Tutorial: integração do SSO do Microsoft Entra com o FortiGate SSL VPN

  • Artigo

Nesse tutorial, você aprenderá a integrar o FortiGate SSL VPN ao Microsoft Entra ID. Ao integrar o FortiGate SSL VPN ao Microsoft Entra ID, você poderá:

  • Usar o Microsoft Entra ID para controlar quem pode acessar o FortiGate SSL VPN.
  • Permitir que os usuários entrem automaticamente no FortiGate SSL VPN com as respectivas contas do Microsoft Entra.
  • Gerenciar suas contas em um local central: o portal do Azure.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Uma VPN de SSL do FortiGate com logon único (SSO) habilitado.

Descrição do tutorial

Nesse tutorial, você configura e testa o SSO do Microsoft Entra em um ambiente de teste.

O FortiGate SSL VPN é compatível com o SSO iniciado por SP.

Para configurar a integração do FortiGate SSL VPN ao Microsoft Entra ID, você precisará adicionar o FortiGate SSL VPN por meio da galeria à lista de aplicativos SaaS gerenciados:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar da galeria, insira FortiGate SSL VPN na caixa de pesquisa.
  4. Selecione FortiGate SSL VPN no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o FortiGate SSL VPN

Você vai configurar e testar o SSO do Microsoft Entra com o FortiGate SSL VPN usando um usuário de teste chamado B.Fernandes. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o grupo de usuários de SSO SAML correspondente no FortiGate SSL VPN.

Para configurar e testar o SSO do Microsoft Entra com o FortiGate SSL VPN, conclua as seguintes etapas principais:

  1. Configurar o SSO do Microsoft Entra, para habilitar o recurso para os usuários.
    1. Criar um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra.
    2. Permitir acesso ao usuário de teste para habilitar o logon único do Microsoft Entra para o usuário.
  2. Configure o SSO do FortiGate SSL VPN no lado do aplicativo.
    1. Crie um grupo de usuários do FortiGate SAML SSO como equivalente da representação do usuário do Microsoft Entra.
  3. Teste o SSO para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra no portal do Azure:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até a página de integração do aplicativo Identidade>Aplicativos>Aplicativos empresariais>FortiGate SSL VPN, na seção Gerenciar, selecione Logon único.

  3. Na página Selecionar um método de logon único, escolha SAML.

  4. Na página Configurar logon único com SAML, selecione o botão Editar em Configuração básica de SAML para editar as configurações:

    Screenshot of showing Basic SAML configuration page.

  5. Na página Configurar o Logon Único com SAML, insira os seguintes valores:

    a. Na caixa Identificador, insira uma URL no padrão https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    b. Na caixa URL de Resposta, insira uma URL no padrão https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    c. Na caixa URL de Logon, insira uma URL no padrão https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    d. Na caixa URL de Logoff, insira uma URL no padrão https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Observação

    Esses valores são apenas padrões. Você precisa usar a URL de login real, o Identificador, a URL de resposta e a URL de logoff configurada no FortiGate.

  6. O aplicativo FortiGate SSL VPN espera as declarações SAML em um formato específico, o que exige a adição de mapeamentos de atributo personalizado à configuração. A captura de tela a seguir mostra a lista de atributos padrão.

    Screenshot of showing Attributes and Claims section.

  7. As declarações exigidas pelo FortiGate SSL VPN são mostradas na tabela a seguir. Os nomes dessas declarações devem corresponder aos nomes usados na seção Executar a configuração de linha de comando do FortiGate deste tutorial. Os nomes diferenciam minúsculas e maiúsculas.

    Nome Atributo de origem
    Nome de Usuário user.userprincipalname
    group user.groups

    Para criar essas declarações adicionais:

    a. Ao lado de Atributos e Declarações do Usuário, selecione Editar.

    b. Selecione Adicionar nova declaração.

    c. Para Nome, insira nome de usuário.

    d. Para Atributo de origem, selecione user.userprincipalname.

    e. Clique em Salvar.

    Observação

    Os Atributos e declarações do usuário permitem apenas uma declaração de grupo. Para adicionar uma declaração de grupo, exclua a declaração de grupo existente user.groups [SecurityGroup] já presente nas declarações para adicionar a nova declaração ou edite a existente para Todos os grupos.

    f. Selecione Adicionar uma declaração de grupo.

    g. Selecione Todos os grupos.

    h. Em Opções avançadas, marque a caixa de seleção Personalizar o nome da declaração de grupo.

    i. Para Nome, insira grupo.

    j. Selecione Salvar.

  8. Na página Configurar logon único com SAML, na seção Certificado de autenticação SAML, selecione o link Download ao lado de Certificado (Base64) para baixar o certificado e salvá-lo no computador:

    Screenshot that shows the certificate download link.

  9. Na seção Configurar o FortiGate SSL VPN, copie as URLs apropriadas de acordo com seus requisitos:

    Screenshot that shows the configuration URLs.

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B. Fernandes.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Permitir acesso ao usuário de teste

Nesta seção, você habilitará B.Fernandes para usar o logon único, concedendo acesso ao FortiGate SSL VPN.

  1. Navegue até Identidade>Aplicativos>Aplicativos empresariais.
  2. Na lista de aplicativos, selecione FortiGate SSL VPN.
  3. Na página de visão geral do aplicativo, na seção Gerenciar, selecione Usuários e grupos.
  4. Escolha Adicionar usuário e, em seguida, Usuários e grupos na caixa de diálogo Adicionar Atribuição.
  5. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista de Usuários e, em seguida, clique no botão Selecionar na parte inferior da tela.
  6. Se você esperar um valor de função na declaração SAML, na caixa de diálogo Selecionar Função, selecione a função apropriada para o usuário na lista. Clique no botão Selecionar na parte inferior da tela.
  7. Na caixa de diálogo Adicionar Atribuição, selecione Atribuir.

Criar um grupo de segurança para o usuário de teste

Nesta seção, você criará um grupo de segurança no Microsoft Entra ID para o usuário de teste. O FortiGate usará esse grupo de segurança para permitir ao usuário acesso à rede por meio da VPN.

  1. No Dentro de administração do Microsoft Entra, navegue até Identidade>Grupos>Novo grupo.
  2. Nas propriedades do Novo Grupo, execute as seguintes etapas:
    1. Na lista Tipo de grupo, selecione Segurança.
    2. Na caixa Nome do grupo, insira FortiGateAccess.
    3. Na caixa Descrição do grupo, insira Grupo para permitir acesso ao FortiGate VPN.
    4. Nas configurações em As funções do Microsoft Entra podem ser atribuídas ao grupo (Versão prévia), selecione Não.
    5. No caixa Tipo de associação, selecione Atribuído.
    6. Em Membros, selecione Nenhum membro selecionado.
    7. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar, na parte inferior da tela.
    8. Selecione Criar.
  3. Após voltar para a seção Grupos do Microsoft Entra ID, localize o grupo Acesso ao FortiGate e anote a ID do Objeto. Você precisará dela mais tarde.

Configurar o SSO do FortiGate SSL VPN

Carregar o certificado SAML Base64 para o dispositivo FortiGate

Após concluir a configuração de SAML do aplicativo FortiGate no locatário, você baixou o certificado SAML codificado em Base64. Você precisa carregar esse certificado no dispositivo FortiGate:

  1. Entre no portal de gerenciamento do dispositivo FortiGate.
  2. No painel esquerdo, selecione Sistema.
  3. Em Sistema, selecione Certificados.
  4. Selecione Importar>Certificado Remoto.
  5. Procure o certificado baixado da implantação do aplicativo FortiGate no locatário do Azure, selecione-o e clique em OK.

Depois que o certificado for carregado, anote o nome dele em Sistema>Certificados>Certificado Remoto. Por padrão, ele será chamado de REMOTE_Cert_N, em que N é um valor inteiro.

Concluir a configuração de linha de comando do FortiGate

Embora você possa configurar o SSO a partir da GUI desde o FortiOS 7.0, as configurações da CLI se aplicam a todas as versões e, portanto, são mostradas aqui.

Para concluir essas etapas, você precisará dos valores registrados anteriormente:

Configuração da CLI de SAML do FortiGate Configuração equivalente do Azure
ID da entidade de SP (entity-id) Identificador (ID da Entidade)
URL de Logon único de SP (single-sign-on-url) URL de Resposta (URL do Serviço do Consumidor de Declaração)
URL de Logoff único de SP (single-logout-url) URL de logoff
ID da entidade do IdP (idp-entity-id) Identificador do Microsoft Entra
URL de Logon único do IdP (idp-single-sign-on-url) URL de Logon do Azure
URL de Logoff único do IdP (idp-single-logout-url) URL de Logoff do Azure
Certificado IdP (idp-cert) Nome do certificado SAML Base64 (REMOTE_Cert_N)
Atributo de nome de usuário (user-name) Nome de Usuário
Atributo de nome de grupo (group-name) group

Observação

A URL de Logon na Configuração Básica de SAML não é usada nas configurações do FortiGate. Ela é usada para disparar o logon único iniciado por SP para redirecionar o usuário para a página do portal VPN de SSL.

  1. Estabeleça uma sessão SSH para o dispositivo FortiGate e entre com uma conta de administrador do FortiGate.

  2. Execute esses comandos e substitua <values> pelas informações coletadas anteriormente:

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

Configurar o FortiGate para correspondência de grupo

Nesta seção, você vai configurar o FortiGate para reconhecer a ID do Objeto do grupo de segurança que inclui o usuário de teste. Essa configuração permitirá que o FortiGate tome decisões de acesso com base na associação ao grupo.

Para executar essas etapas, você precisará da ID do Objeto do grupo de segurança FortiGateAccess, criado anteriormente neste tutorial.

  1. Estabeleça uma sessão SSH para o dispositivo FortiGate e entre com uma conta de administrador do FortiGate.

  2. Execute estes comandos:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

Criar uma Política de Firewall e Portais para o FortiGate VPN

Nesta seção, você vai configurar uma Política de Firewall e Portais para o FortiGate VPN que permita acesso ao grupo de segurança FortiGateAccess, criado anteriormente neste tutorial.

Confira Configurar o logon do SSO do SAML para VPN de SSL com o Microsoft Entra ID atuando como IdP SAML para obter instruções.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Na Etapa 5 da configuração do SSO do Azure, *Teste o logon único com seu Aplicativo, clique no botão Testar. Isso redirecionará você para a URL de Logon do FortiGate VPN, na qual você poderá iniciar o fluxo de logon.

  • Acesse a URL de Logon do FortiGate VPN diretamente e inicie o fluxo de logon nela.

  • Você pode usar os Meus Aplicativos da Microsoft. Quando você clicar no bloco do FortiGate VPN em Meus Aplicativos, isso redirecionará para a URL de logon do FortiGate VPN. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Próximas etapas

Depois de configurar o FortiGate VPN, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.