Как настроить аутентификацию Hailbytes VPN
Введение
Теперь, когда вы установили и настроили HailBytes VPN, вы можете приступить к изучению некоторых функций безопасности, которые может предложить HailBytes. Инструкции по настройке и функциям VPN можно найти в нашем блоге. В этой статье мы расскажем о методах аутентификации, поддерживаемых HailBytes VPN, и о том, как добавить метод аутентификации.
Обзор
HailBytes VPN предлагает несколько методов аутентификации помимо традиционной локальной аутентификации. Чтобы снизить риски безопасности, мы рекомендуем отключить локальную аутентификацию. Вместо этого мы рекомендуем многофакторную аутентификацию (MFA), OpenID Connect или SAML 2.0.
- MFA добавляет дополнительный уровень безопасности поверх локальной проверки подлинности. HailBytes VPN включает в себя локальные встроенные версии и поддержку внешнего MFA для многих популярных поставщиков удостоверений, таких как Okta, Azure AD и Onelogin.
- OpenID Connect — это уровень идентификации, построенный на протоколе OAuth 2.0. Он обеспечивает безопасный и стандартизированный способ аутентификации и получения информации о пользователе от поставщика удостоверений без необходимости многократного входа в систему.
- SAML 2.0 — это открытый стандарт на основе XML для обмена информацией об аутентификации и авторизации между сторонами. Это позволяет пользователям один раз пройти аутентификацию у поставщика удостоверений без повторной аутентификации для доступа к различным приложениям.
OpenID Connect Connect с настройкой Azure
В этом разделе мы кратко рассмотрим, как интегрировать вашего поставщика удостоверений с помощью многофакторной аутентификации OIDC. Это руководство предназначено для использования Azure Active Directory. Различные поставщики удостоверений могут иметь необычные конфигурации и другие проблемы.
- Мы рекомендуем использовать один из полностью поддерживаемых и протестированных поставщиков: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 и Google Workspace.
- Если вы не используете рекомендуемого поставщика OIDC, необходимы следующие конфигурации.
a) discovery_document_uri: URI конфигурации провайдера OpenID Connect, который возвращает документ JSON, используемый для построения последующих запросов к этому провайдеру OIDC. Некоторые провайдеры называют это «известным URL».
b) client_id: идентификатор клиента приложения.
c) client_secret: секрет клиента приложения.
d) redirect_uri: указывает провайдеру OIDC, куда перенаправить после аутентификации. Это должна быть ваша пожарная зона EXTERNAL_URL + /auth/oidc/ /callback/, например https://firezone.example.com/auth/oidc/google/callback/.
e) response_type: установить код.
f) область: области действия OIDC, которые необходимо получить у поставщика OIDC. Как минимум, для Firezone требуются области openid и email.
ж) метка: текст метки кнопки, отображаемый на странице входа в портал Firezone.
- Перейдите на страницу Azure Active Directory на портале Azure. Выберите ссылку «Регистрации приложений» в меню «Управление», нажмите «Новая регистрация» и зарегистрируйтесь, введя следующее:
а) Название: Firezone
b) Поддерживаемые типы учетных записей: (только каталог по умолчанию — один клиент)
c) URI перенаправления: это должна быть ваша пожарная зона EXTERNAL_URL + /auth/oidc/ /callback/, например https://firezone.example.com/auth/oidc/azure/callback/.
- После регистрации откройте представление сведений о приложении и скопируйте идентификатор приложения (клиента). Это будет значение client_id.
- Откройте меню конечных точек, чтобы получить документ метаданных OpenID Connect. Это будет значение discovery_document_uri.
- Выберите ссылку Сертификаты и секреты в меню Управление и создайте новый секрет клиента. Скопируйте секрет клиента. Это будет значение client_secret.
- Выберите ссылку разрешений API в меню «Управление», нажмите «Добавить разрешение» и выберите «Microsoft Graph». Добавьте электронную почту, openid, offline_access и профиль в необходимые разрешения.
- Перейдите на страницу /settings/security на портале администрирования, нажмите «Добавить провайдера OpenID Connect» и введите данные, полученные на предыдущих шагах.
- Включите или отключите параметр Автоматически создавать пользователей, чтобы автоматически создавать непривилегированного пользователя при входе с помощью этого механизма аутентификации.
Поздравляем! Вы должны увидеть кнопку Войти с помощью Azure на странице входа.
Заключение
HailBytes VPN предлагает различные методы аутентификации, включая многофакторную аутентификацию, OpenID Connect и SAML 2.0. Благодаря интеграции OpenID Connect с Azure Active Directory, как показано в статье, ваши сотрудники могут удобно и безопасно получать доступ к вашим ресурсам в облаке или AWS.
