Hailbytes VPN аутентификациясын қалай орнатуға болады
кіріспе
Енді сізде HailBytes VPN орнату және конфигурациялау бар болса, HailBytes ұсынатын кейбір қауіпсіздік мүмкіндіктерін зерттеуді бастай аласыз. VPN үшін орнату нұсқаулары мен мүмкіндіктерін алу үшін біздің блогымызды тексере аласыз. Бұл мақалада біз HailBytes VPN қолдайтын аутентификация әдістерін және аутентификация әдісін қалай қосу керектігін қарастырамыз.
қайта қарау
HailBytes VPN дәстүрлі жергілікті аутентификациядан басқа бірнеше аутентификация әдістерін ұсынады. Қауіпсіздік тәуекелдерін азайту үшін жергілікті аутентификацияны өшіруді ұсынамыз. Оның орнына біз көп факторлы аутентификацияны (MFA), OpenID Connect немесе SAML 2.0 ұсынамыз.
- СІМ жергілікті аутентификацияның үстіне қосымша қауіпсіздік деңгейін қосады. HailBytes VPN жергілікті кірістірілген нұсқаларды және Okta, Azure AD және Onelogin сияқты көптеген танымал сәйкестендіру провайдерлері үшін сыртқы СІМ қолдауын қамтиды.
- OpenID Connect - OAuth 2.0 протоколында құрылған сәйкестендіру деңгейі. Ол бірнеше рет кірмей-ақ, сәйкестендіру провайдерінен пайдаланушы ақпаратын аутентификациялаудың және алудың қауіпсіз және стандартталған әдісін қамтамасыз етеді.
- SAML 2.0 – тараптар арасында аутентификация және авторизация ақпаратын алмасуға арналған XML негізіндегі ашық стандарт. Ол пайдаланушыларға әртүрлі қолданбаларға қол жеткізу үшін аутентификацияны қайталамай-ақ, сәйкестендіру провайдерімен бір рет аутентификациялауға мүмкіндік береді.
OpenID Azure орнату арқылы қосылыңыз
Бұл бөлімде біз OIDC көп факторлы аутентификация арқылы сәйкестендіру провайдерін қалай біріктіруге болатынын қысқаша қарастырамыз. Бұл нұсқаулық Azure Active Directory пайдалануға арналған. Әртүрлі сәйкестендіру провайдерлерінің сирек конфигурациялары және басқа мәселелері болуы мүмкін.
- Толық қолдау көрсетілген және сыналған провайдерлердің бірін пайдалануды ұсынамыз: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 және Google Workspace.
- Ұсынылған OIDC провайдерін пайдаланбасаңыз, келесі конфигурациялар қажет.
a) discovery_document_uri: осы OIDC провайдеріне кейінгі сұрауларды құру үшін пайдаланылатын JSON құжатын қайтаратын OpenID Connect провайдерінің конфигурациясының URI мекенжайы. Кейбір провайдерлер мұны «белгілі URL мекенжайы» деп атайды.
b) client_id: қолданбаның клиент идентификаторы.
c) client_secret: қолданбаның клиенттік құпиясы.
d) redirect_uri: OIDC провайдеріне аутентификациядан кейін қайта бағыттауды нұсқайды. Бұл сіздің Firezone EXTERNAL_URL + /auth/oidc/ болуы керек. /кері қоңырау/, мысалы, https://firezone.example.com/auth/oidc/google/callback/.
e) жауап_түрі: кодқа орнату.
f) қолдану аясы: OIDC провайдерінен алуға болатын OIDC аумақтары. Кем дегенде, Firezone үшін openid және электрондық пошта аумақтары қажет.
g) белгі: Firezone порталының кіру бетінде көрсетілетін түйме белгісі мәтіні.
- Azure порталындағы Azure Active Directory бетіне өтіңіз. «Басқару» мәзірінің астындағы «Қолданбаларды тіркеу» сілтемесін таңдап, «Жаңа тіркеу» түймесін басып, келесіні енгізгеннен кейін тіркеліңіз:
а) Атауы: Өрт аймағы
b) Қолдау көрсетілетін тіркелгі түрлері: (тек әдепкі каталог – Жалғыз жалға алушы)
c) Қайта бағыттау URI: бұл сіздің Firezone EXTERNAL_URL + /auth/oidc/ болуы керек /кері шақыру/, мысалы, https://firezone.example.com/auth/oidc/azure/callback/.
- Тіркелгеннен кейін қосымшаның егжей-тегжейлі көрінісін ашыңыз және қосымшаның (клиенттің) идентификаторын көшіріңіз. Бұл client_id мәні болады.
- OpenID Connect метадеректер құжатын шығарып алу үшін соңғы нүктелер мәзірін ашыңыз. Бұл Discovery_document_uri мәні болады.
- Басқару мәзірінің астындағы Сертификаттар мен құпиялар сілтемесін таңдап, жаңа клиент құпиясын жасаңыз. Клиент құпиясын көшіріңіз. Бұл client_secret мәні болады.
- Басқару мәзірі астындағы API рұқсаттары сілтемесін таңдап, Рұқсат қосу түймесін басып, Microsoft Graph тармағын таңдаңыз. Қажетті рұқсаттарға электрондық пошта, openid, offline_access және профиль қосыңыз.
- Әкімші порталындағы /параметрлер/қауіпсіздік бетіне өтіп, «OpenID Connect Provider қосу» түймесін басып, жоғарыдағы қадамдарда алынған мәліметтерді енгізіңіз.
- Осы аутентификация механизмі арқылы жүйеге кірген кезде артықшылығы жоқ пайдаланушыны автоматты түрде жасау үшін пайдаланушыларды автоматты түрде жасау опциясын қосыңыз немесе өшіріңіз.
Құттықтаймыз! Жүйеге кіру бетінде Azure арқылы кіру түймесін көруіңіз керек.
қорытынды
HailBytes VPN аутентификацияның әртүрлі әдістерін ұсынады, соның ішінде көп факторлы аутентификация, OpenID Connect және SAML 2.0. Мақалада көрсетілгендей OpenID Connect қызметін Azure Active Directory қызметімен біріктіру арқылы жұмыс күшіңіз бұлттағы немесе AWS жүйесіндегі ресурстарыңызға ыңғайлы және қауіпсіз түрде қол жеткізе алады.
