Sut i Sefydlu Dilysiad Hailbytes VPN
Cyflwyniad
Nawr bod gennych HailBytes VPN wedi'i osod a'i ffurfweddu, gallwch ddechrau archwilio rhai o'r nodweddion diogelwch sydd gan HailBytes i'w cynnig. Gallwch wirio ein blog am gyfarwyddiadau gosod a nodweddion ar gyfer y VPN. Yn yr erthygl hon, byddwn yn ymdrin â'r dulliau dilysu a gefnogir gan HailBytes VPN a sut i ychwanegu dull dilysu.
Trosolwg
Mae HailBytes VPN yn cynnig sawl dull dilysu ar wahân i ddilysu lleol traddodiadol. Er mwyn lleihau risgiau diogelwch, rydym yn argymell analluogi dilysiadau lleol. Yn lle hynny, rydym yn argymell dilysu aml-ffactor (MFA), OpenID Connect, neu SAML 2.0.
- Mae MFA yn ychwanegu haen ychwanegol o ddiogelwch ar ben dilysu lleol. Mae HailBytes VPN yn cynnwys fersiynau adeiledig lleol a chefnogaeth ar gyfer MFA allanol ar gyfer llawer o ddarparwyr hunaniaeth poblogaidd fel Okta, Azure AD, ac Onelogin.
- Mae OpenID Connect yn haen hunaniaeth sydd wedi'i hadeiladu ar brotocol OAuth 2.0. Mae'n darparu ffordd ddiogel a safonol i ddilysu a chael gwybodaeth defnyddiwr gan ddarparwr hunaniaeth heb orfod mewngofnodi sawl gwaith.
- Mae SAML 2.0 yn safon agored sy'n seiliedig ar XML ar gyfer cyfnewid gwybodaeth ddilysu ac awdurdodi rhwng partïon. Mae'n galluogi defnyddwyr i ddilysu unwaith gyda darparwr hunaniaeth heb orfod ail-ddilysu i gael mynediad at wahanol gymwysiadau.
OpenID Connect ag Azure Set up
Yn yr adran hon, byddwn yn mynd dros yn fyr sut i integreiddio eich darparwr hunaniaeth gan ddefnyddio Dilysu Aml-Ffactor OIDC. Mae'r canllaw hwn wedi'i anelu at ddefnyddio Azure Active Directory. Efallai y bydd gan wahanol ddarparwyr hunaniaeth gyfluniadau anghyffredin a materion eraill.
- Rydym yn argymell eich bod yn defnyddio un o'r darparwyr sydd wedi'u cefnogi a'u profi'n llawn: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0, a Google Workspace.
- Os nad ydych yn defnyddio darparwr OIDC a argymhellir, mae angen y ffurfweddiadau canlynol.
a) discovery_document_uri: Ffurfweddiad darparwr OpenID Connect URI sy'n dychwelyd dogfen JSON a ddefnyddiwyd i lunio ceisiadau dilynol i'r darparwr OIDC hwn. Mae rhai darparwyr yn cyfeirio at hyn fel yr “URL adnabyddus”.
b) client_id: ID cleient y cais.
c) client_secret: Cyfrinach cleient y cais.
d) redirect_uri: Yn cyfarwyddo darparwr OIDC ble i ailgyfeirio ar ôl dilysu. Dyma ddylai fod eich Firezone EXTERNAL_URL + /auth/oidc/ /callback/, ee https://firezone.example.com/auth/oidc/google/callback/ .
e) response_type: Wedi'i osod i'r cod.
f) cwmpas: scopes OIDC i'w cael gan eich darparwr OIDC. O leiaf, mae angen y cwmpasau openid ac e-bost ar Firezone.
g) label: Y testun label botwm a ddangosir ar dudalen mewngofnodi porth Firezone.
- Llywiwch i dudalen Azure Active Directory ar borth Azure. Dewiswch y ddolen cofrestriadau Ap o dan y ddewislen Rheoli, cliciwch Cofrestru Newydd, a chofrestrwch ar ôl nodi'r canlynol:
a) Enw: Firezone
b) Mathau o gyfrifon â chymorth: (Cyfeirlyfr Diofyn yn unig – Tenant sengl)
c) Ailgyfeirio URI: Dylai hwn fod yn Firezone EXTERNAL_URL + /auth/oidc/ /callback/, ee https://firezone.example.com/auth/oidc/azure/callback/ .
- Ar ôl cofrestru, agorwch olwg manylion y cais a chopïwch ID y Cais (cleient). Hwn fydd y gwerth client_id.
- Agorwch y ddewislen endpoints i adalw dogfen metadata OpenID Connect. Hwn fydd y gwerth discover_document_uri.
- Dewiswch y ddolen Tystysgrifau a chyfrinachau o dan y ddewislen Rheoli a chreu cyfrinach cleient newydd. Copïwch gyfrinach y cleient. Hwn fydd y gwerth client_secret.
- Dewiswch y ddolen caniatâd API o dan y ddewislen Rheoli, cliciwch Ychwanegu caniatâd, a dewiswch Microsoft Graph. Ychwanegu e-bost, openid, offline_access a phroffil at y caniatadau gofynnol.
- Llywiwch i'r dudalen / gosodiadau / diogelwch yn y porth gweinyddol, cliciwch “Ychwanegu Darparwr Cyswllt OpenID” a nodwch y manylion a gawsoch yn y camau uchod.
- Galluogi neu analluogi'r opsiwn Auto create User i greu defnyddiwr di-freintiedig yn awtomatig wrth fewngofnodi trwy'r mecanwaith dilysu hwn.
Llongyfarchiadau! Dylech weld botwm Mewngofnodi gydag Azure ar eich tudalen mewngofnodi.
Casgliad
Mae HailBytes VPN yn cynnig amrywiaeth o ddulliau dilysu, gan gynnwys dilysu aml-ffactor, OpenID Connect, a SAML 2.0. Trwy integreiddio OpenID Connect ag Azure Active Directory fel y dangosir yn yr erthygl, gall eich gweithlu gael mynediad cyfleus a diogel i'ch adnoddau ar y Cloud neu AWS.
