Cum să configurați autentificarea Hailbytes VPN

În această secțiune, vom analiza pe scurt cum să vă integrați furnizorul de identitate utilizând autentificarea multifactor OIDC. Acest ghid este orientat spre utilizarea Azure Active Directory. Diferiți furnizori de identitate pot avea configurații neobișnuite și alte probleme.

• Vă recomandăm să utilizați unul dintre furnizorii care au fost pe deplin acceptați și testați: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 și Google Workspace.

• Dacă nu utilizați un furnizor OIDC recomandat, sunt necesare următoarele configurații.

           a) discovery_document_uri: URI-ul de configurare a furnizorului OpenID Connect care returnează un document JSON utilizat pentru a construi cereri ulterioare către acest furnizor OIDC. Unii furnizori se referă la aceasta drept „adresa URL binecunoscută”.

          b) client_id: ID-ul clientului aplicației.

          c) client_secret: Secretul client al aplicației.

          d) redirect_uri: indică furnizorului OIDC unde să redirecționeze după autentificare. Acesta ar trebui să fie Firezone EXTERNAL_URL + /auth/oidc/ /callback/, de exemplu https://firezone.example.com/auth/oidc/google/callback/.

          e) response_type: Setați la cod.

          f) domeniul de aplicare: domenii OIDC de obținut de la furnizorul dumneavoastră OIDC. Cel puțin, Firezone necesită domeniile openid și e-mail.

          g) etichetă: textul etichetei butonului afișat pe pagina de conectare a portalului Firezone.

• Navigați la pagina Azure Active Directory de pe portalul Azure. Selectați linkul Înregistrări aplicații din meniul Gestionare, faceți clic pe Înregistrare nouă și înregistrați-vă după ce ați introdus următoarele:

          a) Nume: Firezone

          b) Tipuri de cont acceptate: (numai directorul implicit – chiriaș unic)

          c) URI de redirecționare: acesta ar trebui să fie Firezone EXTERNAL_URL + /auth/oidc/ /callback/, de exemplu https://firezone.example.com/auth/oidc/azure/callback/.

• După înregistrare, deschideți vizualizarea de detalii a aplicației și copiați ID-ul aplicației (client). Aceasta va fi valoarea client_id.
• Deschideți meniul de puncte finale pentru a prelua documentul de metadate OpenID Connect. Aceasta va fi valoarea discovery_document_uri.

• Selectați linkul Certificate și secrete din meniul Gestionare și creați un nou secret de client. Copiați secretul clientului. Aceasta va fi valoarea client_secret.

• Selectați linkul de permisiuni API din meniul Gestionare, faceți clic pe Adăugați o permisiune și selectați Microsoft Graph. Adăugați e-mail, openid, offline_access și profil la permisiunile necesare.

• Navigați la pagina /settings/security din portalul de administrare, faceți clic pe „Add OpenID Connect Provider” și introduceți detaliile pe care le-ați obținut în pașii de mai sus.

• Activați sau dezactivați opțiunea Creare automată a utilizatorilor pentru a crea automat un utilizator neprivilegiat atunci când vă conectați prin acest mecanism de autentificare.

Felicitări! Ar trebui să vedeți un buton Conectare cu Azure pe pagina de conectare.