Ինչպես կարգավորել Hailbytes VPN նույնականացումը
ներածություն
Այժմ, երբ դուք ունեք HailBytes VPN-ի կարգավորում և կազմաձևում, կարող եք սկսել ուսումնասիրել HailBytes-ի առաջարկած անվտանգության որոշ առանձնահատկություններ: Դուք կարող եք ստուգել մեր բլոգը VPN-ի տեղադրման հրահանգների և առանձնահատկությունների համար: Այս հոդվածում մենք կանդրադառնանք HailBytes VPN-ի կողմից աջակցվող նույնականացման մեթոդներին և ինչպես ավելացնել նույնականացման մեթոդ:
Overview
HailBytes VPN-ն առաջարկում է նույնականացման մի քանի մեթոդներ, բացի ավանդական տեղական նույնականացումից: Անվտանգության ռիսկերը նվազեցնելու համար խորհուրդ ենք տալիս անջատել տեղական նույնականացումը: Փոխարենը խորհուրդ ենք տալիս բազմագործոն նույնականացում (MFA), OpenID Connect կամ SAML 2.0:
- MFA-ն ավելացնում է անվտանգության լրացուցիչ շերտ՝ տեղային նույնականացման վերևում: HailBytes VPN-ը ներառում է տեղական ներկառուցված տարբերակներ և աջակցություն արտաքին ԱԳՆ-ի համար ինքնության հայտնի մատակարարների համար, ինչպիսիք են Okta-ն, Azure AD-ն և Onelogin-ը:
- OpenID Connect-ը ինքնության շերտ է, որը կառուցված է OAuth 2.0 արձանագրության վրա: Այն ապահովում է անվտանգ և ստանդարտացված միջոց՝ նույնականացման և ինքնության մատակարարից օգտվողի տեղեկությունները ստանալու համար՝ առանց մի քանի անգամ մուտք գործելու:
- SAML 2.0-ը XML-ի վրա հիմնված բաց ստանդարտ է՝ կողմերի միջև նույնականացման և թույլտվության տեղեկատվության փոխանակման համար: Այն թույլ է տալիս օգտատերերին մեկ անգամ նույնականացնել նույնականացման մատակարարի հետ՝ առանց նորից նույնականացման՝ տարբեր հավելվածներ մուտք գործելու համար:
OpenID Միացեք Azure Set-ի հետ
Այս բաժնում մենք հակիրճ կանդրադառնանք, թե ինչպես կարելի է ինտեգրել ձեր ինքնության մատակարարին՝ օգտագործելով OIDC Multi-Factor Authentication-ը: Այս ուղեցույցը ուղղված է Azure Active Directory-ի օգտագործմանը: Նույնականացման տարբեր մատակարարներ կարող են ունենալ ոչ սովորական կոնֆիգուրացիաներ և այլ խնդիրներ:
- Խորհուրդ ենք տալիս օգտագործել այն մատակարարներից մեկը, որն ամբողջությամբ աջակցվել և փորձարկվել է՝ Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 և Google Workspace:
- Եթե դուք չեք օգտագործում առաջարկվող OIDC մատակարար, ապա պահանջվում են հետևյալ կազմաձևերը:
ա) Discovery_document_uri. OpenID Connect մատակարարի կազմաձևման URI-ն, որը վերադարձնում է JSON փաստաթուղթ, որն օգտագործվում է այս OIDC մատակարարին հետագա հարցումներ ստեղծելու համար: Որոշ մատակարարներ դա անվանում են «հայտնի URL»:
բ) client_id. հավելվածի հաճախորդի ID-ն:
գ) client_secret. հավելվածի հաճախորդի գաղտնիքը:
դ) redirect_uri. հրահանգում է OIDC մատակարարին, թե ուր վերահղել նույնականացումից հետո: Սա պետք է լինի ձեր Firezone EXTERNAL_URL + /auth/oidc/ /callback/, օրինակ՝ https://firezone.example.com/auth/oidc/google/callback/:
ե) answer_type. Սահմանել կոդը:
զ) շրջանակը. OIDC-ի շրջանակները ձեռք բերելու ձեր OIDC մատակարարից: Նվազագույնը Firezone-ն պահանջում է բաց և էլփոստի շրջանակներ:
է) պիտակ. Firezone պորտալի մուտքի էջում ցուցադրված կոճակի պիտակի տեքստը:
- Նավարկեք դեպի Azure Active Directory էջը Azure պորտալում: Կառավարեք ցանկի տակ ընտրեք Հավելվածի գրանցումների հղումը, սեղմեք Նոր գրանցում և գրանցվեք հետևյալը մուտքագրելուց հետո.
ա) Անունը՝ Firezone
բ) Աջակցվող հաշվի տեսակները. (միայն լռելյայն գրացուցակ – Մեկ վարձակալ)
գ) Վերահղման URI. սա պետք է լինի ձեր Firezone EXTERNAL_URL + /auth/oidc/ /callback/, օրինակ՝ https://firezone.example.com/auth/oidc/azure/callback/:
- Գրանցվելուց հետո բացեք հավելվածի մանրամասների տեսքը և պատճենեք Դիմումի (հաճախորդի) ID-ն: Սա կլինի client_id արժեքը:
- Բացեք վերջնակետերի ընտրացանկը՝ OpenID Connect մետատվյալների փաստաթուղթը ստանալու համար: Սա կլինի discovery_document_uri արժեքը:
- Ընտրեք «Վկայականներ և գաղտնիքներ» հղումը «Կառավարել» ցանկի տակ և ստեղծեք նոր հաճախորդի գաղտնիք: Պատճենեք հաճախորդի գաղտնիքը: Սա կլինի client_secret արժեքը:
- Ընտրեք API-ի թույլտվությունների հղումը «Կառավարել» ընտրացանկի տակ, սեղմեք «Ավելացնել թույլտվություն» և ընտրեք «Microsoft Graph»: Պահանջվող թույլտվություններին ավելացրեք էլ.փոստ, openid, offline_access և պրոֆիլ:
- Նավարկեք ադմինիստրատորի պորտալի /կայանքներ/անվտանգության էջը, սեղմեք «Ավելացնել OpenID Connect Provider» և մուտքագրեք վերը նշված քայլերում ստացված մանրամասները:
- Միացնել կամ անջատել «Ավտոմատ ստեղծել օգտվողներ» տարբերակը՝ այս նույնականացման մեխանիզմով մուտք գործելիս ինքնաբերաբար ստեղծելու արտոնյալ օգտատեր:
Շնորհավորում եմ: Դուք պետք է տեսնեք A Sign In with Azure կոճակը ձեր մուտքի էջում:
Եզրափակում
HailBytes VPN-ն առաջարկում է նույնականացման մի շարք մեթոդներ, այդ թվում՝ բազմագործոն նույնականացում, OpenID Connect և SAML 2.0: Ինտեգրելով OpenID Connect-ը Azure Active Directory-ի հետ, ինչպես ցույց է տրված հոդվածում, ձեր աշխատուժը կարող է հարմարավետ և ապահով կերպով մուտք գործել ձեր ռեսուրսները Cloud-ում կամ AWS-ում: