Compartilhar via

Configurar a VPN SSL do FortiGate para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar a VPN SSL do FortiGate à ID do Microsoft Entra. Ao integrar a VPN SSL do FortiGate à ID do Microsoft Entra, você pode:

  • Use a ID do Microsoft Entra para controlar quem pode acessar a VPN SSL do FortiGate.
  • Permitir que os usuários sejam conectados automaticamente à VPN SSL do FortiGate com suas contas do Microsoft Entra.
  • Gerenciar suas contas em um local central: o portal do Azure.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se você não tiver uma assinatura, poderá obter uma conta gratuita.
  • Uma VPN SSL do FortiGate com SSO (logon único) habilitado.

Descrição do artigo

Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.

A VPN SSL do FortiGate dá suporte ao SSO iniciado por SP.

Para configurar a integração do FortiGate SSL VPN ao Microsoft Entra ID, você precisa adicionar a VPN SSL do FortiGate da galeria à sua lista de aplicativos SaaS gerenciados:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de Nuvem.
  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria , insira a VPN SSL do FortiGate na caixa de pesquisa.
  4. Selecione a VPN SSL do FortiGate no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para a VPN SSL do FortiGate

Você configurará e testará o SSO do Microsoft Entra com a VPN SSL do FortiGate usando um usuário de teste chamado B.Simon. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o grupo de usuários SSO do SAML correspondente na VPN SSL do FortiGate.

Para configurar e testar o SSO do Microsoft Entra com a VPN SSL do FortiGate, conclua estas etapas de alto nível:

  1. Configure o SSO do Microsoft Entra para habilitar o recurso para seus usuários.
    1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra.
    2. Conceda acesso ao usuário de teste para habilitar o logon único do Microsoft Entra para esse usuário.
  2. Configure o SSO de VPN SSL do FortiGate no lado do aplicativo.
    1. Crie um grupo de usuários do SSO do FortiGate SAML como um equivalente à representação do usuário do Microsoft Entra.
  3. Teste o SSO para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra no portal do Azure:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de Nuvem.

  2. Navegue até a página de integração do aplicativo FortiGate SSL VPN em Entra ID>aplicativos empresariais>, na seção Gerenciar, selecione logon único.

  3. Na página Selecionar um método de logon único, escolha SAML.

  4. Na página Configurar Sign-On Único com SAML , selecione o botão Editar para a Configuração Básica do SAML para editar as configurações:

    Captura de tela mostrando a página de configuração básica do SAML.

  5. Na página Configurar Sign-On Único com SAML , insira os seguintes valores:

    um. Na caixa Identificador , insira uma URL no padrão https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    b. Na caixa URL de Resposta , insira uma URL no padrão https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    c. Na caixa URL de Logon , insira uma URL no padrão https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    d. Na caixa URL de Logoff , insira uma URL no padrão https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Observação

    Esses valores são apenas padrões. Você precisa usar a URL de Logon real, o Identificador, a URL de Resposta e a URL de Logoff configuradas no FortiGate. O suporte ao FortiGate precisa fornecer os valores corretos para o ambiente.

  6. O aplicativo VPN SSL do FortiGate espera declarações SAML em um formato específico, o que exige que você adicione mapeamentos de atributo personalizados à configuração. A captura de tela a seguir mostra a lista de atributos padrão.

    Captura de tela da seção Atributos e Declarações.

  7. As declarações exigidas pela VPN SSL do FortiGate são mostradas na tabela a seguir. Os nomes dessas declarações devem corresponder aos nomes usados na seção de configuração de linha de comando Executar FortiGate deste artigo. Os nomes diferenciam minúsculas e maiúsculas.

    Nome Atributo de origem
    nome de usuário usuário.userprincipalname
    grupo grupos do usuário

    Para criar mais declarações:

    um. Ao lado de Atributos e Declarações do Usuário, selecione Editar.

    b. Selecione Adicionar nova declaração.

    c. Para Nome, insira o nome de usuário.

    d. Para o atributo Source, selecioneuser.userprincipalname.

    e. Clique em Salvar.

    Observação

    Atributos e Declarações de Usuário permitem apenas uma declaração de grupo. Para adicionar uma declaração de grupo, exclua a declaração de grupo existente user.groups [SecurityGroup] já presente nas declarações para adicionar a nova declaração ou editar a existente a Todos os grupos.

    f. Selecione Adicionar uma declaração de grupo.

    g. Selecione Todos os grupos.

    h. Em opções avançadas, selecione a caixa de seleção Personalizar o nome da declaração de grupo .

    eu. Para Nome, insira grupo.

    j. Clique em Salvar.

  8. Na página Configurar Sign-On Único com SAML , na seção Certificado de Autenticação SAML , selecione o link Baixar ao lado do Certificado (Base64) para baixar o certificado e salvá-lo no computador:

    Captura de tela que mostra o link de download do certificado.

  9. Na seção Configurar a VPN SSL do FortiGate , copie a URL ou as URLs apropriadas de acordo com seus requisitos:

    Captura de tela que mostra as URLs de configuração.

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Usuários.
  2. Navegue até Entra ID>Usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Permitir acesso ao usuário de teste

Nesta seção, você habilitará B.Simon para utilizar o logon único concedendo a esse usuário acesso à VPN SSL do FortiGate.

  1. Navegue para Entra ID>Aplicativos corporativos.
  2. Na lista de aplicativos, selecione VPN SSL do FortiGate.
  3. Na página de visão geral do aplicativo, na seção Gerenciar , selecione Usuários e grupos.
  4. Selecione Adicionar usuário e, em seguida, Usuários e grupos na caixa de diálogo Atribuição Adicionada.
  5. Na caixa de diálogo Usuários e grupos , selecione B.Fernandes na lista Usuários e, em seguida, selecione o botão Selecionar na parte inferior da tela.
  6. Se você esperar um valor de função na declaração SAML, na caixa de diálogo Selecionar Função, selecione a função apropriada para o usuário na lista. Selecione o botão Selecionar na parte inferior da tela.
  7. Na caixa de diálogo Adicionar Atribuição , selecione Atribuir.

Criar um grupo de segurança para o usuário de teste

Nesta seção, você criará um grupo de segurança na ID do Microsoft Entra para o usuário de teste. O FortiGate usa esse grupo de segurança para conceder acesso à rede do usuário por meio da VPN.

  1. No centro de administração do Microsoft Entra, navegue até Entra ID>Grupos>Novo grupo.
  2. Nas propriedades Novo Grupo , conclua estas etapas:
    1. Na lista de tipos de grupo , selecione Segurança.
    2. Na caixa Nome do Grupo , insira FortiGateAccess.
    3. Na caixa Descrição do Grupo , insira Grupo para conceder acesso à VPN FortiGate.
    4. Para que as funções do Microsoft Entra possam ser atribuídas às configurações do grupo (versão prévia ), selecione Não.
    5. Na caixa Tipo de Associação , selecione Atribuído.
    6. Em Membros, selecione Nenhum membro selecionado.
    7. Na caixa de diálogo Usuários e grupos , selecione B.Fernandes na lista Usuários e selecione o botão Selecionar na parte inferior da tela.
    8. Selecione Criar.
  3. Depois de voltar à seção Grupos na ID do Microsoft Entra, localize o grupo fortiGate Access e anote a ID do objeto. Você precisará dela mais tarde.

Configurar o SSO de VPN SSL do FortiGate

Carregar o certificado SAML Base64 no dispositivo FortiGate

Depois de concluir a configuração SAML do aplicativo FortiGate em seu locatário, você baixou o certificado SAML codificado em Base64. Você precisa carregar esse certificado no dispositivo FortiGate:

  1. Entre no portal de gerenciamento do dispositivo FortiGate.
  2. No painel esquerdo, selecione Sistema.
  3. Em Sistema, selecione Certificados.
  4. Selecione Importar>Certificado Remoto.
  5. Navegue até o certificado baixado da implantação do aplicativo FortiGate no locatário do Azure, selecione-o e selecione OK.

Depois que o certificado for carregado, anote seu nome no Sistema>Certificados>Certificado Remoto. Por padrão, ele é nomeado REMOTE_Cert_N, em que N é um valor inteiro.

Concluir a configuração de linha de comando do FortiGate

Embora você possa configurar o SSO da GUI desde o FortiOS 7.0, as configurações da CLI se aplicam a todas as versões e, portanto, são mostradas aqui.

Para concluir estas etapas, você precisa dos valores registrados anteriormente:

Configuração da CLI SAML do FortiGate Configuração equivalente do Azure
ID da entidade SP (entity-id) Identificador (ID da Entidade)
URL de logon único do SP (single-sign-on-url) URL de Resposta (URL do Serviço do Consumidor de Declaração)
URL de saída única do SP (single-logout-url) URL de logout
ID da entidade IdP (idp-entity-id) Identificador do Microsoft Entra
URL de logon único do IdP (idp-single-sign-on-url) URL de entrada do Azure
URL de logout único do IdP (idp-single-logout-url) URL de saída do Azure
Certificado IdP (idp-cert) Nome do certificado SAML base64 (REMOTE_Cert_N)
Atributo de nome de usuário (user-name) nome de usuário
Atributo de nome de grupo (group-name) grupo

Observação

A URL de Logon nas Configurações Básicas do SAML não é usada nas configurações do FortiGate. É utilizado para acionar o login único iniciado pelo SP e redireciona o usuário para a página do portal VPN SSL.

  1. Estabeleça uma sessão SSH para seu dispositivo FortiGate e entre com uma conta de Administrador do FortiGate.

  2. Execute estes comandos e substitua o <values> pela informação que você coletou anteriormente.

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

Configurar o FortiGate para correspondência de grupo

Nesta seção, você configura o FortiGate para reconhecer a ID do objeto do grupo de segurança que inclui o usuário de teste. Essa configuração permite que o FortiGate tome decisões de acesso com base na associação ao grupo.

Para concluir essas etapas, você precisa da ID de Objeto do grupo de segurança FortiGateAccess que você criou anteriormente neste artigo.

  1. Estabeleça uma sessão SSH para seu dispositivo FortiGate e entre com uma conta de Administrador do FortiGate.

  2. Execute estes comandos:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

Criar Portais de VPN FortiGate e Política de Firewall

Nesta seção, você configurará os Portais VPN do FortiGate e a Política de Firewall que concede acesso ao grupo de segurança FortiGateAccess que você criou anteriormente neste artigo.

Consulte a seção Configuração de login único SAML SSO para VPN SSL com Microsoft Entra ID atuando como IdP SAML para obter instruções.

Teste de SSO

Nesta seção, você testará sua configuração de logon único do Microsoft Entra com as seguintes opções.

  • Na Etapa 5) da configuração do SSO do Azure, *Teste o logon único com seu Aplicativo, selecione o botão Testar . essa opção redireciona para a URL de Login da VPN do FortiGate, na qual você pode iniciar o processo de login.

  • Acesse diretamente a URL de login do FortiGate VPN e inicie o processo de login de lá.

  • Você pode usar os Meus Aplicativos da Microsoft. Quando você seleciona o bloco VPN FortiGate em Meus Aplicativos, essa opção redireciona para a URL de Logon de VPN do FortiGate. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Conteúdo relacionado

Depois de configurar a VPN FortiGate, você poderá impor o controle Session, que protege contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão se estende a partir do Acesso Condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.