Kako postaviti Hailbytes VPN autentifikaciju
Uvod
Sada kada ste postavili i konfigurirali HailBytes VPN, možete početi istraživati neke od sigurnosnih značajki koje HailBytes nudi. Na našem blogu možete provjeriti upute za postavljanje i značajke za VPN. U ovom ćemo članku pokriti metode provjere autentičnosti koje podržava HailBytes VPN i kako dodati metodu provjere autentičnosti.
Pregled
HailBytes VPN nudi nekoliko metoda autentifikacije osim tradicionalne lokalne autentifikacije. Kako biste smanjili sigurnosne rizike, preporučujemo da onemogućite lokalne provjere autentičnosti. Umjesto toga preporučujemo provjeru autentičnosti s više faktora (MFA), OpenID Connect ili SAML 2.0.
- MFA dodaje dodatni sloj sigurnosti povrh lokalne provjere autentičnosti. HailBytes VPN uključuje lokalne ugrađene verzije i podršku za vanjski MFA za mnoge popularne pružatelje identiteta kao što su Okta, Azure AD i Onelogin.
- OpenID Connect sloj je identiteta izgrađen na OAuth 2.0 protokolu. Omogućuje siguran i standardiziran način provjere autentičnosti i dobivanja korisničkih informacija od davatelja identiteta bez potrebe za višestrukom prijavom.
- SAML 2.0 je otvoreni standard temeljen na XML-u za razmjenu informacija o autentifikaciji i autorizaciji između strana. Omogućuje korisnicima provjeru autentičnosti jednom kod davatelja identiteta bez potrebe za ponovnom provjerom autentičnosti za pristup različitim aplikacijama.
Postavljanje OpenID Connect with Azure
U ovom ćemo odjeljku ukratko opisati kako integrirati vašeg pružatelja identiteta pomoću OIDC višefaktorske autentifikacije. Ovaj vodič je usmjeren na korištenje Azure Active Directory. Različiti davatelji identiteta mogu imati neuobičajene konfiguracije i druge probleme.
- Preporučujemo da koristite jednog od pružatelja usluga koji je u potpunosti podržan i testiran: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 i Google Workspace.
- Ako ne koristite preporučenog OIDC pružatelja, potrebne su sljedeće konfiguracije.
a) discovery_document_uri: OpenID Connect konfiguracijski URI pružatelja koji vraća JSON dokument koji se koristi za izradu naknadnih zahtjeva ovom OIDC pružatelju. Neki davatelji ovo nazivaju "dobro poznatim URL-om".
b) client_id: ID klijenta aplikacije.
c) client_secret: Klijentska tajna aplikacije.
d) redirect_uri: daje upute OIDC pružatelju gdje da preusmjeri nakon provjere autentičnosti. Ovo bi trebao biti vaš Firezone EXTERNAL_URL + /auth/oidc/ /povratni poziv/, npr. https://firezone.example.com/auth/oidc/google/povratni poziv/.
e) response_type: Postavite na kod.
f) opseg: opsege OIDC-a koje možete dobiti od svog pružatelja OIDC-a. Firezone najmanje zahtijeva openid i opseg e-pošte.
g) oznaka: Tekst oznake gumba prikazan na stranici za prijavu portala Firezone.
- Dođite do stranice Azure Active Directory na Azure portalu. Odaberite vezu Registracije aplikacije u izborniku Upravljanje, kliknite Nova registracija i registrirajte se nakon što unesete sljedeće:
a) Naziv: Firezone
b) Podržane vrste računa: (samo zadani imenik – jedan stanar)
c) URI za preusmjeravanje: ovo bi trebao biti vaš Firezone EXTERNAL_URL + /auth/oidc/ /povratni poziv/, npr. https://firezone.example.com/auth/oidc/azure/povratni poziv/.
- Nakon registracije otvorite prikaz detalja aplikacije i kopirajte ID aplikacije (klijenta). Ovo će biti vrijednost client_id.
- Otvorite izbornik krajnjih točaka da biste dohvatili dokument metapodataka OpenID Connect. Ovo će biti vrijednost discovery_document_uri.
- Odaberite vezu Certifikati i tajne pod izbornikom Upravljanje i stvorite novu tajnu klijenta. Kopirajte tajnu klijenta. Ovo će biti vrijednost client_secret.
- Odaberite vezu API dozvole ispod izbornika Upravljanje, kliknite Dodaj dozvolu i odaberite Microsoft Graph. Dodajte e-poštu, openid, offline_access i profil potrebnim dozvolama.
- Idite na stranicu /settings/security na administratorskom portalu, kliknite "Add OpenID Connect Provider" i unesite detalje koje ste dobili u gornjim koracima.
- Omogućite ili onemogućite opciju Automatsko stvaranje korisnika za automatsko stvaranje nepovlaštenog korisnika prilikom prijave putem ovog mehanizma provjere autentičnosti.
Čestitamo! Na stranici za prijavu trebali biste vidjeti gumb Prijava s Azureom.
Zaključak
HailBytes VPN nudi niz metoda provjere autentičnosti, uključujući višestruku autentifikaciju, OpenID Connect i SAML 2.0. Integracijom OpenID Connecta s Azure Active Directoryom, kao što je prikazano u članku, vaša radna snaga može jednostavno i sigurno pristupiti vašim resursima u oblaku ili AWS-u.
