Comment configurer l'authentification VPN Hailbytes

Introduction

Maintenant que vous avez configuré et configuré le VPN HailBytes, vous pouvez commencer à explorer certaines des fonctionnalités de sécurité que HailBytes a à offrir. Vous pouvez consulter notre blog pour les instructions de configuration et les fonctionnalités du VPN. Dans cet article, nous aborderons les méthodes d'authentification prises en charge par HailBytes VPN et comment ajouter une méthode d'authentification.

Vue d’ensemble

HailBytes VPN propose plusieurs méthodes d'authentification en plus de l'authentification locale traditionnelle. Pour réduire les risques de sécurité, nous vous recommandons de désactiver les authentifications locales. Au lieu de cela, nous recommandons l'authentification multifacteur (MFA), OpenID Connect ou SAML 2.0.

  • MFA ajoute une couche de sécurité supplémentaire en plus de l'authentification locale. HailBytes VPN inclut des versions locales intégrées et la prise en charge de MFA externe pour de nombreux fournisseurs d'identité populaires comme Okta, Azure AD et Onelogin.

 

  • OpenID Connect est une couche d'identité basée sur le protocole OAuth 2.0. Il fournit un moyen sécurisé et normalisé d'authentifier et d'obtenir des informations utilisateur auprès d'un fournisseur d'identité sans avoir à se connecter plusieurs fois.

 

  • SAML 2.0 est une norme ouverte basée sur XML pour l'échange d'informations d'authentification et d'autorisation entre les parties. Il permet aux utilisateurs de s'authentifier une fois auprès d'un fournisseur d'identité sans avoir à s'authentifier à nouveau pour accéder à différentes applications.

Configuration d'OpenID Connect avec Azure

Dans cette section, nous verrons brièvement comment intégrer votre fournisseur d'identité à l'aide de l'authentification multifacteur OIDC. Ce guide est orienté vers l'utilisation d'Azure Active Directory. Différents fournisseurs d'identité peuvent avoir des configurations inhabituelles et d'autres problèmes.

  • Nous vous recommandons d'utiliser l'un des fournisseurs entièrement pris en charge et testés : Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 et Google Workspace.
  • Si vous n'utilisez pas un fournisseur OIDC recommandé, les configurations suivantes sont requises.

           a) discovery_document_uri : L'URI de configuration du fournisseur OpenID Connect qui renvoie un document JSON utilisé pour construire des demandes ultérieures à ce fournisseur OIDC. Certains fournisseurs appellent cela «l'URL bien connue».

          b) client_id : L'ID client de l'application.

          c) client_secret : Le secret client de l'application.

          d) redirect_uri : indique au fournisseur OIDC où rediriger après l'authentification. Cela devrait être votre Firezone EXTERNAL_URL + /auth/oidc/ /callback/, par exemple https://firezone.example.com/auth/oidc/google/callback/.

          e) type_réponse : défini sur code.

          f) portée : portées OIDC à obtenir auprès de votre fournisseur OIDC. Au minimum, Firezone requiert les champs d'application openid et email.

          g) label : le texte du libellé du bouton affiché sur la page de connexion au portail Firezone.

  • Accédez à la page Azure Active Directory sur le portail Azure. Sélectionnez le lien Enregistrements d'applications dans le menu Gérer, cliquez sur Nouvel enregistrement et enregistrez-vous après avoir saisi ce qui suit :

          a) Nom : Firezone

          b) Types de compte pris en charge : (Répertoire par défaut uniquement - Client unique)

          c) URI de redirection : il doit s'agir de votre Firezone EXTERNAL_URL + /auth/oidc/ /callback/, par exemple https://firezone.example.com/auth/oidc/azure/callback/.

  • Après l'enregistrement, ouvrez la vue détaillée de l'application et copiez l'ID de l'application (client). Ce sera la valeur client_id.
  • Ouvrez le menu des terminaux pour récupérer le document de métadonnées OpenID Connect. Ce sera la valeur discovery_document_uri.

 

  • Sélectionnez le lien Certificats et secrets dans le menu Gérer et créez un nouveau secret client. Copiez la clé secrète du client. Ce sera la valeur client_secret.

 

  • Sélectionnez le lien Autorisations API dans le menu Gérer, cliquez sur Ajouter une autorisation et sélectionnez Microsoft Graph. Ajoutez email, openid, offline_access et profile aux autorisations requises.

 

  • Accédez à la page /settings/security du portail d'administration, cliquez sur "Ajouter un fournisseur OpenID Connect" et entrez les détails que vous avez obtenus dans les étapes ci-dessus.

 

  • Activez ou désactivez l'option Créer automatiquement des utilisateurs pour créer automatiquement un utilisateur sans privilège lors de la connexion via ce mécanisme d'authentification.

 

Toutes nos félicitations! Vous devriez voir un bouton Se connecter avec Azure sur votre page de connexion.

Conclusion

HailBytes VPN offre une variété de méthodes d'authentification, y compris l'authentification multifacteur, OpenID Connect et SAML 2.0. En intégrant OpenID Connect à Azure Active Directory, comme illustré dans l'article, votre personnel peut accéder facilement et en toute sécurité à vos ressources sur le Cloud ou AWS.

Commencez maintenant sur AWS

Services

Notre Entreprise

Adresse

Octets de grêle

9511 Queens Guard CT.

Laurier, MD 20723

Téléphone: (732) 771-9995

Courriel : info@hailbytes.com

Solutions

FAQ sur la sécurité

Réseaux Sociaux