Handleiding: Microsoft Entra SSO integratie met FortiGate SSL VPN

In deze zelfstudie leert u hoe u FortiGate SSL VPN integreert met Microsoft Entra ID. Wanneer u FortiGate SSL VPN integreert met Microsoft Entra ID, kunt u het volgende doen:

• Gebruik Microsoft Entra ID om te bepalen wie toegang heeft tot FortiGate SSL VPN.
• Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij FortiGate SSL VPN.
• Beheer uw accounts op één centrale locatie: Azure Portal.

Voorwaarden

U hebt het volgende nodig om aan de slag te gaan:

• Een Microsoft Entra-abonnement. Als u geen abonnement hebt, kunt u een gratis account krijgen.
• Een FortiGate SSL VPN waarvoor eenmalige aanmelding (SSO) is ingeschakeld.

Beschrijving van handleiding

In deze handleiding configureert en test u Microsoft Entra Single Sign-On (SSO) in een testomgeving.

FortiGate SSL VPN ondersteunt SP-geïnitieerde Single Sign-On (SSO).

FortiGate SSL VPN toevoegen vanuit de galerie

Als u de integratie van FortiGate SSL VPN in Microsoft Entra ID wilt configureren, moet u FortiGate SSL VPN vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloud Application Administrator.
2. Blader naar Identity>Applications>Enterprise-toepassingen>Nieuwe toepassing.
3. Voer in de sectie Toevoegen uit de galerieFortiGate SSL VPN- in het zoekvak in.
4. Selecteer FortiGate SSL VPN- in het resultatenvenster en voeg vervolgens de app toe. Wacht enkele seconden terwijl de app aan uw tenant wordt toegevoegd.

Alternatief kunt u ook de wizard Enterprise App Configurationgebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Configureer en test Microsoft Entra SSO voor FortiGate SSL VPN

U configureert en test Microsoft Entra SSO met FortiGate SSL VPN met de testgebruiker B.Simon. Single Sign-On (SSO) werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende SAML SSO-gebruikersgroep in FortiGate SSL VPN.

Als u de Microsoft Entra SSO met FortiGate SSL VPN wilt configureren en testen, voert u deze globale stappen uit:

1. Microsoft Entra SSO configureren om de functie voor uw gebruikers in te schakelen.
   1. Een Microsoft Entra-testgebruiker maken om eenmalige aanmelding van Microsoft Entra te testen.
   2. Toegang verlenen aan de testgebruiker om eenmalige aanmelding van Microsoft Entra in te schakelen voor die gebruiker.
2. Configureer FortiGate SSL VPN SSO aan de toepassingszijde.
   1. Een FortiGate SAML SSO-gebruikersgroep maken als tegenhanger voor de Microsoft Entra-weergave van de gebruiker.
3. SSO testen om te testen of de configuratie werkt.

Microsoft Entra SSO configureren

Volg deze stappen om Microsoft Entra Single Sign-On in te schakelen in de Azure-portal:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.

2. Blader naar de toepassing integratiepagina van Identity>Applications>Enterprise applications>FortiGate SSL VPN, in de sectie Beheer, selecteer eenmalige aanmelding.

3. Selecteer op de pagina Selecteer een methode voor eenmalige aanmelding de optie SAML.

4. Selecteer op de pagina Single Sign-On instellen met SAML de knop Bewerken voor Standaard SAML-configuratie om de instellingen te bewerken:

   

5. Voer op de pagina instellen Sign-On met SAML de volgende waarden in:

   een. Voer in het hokje Identifier een URL volgens het patroon https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadatain.

   b. Voer in het vak Antwoord-URL een URL in het patroon https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/loginin.

   c. Voer in het vak Aanmeldings-URL een URL in het patroon https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/loginin.

   d. Voer in het afmeldings-URL- vak een URL in het patroon https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logoutin.

   Notitie

   Deze waarden zijn slechts patronen. U moet de werkelijke aanmeldings-URL, id-, antwoord-URLen afmeldings-URL gebruiken die is geconfigureerd op fortiGate. FortiGate-ondersteuning moet de juiste waarden voor de omgeving opgeven.

6. De FortiGate SSL VPN-toepassing verwacht SAML-asserties in een specifieke indeling. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie. In de volgende schermopname ziet u de lijst met standaardkenmerken.

   

7. De claims die zijn vereist voor FortiGate SSL VPN, worden weergegeven in de volgende tabel. De namen van deze claims moeten overeenkomen met de namen die worden gebruikt in de FortiGate-opdrachtregelconfiguratie uitvoeren sectie van deze zelfstudie. Namen zijn hoofdlettergevoelig.

   Naam	Bronkenmerk
   gebruikersnaam	user.userprincipalname
   groep	gebruikersgroepen

   Volg deze stappen om meer aanspraken te maken:

   een. Selecteer naast gebruikerskenmerken & ClaimsBewerken.

   b. Selecteer Nieuwe claim toevoegen.

   c. Voer voor naamgebruikersnaamin.

   d. Selecteer voor bronkenmerkde user.userprincipalname.

   e. Selecteer opslaan.

   Notitie

   Gebruikerskenmerken & Claims staat slechts één groepsclaim toe. Als u een groepsclaim wilt toevoegen, verwijdert u de bestaande groepsclaim user.groups [SecurityGroup] al aanwezig in de claims om de nieuwe claim toe te voegen of de bestaande te bewerken om Alle groepen.

   f. Selecteer Een groepsclaim toevoegen.

   g. Selecteer Alle groepen.

   h. Selecteer onder Geavanceerde optieshet selectievakje De naam van de groepsclaim aanpassen.

   i. Voer voor naamde groepin.

   j. Selecteer opslaan.

8. Selecteer op de Set up Single Sign-On met SAML pagina, in de SAML Signing Certificate sectie, de koppeling Download naast Certificate (Base64) om het certificaat te downloaden en op uw computer op te slaan.

   

9. Kopieer in de sectie FortiGate SSL VPN instellen de juiste URL of URL's op basis van uw vereisten:

   

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minstens een gebruikersbeheerder.
2. Blader naar Identity>Users>Alle gebruikers.
3. Selecteer Nieuwe gebruiker>Maak nieuwe gebruiker aanbovenaan het scherm.
4. Voer in de eigenschappen User de volgende stappen uit:
   1. Voer in het veld weergavenaamB.Simonin.
   2. Voer in het veld User Principal Name de username@companydomain.extensionin. Bijvoorbeeld B.Simon@contoso.com.
   3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
   4. Selecteer Beoordelen enmaken.
5. Selecteer en maak.

Toegang verlenen aan de testgebruiker

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door die gebruiker toegang te geven tot FortiGate SSL VPN.

1. Blader naar Identity>Toepassingen>Bedrijfstoepassingen.
2. Selecteer FortiGate SSL VPN-in de lijst met toepassingen.
3. Selecteer op de overzichtspagina van de app, in de sectie Beheren, de optie Gebruikers en Groepen.
4. Selecteer Gebruiker toevoegenen selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toegevoegde toewijzing.
5. Selecteer in het dialoogvenster Gebruikers en groepenB.Simon in de lijst Gebruikers en selecteer vervolgens de knop Selecteer onder aan het scherm.
6. Als u een rolwaarde verwacht in de SAML-assertie, selecteert u in het dialoogvenster Rol selecteren de juiste rol voor de gebruiker in de lijst. Druk op de knop Select onder aan het scherm.
7. Selecteer in het dialoogvenster Toewijzing toevoegentoewijzen.

Een beveiligingsgroep maken voor de testgebruiker

In deze sectie maakt u een beveiligingsgroep in Microsoft Entra ID voor de testgebruiker. FortiGate gebruikt deze beveiligingsgroep om de gebruikersnetwerktoegang via het VPN te verlenen.

1. Navigeer in het Microsoft Entra-beheercentrum naar Identiteit>Groepen>Nieuwe groep.
2. Voer in de eigenschappen Nieuwe groep de volgende stappen uit:
   1. Selecteer Securityin de lijst van de groep type.
   2. Voer in het vak GroepsnaamFortiGateAccessin.
   3. Voer in het groepsbeschrijving vak Groep in voor het verlenen van FortiGate VPN-toegang.
   4. Voor de instellingen kunnen Microsoft Entra-rollen worden toegewezen aan de groep (preview), selecteert u Geen.
   5. Selecteer in het vak LidmaatschapstypeToegewezen.
   6. Onder Leden, selecteer Geen leden geselecteerd.
   7. Selecteer in het dialoogvenster Gebruikers en groepenB.Simon in de lijst Users en selecteer vervolgens de knop Selecteer onder aan het scherm.
   8. Selecteer maken.
3. Nadat u terug bent in de sectie Groepen in Microsoft Entra ID, zoekt u de FortiGate Access-groep en noteert u de Object-id. U hebt het later nodig.

Eenmalige aanmelding (SSO) voor FortiGate SSL VPN configureren

Het Base64 SAML-certificaat uploaden naar het FortiGate-apparaat

Nadat u de SAML-configuratie van de FortiGate-app in uw tenant hebt voltooid, hebt u het MET Base64 gecodeerde SAML-certificaat gedownload. U moet dit certificaat uploaden naar het FortiGate-apparaat:

1. Meld u aan bij de beheerportal van uw FortiGate-apparaat.
2. Selecteer in het linkerdeelvenster System.
3. Onder Systemselecteer je Certificates.
4. Selecteer >extern certificaat importeren.
5. Blader naar het certificaat dat is gedownload uit de FortiGate-app-implementatie in de Azure-tenant, selecteer het en selecteer vervolgens OK.

Nadat het certificaat is geüpload, noteert u de naam onder System>Certificates>Remote Certificate. De naam is standaard REMOTE_Cert_N, waarbij N een geheel getal is.

Volledige FortiGate-commandoregelconfiguratie

Hoewel u SSO vanuit de GUI kunt configureren sinds FortiOS 7.0, zijn de CLI-configuraties van toepassing op alle versies en worden daarom hier getoond.

Als u deze stappen wilt uitvoeren, hebt u de waarden nodig die u eerder hebt vastgelegd:

FortiGate SAML CLI-instelling	Equivalente Azure-configuratie
SP-entiteits-ID (entity-id)	Id (entiteits-id)
SP-URL voor eenmalige aanmelding (single-sign-on-url)	Antwoord-URL (ASSERTION Consumer Service-URL)
URL voor eenmalige afmelding van SP (single-logout-url)	Afmeldings-URL
IdP-entiteits-id (idp-entity-id)	Microsoft Entra-identificator
IdP-URL voor eenmalige aanmelding (idp-single-sign-on-url)	Aanmeldings-URL van Azure
IdP-URL voor eenmalige afmelding (idp-single-logout-url)	Afmeldings-URL voor Azure
IdP-certificaat (idp-cert)	Base64 SAML-certificaatnaam (REMOTE_Cert_N)
Kenmerk gebruikersnaam (user-name)	gebruikersnaam
Groepsnaamkenmerk (group-name)	groep

Notitie

De aanmeldings-URL onder Standaard SAML-configuratie wordt niet gebruikt in de FortiGate-configuraties. Deze wordt gebruikt om door SP geïnitieerde eenmalige aanmelding te activeren om de gebruiker om te leiden naar de pagina van de SSL VPN-portal.

1. Breng een SSH-sessie tot stand op uw FortiGate-apparaat en meld u aan met een FortiGate-beheerdersaccount.

2. Voer deze opdrachten uit en vervang de <values> door de informatie die u eerder hebt verzameld:

   config user saml
     edit azure
       set cert <FortiGate VPN Server Certificate Name>
       set entity-id < Identifier (Entity ID)Entity ID>
       set single-sign-on-url < Reply URL Reply URL>
       set single-logout-url <Logout URL>
       set idp-entity-id <Azure AD Identifier>
       set idp-single-sign-on-url <Azure Login URL>
       set idp-single-logout-url <Azure Logout URL>
       set idp-cert <Base64 SAML Certificate Name>
       set user-name username
       set group-name group
     next
   end
   

FortiGate configureren voor groepskoppeling

In deze sectie configureert u FortiGate om de object-id te herkennen van de beveiligingsgroep die de testgebruiker bevat. Met deze configuratie kan FortiGate toegangsbeslissingen nemen op basis van het groepslidmaatschap.

Als u deze stappen wilt uitvoeren, hebt u de object-id nodig van de FortiGateAccess-beveiligingsgroep die u eerder in deze zelfstudie hebt gemaakt.

1. Breng een SSH-sessie tot stand op uw FortiGate-apparaat en meld u aan met een FortiGate-beheerdersaccount.

2. Voer deze opdrachten uit:

   config user group
     edit FortiGateAccess
       set member azure
       config match
         edit 1
           set server-name azure
           set group-name <Object Id>
         next
       end
     next
   end
   

Een FortiGate VPN-portal en firewallbeleid maken

In deze sectie configureert u een FortiGate VPN-portal en firewallbeleid dat toegang verleent tot de FortiGateAccess-beveiligingsgroep die u eerder in deze zelfstudie hebt gemaakt.

Raadpleeg voor instructies over het configureren van SAML SSO-aanmelding voor SSL VPN, waarbij Microsoft Entra ID fungeert als SAML IdP.

Eenmalige aanmelding testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

• In stap 5) van de configuratie voor eenmalige aanmelding van Azure *Test eenmalige aanmelding met uw App, selecteert u de knop Test. U wordt omgeleid naar de aanmeldings-URL van FortiGate VPN, waar u de aanmeldingsstroom kunt initiëren.

• Ga rechtstreeks naar de aanmeldings-URL van FortiGate VPN en initieer de aanmeldingsstroom daar.

• U kunt Microsoft Mijn apps gebruiken. Wanneer u de tegel FortiGate VPN in Mijn apps selecteert, wordt u omgeleid naar de aanmeldings-URL van FortiGate VPN. Zie Inleiding tot mijn appsvoor meer informatie over mijn apps.

Volgende stappen

Zodra u FortiGate VPN hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.