Ako nastaviť autentifikáciu Hailbytes VPN
úvod
Teraz, keď máte HailBytes VPN nastavenie a konfiguráciu, môžete začať skúmať niektoré bezpečnostné funkcie, ktoré HailBytes ponúka. Pokyny na nastavenie a funkcie pre VPN nájdete v našom blogu. V tomto článku sa budeme zaoberať metódami autentifikácie podporovanými HailBytes VPN a ako pridať metódu autentifikácie.
Prehľad
HailBytes VPN ponúka okrem tradičnej lokálnej autentifikácie niekoľko metód autentifikácie. Ak chcete znížiť bezpečnostné riziká, odporúčame vypnúť lokálne overenia. Namiesto toho odporúčame viacfaktorovú autentifikáciu (MFA), OpenID Connect alebo SAML 2.0.
- MFA pridáva k lokálnej autentifikácii ďalšiu vrstvu zabezpečenia. HailBytes VPN obsahuje lokálne vstavané verzie a podporu pre externé MFA pre mnohých populárnych poskytovateľov identity, ako sú Okta, Azure AD a Onelogin.
- OpenID Connect je vrstva identity postavená na protokole OAuth 2.0. Poskytuje bezpečný a štandardizovaný spôsob autentifikácie a získavania informácií o používateľovi od poskytovateľa identity bez toho, aby ste sa museli viackrát prihlasovať.
- SAML 2.0 je otvorený štandard založený na XML na výmenu autentifikačných a autorizačných informácií medzi stranami. Umožňuje používateľom raz sa overiť u poskytovateľa identity bez toho, aby sa museli znova overovať, aby mali prístup k rôznym aplikáciám.
OpenID Connect s nastavením Azure
V tejto časti si stručne prejdeme, ako integrovať poskytovateľa identity pomocou viacfaktorového overenia OIDC. Táto príručka je zameraná na používanie Azure Active Directory. Rôzni poskytovatelia identity môžu mať nezvyčajné konfigurácie a iné problémy.
- Odporúčame vám použiť jedného z poskytovateľov, ktorý je plne podporovaný a testovaný: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 a Google Workspace.
- Ak nepoužívate odporúčaného poskytovateľa OIDC, sú potrebné nasledujúce konfigurácie.
a) discovery_document_uri: Identifikátor URI konfigurácie poskytovateľa OpenID Connect, ktorý vracia dokument JSON použitý na zostavenie následných požiadaviek tomuto poskytovateľovi OIDC. Niektorí poskytovatelia to označujú ako „známu adresu URL“.
b) client_id: ID klienta aplikácie.
c) client_secret: Klientsky tajný kľúč aplikácie.
d) redirect_uri: Inštruuje poskytovateľa OIDC, kam má presmerovať po overení. Toto by mala byť vaša Firezone EXTERNAL_URL + /auth/oidc/ /callback/, napr. https://firezone.example.com/auth/oidc/google/callback/.
e) response_type: Nastavte na kód.
f) rozsah: rozsahy OIDC, ktoré získate od svojho poskytovateľa OIDC. Firezone vyžaduje minimálne rozsahy openid a email.
g) štítok: Text štítku tlačidla zobrazený na prihlasovacej stránke portálu Firezone.
- Prejdite na stránku Azure Active Directory na portáli Azure. Vyberte odkaz Registrácia aplikácií v ponuke Spravovať, kliknite na položku Nová registrácia a zaregistrujte sa po zadaní nasledujúcich údajov:
a) Názov: Firezone
b) Podporované typy účtov: (iba predvolený adresár – jeden nájomník)
c) URI presmerovania: Malo by to byť EXTERNAL_URL vašej Firezone + /auth/oidc/ /callback/, napr. https://firezone.example.com/auth/oidc/azure/callback/.
- Po registrácii otvorte zobrazenie podrobností aplikácie a skopírujte ID aplikácie (klienta). Toto bude hodnota client_id.
- Otvorte ponuku koncových bodov a načítajte dokument metadát OpenID Connect. Toto bude hodnota discovery_document_uri.
- Vyberte odkaz Certifikáty a tajomstvá v ponuke Spravovať a vytvorte nový tajný kľúč klienta. Skopírujte tajný kľúč klienta. Toto bude hodnota client_secret.
- Vyberte prepojenie API povolenia v ponuke Spravovať, kliknite na Pridať povolenie a vyberte Microsoft Graph. Pridajte e-mail, openid, offline_access a profil k požadovaným povoleniam.
- Prejdite na stránku /settings/security na správcovskom portáli, kliknite na „Pridať poskytovateľa pripojenia OpenID“ a zadajte podrobnosti, ktoré ste získali v krokoch vyššie.
- Povoľte alebo zakážte možnosť Automaticky vytvárať používateľov, aby sa automaticky vytvoril neprivilegovaný používateľ pri prihlásení prostredníctvom tohto autentifikačného mechanizmu.
Gratulujem! Na prihlasovacej stránke by ste mali vidieť tlačidlo Prihlásiť sa pomocou Azure.
záver
HailBytes VPN ponúka rôzne metódy autentifikácie vrátane viacfaktorovej autentifikácie, OpenID Connect a SAML 2.0. Integráciou OpenID Connect s Azure Active Directory, ako je uvedené v článku, môže vaša pracovná sila pohodlne a bezpečne pristupovať k vašim zdrojom v cloude alebo AWS.
