Partager via


Configurer le VPN SSL FortiGate pour l’authentification unique avec l’ID Microsoft Entra

Dans cet article, vous allez apprendre à intégrer FortiGate SSL VPN à Microsoft Entra ID. Lorsque vous intégrez FortiGate SSL VPN à Microsoft Entra ID, vous pouvez :

  • Utilisez l’ID Microsoft Entra pour contrôler qui peut accéder au VPN SSL FortiGate.
  • Permettre à vos utilisateurs de se connecter automatiquement à FortiGate SSL VPN avec leur compte Microsoft Entra.
  • gérer vos comptes à un emplacement central : le portail Azure.

Conditions préalables

Pour commencer, vous avez besoin des éléments suivants :

  • Un abonnement Microsoft Entra. Si vous n’avez pas d’abonnement, vous pouvez obtenir un compte gratuit .
  • Vpn SSL FortiGate avec authentification unique activée.

Description de l’article

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

FortiGate SSL VPN prend en charge le SSO lancé par le fournisseur de services.

Pour configurer l’intégration du VPN SSL FortiGate à Microsoft Entra ID, vous devez ajouter le VPN SSL FortiGate à partir de la galerie à votre liste d’applications SaaS gérées :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.
  2. Accédez à Entra ID>Applications d'entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie , entrez FortiGate SSL VPN dans la zone de recherche.
  4. Sélectionnez FortiGate SSL VPN dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez sinon également utiliser l’Assistant de configuration des applications d'entreprise . Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour Le VPN SSL FortiGate

Vous allez configurer et tester l’authentification unique Microsoft Entra avec le VPN SSL FortiGate à l’aide d’un utilisateur de test nommé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et le groupe d’utilisateurs SAML SSO correspondant dans le VPN SSL FortiGate.

Pour configurer et tester l’authentification unique Microsoft Entra avec le VPN SSL FortiGate, procédez comme suit :

  1. Configurez l’authentification unique Microsoft Entra pour activer la fonctionnalité pour vos utilisateurs.
    1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra.
    2. Accordez l’accès à l’utilisateur de test pour activer l’authentification unique Microsoft Entra pour cet utilisateur.
  2. Configurez l’authentification unique VPN SSL FortiGate côté application.
    1. Créez un groupe d’utilisateurs FortiGate SAML SSO comme équivalent de la représentation Microsoft Entra de l’utilisateur.
  3. Testez le SSO pour vérifier que la configuration fonctionne.

Configurer l’authentification unique Microsoft Entra

Suivez ces étapes pour activer l’authentification unique de Microsoft Entra dans le portail Azure :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

  2. Accédez à Entra ID>Enterprise apps>, à la page d'intégration de l'application VPN SSL FortiGate, dans la section Gérer, sélectionnez l’authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique , sélectionnez SAML.

  4. Dans la page Configurer un seul Sign-On avec SAML , sélectionnez le bouton Modifier pour la configuration SAML de base pour modifier les paramètres :

    Capture d’écran montrant la page de configuration SAML de base.

  5. Dans la page Configurer un Sign-On unique avec SAML , entrez les valeurs suivantes :

    un. Dans la zone Identificateur , entrez une URL dans le modèle https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    b. Dans la zone URL de réponse , entrez une URL dans le modèle https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    v. Dans la zone URL de connexion , entrez une URL dans le modèle https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    d. Dans la zone URL de déconnexion , entrez une URL dans le modèle https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Remarque

    Ces valeurs sont simplement des modèles. Vous devez utiliser l’URL de connexion réelle, l’identificateur, l’URL de réponse et l’URL de déconnexion configurées sur FortiGate. Le support FortiGate doit fournir les valeurs correctes pour l'environnement.

  6. L’application VPN SSL FortiGate attend des assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à la configuration. La capture d’écran suivante montre la liste des attributs par défaut.

    Capture d’écran montrant la section Attributs et revendications.

  7. Les revendications requises par le VPN SSL FortiGate sont indiquées dans le tableau suivant. Les noms de ces revendications doivent correspondre aux noms utilisés dans la section de configuration de ligne de commande Perform FortiGate de cet article. Les noms respectent la casse.

    Nom Attribut source
    nom d'utilisateur utilisateur.nomPrincipalUtilisateur
    groupe utilisateur.groupes

    Pour créer ces revendications supplémentaires :

    un. En regard des attributs utilisateur et revendications, sélectionnez Modifier.

    b. Sélectionnez Ajouter une nouvelle revendication.

    v. Pour Nom, entrez le nom d’utilisateur.

    d. Pour l’attribut Source, sélectionnez user.userprincipalname.

    é. Sélectionnez Enregistrer.

    Remarque

    Les attributs utilisateur et les revendications n’autorisent qu’une seule revendication de groupe. Pour ajouter une revendication de groupe, supprimez la revendication de groupe existante user.groups [SecurityGroup] qui est déjà présente dans les revendications pour ajouter la nouvelle revendication ou modifier la revendication existante en Tous les groupes.

    f. Sélectionnez Ajouter une revendication de groupe.

    g. Sélectionnez Tous les groupes.

    h. Sous Options avancées, activez la case à cocher Personnaliser le nom de la revendication de groupe .

    Je. Pour Nom, entrez groupe.

    j. Sélectionnez Enregistrer.

  8. Dans la page Configurer un seul Sign-On avec SAML , dans la section Certificat de signature SAML , sélectionnez le lien Télécharger en regard du certificat (Base64) pour télécharger le certificat et l’enregistrer sur votre ordinateur :

    Capture d’écran montrant le lien de téléchargement du certificat.

  9. Dans la section Configurer fortiGate SSL VPN , copiez l’URL ou les URL appropriées, en fonction de vos besoins :

    Capture d’écran montrant les URL de configuration.

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test nommé B.Simon.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’utilisateurs au moins.
  2. Accédez à Entra ID>Users.
  3. Sélectionnez Nouvel utilisateur>, en haut de l’écran.
  4. Dans les propriétés Utilisateur , procédez comme suit :
    1. Dans le champ Nom d'affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez le username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe , puis notez la valeur affichée dans la zone Mot de passe .
    4. Sélectionnez Vérifier + créer.
  5. Sélectionnez Créer.

Octroyer l’accès à l’utilisateur de test

Dans cette section, vous allez autoriser B.Simon à utiliser l’authentification unique en lui accordant l’accès utilisateur à FortiGate SSL VPN.

  1. Accédez à Entra ID>applications d'entreprise.
  2. Dans la liste des applications, sélectionnez VPN SSL FortiGate.
  3. Dans la page vue d’ensemble de l’application, dans la section Gérer , sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur, puis sélectionnez Utilisateurs et groupes dans la boîte de dialogue Affectation ajoutée .
  5. Dans la boîte de dialogue Utilisateurs et groupes , sélectionnez B.Simon dans la liste Utilisateurs , puis sélectionnez le bouton Sélectionner en bas de l’écran.
  6. Si vous attendez une valeur de rôle dans l’assertion SAML, dans la boîte de dialogue Sélectionner un rôle, sélectionnez le rôle approprié pour l’utilisateur dans la liste. Sélectionnez le bouton Sélectionner en bas de l’écran.
  7. Dans la boîte de dialogue Ajouter une affectation , sélectionnez Affecter.

Créer un groupe de sécurité pour l’utilisateur de test

Dans cette section, vous allez créer un groupe de sécurité dans Microsoft Entra ID pour l’utilisateur de test. FortiGate utilise ce groupe de sécurité pour accorder l’accès réseau utilisateur via le VPN.

  1. Dans le Centre d’administration Microsoft Entra, accédez à ID Entra>groupes>Nouveau groupe.
  2. Dans les propriétés New Group , procédez comme suit :
    1. Dans la liste des types de groupe , sélectionnez Sécurité.
    2. Dans la zone Nom du groupe , entrez FortiGateAccess.
    3. Dans la zone description du groupe , entrez Groupe pour accorder l’accès VPN FortiGate.
    4. Pour les paramètres Les rôles Microsoft Entra peuvent être attribués au groupe (aperçu), sélectionnez Non.
    5. Dans la zone Type d’appartenance , sélectionnez Affecté.
    6. Sous Membres, sélectionnez Aucun membre sélectionné.
    7. Dans la boîte de dialogue Utilisateurs et groupes , sélectionnez B.Simon dans la liste Utilisateurs , puis sélectionnez le bouton Sélectionner en bas de l’écran.
    8. Sélectionnez Créer.
  3. Une fois que vous êtes de retour dans la section Groupes dans Microsoft Entra ID, recherchez le groupe d’accès FortiGate et notez l’ID d’objet. Vous en aurez besoin plus tard.

Configurer l’authentification unique SSL VPN FortiGate

Charger le certificat SAML Base64 sur l’appliance FortiGate

Une fois que vous avez terminé la configuration SAML de l’application FortiGate dans votre locataire, vous avez téléchargé le certificat SAML codé en Base64. Vous devez charger ce certificat sur l’appliance FortiGate :

  1. Connectez-vous au portail de gestion de votre appliance FortiGate.
  2. Dans le volet gauche, sélectionnez Système.
  3. Sous Système, sélectionnez Certificats.
  4. Sélectionnez Importer un>certificat distant.
  5. Accédez au certificat téléchargé à partir du déploiement de l’application FortiGate dans le locataire Azure, sélectionnez-le, puis sélectionnez OK.

Une fois le certificat chargé, notez son nom sous Système>Certificats>Certificat distant. Par défaut, il est nommé REMOTE_Cert_N, où N est une valeur entière.

Configuration complète de la ligne de commande FortiGate

Bien que vous puissiez configurer l’authentification unique à partir de l’interface graphique graphique depuis FortiOS 7.0, les configurations CLI s’appliquent à toutes les versions et sont donc affichées ici.

Pour effectuer ces étapes, vous avez besoin des valeurs que vous avez enregistrées précédemment :

Paramètre SAML du CLI FortiGate Configuration Azure équivalente
ID d’entité SP (entity-id) Identificateur (ID d'entité)
URL d’authentification unique sp (single-sign-on-url) URL de réponse (URL Assertion Consumer Service)
URL de déconnexion unique SP (single-logout-url) URL de déconnexion
ID d’entité IdP (idp-entity-id) Identificateur Microsoft Entra
URL de l’authentification unique IdP (idp-single-sign-on-url) URL de connexion Azure
URL de déconnexion unique IdP (idp-single-logout-url) URL de déconnexion Azure
Certificat IdP (idp-cert) Nom du certificat SAML Base64 (REMOTE_Cert_N)
Attribut nom d'utilisateur (user-name) nom d'utilisateur
Attribut de nom de groupe (group-name) groupe

Remarque

L’URL de connexion sous Configuration SAML de base n’est pas utilisée dans les configurations FortiGate. Il est utilisé pour déclencher la connexion SSO lancée par le fournisseur de services pour rediriger l’utilisateur vers la page du portail VPN SSL.

  1. Établissez une session SSH sur votre appliance FortiGate et connectez-vous avec un compte d’administrateur FortiGate.

  2. Exécutez ces commandes et remplacez le <values> par les informations que vous avez recueillies précédemment.

    config user saml
      edit azure
        set cert <FortiGate VPN Server Certificate Name>
        set entity-id < Identifier (Entity ID)Entity ID>
        set single-sign-on-url < Reply URL Reply URL>
        set single-logout-url <Logout URL>
        set idp-entity-id <Azure AD Identifier>
        set idp-single-sign-on-url <Azure Login URL>
        set idp-single-logout-url <Azure Logout URL>
        set idp-cert <Base64 SAML Certificate Name>
        set user-name username
        set group-name group
      next
    end
    

Configurer FortiGate pour la correspondance de groupe

Dans cette section, vous allez configurer FortiGate pour reconnaître l’ID d’objet du groupe de sécurité qui inclut l’utilisateur de test. Cette configuration permet à FortiGate de prendre des décisions d’accès en fonction de l’appartenance au groupe.

Pour effectuer ces étapes, vous avez besoin de l’ID d’objet du groupe de sécurité FortiGateAccess que vous avez créé précédemment dans cet article.

  1. Établissez une session SSH sur votre appliance FortiGate et connectez-vous avec un compte d’administrateur FortiGate.

  2. Exécutez les commandes suivantes :

    config user group
      edit FortiGateAccess
        set member azure
        config match
          edit 1
            set server-name azure
            set group-name <Object Id>
          next
        end
      next
    end
    

Créer des portails VPN FortiGate et une stratégie de pare-feu

Dans cette section, vous allez configurer une stratégie de pare-feu et de portails VPN FortiGate qui accorde l’accès au groupe de sécurité FortiGateAccess que vous avez créé précédemment dans cet article.

Reportez-vous à la configuration de la connexion SAML SSO pour le VPN SSL avec l’ID Microsoft Entra agissant comme fournisseur d'identité SAML pour obtenir des instructions.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

  • À l’étape 5) de la configuration de l’authentification unique Azure, *Test de l’authentification unique avec votre application, sélectionnez le bouton Tester . Cette option redirige vers l’URL de connexion VPN FortiGate où vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL de connexion VPN FortiGate pour démarrer le processus de connexion.

  • Vous pouvez utiliser Microsoft My Apps. Lorsque vous sélectionnez la vignette VPN FortiGate dans Mes applications, cette option redirige vers l’URL de connexion VPN FortiGate. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Après avoir configuré FortiGate VPN, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session s’étend de l’accès conditionnel. Découvrez comment appliquer le contrôle de session avec Microsoft Defender pour Cloud Apps.