文档首页/ 虚拟专用网络 VPN/ 最佳实践/ 终端入云VPN/ 通过终端入云VPN实现移动端和VPC互通(联邦认证,Microsoft Entra ID)/ 操作步骤
更新时间:2026-04-23 GMT+08:00
查看PDF
分享

操作步骤

前提条件

  • 云侧
    • 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网
    • 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则
  • 数据中心侧

    用户终端设备已经完成VPN客户端软件相关配置。相关操作步骤请参见管理员指南

操作须知

更换客户端认证类型或身份提供商会导致已有VPN连接中断,请谨慎操作。

操作步骤

  1. 配置Microsoft Entra ID单一登录。

    1. 使用企业管理员账号登录系统。
    2. 单击“Microsoft Entra ID”,在下方的快速操作中,单击“添加企业应用程序”
    3. 单击“创建你自己的应用程序”
    4. 输入应用名称,单击“创建”
    5. 应用程序创建完成后,单击“设置单一登录”
    6. 选择“SAML单一登录”
    7. 下载华为云元数据文件(metadata文件)。

      如何获取华为云元数据文件,建议使用Chrome浏览器访问网址:https://auth.huaweicloud.com/authui/saml/metadata.xml,将华为云元数据页面右键单击另存至本地。

    8. 单击“上载元数据文件”,选择已保存的华为云元数据文件,单击“添加”,系统会上传SAML文件。
    9. 当界面显示已成功上传XML文件时,单击“保存”,保存单一登录配置。
    10. 在配置属性和索赔模块中,单击“编辑”
    11. 配置唯一用户表示符。

      本示例以唯一用户表示符配置为user.userprincipalname为示例。

    12. 查看并记录“user.userprincipalname”的声明名称。

      该声明名称会在后续配置身份转换规则步骤5.4中使用。

    13. 单击“下载”,下载Microsoft Entra ID的联合元数据文件至本地。
    14. 授予用户对该应用程序的访问权限。
      1. 选择用户和组 > 添加用户/组
      2. 单击“未选择任何项”,选择已有的用户并单击“分配”,当界面显示应用程序分配成功时,表示用户访问权限分配完成。

        只有勾选的用户才能通过联邦认证访问VPN网关。

  2. 登录华为云管理控制台。
  3. 在管理控制台左上角单击图标,选择区域和项目。
  4. 在页面左上角单击图标,选择管理与监管 > 统一身份认证服务 IAM
  5. 配置身份提供商。

    1. 创建用户组并授权。
      1. 创建用户组。
        1. 在左侧导航栏,单击“用户组”
        2. “用户组”页签中,单击“创建用户组”
        3. 根据界面提示,输入“用户组名称”
        4. 单击“确定”,用户组创建完成。

          在用户组列表中,可以查看已创建的用户组。

      2. 用户组授权。
        1. 选择目标用户组,单击操作列的“授权”
        2. 在右上方搜索“VPN SSOAccessPolicy”,勾选该权限。
        3. 单击“下一步”,根据实际情况选择授权范围方案。
        4. 单击“确定”,用户组授权完成。
    2. 创建身份提供商。
      1. 在左侧导航栏,单击“身份提供商”
      2. “身份提供商”页签中,单击“创建身份提供商”
      3. 根据界面提示,配置名称、协议、类型和状态等参数。
      4. 单击“确定”,身份提供商创建完成。
    3. 上传Microsoft Entra ID元数据。
      1. “身份提供商”页签中,单击对应操作列的“修改”
      2. 在元数据配置区域,单击“添加文件”,导入已下载的Microsoft Entra ID元数据文件。
      3. 单击“上传文件”,确认元数据配置信息,单击“确定”
    4. 配置身份转换规则。
      1. 在身份转换规则区域,单击“创建规则”
      2. 根据界面提示配置参数。
        表1 规则参数说明

        参数

        说明

        取值样例

        用户名

        用户名是Microsoft Entra ID账号映射到华为云CTS云审计服务侧的操作用户名称。

        须知:
        • 同一身份提供商的联邦用户名需要确保其唯一。如果同一身份提供商内出现重复的联邦用户名,则重名的联邦用户在华为云中对应同一个IAM用户。
        • 用户名可以是占位符 {0..n} ,{0}表示remote中用户信息的第一个属性,{1}表示remote中用户信息的第二个属性;或者任意不含<、>、{、} 的字符串。

        FederationUser-IdP_001

        用户组

        选择已授权的用户组。联邦认证场景下,必须关联具备VPN SSOAccessPolicy权限的用户组。

        vpn_user_group

        本规则生效条件

        当满足该生效条件时,联邦用户具有所属用户组的权限;当不满足生效条件时,该规则不生效,且不满足生效条件的用户无法访问华为云。一个身份转换规则最多可以创建10条生效条件。

        本规则生效条件,详细说明请参见身份转换规则详细说明

        说明:
        • 一个规则可以创建多条生效条件,所有生效条件均满足,此规则才可以生效。
        • 一个身份提供商可以创建多条规则,规则共同作用。如果所有规则对某个联邦用户都不生效,那么该联邦用户禁止访问华为云。
        • “属性”:“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name”
        • “条件”:“empty”
      3. 单击“确定”,规则创建完成。

        默认规则配置下,所有Microsoft Entra ID账号登录VPN,在华为云CTS日志审计服务侧显示的操作用户名称均相同。

        如果希望CTS侧显示的操作用户名和Microsoft Entra ID账号保持一致,请进行以下操作:

        1. 单击修改规则。
        2. 删除默认的规则。
        3. 用户名修改为占位符{0}。
        4. 单击“校验规则”
        5. 当界面显示规则正确时,单击“确定”,完成身份转换规则的配置。
    5. “修改身份提供商”页面,单击“确定”,使配置生效。

  6. 在页面左上角单击图标,选择网络 > 虚拟专用网络 VPN
  7. 在左侧导航栏,选择虚拟专用网络 > 企业版-VPN网关
  8. 单击“终端入云VPN网关”页签,进入终端入云VPN网关页面。
  9. 配置VPN网关。

    1. “终端入云VPN网关”页面,单击“创建终端入云VPN网关”
    2. 根据界面提示配置参数,单击“立即购买”

      VPN网关参数请参见表 VPN网关参数说明

      表2 VPN网关参数说明

      参数

      说明

      取值样例

      区域

      选择靠近您所在地域的区域可以降低网络时延,从而提高访问速度。

      不同区域的资源之间网络不互通。

      请根据实际需要进行选择

      名称

      输入VPN网关的名称。

      p2c-vpngw-001

      虚拟私有云

      选择虚拟私有云VPC信息。

      vpc-001(192.168.0.0/16)

      互联子网

      用于VPN网关和VPC通信,请确保选择的互联子网存在3个及以上可分配的IP地址。

      192.168.66.0/24

      规格

      支持专业型1和专业型2两种类型。

      详细规格差异请参见规格介绍

      专业型1

      可用区

      可用区是指在同一地域内,电力和网络互相独立的物理区域。在同一VPC网络内可用区与可用区之间内网互通,可用区之间能做到物理隔离。

      • 当存在两个及以上可用区时,必须选择两个可用区。

        部署在两个可用区的VPN网关具备更高的可用性。建议您根据VPC内资源所在的可用区选择网关的可用区。

      • 当仅存在一个可用区时,可选择此可用区创建VPN网关。

      可用区1、可用区2

      连接数

      VPN网关最多支持10个免费的VPN连接,提供可选连接数规格,支持用户自定义。

      10

      是否使用共享带宽
      • “计费模式”采用“包年/包月”时,默认开启使用共享带宽。
      • “计费模式”采用“按需计费”时,默认不开启使用共享带宽。

      开启

      弹性公网IP类型

      选择VPN网关绑定EIP的类型。

      全动态BGP:可以根据设定的寻路协议实时自动优化网络结构,以保持客户使用的网络持续稳定、高效。

      弹性公网IP类型的详细介绍请参见什么是弹性公网IP

      全动态BGP

      带宽名称

      选择EIP对应带宽对象的名称。

      p2c-vpngw-bandwidth1

      EIP

      用于VPN网关和客户端进行网络连接。

      • 现在创建:购买新EIP。
      • 使用已有:使用已有EIP。
        说明:

        使用已有EIP时,已有EIP的计费模式可以为按需,也可以为包年/包月。

      现在创建

  10. 配置服务端。

    1. “终端入云VPN网关”页面,可以单击目标VPN网关操作列的“配置服务端”,也可以单击目标VPN网关名称进入详情页配置服务端。
    2. 根据界面提示配置参数,单击“确定”

      服务端配置参数请参见表 服务端参数说明

      表3 服务端参数说明

      区域

      参数

      说明

      取值样例

      基本信息

      本端网段

      本端网段是客户端通过终端入云VPN网关访问的目标网络的地址段。本端网段可以是华为云VPC的网段,或与华为云VPC互联网络的网段。

      最多可指定20个本端网段。本端网段的全0配置,暂不开放支持。本端网段的限制网段为0.0.0.0/8,224.0.0.0/4,240.0.0.0/4,127.0.0.0/8,不能与这些特殊网段重叠或冲突。

      • 选择子网:

        选择本VPC子网信息。

      • 输入网段:

        可以输入本VPC下的子网信息;也可以输入与本VPC建立了对等网络的VPC子网信息。

      说明:

      本端网段修改后,客户端需要重新连接。

      192.168.0.0/24

      客户端网段

      客户端网段是分配给客户端虚拟网卡地址的网段,不能与本端网段重叠,不能与网关所在VPC的路由表内路由重叠。当客户端连接网关时,会从中分配一个IP地址给客户端使用。

      客户端网段需要满足点分十进制/掩码格式,掩码位数在16~26之间。系统在为每个客户端分配IP地址时,需要划分出一个子网掩码为30的子网段,用以保证网络通信正常。因此,请确保您指定的客户端网段所包含的IP地址个数是VPN网关连接数的4倍及以上。

      不同VPN连接数建议的客户端网段请参见表 建议的客户端网段

      说明:

      客户端网段修改后,客户端需要重新连接。

      172.16.0.0/16

      隧道类型

      SSL协议是一种传输层安全协议,用于构建客户端和服务端之间的安全通道。

      OpenVPN(SSL),不支持修改。

      OpenVPN(SSL)

      认证信息

      服务端证书

      选择“服务自签名证书”

      服务自签名证书

      客户端认证类型

      选择客户端认证类型 > 联邦认证

      联邦认证

      身份提供商

      选择已创建的身份提供商。

      idp-user001

      高级配置

      协议

      终端入云VPN连接使用的协议。

      • TCP(默认)

      TCP

      端口

      终端入云VPN连接使用的端口。

      • 443(默认)
      • 1194

      443

      加密算法

      终端入云VPN连接使用的加密算法。

      • AES-128-GCM(默认)
      • AES-256-GCM

      AES-128-GCM

      认证算法

      终端入云VPN连接使用的认证算法。

      • 加密算法为AES-128-GCM时,对应认证算法为SHA256。
      • 加密算法为AES-256-GCM时,对应认证算法为SHA384。

      SHA256

      是否压缩

      是否对传输数据进行压缩处理。

      默认不压缩,不支持修改。

      表4 建议的客户端网段

      VPN连接数

      建议的客户端网段

      10

      子网掩码位数小于或等于26的网段。

      例如:10.0.0.0/26、10.0.0.0/25。

      20

      子网掩码位数小于或等于25的网段。

      例如:10.0.0.0/25、10.0.0.0/24。

      50

      子网掩码位数小于或等于24的网段。

      例如:10.0.0.0/24、10.0.0.0/23。

      100

      子网掩码位数小于或等于23的网段。

      例如:10.0.0.0/23、10.0.0.0/22。

      200

      子网掩码位数小于或等于22的网段。

      例如:10.0.0.0/22、10.0.0.0/21。

      500

      子网掩码位数小于或等于21的网段。

      例如:10.0.0.0/21、10.0.0.0/20。
    3. 单击“确定”

  11. 下载客户端配置文件。

    1. 在“终端入云VPN网关”页面,单击目标VPN网关所在行操作列的“下载客户端配置”
    2. 解压缩得到“client_config.conf”、“client_config.ovpn”、“README.md”三个文件。
      • “client_config.conf”适用于Linux。
      • “client_config.ovpn”适用于Windows、Mac或Android。

  12. 配置客户端。

    本示例为您介绍如何配置Windows客户端,不同类型VPN客户端软件及版本可能存在差异,配置时请以实际为准。

    • 操作系统:Windows 10
    • 客户端软件:OpenVPN Connect 3.7.3(4351)

      客户端仅3.4.0及以上版本支持联邦认证。

    更多客户端配置案例,请参见配置客户端

    1. 在OpenVPN官方网站下载OpenVPN Connect,根据界面提示进行安装。
    2. 启动OpenVPN Connect客户端,在“UPLOAD FILE”页签下单击“BROWSE”,上传“client_config.ovpn”文件。
      图1 上传配置文件
    3. 单击“CONNECT”尝试建立VPN连接。
    4. 使用已有的用户登录Microsoft Entra ID系统。
      如果该登录账号已开启多重身份验证,请根据界面提示进行身份验证操作。
      • 当登录页面显示认证成功,且客户端界面显示CONNECTED时,表示连接成功。
        图2 连接成功
      • 当登录页面显示认证失败时,可以根据错误信息修改对应配置。具体错误信息请参考《故障排除》。

结果验证

  1. 验证连接是否正常。
    1. 打开客户端设备的命令行窗口。
    2. 执行以下命令,验证连通性。

      ping 192.168.1.10

      其中,192.168.1.10为客户端需要访问的弹性云服务器的IP地址,请根据实际替换。

    3. 回显如下信息,表示网络已通。 
      来自 xx.xx.xx.xx 的回复: 字节=32 时间=28ms TTL=245
来自 xx.xx.xx.xx 的回复: 字节=32 时间=28ms TTL=245
来自 xx.xx.xx.xx 的回复: 字节=32 时间=28ms TTL=245
来自 xx.xx.xx.xx 的回复: 字节=32 时间=27ms TTL=245
  2. 验证CTS侧操作用户名称是否和Microsoft Entra ID登录账号一致。
    1. 在页面左上角单击图标,选择管理与监管 > 云审计服务 CTS
    2. 在事件列表页面的搜索框中,选择事件名称,输入loginP2cVpnBySSO,按“Enter”搜索。
    3. 查看事件中的操作用户。

      如果操作用户为Microsoft Entra ID登录账号,表示身份转换规则配置正确。

相关文档