{"id":3225,"date":"2021-06-11T13:59:00","date_gmt":"2021-06-11T11:59:00","guid":{"rendered":"https:\/\/blog.besharp.it\/?p=3225"},"modified":"2024-02-02T12:02:54","modified_gmt":"2024-02-02T11:02:54","slug":"vpn-dialup-managed-con-autenticazione-via-sso","status":"publish","type":"post","link":"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/","title":{"rendered":"Managed Dialup VPN con autenticazione custom tramite SSO"},"content":{"rendered":"\n<p>In un momento in cui smart working e lavoro da remoto sono entrati nella vita di molti, riuscire a fornire accesso alle risorse aziendali private \u00e8 un problema all\u2019ordine del giorno. <\/p>\n\n\n\n<p>Una VPN dial-up permette di fornire ad utenti remoti accesso a risorse e servizi non direttamente raggiungibili da internet, anche se tali risorse sono ospitate sul cloud di AWS. <\/p>\n\n\n\n<p>Implementare una soluzione VPN non \u00e8 mai un compito semplice, specialmente perch\u00e9 alcuni requisiti possono sembrare in contraddizione, come ad esempio:<\/p>\n\n\n\n<ul>\n<li>Semplicit\u00e0 di configurazione di client e server<\/li>\n\n\n\n<li>Sicurezza<\/li>\n\n\n\n<li>Gestione centralizzata<\/li>\n<\/ul>\n\n\n\n<p>AWS offre il servizio <strong>AWS Client VPN<\/strong> per facilitare l\u2019accesso remoto alle risorse in VPC, permettendo l&#8217;utilizzo di meccanismi di autenticazione esterni come OKTA, Active Directory ed altri servizi che utilizzano il protocollo di autenticazione SAML.<\/p>\n\n\n\n<p>Gli utenti di AWS Client VPN possono utilizzare un portale self-service e scaricare il software e la configurazione, liberando da questi task l&#8217;amministratore di sistema.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Scenario di esempio<\/h2>\n\n\n\n<p>Qualche tempo fa abbiamo scritto un articolo su <a href=\"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/\">come implementare il single-sign-on sulla console AWS utilizzando G Suite per l\u2019autenticazione<\/a><\/p>\n\n\n\n<p>In base alle considerazioni fatte vorremmo implementare l\u2019autenticazione usando G Suite come Identity Provider (IdP). Nel fare ci\u00f2, abbiamo incontrato una limitazione tecnica su cui stiamo ancora investigando. <\/p>\n\n\n\n<p>La limitazione \u00e8 data dal fatto che il client software utilizza un servizio http (e non https) per autenticare le richieste, mentre la configurazione dell\u2019autenticazione G Suite accetta solo chiamate https (vedremo pi\u00f9 avanti il dettaglio tecnico).<\/p>\n\n\n\n<p>Implementeremo per ora AWS SSO per la parte di autenticazione, in modo da essere in grado in futuro di cambiare il database degli utenti e configurare G Suite come provider.<\/p>\n\n\n\n<p>AWS SSO \u00e8 utile anche nel caso si utilizzi AWS Organizations per gestire uno scenario multi-account per fornire accessi differenti a diversi account. <a href=\"https:\/\/docs.aws.amazon.com\/vpn\/latest\/clientvpn-admin\/scenario.html\">Alcuni esempi sono disponibili qui.<\/a> <\/p>\n\n\n\n<p>Utilizzeremo la configurazione di default di SSO con database utenti interni. Le istruzioni di configurazione base sono disponibili <a href=\"https:\/\/docs.aws.amazon.com\/singlesignon\/latest\/userguide\/step1.html\">qui<\/a><\/p>\n\n\n\n<p>Nel nostro esempio daremo accesso agli utenti alle risorse contenute in una VPC in un account di sviluppo.<\/p>\n\n\n\n<p>Nome VPC: test-vpc<\/p>\n\n\n\n<p>CIDR VPC: 172.31.0.0\/16<\/p>\n\n\n\n<p>CIDR Client VPN: 172.20.20.0\/22 (non deve essere in conflitto con la rete della VPC, n\u00e9 con altre reti che devono essere raggiunte utilizzando la connessione VPN<\/p>\n\n\n\n<p>I passi necessari all\u2019implementazione del servizio sono:<\/p>\n\n\n\n<ul>\n<li>Definire le applicazioni SAML per il portale self-service e l\u2019autenticazione VPN<\/li>\n\n\n\n<li>Definire gli Identity Provider per il portale self-service e il client VPN<\/li>\n\n\n\n<li>Creazione del Client VPN Endpoint<\/li>\n\n\n\n<li>Associare le subnet, configurare l\u2019autorizzazione e abilitare il traffico utilizzando i Security Group<\/li>\n\n\n\n<li>Test della configurazione<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Definire le applicazioni SAML<\/h2>\n\n\n\n<p>Per permettere al client VPN di autenticare gli utenti dobbiamo definire due applicazioni SAML: una per il portale self-service ed una per l\u2019applicazione desktop client.<br>Nell\u2019account master dell\u2019organizatione selezionare \u201c<strong>AWS Single Sign-On<\/strong>&#8220;, \u201c<strong>Applications<\/strong>\u201d, \u201c<strong>Add a new application<\/strong>\u201d, \u201c<strong>Add a custom SAML 2.0 Application<\/strong>\u201d<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"370\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image15-1024x370.png\" alt=\"\" class=\"wp-image-3204\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image15-1024x370.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image15-400x144.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image15-768x277.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image15.png 1160w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>A questa applicazione daremo il nome \u201cSSO Client VPN Self Service Portal\u201d<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"743\" height=\"1024\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image2-743x1024.png\" alt=\"\" class=\"wp-image-3178\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image2-743x1024.png 743w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image2-218x300.png 218w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image2-768x1059.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image2-1114x1536.png 1114w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image2.png 1201w\" sizes=\"(max-width: 743px) 100vw, 743px\" \/><\/figure><\/div>\n\n\n<p>A questo punto fare click sul link \u201c<strong>Download<\/strong>\u201d in fianco alla voce \u201cAWS SSO SAML metadata file\u201d. Il file contiene informazioni sensibili, per cui <strong>va mantenuto segreto<\/strong>.<\/p>\n\n\n\n<p>Alla sezione \u201cApplication Metadata\u201d selezionare &#8220;<strong>Manually type your metadata values<\/strong>\u201d ed inserire le informazioni:<\/p>\n\n\n\n<p><strong>Application ACS URL<\/strong>: https:\/\/self-service.clientvpn.amazonaws.com\/api\/auth\/sso\/saml Application SAML Audience: urn:amazon:webservices:clientvpn<\/p>\n\n\n\n<p><strong>Application SAML Audience<\/strong>: urn:amazon:webservices:clientvpn<\/p>\n\n\n\n<p>Selezionare la scheda \u201cAttributes mappings\u201d e inserire il valore ${user:subject} nel campo \u201cSubject\u201d, in questo modo il valore sar\u00e0 mappato automaticamente.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"415\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image10-1024x415.png\" alt=\"\" class=\"wp-image-3194\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image10-1024x415.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image10-400x162.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image10-768x312.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image10.png 1289w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>Dopo aver aggiunto l\u2019applicazione per il portale self-service occorre aggiungere l\u2019applicazione per il client VPN:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"921\" height=\"1024\" defer\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image1-921x1024.png\" alt=\"\" class=\"wp-image-3176\" style=\"width:840px;height:933px\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image1-921x1024.png 921w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image1-270x300.png 270w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image1-768x854.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image1.png 1295w\" sizes=\"(max-width: 921px) 100vw, 921px\" \/><\/figure><\/div>\n\n\n<p>Come prima salvare il file metadati e mantenerlo segreto, per la sezione \u201cApplication metadata\u201d utilizzare invece i valori: <\/p>\n\n\n\n<p><strong>Application ACS URL<\/strong>: http:\/\/127.0.0.1:35001<\/p>\n\n\n\n<p><strong>Application SAML Audience<\/strong>: urn:amazon:webservices:clientvpn<\/p>\n\n\n\n<p><strong>Scarichiamo<\/strong> il metadata e<strong>teniamolo segreto.<\/strong><\/p>\n\n\n\n<p>Il campo ACS URL \u00e8 insolito: http:\/\/127.0.0.1. <\/p>\n\n\n\n<p>Questo perch\u00e9 l\u2019applicazione client esegue un servizio sul computer locale per validare e inoltrare i dati di autenticazione SAML. Questo \u00e8 il motivo per cui l\u2019autenticazione G Suite non \u00e8 configurabile in modo semplice ed occorre una analisi pi\u00f9 approfondita. Provando a configurare l\u2019applicazione SAML in G Suite si ottiene infatti l\u2019errore di validazione:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"706\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image11-1024x706.png\" alt=\"\" class=\"wp-image-3196\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image11-1024x706.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image11-400x276.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image11-768x530.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image11.png 1290w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>Spoiler: con un piccolo hack \u00e8 possibile superare la validazione e forzare il valore. Vedremo nel dettaglio come in un articolo specifico, quindi seguiteci!<\/p>\n\n\n\n<p>Dopo aver aggiunto l\u2019applicazione per il Client VPN selezionare il tab \u201cAttributes mappings\u201d ed inserire i valori come in figura:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"674\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image9-1024x674.png\" alt=\"\" class=\"wp-image-3192\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image9-1024x674.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image9-400x263.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image9-768x505.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image9.png 1289w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Nel caso i campi non siano configurati correttamente, l\u2019autenticazione fallir\u00e0. Prestate attenzione al formato del campo \u201cSubject\u201d, occorre cambiare il valore predefinito e sostituirlo con \u201c<strong>emailAddress<\/strong>\u201d.<\/p>\n\n\n\n<p>Dopo aver aggiunto le applicazioni SAML occorre configurare l\u2019account di destinazione (development nel nostro caso) per fare in modo che le applicazioni siano utilizzate come identity provider. (Non dimenticate di assegnare gli utenti alle applicazioni usando la tab \u201cAssigned users\u201d, altrimenti non saranno disponibili una volta effettuato il login. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Definire gli Identity Provider per il portale self-service e il client VPN<\/h2>\n\n\n\n<p>Sulla console dell\u2019account \u201cdevelopment\u201d alla sezione &#8220;<strong>Identity Providers<\/strong>\u201d di <strong>IAM<\/strong> fare click su \u201c<strong>Add provider<\/strong>\u201d &gt;<br>Selezionare SAML, inserire un nome (utilizzeremo <em>clientvpn-sso-idp<\/em> per il client VPN e <em>clientvpn-portal-idp<\/em> per il portale self-service) e selezionare i file metadata file scaricati in precedenza. Procediamo con l&#8217;upload<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"811\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image14-1024x811.png\" alt=\"\" class=\"wp-image-3202\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image14-1024x811.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image14-379x300.png 379w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image14-768x609.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image14.png 1445w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>Ora \u00e8 possibile creare il VPN Client endpoint nella vpc e configurarlo per utilizzare le applicazioni SAML per l\u2019autenticazione. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Creazione del Client VPN Endpoint<\/h2>\n\n\n\n<p>Un requisito per la creazione dell\u2019endpoint \u00e8 la creazione di un certificato ACM associato al dominio. Se un certificato non \u00e8 disponibile basta crearlo seguendo i passaggi descritti <a href=\"https:\/\/docs.aws.amazon.com\/acm\/latest\/userguide\/gs-acm-request-public.html\">nella documentazione.<\/a><br>In the Development account go to <strong>VPC<\/strong> and select \u201c<strong>Client VPN Endpoints<\/strong>\u201d, create a new client vpn endpoint.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"856\" height=\"1024\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image4-856x1024.png\" alt=\"\" class=\"wp-image-3182\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image4-856x1024.png 856w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image4-251x300.png 251w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image4-768x918.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image4-1285x1536.png 1285w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image4.png 1498w\" sizes=\"(max-width: 856px) 100vw, 856px\" \/><\/figure><\/div>\n\n\n<p>Selezionare \u201c<strong>Use user-based authentication<\/strong>\u201d e utilizzare i due IdP creati in precedenza:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"393\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image16-1024x393.png\" alt=\"\" class=\"wp-image-3206\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image16-1024x393.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image16-400x154.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image16-768x295.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image16.png 1211w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>Non dimenticatevi di selezionare la casella \u201c<strong>Enable self-service portal<\/strong>\u201d<\/p>\n\n\n\n<p>Dopo aver salvato la configurazione, occorre copiare l\u2019URL del self-service portal ed impostarla come \u201cApplication start URL\u201d per l\u2019applicazione \u201cSSO Client VPN service portal\u201d che abbiamo definito in precedenza. In questo modo gli utenti saranno indirizzati alla pagina corretta:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"362\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image7-1024x362.png\" alt=\"\" class=\"wp-image-3188\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image7-1024x362.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image7-400x141.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image7-768x272.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image7.png 1230w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"989\" height=\"1024\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image6-989x1024.png\" alt=\"\" class=\"wp-image-3186\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image6-989x1024.png 989w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image6-290x300.png 290w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image6-768x796.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image6.png 1284w\" sizes=\"(max-width: 989px) 100vw, 989px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Associare le subnet, configurare l\u2019autorizzazione e abilitare il traffico utilizzando i Security Group<\/h2>\n\n\n\n<p>Cliccare sulla tab \u201cAssociations\u201d sul Client VPN endpoint, selezionare la VPC di destinazione e la subnet (o le subnet) da associare. Dopo alcuni istanti lo stato cambier\u00e0 in \u201cassociated\u201d:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"391\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image12-1024x391.png\" alt=\"\" class=\"wp-image-3198\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image12-1024x391.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image12-400x153.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image12-768x293.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image12.png 1284w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>Fare click sul tab \u201cAssociations\u201d e autorizzare l\u2019accesso alla rete della VPC:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"258\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image13-1024x258.png\" alt=\"\" class=\"wp-image-3200\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image13-1024x258.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image13-400x101.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image13-768x193.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image13.png 1284w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>Le regole di routing saranno aggiunte in automatico:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"322\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image19-1024x322.png\" alt=\"\" class=\"wp-image-3212\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image19-1024x322.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image19-400x126.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image19-768x242.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image19.png 1284w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<h2 class=\"wp-block-heading\">Test della configurazione<\/h2>\n\n\n\n<p>In una finestra privata (o in un\u2019altra sessione del browser) immettere l\u2019indirizzo dello user portal SSO (ad esempio: https:\/\/example-org.awsapps.com\/start)<\/p>\n\n\n\n<p>After logging you\u2019ll see the list of configured applications:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"322\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image8-1024x322.png\" alt=\"\" class=\"wp-image-3190\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image8-1024x322.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image8-400x126.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image8-768x242.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image8.png 1284w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>Selezionando l\u2019applicazione \u201cSSO Client VPN Self Service\u201d si verr\u00e0 reindirizzati al portale che permette di scaricare la configurazione ed il software client.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"638\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image5-1024x638.png\" alt=\"\" class=\"wp-image-3184\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image5-1024x638.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image5-400x249.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image5-768x478.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image5.png 1236w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>Dopo aver installato il client, \u00e8 possibile importare la configurazione (file -&gt; manage profiles &#8211; add profile)<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"344\" height=\"166\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image3.png\" alt=\"\" class=\"wp-image-3181\"\/><\/figure><\/div>\n\n\n<p>Cliccare su \u201cconnect\u201d. Si aprir\u00e0 una nuova finestra del browser con la richiesta delle credenziali di autenticazione. Una volta effettuato il login sar\u00e0 visualizzato un messaggio di conferma:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"233\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image20-1024x233.png\" alt=\"\" class=\"wp-image-3214\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image20-1024x233.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image20-400x91.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image20-768x175.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image20.png 1286w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>Sulla console alla sezione \u201cClient vpn endpoints\u201d usando la tab \u201cConnections\u201d si vedranno le connessioni:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"249\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image18-1024x249.png\" alt=\"\" class=\"wp-image-3210\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image18-1024x249.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image18-400x97.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image18-768x187.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image18.png 1439w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><\/div>\n\n\n<p>Sul client si vedranno le regole di routing aggiunte automaticamente per raggiungere la VPC:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"625\" height=\"850\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image17.png\" alt=\"\" class=\"wp-image-3209\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image17.png 625w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/image17-221x300.png 221w\" sizes=\"(max-width: 625px) 100vw, 625px\" \/><\/figure><\/div>\n\n\n<h2 class=\"wp-block-heading\">Conclusioni<\/h2>\n\n\n\n<p>Il Client AWS VPN \u00e8 un servizio managed che facilita la configurazione delle connessioni VPN per gli utenti finali, offre un meccanismo di configurazione semplice e automatizzato. In questo articolo abbiamo esplorato una implementazione personalizzata non descritta nella documentazione ufficiale. <\/p>\n\n\n\n<p>Siamo ancora alla ricerca della modalit\u00e0 migliore per aggiungere G Suite come provider di identit\u00e0 per AWS SSO e utilizzare le applicazioni SAML per impostare gli attributi corretti per l\u2019autenticazione. E voi lo avete gi\u00e0 fatto? Ci vediamo tra 14 giorni su <strong>#Proud2beCloud <\/strong>con un nuovo articolo!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In un momento in cui smart working e lavoro da remoto sono entrati nella vita di molti, riuscire a fornire [&hellip;]<\/p>\n","protected":false},"author":13,"featured_media":3242,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[469],"tags":[516,514,510,329],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.9.1 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Managed Dialup VPN con autenticazione custom tramite SSO - Proud2beCloud Blog<\/title>\n<meta name=\"description\" content=\"In questo articolo esploriamo una implementazione personalizzata di AWS Client VPN, il servizio managed di AWS per la configurazione di connessioni VPN.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Managed Dialup VPN con autenticazione custom tramite SSO\" \/>\n<meta property=\"og:description\" content=\"Managed Dialup VPN con autenticazione custom tramite SSO\" \/>\n<meta property=\"og:url\" content=\"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/\" \/>\n<meta property=\"og:site_name\" content=\"Proud2beCloud Blog\" \/>\n<meta property=\"article:published_time\" content=\"2021-06-11T11:59:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-02-02T11:02:54+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/twitter-shared-link-7.png\" \/>\n<meta name=\"author\" content=\"Damiano Giorgi\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:title\" content=\"Managed Dialup VPN con autenticazione custom tramite SSO\" \/>\n<meta name=\"twitter:description\" content=\"Managed Dialup VPN con autenticazione custom tramite SSO\" \/>\n<meta name=\"twitter:image\" content=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/twitter-shared-link-7.png\" \/>\n<meta name=\"twitter:label1\" content=\"Scritto da\" \/>\n\t<meta name=\"twitter:data1\" content=\"Damiano Giorgi\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tempo di lettura stimato\" \/>\n\t<meta name=\"twitter:data2\" content=\"10 minuti\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/\",\"url\":\"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/\",\"name\":\"Managed Dialup VPN con autenticazione custom tramite SSO - Proud2beCloud Blog\",\"isPartOf\":{\"@id\":\"https:\/\/blog.besharp.it\/it\/#website\"},\"datePublished\":\"2021-06-11T11:59:00+00:00\",\"dateModified\":\"2024-02-02T11:02:54+00:00\",\"author\":{\"@id\":\"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/a9195473e4a658b45cb12d3df3fdf293\"},\"description\":\"In questo articolo esploriamo una implementazione personalizzata di AWS Client VPN, il servizio managed di AWS per la configurazione di connessioni VPN.\",\"breadcrumb\":{\"@id\":\"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/blog.besharp.it\/it\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Managed Dialup VPN con autenticazione custom tramite SSO\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/blog.besharp.it\/it\/#website\",\"url\":\"https:\/\/blog.besharp.it\/it\/\",\"name\":\"Proud2beCloud Blog\",\"description\":\"il blog di beSharp\",\"alternateName\":\"Proud2beCloud Blog\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/blog.besharp.it\/it\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/a9195473e4a658b45cb12d3df3fdf293\",\"name\":\"Damiano Giorgi\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/9a20b8c97250d4fb49857192f7e4bedf?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/9a20b8c97250d4fb49857192f7e4bedf?s=96&d=mm&r=g\",\"caption\":\"Damiano Giorgi\"},\"description\":\"Ex sistemista on-prem, pigro e incline all'automazione di task noiosi. Alla ricerca costante di novit\u00e0 tecnologiche e quindi passato al cloud per trovare nuovi stimoli. L'unico hardware a cui mi dedico ora \u00e8 quello del mio basso; se non mi trovate in ufficio o in sala prove provate al pub o in qualche aeroporto!\",\"url\":\"https:\/\/blog.besharp.it\/it\/author\/damiano-giorgi\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Managed Dialup VPN con autenticazione custom tramite SSO - Proud2beCloud Blog","description":"In questo articolo esploriamo una implementazione personalizzata di AWS Client VPN, il servizio managed di AWS per la configurazione di connessioni VPN.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/","og_locale":"it_IT","og_type":"article","og_title":"Managed Dialup VPN con autenticazione custom tramite SSO","og_description":"Managed Dialup VPN con autenticazione custom tramite SSO","og_url":"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/","og_site_name":"Proud2beCloud Blog","article_published_time":"2021-06-11T11:59:00+00:00","article_modified_time":"2024-02-02T11:02:54+00:00","og_image":[{"url":"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/twitter-shared-link-7.png"}],"author":"Damiano Giorgi","twitter_card":"summary_large_image","twitter_title":"Managed Dialup VPN con autenticazione custom tramite SSO","twitter_description":"Managed Dialup VPN con autenticazione custom tramite SSO","twitter_image":"https:\/\/blog.besharp.it\/wp-content\/uploads\/2021\/06\/twitter-shared-link-7.png","twitter_misc":{"Scritto da":"Damiano Giorgi","Tempo di lettura stimato":"10 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/","url":"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/","name":"Managed Dialup VPN con autenticazione custom tramite SSO - Proud2beCloud Blog","isPartOf":{"@id":"https:\/\/blog.besharp.it\/it\/#website"},"datePublished":"2021-06-11T11:59:00+00:00","dateModified":"2024-02-02T11:02:54+00:00","author":{"@id":"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/a9195473e4a658b45cb12d3df3fdf293"},"description":"In questo articolo esploriamo una implementazione personalizzata di AWS Client VPN, il servizio managed di AWS per la configurazione di connessioni VPN.","breadcrumb":{"@id":"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/blog.besharp.it\/it\/vpn-dialup-managed-con-autenticazione-via-sso\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/blog.besharp.it\/it\/"},{"@type":"ListItem","position":2,"name":"Managed Dialup VPN con autenticazione custom tramite SSO"}]},{"@type":"WebSite","@id":"https:\/\/blog.besharp.it\/it\/#website","url":"https:\/\/blog.besharp.it\/it\/","name":"Proud2beCloud Blog","description":"il blog di beSharp","alternateName":"Proud2beCloud Blog","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/blog.besharp.it\/it\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"it-IT"},{"@type":"Person","@id":"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/a9195473e4a658b45cb12d3df3fdf293","name":"Damiano Giorgi","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/9a20b8c97250d4fb49857192f7e4bedf?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/9a20b8c97250d4fb49857192f7e4bedf?s=96&d=mm&r=g","caption":"Damiano Giorgi"},"description":"Ex sistemista on-prem, pigro e incline all'automazione di task noiosi. Alla ricerca costante di novit\u00e0 tecnologiche e quindi passato al cloud per trovare nuovi stimoli. L'unico hardware a cui mi dedico ora \u00e8 quello del mio basso; se non mi trovate in ufficio o in sala prove provate al pub o in qualche aeroporto!","url":"https:\/\/blog.besharp.it\/it\/author\/damiano-giorgi\/"}]}},"_links":{"self":[{"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/posts\/3225"}],"collection":[{"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/comments?post=3225"}],"version-history":[{"count":0,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/posts\/3225\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/media\/3242"}],"wp:attachment":[{"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/media?parent=3225"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/categories?post=3225"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/tags?post=3225"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}