基于 SAML 的用户认证

IPSec 支持基于 SAML 的用户认证，但要求 FortiClient 版本为 7.2.4 或更高。SAML 认证只支持 IPSec IKEv2，不支持 IKEv1。

使用 SAML 时，建议先升级 FortiClient 到 7.2.4 或更高版本。

VPN Wizard 默认可能创建 IKEv1 配置，后续需要将配置调整为 IKEv2，并启用 EAP 用户认证。

SAML 与 IPSec 配合时，还需要额外配置：

• auth-ike-saml-port。
• SAML Server 证书。
• IPSec VPN 网关接口和 SAML Server 之间的接口绑定。

配置 IKE SAML 认证端口：

config system global
    set auth-ike-saml-port 9443
end

查看 SAML Server 使用的证书：

config user setting
    set auth-cert "SAML_Server_Certificate"
end

示例中，SAML 用户组 SAML Usergroup 使用名为 SAML-FAC 的 SAML SSO Server，并匹配组名 Corporate：

config user group
    edit "SAML Usergroup"
        set member "SAML-FAC"
        config match
            edit 1
                set server-name "SAML-FAC"
                set group-name "Corporate"
            next
        end
    next
end

将 SAML Server 与 IPSec 网关所在接口绑定，示例接口为 WAN：

config system interface
    edit "WAN"
        set ike-saml-server "SAML-FAC"
    next
end

应用用户组

如果只有一个用户组，可以将 SAML Usergroup 直接用于 IPSec 隧道配置中。如果有多个用户组，应在 IPSec 隧道中选择 Inherit from policy，并在防火墙策略中使用这些用户组。