Aracılığıyla paylaş

Öğretici: FortiGate SSL VPN ile Microsoft Entra SSO tümleştirmesi

  • Makale

Bu öğreticide FortiGate SSL VPN'i Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. FortiGate SSL VPN'i Microsoft Entra Id ile tümleştirdiğinizde şunları yapabilirsiniz:

  • FortiGate SSL VPN'e kimlerin erişebileceğini denetlemek için Microsoft Entra Id kullanın.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla FortiGate SSL VPN'de otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin: Azure portalı.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • Çoklu oturum açma (SSO) etkin bir FortiGate SSL VPN'i.

Öğretici açıklaması

Bu öğreticide Microsoft Entra SSO'sunu bir test ortamında yapılandıracak ve test edin.

FortiGate SSL VPN, SP tarafından başlatılan SSO'ları destekler.

FortiGate SSL VPN'in Microsoft Entra Id ile tümleştirilmesini yapılandırmak için galeriden FortiGate SSL VPN'i yönetilen SaaS uygulamaları listenize eklemeniz gerekir:

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna FortiGate SSL VPN yazın.
  4. Sonuçlar panelinde Ssl VPN'i FortiGate'i seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

FortiGate SSL VPN için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısı kullanarak Microsoft Entra SSO'larını FortiGate SSL VPN ile yapılandırıp test edin. SSO'nun çalışması için Bir Microsoft Entra kullanıcısı ile FortiGate SSL VPN'deki ilgili SAML SSO kullanıcı grubu arasında bir bağlantı ilişkisi kurmanız gerekir.

Microsoft Entra SSO'u FortiGate SSL VPN ile yapılandırmak ve test etmek için şu üst düzey adımları tamamlayacaksınız:

  1. Microsoft Entra SSO'yı , özelliği kullanıcılarınız için etkinleştirecek şekilde yapılandırın.
    1. Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. Bu kullanıcı için Microsoft Entra çoklu oturum açmayı etkinleştirmek için test kullanıcısına erişim izni verin.
  2. Uygulama tarafında FortiGate SSL VPN SSO'sunu yapılandırın.
    1. Kullanıcının Microsoft Entra gösterimine karşılık gelen bir FortiGate SAML SSO kullanıcı grubu oluşturun.
  3. Yapılandırmanın çalıştığını doğrulamak için SSO'yı test edin.

Microsoft Entra SSO'sını yapılandırma

Azure portalında Microsoft Entra SSO'nun etkinleştirilmesi için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>FortiGate SSL VPN uygulaması tümleştirme sayfasına gidin, Yönet bölümünde çoklu oturum açmayı seçin.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. Ayarları düzenlemek için SAML ile Çoklu Oturum Açmayı Ayarla sayfasında, Temel SAML Yapılandırması için Düzenle düğmesini seçin:

    Screenshot of showing Basic SAML configuration page.

  5. SAML ile Çoklu Oturum Açmayı Ayarla sayfasında aşağıdaki değerleri girin:

    a. Tanımlayıcı kutusuna desenine https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadatabir URL girin.

    b. Yanıt URL'si kutusuna desenine https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/loginbir URL girin.

    c. Oturum açma URL'si kutusuna desenine https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/loginbir URL girin.

    d. Oturumu Kapatma URL'si kutusuna desenine https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logoutbir URL girin.

    Dekont

    Bu değerler yalnızca desenlerdir. FortiGate'te yapılandırılan gerçek Oturum Açma URL'sini, Tanımlayıcıyı, Yanıt URL'sini ve Oturumu Kapatma URL'sini kullanmanız gerekir.

  6. FortiGate SSL VPN uygulaması, SAML onaylarını belirli bir biçimde bekler ve bu da yapılandırmaya özel öznitelik eşlemeleri eklemenizi gerektirir. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir.

    Screenshot of showing Attributes and Claims section.

  7. FortiGate SSL VPN için gereken talepler aşağıdaki tabloda gösterilmiştir. Bu taleplerin adları, bu öğreticinin FortiGate komut satırı yapılandırmasını gerçekleştir bölümünde kullanılan adlarla eşleşmelidir. Adlar büyük/küçük harfe duyarlıdır.

    Adı Kaynak özniteliği
    username user.userprincipalname
    group user.groups

    Bu ek talepleri oluşturmak için:

    a. Kullanıcı Öznitelikleri ve Talepler'in yanında Düzenle'yi seçin.

    b. Yeni talep ekle'yi seçin.

    c. Ad alanına kullanıcı adı girin.

    d. Kaynak özniteliği için user.userprincipalname öğesini seçin.

    e. Kaydet'i seçin.

    Dekont

    Kullanıcı Öznitelikleri ve Talepleri yalnızca bir grup talebine izin verir. Grup talebi eklemek için, taleplerde zaten mevcut olan user.groups [SecurityGroup] adlı mevcut grup beyanını silip yeni talebi ekleyin veya var olan talebi Tüm gruplar'a düzenleyin.

    f. Grup talebi ekle'yi seçin.

    r. Tüm uygulamalar’ı seçin.

    h. Gelişmiş seçenekler'in altında, Grup talebi adını özelleştir onay kutusunu seçin.

    i. Ad alanına group girin.

    j. Kaydet'i seçin.

  8. Sertifikayı indirmek ve bilgisayarınıza kaydetmek için SAML ile Çoklu Oturum Açmayı Ayarla sayfasındaki SAML İmzalama Sertifikası bölümünde Sertifika (Base64) öğesinin yanındaki İndir bağlantısını seçin:

    Screenshot that shows the certificate download link.

  9. FortiGate SSL VPN'sini Ayarlama bölümünde, gereksinimlerinize göre uygun URL'yi veya URL'leri kopyalayın:

    Screenshot that shows the configuration URLs.

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcıları Tüm kullanıcılar'a> göz atın.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur’u seçin.

Test kullanıcısına erişim izni verme

Bu bölümde, bu kullanıcıya FortiGate SSL VPN erişimi vererek B.Simon'un çoklu oturum açmayı kullanmasını sağlayacaksınız.

  1. Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.
  2. Uygulamalar listesinde Ssl VPN'i FortiGate'i seçin.
  3. Uygulamanın genel bakış sayfasındaki Yönet bölümünde Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.
  5. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinde B.Simon'ı seçin ve ardından ekranın en altındaki Seç düğmesine tıklayın.
  6. SAML onayında herhangi bir rol değeri bekliyorsanız Rol Seç iletişim kutusunda, listeden kullanıcı için uygun rolü seçin. Ekranın alt kısmındaki Seç düğmesine tıklayın.
  7. Atama Ekle iletişim kutusunda Ata'yı seçin.

Test kullanıcısı için güvenlik grubu oluşturma

Bu bölümde, test kullanıcısı için Microsoft Entra Id'de bir güvenlik grubu oluşturacaksınız. FortiGate, kullanıcıya VPN üzerinden ağ erişimi vermek için bu güvenlik grubunu kullanır.

  1. Microsoft Entra yönetim merkezinde Kimlik>Grupları>Yeni grubu'na gidin.
  2. Yeni Grup özelliklerinde şu adımları tamamlayın:
    1. Grup türü listesinde Güvenlik'i seçin.
    2. Grup adı kutusuna FortiGateAccess girin.
    3. Grup açıklaması kutusuna FortiGate VPN erişimi vermek için Grup yazın.
    4. Microsoft Entra rolleri grup (Önizleme) ayarlarına atanabilir için Hayır'ı seçin.
    5. Üyelik türü kutusunda Atanan'ı seçin.
    6. Üyeler'in altında Üye seçilmedi'yi seçin.
    7. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin ve ardından ekranın en altındaki Seç düğmesine tıklayın.
    8. Oluştur’u seçin.
  3. Microsoft Entra Id'deki Gruplar bölümüne geri döndükten sonra FortiGate Erişim grubunu bulun ve Nesne Kimliği'ni not edin. Daha sonra ihtiyacınız olacak.

FortiGate SSL VPN SSO'sını yapılandırma

Base64 SAML Sertifikasını FortiGate aletine yükleme

Kiracınızda FortiGate uygulamasının SAML yapılandırmasını tamamladıktan sonra Base64 kodlamalı SAML sertifikasını indirmişsinizdir. Bu sertifikayı FortiGate aletine yüklemeniz gerekir:

  1. FortiGate gerecinizin yönetim portalında oturum açın.
  2. Sol bölmede Sistem'i seçin.
  3. Sistem'in altında Sertifikalar'ı seçin.
  4. Uzak Sertifikayı İçeri Aktar'ı>seçin.
  5. Azure kiracısında FortiGate uygulama dağıtımından indirilen sertifikaya göz atın, sertifikayı seçin ve ardından Tamam'ı seçin.

Sertifika karşıya yüklendikten sonra Sistem>Sertifikaları Uzak Sertifikası> altında adını not edin. Varsayılan olarak, REMOTE_Cert_N olarak adlandırılır; burada N bir tamsayı değeridir.

FortiGate komut satırı yapılandırmasını tamamlama

FortiOS 7.0'dan bu yana GUI'den SSO yapılandırabilirsiniz ancak CLI yapılandırmaları tüm sürümler için geçerlidir ve bu nedenle burada gösterilir.

Bu adımları tamamlamak için daha önce kaydettiğiniz değerler gerekir:

FortiGate SAML CLI ayarı Eşdeğer Azure yapılandırması
SP varlık kimliği (entity-id) Tanımlayıcı (Varlık Kimliği)
SP Çoklu Oturum Açma URL'si (single-sign-on-url) Yanıt URL'si (Onay Tüketici Hizmeti URL'si)
SP Tek Oturum Kapatma URL'si (single-logout-url) Oturum Kapatma URL’si
IdP Varlık Kimliği (idp-entity-id) Microsoft Entra Tanımlayıcısı
IdP Çoklu Oturum Açma URL'si (idp-single-sign-on-url) Azure Oturum Açma URL'si
IdP Tek Oturum Kapatma URL'si (idp-single-logout-url) Azure Oturumu Kapatma URL'si
IdP sertifikası (idp-cert) Base64 SAML sertifika adı (REMOTE_Cert_N)
Kullanıcı adı özniteliği (user-name) username
Grup adı özniteliği (group-name) group

Dekont

Temel SAML Yapılandırması altındaki Oturum Açma URL'si FortiGate yapılandırmalarında kullanılmaz. Kullanıcıyı SSL VPN portalı sayfasına yönlendirmek için SP ile başlatılan çoklu oturum açmayı tetikleme amacıyla kullanılır.

  1. FortiGate gerecinizde bir SSH oturumu oluşturun ve fortiGate Yönetici istrator hesabıyla oturum açın.

  2. Bu komutları çalıştırın ve yerine <values> daha önce topladığınız bilgileri yazın:

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

FortiGate'i grup eşleştirme için yapılandırma

Bu bölümde FortiGate'i test kullanıcısını içeren güvenlik grubunun Nesne Kimliğini tanıyacak şekilde yapılandıracaksınız. Bu yapılandırma FortiGate'in grup üyeliğine göre erişim kararları vermesine olanak tanır.

Bu adımları tamamlamak için, bu öğreticinin önceki bölümlerinde oluşturduğunuz FortiGateAccess güvenlik grubunun Nesne Kimliği gerekir.

  1. FortiGate gerecinizde bir SSH oturumu oluşturun ve fortiGate Yönetici istrator hesabıyla oturum açın.

  2. Şu komutları çalıştırın:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

FortiGate VPN Portalları ve Güvenlik Duvarı İlkesi Oluşturma

Bu bölümde, bu öğreticinin önceki bölümlerinde oluşturduğunuz FortiGateAccess güvenlik grubuna erişim izni veren bir FortiGate VPN Portalları ve Güvenlik Duvarı İlkesi yapılandıracaksınız.

Yönergeler için SAML IdP olarak davranan Microsoft Entra ID ile SSL VPN için SAML SSO oturum açma bilgilerini yapılandırma bölümüne bakın.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

  • Azure SSO yapılandırmasının 5. Adımında *Uygulamanızla çoklu oturum açmayı test edin, Test düğmesine tıklayın. Bu, oturum açma akışını başlatabileceğiniz FortiGate VPN Oturum Açma URL'sine yönlendirilir.

  • Doğrudan FortiGate VPN Oturum Açma URL'sine gidin ve buradan oturum açma akışını başlatın.

  • Microsoft Uygulamalarım kullanabilirsiniz. Uygulamalarım FortiGate VPN kutucuğuna tıkladığınızda bu, FortiGate VPN Oturum Açma URL'sine yönlendirilir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

FortiGate VPN'i yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan Oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.