Hvordan sette opp Hailbytes VPN-autentisering
Introduksjon
Nå som du har HailBytes VPN-oppsett og konfigurert, kan du begynne å utforske noen av sikkerhetsfunksjonene HailBytes har å tilby. Du kan sjekke bloggen vår for oppsettinstruksjoner og funksjoner for VPN. I denne artikkelen vil vi dekke autentiseringsmetodene som støttes av HailBytes VPN og hvordan du legger til en autentiseringsmetode.
Oversikt
HailBytes VPN tilbyr flere autentiseringsmetoder i tillegg til tradisjonell lokal autentisering. For å redusere sikkerhetsrisikoen anbefaler vi å deaktivere lokal autentisering. I stedet anbefaler vi multifaktorautentisering (MFA), OpenID Connect eller SAML 2.0.
- MFA legger til et ekstra lag med sikkerhet på toppen av lokal autentisering. HailBytes VPN inkluderer en lokal innebygd versjon og støtte for ekstern MFA for mange populære identitetsleverandører som Okta, Azure AD og Onelogin.
- OpenID Connect er et identitetslag bygget på OAuth 2.0-protokollen. Det gir en sikker og standardisert måte å autentisere og hente brukerinformasjon fra en identitetsleverandør uten å måtte logge på flere ganger.
- SAML 2.0 er en XML-basert åpen standard for utveksling av autentiserings- og autorisasjonsinformasjon mellom parter. Den lar brukere autentisere én gang med en identitetsleverandør uten å måtte autentisere på nytt for å få tilgang til forskjellige applikasjoner.
OpenID Koble til med Azure-oppsett
I denne delen vil vi kort gå gjennom hvordan du integrerer din identitetsleverandør ved å bruke OIDC Multi-Factor Authentication. Denne veiledningen er rettet mot bruk av Azure Active Directory. Ulike identitetsleverandører kan ha uvanlige konfigurasjoner og andre problemer.
- Vi anbefaler at du bruker en av leverandørene som er fullt støttet og testet: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 og Google Workspace.
- Hvis du ikke bruker en anbefalt OIDC-leverandør, kreves følgende konfigurasjoner.
a) discovery_document_uri: OpenID Connect-leverandørens konfigurasjons-URI som returnerer et JSON-dokument som brukes til å konstruere påfølgende forespørsler til denne OIDC-leverandøren. Noen leverandører omtaler dette som den "velkjente URL-en".
b) client_id: klient-IDen til applikasjonen.
c) client_secret: Klienthemmeligheten til applikasjonen.
d) redirect_uri: Instruerer OIDC-leverandøren hvor den skal omdirigere etter autentisering. Dette bør være din Firezone EXTERNAL_URL + /auth/oidc/ /callback/, f.eks. https://firezone.example.com/auth/oidc/google/callback/.
e) response_type: Sett til kode.
f) omfang: OIDC-omfang å få fra din OIDC-leverandør. Firezone krever som et minimum openid og e-postomfang.
g) label: Knappeetikettteksten som vises på Firezone-portalens påloggingsside.
- Naviger til Azure Active Directory-siden på Azure-portalen. Velg koblingen Appregistreringer under Administrer-menyen, klikk på Ny registrering, og registrer deg etter å ha angitt følgende:
a) Navn: Brannsone
b) Støttede kontotyper: (kun standardkatalog – enkelt leietaker)
c) Omdiriger URI: Dette bør være din Firezone EXTERNAL_URL + /auth/oidc/ /callback/, f.eks https://firezone.example.com/auth/oidc/azure/callback/.
- Etter registrering åpner du detaljvisningen for applikasjonen og kopierer applikasjons-ID (klient). Dette vil være client_id-verdien.
- Åpne endepunktmenyen for å hente OpenID Connect-metadatadokumentet. Dette vil være discovery_document_uri-verdien.
- Velg koblingen Sertifikater og hemmeligheter under Administrer-menyen og opprett en ny klienthemmelighet. Kopier klienthemmeligheten. Dette vil være client_secret-verdien.
- Velg koblingen API-tillatelser under Administrer-menyen, klikk på Legg til en tillatelse og velg Microsoft Graph. Legg til e-post, openid, offline_access og profil til de nødvendige tillatelsene.
- Naviger til /settings/security-siden i administrasjonsportalen, klikk "Legg til OpenID Connect Provider" og skriv inn detaljene du fikk i trinnene ovenfor.
- Aktiver eller deaktiver alternativet Opprett brukere automatisk for å automatisk opprette en uprivilegert bruker når du logger på via denne autentiseringsmekanismen.
Gratulerer! Du bør se A Logg på med Azure-knappen på påloggingssiden.
konklusjonen
HailBytes VPN tilbyr en rekke autentiseringsmetoder, inkludert multifaktorautentisering, OpenID Connect og SAML 2.0. Ved å integrere OpenID Connect med Azure Active Directory som vist i artikkelen, kan arbeidsstyrken din enkelt og sikkert få tilgang til ressursene dine på skyen eller AWS.
