Dela via

Microsoft Entra SSO-integrering med FortiGate SSL VPN

  • Artikel

I den här självstudien lär du dig att integrera FortiGate SSL VPN med Microsoft Entra-ID. När du integrerar FortiGate SSL VPN med Microsoft Entra-ID kan du:

  • Använd Microsoft Entra-ID för att styra vem som har åtkomst till FortiGate SSL VPN.
  • Gör så att dina användare automatiskt loggas in på FortiGate SSL VPN med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats: Azure-portalen.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • Ett FortiGate SSL VPN med enkel inloggning (SSO) aktiverat.

Beskrivning av handledning

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

FortiGate SSL VPN stöder SP-initierad enkel inloggning.

För att konfigurera integreringen av FortiGate SSL VPN i Microsoft Entra-ID måste du lägga till FortiGate SSL VPN från galleriet i din lista över hanterade SaaS-appar:

  1. Logga in på administrationscentret för Microsoft Entra som minst en molnprogramadministratör.
  2. Bläddra till Identity>Applications>Företagsapplikationer>Ny applikation.
  3. I avsnittet Lägg till från galleriet anger du FortiGate SSL VPN- i sökrutan.
  4. Välj FortiGate SSL VPN- i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Alternativt kan du också använda konfigurationsguiden för Enterprise-app. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller och gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för FortiGate SSL VPN

Du konfigurerar och testar Microsoft Entra SSO med FortiGate SSL VPN med hjälp av en testanvändare med namnet B.Simon. För SSO att fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och motsvarande SAML SSO-användargrupp i FortiGate SSL VPN.

Om du vill konfigurera och testa Microsoft Entra SSO med FortiGate SSL VPN utför du följande övergripande steg:

  1. Konfigurera Microsoft Entra SSO- för att aktivera funktionen för dina användare.
    1. Skapa en Microsoft Entra-testanvändare för att testa enkel inloggning med Microsoft Entra.
    2. Bevilja åtkomst till testanvändaren för att aktivera enkel inloggning med Microsoft Entra för den användaren.
  2. Konfigurera FortiGate SSL VPN SSO- på programsidan.
    1. Skapa en FortiGate SAML SSO-användargrupp som motsvarighet till Microsoft Entra-representationen av användaren.
  3. Testa SSO- för att verifiera att konfigurationen fungerar.

Konfigurera Microsoft Entra SSO

Följ dessa steg för att aktivera Enkel inloggning med Microsoft Entra i Azure-portalen:

  1. Logga in på Microsoft Entras administrationscenter som minst en molnprogramadministratör.

  2. Bläddra till Identity>Applications>företagsprogram>FortiGate SSL VPN programintegrationssida. I avsnittet Hantera väljer du single sign-on.

  3. På sidan Välj en metod för enkel inloggning väljer du SAML.

  4. På sidan Konfigurera enkel Sign-On med SAML väljer du knappen Redigera för Grundläggande SAML-konfiguration för att redigera inställningarna:

    Skärmbild som visar grundläggande SAML-konfigurationssida.

  5. På sidan Konfigurera enkel Sign-On med SAML anger du följande värden:

    a. I rutan Identifierare anger du en URL i mönstret https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata.

    b. I rutan Svars-URL anger du en URL i mönstret https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    c. I rutan Inloggnings-URL anger du en URL i mönstret https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/login.

    d. I rutan utloggnings-URL anger du en URL i mönstret https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logout.

    Obs

    Dessa värden är bara mönster. Du måste använda den faktiska inloggnings-URL:en, Identifierare, svars-URLoch utloggnings-URL som har konfigurerats på FortiGate. FortiGate-stöd måste ange rätt värden för miljön.

  6. FortiGate SSL VPN-programmet förväntar sig SAML-intyg i ett specifikt format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen. Följande skärmbild visar listan med standardattribut.

    Skärmbild av avsnittet Attribut och anspråk.

  7. De anspråk som krävs av FortiGate SSL VPN visas i följande tabell. Namnen på dessa anspråk måste matcha de namn som används i kommandoradskonfigurationen Perform FortiGate i den här självstudien. Namn är skiftlägeskänsliga.

    Namn Källattribut
    användarnamn user.userprincipalname
    grupp användargrupper

    Så här skapar du fler anspråk:

    a. Bredvid användarattribut & anspråkväljer du Redigera.

    b. Välj Lägg till nytt anspråk.

    c. För Namnanger du användarnamn.

    d. För Källattributväljer du user.userprincipalname.

    e. Välj Spara.

    Not

    Användarattribut & Anspråk tillåter endast ett gruppanspråk. För att lägga till ett gruppanspråk, ta bort det befintliga gruppanspråket user.groups [SecurityGroup] som redan finns i anspråken för att kunna lägga till det nya anspråket eller redigera det befintliga till Alla grupper.

    f. Välj Lägg till ett gruppanspråk.

    g. Välj Alla grupper.

    h. Under Avancerade alternativmarkerar du kryssrutan Anpassa namnet på gruppanspråket.

    i. För Namnanger du grupp.

    j. Välj Spara.

  8. På sidan Konfigurera Single Sign-On med SAML går du till avsnittet SAML-signeringscertifikat och väljer länken Ladda ned bredvid Certificate (Base64) för att ladda ned certifikatet och spara det på datorn.

    Skärmbild som visar länken för nedladdning av certifikat.

  9. I avsnittet Konfigurera FortiGate SSL VPN kopierar du lämpliga URL:er eller URL:er baserat på dina krav:

    Skärmbild som visar konfigurations-URL:er.

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra med minst behörighet som användaradministratör.
  2. Bläddra till Identitet>Användare>Alla Användare.
  3. Välj Ny användare>Skapa ny användareöverst på skärmen.
  4. Följ dessa steg i egenskaperna Användare:
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned värdet som visas i rutan Lösenord.
    4. Välj Granska och skapa.
  5. Välj Skapa.

Bevilja åtkomst till testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge användaren åtkomst till FortiGate SSL VPN.

  1. Bläddra till Identity>Applications>företagsapplikationer.
  2. I programlistan väljer du FortiGate SSL VPN.
  3. På appens översiktssida går du till avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare, välj sedan Användare och grupper i dialogrutan Tillagd tilldelning.
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och väljer sedan knappen Välj längst ned på skärmen.
  6. Om du förväntar dig något rollvärde i SAML-försäkran i dialogrutan Välj roll väljer du lämplig roll för användaren i listan. Välj knappen Välj längst ned på skärmen.
  7. I dialogrutan Lägg till uppgift väljer du Tilldela.

Skapa en säkerhetsgrupp för testanvändaren

I det här avsnittet skapar du en säkerhetsgrupp i Microsoft Entra-ID för testanvändaren. FortiGate använder den här säkerhetsgruppen för att ge användaren nätverksåtkomst via VPN.

  1. I administrationscenter för Microsoft Entra navigerar du till Identity>Groups>New group.
  2. Utför följande steg i egenskaperna för Ny grupp:
    1. I listan Grupptyp väljer du Security.
    2. I rutan Gruppnamn skriver du in FortiGateAccess.
    3. I rutan Gruppbeskrivning anger du Grupp för att bevilja FortiGate VPN-åtkomst.
    4. För inställningen Microsoft Entra-roller kan tilldelas till gruppen (förhandsversion), väljer du Nej.
    5. I rutan Medlemskapstyp väljer du Tilldelad.
    6. Under Medlemmarväljer du Inga medlemmar har valts.
    7. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och väljer sedan knappen Välj längst ned på skärmen.
    8. Välj Skapa.
  3. När du är tillbaka i avsnittet Grupper i Microsoft Entra-ID hittar du gruppen FortiGate Access och noterar objekt-ID:t. Du behöver det senare.

Konfigurera SSL VPN SSO för FortiGate

Ladda upp Base64 SAML-certifikatet till FortiGate-installationen

När du har slutfört SAML-konfigurationen av FortiGate-appen i klientorganisationen laddade du ned det Base64-kodade SAML-certifikatet. Du måste ladda upp det här certifikatet till FortiGate-installationen:

  1. Logga in på hanteringsportalen för din FortiGate-installation.
  2. I den vänstra rutan väljer du System.
  3. Under Systemväljer du Certifikat.
  4. Välj Importera>fjärrcertifikat.
  5. Bläddra till certifikatet som laddats ned från Distributionen av FortiGate-appen i Azure-klientorganisationen, välj det och välj sedan OK.

När certifikatet har laddats upp noterar du namnet under System>Certificates>Remote Certificate. Som standard heter den REMOTE_Cert_N, där N är ett heltalsvärde.

Slutför konfigurationen av FortiGate-kommandoraden

Även om du kan konfigurera enkel inloggning från användargränssnittet sedan FortiOS 7.0 gäller CLI-konfigurationerna för alla versioner och visas därför här.

För att slutföra de här stegen behöver du de värden som du registrerade tidigare:

FortiGate SAML CLI-inställning Motsvarande Azure-konfiguration
SP-entitets-ID (entity-id) Identifier (entitets-ID)
SP-url för enkel inloggning (single-sign-on-url) Svars-URL (URL för konsumenttjänst för försäkran)
URL för enkel utloggning för SP (single-logout-url) Utloggnings-URL
IdP-entitets-ID (idp-entity-id) Microsoft Entra-identifierare
URL för enkel inloggning med IdP (idp-single-sign-on-url) Azure-inloggnings-URL
URL för enkel inloggning med IdP (idp-single-logout-url) Url för azure-utloggning
IdP-certifikat (idp-cert) Base64 SAML-certifikatnamn (REMOTE_Cert_N)
Användarnamnattribut (user-name) användarnamn
Gruppnamnattribut (group-name) grupp

Not

Inloggnings-URL:en under Grundläggande SAML-konfiguration används inte i FortiGate-konfigurationerna. Den används för att utlösa SP-initierad enkel inloggning för att omdirigera användaren till SSL VPN-portalsidan.

  1. Upprätta en SSH-session till din FortiGate-installation och logga in med ett FortiGate-administratörskonto.

  2. Kör dessa kommandon och ersätt <values> med den information som du samlade in tidigare:

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

Konfigurera FortiGate för gruppmatchning

I det här avsnittet konfigurerar du FortiGate för att identifiera objekt-ID för säkerhetsgruppen som innehåller testanvändaren. Med den här konfigurationen kan FortiGate fatta åtkomstbeslut baserat på gruppmedlemskapet.

För att slutföra de här stegen behöver du objekt-ID:t för säkerhetsgruppen FortiGateAccess som du skapade tidigare i den här självstudien.

  1. Upprätta en SSH-session till din FortiGate-installation och logga in med ett FortiGate-administratörskonto.

  2. Kör följande kommandon:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

Skapa FortiGate VPN-portaler och brandväggspolicy

I det här avsnittet konfigurerar du en FortiGate VPN-portal och brandväggspolicy som ger åtkomst till säkerhetsgruppen FortiGateAccess som du skapade tidigare i den här handledningen.

Se Konfigurera SAML SSO-inloggning för SSL VPN med Microsoft Entra ID som fungerar som SAML IdP för instruktioner.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

  • I steg 5 i Azure SSO-konfigurationen *Testa enkel inloggning med din appväljer du knappen Testa. Detta omdirigeras till FortiGate VPN-inloggnings-URL där du kan initiera inloggningsflödet.

  • Gå till FortiGate VPN-inloggnings-URL direkt och initiera inloggningsflödet därifrån.

  • Du kan använda Microsoft My Apps. När du väljer FortiGate VPN-panelen i Mina appar omdirigeras detta till Url för inloggning med FortiGate VPN. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat FortiGate VPN kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för Cloud Apps.