Як налаштувати автентифікацію Hailbytes VPN
Вступ
Тепер, коли у вас налаштовано та налаштовано VPN HailBytes, ви можете почати вивчати деякі функції безпеки, які пропонує HailBytes. Ви можете переглянути в нашому блозі інструкції з налаштування та функції для VPN. У цій статті ми розглянемо методи автентифікації, які підтримує HailBytes VPN, і як додати метод автентифікації.
огляд
Окрім традиційної локальної автентифікації, HailBytes VPN пропонує кілька методів автентифікації. Щоб зменшити ризики безпеки, ми рекомендуємо вимкнути локальну автентифікацію. Замість цього ми рекомендуємо багатофакторну автентифікацію (MFA), OpenID Connect або SAML 2.0.
- MFA додає додатковий рівень безпеки на додаток до локальної автентифікації. HailBytes VPN включає локальну вбудовану версію та підтримку зовнішнього MFA для багатьох популярних постачальників ідентифікаційної інформації, таких як Okta, Azure AD і Onelogin.
- OpenID Connect — це рівень ідентифікації, побудований на протоколі OAuth 2.0. Він забезпечує безпечний і стандартизований спосіб автентифікації та отримання інформації користувача від постачальника ідентифікаційної інформації без необхідності багаторазового входу в систему.
- SAML 2.0 — це відкритий стандарт на основі XML для обміну інформацією про автентифікацію та авторизацію між сторонами. Це дозволяє користувачам один раз автентифікуватися за допомогою постачальника ідентифікаційної інформації без необхідності повторної автентифікації для доступу до інших програм.
Налаштування OpenID Connect з Azure
У цьому розділі ми коротко розглянемо, як інтегрувати постачальника ідентифікаційної інформації за допомогою багатофакторної автентифікації OIDC. Цей посібник спрямований на використання Azure Active Directory. Різні постачальники посвідчень можуть мати незвичайні конфігурації та інші проблеми.
- Ми рекомендуємо вам використовувати одного з постачальників, який повністю підтримується та перевіряється: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 і Google Workspace.
- Якщо ви не використовуєте рекомендованого постачальника OIDC, необхідні такі конфігурації.
a) discovery_document_uri: URI конфігурації постачальника OpenID Connect, який повертає документ JSON, який використовується для створення наступних запитів до цього постачальника OIDC. Деякі провайдери називають це «добре відомою URL-адресою».
b) client_id: ідентифікатор клієнта програми.
c) client_secret: Секрет клієнта програми.
d) redirect_uri: вказує постачальнику OIDC, куди перенаправляти після автентифікації. Це має бути ваш Firezone EXTERNAL_URL + /auth/oidc/ /callback/, наприклад https://firezone.example.com/auth/oidc/google/callback/.
e) тип_відповіді: встановіть код.
f) обсяг: обсяги OIDC, які можна отримати від постачальника OIDC. Firezone вимагає як мінімум openid і області електронної пошти.
g) мітка: текст мітки кнопки, що відображається на сторінці входу на портал Firezone.
- Перейдіть до сторінки Azure Active Directory на порталі Azure. Виберіть посилання «Реєстрація програми» в меню «Керування», клацніть «Нова реєстрація» та зареєструйтеся, ввівши такі дані:
а) Назва: Firezone
b) Підтримувані типи облікових записів: (лише каталог за замовчуванням – один клієнт)
c) URI перенаправлення: це має бути ваш Firezone EXTERNAL_URL + /auth/oidc/ /callback/, наприклад https://firezone.example.com/auth/oidc/azure/callback/.
- Після реєстрації відкрийте детальний перегляд програми та скопіюйте ідентифікатор програми (клієнта). Це буде значення client_id.
- Відкрийте меню кінцевих точок, щоб отримати документ метаданих OpenID Connect. Це буде значення discovery_document_uri.
- Виберіть посилання «Сертифікати та секрети» в меню «Керування» та створіть новий секрет клієнта. Скопіюйте секрет клієнта. Це буде значення client_secret.
- Виберіть посилання «Дозволи API» у меню «Керування», натисніть «Додати дозвіл» і виберіть «Microsoft Graph». Додайте електронну пошту, openid, offline_access і профіль до необхідних дозволів.
- Перейдіть на сторінку /settings/security на порталі адміністратора, клацніть «Add OpenID Connect Provider» і введіть деталі, які ви отримали під час кроків вище.
- Увімкніть або вимкніть параметр «Автоматичне створення користувачів», щоб автоматично створювати непривілейованого користувача під час входу за допомогою цього механізму автентифікації.
Щиро вітаю! На сторінці входу ви маєте побачити кнопку «Увійти за допомогою Azure».
Висновок
HailBytes VPN пропонує різноманітні методи автентифікації, включаючи багатофакторну автентифікацію, OpenID Connect і SAML 2.0. Завдяки інтеграції OpenID Connect з Azure Active Directory, як показано в статті, ваші працівники зможуть зручно та безпечно отримувати доступ до ваших ресурсів у хмарі або AWS.
