כיצד להגדיר אימות VPN של Hailbytes

מבוא

כעת, לאחר שהגדרתם את HailBytes VPN והגדרתם, תוכלו להתחיל לחקור כמה מתכונות האבטחה שיש ל-HailBytes להציע. אתה יכול לעיין בבלוג שלנו לקבלת הוראות הגדרה ותכונות עבור ה-VPN. במאמר זה נסקור את שיטות האימות הנתמכות על ידי HailBytes VPN וכיצד להוסיף שיטת אימות.

סקירה כללית

HailBytes VPN מציע מספר שיטות אימות מלבד אימות מקומי מסורתי. כדי להפחית את סיכוני האבטחה, אנו ממליצים להשבית את האימות המקומי. במקום זאת, אנו ממליצים על אימות רב-גורמי (MFA), OpenID Connect או SAML 2.0.

  • MFA מוסיף שכבת אבטחה נוספת על האימות המקומי. HailBytes VPN כולל גרסאות מובנות מקומיות ותמיכה ב-MFA חיצוני עבור ספקי זהות פופולריים רבים כמו Okta, Azure AD ו-Onelogin.

 

  • OpenID Connect היא שכבת זהות הבנויה על פרוטוקול OAuth 2.0. הוא מספק דרך מאובטחת וסטנדרטית לאימות ולקבל מידע משתמש מספק זהות מבלי צורך להתחבר מספר פעמים.

 

  • SAML 2.0 הוא תקן פתוח מבוסס XML להחלפת פרטי אימות והרשאות בין צדדים. זה מאפשר למשתמשים לבצע אימות פעם אחת עם ספק זהות ללא צורך באימות מחדש כדי לגשת ליישומים שונים.

OpenID Connect עם הגדרת Azure

בסעיף זה, נעבור בקצרה על האופן שבו ניתן לשלב את ספק הזהות שלך באמצעות OIDC Multi-Factor Authentication. מדריך זה מיועד לשימוש ב- Azure Active Directory. לספקי זהות שונים עשויים להיות תצורות לא שכיחות ובעיות אחרות.

  • אנו ממליצים להשתמש באחד מהספקים שנתמכו ונבדקו במלואם: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 ו-Google Workspace.
  • אם אינך משתמש בספק OIDC מומלץ, התצורות הבאות נדרשות.

           א) discovery_document_uri: URI תצורת ספק OpenID Connect אשר מחזיר מסמך JSON המשמש לבניית בקשות עוקבות לספק OIDC זה. חלק מהספקים מתייחסים לזה כ"כתובת האתר הידועה".

          ב) client_id: מזהה הלקוח של האפליקציה.

          ג) client_secret: סוד הלקוח של האפליקציה.

          ד) redirect_uri: מורה לספק OIDC לאן להפנות לאחר אימות. זה צריך להיות Firezone EXTERNAL_URL + /auth/oidc/ /callback/, למשל https://firezone.example.com/auth/oidc/google/callback/.

          ה) response_type: הגדר לקוד.

          ו) היקף: היקפי OIDC להשיג מספק ה-OIDC שלך. לכל הפחות, Firezone דורש את היקף ה-openid והמייל.

          ז) תווית: טקסט תווית הכפתור המוצג בדף הכניסה לפורטל Firezone.

  • נווט לדף Azure Active Directory בפורטל Azure. בחר בקישור רישום אפליקציה בתפריט ניהול, לחץ על רישום חדש והירשם לאחר הזנת הפרטים הבאים:

          א) שם: Firezone

          ב) סוגי חשבונות נתמכים: (ספריית ברירת מחדל בלבד - דייר בודד)

          ג) URI להפניה מחדש: זה צריך להיות Firezone EXTERNAL_URL + /auth/oidc/ /callback/, למשל https://firezone.example.com/auth/oidc/azure/callback/.

  • לאחר ההרשמה, פתחו את תצוגת הפרטים של האפליקציה והעתיקו את מזהה האפליקציה (לקוח). זה יהיה ערך client_id.
  • פתח את תפריט נקודות הקצה כדי לאחזר את מסמך המטא נתונים של OpenID Connect. זה יהיה הערך discovery_document_uri.

 

  • בחר בקישור אישורים וסודות תחת התפריט נהל וצור סוד לקוח חדש. העתק את סוד הלקוח. זה יהיה הערך client_secret.

 

  • בחר בקישור הרשאות API בתפריט ניהול, לחץ על הוסף הרשאה ובחר Microsoft Graph. הוסף אימייל, openid, offline_access ופרופיל להרשאות הנדרשות.

 

  • נווט לדף /settings/security בפורטל הניהול, לחץ על "הוסף OpenID Connect Provider" והזן את הפרטים שקיבלת בשלבים למעלה.

 

  • הפעל או השבת את האפשרות צור משתמשים אוטומטית כדי ליצור באופן אוטומטי משתמש ללא הרשאות בעת כניסה באמצעות מנגנון אימות זה.

 

מזל טוב! אתה אמור לראות כפתור כניסה עם Azure בדף הכניסה שלך.

סיכום

HailBytes VPN מציע מגוון שיטות אימות, כולל אימות רב-גורמי, OpenID Connect ו-SAML 2.0. על ידי שילוב OpenID Connect עם Azure Active Directory כפי שהודגם במאמר, כוח העבודה שלך יכול לגשת בצורה נוחה ומאובטחת למשאבים שלך בענן או ב-AWS.

התחל עכשיו ב-AWS

שירותים

החברה שלנו

הכתובת שלנו

Hailbytes

9511 Queens Guard Ct.

לורל, MD 20723

טלפון: (732) 771-9995

דוא"ל: info@hailbytes.com

פתרונות

שאלות נפוצות בנושא אבטחה

מדיה חברתית