Nola konfiguratu Hailbytes VPN autentifikazioa
Sarrera
HailBytes VPN konfiguratuta eta konfiguratuta daukazula, HailBytes-ek eskaintzen dituen segurtasun-eginbide batzuk aztertzen has zaitezke. Gure bloga kontsulta dezakezu VPNaren konfigurazio argibideak eta funtzioak ikusteko. Artikulu honetan, HailBytes VPN-ek onartzen dituen autentifikazio-metodoak eta autentifikazio-metodo bat nola gehitu azalduko dugu.
Orokorra
HailBytes VPN-k hainbat autentifikazio metodo eskaintzen ditu tokiko autentifikazio tradizionalez gain. Segurtasun arriskuak murrizteko, tokiko autentifikazioak desgaitzea gomendatzen dugu. Horren ordez, faktore anitzeko autentifikazioa (MFA), OpenID Connect edo SAML 2.0 gomendatzen dugu.
- MFAk segurtasun-geruza gehigarri bat gehitzen du tokiko autentifikazioaren gain. HailBytes VPN-ek tokiko bertsio integratuak eta kanpoko MFArako euskarria barne hartzen ditu Okta, Azure AD eta Onelogin bezalako identitate-hornitzaile ezagun askorentzat.
- OpenID Connect OAuth 2.0 protokoloan eraikitako identitate-geruza bat da. Nortasun-hornitzaile baten erabiltzaileen informazioa autentifikatu eta lortzeko modu seguru eta estandarizatu bat eskaintzen du hainbat aldiz saioa hasi beharrik gabe.
- SAML 2.0 XML-n oinarritutako estandar irekia da alderdien artean autentifikazio- eta baimen-informazioa trukatzeko. Erabiltzaileei identitate-hornitzaile batekin behin autentifikatzeko aukera ematen die, aplikazio desberdinetara sartzeko berriro autentifikatu beharrik gabe.
OpenID Konektatu Azure konfigurazioarekin
Atal honetan, zure identitate-hornitzailea OIDC Faktore Anitzeko Autentifikazioa erabiliz nola integratu azalduko dugu. Gida hau Azure Active Directory erabiltzera zuzenduta dago. Identitate-hornitzaile ezberdinek konfigurazio ezohikoak eta beste arazo batzuk izan ditzakete.
- Guztiz onartzen eta probatu den hornitzaileetako bat erabiltzea gomendatzen dugu: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 eta Google Workspace.
- Ez baduzu gomendatutako OIDC hornitzailerik erabiltzen, honako konfigurazio hauek behar dira.
a) discovery_document_uri: OpenID Connect hornitzailearen konfigurazio URIa, OIDC hornitzaile honi ondorengo eskaerak eraikitzeko erabilitako JSON dokumentu bat itzultzen diona. Hornitzaile batzuek "URL ezaguna" gisa aipatzen dute.
b) client_id: aplikazioaren bezero IDa.
c) client_secret: aplikazioaren bezero sekretua.
d) redirect_uri: OIDC hornitzaileari autentifikazioaren ondoren nora birbideratu behar den adierazten dio. Hau zure Firezone EXTERNAL_URL + /auth/oidc/ izan beharko luke /callback/, adibidez, https://firezone.example.com/auth/oidc/google/callback/.
e) response_type: Ezarri kodean.
f) esparrua: OIDC esparruak zure OIDC hornitzailetik lortzeko. Gutxienez, Firezone-k openid eta posta elektronikoaren esparruak behar ditu.
g) etiketa: Firezone atariko saioa hasteko orrian bistaratzen den botoiaren etiketa-testua.
- Nabigatu Azure Active Directory orrira Azure atariko. Hautatu Kudeatu menuko aplikazioen erregistroak esteka, sakatu Erregistro berria eta erregistratu honako hau idatzi ondoren:
a) Izena: Firezone
b) Onartutako kontu motak: (Direktorio lehenetsia soilik - Maizter bakarra)
c) Birbideratzeko URIa: hau zure Firezone EXTERNAL_URL + /auth/oidc/ izan beharko luke /callback/, adibidez, https://firezone.example.com/auth/oidc/azure/callback/.
- Erregistratu ondoren, ireki aplikazioaren xehetasunen ikuspegia eta kopiatu Aplikazioaren (bezeroaren) IDa. Hau client_id balioa izango da.
- Ireki amaierako puntuen menua OpenID Connect metadatuen dokumentua berreskuratzeko. Discovery_document_uri balioa izango da.
- Hautatu Kudeatu menuko Ziurtagiriak eta sekretuak esteka eta sortu bezero sekretu berri bat. Kopiatu bezeroaren sekretua. Hau client_secret balioa izango da.
- Hautatu Kudeatu menuko API baimenen esteka, egin klik Gehitu baimen bat eta hautatu Microsoft Graph. Gehitu posta elektronikoa, openid, offline_access eta profila behar diren baimenetara.
- Nabigatu administrazio atariko /settings/security orrira, egin klik "Gehitu OpenID Connect Provider" eta idatzi goiko urratsetan lortu dituzun xehetasunak.
- Gaitu edo desgaitu Erabiltzaileak sortu automatikoki aukera, autentifikazio-mekanismo honen bidez saioa hastean pribilegiorik gabeko erabiltzaile bat automatikoki sortzeko.
Zorionak! Saioa hasteko Azure botoia ikusi beharko zenuke zure saioa hasteko orrian.
Ondorioa
HailBytes VPN-k hainbat autentifikazio-metodo eskaintzen ditu, faktore anitzeko autentifikazioa, OpenID Connect eta SAML 2.0 barne. OpenID Connect Azure Active Directory-n integratuz artikuluan frogatzen den moduan, zure langileak zure baliabideak Hodeian edo AWS-n eroso eta seguru atzi ditzake.