Jak nastavit ověřování Hailbytes VPN
Úvod
Nyní, když máte HailBytes VPN nastavení a konfiguraci, můžete začít zkoumat některé z funkcí zabezpečení, které HailBytes nabízí. Pokyny k nastavení a funkce pro VPN najdete na našem blogu. V tomto článku se budeme zabývat metodami ověřování podporovanými HailBytes VPN a tím, jak přidat metodu ověřování.
O programu
HailBytes VPN nabízí kromě tradiční místní autentizace několik metod ověřování. Chcete-li snížit bezpečnostní rizika, doporučujeme vypnout místní ověřování. Místo toho doporučujeme vícefaktorové ověřování (MFA), OpenID Connect nebo SAML 2.0.
- MFA přidává k místnímu ověřování další vrstvu zabezpečení. HailBytes VPN obsahuje místní vestavěné verze a podporu pro externí MFA pro mnoho oblíbených poskytovatelů identit, jako jsou Okta, Azure AD a Onelogin.
- OpenID Connect je vrstva identity postavená na protokolu OAuth 2.0. Poskytuje bezpečný a standardizovaný způsob ověřování a získávání uživatelských informací od poskytovatele identity, aniž byste se museli vícekrát přihlašovat.
- SAML 2.0 je otevřený standard založený na XML pro výměnu informací o ověřování a autorizaci mezi stranami. Umožňuje uživatelům jednou se autentizovat u poskytovatele identity, aniž by se museli znovu autentizovat pro přístup k různým aplikacím.
OpenID Connect s nastavením Azure
V této části si stručně projdeme, jak integrovat vašeho poskytovatele identity pomocí vícefaktorové autentizace OIDC. Tato příručka je zaměřena na používání Azure Active Directory. Různí poskytovatelé identity mohou mít neobvyklé konfigurace a další problémy.
- Doporučujeme použít jednoho z poskytovatelů, který je plně podporován a testován: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 a Google Workspace.
- Pokud nepoužíváte doporučeného poskytovatele OIDC, jsou vyžadovány následující konfigurace.
a) discovery_document_uri: Identifikátor URI konfigurace poskytovatele OpenID Connect, který vrací dokument JSON použitý k vytvoření následných požadavků tomuto poskytovateli OIDC. Někteří poskytovatelé to označují jako „dobře známá URL“.
b) client_id: ID klienta aplikace.
c) client_secret: Tajný klíč klienta aplikace.
d) redirect_uri: Instruuje poskytovatele OIDC, kam má přesměrovat po ověření. Toto by měla být vaše Firezone EXTERNAL_URL + /auth/oidc/ /callback/, např. https://firezone.example.com/auth/oidc/google/callback/.
e) response_type: Nastaveno na kód.
f) rozsah: Rozsahy OIDC, které získáte od svého poskytovatele OIDC. Firezone vyžaduje minimálně rozsahy openid a email.
g) štítek: Text štítku tlačítka zobrazený na přihlašovací stránce portálu Firezone.
- Přejděte na stránku Azure Active Directory na Azure Portal. Vyberte odkaz Registrace aplikací v nabídce Spravovat, klikněte na Nová registrace a zaregistrujte se po zadání následujících údajů:
a) Název: Firezone
b) Podporované typy účtů: (pouze výchozí adresář – jeden tenant)
c) URI přesměrování: Mělo by to být vaše Firezone EXTERNAL_URL + /auth/oidc/ /callback/, např. https://firezone.example.com/auth/oidc/azure/callback/.
- Po registraci otevřete zobrazení podrobností aplikace a zkopírujte ID aplikace (klienta). Toto bude hodnota client_id.
- Otevřete nabídku koncových bodů a načtěte dokument metadat OpenID Connect. Toto bude hodnota discovery_document_uri.
- Vyberte odkaz Certifikáty a tajné klíče v nabídce Spravovat a vytvořte nový tajný klíč klienta. Zkopírujte tajný klíč klienta. Toto bude hodnota client_secret.
- Vyberte odkaz Oprávnění rozhraní API v nabídce Spravovat, klikněte na Přidat oprávnění a vyberte Microsoft Graph. Přidejte e-mail, openid, offline_access a profil k požadovaným oprávněním.
- Přejděte na stránku /settings/security na portálu pro správu, klikněte na „Přidat poskytovatele připojení OpenID“ a zadejte podrobnosti, které jste získali ve výše uvedených krocích.
- Povolte nebo zakažte možnost Automaticky vytvářet uživatele, aby se automaticky vytvořil nepřivilegovaný uživatel při přihlašování prostřednictvím tohoto ověřovacího mechanismu.
Gratulujeme! Na přihlašovací stránce byste měli vidět tlačítko Přihlásit se pomocí Azure.
Proč investovat do čističky vzduchu?
HailBytes VPN nabízí řadu metod ověřování, včetně vícefaktorové autentizace, OpenID Connect a SAML 2.0. Díky integraci OpenID Connect s Azure Active Directory, jak je ukázáno v článku, mohou vaši pracovníci pohodlně a bezpečně přistupovat k vašim prostředkům v cloudu nebo AWS.
