Kif Twaqqaf l-Awtentikazzjoni VPN Hailbytes
introduzzjoni
Issa li għandek setup u kkonfigurat HailBytes VPN, tista 'tibda tesplora xi wħud mill-karatteristiċi ta' sigurtà li HailBytes għandha x'toffri. Tista 'tiċċekkja l-blog tagħna għal struzzjonijiet ta' setup u karatteristiċi għall-VPN. F'dan l-artikolu, se nkopru l-metodi ta 'awtentikazzjoni appoġġjati minn HailBytes VPN u kif iżżid metodu ta' awtentikazzjoni.
Ħarsa ġenerali
HailBytes VPN joffri diversi metodi ta 'awtentikazzjoni minbarra awtentikazzjoni lokali tradizzjonali. Biex tnaqqas ir-riskji tas-sigurtà, nirrakkomandaw li l-awtentikazzjoni lokali tiġi diżattivata. Minflok, nirrakkomandaw awtentikazzjoni b'ħafna fatturi (MFA), OpenID Connect, jew SAML 2.0.
- L-MFA żżid saff addizzjonali ta' sigurtà fuq l-awtentikazzjoni lokali. HailBytes VPN jinkludi verżjonijiet lokali integrati u appoġġ għal MFA esterna għal ħafna fornituri ta 'identità popolari bħal Okta, Azure AD, u Onelogin.
- OpenID Connect huwa saff ta 'identità mibni fuq protokoll OAuth 2.0. Jipprovdi mod sikur u standardizzat biex jawtentika u tinkiseb informazzjoni tal-utent minn fornitur tal-identità mingħajr ma jkollok bżonn tilloggja diversi drabi.
- SAML 2.0 huwa standard miftuħ ibbażat fuq XML għall-iskambju ta' informazzjoni ta' awtentikazzjoni u awtorizzazzjoni bejn il-partijiet. Jippermetti lill-utenti jawtentikaw darba ma' fornitur tal-identità mingħajr ma jkollhom għalfejn jerġgħu jawtentikaw biex ikollhom aċċess għal applikazzjonijiet differenti.
OpenID Qabbad ma' Azure Set up
F'din it-taqsima, se ngħaddu fil-qosor dwar kif nintegraw il-fornitur tal-identità tiegħek billi tuża l-Awtentikazzjoni Multi-Fatturi OIDC. Din il-gwida hija mmirata lejn l-użu ta’ Azure Active Directory. Fornituri ta' identità differenti jista' jkollhom konfigurazzjonijiet mhux komuni u kwistjonijiet oħra.
- Nirrakkomandaw li tuża wieħed mill-fornituri li ġie appoġġjat u ttestjat bis-sħiħ: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0, u Google Workspace.
- Jekk m'intix qed tuża fornitur OIDC rakkomandat, il-konfigurazzjonijiet li ġejjin huma meħtieġa.
a) discovery_document_uri: L-URI tal-konfigurazzjoni tal-fornitur tal-OpenID Connect li jirritorna dokument JSON użat biex jinbena talbiet sussegwenti lil dan il-fornitur OIDC. Xi fornituri jirreferu għal dan bħala l-"URL magħruf".
b) client_id: L-ID tal-klijent tal-applikazzjoni.
c) client_secret: Is-sigriet tal-klijent tal-applikazzjoni.
d) redirect_uri: Jagħti istruzzjonijiet lill-fornitur tal-OIDC fejn għandu jindirizza mill-ġdid wara l-awtentikazzjoni. Dan għandu jkun Firezone tiegħek EXTERNAL_URL + /auth/oidc/ /callback/, eż. https://firezone.example.com/auth/oidc/google/callback/.
e) response_type: Issettja għall-kodiċi.
f) ambitu: ambiti tal-OIDC li għandek tikseb mingħand il-fornitur tal-OIDC tiegħek. Bħala minimu, Firezone jeħtieġ l-iskopijiet openid u email.
g) tikketta: It-test tat-tikketta tal-buttuna murija fuq il-paġna tal-login tal-portal Firezone.
- Innaviga għall-paġna Azure Active Directory fuq il-portal Azure. Agħżel il-link tar-reġistrazzjonijiet tal-App taħt il-menu Immaniġġja, ikklikkja Reġistrazzjoni Ġdida, u rreġistra wara li ddaħħal dan li ġej:
a) Isem: Firezone
b) Tipi ta' kontijiet appoġġjati: (Direttorju Default biss – Inkwilin uniku)
c) Redirect URI: Dan għandu jkun Firezone EXTERNAL_URL tiegħek + /auth/oidc/ /callback/, eż. https://firezone.example.com/auth/oidc/azure/callback/.
- Wara li tirreġistra, iftaħ il-veduta tad-dettalji tal-applikazzjoni u kkopja l-ID tal-Applikazzjoni (klijent). Dan se jkun il-valur client_id.
- Iftaħ il-menu tal-endpoints biex tirkupra d-dokument tal-metadejta tal-OpenID Connect. Dan se jkun il-valur discovery_document_uri.
- Agħżel il-link Ċertifikati u sigrieti taħt il-menu Immaniġġja u oħloq sigriet ġdid tal-klijent. Ikkopja s-sigriet tal-klijent. Dan se jkun il-valur client_secret.
- Agħżel il-link tal-permessi tal-API taħt il-menu Immaniġġja, ikklikkja Żid permess, u agħżel Microsoft Graph. Żid email, openid, offline_access u profil mal-permessi meħtieġa.
- Innaviga lejn il-paġna /settings/security fil-portal tal-amministrazzjoni, ikklikkja “Żid il-Fornitur tal-Konnessjoni tal-OpenID” u daħħal id-dettalji li ksibt fil-passi ta’ hawn fuq.
- Ippermetti jew iddiżattiva l-għażla Awtomatiku Oħloq utenti biex toħloq awtomatikament utent mhux privileġġjat meta tidħol permezz ta' dan il-mekkaniżmu ta' awtentikazzjoni.
Prosit! Għandek tara l-buttuna A Sign In with Azure fuq il-paġna tas-sinjal tiegħek.
konklużjoni
HailBytes VPN joffri varjetà ta 'metodi ta' awtentikazzjoni, inklużi awtentikazzjoni b'ħafna fatturi, OpenID Connect, u SAML 2.0. Billi tintegra OpenID Connect ma 'Azure Active Directory kif muri fl-artiklu, il-forza tax-xogħol tiegħek tista' taċċessa r-riżorsi tiegħek b'mod konvenjenti u sigur fuq il-Cloud jew l-AWS.
