Поделиться через

Интеграция службы единого входа (SSO) Microsoft Entra с FortiGate SSL VPN

  • Статья

Из этой статьи вы узнаете, как интегрировать SSL-VPN FortiGate с идентификатором Microsoft Entra. Когда вы интегрируете FortiGate SSL VPN с Microsoft Entra ID, вы можете:

  • Используйте идентификатор Microsoft Entra для управления доступом к VPN FortiGate SSL.
  • Включите автоматический вход пользователей в VPN FortiGate SSL с помощью учетных записей Microsoft Entra.
  • Централизованное управление учетными записями через портал Azure.

Предпосылки

Чтобы приступить к работе, вам потребуется следующее:

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • VPN-подключение FortiGate SSL с поддержкой единого входа.

Описание статьи

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

VPN FortiGate SSL поддерживает SSO, инициированный поставщиком услуг.

Чтобы настроить интеграцию SSL-vpn FortiGate с идентификатором Microsoft Entra ID, необходимо добавить VPN FortiGate из коллекции в список управляемых приложений SaaS:

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.
  2. Перейдите в раздел Идентификация>Приложения>Корпоративные приложения>Новое приложение.
  3. В разделе "Добавление из коллекции" введите VPN FortiGate SSL в поле поиска.
  4. Выберите VPN FortiGate SSL на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш арендный объект.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка Microsoft Entra SSO для FortiGate SSL VPN

Вы будете настраивать и тестировать единый вход Microsoft Entra в FortiGate SSL VPN с помощью тестового пользователя по имени B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующей группой пользователей единого входа SAML в FORtiGate SSL VPN.

Чтобы настроить и проверить единый вход Microsoft Entra в FortiGate SSL VPN, выполните следующие высокоуровневые действия.

  1. Настройте единый вход Microsoft Entra , чтобы включить функцию для пользователей.
    1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra.
    2. Предоставьте пользователю-тестировщику доступ, чтобы включить единый вход Microsoft Entra для этого пользователя.
  2. Настройте SSO для SSL VPN FortiGate на стороне приложения.
    1. Создайте группу пользователей SAML SAML SSO в качестве аналога представления Microsoft Entra пользователя.
  3. Тестирование SSO, чтобы убедиться, что конфигурация работает.

Настройте SSO в Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra в портал Azure:

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

  2. Перейдите на страницу интеграции приложения Identity>Applications>Enterprise applications>FortiGate SSL VPN, в разделе Управление выберите единый вход.

  3. На странице Выбор метода единого входа выберите SAML.

  4. На странице "Настройка одной Sign-On с помощью SAML" нажмите кнопку "Изменить " для базовой конфигурации SAML , чтобы изменить параметры:

    Снимок экрана: страница

  5. На странице "Настройка Single Sign-On с помощью SAML" введите следующие значения:

    a. В поле "Идентификатор" введите URL-адрес в шаблоне https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    б. В поле URL-адрес ответа введите URL-адрес в шаблоне https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    с. В поле URL-адреса входа введите URL-адрес в шаблоне https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    д. Введите URL-адрес в поле URL выхода по шаблону https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Примечание.

    Эти значения являются просто шаблонами. Необходимо использовать фактический URL-адрес входа, идентификатор, URL-адрес ответа иURL-адрес выхода, настроенный в FortiGate. Служба поддержки FortiGate должна предоставлять правильные значения для среды.

  6. Приложение FortiGate SSL VPN ожидает получения утверждений SAML в определенном формате, что требует добавления настроек сопоставления атрибутов в конфигурацию. На следующем снимке экрана показан список атрибутов по умолчанию.

    Снимок экрана: раздел

  7. В следующей таблице показаны требования, предъявляемые к FortiGate SSL VPN. Имена этих утверждений должны соответствовать именам, используемым в разделе конфигурации командной строки Perform FortiGate этой статьи. В именах учитывается регистр.

    Имя Атрибут источника
    имя пользователя ИмяПользователя.ОсновноеИмяПользователя
    группа группы пользователей

    Чтобы создать эти дополнительные утверждения, выполните следующие действия.

    a. Рядом с атрибутами пользователя и утверждениями нажмите кнопку "Изменить".

    б. Выберите Добавить новое утверждение.

    с. В поле "Имя" введите имя пользователя.

    д. Для исходного атрибута выберите user.userprincipalname.

    д) Выберите Сохранить.

    Примечание.

    Пользовательские атрибуты и утверждения разрешают только одно групповое утверждение. Чтобы добавить утверждение группы, удалите существующее утверждение user.groups [SecurityGroup], уже содержащееся в утверждениях, чтобы добавить новое утверждение, или измените существующее утверждение на все группы.

    е) Выберите Добавить утверждение о группе.

    ж. Выберите Все группы.

    х. В разделе Расширенные параметры, установите флажок Настройте название утверждения группы.

    и. В поле "Имя" введите группу.

    ж. Выберите Сохранить.

  8. На странице "Настройка одного Sign-On с помощью SAML" в разделе "Сертификат подписи SAML" выберите ссылку "Скачать" рядом с Сертификатом (Base64) для загрузки сертификата и сохраните его на компьютере.

    Снимок экрана: ссылка на скачивание сертификата.

  9. В разделе Настройка FortiGate SSL VPN скопируйте соответствующий URL-адрес или URL-адреса в зависимости от ваших требований.

    Снимок экрана: URL-адреса конфигурации.

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Авторизуйтесь в Центре администрирования Microsoft Entra как минимум в роли Администратора пользователей.
  2. Перейдите в раздел Идентичность>Пользователи>Все пользователи.
  3. Выберите Создать пользователя>Создать нового пользователяв верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле Основное имя пользователя введите [email protected]. Например: [email protected].
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create.
  5. Выберите Создать.

Предоставление доступа тестового пользователя

В этом разделе описано, как разрешить B.Simon использовать единый вход, предоставив этому пользователю доступ к VPN FortiGate SSL.

  1. Перейдите к Identity>Приложения>Корпоративные приложения.
  2. В списке приложений выберите VPN FortiGate SSL.
  3. На странице обзора приложения в разделе "Управление " выберите "Пользователи и группы".
  4. Выберите " Добавить пользователя", а затем выберите "Пользователи и группы " в диалоговом окне "Добавление назначения ".
  5. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем нажмите кнопку Выбрать в нижней части экрана.
  6. Если в утверждении SAML ожидается какое-либо значение роли, в диалоговом окне Выбор роли выберите соответствующую роль пользователя из списка. Нажмите кнопку Выбрать в нижней части экрана.
  7. В диалоговом окне Добавление назначения выберите Назначить.

Создание группы безопасности для тестового пользователя

В этом разделе описано, как создать группу безопасности в идентификаторе Microsoft Entra для тестового пользователя. FortiGate использует эту группу безопасности для предоставления доступа к сети пользователя через VPN.

  1. В Центре администрирования Microsoft Entra перейдите в Удостоверения>Группы>Новая группа.
  2. В свойствах новой группы выполните следующие действия:
    1. В списке Тип группы выберите Безопасность.
    2. В поле "Имя группы" введите FortiGateAccess.
    3. В поле описания группы введите группу для предоставления VPN-доступа FortiGate.
    4. Для настройки Назначение ролей Microsoft Entra группе (предварительная версия) выберите Нет.
    5. В поле "Тип членства" выберите "Назначено".
    6. В разделе «Участники» выберите «Нет выбранных участников».
    7. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи " и нажмите кнопку "Выбрать " в нижней части экрана.
    8. Выберите Создать.
  3. После возвращения в раздел "Группы" в идентификаторе Microsoft Entra найдите группу FortiGate Access и запишите идентификатор объекта. Вам потребуется позже.

Настройка функции единого входа FortiGate SSL VPN

Отправка сертификата SAML Base64 на устройство FortiGate

После завершения настройки SAML приложения FortiGate в клиенте вы скачали сертификат SAML с кодировкой Base64. Этот сертификат необходимо передать на устройство FortiGate:

  1. Войдите на портал управления устройства FortiGate.
  2. В левой области выберите "Система".
  3. В разделе "Система" выберите "Сертификаты".
  4. Выберите Импорт>Удаленный сертификат.
  5. Перейдите к сертификату, скачанном из развертывания приложения FortiGate в клиенте Azure, выберите его и нажмите кнопку "ОК".

После загрузки сертификата, запишите его имя в разделе Система>Сертификаты>Удаленный сертификат. По умолчанию он называется REMOTE_Cert_N, где N — целочисленное значение.

Полная конфигурация командной строки FortiGate

Хотя вы можете настроить единый вход из графического интерфейса с fortiOS 7.0, конфигурации CLI применяются ко всем версиям и поэтому показаны здесь.

Чтобы выполнить следующие действия, вам потребуются значения, записанные ранее:

Параметр настройки SAML CLI FortiGate Эквивалентная конфигурация Azure
Идентификатор сущности SP (entity-id) Идентификатор (идентификатор сущности)
URL единого входа SP (single-sign-on-url) URL-адрес ответа (URL-адрес службы обработки утверждений)
URL-адрес для единого выхода из системы (SP) (single-logout-url) URL-адрес выхода
Идентификатор сущности IdP (idp-entity-id) Идентификатор Microsoft Entra
URL-адрес единого входа IdP (idp-single-sign-on-url) URL-адрес для входа в Azure
URL-адрес единого выхода из поставщика удостоверений (idp-single-logout-url) URL выхода из Azure
Сертификат поставщика удостоверений (idp-cert) Имя сертификата Base64 SAML (REMOTE_Cert_N)
Атрибут имени пользователя (user-name) имя пользователя
Атрибут имени группы (group-name) группа

Примечание.

URL-адрес входа в базовой конфигурации SAML не используется в конфигурациях FortiGate. Он используется для активации единого входа, инициированного поставщиком служб, для перенаправления пользователя на страницу VPN-портала SSL.

  1. Установите сеанс SSH на устройстве FortiGate и войдите с помощью учетной записи администратора FortiGate.

  2. Выполните следующие команды и замените <values> на сведения, собранные ранее.

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

Настройка FortiGate для сопоставления групп

В этом разделе описана настройка FortiGate для распознавания идентификатора объекта группы безопасности, включающей тестового пользователя. Эта конфигурация позволяет FortiGate принимать решения о доступе на основе членства в группе.

Чтобы выполнить эти действия, вам потребуется идентификатор объекта группы безопасности FortiGateAccess, созданной ранее в этой статье.

  1. Установите сеанс SSH на устройстве FortiGate и войдите с помощью учетной записи администратора FortiGate.

  2. Выполните следующие команды:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

Создание VPN-порталов FortiGate и политики брандмауэра

В этом разделе описана настройка VPN-порталов FortiGate и политики брандмауэра, которая предоставляет доступ к группе безопасности FortiGateAccess, созданной ранее в этой статье.

Инструкции см. в статье о настройке единого входа SAML для SSL VPN с идентификатором Microsoft Entra ID, выступающего в качестве поставщика удостоверений SAML.

Тестирование SSO

В этом разделе вы проверяете свою конфигурацию единого входа Microsoft Entra, используя следующие опции.

  • На шаге 5) конфигурации единого входа Azure *Проверка единого входа в приложение нажмите кнопку "Тест ". этот параметр перенаправляется по URL-адресу для входа в FortiGate, где можно инициировать поток входа.

  • Перейдите по URL-адресу для входа в FortiGate и инициируйте поток входа.

  • Вы можете использовать Microsoft My Apps. При выборе плитки VPN FortiGate в разделе "Мои приложения" этот параметр перенаправляется по URL-адресу для входа в FortiGate VPN. Дополнительные сведения о моих приложениях см. в разделе Введение в"Мои приложения".

Связанный контент

После настройки VPN FortiGate вы можете применить функцию управления сеансом, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансами выходит за рамки условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.