PULSE SECURE – SAASPASS ENTEGRASYONU
Pulse Secure SSLVPN çözümü için birkaç farklı 2FA opsiyonu bulunuyor. Kullanıcılar için erişim bölgelerini tanımladığımız Users/User Realm kısmından seçeceğimiz “Additional Authentication Server” ile birinci kimlik doğrulamasından geçen kullanıcılarımızı ikinci bir kimlik doğrulama sunucusuna yönlendirebiliriz…
Bu makâlenin konusu SAML üzerinden Pulse Secure ile SAASPASS i entegre etmek olacaktır.
SAML (Security Assertion Markup Language) : Farklı kimlik doğrulama veya yetkilendirme sunucuları arasında kimlik bilgilerinin doğru ve güvenli bir şekilde iletilmesini sağlayan, XML tabanlı bir standartdır.
Temel olarak şu bileşenlere sahiptir :
- User Agent : Oturum açma işlemini talep eden program, tarayıcı vs.
- Service Provider : User Agent’ ın kendisine ilk oturum açma talebini ilettiği servis. (Bizim örneğimizde Pulse Secure)
- Identity Provider (IdP) : Service Provider’ ın User Agent’ ın isteğini yönlendirmesi sonucu kimlik doğrulama işlemini gerçekleştiren ve ilgili bilgileri (kullanıcı adı, e-posta adresi vb.) X.509 sertifikası ile şifrelediği bir XML formuna ekleyip Service Provider’ a cevap olarak dönen servis. (Bizim örneğimizde SaasPass)
- Kullanıcı (User Agent) Service Provider’ a erişim isteğinde bulunur.
- Service Provider (Pulse Secure) isteği alır ve ilk kontrolleri yapar. (Bizim örneğimizde hangi realmdan geliyor, hangi ip den geliyor, geldiği ip adresinde bir kısıtlama tanımı var mı vs.)
- Service Provider isteği Identity Provider’ a yönlendirir. Identity Provider, User Agent ile bağlantı oturumu oluşturur ve kimlik doğrulama işlemini (SMS, LDAP, vs.) gerçekleştirdikten sonra doğrulama bilgilerini X.509 sertifikası ile damgaladığı bir XML formu ile Service Provider’ a gönderir.
- Service Provider, konfigürasyon adımlarında tanımlanan Identity Provider’ a ait sertifika fingerprint i ile sertifikanın doğruluğunu kontrol eder.
- Yukarıdaki adımlardan sonra Service Provider, User Agent’ ın oturum talebini kabul ederek hizmet vermeye başlar.
Konfigürasyon Adımları:
Saaspass.com üzerinden portalda admin olarak oturum açıp sağ üst köşeden “Company Mode” a geçiyoruz.
Manage Applications bölümü içerisinden Add Secure Applications diyerek yeni bir Custom SAML Application oluşturuyoruz ve ismini Pulse Secure SSL VPN olarak güncelliyoruz.
Configuration tabına geldiğimizde aşağıdaki gibi Pulse Secure’ e ait linkler isteniyor. Bunlar için Pulse Secure yönetici web arayüzünden konfigürasyon adımlarına devam ediyoruz.
SaasPass Manage Applications / Pulse Secure SSL VPN / User Authentication Management / Assign Other Groups bölümünden hangi kullanıcı gruplarının bu uygulamada oturum açacağını belirliyoruz. Add Custom Attribute diyerek bir değer tanımlamamız gerekiyor. Boş bırakılması halinde redirection işlemi gerçekleşmemektedir.
Pulse Secure üzerinde öncelikle System / Configuration / SAML / Settings bölümü içerisinde cihazın hostname bilgisinin olduğunu teyit etmemiz gerekiyor.
Pulse Secure Admin Web Portal üzerinde Authentication / Authentication Server / New SAML Server adımlarını izleyerek yeni bir SAML Server oluşturuyoruz. Aşağıdaki resimde bulunan, içerisinde saaspass url lerinin geçtiği bölümdeki satırları ise SaasPass de Manage Application / Pulse Secure SSL VPN / Integration bölümü içerisinden alıyoruz.
SaasPass üzerinden Manage Applications / Pulse Secure SSL VPN / Integration tabı içerisinden download ettiğimiz sertifikayı Pulse Secure e aşağıdaki sayfa üzerinden yüklüyoruz. Son olarak Save ettikten sonra sayfanın alt kısmından Download Metadata diyoruz ve metin editörü ile xml dosyasını açıyoruz.
SaasPass portal üzerinde Manage Applications / Pulse Secure SSL VPN / Configuration tabı içerisinde Custom ACS ve Custom SAML Destination bölümlerine Pulse Secure üzerinden download ettiğimiz Metadata XML dosyası içerisindeki iki linki yapıştıracağız.
Users/ User Realms bölümünden, SAASPASS adı ile oluşturduğumuz Authentication Source u kullanan bir realm oluşturuyoruz. İlgili realm /test/ linkini kullanacak şekilde bir sign-in policy oluşturdum.
SaasPass üzerinde oturum için kullanacağım kullanıcı adını tanımladıktan sonra test ve log inceleme adımlarına geçebiliriz. Web arayüzü veya uygulama üzerinden ilgili linke connect dediğimde beni SaasPass e yönlendirecek.
Connect dedikten sonra SaasPass e yönlendiriliyoruz ve oturum bilgilerimiz isteniyor. Oturum bilgilerimizi tanımlayıp Push Login dedikten sonra telefonumuza yüklediğimiz SaasPass Client programı üzerinden onay veriyoruz.
Oturum işlemi başarılı bir şekilde gerçekleşti.
Erişimlere ilişkin logları SaasPass ve Pulse Üzerinden şu şekilde inceleyebiliriz.
Eğer problem yaşanırsa Firefox tarayıcıya kurulan SML Tracer eklentisi ile hangi adımlarda problem yaşandığı trace edilebilir
Kaynaklar:
https://developers.onelogin.com/saml
Emre BAŞTUĞ