Esercitazione: Integrazione dell'accesso Single Sign-On di Microsoft Entra con FortiGate SSL VPN

  • Articolo

Questa esercitazione descrive come integrare FortiGate SSL VPN con Microsoft Entra ID. Integrando FortiGate SSL VPN con Microsoft Entra ID, è possibile:

  • Usare Microsoft Entra ID per controllare chi può accedere a FortiGate SSL VPN.
  • Abilitare gli utenti per l'accesso automatico a FortiGate SSL VPN con gli account Microsoft Entra personali.
  • È possibile gestire gli account in un'unica posizione centrale: il portale di Azure.

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
  • Una VPN SSL fortiGate con l'accesso Single Sign-On (SSO) abilitato.

Descrizione dell'esercitazione

In questa esercitazione verrà configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

FortiGate SSL VPN supporta l'accesso SSO avviato da SP.

Per configurare l'integrazione di FortiGate SSL VPN in Microsoft Entra ID, è necessario aggiungere FortiGate SSL VPN dalla raccolta all'elenco di app SaaS gestite:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Nuova applicazione.
  3. Nella sezione Aggiungi dalla raccolta immettere FortiGate SSL VPN nella casella di ricerca.
  4. Selezionare FortiGate SSL VPN nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.

In alternativa, è anche possibile usare l'Enterprise Configurazione app Wizard. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso SSO di Microsoft Entra per FortiGate SSL VPN

Si configurerà e testerà l'accesso SSO di Microsoft Entra con FortiGate SSL VPN usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e il gruppo di utenti SAML SSO corrispondente in FortiGate SSL VPN.

Per configurare e testare l'accesso SSO di Microsoft Entra con FortiGate SSL VPN, completare questi passaggi generali:

  1. Configurare l'accesso Single Sign-On di Microsoft Entra per abilitare la funzionalità per gli utenti.
    1. Creare un utente di test di Microsoft Entra per testare l'accesso Single Sign-On di Microsoft Entra.
    2. Concedere l'accesso all'utente di test per abilitare l'accesso Single Sign-On di Microsoft Entra per tale utente.
  2. Configurare l'accesso SSO di FortiGate SSL VPN sul lato applicazione.
    1. Creare un gruppo di utenti fortiGate SAML SSO come controparte della rappresentazione dell'utente in Microsoft Entra.
  3. Testare l'accesso SSO per verificare se la configurazione funziona.

Configurare l'accesso Single Sign-On di Microsoft Entra

Seguire questa procedura per abilitare l'accesso SSO di Microsoft Entra nel portale di Azure:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

  2. Passare alla pagina di integrazione dell'applicazione VPN SSL FortiGate Applicazioni aziendali di Applicazioni>>di identità>, nella sezione Gestione selezionare Single Sign-On.

  3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  4. Nella pagina Configura Accesso Single Sign-On con SAML selezionare il pulsante Modifica per Configurazione SAML di base per modificare le impostazioni:

    Screenshot of showing Basic SAML configuration page.

  5. Nella pagina Configura l'accesso Single Sign-On con SAML immettere i valori seguenti:

    a. Nella casella Identificatore immettere un URL nel formato https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    b. Nella casella URL di risposta immettere un URL nel formato https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    c. Nella casella URL di accesso immettere un URL nel formato https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    d. Nella casella URL di disconnessione immettere un URL nel formato https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Nota

    Questi valori sono solo segnaposto. È necessario usare l'URL di accesso, l'identificatore, l'URL di risposta e l'URL di disconnessione effettivi configurati in FortiGate.

  6. L'applicazione FortiGate SSL VPN prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione. Lo screenshot seguente mostra l'elenco degli attributi predefiniti.

    Screenshot of showing Attributes and Claims section.

  7. Le attestazioni richieste da FortiGate SSL VPN sono illustrate nella tabella seguente. I nomi delle attestazioni devono corrispondere ai nomi usati nella sezione Completare la configurazione di FortiGate dalla riga di comando di questa esercitazione. I nomi fanno distinzione tra maiuscole e minuscole.

    Nome Attributo di origine
    username user.userprincipalname
    gruppo user.groups

    Per creare queste attestazioni aggiuntive:

    a. Accanto a Attributi utente e attestazioni selezionare Modifica.

    b. Selezionare Aggiungi nuova attestazione.

    c. In Nome immettere username.

    d. In Attributo di origine selezionare user.userprincipalname.

    e. Seleziona Salva.

    Nota

    Attributi utente e attestazioni consentono una sola attestazione di gruppo. Per aggiungere un'attestazione di gruppo, eliminare l'attestazione di gruppo esistente user.groups [SecurityGroup] già presente nelle attestazioni per aggiungere la nuova attestazione o modificare quella esistente in Tutti i gruppi.

    f. Selezionare Aggiungi un'attestazione basata su gruppo.

    g. Selezionare Tutti i gruppi.

    h. In Opzioni avanzate selezionare la casella di controllo Personalizza il nome dell'attestazione di gruppo.

    i. In Nome immettere group.

    j. Seleziona Salva.

  8. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML selezionare il collegamento Scarica accanto a Certificato (Base64) per scaricare il certificato e salvarlo nel computer:

    Screenshot that shows the certificate download link.

  9. Nella sezione Configura FortiGate SSL VPN copiare l'URL o gli URL appropriati in base alle esigenze:

    Screenshot that shows the configuration URLs.

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome B.Simon.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un utente Amministrazione istrator.
  2. Passare a Utenti>identità>Tutti gli utenti.
  3. Selezionare Nuovo utente Crea nuovo utente> nella parte superiore della schermata.
  4. Nelle proprietà Utente seguire questa procedura:
    1. Nel campo Nome visualizzato immettere B.Simon.
    2. Nel campo Nome entità utente immettere .username@companydomain.extension Ad esempio: B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
    4. Selezionare Rivedi e crea.
  5. Seleziona Crea.

Concedere l'accesso all'utente di test

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On concedendole l'accesso a FortiGate SSL VPN.

  1. Passare a Applicazioni di identità>Applicazioni>aziendali.
  2. Nell'elenco delle applicazioni selezionare FortiGate SSL VPN.
  3. Nella sezione Gestione della pagina di panoramica dell'app selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon nell'elenco Utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
  6. Se si prevede un valore di ruolo nell'asserzione SAML, nella finestra di dialogo Selezionare un ruolo selezionare il ruolo appropriato per l'utente dall'elenco. Fare clic sul pulsante Seleziona nella parte inferiore della schermata.
  7. Nella finestra di dialogo Aggiungi assegnazione selezionare Assegna.

Creare un gruppo di sicurezza per l'utente test

In questa sezione verrà creato un gruppo di sicurezza in Microsoft Entra ID per l'utente di test. FortiGate userà questo gruppo di sicurezza per concedere all'utente l'accesso alla rete tramite la VPN.

  1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Gruppi>di identità>Nuovo gruppo.
  2. Nelle proprietà New Group (Nuovo gruppo) completare questi passaggi:
    1. Selezionare Sicurezza nell'elenco Tipo gruppo.
    2. Nella casella Nome gruppo immettere FortiGateAccess.
    3. Nella casella Descrizione gruppo immettere Gruppo per concedere l'accesso a FortiGate VPN.
    4. Per i ruoli Microsoft Entra è possibile assegnare le impostazioni del gruppo (anteprima), selezionare No.
    5. Nella casella Tipo di appartenenza selezionare Assegnato.
    6. In Membri selezionare Nessun membro selezionato.
    7. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon nell'elenco Utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
    8. Seleziona Crea.
  3. Dopo essere tornati nella sezione Gruppi in Microsoft Entra ID, trovare il gruppo FortiGate Access e prendere nota dell'ID oggetto. Sarà necessario in un secondo momento.

Configurare l'accesso Single Sign-On di FortiGate SSL VPN

Caricare il certificato SAML Base64 nell'appliance FortiGate

Dopo aver completato la configurazione SAML dell'app FortiGate nel tenant, il certificato SAML con codifica Base64 è stato scaricato. Questo certificato deve essere caricato nell'appliance FortiGate:

  1. Accedere al portale di gestione dell'appliance FortiGate.
  2. Nel riquadro sinistro selezionare System (Sistema).
  3. In System (Sistema) selezionare Certificates (Certificati).
  4. Selezionare Import>Remote Certificate (Importa > Certificato remoto).
  5. Passare al certificato scaricato dalla distribuzione dell'app FortiGate nel tenant di Azure, selezionarlo e quindi selezionare OK.

Dopo il caricamento del certificato prendere nota del nome in System>Certificates>Remote Certificate (Sistema > Certificati > Certificato remoto). Per impostazione predefinita, il nome sarà REMOTE_Cert_N, dove N è un numero intero.

Completare la configurazione di FortiGate dalla riga di comando

Anche se è possibile configurare l'accesso SSO dall'interfaccia utente grafica a partire da FortiOS 7.0, le configurazioni dell'interfaccia della riga di comando si applicano a tutte le versioni e pertanto sono illustrate qui.

Per completare la procedura, sono necessari i valori annotati in precedenza:

Impostazione dell'interfaccia della riga di comando SAML di FortiGate Configurazione equivalente di Azure
ID entità SP (entity-id) Identificatore (ID entità)
SP Single Sign-On URL (single-sign-on-url) URL di risposta (URL del servizio consumer di asserzione)
SP Single Logout URL (single-logout-url) URL di chiusura sessione
ID entità IdP (idp-entity-id) Identificatore Microsoft Entra
IDP Single Sign-On URL (idp-single-sign-on-url) URL di accesso ad Azure
IDP Single Logout URL (idp-single-logout-url) URL di disconnessione da Azure
Certificato IdP (idp-cert) Nome del certificato SAML Base64 (REMOTE_Cert_N)
Attributo Username (user-name) username
Attributo nome gruppo (group-name) gruppo

Nota

L'URL di accesso in Configurazione SAML di base non viene usato nelle configurazioni fortiGate. Viene usato per attivare l'accesso Single Sign-On avviato da SP per reindirizzare l'utente alla pagina del portale VPN SSL.

  1. Stabilire una sessione SSH con l'appliance FortiGate e accedere con un account amministratore di FortiGate.

  2. Eseguire questi comandi e sostituire con le <values> informazioni raccolte in precedenza:

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

Configurare FortiGate per la corrispondenza dei gruppi

In questa sezione FortiGate verrà configurato per riconoscere l'ID oggetto del gruppo di sicurezza che include l'utente di test. Questa configurazione consentirà a FortiGate di prendere decisioni di accesso in base all'appartenenza al gruppo.

Per completare la procedura, è necessario l'ID oggetto del gruppo di sicurezza FortiGateAccess creato in precedenza in questa esercitazione.

  1. Stabilire una sessione SSH con l'appliance FortiGate e accedere con un account amministratore di FortiGate.

  2. Eseguire i comandi seguenti:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

Creare un criterio per firewall e portali VPN di FortiGate

In questa sezione verrà configurato un criterio per firewall e portali VPN di FortiGate che concede l'accesso al gruppo di sicurezza FortiGateAccess creato in precedenza in questa esercitazione.

Per istruzioni, vedere Configuring SAML SSO login for SSL VPN with Microsoft Entra ID (Configurazione dell'accesso SSO SAML per LA VPN SSL con IDP SAML).

Testare l'accesso SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

  • Nel passaggio 5) della configurazione dell'accesso Single Sign-On di Azure *Testare l'accesso Single Sign-On con l'app fare clic sul pulsante Test . Verrà eseguito il reindirizzamento all'URL di accesso di FortiGate VPN, in cui è possibile avviare il flusso di accesso.

  • Passare direttamente all'URL di accesso di FortiGate VPN e avviare il flusso di accesso da questa posizione.

  • È possibile usare App personali Microsoft. Quando si fa clic sul riquadro di FortiGate VPN in App personali, verrà eseguito il reindirizzamento all'URL di accesso di FortiGate VPN. Per altre informazioni su App personali, vedere l'introduzione ad App personali.

Passaggi successivi

Dopo aver configurato FortiGate VPN, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con app Microsoft Defender per il cloud.