Tutorial: Integrasi akses menyeluruh (SSO) Azure Active Directory dengan VPN SSL FortiGate

Di tutorial ini, Anda akan mempelajari cara mengintegrasi VPN SSL FortiGate dengan Azure Active Directory (AAD). Saat Anda mengintegrasi VPN SSL FortiGate dengan Azure Active Directory, Anda dapat:

  • Menggunakan Azure Active Directory untuk mengontrol siapa yang bisa mengakses VPN SSL FortiGate.
  • Mengizinkan pengguna Anda untuk secara otomatis masuk ke VPN SSL FortiGate dengan akun Azure Active Directory mereka.
  • Mengelola akun Anda di satu lokasi terpusat: portal Microsoft Azure.

Prasyarat

Untuk memulai, Anda membutuhkan item berikut:

  • Langganan Microsoft Azure AD. Jika belum memiliki langganan, Anda bisa mendapatkan akun gratis.
  • Langganan VPN SSL FortiGate dengan akses menyeluruh (SSO) diaktifkan.

Deskripsi tutorial

Di tutorial ini, Anda akan mengonfigurasi dan menguji SSO Azure Active Directory di lingkungan pengujian.

VPN SSL FortiGate mendukung SSO yang diinisiasi SP.

Untuk mengonfigurasikan integrasi VPN SSL FortiGate ke Azure Active Directory, Anda perlu menambahkan VPN SSL FortiGate dari galeri ke daftar aplikasi SaaS terkelola Anda:

  1. Masuk ke portal Microsoft Azure menggunakan akun kerja atau sekolah, atau dengan akun Microsoft pribadi.
  2. Di panel kiri, pilih Azure Active Directory.
  3. Buka aplikasi Perusahaan lalu pilih Semua Aplikasi.
  4. Untuk menambahkan aplikasi, pilih Aplikasi baru.
  5. Di bagian Tambahkan dari galeri, masukkan VPN SSL FortiGate di kotak pencarian.
  6. Pilih VPN SSL FortiGate di panel hasil lalu tambahkan aplikasi. Tunggu beberapa detik sementara aplikasi ditambahkan ke penyewa Anda.

Mengonfigurasi dan menguji SSO Azure Active Directory untuk VPN SSL FortiGate

Anda akan mengonfigurasi dan menguji SSO Azure Active Directory dengan VPN SSL FortiGate dengan menggunakan pengguna pengujian bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Azure Active Directory dan pengguna terkait di VPN SSL FortiGate.

Untuk mengonfigurasi dan menguji SSO Azure Active Directory dengan VPN SSL FortiGate, Anda akan menyelesaikan langkah tingkat tinggi ini:

  1. Konfigurasikan SSO Azure Active Directory untuk mengaktifkan fitur untuk pengguna Anda.
    1. Buat pengguna pengujian Azure Active Directory untuk menguji SSO Azure Active Directory.
    2. Berikan akses ke pengguna pengujian untuk mengaktifkan SSO Azure Active Directory untuk pengguna tersebut.
  2. Konfigurasikan SSO VPN SSL FortiGate di sisi aplikasi.
    1. Buat pengguna pengujian VPN SSL FortiGate sebagai mitra representasi Azure Active Directory pengguna.
  3. Uji SSO untuk memverifikasi bahwa konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Azure AD

Ikuti langkah berikut untuk mengaktifkan SSO Azure Active Directory di portal Microsoft Azure:

  1. Di portal Microsoft Azure, pada halaman Integrasi aplikasi VPN SSL FortiGate, di bagian Kelola, pilih SSO.

  2. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  3. Di halaman Siapkan SSO dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan:

    Cuplikan layar yang menunjukkan tombol pensil untuk mengedit konfigurasi SAML dasar.

  4. Di halaman Siapkan SSO dengan SAML, masukkan nilai berikut:

    a. Di kotak URL Masuk, masukkan URL dalam pola https://<FQDN>/remote/saml/login.

    b. Di kotak Pengidentifikasi, masukkan URL dalam pola https://<FQDN>/remote/saml/metadata.

    c. Di kotak URL Balasan, masukkan URL dalam pola https://<FQDN>/remote/saml/login.

    d. Di kotak URL Keluar, masukkan URL dalam pola https://<FQDN>/remote/saml/logout.

    Catatan

    Nilai-nilai ini hanya pola. Anda perlu menggunakan URL Masuk, Pengidentifikasi, URL Balasan, dan URL Keluar yang aktual. Hubungi dukungan Fortinet untuk mendapatkan panduan. Anda juga dapat merujuk ke contoh pola yang ditampilkan di dokumentasi Fortinet dan bagian Konfigurasi SAML Dasar di portal Microsoft Azure.

  5. Aplikasi VPN SSL FortiGate mengharapkan pernyataan SAML dalam format tertentu, yang mengharuskan Anda untuk menambahkan pemetaan atribut kustom ke konfigurasi. Cuplikan layar berikut menunjukkan daftar atribut default.

    Cuplikan layar yang menunjukkan atribut default.

  6. Dua klaim tambahan yang diperlukan oleh VPN SSL FortiGate diperlihatkan di tabel berikut. Nama-nama klaim ini harus cocok dengan nama yang digunakan di bagian Lakukan Konfigurasi baris perintah FortiGate dari tutorial ini.

    Nama Atribut sumber
    nama pengguna user.userprincipalname
    grup user.groups

    Untuk membuat klaim tambahan ini:

    a. Di samping Atribut Pengguna & Klaim, pilih Edit.

    b. Pilih Tambahkan klaim baru.

    c. Untuk Nama, masukkan namapengguna.

    d. Untuk Atribut sumber, pilih user.userprincipalname.

    e. Pilih Simpan.

    f. Pilih Tambahkan klaim grup.

    g. Pilih Semua grup.

    h. Pilih kotak centang Kustomisasi nama klaim grup.

    i. Untuk Nama, masukkan grup.

    j. Pilih Simpan.

  7. Di halaman Siapkan SSO dengan SAML, di bagian Sertifikat Penandatanganan SAML, pilih tautan Unduh disebelah Sertifikat (Base64) untuk mengunduh sertifikat dan menyimpannya di komputer Anda:

    Cuplikan layar yang menunjukkan tautan pengunduhan sertifikat.

  8. Di bagian Siapkan VPN SSL FortiGate, salin URL yang sesuai atau URL, berdasarkan persyaratan Anda:

    Cuplikan layar yang menunjukkan URL konfigurasi.

Membuat pengguna pengujian Azure Active Directory

Di bagian ini, Anda akan membuat pengguna uji di portal Microsoft Azure yang disebut B.Simon.

  1. Di panel kiri portal Microsoft Azure, pilih Azure Active Directory. Pilih Pengguna, lalu pilih Semua pengguna.
  2. Pilih Pengguna baru di bagian atas layar.
  3. Di properti Pengguna, selesaikan langkah ini:
    1. Dalam kotak Nama, masukkan B.Simon.
    2. Di kotak Nama pengguna, masukkan <username>@<companydomain>.<extension>. Contohnya:B.Simon@contoso.com
    3. Pilih Perlihatkan kata sandi, lalu tuliskan nilai yang ditampilkan dalam kotak Kata Sandi.
    4. Pilih Buat.

Memberikan akses ke pengguna pengujian

Di bagian ini, Anda akan mengizinkan B.Simon untuk menggunakan SSO Azure dengan memberikan akses ke VPN SSL FortiGate.

  1. Di portal Microsoft Azure, pilih Aplikasi perusahaan, lalu pilih Semua aplikasi.
  2. Di daftar aplikasi, pilih VPN SSL FortiGate.
  3. Di halaman ringkasan aplikasi, di bagian Kelola, pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna, lalu pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
  5. Di kotak dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
  6. Jika Anda mengharapkan nilai peran apa pun dalam pernyataan SAML, di kotak dialog Pilih Peran, pilih peran yang sesuai untuk pengguna dari daftar. Klik tombol Pilih di bagian bawah layar.
  7. Di kotak dialog Tambahkan Penugasan, pilih Tetapkan.

Buat kelompok keamanan untuk pengguna pengujian

Di bagian ini, Anda akan membuat kelompok keamanan di Azure Active Directory untuk pengguna pengujian. FortiGate akan menggunakan kelompok keamanan ini untuk memberikan akses jaringan pengguna melalui VPN.

  1. Di panel kiri portal Microsoft Azure, pilih Azure Active Directory. Lalu pilih Grup.
  2. Pilih Grup baru di bagian atas layar.
  3. Di properti Grup Baru, selesaikan langkah ini:
    1. Di daftar Jenis grup, pilih Keamanan.
    2. Di kotak Nama grup, masukkan FortiGateAccess.
    3. Di kotak Deskripsi grup, masukkan Grup untuk memberikan akses VPN FortiGate.
    4. Untuk peran Azure Active Directory dapat ditetapkan ke pengaturan grup (Pratinjau) , pilih Tidak.
    5. Di kotak Tipe keanggotaan, pilih Ditetapkan.
    6. Di bawah Anggota, pilih Tidak ada anggota yang dipilih.
    7. Di dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
    8. Pilih Buat.
  4. Setelah Anda kembali ke bagian Grup di Azure Active Directory, temukan grup Akses FortiGate dan catat ID Objek. Anda akan membutuhkannya nanti.

Konfigurasikan SSO VPN SSL FortiGate

Unggah Sertifikat SAML Base64 ke appliance FortiGate

Setelah Anda menyelesaikan konfigurasi SAML aplikasi FortiGate di penyewa Anda, Anda mengunduh sertifikat SAML yang dikodekan Base64. Anda perlu mengunggah sertifikat ini ke appliance FortiGate:

  1. Masuk ke portal manajemen appliance FortiGate Anda.
  2. Di panel kiri, pilih Sistem.
  3. Di bawah Sistem, pilih Sertifikat.
  4. Pilih Impor > Sertifikat Jarak Jauh.
  5. Telusuri ke sertifikat yang diunduh dari penyebaran aplikasi FortiGate di penyewa Azure, pilih sertifikat tersebut, lalu pilih OK.

Setelah sertifikat diunggah, perhatikan nama di bawah Sistem > Sertifikat > Sertifikat Jarak Jauh. Secara default, sertifikat akan beri nama REMOTE_Cert_ N, di mana N adalah nilai bilangan bulat.

Selesaikan konfigurasi baris perintah FortiGate

Langkah berikut ini mengharuskan Anda mengonfigurasi URL keluar Azure. URL ini berisi karakter tanda tanya (?). Anda perlu mengambil langkah khusus agar berhasil mengirim karakter ini. Anda tidak dapat menyelesaikan langkah ini dari Konsol CLI FortiGate. Sebagai gantinya, buat sesi SSH ke appliance FortiGate dengan menggunakan alat seperti PuTTY. Jika appliance FortiGate Anda adalah komputer virtual Azure, Anda dapat menyelesaikan langkah berikut dari konsol serial untuk komputer virtual Azure.

Untuk menyelesaikan langkah ini, Anda akan memerlukan nilai yang Anda rekam sebelumnya:

  • ID Entitas
  • URL Balasan
  • URL Keluar
  • URL Masuk Azure
  • Pengidentifikasi Azure Active Directory
  • URL Keluar Azure
  • Nama sertifikat SAML Base64 (REMOTE_Cert_ N)
  1. Buat sesi SSH ke appliance FortiGate Anda, dan masuk dengan akun Administrator FortiGate.

  2. Jalankan perintah ini:

     config user saml
     edit azure
     set cert <FortiGate VPN Server Certificate Name>
     set entity-id <Entity ID>
     set single-sign-on-url <Reply URL>
     set single-logout-url <Logout URL>
     set idp-single-sign-on-url <Azure Login URL>
     set idp-entity-id <Azure AD Identifier>
     set idp-single-logout-url <Azure Logout URL>
     set idp-cert <Base64 SAML Certificate Name>
     set user-name username
     set group-name group
     end
    
    

    Catatan

    URL Keluar Azure berisi ? karakter. Anda harus memasukkan urutan kunci khusus untuk menyediakan URL ini dengan benar ke konsol serial FortiGate. URL biasanya https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0.

    Untuk memasukkan URL Keluar Azure di konsol serial, masukkan set idp-single-logout-url https://login.microsoftonline.com/common/wsfederation.

    Lalu pilih CTRL+V dan tempel URL lainnya untuk menyelesaikan baris: set idp-single-logout-url https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0.

Konfigurasikan FortiGate untuk pencocokan grup

Di bagian ini, Anda akan mengonfigurasi FortiGate untuk mengenali ID Objek kelompok keamanan yang menyertakan pengguna pengujian. Konfigurasi ini akan mengizinkan FortiGate untuk membuat keputusan akses berdasarkan keanggotaan grup.

Untuk menyelesaikan langkah ini, Anda akan memerlukan ID Objek dari kelompok keamanan FortiGateAccess yang Anda buat sebelumnya di tutorial ini.

  1. Buat sesi SSH ke appliance FortiGate Anda, dan masuk dengan akun Administrator FortiGate.

  2. Jalankan perintah ini:

     config user group
     edit FortiGateAccess
     set member azure
     config match
     edit 1
     set server-name azure
     set group-name <Object Id>
     next
     end
     next
     end
    

Buat Portal VPN FortiGate dan Kebijakan Firewall

Di bagian ini, Anda akan mengonfigurasi Portal VPN FortiGate dan Kebijakan Firewall yang memberikan akses ke kelompok keamanan FortiGateAccess yang Anda buat sebelumnya di tutorial ini.

Bekerja sama dengan tim dukungan FortiGate untuk menambahkan Portal VPN dan Kebijakan Firewall ke platform VPN FortiGate. Anda harus menyelesaikan langkah ini sebelum menggunakan SSO.

Menguji SSO

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Azure Active Directory dengan opsi berikut.

  • Klik Uji aplikasi ini di portal Microsoft Azure. Ini akan dialihkan ke URL Masuk VPN FortiGate di mana Anda dapat memulai alur masuk.

  • Buka URL masuk VPN FortiGate secara langsung dan mulai alur masuk dari sana.

  • Anda dapat menggunakan Aplikasi Saya Microsoft. Ketika Anda mengklik petak peta VPN FortiGate di Aplikasi Saya, ini akan dialihkan ke URL Masuk VPN FortiGate. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Setelah mengonfigurasi VPN FortiGate, Anda dapat menerapkan kontrol Sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.