Condividi tramite

Integrazione SSO di Microsoft Entra con FortiGate SSL VPN

  • Articolo

Questo articolo illustra come integrare FortiGate SSL VPN con Microsoft Entra ID. Integrando FortiGate SSL VPN con Microsoft Entra ID, è possibile:

  • Usare Microsoft Entra ID per controllare chi può accedere a FortiGate SSL VPN.
  • Abilitare l'accesso automatico degli utenti a FortiGate SSL VPN con i loro account Microsoft Entra.
  • Gestire gli account in una posizione centrale: il portale di Azure.

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

  • Sottoscrizione di Microsoft Entra. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito .
  • FortiGate VPN SSL con Single Sign-On (SSO) abilitato.

Descrizione dell'articolo

In questo articolo verrà configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

FortiGate SSL VPN supporta l'accesso SSO avviato da SP.

Per configurare l'integrazione di FortiGate SSL VPN in Microsoft Entra ID, è necessario aggiungere FortiGate SSL VPN dalla raccolta all'elenco di app SaaS gestite:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore di applicazioni cloud .
  2. Passare a Identity>Applications>Enterprise applications>New application.
  3. Nella sezione Aggiungi dalla raccolta, immettere FortiGate SSL VPN nella casella di ricerca.
  4. Selezionare FortiGate SSL VPN nel pannello dei risultati e quindi aggiungere l'app. Attendi alcuni secondi mentre l'app viene aggiunta al tuo tenant.

In alternativa, è possibile anche usare la procedura guidata di configurazione dell'app aziendale. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli e seguire anche la configurazione dell'accesso SSO. Scopri di più sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso SSO di Microsoft Entra per FortiGate SSL VPN

Si configurerà e testerà l'accesso SSO di Microsoft Entra con FortiGate SSL VPN usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e il gruppo di utenti SAML SSO corrispondente in FortiGate SSL VPN.

Per configurare e testare l'accesso SSO di Microsoft Entra con FortiGate SSL VPN, completare questi passaggi generali:

  1. Configurare l'accesso "Single Sign-On" di Microsoft Entra per attivare la funzionalità per i tuoi utenti.
    1. Creare un utente di test di Microsoft Entra per testare l'accesso Single Sign-On di Microsoft Entra.
    2. Concedere l'accesso all'utente di test per abilitare l'accesso Single Sign-On di Microsoft Entra per tale utente.
  2. Configurare l'accesso Single Sign-On (SSO) di FortiGate VPN SSL sul lato dell'applicazione.
    1. Creare un gruppo di utenti FortiGate SAML SSO come controparte della rappresentazione dell'utente in Microsoft Entra.
  3. Esegui il test SSO per verificare che la configurazione funzioni.

Configurare l'autenticazione unica Microsoft Entra

Seguire questa procedura per abilitare l'accesso SSO di Microsoft Entra nel portale di Azure:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Cloud Application Administrator .

  2. Passare a Identità>Applicazioni>Applicazioni aziendali>pagina di integrazione dell'applicazione FortiGate SSL VPN, nella sezione Gestisci, selezionare single sign-on.

  3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  4. Nella pagina Configura Single Sign-On con SAML, selezionare il pulsante Modifica accanto a Configurazione SAML di base per modificare le impostazioni:

    Screenshot della pagina di configurazione SAML di base.

  5. Nella pagina Configura Single Sign-On con SAML, immettere i valori seguenti:

    un. Nella casella identificatore immettere un URL nel modello https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    b. Nella casella URL di risposta, immettere un URL nel modello https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    c. Nella casella URL di accesso , immettere un URL secondo il modello https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    d. Nella casella URL di disconnessione immettere un URL nel formato https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Nota

    Questi valori sono solo modelli. È necessario usare l'URL di accesso reale , l'identificatore , l'URL di risposta e l'URL di disconnessione configurati su FortiGate. Il supporto di FortiGate deve fornire i valori corretti per l'ambiente.

  6. L'applicazione VPN SSL FortiGate prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione. Lo screenshot seguente mostra l'elenco degli attributi predefiniti.

    Screenshot della sezione Attributi e Dichiarazioni.

  7. Le attestazioni richieste da FortiGate SSL VPN sono illustrate nella tabella seguente. I nomi di queste attestazioni devono corrispondere ai nomi usati nella sezione Eseguire la configurazione della riga di comando fortiGate di questo articolo. I nomi sono sensibili alla distinzione tra maiuscole e minuscole.

    Nome Attributo di origine
    nome utente user.userprincipalname
    gruppo gruppi.utente

    Per creare queste altre attestazioni:

    un. Accanto a attributi utente & dichiarazioni, selezionare Modifica.

    b. Seleziona Aggiungi nuova richiesta.

    c. Per nome immettere nome utente.

    d. Per l'attributo di origine , selezionare user.userprincipalname.

    e. Selezionare Salva.

    Nota

    Attributi utente & Dichiarazioni consente solo una dichiarazione di gruppo. Per aggiungere un'attestazione di gruppo, eliminare l'attestazione di gruppo esistente user.groups [SecurityGroup] già presente nelle attestazioni per aggiungere la nuova attestazione o modificare quella esistente in Tutti i gruppi.

    f. Selezionare Aggiungere un'attestazione di gruppo.

    g. Selezionare Tutti i gruppi.

    h. In Opzioni avanzate , selezionare la casella di controllo Personalizza il nome dell'attestazione di gruppo.

    io. Per nome, inserisci gruppo.

    j. Selezionare Salva.

  8. Nella pagina Configura Single Sign-On con SAML, nella sezione Certificato di firma SAML, selezionare il collegamento Download accanto a Certificato (Base64) per scaricare il certificato e salvarlo sul computer:

    Screenshot che mostra il collegamento di download del certificato.

  9. Nella sezione Configurare fortiGate SSL VPN copiare l'URL o gli URL appropriati in base alle esigenze:

    Screenshot che mostra gli URL di configurazione.

Creare un utente di test di Microsoft Entra

In questa sezione viene creato un utente di test di nome B.Simon.

  1. Per accedere al centro di amministrazione di Microsoft Entra, è necessario essere almeno un Amministratore utente.
  2. Navigare a Identity>Utenti>Tutti gli utenti.
  3. Selezionare Nuovo utente>Crea nuovo utente, nella parte superiore della schermata.
  4. Nelle proprietà User seguire questa procedura:
    1. Nel campo Nome visualizzato immettere B.Simon.
    2. Nel campo Nome principale utente, inserisci username@companydomain.extension. Ad esempio, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi annotare il valore visualizzato nella casella Password.
    4. Seleziona Rivedi e crea.
  5. Selezionare Crea.

Concedere l'accesso all'utente di test

In questa sezione si abilita B.Simon all'uso dell'accesso Single Sign-On concedendole l'accesso a FortiGate SSL VPN.

  1. Passare a Identity>Applications>Enterprise applications.
  2. Nell'elenco delle applicazioni selezionare FortiGate SSL VPN.
  3. Nella sezione Gestisci della pagina di panoramica dell'app selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente, quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiunta assegnazione.
  5. Nella finestra di dialogo utenti e gruppi, selezionare B.Simon nell'elenco utenti, e quindi selezionare il pulsante Select nella parte inferiore della schermata.
  6. Se si prevede un valore di ruolo nell'asserzione SAML, nella finestra di dialogo Seleziona ruolo selezionare il ruolo appropriato per l'utente dall'elenco. Selezionare il pulsante Select nella parte inferiore dello schermo.
  7. Nella finestra di dialogo Aggiungi assegnazione, selezionare Assegna.

Creare un gruppo di sicurezza per l'utente di test

In questa sezione viene creato un gruppo di sicurezza in Microsoft Entra ID per l'utente di test. FortiGate usa questo gruppo di sicurezza per concedere all'utente l'accesso alla rete utente tramite la VPN.

  1. Nell'interfaccia di amministrazione di Microsoft Entra, passare a Identità>Gruppi>Nuovo gruppo.
  2. Nelle proprietà del nuovo gruppo , completare questi passaggi:
    1. Nell'elenco Tipo di gruppo selezionare Sicurezza.
    2. Nella casella Nome gruppo immettere FortiGateAccess.
    3. Nella casella di descrizione del gruppo, inserire il Gruppo per concedere l'accesso al VPN FortiGate.
    4. I ruoli di Microsoft Entra possono essere assegnati alle impostazioni del gruppo (Anteprima), seleziona No.
    5. Nella casella Tipo di appartenenza selezionare Assegnato.
    6. Sotto Membri, seleziona Nessun membro selezionato.
    7. Nella finestra di dialogo Utenti e gruppi, selezionare B.Simon dall'elenco Utenti, e quindi selezionare il pulsante Seleziona nella parte inferiore della schermata.
    8. Selezionare Crea.
  3. Dopo essere tornati nella sezione Gruppi in Microsoft Entra ID, trovare il gruppo FortiGate Access e annotare l'Object Id . Ti servirà più tardi.

Configurare l'accesso Single Sign-On di FortiGate SSL VPN

Caricare il certificato SAML Base64 nell'appliance FortiGate

Dopo aver completato la configurazione SAML dell'app FortiGate nel tenant, è stato scaricato il certificato SAML con codifica Base64. È necessario caricare questo certificato nell'appliance FortiGate:

  1. Accedere al portale di gestione dell'appliance FortiGate.
  2. Nel riquadro sinistro selezionare System.
  3. In Sistema, selezionare Certificati.
  4. Selezionare Importa>certificato remoto.
  5. Passare al certificato scaricato dalla distribuzione dell'app FortiGate nel tenant di Azure, selezionarlo e quindi selezionare OK.

Dopo aver caricato il certificato, annota il nome in System>Certificates>Remote Certificate. Per impostazione predefinita, viene denominato REMOTE_Cert_N, dove N è un valore intero.

Completare la configurazione della riga di comando di FortiGate

Anche se è possibile configurare l'accesso SSO dall'interfaccia utente grafica a partire da FortiOS 7.0, le configurazioni dell'interfaccia della riga di comando si applicano a tutte le versioni e pertanto sono illustrate qui.

Per completare questi passaggi, sono necessari i valori registrati in precedenza:

Configurazione SAML CLI per FortiGate Configurazione equivalente di Azure
ID entità SP (entity-id) Identificatore (ID entità)
URL single sign-on di SP (single-sign-on-url) URL di risposta (URL del servizio di gestione delle asserzioni)
SP Single Sign Out URL (single-logout-url) URL di disconnessione
ID entità IdP (idp-entity-id) Identificatore Microsoft Entra
URL single sign-on di IdP (idp-single-sign-on-url) URL di accesso di Azure
IDP Single Sign Out URL (idp-single-logout-url) URL di disconnessione di Azure
Certificato IdP (idp-cert) Nome certificato SAML Base64 (REMOTE_Cert_N)
Attributo nome utente (user-name) nome utente
Attributo nome gruppo (group-name) gruppo

Nota

L'URL di accesso in Configurazione SAML di base non viene usato nelle configurazioni di FortiGate. Viene usato per attivare l'accesso Single Sign-On avviato da SP per reindirizzare l'utente alla pagina del portale VPN SSL.

  1. Stabilire una sessione SSH per l'appliance FortiGate e accedere con un account amministratore fortiGate.

  2. Eseguire questi comandi e sostituire il <values> con le informazioni raccolte in precedenza:

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

Configurare FortiGate per la corrispondenza dei gruppi

In questa sezione si configura FortiGate per riconoscere l'ID oggetto del gruppo di sicurezza che include l'utente di test. Questa configurazione consente a FortiGate di prendere decisioni di accesso in base all'appartenenza al gruppo.

Per completare questi passaggi, è necessario l'ID oggetto del gruppo di sicurezza FortiGateAccess creato in precedenza in questo articolo.

  1. Stabilire una sessione SSH per l'appliance FortiGate e accedere con un account amministratore fortiGate.

  2. Eseguire questi comandi:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

Creare portali VPN FortiGate e della politica del firewall

In questa sezione vengono configurati i portali VPN fortiGate e i criteri firewall che concedono l'accesso al gruppo di sicurezza FortiGateAccess creato in precedenza in questo articolo.

Fare riferimento a Configurazione dell'accesso SSO SAML per la VPN SSL con Microsoft Entra ID che funge da IdP SAML per istruzioni.

Test SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

  • Nel passaggio 5) della configurazione dell'accesso Single Sign-On di Azure *Testare l'accesso Single Sign-On con l'appselezionare il pulsante test. Verrà eseguito il reindirizzamento all'URL di accesso VPN di FortiGate, dove puoi avviare la procedura di accesso.

  • Passare direttamente all'URL di accesso VPN di FortiGate e avviare il flusso di accesso da questa posizione.

  • È possibile usare Microsoft My Apps. Quando si seleziona il riquadro FortiGate VPN in Le mie app, verrà eseguito il reindirizzamento all'URL di accesso FortiGate VPN. Per altre informazioni sulle app personali, vedere Introduzione alle app personali.

Contenuto correlato

Dopo aver configurato FortiGate VPN, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.