Oktatóanyag: Microsoft Entra SSO-integráció a FortiGate SSL VPN-sel

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja a FortiGate SSL VPN-t a Microsoft Entra ID-val. Ha integrálja a FortiGate SSL VPN-t a Microsoft Entra ID-val, az alábbiakat teheti:

  • A Microsoft Entra ID használatával szabályozhatja, hogy ki férhet hozzá a FortiGate SSL VPN-hez.
  • Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek a FortiGate SSL VPN-be a Microsoft Entra-fiókjukkal.
  • A fiókok kezelése egy központi helyen: az Azure Portalon.

Előfeltételek

Első lépésként a következő elemekre van szüksége:

  • Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
  • Egy FortiGate SSL VPN egyszeri bejelentkezéssel (SSO) engedélyezve.

Oktatóanyag leírása

Ebben az oktatóanyagban a Microsoft Entra SSO-t fogja konfigurálni és tesztelni egy tesztkörnyezetben.

A FortiGate SSL VPN támogatja az SP által kezdeményezett egyszeri bejelentkezést.

A FortiGate SSL VPN Microsoft Entra-azonosítóba való integrálásának konfigurálásához a gyűjteményből fel kell vennie a FortiGate SSL VPN-t a felügyelt SaaS-alkalmazások listájára:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
  3. A Gyűjtemény hozzáadása szakaszban írja be a FortiGate SSL VPN kifejezést a keresőmezőbe.
  4. Válassza a FortiGate SSL VPN-t az eredménypanelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

Microsoft Entra SSO konfigurálása és tesztelése FortiGate SSL VPN-hez

A Microsoft Entra SSO konfigurálása és tesztelése a FortiGate SSL VPN-sel egy B.Simon nevű tesztfelhasználó használatával történik. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a Megfelelő SAML SSO felhasználói csoport között a FortiGate SSL VPN-ben.

A Microsoft Entra SSO FortiGate SSL VPN-sel való konfigurálásához és teszteléséhez hajtsa végre az alábbi magas szintű lépéseket:

  1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést a szolgáltatás felhasználói számára való engedélyezéséhez.
    1. Hozzon létre egy Microsoft Entra tesztfelhasználót a Microsoft Entra egyszeri bejelentkezés teszteléséhez.
    2. Adjon hozzáférést a tesztfelhasználónak , hogy engedélyezze a Microsoft Entra egyszeri bejelentkezését az adott felhasználó számára.
  2. Konfigurálja a FortiGate SSL VPN SSO-t az alkalmazás oldalán.
    1. Hozzon létre egy FortiGate SAML SSO felhasználói csoportot a felhasználó Microsoft Entra-ábrázolásának megfelelőjeként.
  3. Tesztelje az egyszeri bejelentkezést a konfiguráció működésének ellenőrzéséhez.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO Azure Portalon való engedélyezéséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazások>FortiGate SSL VPN-alkalmazásintegrációs oldalát, a Kezelés szakaszban válassza ki az egyszeri bejelentkezést.

  3. A Select a single sign-on method page, select SAML.

  4. Az egyszeri bejelentkezés beállítása SAML-lel lapon válassza az Egyszerű SAML-konfiguráció Szerkesztés gombját a beállítások szerkesztéséhez:

    Screenshot of showing Basic SAML configuration page.

  5. Az egyszeri bejelentkezés beállítása SAML-lel lapon adja meg a következő értékeket:

    a. Az Azonosító mezőbe írjon be egy URL-címet a mintábahttps://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    b. A Válasz URL-cím mezőjébe írjon be egy URL-címet a mintábahttps://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    c. A Bejelentkezés URL-cím mezőjébe írjon be egy URL-címet a mintábahttps://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    d. A Kijelentkezés URL-cím mezőjébe írjon be egy URL-címet a mintábahttps://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Megjegyzés:

    Ezek az értékek csak minták. A FortiGate-en konfigurált tényleges bejelentkezési URL-címet, azonosítót, válasz URL-címet és kijelentkezés URL-címet kell használnia.

  6. A FortiGate SSL VPN-alkalmazás az SAML-állításokat egy adott formátumban várja, amelyhez egyéni attribútumleképezéseket kell hozzáadnia a konfigurációhoz. Az alábbi képernyőképen az alapértelmezett attribútumok listája látható.

    Screenshot of showing Attributes and Claims section.

  7. A FortiGate SSL VPN által igényelt jogcímek az alábbi táblázatban láthatók. Ezeknek a jogcímeknek a neveinek meg kell egyezniük az oktatóanyag FortiGate parancssori konfigurációs szakaszában használt névvel. A rendszer a nevekben megkülönbözteti a kis- és nagybetűket.

    Név Forrásattribútum
    username user.userprincipalname
    csoport user.groups

    További jogcímek létrehozása:

    a. A Felhasználói attribútumok > Jogcímek elem mellett válassza a Szerkesztés lehetőséget.

    b. Válassza az Új jogcím hozzáadása lehetőséget.

    c. A Név mezőbe írja be a felhasználónevet.

    d. A Forrás attribútum esetében válassza a user.userprincipalname lehetőséget.

    e. Válassza a Mentés parancsot.

    Megjegyzés:

    A felhasználói attribútumok > jogcímek csak egy csoportjogcímet engedélyeznek. Csoportjogcím hozzáadásához törölje a jogcímekben már meglévő csoportjogcímet( user.groups [SecurityGroup]), hogy hozzáadja az új jogcímet, vagy szerkessze a meglévőt a Minden csoporthoz.

    f. Válassza a Csoportjogcím hozzáadása lehetőséget.

    g. Válassza a Minden csoport lehetőséget.

    h. A Speciális beállítások csoportban jelölje be a Csoport jogcím nevének testreszabása jelölőnégyzetet.

    i. A Név mezőbe írja be a csoportot.

    j. Válassza a Mentés parancsot.

  8. Az egyszeri bejelentkezés beállítása SAML-lel lapon, az SAML aláíró tanúsítvány szakaszában válassza a Tanúsítvány (Base64) melletti letöltési hivatkozást a tanúsítvány letöltéséhez és a számítógépre való mentéséhez:

    Screenshot that shows the certificate download link.

  9. A FortiGate SSL VPN beállítása szakaszban másolja ki a megfelelő URL-címet vagy URL-címeket a követelmények alapján:

    Screenshot that shows the configuration URLs.

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
  3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
    1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
    2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . For example, B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Select Review + create.
  5. Select Create.

Hozzáférés biztosítása a tesztfelhasználóhoz

Ebben a szakaszban engedélyezi B.Simon számára az egyszeri bejelentkezés használatát azáltal, hogy hozzáférést ad a felhasználónak a FortiGate SSL VPN-hez.

  1. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
  2. Az alkalmazások listájában válassza a FortiGate SSL VPN lehetőséget.
  3. Az alkalmazás áttekintési lapján, a Kezelés szakaszban válassza a Felhasználók és csoportok lehetőséget.
  4. Válassza a Felhasználó hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
  5. A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a képernyő alján található Kiválasztás gombra.
  6. Ha bármilyen szerepkörértéket vár az SAML-állításban, a Szerepkör kiválasztása párbeszédpanelen válassza ki a felhasználónak megfelelő szerepkört a listából. Kattintson a képernyő alján található Kiválasztás gombra.
  7. A Hozzárendelés hozzáadása párbeszédpanelen válassza a Hozzárendelés lehetőséget.

Biztonsági csoport létrehozása a tesztfelhasználó számára

Ebben a szakaszban egy biztonsági csoportot fog létrehozni a tesztfelhasználó Microsoft Entra-azonosítójában. A FortiGate ezt a biztonsági csoportot fogja használni, hogy hozzáférést biztosítson a felhasználónak a VPN-en keresztül.

  1. A Microsoft Entra Felügyeleti központban keresse meg az Identitáscsoportok>>új csoportját.
  2. Az Új csoport tulajdonságai között hajtsa végre az alábbi lépéseket:
    1. A Csoporttípus listában válassza a Biztonság lehetőséget.
    2. A Csoportnév mezőbe írja be a FortiGateAccess nevet.
    3. A Csoport leírása mezőbe írja be a FortiGate VPN-hozzáférés engedélyezéséhez szükséges csoportot.
    4. Ha a Microsoft Entra-szerepkörök hozzárendelhetők a csoport (előzetes verzió) beállításaihoz, válassza a Nem lehetőséget.
    5. A Tagság típusa mezőben válassza a Hozzárendelt lehetőséget.
    6. A Tagok csoportban válassza a Nincs kijelölt tag lehetőséget.
    7. A Felhasználók és csoportok párbeszédpanelen válassza a Felhasználók listában a B.Simon lehetőséget, majd kattintson a képernyő alján található Kiválasztás gombra.
    8. Select Create.
  3. Miután visszatért a Microsoft Entra ID Csoportok szakaszába, keresse meg a FortiGate hozzáférési csoportot, és jegyezze fel az objektumazonosítót. Később szüksége lesz rá.

A FortiGate SSL VPN SSO konfigurálása

Töltse fel a Base64 SAML-tanúsítványt a FortiGate-berendezésbe

Miután elvégezte a FortiGate alkalmazás SAML-konfigurációját a bérlőben, letöltötte a Base64 kódolású SAML-tanúsítványt. Ezt a tanúsítványt fel kell töltenie a FortiGate-berendezésbe:

  1. Jelentkezzen be a FortiGate-berendezés felügyeleti portáljára.
  2. A bal oldali panelen válassza a Rendszer lehetőséget.
  3. A Rendszer területen válassza a Tanúsítványok lehetőséget.
  4. Válassza a Távoli tanúsítvány importálása>lehetőséget.
  5. Keresse meg a FortiGate alkalmazás üzembe helyezéséből letöltött tanúsítványt az Azure-bérlőben, jelölje ki, majd kattintson az OK gombra.

A tanúsítvány feltöltése után jegyezze fel a nevét a Rendszertanúsítványok távoli tanúsítványa> területen.> Alapértelmezés szerint REMOTE_Cert_N lesz a neve, ahol az N egész szám.

A FortiGate parancssori konfigurációjának befejezése

Bár a FortiOS 7.0 óta konfigurálhatja az egyszeri bejelentkezést a grafikus felhasználói felületről, a PARANCSSOR-konfigurációk az összes verzióra érvényesek, ezért itt láthatók.

A lépések végrehajtásához szüksége lesz a korábban rögzített értékekre:

FortiGate SAML CLI-beállítás Egyenértékű Azure-konfiguráció
SP entitásazonosító (entity-id) Identifier (Entity ID)
SP egyszeri bejelentkezési URL-cím (single-sign-on-url) Válasz URL-címe (Assertion Consumer Service URL)
SP egyszeri kijelentkezés URL-címe (single-logout-url) Logout URL
IdP-entitás azonosítója (idp-entity-id) Microsoft Entra-azonosító
Egyéni azonosítójú egyszeri bejelentkezési URL-cím (idp-single-sign-on-url) Azure Bejelentkezési URL-cím
IdP egyszeri kijelentkezés URL-címe (idp-single-logout-url) Azure-kijelentkezés URL-címe
IdP-tanúsítvány (idp-cert) Base64 SAML-tanúsítvány neve (REMOTE_Cert_N)
Felhasználónév attribútum (user-name) username
Csoportnév attribútum (group-name) csoport

Megjegyzés:

Az egyszerű SAML-konfiguráció alatti bejelentkezési URL-cím nem használatos a FortiGate-konfigurációkban. Az SP által kezdeményezett egyszeri bejelentkezés aktiválására szolgál, hogy átirányítsa a felhasználót az SSL VPN-portál oldalára.

  1. Hozzon létre egy SSH-munkamenetet a FortiGate-berendezésen, és jelentkezzen be egy FortiGate Rendszergazda istrator-fiókkal.

  2. Futtassa ezeket a parancsokat, és cserélje le a <values> korábban gyűjtött adatokra:

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

A FortiGate konfigurálása csoportegyeztetéshez

Ebben a szakaszban konfigurálja a FortiGate-et a tesztfelhasználót tartalmazó biztonsági csoport objektumazonosítójának felismerésére. Ez a konfiguráció lehetővé teszi a FortiGate számára, hogy a csoporttagság alapján hozzon hozzáférési döntéseket.

A lépések elvégzéséhez szüksége lesz az oktatóanyag korábbi részében létrehozott FortiGateAccess biztonsági csoport objektumazonosítójára.

  1. Hozzon létre egy SSH-munkamenetet a FortiGate-berendezésen, és jelentkezzen be egy FortiGate Rendszergazda istrator-fiókkal.

  2. Futtassa a következő parancsokat:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

FortiGate VPN-portálok és tűzfalszabályzat létrehozása

Ebben a szakaszban konfigurál egy FortiGate VPN-portálokat és tűzfalszabályzatot, amely hozzáférést biztosít az oktatóanyag korábbi részében létrehozott FortiGateAccess biztonsági csoporthoz.

Útmutatásért tekintse meg az SAML SSO-bejelentkezés ssl VPN-hez való konfigurálását a Microsoft Entra ID-val, amely SAML-azonosítóként működik.

Egyszeri bejelentkezés tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

  • Az Azure SSO konfigurálásának 5. lépésében ,*Az egyszeri bejelentkezés tesztelése az alkalmazással, kattintson a Tesztelés gombra. Ez átirányítja a FortiGate VPN bejelentkezési URL-címére, ahol elindíthatja a bejelentkezési folyamatot.

  • Nyissa meg közvetlenül a FortiGate VPN bejelentkezési URL-címét, és indítsa el onnan a bejelentkezési folyamatot.

  • Használhatja a Microsoft Saját alkalmazások. Amikor a Saját alkalmazások FortiGate VPN csempéjére kattint, a rendszer átirányítja a FortiGate VPN bejelentkezési URL-címére. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.

További lépések

A FortiGate VPN konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.