Sådan opsætter du Hailbytes VPN-godkendelse
Introduktion
Nu hvor du har HailBytes VPN opsætning og konfigureret, kan du begynde at udforske nogle af sikkerhedsfunktionerne HailBytes har at tilbyde. Du kan tjekke vores blog for opsætningsinstruktioner og funktioner til VPN. I denne artikel vil vi dække de godkendelsesmetoder, der understøttes af HailBytes VPN, og hvordan man tilføjer en godkendelsesmetode.
Oversigt
HailBytes VPN tilbyder flere autentificeringsmetoder udover traditionel lokal autentificering. For at reducere sikkerhedsrisici anbefaler vi at deaktivere lokale godkendelser. I stedet anbefaler vi multi-factor authentication (MFA), OpenID Connect eller SAML 2.0.
- MFA tilføjer et ekstra lag af sikkerhed oven i lokal autentificering. HailBytes VPN inkluderer en lokal indbygget version og understøttelse af ekstern MFA for mange populære identitetsudbydere som Okta, Azure AD og Onelogin.
- OpenID Connect er et identitetslag bygget på OAuth 2.0-protokol. Det giver en sikker og standardiseret måde at autentificere og indhente brugeroplysninger fra en identitetsudbyder på uden at skulle logge på flere gange.
- SAML 2.0 er en XML-baseret åben standard til udveksling af godkendelses- og autorisationsoplysninger mellem parter. Det giver brugerne mulighed for at godkende én gang med en identitetsudbyder uden at skulle genautentificere for at få adgang til forskellige applikationer.
OpenID Forbind med Azure Setup
I dette afsnit vil vi kort gennemgå, hvordan du integrerer din identitetsudbyder ved hjælp af OIDC Multi-Factor Authentication. Denne vejledning er rettet mod at bruge Azure Active Directory. Forskellige identitetsudbydere kan have usædvanlige konfigurationer og andre problemer.
- Vi anbefaler, at du bruger en af de udbydere, der er fuldt understøttet og testet: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 og Google Workspace.
- Hvis du ikke bruger en anbefalet OIDC-udbyder, kræves følgende konfigurationer.
a) discovery_document_uri: OpenID Connect-udbyderens konfigurations-URI, som returnerer et JSON-dokument, der bruges til at konstruere efterfølgende anmodninger til denne OIDC-udbyder. Nogle udbydere omtaler dette som den "velkendte URL".
b) client_id: Applikationens klient-id.
c) client_secret: Applikationens klienthemmelighed.
d) redirect_uri: Instruerer OIDC-udbyderen, hvor der skal omdirigeres efter godkendelse. Dette bør være din Firezone EXTERNAL_URL + /auth/oidc/ /callback/, f.eks. https://firezone.example.com/auth/oidc/google/callback/.
e) response_type: Indstil til kode.
f) scope: OIDC scopes til at få fra din OIDC udbyder. Firezone kræver som minimum openid og e-mail-omfang.
g) etiket: Teksten på knapetiketten, der vises på Firezone-portalens login-side.
- Naviger til Azure Active Directory-siden på Azure-portalen. Vælg linket App-registreringer under menuen Administrer, klik på Ny registrering, og tilmeld dig efter at have indtastet følgende:
a) Navn: Brandzone
b) Understøttede kontotyper: (kun standardkatalog – enkelt lejer)
c) Omdiriger URI: Dette skal være din Firezone EXTERNAL_URL + /auth/oidc/ /callback/, f.eks. https://firezone.example.com/auth/oidc/azure/callback/.
- Efter registrering skal du åbne applikationens detaljerede visning og kopiere applikationens (klient) ID. Dette vil være client_id-værdien.
- Åbn slutpunkter-menuen for at hente OpenID Connect-metadatadokumentet. Dette vil være discovery_document_uri værdien.
- Vælg linket Certifikater og hemmeligheder under menuen Administrer, og opret en ny klienthemmelighed. Kopier klienthemmeligheden. Dette vil være client_secret-værdien.
- Vælg linket API-tilladelser under menuen Administrer, klik på Tilføj en tilladelse, og vælg Microsoft Graph. Tilføj e-mail, openid, offline_access og profil til de nødvendige tilladelser.
- Naviger til siden /indstillinger/sikkerhed i administrationsportalen, klik på "Tilføj OpenID Connect Provider" og indtast de detaljer, du har fået i trinene ovenfor.
- Aktiver eller deaktiver indstillingen Opret brugere automatisk for automatisk at oprette en uprivilegeret bruger, når du logger på via denne godkendelsesmekanisme.
Tillykke! Du bør se A Log ind med Azure-knappen på din login-side.
Konklusion
HailBytes VPN tilbyder en række forskellige autentificeringsmetoder, herunder multi-faktor autentificering, OpenID Connect og SAML 2.0. Ved at integrere OpenID Connect med Azure Active Directory, som vist i artiklen, kan din arbejdsstyrke nemt og sikkert få adgang til dine ressourcer i skyen eller AWS.
