Självstudie: Microsoft Entra SSO-integrering med FortiGate SSL VPN

  • Artikel

I den här självstudien får du lära dig hur du integrerar FortiGate SSL VPN med Microsoft Entra-ID. När du integrerar FortiGate SSL VPN med Microsoft Entra-ID kan du:

  • Använd Microsoft Entra-ID för att styra vem som har åtkomst till FortiGate SSL VPN.
  • Gör så att dina användare automatiskt loggas in på FortiGate SSL VPN med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats: Azure-portalen.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • Ett FortiGate SSL VPN med enkel inloggning (SSO) aktiverat.

Beskrivning av självstudie

I den här självstudien konfigurerar och testar du Enkel inloggning med Microsoft Entra i en testmiljö.

FortiGate SSL VPN stöder SP-initierad enkel inloggning.

För att konfigurera integreringen av FortiGate SSL VPN i Microsoft Entra-ID måste du lägga till FortiGate SSL VPN från galleriet i din lista över hanterade SaaS-appar:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet anger du FortiGate SSL VPN i sökrutan.
  4. Välj FortiGate SSL VPN i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för FortiGate SSL VPN

Du konfigurerar och testar Microsoft Entra SSO med FortiGate SSL VPN med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och motsvarande SAML SSO-användargrupp i FortiGate SSL VPN.

Om du vill konfigurera och testa Microsoft Entra SSO med FortiGate SSL VPN slutför du de här stegen på hög nivå:

  1. Konfigurera Enkel inloggning med Microsoft Entra för att aktivera funktionen för dina användare.
    1. Skapa en Microsoft Entra-testanvändare för att testa enkel inloggning med Microsoft Entra.
    2. Bevilja åtkomst till testanvändaren för att aktivera enkel inloggning med Microsoft Entra för den användaren.
  2. Konfigurera FortiGate SSL VPN SSO på programsidan.
    1. Skapa en FortiGate SAML SSO-användargrupp som motsvarighet till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning för att kontrollera att konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ dessa steg för att aktivera Enkel inloggning med Microsoft Entra i Azure-portalen:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Sidan för integrering av Identity>Applications>Enterprise-program>FortiGate SSL VPN-program i avsnittet Hantera och välj enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML väljer du knappen Redigera för Grundläggande SAML-konfiguration för att redigera inställningarna:

    Screenshot of showing Basic SAML configuration page.

  5. På sidan Konfigurera enkel inloggning med SAML anger du följande värden:

    a. I rutan Identifierare anger du en URL i mönstret https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    b. I rutan Svars-URL anger du en URL i mönstret https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    c. I rutan Inloggnings-URL anger du en URL i mönstret https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    d. I rutan Utloggnings-URL anger du en URL i mönstret https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Kommentar

    Dessa värden är bara mönster. Du måste använda den faktiska inloggnings-URL:en, identifieraren, svars-URL:en och utloggnings-URL:en som är konfigurerad på FortiGate.

  6. FortiGate SSL VPN-programmet förväntar sig SAML-intyg i ett specifikt format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen. I följande skärmbild visas listan över standardattribut.

    Screenshot of showing Attributes and Claims section.

  7. De anspråk som krävs av FortiGate SSL VPN visas i följande tabell. Namnen på dessa anspråk måste matcha namnen som används i kommandoradskonfigurationsavsnittet Perform FortiGate i den här självstudien. Namnen är skiftlägeskänsliga.

    Name Källattribut
    användarnamn user.userprincipalname
    grupp user.groups

    Så här skapar du följande ytterligare anspråk:

    a. Bredvid Användarattribut och anspråk väljer du Redigera.

    b. Välj Lägg till nytt anspråk.

    c. Som Namn anger du användarnamn.

    d. Som Källattribut väljer du user.userprincipalname.

    e. Välj Spara.

    Kommentar

    Användarattribut och anspråk tillåter endast ett gruppanspråk. Om du vill lägga till ett gruppanspråk tar du bort den befintliga gruppanspråksanvändaren.groups [SecurityGroup] som redan finns i anspråken för att lägga till det nya anspråket eller redigera det befintliga i Alla grupper.

    f. Välj Lägg till ett gruppanspråk.

    g. Välj Alla grupper.

    h. Under Avancerade alternativ markerar du kryssrutan Anpassa namnet på gruppanspråket .

    i. Som Namn anger du grupp.

    j. Välj Spara.

  8. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och väljer länken Ladda ned bredvid Certifikat (Base64) för att ladda ned certifikatet och spara det på datorn:

    Screenshot that shows the certificate download link.

  9. I avsnittet Konfigurera FortiGate SSL VPN kopierar du lämplig URL eller URL:er baserat på dina krav:

    Screenshot that shows the configuration URLs.

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Bläddra till Identitetsanvändare>>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Bevilja åtkomst till testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge användaren åtkomst till FortiGate SSL VPN.

  1. Bläddra till Identity>Applications Enterprise-program.>
  2. I programlistan väljer du FortiGate SSL VPN.
  3. På appens översiktssida går du till avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
  6. Om du förväntar dig något rollvärde i SAML-försäkran väljer du lämplig roll för användaren i listan i dialogrutan Välj roll . Klicka på knappen Välj längst ned på skärmen.
  7. I dialogrutan Lägg till tilldelning väljer du Tilldela.

Skapa en säkerhetsgrupp för testanvändaren

I det här avsnittet skapar du en säkerhetsgrupp i Microsoft Entra-ID för testanvändaren. FortiGate använder den här säkerhetsgruppen för att ge användaren nätverksåtkomst via VPN.

  1. I administrationscentret för Microsoft Entra går du till Identitetsgrupper>>Ny grupp.
  2. Slutför följande steg i egenskaperna Ny grupp :
    1. I listan Grupptyp väljer du Säkerhet.
    2. I rutan Gruppnamn anger du FortiGateAccess.
    3. I rutan Gruppbeskrivning anger du Grupp för att bevilja FortiGate VPN-åtkomst.
    4. För Microsoft Entra-rollerna kan tilldelas till inställningarna för gruppen (förhandsversion) väljer du Nej.
    5. I rutan Medlemskapstyp väljer du Tilldelad.
    6. Under Medlemmar väljer du Inga medlemmar har valts.
    7. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    8. Välj Skapa.
  3. När du är tillbaka i avsnittet Grupper i Microsoft Entra-ID letar du upp gruppen FortiGate-åtkomst och noterar objekt-ID:t. Du behöver det senare.

Konfigurera SSL VPN SSO för FortiGate

Ladda upp Base64 SAML-certifikatet till FortiGate-installationen

När du har slutfört SAML-konfigurationen av FortiGate-appen i klientorganisationen laddade du ned det Base64-kodade SAML-certifikatet. Du måste ladda upp det här certifikatet till FortiGate-installationen:

  1. Logga in på hanteringsportalen för din FortiGate-installation.
  2. I den vänstra rutan väljer du System.
  3. Under System väljer du Certifikat.
  4. Välj Importera>fjärrcertifikat.
  5. Bläddra till certifikatet som laddats ned från distributionen av FortiGate-appen i Azure-klientorganisationen, välj det och välj sedan OK.

När certifikatet har laddats upp noterar du namnet under Fjärrcertifikat för systemcertifikat>>. Som standard får den namnet REMOTE_Cert_N, där N är ett heltalsvärde.

Slutför konfigurationen av FortiGate-kommandoraden

Även om du kan konfigurera enkel inloggning från användargränssnittet sedan FortiOS 7.0 gäller CLI-konfigurationerna för alla versioner och visas därför här.

För att slutföra de här stegen behöver du de värden som du registrerade tidigare:

FortiGate SAML CLI-inställning Motsvarande Azure-konfiguration
SP-entitets-ID (entity-id) Identifierare (entitets-ID)
SP-url för enkel inloggning (single-sign-on-url) Svars-URL (URL för konsumenttjänst för försäkran)
URL för enkel utloggning för SP (single-logout-url) Utloggnings-URL
IdP-entitets-ID (idp-entity-id) Microsoft Entra-identifierare
URL för enkel inloggning med IdP (idp-single-sign-on-url) Url för Azure-inloggning
URL för enkel utloggning för IdP (idp-single-logout-url) Url för Azure-utloggning
IdP-certifikat (idp-cert) Base64 SAML-certifikatnamn (REMOTE_Cert_N)
Användarnamnattribut (user-name) användarnamn
Gruppnamnattribut (group-name) grupp

Kommentar

Inloggnings-URL:en under Grundläggande SAML-konfiguration används inte i FortiGate-konfigurationerna. Den används för att utlösa SP-initierad enkel inloggning för att omdirigera användaren till SSL VPN-portalsidan.

  1. Upprätta en SSH-session till din FortiGate-installation och logga in med ett FortiGate-administratörskonto.

  2. Kör dessa kommandon och ersätt <values> med den information som du samlade in tidigare:

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

Konfigurera FortiGate för gruppmatchning

I det här avsnittet konfigurerar du FortiGate för att identifiera objekt-ID:t för säkerhetsgruppen som innehåller testanvändaren. Den här konfigurationen gör att FortiGate kan fatta åtkomstbeslut baserat på gruppmedlemskapet.

För att slutföra de här stegen behöver du objekt-ID:t för säkerhetsgruppen FortiGateAccess som du skapade tidigare i den här självstudien.

  1. Upprätta en SSH-session till din FortiGate-installation och logga in med ett FortiGate-administratörskonto.

  2. Kör dessa kommandon:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

Skapa en FortiGate VPN-portaler och brandväggsprincip

I det här avsnittet konfigurerar du en FortiGate VPN-portal och brandväggsprincip som ger åtkomst till säkerhetsgruppen FortiGateAccess som du skapade tidigare i den här självstudien.

Mer information finns i Konfigurera SAML SSO-inloggning för SSL VPN med Microsoft Entra ID som fungerar som SAML IdP.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

  • I steg 5 i Azure SSO-konfigurationen, *Testa enkel inloggning med din app, klickar du på knappen Testa . Detta omdirigeras till FortiGate VPN-inloggnings-URL där du kan initiera inloggningsflödet.

  • Gå till FortiGate VPN-inloggnings-URL direkt och initiera inloggningsflödet därifrån.

  • Du kan använda Microsoft Mina appar. När du klickar på FortiGate VPN-panelen i Mina appar omdirigeras detta till FortiGate VPN-inloggnings-URL. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat FortiGate VPN kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.