Hailbytes VPN аутентификациясын кантип орнотуу керек
тааныштыруу
Эми сизде HailBytes VPN орнотулуп, конфигурациялангандан кийин, HailBytes сунуш кылган коопсуздук өзгөчөлүктөрүн изилдеп баштасаңыз болот. VPN үчүн орнотуу нускамалары жана мүмкүнчүлүктөрү үчүн биздин блогду текшере аласыз. Бул макалада биз HailBytes VPN колдогон аутентификация ыкмаларын жана аутентификация ыкмасын кантип кошууну карайбыз.
жалпы көрүнүш
HailBytes VPN салттуу жергиликтүү аутентификациядан тышкары бир нече аутентификация ыкмаларын сунуштайт. Коопсуздук тобокелдиктерин азайтуу үчүн жергиликтүү аутентификацияны өчүрүүнү сунуштайбыз. Анын ордуна, биз көп факторлуу аутентификацияны (MFA), OpenID Connect же SAML 2.0 сунуштайбыз.
- ТИМ жергиликтүү аутентификациянын үстүнө кошумча коопсуздук катмарын кошот. HailBytes VPN жергиликтүү камтылган версияларды жана Okta, Azure AD жана Onelogin сыяктуу көптөгөн таанымал идентификациялык камсыздоочулар үчүн тышкы ТИМ колдоосун камтыйт.
- OpenID Connect - OAuth 2.0 протоколуна негизделген идентификациялык катмар. Бул бир нече жолу кирбей туруп, аныктыгын текшерүү жана колдонуучу маалыматын алуу үчүн коопсуз жана стандартташтырылган жол менен камсыз кылат.
- SAML 2.0 тараптардын ортосунда аутентификация жана авторизация маалыматын алмашуу үчүн XMLге негизделген ачык стандарт. Бул колдонуучуларга ар кандай тиркемелерге кирүү үчүн кайра аутентификациядан өтпөстөн, идентификациялык камсыздоочу менен бир жолу аутентификациялоого мүмкүндүк берет.
Azure орнотуу менен OpenID туташуу
Бул бөлүмдө биз OIDC Multi-Factor Authentication аркылуу өзүңүздүн инсандык провайдериңизди кантип интеграциялоону кыскача карап чыгабыз. Бул колдонмо Azure Active Directory колдонууга багытталган. Ар кандай идентификациялык камсыздоочулардын сейрек конфигурациялары жана башка көйгөйлөрү болушу мүмкүн.
- Толугу менен колдоого алынган жана сыналган провайдерлердин бирин колдонууну сунуштайбыз: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 жана Google Workspace.
- Эгерде сиз сунушталган OIDC камсыздоочусун колдонбосоңуз, анда төмөнкү конфигурациялар талап кылынат.
a) discovery_document_uri: OpenID Connect камсыздоочу конфигурациясынын URI, бул OIDC провайдерине кийинки суроо-талаптарды түзүү үчүн колдонулган JSON документин кайтарат. Кээ бир провайдерлер муну "белгилүү URL" деп аташат.
б) client_id: Колдонмонун кардар ID.
в) client_secret: Колдонмонун кардар сыры.
d) redirect_uri: OIDC провайдерине аутентификациядан кийин кайда багыттоо керек экенин көрсөтөт. Бул сиздин Firezone EXTERNAL_URL + /auth/oidc/ болушу керек /кайра чалуу/, мис. https://firezone.example.com/auth/oidc/google/callback/.
e) жооп_түрү: Кодго коюу.
f) чөйрөсү: OIDC провайдериңизден алуу үчүн OIDC чөйрөлөрү. Жок дегенде, Firezone openid жана электрондук почта чөйрөсүн талап кылат.
g) энбелги: Firezone порталынын кирүү бетинде көрсөтүлгөн баскыч этикеткасынын тексти.
- Azure порталындагы Azure Active Directory барагына өтүңүз. Башкаруу менюсунун астындагы Колдонмого каттоо шилтемесин тандап, Жаңы каттоону чыкылдатыңыз жана төмөнкүнү киргизгенден кийин катталыңыз:
а) Аты-жөнү: Firezone
б) Колдоого алынган эсеп түрлөрү: (Демейки каталог гана – Жалгыз ижарачы)
c) Кайра багыттоо URI: Бул сиздин Firezone EXTERNAL_URL + /auth/oidc/ болушу керек /кайра чалуу/, мис. https://firezone.example.com/auth/oidc/azure/callback/.
- Катталгандан кийин, тиркеменин деталдары көрүнүшүн ачып, Колдонмонун (кардардын) идентификаторун көчүрүңүз. Бул client_id мааниси болот.
- OpenID Connect метадайындар документин алуу үчүн акыркы чекиттер менюсун ачыңыз. Бул Discovery_document_uri мааниси болот.
- Башкаруу менюсунун астындагы Сертификаттар жана сырлар шилтемесин тандап, жаңы кардар сырын түзүңүз. Кардардын сырын көчүрүңүз. Бул client_secret мааниси болот.
- Башкаруу менюсунун астынан API уруксаттары шилтемесин тандап, Уруксат кошуу баскычын чыкылдатып, Microsoft Graph тандаңыз. Керектүү уруксаттарга электрондук почта, openid, offline_access жана профиль кошуңуз.
- Администратор порталындагы /жөндөөлөр/коопсуздук барагына өтүңүз, "OpenID Connect Provider кошуу" баскычын чыкылдатыңыз жана жогорудагы кадамдарда алган маалыматыңызды киргизиңиз.
- Бул аутентификация механизми аркылуу киргенде артыкчылыксыз колдонуучуну автоматтык түрдө түзүү үчүн Автоматтык түрдө колдонуучуларды түзүү опциясын иштетиңиз же өчүрүңүз.
Куттуктайбыз! Кирүү бетиңизде Azure менен кирүү баскычын көрүшүңүз керек.
жыйынтыктоо
HailBytes VPN аутентификациянын ар кандай ыкмаларын сунуштайт, анын ичинде көп факторлуу аутентификация, OpenID Connect жана SAML 2.0. Макалада көрсөтүлгөндөй OpenID Connect менен Azure Active Directory бириктирүү менен, сиздин жумушчу күчүңүз булуттагы же AWSдеги ресурстарыңызга ыңгайлуу жана коопсуз кире алат.
