Hailbytes VPN нэвтрэлт танилтыг хэрхэн тохируулах вэ
Оршил
Одоо та HailBytes VPN-г тохируулж, тохируулсан тул HailBytes-ийн санал болгож буй аюулгүй байдлын зарим функцийг судалж эхлэх боломжтой. Та манай блогоос VPN-ийн тохиргооны заавар болон онцлогуудыг үзэх боломжтой. Энэ нийтлэлд бид HailBytes VPN-ийн дэмждэг баталгаажуулалтын аргууд болон баталгаажуулалтын аргыг хэрхэн нэмэх талаар авч үзэх болно.
Тойм
HailBytes VPN нь уламжлалт орон нутгийн баталгаажуулалтаас гадна хэд хэдэн баталгаажуулалтын аргыг санал болгодог. Аюулгүй байдлын эрсдлийг бууруулахын тулд бид орон нутгийн баталгаажуулалтыг идэвхгүй болгохыг зөвлөж байна. Үүний оронд бид олон хүчин зүйлийн баталгаажуулалт (MFA), OpenID Connect эсвэл SAML 2.0-ийг санал болгож байна.
- Гадаад харилцааны яам нь орон нутгийн баталгаажуулалт дээр нэмэлт хамгаалалтын давхаргыг нэмж өгдөг. HailBytes VPN нь Okta, Azure AD, Onelogin зэрэг олон алдартай таниулах үйлчилгээ үзүүлэгчдийн гадаад MFA-д зориулсан орон нутгийн суулгасан хувилбарууд болон дэмжлэгийг агуулдаг.
- OpenID Connect нь OAuth 2.0 протокол дээр бүтээгдсэн таних давхарга юм. Энэ нь олон удаа нэвтрэх шаардлагагүйгээр хэрэглэгчийн мэдээллийг таниулах үйлчилгээ үзүүлэгчээс баталгаажуулах, авах найдвартай, стандартчилагдсан арга юм.
- SAML 2.0 нь талуудын хооронд баталгаажуулалт, зөвшөөрлийн мэдээлэл солилцох XML-д суурилсан нээлттэй стандарт юм. Энэ нь хэрэглэгчдэд өөр өөр програм руу нэвтрэхийн тулд дахин баталгаажуулах шаардлагагүйгээр таних үйлчилгээ үзүүлэгчээр нэг удаа баталгаажуулах боломжийг олгодог.
OpenID Azure тохиргоотой холбогдоно уу
Энэ хэсэгт бид OIDC Multi-Factor Authentication ашиглан таны таниулбар үйлчилгээ үзүүлэгчийг хэрхэн нэгтгэх талаар товчхон авч үзэх болно. Энэхүү гарын авлага нь Azure Active Directory ашиглахад зориулагдсан болно. Өөр өөр таних үйлчилгээ үзүүлэгчид ер бусын тохиргоо болон бусад асуудлуудтай байж болно.
- Бид танд бүрэн дэмжигдсэн, туршиж үзсэн үйлчилгээ үзүүлэгчдийн нэгийг ашиглахыг зөвлөж байна: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0, болон Google Workspace.
- Хэрэв та санал болгож буй OIDC үйлчилгээ үзүүлэгчийг ашиглахгүй байгаа бол дараах тохиргоог хийх шаардлагатай.
a) discovery_document_uri: OpenID Connect үйлчилгээ үзүүлэгчийн тохиргооны URI нь энэ OIDC үйлчилгээ үзүүлэгчийн дараагийн хүсэлтийг бүтээхэд ашигласан JSON баримтыг буцаадаг. Зарим үйлчилгээ үзүүлэгчид үүнийг "сайн мэдэх URL" гэж нэрлэдэг.
b) client_id: Програмын үйлчлүүлэгчийн ID.
c) client_secret: Програмын үйлчлүүлэгчийн нууц.
d) redirect_uri: OIDC үйлчилгээ үзүүлэгчийг баталгаажуулсны дараа хаашаа дахин чиглүүлэхийг зааж өгнө. Энэ нь таны Firezone EXTERNAL_URL + /auth/oidc/ байх ёстой. /буцах/, жишээ нь https://firezone.example.com/auth/oidc/google/callback/.
e) хариултын_төрөл: Кодоор тохируулна.
f) хамрах хүрээ: OIDC үйлчилгээ үзүүлэгчээсээ авах боломжтой OIDC хамрах хүрээ. Хамгийн багадаа Firezone нь openid болон имэйлийн хамрах хүрээг шаарддаг.
g) шошго: Firezone порталын нэвтрэх хуудсан дээр харагдах товчлуурын шошгоны текст.
- Azure портал дээрх Azure Active Directory хуудас руу шилжинэ үү. "Удирдах" цэсний "Програмын бүртгэл" холбоосыг сонгоод "Шинэ бүртгэл" дээр дарж, дараах зүйлийг оруулсны дараа бүртгүүлнэ үү.
a) Нэр: Галын бүс
б) Дэмжигдсэн дансны төрлүүд: (Зөвхөн анхдагч лавлах – Ганц түрээслэгч)
c) URI дахин чиглүүлэх: Энэ нь таны Firezone EXTERNAL_URL + /auth/oidc/ байх ёстой. /буцах/, жишээ нь https://firezone.example.com/auth/oidc/azure/callback/.
- Бүртгүүлсний дараа програмын дэлгэрэнгүй харагдах хэсгийг нээж, Програмын (үйлчлүүлэгч) ID-г хуулна уу. Энэ нь client_id утга байх болно.
- OpenID Connect мета өгөгдлийн баримт бичгийг авахын тулд төгсгөлийн цэгийн цэсийг нээнэ үү. Энэ нь Discovery_document_uri утга байх болно.
- "Удирдах" цэсийн "Сертификат ба нууц" холбоосыг сонгоод шинэ үйлчлүүлэгчийн нууцыг үүсгэнэ үү. Үйлчлүүлэгчийн нууцыг хуулах. Энэ нь client_secret утга байх болно.
- "Удирдах" цэсний API зөвшөөрлийн холбоосыг сонгоод "Зөвшөөрөл нэмэх" дээр дарж, "Microsoft Graph" -г сонгоно уу. Шаардлагатай зөвшөөрөлд имэйл, openid, offline_access болон профайлыг нэмнэ үү.
- Админ портал дахь /тохиргоо/аюулгүй байдлын хуудас руу шилжиж, "OpenID Connect Provider нэмэх" дээр товшоод дээрх алхмуудаар олж авсан мэдээллээ оруулна уу.
- Энэхүү баталгаажуулалтын механизмаар нэвтрэх үед автоматаар автоматаар хэрэглэгч үүсгэх сонголтыг идэвхжүүлэх эсвэл идэвхгүй болгох.
Баяр хүргэе! Та нэвтрэх хуудсан дээрээ Azure ашиглан нэвтрэх товчийг харах ёстой.
Дүгнэлт
HailBytes VPN нь олон хүчин зүйлийн баталгаажуулалт, OpenID Connect, SAML 2.0 гэх мэт төрөл бүрийн баталгаажуулалтын аргуудыг санал болгодог. Нийтлэлд дурдсанчлан OpenID Connect-ийг Azure Active Directory-тэй нэгтгэснээр таны ажилчид Cloud эсвэл AWS дээрх таны нөөцөд хялбар бөгөөд аюулгүйгээр хандах боломжтой.
