A Hailbytes VPN hitelesítés beállítása
Bevezetés
Most, hogy beállította és konfigurálta a HailBytes VPN-t, elkezdheti felfedezni a HailBytes által kínált biztonsági funkciókat. Blogunkban megtekintheti a VPN beállítási utasításait és szolgáltatásait. Ebben a cikkben a HailBytes VPN által támogatott hitelesítési módszerekről és a hitelesítési módszer hozzáadásának módjáról lesz szó.
Áttekintés
A HailBytes VPN számos hitelesítési módszert kínál a hagyományos helyi hitelesítés mellett. A biztonsági kockázatok csökkentése érdekében javasoljuk a helyi hitelesítés letiltását. Ehelyett a többtényezős hitelesítést (MFA), az OpenID Connect vagy a SAML 2.0 használatát javasoljuk.
- Az MFA egy további biztonsági réteget ad a helyi hitelesítésen felül. A HailBytes VPN tartalmaz egy helyi beépített verziót és támogatja a külső MFA-t számos népszerű identitásszolgáltató, például az Okta, az Azure AD és a Onelogin számára.
- Az OpenID Connect egy OAuth 2.0 protokollra épülő identitásréteg. Biztonságos és szabványosított módot biztosít a hitelesítésre és a felhasználói adatok beszerzésére az identitásszolgáltatótól anélkül, hogy többször kellene bejelentkeznie.
- A SAML 2.0 egy XML-alapú nyílt szabvány a hitelesítési és engedélyezési információk felek közötti cseréjére. Lehetővé teszi a felhasználók számára, hogy egyszer hitelesítsenek egy identitásszolgáltatóval anélkül, hogy újból hitelesíteniük kellene a különböző alkalmazásokhoz.
OpenID Connect with Azure Setup
Ebben a részben röviden áttekintjük, hogyan integrálhatja identitásszolgáltatóját az OIDC többtényezős hitelesítés használatával. Ez az útmutató az Azure Active Directory használatára irányul. A különböző identitásszolgáltatók szokatlan konfigurációkkal és egyéb problémákkal szembesülhetnek.
- Javasoljuk, hogy használja a teljes mértékben támogatott és tesztelt szolgáltatók egyikét: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 és Google Workspace.
- Ha nem ajánlott OIDC-szolgáltatót használ, a következő konfigurációkra van szükség.
a) discovery_document_uri: Az OpenID Connect szolgáltató konfigurációs URI-je, amely egy JSON-dokumentumot ad vissza, amelyet az OIDC-szolgáltatónak küldött további kérések létrehozásához használnak. Egyes szolgáltatók ezt „jól ismert URL-nek” nevezik.
b) client_id: Az alkalmazás ügyfélazonosítója.
c) client_secret: Az alkalmazás ügyféltitka.
d) redirect_uri: Utasítja az OIDC szolgáltatót, hogy hova irányítson át hitelesítés után. Ez legyen az Ön Firezone EXTERNAL_URL + /auth/oidc/ /callback/, pl. https://firezone.example.com/auth/oidc/google/callback/.
e) válasz_típusa: Beállítás kódra.
f) hatókör: OIDC hatóköröket kell beszerezni az OIDC szolgáltatótól. A Firezone-nak legalább openid és e-mail hatókörre van szüksége.
g) címke: A Firezone portál bejelentkezési oldalán megjelenő gombcímke szövege.
- Keresse meg az Azure Active Directory oldalt az Azure Portalon. Válassza az Alkalmazásregisztrációk hivatkozást a Kezelés menüben, kattintson az Új regisztráció lehetőségre, és regisztráljon a következők megadása után:
a) Név: Firezone
b) Támogatott fióktípusok: (csak alapértelmezett címtár – egyetlen bérlő)
c) Átirányítási URI: Ez a Firezone EXTERNAL_URL + /auth/oidc/ /callback/, pl. https://firezone.example.com/auth/oidc/azure/callback/.
- A regisztráció után nyissa meg az alkalmazás részletes nézetét, és másolja ki az Alkalmazás (ügyfél) azonosítót. Ez lesz a client_id érték.
- Nyissa meg a végpontok menüt az OpenID Connect metaadat-dokumentumának lekéréséhez. Ez a discovery_document_uri érték lesz.
- Válassza a Tanúsítványok és titkok hivatkozást a Kezelés menüben, és hozzon létre egy új ügyféltitkot. Másolja ki az ügyfél titkát. Ez lesz a client_secret érték.
- Válassza az API-engedélyek hivatkozást a Kezelés menüben, kattintson az Engedély hozzáadása lehetőségre, és válassza a Microsoft Graph lehetőséget. Adjon hozzá e-mailt, openid-t, offline_access-t és profilt a szükséges engedélyekhez.
- Keresse meg a /settings/security oldalt az adminisztrációs portálon, kattintson az „OpenID Connect Provider hozzáadása” elemre, és adja meg a fenti lépések során kapott adatokat.
- Engedélyezze vagy tiltsa le a Felhasználók automatikus létrehozása lehetőséget, hogy automatikusan létrehozzon egy nem jogosult felhasználót, amikor bejelentkezik ezen a hitelesítési mechanizmuson keresztül.
Gratulálunk! Látnia kell egy Bejelentkezés az Azure-val gombnak a bejelentkezési oldalon.
Következtetés
A HailBytes VPN számos hitelesítési módszert kínál, beleértve a többtényezős hitelesítést, az OpenID Connectet és a SAML 2.0-t. Az OpenID Connect és az Azure Active Directory a cikkben bemutatott integrálásával a munkaerő kényelmesen és biztonságosan hozzáférhet a felhőben vagy az AWS-ben lévő erőforrásokhoz.