Sdílet prostřednictvím

Konfigurace sítě VPN SSL fortiGate pro jednotné přihlašování pomocí Microsoft Entra ID

V tomto článku se dozvíte, jak integrovat fortiGate SSL VPN s Microsoft Entra ID. Při integraci sítě VPN SSL FortiGate s Microsoft Entra ID můžete:

  • Pomocí Microsoft Entra ID můžete určit, kdo má přístup k fortiGate SSL VPN.
  • Povolte uživatelům automatické přihlášení k síti FORtiGate SSL VPN pomocí svých účtů Microsoft Entra.
  • Správa účtů v jednom centrálním umístění: na webu Azure Portal.

Požadavky

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • A FortiGate SSL VPN s povoleným jednotným přihlašováním (SSO).

Popis článku

V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

FortiGate SSL VPN podporuje jednotné přihlašování iniciované poskytovatelem služby.

Pokud chcete nakonfigurovat integraci sítě VPN SSL FortiGate do Microsoft Entra ID, musíte přidat vpn SSL FortiGate z galerie do seznamu spravovaných aplikací SaaS:

  1. Přihlaste se alespoň jako správce cloudových aplikacído centra pro správu Microsoft Entra.
  2. Prohlédněte si Entra ID>Podnikové aplikace>Nová aplikace.
  3. V části Přidat z galerie zadejte FortiGate SSL VPN do vyhledávacího pole.
  4. Na panelu výsledků vyberte FortiGate SSL VPN a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít průvodce konfigurací podnikové aplikace . V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro fortiGate SSL VPN

Nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra s fortiGate SSL VPN pomocí testovacího uživatele S názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a odpovídající skupinou uživatelů jednotného přihlašování SAML ve fortiGate SSL VPN.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s fortiGate SSL VPN, proveďte tyto základní kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra, abyste funkci povolili svým uživatelům.
    1. Vytvoření testovacího uživatele Microsoft Entra k otestování jednotného přihlašování Microsoft Entra.
    2. Udělit přístup testovacímu uživateli povolit jednotné přihlašování Microsoft Entra pro daného uživatele.
  2. Nakonfigurovat jednotné přihlašování SSL VPN FortiGate na straně aplikace.
    1. Vytvoření skupiny uživatelů jednotného přihlašování FortiGate SAML jako ekvivalent reprezentace uživatele Microsoft Entra.
  3. otestovat SSO a ověřit, že konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Pokud chcete povolit jednotné přihlašování Microsoft Entra na webu Azure Portal, postupujte takto:

  1. Přihlaste se alespoň jako správce cloudových aplikacído centra pro správu Microsoft Entra.

  2. Přejděte na stránku integrace aplikace Entra ID>Enterprise apps>FortiGate SSL VPN v části Správa a vyberte jednotné přihlašování.

  3. Na stránce Vyberte metodu jednotného přihlašování vyberte SAML .

  4. Na stránce Nastavení jednotného přihlášení Sign-On pomocí SAML vyberte tlačítko Upravit pro Základní nastavení SAML a upravte nastavení:

    Snímek obrazovky ukazující stránku základní konfigurace SAML.

  5. Na stránce Nastavit jediný Sign-On se SAML zadejte následující hodnoty:

    a. Do pole Identifikátor zadejte adresu URL ve vzoru https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    b) Do pole Adresa URL odpovědi zadejte adresu URL ve vzoru https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    c) Do pole Přihlašovací adresa URL zadejte adresu URL ve formátu https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    d. Do pole Adresa URL pro odhlášení zadejte adresu URL dle vzoru https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Poznámka

    Tyto hodnoty jsou jen vzory. Potřebujete použít skutečnou přihlašovací adresu URL, identifikátor, adresu URL odpovědi a adresu URL odhlášení nakonfigurovanou na fortiGate. Podpora FortiGate musí zadat správné hodnoty pro prostředí.

  6. Aplikace FortiGate SSL VPN očekává aserce SAML ve specifickém formátu, což vyžaduje přidání vlastních mapování atributů do konfigurace. Následující snímek obrazovky ukazuje seznam výchozích atributů.

    snímek obrazovky zobrazující oddíl Atributy a nároky

  7. Deklarace identity, které vyžaduje fortiGate SSL VPN, jsou uvedeny v následující tabulce. Názvy těchto položek se musí shodovat s názvy použité v části Provedení konfigurace příkazového řádku FortiGate tohoto článku. V názvech se rozlišují malá a velká písmena.

    Jméno Zdrojový atribut
    uživatelské jméno uživatel.jménohlavníhouživatele
    skupina uživatelské skupiny

    Za účelem vytvoření těchto dalších nároků:

    a. Vedle uživatelské atributy & nárokyvyberte Upravit.

    b) Vyberte Přidat nový nárok.

    c) Do pole Názevzadejte uživatelské jméno.

    d. V Atribut zdrojevyberte user.userprincipalname.

    e. Vyberte Uložit.

    Poznámka

    atributy uživatele & nároky umožňují pouze jeden nárok na skupinu. Pokud chcete přidat deklaraci identity skupiny, odstraňte existující deklaraci identity skupiny user.groups [SecurityGroup] již přítomnou v deklaracích identity a přidejte novou deklaraci identity, nebo upravte stávající deklaraci identity na Všechny skupiny.

    f. Vyberte Přidat nárok skupiny.

    gram Vyberte Všechny skupiny.

    h. V části Upřesnit možnostizaškrtněte políčko Přizpůsobit název deklarace identity skupiny.

    já. Pro Názevzadejte skupinu.

    j. Vyberte Uložit.

  8. Na stránce Nastavení jednotného přihlášení pomocí SAML vyberte v části SAML podpisového certifikátu odkaz Stáhnout vedle Certifikát (Base64) a stáhněte certifikát a uložte ho do počítače:

    Snímek obrazovky s odkazem ke stažení certifikátu

  9. V části Nastavení sítě VPN SSL fortiGate zkopírujte odpovídající adresu URL nebo adresy URL podle vašich požadavků:

    snímek obrazovky znázorňující konfigurační adresy URL

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele S názvem B.Simon.

  1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce uživatelů.
  2. Přejděte na Entra ID>Uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech User postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte username@companydomain.extension. Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a poznamenejte si hodnotu zobrazenou v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Udělení přístupu testovacímu uživateli

V této části povolíte B.Simon, aby používal jednotné přihlašování tím, že uživateli udělíte přístup k síti VPN SSL fortiGate.

  1. Přejděte dopodnikové aplikace>.
  2. V seznamu aplikací vyberte FortiGate SSL VPN.
  3. Na stránce s přehledem aplikace v části Spravovat vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele, a potom vyberte Uživatelé a skupiny v dialogovém okně přidaného úkolu.
  5. V dialogovém okně Uživatelé a skupiny vyberte B.Simon v seznamu Uživatelé a potom v dolní části obrazovky vyberte tlačítko Vybrat.
  6. Pokud očekáváte libovolnou hodnotu role ve výroku SAML, v dialogovém okně Vybrat roli vyberte odpovídající roli pro uživatele ze seznamu. V dolní části obrazovky zvolte tlačítko Select.
  7. V dialogovém okně Přidat přiřazení vyberte Přiřadit.

Vytvoření skupiny zabezpečení pro testovacího uživatele

V této části vytvoříte skupinu zabezpečení v Microsoft Entra ID pro testovacího uživatele. FortiGate používá tuto skupinu zabezpečení k udělení přístupu k síti uživatele prostřednictvím sítě VPN.

  1. V Centru pro správu Microsoft Entra přejděte do Entra ID>Skupiny>Nová skupina.
  2. Ve vlastnostech Nová skupina proveďte následující kroky:
    1. V seznamu Typ skupiny vyberte Zabezpečení .
    2. V poli Název skupiny zadejte FortiGateAccess.
    3. Do pole Popis skupiny zadejte Skupina pro udělení přístupu k síti VPN FortiGate.
    4. Pro nastavení rolí Microsoft Entra lze přiřadit skupině (Preview), vyberte Ne.
    5. V poli Typ členství vyberte Přiřazeno.
    6. V části Členovézvolte Nejsou vybráni žádní členové.
    7. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a pak v dolní části obrazovky vyberte tlačítko Vybrat.
    8. Vyberte Vytvořit.
  3. Jakmile se vrátíte do oddílu skupiny v MICROSOFT Entra ID, najděte skupinu FortiGate Access a poznamenejte si id objektu. Budete ho potřebovat později.

Nastavte jednotné přihlašování SSL VPN FortiGate

Nahrání certifikátu SAML Base64 do zařízení FortiGate

Po dokončení konfigurace SAML aplikace FortiGate ve vašem tenantovi jste stáhli certifikát SAML s kódováním Base64. Tento certifikát musíte nahrát do zařízení FortiGate:

  1. Přihlaste se k portálu pro správu zařízení FortiGate.
  2. V levém podokně vyberte Systém.
  3. V části Systémvyberte Certifikáty.
  4. Vyberte Importovat>vzdálený certifikát.
  5. Vyhledejte certifikát stažený z nasazení aplikace FortiGate v tenantovi Azure, vyberte ho a pak vyberte OK.

Po nahrání certifikátu si poznamenejte jeho název v části System>Certificates>Remote Certificate. Ve výchozím nastavení se jmenuje REMOTE_Cert_N, kde N je celočíselná hodnota.

Dokončení konfigurace příkazového řádku FortiGate

I když můžete nakonfigurovat jednotné přihlašování z grafického uživatelského rozhraní od verze FortiOS 7.0, konfigurace rozhraní příkazového řádku platí pro všechny verze, a proto se zde zobrazují.

K provedení těchto kroků potřebujete hodnoty, které jste si poznamenali dříve:

Nastavení CLI FortiGate SAML Ekvivalentní konfigurace Azure
ID entity SP (entity-id) Identifikátor (ID entity)
Adresa URL jednotného přihlašování SP (single-sign-on-url) Adresa URL odpovědi (adresa URL služby příjmu tvrzení)
URL pro jednotné odhlášení SP (single-logout-url) URL pro odhlášení
ID Entity IdP (idp-entity-id) Identifikátor Microsoft Entra
Adresa URL jednotného přihlašování zprostředkovatele identity (idp-single-sign-on-url) Přihlašovací adresa URL Azure
Adresa URL jednotného odhlášení IdP (idp-single-logout-url) Adresa URL odhlášení z Azure
Certifikát poskytovatele identity (idp-cert) Název certifikátu SAML Base64 (REMOTE_Cert_N)
Atribut uživatelského jména (user-name) uživatelské jméno
Atribut názvu skupiny (group-name) skupina

Poznámka

Přihlašovací adresa URL v rámci základní konfigurace SAML se nepoužívá v konfiguracích FortiGate. Používá se k aktivaci jednotného přihlašování iniciovaného poskytovatelem služeb (SP), aby uživatele přesměroval na stránku SSL VPN portálu.

  1. Vytvořte relaci SSH pro zařízení FortiGate a přihlaste se pomocí účtu správce FortiGate.

  2. Spusťte tyto příkazy a nahraďte <values> informacemi, které jste předtím shromáždili:

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

Konfigurace FortiGate pro porovnávání skupin

V této části nakonfigurujete FortiGate tak, aby rozpoznal ID objektu skupiny zabezpečení, která zahrnuje testovacího uživatele. Tato konfigurace umožňuje fortiGate rozhodovat o přístupu na základě členství ve skupině.

K provedení těchto kroků potřebujete ID objektu skupiny zabezpečení FortiGateAccess, kterou jste vytvořili dříve v tomto článku.

  1. Vytvořte relaci SSH pro zařízení FortiGate a přihlaste se pomocí účtu správce FortiGate.

  2. Spusťte tyto příkazy:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

Vytvoření portálů VPN FortiGate a zásad brány firewall

V této části nakonfigurujete portály VPN FortiGate a zásady brány firewall, které udělují přístup ke skupině zabezpečení FortiGateAccess, kterou jste vytvořili dříve v tomto článku.

V tématu najdete pokynyke konfiguraci jednotného přihlašování SAML pro SSL VPN s Microsoft Entra ID jako SAML IdP.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

  • Ve kroku 5) konfigurace jednotného přihlašování Azure, *Otestujte jednotné přihlašování s vaší aplikací*, vyberte tlačítko Test. tato možnost přesměruje na přihlašovací adresu URL fortiGate VPN, kde můžete zahájit tok přihlášení.

  • Přejděte přímo na adresu URL přihlášení k síti VPN FortiGate a spusťte tok přihlášení odsud.

  • Můžete použít Microsoft My Apps. Když v části Moje aplikace vyberete dlaždici FortiGate VPN, tato možnost se přesměruje na přihlašovací adresu URL sítě VPN fortiGate. Další informace o mých aplikacích najdete v tématu Úvod doMoje aplikace .

Související obsah

Po konfiguraci FortiGate VPN můžete uplatnit řízení relace, které zabraňuje exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací vychází z podmíněného přístupu. Naučte se vynucovat řízení relací pomocí programu Microsoft Defender for Cloud Apps.