Tutorial: Integrasi SSO Microsoft Entra dengan VPN SSL FortiGate

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan VPN SSL FortiGate dengan MICROSOFT Entra ID. Saat mengintegrasikan VPN SSL FortiGate dengan ID Microsoft Entra, Anda dapat:

  • Gunakan MICROSOFT Entra ID untuk mengontrol siapa yang dapat mengakses VPN SSL FortiGate.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke VPN SSL FortiGate dengan akun Microsoft Entra mereka.
  • Kelola akun Anda dalam satu lokasi pusat - portal Microsoft Azure.

Prasyarat

Untuk memulai, Anda membutuhkan item berikut:

  • Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
  • VPN SSL FortiGate dengan akses menyeluruh (SSO) diaktifkan.

Deskripsi tutorial

Dalam tutorial ini, Anda akan mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

VPN SSL FortiGate mendukung SSO yang diinisiasi SP.

Untuk mengonfigurasi integrasi VPN SSL FortiGate ke MICROSOFT Entra ID, Anda perlu menambahkan VPN SSL FortiGate dari galeri ke daftar aplikasi SaaS terkelola Anda:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
  3. Di bagian Tambahkan dari galeri, masukkan VPN SSL FortiGate di kotak pencarian.
  4. Pilih VPN SSL FortiGate di panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji SSO Microsoft Entra untuk VPN SSL FortiGate

Anda akan mengonfigurasi dan menguji SSO Microsoft Entra dengan VPN SSL FortiGate dengan menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan grup pengguna SSO SAML yang sesuai di VPN SSL FortiGate.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan VPN SSL FortiGate, Anda akan menyelesaikan langkah-langkah tingkat tinggi ini:

  1. Konfigurasikan SSO Microsoft Entra untuk mengaktifkan fitur bagi pengguna Anda.
    1. Buat pengguna uji Microsoft Entra untuk menguji akses menyeluruh Microsoft Entra.
    2. Berikan akses ke pengguna uji untuk mengaktifkan akses menyeluruh Microsoft Entra untuk pengguna tersebut.
  2. Konfigurasikan SSO VPN SSL FortiGate di sisi aplikasi.
    1. Buat grup pengguna SSO SAML FortiGate sebagai mitra representasi Microsoft Entra pengguna.
  3. Uji SSO untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Ikuti langkah-langkah berikut untuk mengaktifkan SSO Microsoft Entra di portal Azure:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri ke halaman integrasi aplikasi FortiGate SSL VPN aplikasi>Identity>Applications>Enterprise, di bagian Kelola, pilih akses menyeluruh.

  3. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  4. Pada halaman Siapkan Akses Menyeluruh dengan SAML, pilih tombol Edit untuk Konfigurasi SAML Dasar untuk mengedit pengaturan:

    Screenshot of showing Basic SAML configuration page.

  5. Di halaman Siapkan SSO dengan SAML, masukkan nilai berikut:

    a. Di kotak Pengidentifikasi, masukkan URL dalam pola https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    b. Di kotak URL Balasan, masukkan URL dalam pola https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    c. Di kotak URL Masuk, masukkan URL dalam pola https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    d. Di kotak URL Keluar, masukkan URL dalam pola https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Catatan

    Nilai-nilai ini hanya pola. Anda perlu menggunakan URL Masuk, Pengidentifikasi, URL Balasan, dan URL Keluar yang aktual yang dikonfigurasi pada FortiGate.

  6. Aplikasi VPN SSL FortiGate mengharapkan pernyataan SAML dalam format tertentu, yang mengharuskan Anda untuk menambahkan pemetaan atribut kustom ke konfigurasi. Cuplikan layar berikut menampilkan daftar atribut default.

    Screenshot of showing Attributes and Claims section.

  7. Klaim yang diperlukan oleh VPN SSL FortiGate diperlihatkan di tabel berikut. Nama-nama klaim ini harus cocok dengan nama yang digunakan di bagian Lakukan Konfigurasi baris perintah FortiGate dari tutorial ini. Nama-nama kasus sensitif.

    Nama Atribut sumber
    Nama pengguna user.userprincipalname
    grup pengguna.grup

    Untuk membuat klaim tambahan ini:

    a. Di samping Atribut Pengguna & Klaim, pilih Edit.

    b. Pilih Tambahkan klaim baru.

    c. Untuk Nama, masukkan namapengguna.

    d. Untuk Atribut sumber, pilih user.userprincipalname.

    e. Pilih Simpan.

    Catatan

    Atribut Pengguna & Klaim hanya mengizinkan satu klaim grup. Untuk menambahkan klaim grup, hapus klaim grup user.groups [SecurityGroup] yang sudah ada dalam klaim untuk menambahkan klaim baru atau mengedit yang sudah ada ke Semua grup.

    f. Pilih Tambahkan klaim grup.

    g. Pilih Semua grup.

    h. Di bawah opsi Tingkat Lanjut, pilih kotak centang Kustomisasi nama klaim grup.

    i. Untuk Nama, masukkan grup.

    j. Pilih Simpan.

  8. Di halaman Siapkan SSO dengan SAML, pada bagian Sertifikat Penandatanganan SAML, pilih tautan Unduh di sebelah Sertifikat (Base64) untuk mengunduh sertifikat dan menyimpannya di komputer Anda:

    Screenshot that shows the certificate download link.

  9. Di bagian Siapkan VPN SSL FortiGate, salin URL yang sesuai atau URL, berdasarkan persyaratan Anda:

    Screenshot that shows the configuration URLs.

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
  4. Di properti Pengguna, ikuti langkah-langkah berikut:
    1. Di bidang Nama tampilan, masukkan B.Simon.
    2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:B.Simon@contoso.com
    3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
    4. Pilih Tinjau + buat.
  5. Pilih Buat.

Memberikan akses ke pengguna uji

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses pengguna tersebut ke VPN SSL FortiGate.

  1. Telusuri aplikasi Identity>Applications>Enterprise.
  2. Di daftar aplikasi, pilih VPN SSL FortiGate.
  3. Di halaman ringkasan aplikasi, di bagian Kelola, pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna, lalu pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
  5. Di kotak dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
  6. Jika Anda mengharapkan nilai peran apa pun dalam pernyataan SAML, di kotak dialog Pilih Peran, pilih peran yang sesuai untuk pengguna dari daftar. Klik tombol Pilih di bagian bawah layar.
  7. Dalam kotak dialog Tambahkan Penugasan, pilih Tetapkan.

Buat kelompok keamanan untuk pengguna pengujian

Di bagian ini, Anda akan membuat grup keamanan di ID Microsoft Entra untuk pengguna uji. FortiGate akan menggunakan kelompok keamanan ini untuk memberikan akses jaringan pengguna melalui VPN.

  1. Di pusat admin Microsoft Entra, navigasikan ke Grup Identitas>Grup> baru.
  2. Di properti Grup Baru, selesaikan langkah-langkah berikut:
    1. Di daftar Jenis grup, pilih Keamanan.
    2. Di kotak Nama grup, masukkan FortiGateAccess.
    3. Di kotak Deskripsi grup, masukkan Grup untuk memberikan akses VPN FortiGate.
    4. Untuk peran Microsoft Entra dapat ditetapkan ke pengaturan grup (Pratinjau), pilih Tidak.
    5. Di kotak Tipe keanggotaan, pilih Ditetapkan.
    6. Di bawah Anggota, pilih Tidak ada anggota yang dipilih.
    7. Di dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
    8. Pilih Buat.
  3. Setelah Anda kembali ke bagian Grup di ID Microsoft Entra, temukan grup Akses FortiGate dan catat Id Objek. Anda akan membutuhkannya nanti.

Konfigurasikan SSO VPN SSL FortiGate

Unggah Sertifikat SAML Base64 ke appliance FortiGate

Setelah Anda menyelesaikan konfigurasi SAML aplikasi FortiGate di penyewa Anda, Anda mengunduh sertifikat SAML yang dikodekan Base64. Anda perlu mengunggah sertifikat ini ke appliance FortiGate:

  1. Masuk ke portal manajemen appliance FortiGate Anda.
  2. Di panel kiri, pilih Sistem.
  3. Di bawah Sistem, pilih Sertifikat.
  4. Pilih Impor>Sertifikat Jarak Jauh.
  5. Telusuri ke sertifikat yang diunduh dari penyebaran aplikasi FortiGate di penyewa Azure, pilih sertifikat tersebut, lalu pilih OK.

Setelah sertifikat diunggah, perhatikan nama di bawah Sistem>Sertifikat>Sertifikat Jarak Jauh. Secara default, sertifikat akan beri nama REMOTE_Cert_N, di manaN adalah nilai bilangan bulat.

Selesaikan konfigurasi baris perintah FortiGate

Meskipun Anda dapat mengonfigurasi SSO dari GUI sejak FortiOS 7.0, konfigurasi CLI berlaku untuk semua versi dan oleh karena itu ditampilkan di sini.

Untuk menyelesaikan langkah ini, Anda akan memerlukan nilai yang Anda rekam sebelumnya:

Pengaturan FortiGate SAML CLI Konfigurasi Azure yang setara
ID Entitas SP (entity-id) Pengidentifikasi (ID Entitas)
URL Akses Menyeluruh SP (single-sign-on-url) URL Balasan (Assertion Consumer Service URL)
URL Keluar Tunggal SP (single-logout-url) URL Keluar
ID Entitas IdP (idp-entity-id) Pengidentifikasi Microsoft Entra
URL Akses Menyeluruh IdP (idp-single-sign-on-url) URL Masuk Azure
URL keluar tunggal IdP (idp-single-logout-url) URL Keluar Azure
Sertifikat IdP (idp-cert) Nama sertifikat SAML Base64 (REMOTE_Cert_N)
Atribut nama pengguna (user-name) Nama pengguna
Atribut nama grup (group-name) grup

Catatan

URL Masuk di bawah Konfigurasi SAML Dasar tidak digunakan dalam konfigurasi FortiGate. Ini digunakan untuk memicu akses menyeluruh yang dimulai SP untuk mengalihkan pengguna ke halaman portal VPN SSL.

  1. Buat sesi SSH ke appliance FortiGate Anda, dan masuk dengan akun Administrator FortiGate.

  2. Jalankan perintah ini dan ganti <values> dengan informasi yang Anda kumpulkan sebelumnya:

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

Konfigurasikan FortiGate untuk pencocokan grup

Di bagian ini, Anda akan mengonfigurasi FortiGate untuk mengenali ID Objek kelompok keamanan yang menyertakan pengguna pengujian. Konfigurasi ini akan mengizinkan FortiGate untuk membuat keputusan akses berdasarkan keanggotaan grup.

Untuk menyelesaikan langkah ini, Anda akan memerlukan ID Objek dari kelompok keamanan FortiGateAccess yang Anda buat sebelumnya di tutorial ini.

  1. Buat sesi SSH ke appliance FortiGate Anda, dan masuk dengan akun Administrator FortiGate.

  2. Jalankan perintah ini:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

Buat Portal VPN FortiGate dan Kebijakan Firewall

Di bagian ini, Anda akan mengonfigurasi Portal VPN FortiGate dan Kebijakan Firewall yang memberikan akses ke kelompok keamanan FortiGateAccess yang Anda buat sebelumnya di tutorial ini.

Lihat Mengonfigurasi login SSO SAML untuk VPN SSL dengan MICROSOFT Entra ID yang bertindak sebagai IDP SAML untuk mendapatkan instruksi.

Menguji akses menyeluruh

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

  • Di Langkah 5) konfigurasi SSO Azure, *Uji akses menyeluruh dengan Aplikasi Anda, klik tombol Uji . Ini akan dialihkan ke URL Masuk VPN FortiGate di mana Anda dapat memulai alur masuk.

  • Buka URL masuk VPN FortiGate secara langsung dan mulai alur masuk dari sana.

  • Anda dapat menggunakan Aplikasi Saya Microsoft. Ketika Anda mengklik petak peta VPN FortiGate di Aplikasi Saya, ini akan dialihkan ke URL Masuk VPN FortiGate. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Setelah mengonfigurasi VPN FortiGate, Anda dapat menerapkan kontrol Sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.