Hur man ställer in Hailbytes VPN-autentisering
Beskrivning
Nu när du har konfigurerat HailBytes VPN och konfigurerat, kan du börja utforska några av säkerhetsfunktionerna HailBytes har att erbjuda. Du kan kolla vår blogg för installationsinstruktioner och funktioner för VPN. I den här artikeln kommer vi att täcka de autentiseringsmetoder som stöds av HailBytes VPN och hur man lägger till en autentiseringsmetod.
Översikt
HailBytes VPN erbjuder flera autentiseringsmetoder förutom traditionell lokal autentisering. För att minska säkerhetsrisker rekommenderar vi att du inaktiverar lokal autentisering. Istället rekommenderar vi multi-factor authentication (MFA), OpenID Connect eller SAML 2.0.
- MFA lägger till ett extra lager av säkerhet utöver lokal autentisering. HailBytes VPN inkluderar en lokal inbyggd version och stöd för extern MFA för många populära identitetsleverantörer som Okta, Azure AD och Onelogin.
- OpenID Connect är ett identitetslager byggt på OAuth 2.0-protokoll. Det ger ett säkert och standardiserat sätt att autentisera och få användarinformation från en identitetsleverantör utan att behöva logga in flera gånger.
- SAML 2.0 är en XML-baserad öppen standard för utbyte av autentiserings- och behörighetsinformation mellan parter. Det tillåter användare att autentisera en gång med en identitetsleverantör utan att behöva autentisera på nytt för att komma åt olika applikationer.
OpenID Connect med Azure Setup
I det här avsnittet kommer vi kortfattat att gå igenom hur du integrerar din identitetsleverantör med OIDC Multi-Factor Authentication. Den här guiden är inriktad på att använda Azure Active Directory. Olika identitetsleverantörer kan ha ovanliga konfigurationer och andra problem.
- Vi rekommenderar att du använder en av leverantörerna som har fått fullt stöd och test: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 och Google Workspace.
- Om du inte använder en rekommenderad OIDC-leverantör krävs följande konfigurationer.
a) discovery_document_uri: OpenID Connect-leverantörens konfigurations-URI som returnerar ett JSON-dokument som används för att konstruera efterföljande förfrågningar till denna OIDC-leverantör. Vissa leverantörer hänvisar till detta som den "välkända webbadressen".
b) client_id: Applikationens klient-ID.
c) client_secret: Applikationens klienthemlighet.
d) redirect_uri: Instruerar OIDC-leverantör vart den ska omdirigera efter autentisering. Detta bör vara din Firezone EXTERNAL_URL + /auth/oidc/ /callback/, t.ex. https://firezone.example.com/auth/oidc/google/callback/.
e) response_type: Ställ in på kod.
f) scope: OIDC scopes att få från din OIDC-leverantör. Firezone kräver åtminstone openid och e-postomfång.
g) etikett: Knappetikettens text som visas på Firezone-portalens inloggningssida.
- Navigera till Azure Active Directory-sidan på Azure-portalen. Välj länken Appregistrering under menyn Hantera, klicka på Ny registrering och registrera dig efter att ha angett följande:
a) Namn: Firezone
b) Kontotyper som stöds: (endast standardkatalog – enskild hyresgäst)
c) Omdirigera URI: Detta bör vara din Firezone EXTERNAL_URL + /auth/oidc/ /callback/, t.ex. https://firezone.example.com/auth/oidc/azure/callback/.
- Efter registrering öppnar du applikationens detaljvy och kopierar applikationens (klient) ID. Detta kommer att vara client_id-värdet.
- Öppna ändpunktersmenyn för att hämta OpenID Connect-metadatadokumentet. Detta kommer att vara discovery_document_uri-värdet.
- Välj länken Certifikat och hemligheter under menyn Hantera och skapa en ny klienthemlighet. Kopiera klienthemligheten. Detta kommer att vara client_secret-värdet.
- Välj länken API-behörigheter under Hantera-menyn, klicka på Lägg till en behörighet och välj Microsoft Graph. Lägg till e-post, openid, offline_access och profil till de nödvändiga behörigheterna.
- Navigera till sidan /inställningar/säkerhet i administratörsportalen, klicka på "Lägg till OpenID Connect Provider" och ange informationen du fick i stegen ovan.
- Aktivera eller inaktivera alternativet Skapa användare automatiskt för att automatiskt skapa en oprivilegierad användare när du loggar in via denna autentiseringsmekanism.
Grattis! Du bör se A Logga in med Azure-knappen på din inloggningssida.
Slutsats
HailBytes VPN erbjuder en mängd olika autentiseringsmetoder, inklusive multifaktorautentisering, OpenID Connect och SAML 2.0. Genom att integrera OpenID Connect med Azure Active Directory som visas i artikeln kan din arbetsstyrka enkelt och säkert komma åt dina resurser på molnet eller AWS.
