วิธีตั้งค่าการรับรองความถูกต้องของ Hailbytes VPN
บทนำ
เมื่อคุณมีการตั้งค่าและกำหนดค่า HailBytes VPN แล้ว คุณสามารถเริ่มสำรวจคุณลักษณะด้านความปลอดภัยบางอย่างที่ HailBytes มีให้ คุณสามารถตรวจสอบบล็อกของเราสำหรับคำแนะนำในการตั้งค่าและคุณสมบัติสำหรับ VPN ในบทความนี้ เราจะกล่าวถึงวิธีการรับรองความถูกต้องที่ HailBytes VPN รองรับ และวิธีเพิ่มวิธีการรับรองความถูกต้อง
ขององค์กร
HailBytes VPN เสนอวิธีการตรวจสอบความถูกต้องหลายวิธีนอกเหนือจากการรับรองความถูกต้องในเครื่องแบบดั้งเดิม เพื่อลดความเสี่ยงด้านความปลอดภัย เราขอแนะนำให้ปิดใช้งานการรับรองความถูกต้องภายในเครื่อง เราขอแนะนำการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA), OpenID Connect หรือ SAML 2.0 แทน
- MFA เพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งนอกเหนือจากการรับรองความถูกต้องภายในเครื่อง HailBytes VPN มีเวอร์ชันในตัวภายในเครื่องและรองรับ MFA ภายนอกสำหรับผู้ให้บริการข้อมูลประจำตัวยอดนิยมหลายราย เช่น Okta, Azure AD และ Onelogin
- OpenID Connect เป็นชั้นข้อมูลประจำตัวที่สร้างขึ้นบนโปรโตคอล OAuth 2.0 เป็นวิธีที่ปลอดภัยและเป็นมาตรฐานในการตรวจสอบและรับข้อมูลผู้ใช้จากผู้ให้บริการข้อมูลประจำตัวโดยไม่ต้องเข้าสู่ระบบหลายครั้ง
- SAML 2.0 เป็นมาตรฐานเปิดที่ใช้ XML สำหรับการแลกเปลี่ยนข้อมูลการพิสูจน์ตัวตนและการอนุญาตระหว่างฝ่ายต่างๆ อนุญาตให้ผู้ใช้ตรวจสอบสิทธิ์กับผู้ให้บริการข้อมูลประจำตัวโดยไม่ต้องตรวจสอบสิทธิ์ซ้ำเพื่อเข้าถึงแอปพลิเคชันต่างๆ
OpenID เชื่อมต่อด้วยการตั้งค่า Azure
ในส่วนนี้ เราจะพูดถึงวิธีการผสานรวมผู้ให้บริการข้อมูลประจำตัวของคุณโดยใช้ OIDC Multi-Factor Authentication คู่มือนี้มุ่งเน้นไปที่การใช้ Azure Active Directory ผู้ให้บริการข้อมูลประจำตัวที่แตกต่างกันอาจมีการกำหนดค่าที่ผิดปกติและปัญหาอื่นๆ
- เราขอแนะนำให้คุณใช้หนึ่งในผู้ให้บริการที่ได้รับการสนับสนุนและทดสอบอย่างสมบูรณ์: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 และ Google Workspace
- หากคุณไม่ได้ใช้ผู้ให้บริการ OIDC ที่แนะนำ จำเป็นต้องมีการกำหนดค่าต่อไปนี้
a) Discovery_document_uri: URI การกำหนดค่าผู้ให้บริการ OpenID Connect ซึ่งส่งคืนเอกสาร JSON ที่ใช้ในการสร้างคำขอที่ตามมาไปยังผู้ให้บริการ OIDC นี้ ผู้ให้บริการบางรายอ้างถึงสิ่งนี้ว่า "URL ที่รู้จักกันดี"
b) client_id: รหัสไคลเอนต์ของแอปพลิเคชัน
c) client_secret: ความลับของไคลเอ็นต์ของแอปพลิเคชัน
d) redirect_uri: สั่งให้ผู้ให้บริการ OIDC เปลี่ยนเส้นทางหลังจากการตรวจสอบความถูกต้อง นี่ควรเป็น Firezone ของคุณ EXTERNAL_URL + /auth/oidc/ /callback/ เช่น https://firezone.example.com/auth/oidc/google/callback/
e) response_type: ตั้งเป็นรหัส
f) ขอบเขต: ขอบเขต OIDC ที่จะได้รับจากผู้ให้บริการ OIDC ของคุณ อย่างน้อยที่สุด Firezone ต้องการ openid และขอบเขตของอีเมล
g) ป้ายกำกับ: ข้อความป้ายกำกับปุ่มที่แสดงบนหน้าเข้าสู่ระบบพอร์ทัล Firezone
- ไปที่หน้า Azure Active Directory บนพอร์ทัล Azure เลือกลิงก์ การลงทะเบียนแอพ ใต้เมนู จัดการ คลิก การลงทะเบียนใหม่ และลงทะเบียนหลังจากป้อนข้อมูลต่อไปนี้:
ก) ชื่อ: Firezone
b) ประเภทบัญชีที่รองรับ: (ไดเรกทอรีเริ่มต้นเท่านั้น – ผู้เช่ารายเดียว)
c) URI การเปลี่ยนเส้นทาง: นี่ควรเป็น Firezone ของคุณ EXTERNAL_URL + /auth/oidc/ /callback/ เช่น https://firezone.example.com/auth/oidc/azure/callback/
- หลังจากลงทะเบียนแล้ว ให้เปิดมุมมองรายละเอียดของแอปพลิเคชันและคัดลอก ID แอปพลิเคชัน (ไคลเอ็นต์) นี่จะเป็นค่า client_id
- เปิดเมนูปลายทางเพื่อดึงเอกสารข้อมูลเมตาของ OpenID Connect นี่จะเป็นค่า Discovery_document_uri
- เลือกลิงก์ใบรับรองและข้อมูลลับใต้เมนูจัดการและสร้างข้อมูลลับไคลเอ็นต์ใหม่ คัดลอกความลับของลูกค้า นี่จะเป็นค่า client_secret
- เลือกลิงก์สิทธิ์ API ใต้เมนูจัดการ คลิกเพิ่มสิทธิ์ แล้วเลือก Microsoft Graph เพิ่มอีเมล, openid, offline_access และโปรไฟล์ในการอนุญาตที่จำเป็น
- ไปที่หน้า /settings/security ในพอร์ทัลผู้ดูแลระบบ คลิก “Add OpenID Connect Provider” แล้วป้อนรายละเอียดที่คุณได้รับในขั้นตอนด้านบน
- เปิดใช้งานหรือปิดใช้งานตัวเลือกสร้างผู้ใช้อัตโนมัติเพื่อสร้างผู้ใช้ที่ไม่มีสิทธิ์โดยอัตโนมัติเมื่อลงชื่อเข้าใช้ผ่านกลไกการตรวจสอบสิทธิ์นี้
ยินดีด้วย! คุณควรเห็นปุ่มลงชื่อเข้าใช้ด้วย Azure บนหน้าลงชื่อเข้าใช้ของคุณ
สรุป
HailBytes VPN มีวิธีการยืนยันตัวตนที่หลากหลาย รวมถึงการตรวจสอบสิทธิ์แบบหลายปัจจัย, OpenID Connect และ SAML 2.0 ด้วยการผสานรวม OpenID Connect กับ Azure Active Directory ตามที่แสดงในบทความ พนักงานของคุณสามารถเข้าถึงทรัพยากรบน Cloud หรือ AWS ได้อย่างสะดวกและปลอดภัย
