die Authentifizierungs- und Autorisierungsinformationen des Benutzers enthält. Assertions werden verwendet, um Benutzeridentitätsinformationen vom IdP an den SP zu übertragen.
SAML-Bindung: Definiert, wie die SAML-Nachrichten zwischen IdP und SP übertragen werden. Die Firewall der SRX-Serie unterstützt SP-initiierte SSO-Profile über HTTP-Umleitung und HTTP POST-Bindungen.
SAML-Metadaten: XML-basierte Daten, die die IdP- und SP-Attribute wie Entitäts-ID, Zertifikate, Bindungen, URLs usw. beschreiben. Diese Entitäten interagieren miteinander. Mit den Firewalls der SRX-Serie können Sie die IdP-Metadaten importieren und SP-Metadaten exportieren.

Tabelle 1 zeigt eine Liste der unterstützten SAML-Funktionen in Firewalls der SRX-Serie.

Tabelle 1: SAML-Unterstützung in Firewalls der SRX-Serie
SAML-Funktionen	Unterstützen
SAML-Version	SAML 2.0 Nicht kompatibel mit SAMLv1.
SAML-Profile	Web-SSO: Vom Dienstanbieter initiiertes SSO-Profil SingleLogout: Der Dienstanbieter empfängt die Abmeldeanforderung des Benutzers und sendet die Abmeldeantwort nur an den IdP. Der Dienstanbieter generiert oder sendet keine Abmeldeanfrage des Benutzers an den IdP.
SAML-Bindungen	HTTP-Umleitung: Der Dienstanbieter verwendet für IdP-Nachrichten, z. B. die Authentifizierungsanforderung und die Abmeldeantwort, die HTTP-Umleitung. HTTP POST: Der Dienstanbieter akzeptiert Nachrichten vom IdP, z. B. die Abmeldeanforderung und die Assertion-Antwort mit HTTP POST.
Hash-Algorithmen für Service Provider	SHA-256, SHA-384, SHA-512 Der Standardwert ist SHA-256.
Assertion-Cache	Ja. Die Firewall kann denselben Assertion-Cache später für die Benutzerauthentifizierung verwenden.
Unterstützung für hohe Verfügbarkeit	Gehäuse-Cluster (L2 HA) Multinode-Hochverfügbarkeit (L3 HA) Keine Hochverfügbarkeitsunterstützung für Authentifizierungssitzungen, die ausgeführt werden.

Nützt

Verbesserte Benutzererfahrung – SAML bietet SSO-Funktionen in Zugriffsszenarien mit mehreren Anwendungen. Mit einer einzigen Anmeldung können Sie zusätzlich zu Juniper Secure Connect eine Verbindung zu mehreren Anwendungen herstellen, die von verschiedenen Service Providern angeboten werden. Sie müssen keine unterschiedlichen Anmeldeinformationen für verschiedene Anwendungen eingeben.
Höhere Sicherheit—SAML bietet mehr Sicherheit für Juniper Secure Connect-Remotebenutzer durch Bereitstellung eines zentralen Authentifizierungspunkts über einen sicheren IdP. SAML gibt keine Benutzeranmeldeinformationen an den Service Provider weiter. SAML überträgt nur die Identitätsinformationen an den Dienstanbieter und stellt sicher, dass die Anmeldeinformationen nur an den IdP und nicht an jeden einzelnen Dienstanbieter gesendet werden.
Einfache Integration: Als offener Standard ermöglicht SAML die einfache Integration mit jedem IdP für die Remote-Benutzerauthentifizierung von Juniper Secure Connect.
Reduzierte Kosten: SAML ermöglicht es dem Service Provider, die Kosten für die Verwaltung mehrerer Benutzerkontodetails zu reduzieren.

Funktionsweise von SAML in Juniper Secure Connect

Beachten Sie bei der Konfiguration der Remote-Benutzerauthentifizierung mit SAML für Juniper Secure Connect die folgenden Punkte.

Wenn Sie SAML für die Remote-Benutzerauthentifizierung in Juniper Secure Connect auswählen, stellen Sie sicher, dass Sie eine Vereinbarung mit dem IdP haben. Sie müssen sich über die Konfigurationseinstellungen im Zusammenhang mit dem IdP im Klaren sein, die der Dienstanbieter kennen sollte.
Legen Sie SAML als Authentifizierungsmethode für das Zugriffsprofil fest. Siehe Authentifizierungsreihenfolge (Zugriffsprofil).
Konfigurieren Sie die SAML-Zugriffsparameter, z. B. Einstellungen für Identitätsanbieter (IdP) und Service Provider (SP). Siehe saml.
Geben Sie die SAML-Einstellungen für das Zugriffsprofil an. Siehe saml (Access Profile).
Wenn Sie es vorziehen, SAML-Assertionen vom IdP nicht zwischenzuspeichern, legen Sie die Einstellung in den SAML-Optionen fest. Siehe saml-options.
Um Juniper Secure Connect-Remotebenutzer mit SAML zu authentifizieren, sollten sowohl das VPN-Profil für den Remotezugriff als auch die AAA-Zugriffsprofile des IKE-Gateways SAML-basiert sein.

Abbildung 1 veranschaulicht den SAML-basierten Workflow für die Benutzerauthentifizierung in Juniper Secure Connect.

Abbildung 1: SAML-Authentifizierungs-Workflow mit Juniper Secure Connect SAML Authentication Workflow with Juniper Secure Connect

Der Remotebenutzer von Juniper Secure Connect sendet eine Verbindungsanfrage an die Firewalls der SRX-Serie, in der er einen bestimmten Benutzernamen und ein bestimmtes Verbindungsprofil angibt.
Die Firewall der SRX-Serie prüft das Zugriffsprofil, um festzustellen, ob das Profil SAML als Authentifizierungsmethode verwendet. Ein Zugriffsprofil kann mehrere IdPs für verschiedene Domänen enthalten. Die Domain des Nutzers bestimmt die Auswahl des IdP. Wenn der Benutzername beispielsweise user1@domain1 ist und domain1 im Zugriffsprofil konfiguriert ist, wählt die Firewall den entsprechenden IdP für domain1 aus. Wenn domain1 nicht konfiguriert ist, verwendet die Firewall den unter der any Domain konfigurierten IdP. Wenn der Benutzername kein E-Mail-Format enthält, z. B. user1, wählt die Firewall standardmäßig den unter der any Domain konfigurierten IdP aus.
Die Firewall sendet die SAML-Authentifizierungsanfrage an Juniper Secure Connect.
Juniper Secure Connect startet einen Webbrowser (User-Agent) und leitet die SAML-Authentifizierungsanfrage an den IdP weiter.
Der IdP authentifiziert den Benutzer.
Wenn die Authentifizierung erfolgreich ist, sendet der IdP eine SAML-Assertion mithilfe einer HTTP POST-Anforderung.
Der Webbrowser leitet die SAML-Assertion an die Firewall der SRX-Serie weiter.
Die Firewall der SRX-Serie empfängt die SAML-Assertion und validiert sie.
Wenn die SAML-Assertion gültig ist, sendet die Firewall das Authentifizierungsergebnis zusammen mit einem gültigen SAML-Assertion-Token an Juniper Secure Connect.

Juniper Secure Connect richtet nach der SAML-Authentifizierung einen VPN-Tunnel für den Remote-Zugriff mit der Firewall der SRX-Serie ein.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen

Beschreibung

24.4R1

Wir haben die Unterstützung für die SAML-basierte Benutzerauthentifizierung für Juniper Secure Connect in Junos OS Version 24.4R1 eingeführt.

AUF DIESER SEITE