Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Xác thực SAML và Single Sign-On (SSO) trong RAVPN

    Trong triển khai Remote Access VPN (RAVPN), một lựa chọn xác thực nâng cao là Security Assertion Markup Language (SAML) kết hợp với Single Sign-On (SSO). Đây là cơ chế được nhiều tổ chức sử dụng khi muốn tích hợp xác thực VPN với hệ thống quản lý danh tính tập trung như Azure Active Directory (Azure AD) hay các IdP (Identity Provider) khác. Cơ chế hoạt động
    • Chuyển hướng xác thực: Thay vì thiết bị VPN (Cisco Secure Firewall/ISE) tự xử lý việc xác thực, quá trình này sẽ được chuyển sang Identity Provider (IdP).
    • Kết nối tới IdP: Người dùng được chuyển hướng tới cổng xác thực của IdP (ví dụ: Azure AD).
    • Đăng nhập tập trung: Sau khi xác thực thành công, người dùng có thể dùng cùng một phiên đăng nhập (SSO) để truy cập nhiều dịch vụ hoặc ứng dụng khác nhau.
    • SAML Response: IdP sẽ phát sinh một SAML response – một token chứa thông tin định danh và quyền truy cập – gửi tới Service Provider (SP), tức thiết bị VPN hoặc ứng dụng cần truy cập.
    • Bảo mật thông tin: Quá trình truyền thông tin xác thực được mã hóa, đồng thời chứng chỉ số được sử dụng để xác thực tin cậy giữa Cisco ISE và IdP.
    Circle of Trust (CoT)


    SAML SSO thiết lập một vòng tin cậy (Circle of Trust) bằng cách trao đổi metadatachứng chỉ số giữa IdP và Service Provider. Điều này đảm bảo rằng:
    • IdP được tin tưởng để quản lý và xác minh danh tính người dùng.
    • Service Provider dựa trên thông tin từ IdP để cấp quyền truy cập tài nguyên.
    Mở rộng tính an toàn
    • Hỗ trợ đa yếu tố (MFA): Một số IdP (ví dụ: Azure AD) cho phép áp dụng xác thực hai lớp (2FA/MFA) nhằm nâng cao bảo mật.
    • Kết hợp chứng chỉ + SAML: Có thể triển khai theo mô hình xác thực chứng chỉ người dùng trước, sau đó dùng SAML để xác minh username/password. Đây là dạng xác thực mạnh nhất cho RAVPN vì vừa đảm bảo thiết bị phải có chứng chỉ hợp lệ, vừa yêu cầu thông tin người dùng chính xác được kiểm chứng qua IdP.

    👉 Với cách triển khai này, các doanh nghiệp đạt được Zero Trust Access cho RAVPN: không chỉ tin vào thiết bị, không chỉ tin vào mật khẩu, mà là một chuỗi xác thực đa lớp kết hợp giữa PKISSO/MFA.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X