適用於員工 WiFi 的 SAML 驗證
本指南深入探討如何利用 SAML 2.0 進行企業級員工 WiFi 驗證,內容涵蓋協定架構、身分識別提供者(Identity Provider)整合以及部署最佳實踐。本指南為 IT 主管和網路架構師提供實用指導,協助將 Azure AD 或 Okta 連接到 Purple WiFi 智慧平台,以強健的身分驅動存取控制取代不安全的預共用金鑰。這將能顯著提升飯店、連鎖零售、體育場館和公共部門場所的安全性、合規準備度及營運效率。
收聽此指南
查看播客逐字稿
執行摘要
對於大型場域的營運商(如連鎖飯店、零售帝國、大型活動空間和公共部門設施)而言,確保員工無線網路的安全是降低風險和提高營運效率的關鍵要素。傳統的預共用金鑰 (PSK) 網路存在顯著的安全漏洞和管理開銷:單一憑證遭到破解就會暴露整個網路,且每次員工異動都需要手動干預存取權限管理。本指南詳細介紹了一種更優越的方法:為員工 WiFi 實施基於安全性判斷式標記語言 (SAML) 2.0 的驗證。透過將您現有的身分識別提供者 (IdP)(例如 Microsoft Azure Active Directory 或 Okta)與 Purple WiFi 智慧平台整合,您可以用強大、基於身分識別的存取控制來取代不安全的共用密碼。此部署模式提升了您的安全防護水準,符合 PCI DSS 和 GDPR 的要求,並極大地簡化了使用者生命週期管理。員工使用其主要公司憑證進行驗證,啟用單一登入 (SSO) 並確保在離職時自動撤銷存取權限。對於技術長 (CTO) 而言,這意味著 IT 支援工單的顯著減少、合規性的增強以及更強大、更具防禦力的網路架構。
技術深度解析
SAML 是一種開放標準,用於在各方之間(特別是在身分識別提供者 (IdP) 和服務提供者 (SP) 之間)交換驗證和授權資料。在此情境中,IdP 是您的中央使用者目錄(Azure AD、Okta、Ping Identity 或 ADFS),而 Purple 平台則充當 SP,協調對實體 WiFi 網路的存取。
SAML 2.0 驗證流程
此流程為 WiFi 使用者啟用了安全、基於瀏覽器的驗證,而無需安裝任何用戶端軟體。當員工連線到指定的員工 SSID 時,其裝置會被重導向至 Captive Portal。此入口網站不會顯示簡單的密碼欄位,而是與 IdP 啟動多步驟的密碼編譯交握,以驗證使用者的身分。
此流程分為五個獨立階段。首先,使用者將其裝置(筆記型電腦、平板電腦或行動電話)連線至員工 WiFi SSID,接著 Purple 平台會呈現 Captive Portal。第二,Purple(作為 SP)會產生一個 SAML 驗證請求 (AuthnRequest),這是一個包含 SP 資訊和所需驗證參數的 XML 文件。使用者的瀏覽器會被重導向至嵌入此請求的 IdP SSO URL。第三,使用者到達其熟悉的 IdP 登入頁面(例如其 Microsoft 365 或 Okta 畫面),並輸入其企業憑證。IdP 會在此處強制執行其全套安全性原則,包括多因素驗證 (MFA)、裝置信任檢查和條件式存取規則。第四,驗證成功後,IdP 會產生一個包含數位簽章聲明的 SAML 回應。此聲明使用 IdP 的私鑰進行簽署,並包含有關已驗證使用者的關鍵資訊,包括使用者名稱、電子郵件和群組成員資格。使用者的瀏覽器會被重導向回 Purple 的聲明取用服務 (ACS) URL,並附帶此已簽署的回應。第五,Purple 接收 SAML 回應,使用 IdP 預先設定的公開憑證驗證數位簽章,剖析聲明以確認授權,並指示網路控制器授予該裝置完整的網路存取權限。
相關標準與協定
SAML 2.0 是基礎協定,定義了用於聲明、協定、繫結和設定檔的 XML 訊息。IEEE 802.1X 提供了一種互補的埠型網路存取控制標準;然而,Captive Portal SAML 方法提供了通用的裝置相容性,而不需要在每個端點上進行複雜的用戶端 (supplicant) 設定,使其成為 BYOD 環境的理想選擇。當 WPA3-Enterprise 與 SAML 結合使用時,可提供縱深防禦:WPA3 加密空中傳輸的流量,而 SAML 則在應用程式層處理身分驗證。PCI DSS 需求 8 強制要求對系統元件的存取進行識別與驗證,此架構直接解決了這一需求。
導入指南
為您的員工 WiFi 部署 SAML 驗證,涉及在您的 IdP 與 Purple 平台之間建立密碼編譯信任關係。以下步驟不限特定廠商,不過具體的使用者介面元素會因 IdP 而異。
部署前檢查清單
在開始設定之前,請確認您擁有符合 SAML 2.0 規範的 IdP(Azure AD、Okta、Ping Identity、ADFS)。確保您在 IdP 入口網站和 Purple 平台中都擁有管理員權限。定義您的使用者群組(例如「All-Staff」、「IT-Admins」、「Store-Managers」),因為這些群組將用於驅動角色型存取原則。驗證您的 WiFi 硬體(無線基地台和控制器)支援 Captive Portal 重新導向。
步驟 1 — 在您的 IdP 中設定應用程式
在您的 IdP 中,為 Purple 建立一個新的 SAML 型應用程式。導覽至 Azure AD 中的「企業應用程式」或 Okta 中的「應用程式」,然後選取自訂 SAML 應用程式。您需要向您的 IdP 提供來自 Purple 平台的兩個值:Assertion Consumer Service (ACS) URL 和 Entity ID。Purple 會在其驗證設定區段中提供這些資訊。作為回報,您的 IdP 將產生其專屬的中介資料(通常是 XML 檔案或 URL),其中包含 IdP 的 SSO URL、Entity ID 和 X.509 簽署憑證。請保留此資訊以用於下一個步驟。
步驟 2 — 設定宣告
這是營運上最關鍵的設定步驟。您必須設定 IdP,以便在 SAML 判斷式中傳送特定的使用者屬性。Purple 需要每個使用者的唯一且永久的識別碼作為 NameID 宣告。最佳做法是使用不可變的屬性,例如 Azure AD 中的 user.objectid 或 Okta 中的 user.id,而不是可變的電子郵件地址。此外,請設定群組宣告以傳遞使用者的群組成員資格。這可在 Purple 內啟用動態的角色型存取原則,而無需進行個別使用者的設定。
步驟 3 — 在 Purple 中設定驗證方法
在 Purple 入口網站中,導覽至驗證管理區段,然後選取 SAML 2.0 作為方法類型。輸入在步驟 1 中取得的 IdP SSO URL、Entity ID 和 X.509 憑證。將來自您 IdP 宣告設定的屬性名稱對應至 Purple 中的對應欄位。最後,將此驗證方法指派給您的員工 Captive Portal 流程,以針對連線至員工 SSID 的使用者啟用此流程。
步驟 4 — 測試與分階段推出
將新的 SAML 應用程式指派給一個小型試點群組(理想情況下為 IT 團隊),並在多種裝置類型(Windows、macOS、iOS、Android)上驗證端對端流程。監控 IdP 中的 SAML 登入記錄以及 Purple 中的驗證記錄,以診斷任何失敗。驗證無誤後,逐步在您的 IdP 中擴大使用者指派範圍,以涵蓋所有相關的員工群組。向員工清楚溝通此變更,強調他們現在將使用其標準的公司登入認證。
最佳做法
針對所有 WiFi 驗證強制執行 MFA。這是防止憑證遭竊最有效的方法,且應被視為任何企業部署中不可妥協的要件。利用您 IdP 的條件式存取功能,根據裝置合規狀態、地理位置或風險評分來限制網路存取。在 Purple 內設定較短的會話逾時,以強制進行定期重新驗證,確保存取權限定期針對 IdP 進行重新驗證,並降低裝置遺失或遭竊的風險。遵守屬性最小化原則:根據 GDPR 第 5 條的資料最小化原則,在 SAML 聲明中僅包含存取決策所需的屬性。對於企業管理的裝置,請考慮將 SAML Captive Portal 與 WPA3-Enterprise 和 802.1X 結合使用,以進行深度防禦;SAML 方法最適合 BYOD 或未受管理的端點。
疑難排解與風險緩釋
最常見且影響最大的故障模式是憑證過期。IdP 的 X.509 簽章憑證具有固定的有效期,通常為一到三年。當其過期時,Purple 將無法再驗證 SAML 聲明,從而導致完全的驗證中斷。緩釋措施:在到期前 90、60 和 30 天設定備份行事曆提醒,並明確記錄更新程序。
時鐘偏差是導致驗證失敗的第二大常見原因。SAML 聲明包含一個有效時間視窗,如果 IdP 和 Purple 平台上的時鐘偏差超過幾分鐘,聲明將因過期或尚未生效而被拒絕。請確保兩個系統都同步到可靠的 NTP 來源。
在初始設定期間設定錯誤的 ACS URL是常見的配置錯誤。單個字元的拼寫錯誤意味著 IdP 會將已簽署的聲明傳送到不存在的端點。請務必直接從 Purple 平台複製並貼上 ACS URL,而不是手動輸入。
最後,停用此應用程式的 IdP 啟動登入。網路存取應只能從 SP(WiFi 連線事件)啟動。允許 IdP 啟動的流程會為某些基於 SAML 的插入式攻擊敞開大門,在此部署模型中是不必要的安全性風險。
投資報酬率與商業影響
在所有類型的場域中,採用基於 SAML 的員工 WiFi 驗證都具有極具說服力的商業價值。消除共享密碼的需求,免去了定期且具干擾性的密碼輪替以及相關的服務台工單。企業組織通常報告指出,部署後與 WiFi 相關的 IT 支援請求減少了 50% 以上。使用者生命週期自動化是最大的營運效益:當員工離職且其 IdP 帳戶被停用時,其 WiFi 存取權限會立即且自動被撤銷,從而堵住了基於 PSK 的網路無限期留下的安全漏洞。從合規性的角度來看,SAML 提供了可審計的個人級存取記錄,直接支援 PCI DSS 規範 8 和 GDPR 的問責義務。無縫的 SSO 體驗(一組憑證即可用於電子郵件、應用程式和 WiFi)減少了員工的阻礙並提高了生產力,特別是對於整天在場域內不同區域移動的營運團隊而言。
參考資料
[1] OASIS Security Services (SAML) TC. "SAML V2.0 Executive Overview." April 2008. https://www.oasis-open.org/committees/download.php/27819/sstc-saml-exec-overview-2.0-cd-01.pdf
[2] General Data Protection Regulation (GDPR). Article 5, Principles relating to processing of personal data. https://gdpr-info.eu/art-5-gdpr/
[3] PCI Security Standards Council. "PCI DSS v4.0 Requirement 8: Identify Users and Authenticate Access to System Components." 2022. https://www.pcisecuritystandards.org/
關鍵定義
SAML Assertion
由身分識別提供者(Identity Provider)進行數位簽章的 XML 文件,用於宣告使用者身分並提供其相關的附加屬性。它是服務提供者(Service Provider)所信任的加密「數位護照」,用以做出存取決策。
在排除驗證失敗的故障時,IT 團隊會檢查 SAML assertion,以驗證 IdP 是否傳送了正確的使用者屬性,以及數位簽章是否有效。它是每次驗證交易中最核心的證據。
Identity Provider (IdP)
管理使用者身分並對其進行驗證的系統。它是組織內使用者身分的權威真實來源。
在企業環境中,這是集中式使用者目錄 — Azure AD、Okta、Ping Identity 或 ADFS。IT 團隊在此新增、刪除和管理所有員工帳戶,並執行 MFA 等安全性原則。
Service Provider (SP)
在授予存取權限之前需要進行驗證的應用程式或服務。它信任 Identity Provider 來執行驗證,並依賴 SAML assertion 作為憑證。
對於 SAML WiFi 驗證,Purple 平台即為 Service Provider。它會接收來自 IdP 的 SAML assertion,以便為連線的裝置做出網路存取控制決策。
Assertion Consumer Service (ACS) URL
Service Provider 上的特定端點,旨在成功驗證事件後,接收並處理來自 Identity Provider 的 SAML assertion。
這是最關鍵的設定參數之一。如果在 IdP 設定中輸入了錯誤的 ACS URL,IdP 將無法得知在登入後要將使用者導向何處,驗證將會失敗並出現重新導向錯誤。
Entity ID
SAML 協定中 Identity Provider 或 Service Provider 的全域唯一識別碼。它作為一個唯一的名稱,以確保各方都在與正確的對手方進行通訊。
Entity ID 通常格式化為 URL,但不需要解析為實際網頁。它的功能類似於目錄中的唯一識別碼,可防止某個 SP 意外接收了原本要傳送給另一個 SP 的 assertion。
SAML Metadata
包含 SAML 參與方所有必要設定資訊的 XML 文件 — 包括其 Entity ID、端點 URL(例如 ACS URL)以及公開的 X.509 簽章憑證。
交換中介資料檔案是設定 SAML 信任關係最可靠的方法。管理員無需手動複製個別數值,只需上傳另一方的中介資料 XML 即可自動填入設定,從而降低手動輸入錯誤的風險。
Claim
由 Identity Provider 包含在 SAML assertion 中關於使用者的資訊(即屬性)。常見的宣告包括使用者名稱、電子郵件地址、部門和群組成員資格。
IT 團隊在 IdP 中設定宣告(claims),以控制 SP 接收的資訊。將群組成員資格宣告傳送至 Purple,即可啟用角色型存取原則,並根據使用者的工作職能進行動態 VLAN 分配。
Single Sign-On (SSO)
一種驗證機制,允許使用者使用單一認證認證一次,即可存取多個獨立的系統和應用程式,而無需為每個系統重新輸入認證。
SAML 是實現 SSO 的主要技術基礎。透過將 SAML 用於 WiFi 驗證,員工可以使用與電子郵件、HR 系統和其他應用程式相同的企業登入帳密來連線,這是一種無縫體驗,可減少摩擦並免除設定獨立 WiFi 密碼的需求。
X.509 Certificate
一種用於驗證參與方身分並對資料進行簽章或加密的數位憑證標準。在 SAML 中,IdP 使用其私鑰對 assertion 進行簽章,而 SP 則使用 IdP 的 X.509 公開憑證來驗證這些簽章。
此憑證是 SAML 部署中信任的基石。憑證過期是導致完全驗證中斷最常見的單一原因,必須進行主動管理。
範例
一家擁有 300 家物業的全球連鎖酒店需要替換其不安全、單一的員工 WiFi PSK。該連鎖酒店使用 Microsoft 365 和 Azure AD 作為其企業身分識別平台。他們需要一個能夠集中管理、為員工提供無縫體驗,並在員工離職時立即撤銷存取權限的解決方案。
IT 團隊在 Azure AD 中為 Purple 平台建立了一個新的企業應用程式。他們使用來自其 Purple 執行個體的 Entity ID 和 ACS URL 來設定該應用程式。關鍵在於,他們設定了宣告以傳送使用者的群組成員資格(例如「Hotel-Staff」和「IT-Admin」),並使用 user.objectid 作為唯一的 NameID,以確保穩定、不可變的身分識別碼。在 Purple 中,他們建立了一個新的 SAML 驗證方法,上傳 Azure AD 中繼資料 XML 以建立信任關係。接著,他們建立了兩個存取原則:一個針對「Hotel-Staff」,授予一般員工網路 VLAN 的存取權限;第二個針對「IT-Admin」,授予管理 VLAN 的特權存取權限。此設定與透過該連鎖酒店集中式網路管理平台在所有 300 家物業廣播的單一「Staff」SSID 綁定。任何酒店的新員工只要其使用者帳戶被新增至 Azure AD 中的相關群組,就會自動獲得正確層級的 WiFi 存取權限,無需本地 IT 人員介入。當員工離職時,停用其 Azure AD 帳戶會立即同時撤銷其在所有 300 家物業的 WiFi 存取權限。
一家大型會議中心同時舉辦多個第三方活動。他們需要為來自不同組織、擁有各自身分識別系統的活動工作人員提供安全的 WiFi。他們無法向外部工作人員發放憑證,且必須確保某個活動的工作人員無法存取另一個活動的網路資源。
會議中心的 IT 團隊利用 Purple 對多個 SAML 身分識別提供者(IdP)的支援。針對每個主要的活動主辦方,他們在 Purple 平台內設定了獨立的 SAML 信任關係。主辦方 A(使用 Okta)和主辦方 B(使用 Google Workspace)被設定為不同的 IdP。Captive Portal 設定為顯示組織選擇步驟,引導使用者至其各自的 IdP 進行驗證。利用每個 IdP 傳遞的群組宣告,Purple 將使用者對應到特定活動的 VLAN,確保活動之間完全的網路流量隔離。根據 Purple 中設定的預設行程規則,每個主辦方工作人員的存取權限會在活動結束時自動過期,無需手動取消佈建。
練習題
Q1. 您的 CFO 報告指出,在一名員工離職兩週後,其個人裝置仍被發現連線至員工 WiFi 網路。您目前的系統使用每季輪替一次的單一 WPA2-PSK。基於 SAML 的方法將如何降低此特定風險?您會建議哪些額外的控制措施?
提示:請考量使用者生命週期、驗證授權來源以及工作階段逾時(session timeouts)的角色。
查看標準答案
基於 SAML 的方法將 WiFi 存取權直接與員工在中央身分識別提供者(Identity Provider,簡稱 IdP)中的啟用狀態連結。當該員工的帳戶在標準離職流程中被停用或刪除時,其驗證任何整合 SAML 服務(包括 WiFi)的能力會立即且自動被撤銷。IdP 將不再為該使用者核發有效的 SAML 聲明,這意味著他們無法重新進行驗證。為了針對裝置已連線的特定情境進行處理,請在 Purple 中設定較短的工作階段逾時(例如:與工作日一致的 8 小時工作階段)。當工作階段過期時,裝置必須重新驗證,而已停用的 IdP 帳戶將阻止此操作。這消除了像 PSK 這種長期共用金鑰固有的安全性漏洞(即已連線的裝置會無限期保持在線狀態)。
Q2. 某體育場正在為其 500 名活動日工作人員實施 SAML 驗證。他們希望確保使用銷售點(POS)終端機的收銀員只能存取符合 PCI 規範的網路區段,而營運人員則可以存取一般企業網路。您會如何設計 SAML 聲明設定和網路原則來實現此區隔?
提示:思考如何透過 SAML 聲明將角色資訊從 IdP 傳遞到網路基礎架構,以及 Purple 如何根據該資訊採取行動。
查看標準答案
解決方案是使用群組聲明和動態 VLAN 分配。在 IdP(Azure AD 或 Okta)中,建立兩個安全性群組:「POS-Staff」和「Ops-Staff」。設定 SAML 應用程式,將使用者的群組成員資格作為聲明包含在 assertion 中。在 Purple 平台中,建立兩個對應到這些群組名稱的使用者存取設定檔。設定「POS-Staff」設定檔以將使用者分配到符合 PCI 規範的 VLAN(例如:VLAN 10),並設定「Ops-Staff」設定檔以將使用者分配到企業 VLAN(例如:VLAN 20)。當使用者進行驗證時,Purple 會從 SAML 聲明中讀取群組聲明,並透過 RADIUS 屬性或 API 指示網路控制器將使用者的裝置放入適當的 VLAN 中。網路流量隨後會在基礎架構層級進行隔離,確保 POS 終端機無論在體育場的哪個位置連線,都只能存取付款處理網路。
Q3. 您正計劃向擁有 1,000 家門市的零售連鎖店推廣 SAML WiFi 驗證。門市經理們並不精通技術。主動管理最關鍵的單一營運風險是什麼?您的溝通與應變計劃又是什麼?
提示:在 SAML 信任關係中,哪一個元件具有固定的到期日,且其失效會導致所有 1,000 家門市同時中斷服務?
查看標準答案
最關鍵的單一營運風險是 IdP 的 SAML 簽署憑證過期。如果憑證過期,所有 1,000 家門市將同時失去員工 WiFi 存取權,因為 Purple 將無法驗證任何 SAML 聲明。緩解計劃包含兩個部分。技術上:為整個 IT 團隊設定多個針對憑證到期日的備份行事曆提醒,從到期前 90 天開始。記錄在 IdP 中產生新憑證並在 Purple 平台中進行更新的逐步程序。確保至少有兩名團隊成員接受過此程序的培訓。目標是在到期前至少 30 天完成更新,以便進行測試。溝通上:主動向零售營運總監通知憑證更新的計劃維護時間。對於計劃中的更新,無需通知個別門市經理,因為目標是實現零停機時間的切換。如果發生非預期的中斷,溝通計劃應為立即向營運總監通報問題,並提供切實可行的解決預估時間。商業連續性計劃中應記錄臨時替代方案,例如針對關鍵營運提供有時間限制的 PSK。
繼續閱讀本系列
各大廠商的 Per-Device PSK 比較:iPSK、DPSK、MPSK 與 PPSK(以及 WPA3 支援)
針對 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Extreme、Fortinet 和 Ubiquiti UniFi 的 per-device PSK 實作進行全面比較。了解 WPA3-SAE 如何影響 per-device 金鑰策略,以及何時該部署過渡模式或轉移至 802.1X。
Captive Portal 驗證方式比較
本權威技術參考指南評估了五種核心 Captive Portal 驗證方式在架構、營運及合規性方面的權衡。它為網路架構師、IT 總監和行銷經理提供了所需的量化數據與決策框架,以在企業場域中平衡訪客登入摩擦與數據收集需求。
什麼是 MAC 位址驗證?何時該使用以及何時該避免使用
本權威技術參考指南涵蓋企業 WiFi 環境中的 MAC 位址驗證 — 說明基於 RADIUS 的 MAC 驗證在 Layer 2 的運作方式、其固有的安全性漏洞(包括 MAC 欺騙以及作業系統層級 MAC 隨機化的影響),以及其作為管理 IoT 和無螢幕(headless)裝置有效工具的具體營運情境。本指南為餐飲旅宿、零售、醫療保健和公共場所的 IT 經理與網路架構師提供具體可行的部署指引,並包含實際案例、決策框架,以及與 Purple 的顧客 WiFi 和分析平台的整合情境。