Pulse Secure – SaasPass SAML 2FA Adımları

PULSE SECURE – SAASPASS ENTEGRASYONU Pulse Secure SSLVPN çözümü için birkaç farklı 2FA opsiyonu bulunuyor. Kullanıcılar için erişim bölgelerini tanımladığımız Users/User Realm kısmından seçeceğimiz “Additional Authentication Server” ile birinci kimlik […]

PULSE SECURE – SAASPASS ENTEGRASYONU

Pulse Secure SSLVPN çözümü için birkaç farklı 2FA opsiyonu bulunuyor. Kullanıcılar için erişim bölgelerini tanımladığımız Users/User Realm kısmından seçeceğimiz “Additional Authentication Server” ile birinci kimlik doğrulamasından geçen kullanıcılarımızı ikinci bir kimlik doğrulama sunucusuna yönlendirebiliriz…

Bu makâlenin konusu SAML üzerinden Pulse Secure ile SAASPASS i entegre etmek olacaktır.

SAML (Security Assertion Markup Language) : Farklı kimlik doğrulama veya yetkilendirme sunucuları arasında kimlik bilgilerinin doğru ve güvenli bir şekilde iletilmesini sağlayan, XML tabanlı bir standartdır.

Temel olarak şu bileşenlere sahiptir :

  1. User Agent : Oturum açma işlemini talep eden program, tarayıcı vs.
  2. Service Provider : User Agent’ ın kendisine ilk oturum açma talebini ilettiği servis. (Bizim örneğimizde Pulse Secure)
  3. Identity Provider (IdP) : Service Provider’ ın User Agent’ ın isteğini yönlendirmesi sonucu kimlik doğrulama işlemini gerçekleştiren ve ilgili bilgileri (kullanıcı adı, e-posta adresi vb.) X.509 sertifikası ile şifrelediği bir XML formuna ekleyip Service Provider’ a cevap olarak dönen servis. (Bizim örneğimizde SaasPass)

SAML Özetle Şöyle Çalışır :
Pulse Secure - SaasPass SAML Integration

  1. Kullanıcı (User Agent) Service Provider’ a erişim isteğinde bulunur.
  2. Service Provider (Pulse Secure) isteği alır ve ilk kontrolleri yapar. (Bizim örneğimizde hangi realmdan geliyor, hangi ip den geliyor, geldiği ip adresinde bir kısıtlama tanımı var mı vs.)
  3. Service Provider isteği Identity Provider’ a yönlendirir. Identity Provider, User Agent ile bağlantı oturumu oluşturur ve kimlik doğrulama işlemini (SMS, LDAP, vs.) gerçekleştirdikten sonra doğrulama bilgilerini X.509 sertifikası ile damgaladığı bir XML formu ile Service Provider’ a gönderir.
  4. Service Provider, konfigürasyon adımlarında tanımlanan Identity Provider’ a ait sertifika fingerprint i ile sertifikanın doğruluğunu kontrol eder.
  5. Yukarıdaki adımlardan sonra Service Provider, User Agent’ ın oturum talebini kabul ederek hizmet vermeye başlar.

 

Konfigürasyon Adımları:

Saaspass.com üzerinden portalda admin olarak oturum açıp sağ üst köşeden “Company Mode” a geçiyoruz.
Manage Applications bölümü içerisinden Add Secure Applications diyerek yeni bir Custom SAML Application oluşturuyoruz ve ismini Pulse Secure SSL VPN olarak güncelliyoruz.

Pulse Secure - SaasPass SAML Integration 21

Configuration tabına geldiğimizde aşağıdaki gibi Pulse Secure’ e ait linkler isteniyor. Bunlar için Pulse Secure yönetici web arayüzünden konfigürasyon adımlarına devam ediyoruz.

Pulse Secure - SaasPass SAML Integration 1

SaasPass Manage Applications / Pulse Secure SSL VPN / User Authentication Management / Assign Other Groups bölümünden hangi kullanıcı gruplarının bu uygulamada oturum açacağını belirliyoruz. Add Custom Attribute diyerek bir değer tanımlamamız gerekiyor. Boş bırakılması halinde redirection işlemi gerçekleşmemektedir.

Pulse Secure - SaasPass SAML Integration 2

Pulse Secure üzerinde öncelikle System / Configuration / SAML / Settings bölümü içerisinde cihazın hostname bilgisinin olduğunu teyit etmemiz gerekiyor.

Pulse Secure - SaasPass SAML Integration 9

Pulse Secure Admin Web Portal üzerinde Authentication / Authentication Server / New SAML Server adımlarını izleyerek yeni bir SAML Server oluşturuyoruz. Aşağıdaki resimde bulunan, içerisinde saaspass url lerinin geçtiği bölümdeki satırları ise SaasPass de Manage Application / Pulse Secure SSL VPN / Integration bölümü içerisinden alıyoruz.

Pulse Secure - SaasPass SAML Integration 3

SaasPass üzerinden Manage Applications / Pulse Secure SSL VPN / Integration tabı içerisinden download ettiğimiz sertifikayı Pulse Secure e aşağıdaki sayfa üzerinden yüklüyoruz. Son olarak Save ettikten sonra sayfanın alt kısmından Download Metadata diyoruz ve metin editörü ile xml dosyasını açıyoruz.

Pulse Secure - SaasPass SAML Integration 10SaasPass portal üzerinde Manage Applications / Pulse Secure SSL VPN / Configuration tabı içerisinde Custom ACS ve Custom SAML Destination bölümlerine Pulse Secure üzerinden download ettiğimiz Metadata XML dosyası içerisindeki iki linki yapıştıracağız.

Pulse Secure - SaasPass SAML Integration 13-

 

Pulse Secure - SaasPass SAML Integration 1Users/ User Realms bölümünden, SAASPASS adı ile oluşturduğumuz Authentication Source u kullanan bir realm oluşturuyoruz. İlgili realm /test/ linkini kullanacak şekilde bir sign-in policy oluşturdum.

Pulse Secure - SaasPass SAML Integration 14SaasPass üzerinde oturum için kullanacağım kullanıcı adını tanımladıktan sonra test ve log inceleme adımlarına geçebiliriz. Web arayüzü veya uygulama üzerinden ilgili linke connect dediğimde beni SaasPass e yönlendirecek.

Pulse Secure - SaasPass SAML Integration 15Connect dedikten sonra SaasPass e yönlendiriliyoruz ve oturum bilgilerimiz isteniyor. Oturum bilgilerimizi tanımlayıp Push Login dedikten sonra telefonumuza yüklediğimiz SaasPass Client programı üzerinden onay veriyoruz.

Pulse Secure - SaasPass SAML Integration 16

Pulse Secure - SaasPass SAML Integration 19Oturum işlemi başarılı bir şekilde gerçekleşti.

Pulse Secure - SaasPass SAML Integration 17

Pulse Secure - SaasPass SAML Integration 18Erişimlere ilişkin logları SaasPass ve Pulse Üzerinden şu şekilde inceleyebiliriz.

Pulse Secure - SaasPass SAML Integration 6 Pulse Secure - SaasPass SAML Integration 7 Pulse Secure - SaasPass SAML Integration 19

 

Eğer problem yaşanırsa Firefox tarayıcıya kurulan SML Tracer eklentisi ile hangi adımlarda problem yaşandığı trace edilebilir

Pulse Secure - SaasPass SAML Integration 20

Kaynaklar:
https://developers.onelogin.com/saml

Emre BAŞTUĞ

About Emre BAŞTUĞ

Emre BAŞTUĞ