Как да настроите Hailbytes VPN удостоверяване
Въведение
След като вече сте настроили и конфигурирали VPN на HailBytes, можете да започнете да изследвате някои от функциите за сигурност, които HailBytes може да предложи. Можете да проверите нашия блог за инструкции за настройка и функции за VPN. В тази статия ще разгледаме методите за удостоверяване, поддържани от HailBytes VPN, и как да добавите метод за удостоверяване.
Overview
HailBytes VPN предлага няколко метода за удостоверяване освен традиционното локално удостоверяване. За да намалите рисковете за сигурността, препоръчваме да деактивирате локалните удостоверявания. Вместо това препоръчваме многофакторно удостоверяване (MFA), OpenID Connect или SAML 2.0.
- MFA добавя допълнителен слой на сигурност в допълнение към локалното удостоверяване. HailBytes VPN включва локални вградени версии и поддръжка за външен MFA за много популярни доставчици на идентичност като Okta, Azure AD и Onelogin.
- OpenID Connect е слой за идентичност, изграден на базата на протокол OAuth 2.0. Той осигурява сигурен и стандартизиран начин за удостоверяване и получаване на потребителска информация от доставчик на самоличност, без да се налага да влизате многократно.
- SAML 2.0 е базиран на XML отворен стандарт за обмен на информация за удостоверяване и оторизация между страните. Той позволява на потребителите да се удостоверяват веднъж с доставчик на идентичност, без да се налага повторно удостоверяване за достъп до различни приложения.
Настройка на OpenID Connect с Azure
В този раздел ще разгледаме накратко как да интегрирате вашия доставчик на самоличност с помощта на OIDC многофакторно удостоверяване. Това ръководство е насочено към използването на Azure Active Directory. Различните доставчици на самоличност може да имат необичайни конфигурации и други проблеми.
- Препоръчваме ви да използвате един от доставчиците, който е напълно поддържан и тестван: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 и Google Workspace.
- Ако не използвате препоръчан доставчик на OIDC, са необходими следните конфигурации.
a) discovery_document_uri: Конфигурационният URI на доставчика на OpenID Connect, който връща JSON документ, използван за създаване на последващи заявки към този доставчик на OIDC. Някои доставчици наричат това „добре познат URL“.
b) client_id: Клиентският идентификатор на приложението.
c) client_secret: Клиентската тайна на приложението.
d) redirect_uri: Инструктира доставчика на OIDC къде да пренасочи след удостоверяване. Това трябва да е вашият Firezone EXTERNAL_URL + /auth/oidc/ /callback/, напр. https://firezone.example.com/auth/oidc/google/callback/.
д) тип_отговор: Задаване на код.
f) обхват: OIDC обхвати, които трябва да получите от вашия доставчик на OIDC. Като минимум Firezone изисква openid и имейл обхвати.
ж) етикет: Текстът на етикета на бутона, показван на страницата за влизане в портала на Firezone.
- Отидете до страницата на Azure Active Directory в портала на Azure. Изберете връзката Регистрации на приложения под менюто Управление, щракнете върху Нова регистрация и се регистрирайте, след като въведете следното:
а) Име: Firezone
b) Поддържани типове акаунти: (само директория по подразбиране – единичен клиент)
c) URI за пренасочване: Това трябва да е вашият EXTERNAL_URL на Firezone + /auth/oidc/ /callback/, напр. https://firezone.example.com/auth/oidc/azure/callback/.
- След като се регистрирате, отворете изгледа с подробности за приложението и копирайте ИД на приложението (клиента). Това ще бъде стойността на client_id.
- Отворете менюто за крайни точки, за да извлечете документа с метаданни на OpenID Connect. Това ще бъде стойността на discovery_document_uri.
- Изберете връзката Сертификати и тайни под менюто Управление и създайте нова клиентска тайна. Копирайте тайната на клиента. Това ще бъде стойността client_secret.
- Изберете връзката API разрешения под менюто Управление, щракнете върху Добавяне на разрешение и изберете Microsoft Graph. Добавете имейл, openid, offline_access и профил към необходимите разрешения.
- Отидете до страницата /settings/security в портала за администратори, щракнете върху „Добавяне на OpenID Connect Provider“ и въведете данните, които сте получили в стъпките по-горе.
- Активирайте или деактивирайте опцията за автоматично създаване на потребители, за да създадете автоматично непривилегирован потребител при влизане чрез този механизъм за удостоверяване.
Честито! Трябва да видите бутон Вход с Azure на страницата си за вход.
Заключение
HailBytes VPN предлага разнообразие от методи за удостоверяване, включително многофакторно удостоверяване, OpenID Connect и SAML 2.0. Чрез интегриране на OpenID Connect с Azure Active Directory, както е показано в статията, вашата работна сила може удобно и сигурно да осъществява достъп до вашите ресурси в облака или AWS.
