Freigeben über


Konfigurieren der FortiWeb-Webanwendungsfirewall für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie die FortiWeb-Webanwendungsfirewall mit Microsoft Entra ID integrieren. Die Integration von FortiWeb Web Application Firewall in Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf FortiWeb Web Application Firewall hat.
  • Sie können es Ihren Benutzern ermöglichen, sich mit ihrem Microsoft Entra-Konto automatisch bei FortiWeb Web Application Firewall anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • FortiWeb Web Application Firewall-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Hinweis

Diese Integration ist auch für die Verwendung aus der Microsoft Entra US Government Cloud-Umgebung verfügbar. Sie finden diese Anwendung im Microsoft Entra US Government Cloud Application Gallery und konfigurieren sie auf die gleiche Weise wie in der öffentlichen Cloud.

Szenariobeschreibung

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

  • FortiWeb Web Application Firewall unterstützt SP-initiiertes einmaliges Anmelden.

Zum Konfigurieren der Integration von FortiWeb Web Application Firewall in Microsoft Entra ID müssen Sie FortiWeb Web Application Firewall aus dem Katalog Ihrer Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen im Suchfeld den Suchbegriff FortiWeb Web Application Firewall ein.
  4. Wählen Sie im Ergebnisbereich den Eintrag FortiWeb Web Application Firewall aus, und fügen Sie die App dann hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für FortiWeb Web Application Firewall

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit FortiWeb Web Application Firewall mithilfe eines Testbenutzers namens B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in FortiWeb Web Application Firewall eingerichtet werden.

Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra mit FortiWeb Web Application Firewall zu konfigurieren und zu testen:

  1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für FortiWeb Web Application Firewall , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren.
    1. Erstellen Sie einen Testbenutzer für die FortiWeb Web Application Firewall – um ein Gegenstück zu B.Simon in der FortiWeb Web Application Firewall zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verbunden ist.
  3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Microsoft Entra SSO konfigurieren

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>FortiWeb Web Application Firewall>Single Sign-On.

  3. Auf der Seite Eine Single Sign-On-Methode auswählen wählen Sie SAML aus.

  4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Grundlegende SAML-Konfiguration bearbeiten

  5. Geben Sie im Abschnitt Basic SAML Configuration die Werte für die folgenden Felder ein:

    1. Geben Sie im Textfeld Bezeichner (Entitäts-ID) eine URL im folgenden Format ein: https://www.<CUSTOMER_DOMAIN>.com.

    2. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://www.<CUSTOMER_DOMAIN>.com/<FORTIWEB_NAME>/saml.sso/SAML2/POST

    3. Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://www.<CUSTOMER_DOMAIN>.com.

    4. Geben Sie im Textfeld "Abmelde-URL " eine URL mit dem folgenden Muster ein: https://www.<CUSTOMER_DOMAIN>.info/<FORTIWEB_NAME>/saml.sso/SLO/POST

    Hinweis

    <FORTIWEB_NAME> ist ein Namensbezeichner, der später beim Bereitstellen der Konfiguration für FortiWeb verwendet wird. Wenden Sie sich an das Supportteam von FortiWeb Web Application Firewall, um die tatsächlichen URL-Werte zu erhalten. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

  6. Auf der Seite Einmaliges Anmelden mit SAML suchen Sie im Abschnitt SAML-Signaturzertifikat nach Verbundmetadaten-XML und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Der Link zum Herunterladen des Zertifikats

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens mit FortiWeb Web Application Firewall

  1. Navigieren Sie zu https://<address>:8443. Hierbei steht <address> für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, der bzw. die dem virtuellen FortiWeb-Computer zugewiesen ist.

  2. Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiWeb-Computers angegeben wurden.

  3. Führen Sie die folgenden Schritte auf der folgenden Seite aus.

    Screenshot der SAML-Serverseite

    a) Wählen Sie im linken Menü " Benutzer" aus.

    b. Wählen Sie unter "Benutzer " die Option "Remoteserver" aus.

    Abschnitt c. Wählen Sie SAML-Server aus.

    d. Wählen Sie Neu erstellen aus.

    e. Geben Sie im Feld Name den Wert für <fwName> an, der im Abschnitt für die Konfiguration von Microsoft Entra ID verwendet wird.

    f. Geben Sie im Textfeld Entitäts-ID den Wert für Bezeichner (Entitäts-ID) ein, z. B. https://www.<CUSTOMER_DOMAIN>.com/samlsp.

    g. Wählen Sie neben "Metadaten" die Option "Datei" und dann die XML-Datei für Verbundmetadaten aus, die Sie heruntergeladen haben.

    h. Wählen Sie OK aus.

Erstellen einer Website-Veröffentlichungsregel

  1. Navigieren Sie zu https://<address>:8443. Hierbei steht <address> für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, der bzw. die dem virtuellen FortiWeb-Computer zugewiesen ist.

  2. Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiWeb-Computers angegeben wurden.

  3. Führen Sie die folgenden Schritte auf der folgenden Seite aus.

    Screenshot der Websiteveröffentlichungsregel

    a) Wählen Sie im linken Menü die Option "Anwendungsübermittlung" aus.

    b. Wählen Sie unter "Anwendungsübermittlung" die Option "Website veröffentlichen" aus.

    Abschnitt c. Wählen Sie unter "Website veröffentlichen" die Option "Website veröffentlichen" aus.

    d. Wählen Sie die Websiteveröffentlichungsregel aus.

    e. Wählen Sie Neu erstellen aus.

    f. Geben Sie einen Namen für die Website-Veröffentlichungsregel an.

    g. Wählen Sie neben dem veröffentlichten Websitetyp den regulären Ausdruck aus.

    Ich. Geben Sie neben der veröffentlichten Website eine Zeichenfolge an, die dem Hostheader der Website entspricht, die Sie veröffentlichen.

    j. Geben Sie neben Pfad einen Schrägstrich (/) ein.

    ok. Wählen Sie neben Client Authentication Method (Clientauthentifizierungsmethode) die Option SAML Authentication (SAML-Authentifizierung) aus.

    l. Wählen Sie in der Dropdownliste SAML-Server den zuvor erstellten SAML-Server aus.

    m. Wählen Sie OK aus.

Erstellen einer Website-Veröffentlichungsrichtlinie

  1. Navigieren Sie zu https://<address>:8443. Hierbei steht <address> für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, der bzw. die dem virtuellen FortiWeb-Computer zugewiesen ist.

  2. Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiWeb-Computers angegeben wurden.

  3. Führen Sie die folgenden Schritte auf der folgenden Seite aus.

    Screenshot der Websiteveröffentlichungsrichtlinie

    a) Wählen Sie im linken Menü die Option "Anwendungsübermittlung" aus.

    b. Wählen Sie unter "Anwendungsübermittlung" die Option "Website veröffentlichen" aus.

    Abschnitt c. Wählen Sie unter "Website veröffentlichen" die Option "Website veröffentlichen" aus.

    d. Wählen Sie "Websiteveröffentlichungsrichtlinie" aus.

    e. Wählen Sie Neu erstellen aus.

    f. Geben Sie einen Namen für die Website-Veröffentlichungsrichtlinie an.

    g. Wählen Sie OK aus.

    h. Wählen Sie Neu erstellen aus.

    Ich. Wählen Sie in der Dropdownliste Regel die zuvor erstellte Website-Veröffentlichungsregel aus.

    j. Wählen Sie OK aus.

Erstellen und Zuweisen eines Webschutzprofils

  1. Navigieren Sie zu https://<address>:8443. Hierbei steht <address> für den vollqualifizierten Domänennamen oder die öffentliche IP-Adresse, der bzw. die dem virtuellen FortiWeb-Computer zugewiesen ist.

  2. Melden Sie sich mit den Administratoranmeldeinformationen an, die während der Bereitstellung des virtuellen FortiWeb-Computers angegeben wurden.

  3. Wählen Sie im linken Menü " Richtlinie" aus.

  4. Wählen Sie unter "Richtlinie" die Option "Webschutzprofil" aus.

  5. Wählen Sie "InlineStandardschutz " und dann "Klonen" aus.

  6. Geben Sie einen Namen für das neue Webschutzprofil ein, und wählen Sie "OK" aus.

  7. Wählen Sie das neue Webschutzprofil und dann "Bearbeiten" aus.

  8. Wählen Sie neben Site Publish (Websiteveröffentlichung) die zuvor erstellte Website-Veröffentlichungsrichtlinie aus.

  9. Wählen Sie OK aus.

    Screenshot der Websiteveröffentlichung

  10. Wählen Sie im linken Menü " Richtlinie" aus.

  11. Wählen Sie unter "Richtlinie" die Option "Serverrichtlinie" aus.

  12. Wählen Sie die Serverrichtlinie zum Veröffentlichen der Website aus, für die Sie Microsoft Entra ID für die Authentifizierung verwenden möchten.

  13. Wählen Sie Bearbeiten aus.

  14. Wählen Sie in der Dropdownliste Web Protection Profile (Webschutzprofil) das zuvor erstellte Webschutzprofil aus.

  15. Wählen Sie OK aus.

  16. Versuchen Sie, auf die externe URL zuzugreifen, unter der die Website von FortiWeb veröffentlicht wird. Sie sollten zur Authentifizierung an Microsoft Entra ID umgeleitet werden.

Erstellen eines FortiWeb Web Application Firewall-Testbenutzers

In diesem Abschnitt erstellen Sie in FortiWeb Web Application Firewall eine Benutzerin mit dem Namen „Britta Simon“. Arbeiten Sie mit dem Supportteam von FortiWeb Web Application Firewall zusammen, um die Benutzer der FortiWeb Web Application Firewall-Plattform hinzuzufügen. Benutzer müssen erstellt und aktiviert werden, bevor man Single Sign-On verwenden kann.

Testen von SSO

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.

  • Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur Anmelde-URL der FortiWeb-Webanwendung um, unter der Sie den Anmeldefluss initiieren können.

  • Navigieren Sie direkt zur Anmelde-URL für FortiWeb Web Application Firewall, und initiieren Sie den Anmeldeablauf.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Kachel "FortiWeb-Webanwendung" in den "Meine Apps" auswählen, leitet diese Option zur Anmelde-URL der FortiWeb-Webanwendung um. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nach dem Konfigurieren von FortiWeb Web Application Firewall können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.