Hailbytes VPN autentifikatsiyasini qanday sozlash kerak
Kirish
Endi sizda HailBytes VPN-ni o'rnatganingiz va sozlaganingizdan so'ng, HailBytes taqdim etadigan ba'zi xavfsizlik xususiyatlarini o'rganishni boshlashingiz mumkin. VPN-ni sozlash bo'yicha ko'rsatmalar va xususiyatlar uchun blogimizni tekshirishingiz mumkin. Ushbu maqolada biz HailBytes VPN tomonidan qo'llab-quvvatlanadigan autentifikatsiya usullarini va autentifikatsiya usulini qanday qo'shishni ko'rib chiqamiz.
haqida umumiy ma'lumot
HailBytes VPN an'anaviy mahalliy autentifikatsiyadan tashqari bir nechta autentifikatsiya usullarini taklif etadi. Xavfsizlik xavflarini kamaytirish uchun mahalliy autentifikatsiyani o'chirib qo'yishni tavsiya qilamiz. Buning o'rniga biz ko'p faktorli autentifikatsiya (MFA), OpenID Connect yoki SAML 2.0 ni tavsiya qilamiz.
- TIV mahalliy autentifikatsiya ustiga qo'shimcha xavfsizlik qatlamini qo'shadi. HailBytes VPN mahalliy o'rnatilgan versiyalarni va Okta, Azure AD va Onelogin kabi ko'plab mashhur identifikatsiya provayderlari uchun tashqi TIVni qo'llab-quvvatlashni o'z ichiga oladi.
- OpenID Connect - bu OAuth 2.0 protokolida qurilgan identifikatsiya qatlami. U bir necha marta tizimga kirmasdan identifikatsiya provayderidan foydalanuvchi ma'lumotlarini autentifikatsiya qilish va olishning xavfsiz va standartlashtirilgan usulini taqdim etadi.
- SAML 2.0 tomonlar o'rtasida autentifikatsiya va avtorizatsiya ma'lumotlarini almashish uchun XML-ga asoslangan ochiq standartdir. Bu foydalanuvchilarga turli ilovalarga kirish uchun qayta autentifikatsiya qilmasdan identifikatsiya provayderi bilan bir marta autentifikatsiya qilish imkonini beradi.
Azure Setup bilan OpenID Connect
Ushbu bo'limda biz OIDC ko'p faktorli autentifikatsiya yordamida identifikatsiya provayderingizni qanday integratsiya qilishni qisqacha ko'rib chiqamiz. Ushbu qo'llanma Azure Active Directory-dan foydalanishga qaratilgan. Turli xil identifikatsiya provayderlarida noodatiy konfiguratsiyalar va boshqa muammolar bo'lishi mumkin.
- Toʻliq qoʻllab-quvvatlangan va sinovdan oʻtgan provayderlardan birini ishlatishingizni tavsiya qilamiz: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 va Google Workspace.
- Tavsiya etilgan OIDC provayderidan foydalanmasangiz, quyidagi konfiguratsiyalar talab qilinadi.
a) discovery_document_uri: OpenID Connect provayder konfiguratsiyasi URI, bu OIDC provayderiga keyingi so‘rovlarni tuzishda foydalaniladigan JSON hujjatini qaytaradi. Ba'zi provayderlar buni "taniqli URL" deb atashadi.
b) client_id: ilovaning mijoz identifikatori.
c) client_secret: Ilovaning mijoz siri.
d) redirect_uri: OIDC provayderiga autentifikatsiyadan so'ng qaerga yo'naltirishni ko'rsatadi. Bu sizning Firezone EXTERNAL_URL + /auth/oidc/ bo'lishi kerak /callback/, masalan, https://firezone.example.com/auth/oidc/google/callback/.
e) javob_turi: kodni o'rnating.
f) qamrov: OIDC provayderingizdan olish uchun OIDC doiralari. Hech bo'lmaganda, Firezone openid va elektron pochta doiralarini talab qiladi.
g) yorliq: Firezone portaliga kirish sahifasida ko'rsatilgan tugma yorlig'i matni.
- Azure portalidagi Azure Active Directory sahifasiga o'ting. Boshqaruv menyusi ostidagi Ilovalarni ro'yxatdan o'tkazish havolasini tanlang, Yangi ro'yxatdan o'tish tugmasini bosing va quyidagilarni kiritgandan so'ng ro'yxatdan o'ting:
a) Nomi: Yong'in zonasi
b) Qo'llab-quvvatlanadigan hisob turlari: (Faqat standart katalog - Yagona ijarachi)
c) Qayta yo'naltirish URI: Bu sizning Firezone EXTERNAL_URL + /auth/oidc/ bo'lishi kerak. /callback/, masalan, https://firezone.example.com/auth/oidc/azure/callback/.
- Ro'yxatdan o'tgandan so'ng, ilovaning tafsilotlar ko'rinishini oching va Ilova (mijoz) identifikatoridan nusxa oling. Bu client_id qiymati bo'ladi.
- OpenID Connect metama'lumotlar hujjatini olish uchun so'nggi nuqtalar menyusini oching. Bu Discovery_document_uri qiymati bo'ladi.
- Boshqaruv menyusi ostidagi Sertifikatlar va sirlar havolasini tanlang va yangi mijoz sirini yarating. Mijoz sirini nusxalash. Bu client_secret qiymati bo'ladi.
- Boshqaruv menyusi ostidagi API ruxsatnomalari havolasini tanlang, Ruxsat qo‘shish-ni bosing va Microsoft Graph-ni tanlang. Kerakli ruxsatlarga email, openid, offline_access va profilni qo'shing.
- Administrator portalidagi /sozlamalar/xavfsizlik sahifasiga oʻting, “OpenID Connect Provayderini qoʻshish” tugmasini bosing va yuqoridagi bosqichlarda olingan maʼlumotlarni kiriting.
- Ushbu autentifikatsiya mexanizmi orqali tizimga kirishda imtiyozsiz foydalanuvchini avtomatik ravishda yaratish uchun Avtomatik foydalanuvchi yaratish opsiyasini yoqing yoki oʻchiring.
Tabriklaymiz! Kirish sahifangizda Azure bilan tizimga kirish tugmasini ko'rishingiz kerak.
Xulosa
HailBytes VPN ko'p faktorli autentifikatsiya, OpenID Connect va SAML 2.0 kabi autentifikatsiyaning turli usullarini taklif etadi. Maqolada ko'rsatilganidek, OpenID Connect-ni Azure Active Directory bilan integratsiyalash orqali sizning ishchi kuchingiz bulutli yoki AWSdagi resurslaringizga qulay va xavfsiz kirishi mumkin.
