Als beheerder kun je voor sommige Android Virtual Private Network-apps (VPN) instellen dat ze Security Assertion Markup Language-verificatie (SAML) gebruiken. Hiervoor is veel configuratie en coördinatie nodig tussen de Identiteitsprovider (IdP), de serviceprovider (SP, in dit geval de VPN-app), de Play Store en ChromeOS, wat problemen oplossen complex maakt.
In dit artikel wordt uitgelegd hoe je de bron van mogelijke problemen met deze configuratie kunt achterhalen.
Opmerking: SAML-configuratie voor VPN-apps en integratie met de IdP vallen buiten het bereik van dit artikel en moeten worden afgehandeld via de betreffende VPN-app-providers.
Android VPN-apps instellen voor SAML-verificatie
SAML is een webprotocol waarvoor een user-agent (meestal een webbrowser) een verificatieverzoek naar een SAML IdP moet sturen. De configuratiestappen kunnen per Android VPN-app verschillen, maar het algemene proces is als volgt:
- De gebruiker opent de geïnstalleerde Android VPN-app.
- De gebruiker klikt in de VPN-app op Koppelen.
- De VPN-app leidt de gebruiker in een browser naar de inlogpagina van de IdP.
- De gebruiker verifieert zich in de browser met inloggegevens, certificaten of een cookie als die zich eerder bij de IdP heeft geverifieerd.
- De SAML-assertie met de autorisatiestatus van de gebruiker wordt teruggestuurd naar de VPN-app.
Op Chromebooks kunnen Android VPN-apps een van de volgende browseropties gebruiken:
- WebView
- Chrome-app voor Android
- Systeemeigen Chrome-browser
Opmerking: Wat de beste optie is, hangt af van hoe je VPN en SAML zijn ingesteld.
|
Configuratie
|
WebView voor VPN-app |
Chrome-app voor Android |
Systeemeigen Chrome-browser |
|---|---|---|---|
| SAML-verificatie met certificaten | Certificaten moeten beschikbaar worden gesteld aan de VPN-app | Certificaten moeten beschikbaar worden gesteld aan de VPN-app | Werkt meteen |
|
SAML-verificatie met inloggegevens Opmerking: We gaan ervan uit dat de gebruiker het SAML-inlogproces op ChromeOS al heeft doorlopen, waarschijnlijk op het inlogscherm. |
Gebruiker moet inloggegevens opnieuw invoeren | Gebruiker moet inloggegevens opnieuw invoeren | Geen gebruikersinteractie vereist. Gebruikt de SAML-verificatiecookies. |
| Interactie met de lockdown-modus | Werkt meteen | Niet ondersteund |
Werkt samen met de instelling URL-uitzonderingen voor Always-on VPN in de Google Beheerdersconsole. Ga naar het beleid AlwaysOnVpnPreConnectUrlAllowlist voor meer informatie. |
| Speciale overwegingen voor ChromeOS | Geen, dezelfde instelling als Android | Geen, dezelfde instelling als Android | De SAML-verificatie moet vanuit ChromeOS worden omgeleid naar de Android VPN-app. |
Problemen met ChromeOS oplossen
De VPN heeft nooit verbinding gemaakt
Dit is het meest voorkomende probleem dat optreedt als de VPN-app de Chrome-systeembrowser gebruikt om in te loggen bij de IdP. Deze fout ontstaat meestal in combinatie met een fout in de webnavigatie in de systeembrowser.
HoofdoorzaakHet SAML-assertieresultaat moet na een geslaagde verificatie worden omgeleid naar de app. Meestal wordt dit bereikt via een HTTP-omleiding die moet worden doorgestuurd naar de VPN-app. Zo kan de app overschakelen naar een verbonden of niet-verbonden status op basis van de SAML-autorisatiestatus.
De VPN-app definieert een intentiefilter om aan het Android-systeem te signaleren dat de app de URL wil openen. Dit intentiefilter wordt alleen door Android herkend. De Chrome-browser op ChromeOS kent dit intentiefilter niet.
OplossingDe omleidings-URL moet het intent://-schema gebruiken om te zorgen dat de SAML-verificatie correct wordt doorgegeven aan de Android-app. Als u een standaard http://-URL gebruikt, probeert de browser de URL zelf te openen in plaats van deze door te sturen naar de Android-app voor verwerking.
Als je een VPN-app van derden gebruikt, neem je contact op met het supportteam van je VPN-serviceprovider om deze wijziging te implementeren.
Voor de VPN-verbinding moet de gebruiker opnieuw inloggegevens invoeren
Nadat de verificatie met de IdP is gelukt, wordt er meestal een sessiecookie uitgegeven. Deze cookie slaat de geverifieerde status van de gebruiker op, zodat de gebruiker niet steeds opnieuw inloggegevens hoeft in te voeren voor toegang tot verschillende serviceproviders.
HoofdoorzaakCookies worden opgeslagen in de Chrome-systeembrowser en kunnen niet worden overgezet naar een Android-app. Als de VPN-app een WebView gebruikt of de verificatie aan een andere Android-app overdraagt, moet de gebruiker de SAML-inloggegevens opnieuw invoeren.
OplossingVanwege de isolatie en beveiliging van gebruikersgegevens in het netwerk op ChromeOS worden verificatiecookies niet gedeeld met VPN-apps. Gebruikers moeten hun inloggegevens dus 2 keer invoeren. Dit is verwacht gedrag. Het is belangrijk dat je werknemers tijdens het instelproces van het VPN op de hoogte stelt van deze vereiste om verwarring en zorgen te voorkomen.
VPN-lockdown blokkeert SAML-verificatie via de systeembrowser
Als Always-on VPN in de lockdownmodus werkt, worden alle verbindingen geblokkeerd die de VPN-app niet gebruiken. SAML-verificatie is een webgebaseerd proces en werkt meestal alleen in de WebView van de VPN-app in de lockdownmodus.
OplossingSinds ChromeOS-versie 122 kunnen beheerders de instelling URL-uitzonderingen voor Always-on VPN in de Beheerdersconsole gebruiken om SAML-verificatie te ondersteunen via de systeembrowser. Gebruikers kunnen dan naar een URL in deze lijst gaan terwijl een Android Always-on VPN is ingesteld op de lockdownmodus en het VPN geen verbinding heeft.
Op certificaten gebaseerde SAML-verificatie werkt niet
VPN-verificatie met een gebruikerscertificaat dat is geregistreerd op het apparaat, mislukt.
HoofdoorzaakCertificaten die zijn geïnstalleerd in ChromeOS, worden niet automatisch gedeeld met Android-apps.
OplossingZorg er in de Beheerdersconsole voor dat door het beleid verstrekte ChromeOS-certificeringsinstantiecertificaten (CA) en gebruikerscertificaten worden gedeeld met Android-apps:
- Als je de VPN-app toegang wilt geven tot een door het beleid geleverd CA-certificaat, ga je naar Apparaten > Chrome > Instellingen > Instellingen voor gebruikers en browsers > Android-apps en zet je Certificaatsynchronisatie aan.
- Als je de VPN-app toegang wilt geven tot een gebruikerscertificaat dat is opgeslagen op een Android-apparaat, ga je naar de relevante app-pagina in de Beheerdersconsole, open je het configuratievenster en zet je Toegang tot sleutels toestaan aan.