Membuat koneksi SSL-VPN untuk klien guna mengakses VPC menggunakan autentikasi IDaaS - VPN Gateway

Autentikasi dua faktor SSL-VPN mengharuskan klien untuk menyelesaikan autentikasi menggunakan sertifikat klien SSL serta nama pengguna dan kata sandi IDaaS sebelum koneksi SSL-VPN dapat dibuat. Koneksi hanya akan berhasil jika kedua metode autentikasi tersebut dilewati. Autentikasi dua faktor SSL-VPN membantu mencegah pencurian identitas pengguna dan koneksi SSL-VPN yang tidak sah, sehingga meningkatkan keamanan koneksi secara efektif serta melindungi data sensitif di VPC dari pelanggaran data. Topik ini menjelaskan cara menggunakan autentikasi dua faktor SSL-VPN untuk memverifikasi identitas klien sebelum koneksi SSL-VPN dibuat, guna melindungi sumber daya di VPC Anda.

Skenario

Gambar berikut menunjukkan skenario contoh yang digunakan dalam topik ini. Sebuah perusahaan menggunakan Alibaba Cloud IDaaS untuk mengelola akun dan izin karyawan. Perusahaan telah membuat VPC di wilayah China (Hangzhou) dan menerapkan aplikasi pada instance Elastic Compute Service (ECS) di VPC. Untuk memenuhi persyaratan bisnis, perusahaan ingin mengizinkan karyawan yang sedang dinas luar untuk mengakses sumber daya di VPC setelah melewati autentikasi IDaaS.

Dalam hal ini, perusahaan dapat membuat gateway VPN dan mengaktifkan fitur SSL-VPN serta autentikasi dua faktor. Setelah klien berhasil melewati autentikasi sertifikat klien SSL dan autentikasi nama pengguna serta kata sandi IDaaS, klien dapat membuat koneksi SSL-VPN untuk mengakses sumber daya di VPC secara aman.

Persiapan

Sebuah instansi IDaaS Employee Identity and Access Management (EIAM) versi Enterprise telah dibuat. Untuk informasi lebih lanjut, lihat Kelola Instansi.
Penting
- Instansi IDaaS EIAM 1.0 tidak lagi tersedia untuk pembelian. Kami merekomendasikan Anda menggunakan instansi IDaaS EIAM 2.0. Dalam contoh ini, instansi IDaaS EIAM 2.0 digunakan. Untuk informasi lebih lanjut, lihat [Pemberitahuan Perubahan] SSL-VPN Mendukung Instansi IDaaS EIAM 2.0 untuk Autentikasi Dua Faktor.
- Untuk informasi lebih lanjut tentang cara menggunakan instansi IDaaS EIAM 1.0, lihat Bagaimana Cara Mengonfigurasi Instansi IDaaS EIAM 1.0?
Sebuah organisasi dan akun telah dibuat di instansi IDaaS EIAM.
Dalam contoh ini, sebuah organisasi dan akun dibuat secara manual di instansi IDaaS EIAM, seperti yang ditunjukkan pada gambar berikut. Anda juga dapat menyinkronkan informasi akun ke instansi IDaaS EIAM melalui protokol Lightweight Directory Access Protocol (LDAP). Dengan cara ini, karyawan dapat masuk ke aplikasi menggunakan autentikasi AD atau LDAP. Untuk informasi lebih lanjut, lihat Membuat Koneksi SSL-VPN untuk Klien Guna Mengakses VPC dengan Autentikasi AD. Untuk informasi lebih lanjut tentang cara menyinkronkan akun, lihat Buat Akun atau Organisasi.
VPC telah dibuat di wilayah China (Hangzhou), dan aplikasi terkait diterapkan pada instance ECS di VPC. Untuk informasi lebih lanjut, lihat Buat VPC dengan Blok CIDR IPv4.
Pastikan aturan grup keamanan dikonfigurasikan untuk instance ECS di VPC agar klien dapat mengakses sumber daya cloud yang diterapkan pada instance ECS. Untuk informasi lebih lanjut, lihat Lihat Aturan Grup Keamanan dan Tambahkan Aturan Grup Keamanan.
Klien Anda harus dapat mengakses Internet. Blok CIDR pribadi klien tidak boleh tumpang tindih dengan blok CIDR VPC.

Prosedur

Langkah 1: Tambahkan aplikasi SSL-VPN

Masuk ke Konsol IDaaS.
Di bilah navigasi sisi kiri, klik EIAM. Di halaman EIAM, temukan instansi IDaaS EIAM yang Anda buat di Prasyarat dan klik Manage di kolom Actions.
Di bilah navigasi sisi kiri halaman yang muncul, klik Applications. Di halaman Applications, klik Add Application.
Di halaman Add Application, temukan template Alibaba SSL VPN dan klik Add Application.
Di kotak dialog Tambah Aplikasi - Alibaba SSL VPN, masukkan nama untuk aplikasi dan klik Add.
Di tab Sign-In halaman detail aplikasi, gunakan nilai default untuk parameter dan klik Save di bagian bawah halaman.
SSO: Menentukan apakah akan mengaktifkan Single Sign-On (SSO). Secara default, saklar ini dihidupkan.
Grant Types: Metode yang digunakan oleh aplikasi untuk autentikasi. Dalam contoh ini, nilai default Password Grant digunakan. Nilai default parameter IdPs adalah IDaaS Account, yang menunjukkan bahwa sistem menggunakan akun yang Anda buat secara manual di instansi IDaaS EIAM untuk memverifikasi identitas karyawan.
Authorize: Pengguna yang dapat mengakses aplikasi. Dalam contoh ini, nilai default Manually digunakan. Dalam hal ini, Anda perlu memberikan izin secara manual kepada pengguna tertentu untuk mengakses aplikasi. Untuk informasi lebih lanjut, lihat bagian Cakupan Otorisasi dari topik "Konfigurasikan SSO".
Di tab Sign-In, klik sub-tab Authorize.
Berikan izin kepada akun yang digunakan untuk mengakses aplikasi melalui koneksi SSL-VPN. Untuk informasi lebih lanjut, lihat Otorisasi.

Langkah 2: Buat gateway VPN

Masuk ke Konsol Gateway VPN.
Di halaman VPN Gateways, klik Create VPN Gateway.

Di halaman Gateway VPN, konfigurasikan parameter yang dijelaskan dalam tabel berikut, klik Buy Now, dan kemudian selesaikan pembayaran.

Tabel berikut hanya menjelaskan parameter utama yang harus Anda konfigurasikan. Untuk parameter lainnya, gunakan nilai default atau biarkan kosong. Untuk informasi lebih lanjut, lihat Buat dan Kelola Gateway VPN.

Parameter	Deskripsi
Region	Wilayah tempat Anda ingin membuat gateway VPN. China (Hangzhou) dipilih dalam contoh ini. Catatan Pastikan VPC dan gateway VPN berada di wilayah yang sama.
Gateway Type	Tipe gateway VPN. Dalam contoh ini, Standard dipilih.
Network Type	Pilih tipe jaringan gateway VPN. Dalam contoh ini, Public dipilih.
Tunnels	Mode terowongan gateway VPN. Sistem menampilkan mode terowongan yang didukung di wilayah ini.
VPC	VPC yang akan dikaitkan dengan gateway VPN.
vSwitch 1	vSwitch pertama yang akan dikaitkan dengan gateway VPN di VPC yang dipilih. Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch. Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch. Setelah fitur IPsec-VPN diaktifkan, sistem membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch. Catatan Sistem memilih vSwitch secara default. Anda dapat mengubah atau menggunakan vSwitch default. Setelah gateway VPN dibuat, Anda tidak dapat memodifikasi vSwitch yang dikaitkan dengan gateway VPN. Anda dapat melihat vSwitch yang dikaitkan dengan gateway VPN, zona tempat vSwitch berada, dan ENI di vSwitch di halaman detail gateway VPN.
vSwitch 2	vSwitch kedua yang akan dikaitkan dengan gateway VPN di VPC yang dipilih. Tentukan dua vSwitch di zona berbeda di VPC terkait untuk menerapkan pemulihan bencana lintas zona untuk koneksi IPsec-VPN. Untuk wilayah yang hanya mendukung satu zona, pemulihan bencana lintas zona tidak didukung. Kami merekomendasikan Anda menentukan dua vSwitch di zona untuk menerapkan ketersediaan tinggi koneksi IPsec-VPN. Anda juga dapat memilih vSwitch yang sama dengan yang pertama. Catatan Jika hanya satu vSwitch yang diterapkan di VPC, buat yang lainnya. Untuk informasi lebih lanjut, lihat Buat dan kelola vSwitch.
IPsec-VPN	Menentukan apakah akan mengaktifkan fitur IPsec-VPN untuk gateway VPN. Dalam contoh ini, Disable dipilih.
SSL-VPN	Menentukan apakah akan mengaktifkan fitur SSL-VPN untuk gateway VPN. Dalam contoh ini, Enable dipilih.
SSL connections	Jumlah maksimum klien yang dapat terhubung ke gateway VPN. Catatan Parameter SSL Connections hanya tersedia setelah Anda mengaktifkan fitur SSL-VPN.

Kembali ke halaman VPN Gateways untuk melihat gateway VPN yang Anda buat.
Gateway VPN yang Anda buat di langkah sebelumnya berada dalam status Preparing. Setelah sekitar 1 hingga 5 menit, gateway VPN masuk ke status Normal. Status Normal menunjukkan bahwa gateway VPN telah diinisialisasi dan siap digunakan.

Langkah 3: Buat server SSL

Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > SSL Servers.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat server SSL.
Catatan
Pastikan server SSL dan gateway VPN yang Anda buat berada di wilayah yang sama.
Di halaman SSL Server, klik Create SSL Server.

Di panel Create SSL Server, konfigurasikan parameter yang dijelaskan dalam tabel berikut, dan klik OK.

Parameter	Deskripsi
VPN Gateway	Gateway VPN yang Anda buat.
Local Network	Blok CIDR VPC tempat Anda ingin terhubung. Dalam contoh ini, 192.168.0.0/16 digunakan.
Client CIDR Block	Blok CIDR yang digunakan klien Anda untuk terhubung ke server SSL. Dalam contoh ini, 10.0.0.0/24 digunakan. Penting Subnet mask blok CIDR klien harus memiliki panjang 16 hingga 29 bit. Pastikan blok CIDR klien tidak tumpang tindih dengan local CIDR block, blok CIDR VPC, atau blok CIDR rute yang terkait dengan klien. Kami merekomendasikan Anda menggunakan 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, atau salah satu subnet mereka sebagai blok CIDR klien. Jika Anda ingin menentukan blok CIDR publik sebagai blok CIDR klien, Anda harus menentukan blok CIDR publik sebagai blok CIDR pengguna VPC. Dengan cara ini, VPC dapat mengakses blok CIDR publik. Untuk informasi lebih lanjut, lihat bagian Apa itu blok CIDR pengguna? dan Bagaimana cara mengonfigurasi blok CIDR pengguna? dari topik "FAQ". Setelah Anda membuat server SSL, sistem secara otomatis menambahkan rute yang mengarah ke blok CIDR klien ke tabel rute VPC. Jangan tambahkan rute yang mengarah ke blok CIDR klien ke tabel rute VPC lagi. Jika tidak, koneksi SSL-VPN tidak akan berfungsi seperti yang diharapkan.
Advanced Configuration	Konfigurasi lanjutan. Anda perlu mengaktifkan autentikasi dua faktor untuk gateway VPN. Dalam contoh ini, EIAM 2.0 (direkomendasikan) dipilih untuk parameter Versi Instansi IDaaS. Gunakan nilai default untuk parameter lainnya. IDaaS Instance Region: wilayah tempat instansi IDaaS EIAM 2.0 berada. Dalam contoh ini, China (Hangzhou) dipilih. IDaaS Instance: instansi yang ingin Anda asosiasikan dengan server SSL. Pilih instansi IDaaS EIAM 2.0 yang Anda buat di Prasyarat. IDaaS Application: aplikasi SSL-VPN yang ditambahkan ke instansi IDaaS. Catatan Saat Anda membuat server SSL di wilayah UAE (Dubai), kami merekomendasikan Anda mengasosiasikan server SSL dengan instansi IDaaS EIAM 2.0 di Singapura untuk mengurangi latensi.

Langkah 4: Buat sertifikat klien SSL

Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > SSL Clients.
Di halaman SSL Client, klik Create SSL Client.
Di panel Create SSL Client, masukkan nama untuk klien SSL, pilih SSL Server tempat Anda ingin terhubung, dan kemudian klik OK.
Di halaman SSL Client, temukan klien SSL yang Anda buat dan klik Download Certificate di kolom Actions.
Simpan paket sertifikat klien SSL yang diunduh ke direktori lokal untuk konfigurasi klien lebih lanjut.

Langkah 5: Konfigurasikan klien

Konfigurasikan klien Linux

Buka antarmuka baris perintah (CLI).

Jalankan perintah berikut untuk menginstal OpenVPN:

# Jalankan perintah berikut untuk menginstal OpenVPN di CentOS:
yum install -y openvpn
# Jalankan perintah berikut untuk memeriksa apakah direktori /etc/openvpn/conf dibuat. Jika direktori belum dibuat, Anda harus membuat direktori /etc/openvpn/conf secara manual. 
cd /etc/openvpn # Pergi ke direktori openvpn.
ls              # Periksa apakah direktori conf dibuat di direktori openvpn.
mkdir -p /etc/openvpn/conf # Jika direktori conf tidak ada di direktori openvpn, Anda harus membuat direktori conf secara manual. 

# Jalankan perintah berikut untuk menginstal OpenVPN di Ubuntu:
apt-get update
apt-get install -y openvpn
# Jalankan perintah berikut untuk memeriksa apakah direktori /etc/openvpn/conf dibuat. Jika direktori belum dibuat, Anda harus membuat direktori /etc/openvpn/conf secara manual. 
cd /etc/openvpn # Pergi ke direktori openvpn.
ls              # Periksa apakah direktori conf dibuat di direktori openvpn.
mkdir -p /etc/openvpn/conf # Jika direktori conf tidak ada di direktori openvpn, Anda harus membuat direktori conf secara manual.

Ekstrak paket sertifikat klien SSL yang telah diunduh, lalu salin sertifikat klien SSL ke direktori /etc/openvpn/conf/.
Pergi ke direktori /etc/openvpn/conf, jalankan perintah berikut, lalu masukkan nama pengguna dan kata sandi. Setelah klien berhasil melewati autentikasi IDaaS, koneksi SSL-VPN akan dibuat.
```
openvpn --config /etc/openvpn/conf/config.ovpn --daemon
```

Konfigurasikan klien Windows

Unduh dan instal Klien OpenVPN untuk Windows.
Ekstrak paket sertifikat klien SSL yang telah diunduh dan salin sertifikat tersebut ke direktori OpenVPN\config.
Dalam contoh ini, sertifikat disalin ke direktori C:\Program Files\OpenVPN\config. Pastikan Anda menyalin sertifikat ke direktori tempat klien OpenVPN diinstal.
Jalankan klien OpenVPN, klik Connect, lalu masukkan nama pengguna dan kata sandi. Setelah klien berhasil melewati autentikasi IDaaS, koneksi SSL-VPN akan dibuat.

Konfigurasikan klien macOS

Buka CLI.

Jika Homebrew belum terinstal di macOS, jalankan perintah berikut untuk menginstalnya:

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

Jalankan perintah berikut untuk menginstal OpenVPN:
```
brew install openvpn
```
Salin paket sertifikat klien SSL yang telah diunduh ke direktori konfigurasi klien OpenVPN.
1. Cadangkan semua file konfigurasi di direktori /usr/local/etc/openvpn.
  Penting
  Path instalasi default OpenVPN dapat bervariasi tergantung pada versi macOS. Ganti path yang relevan dengan path instalasi sebenarnya saat melakukan operasi ini dan langkah-langkah selanjutnya.
2. Jalankan perintah berikut untuk menghapus file konfigurasi OpenVPN:
```
rm /usr/local/etc/openvpn/*
```
3. Jalankan perintah berikut untuk menyalin paket sertifikat klien SSL yang telah diunduh ke direktori konfigurasi OpenVPN:
```
cp cert_location /usr/local/etc/openvpn/
```
  cert_location menunjukkan lokasi paket sertifikat klien SSL yang telah diunduh. Contoh: /Users/example/Downloads/certs6.zip.

Jalankan perintah berikut untuk mengekstrak sertifikat:

cd  /usr/local/etc/openvpn/
unzip /usr/local/etc/openvpn/certs6.zip

Buka direktori /usr/local/etc/openvpn, jalankan perintah berikut, lalu masukkan nama pengguna dan kata sandi untuk membuat koneksi SSL-VPN:
```
sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn
```

Langkah 6: Uji konektivitas

Setelah menyelesaikan langkah-langkah sebelumnya, klien akan terhubung ke VPC dan dapat mengakses sumber daya di dalamnya. Lakukan langkah-langkah berikut untuk menguji konektivitas antara klien Linux dan VPC:

Buka CLI di klien.
Jalankan perintah ping untuk mengakses instance ECS di VPC guna menguji konektivitas.
```
ping <Alamat IP ECS 1>
```
Jika pesan berikut muncul, klien dapat mengakses sumber daya di VPC.

FAQ

Bagaimana cara mengonfigurasi instansi IDaaS EIAM 1.0?

Jika Anda menggunakan instansi IDaaS EIAM 1.0, Anda tidak perlu menambahkan aplikasi SSL-VPN. Anda dapat langsung mengaitkan instansi IDaaS EIAM 1.0 dengan server SSL saat membuat server SSL. Prosedur sisanya sama dengan prosedur menggunakan instansi IDaaS EIAM 2.0. 2024-05-09_16-10-09

Apakah saya bisa menggunakan pasangan nama pengguna dan kata sandi serta token dinamis OTP untuk autentikasi dua faktor selama autentikasi IDaaS SSL-VPN?

Tidak.

IDaaS hanya mendukung autentikasi berbasis nama pengguna dan kata sandi. Token dinamis OTP dan pesan teks hanya dapat digunakan pada klien untuk autentikasi dua faktor.