Kuidas seadistada Hailbytes VPN-i autentimist

Selles jaotises käsitleme lühidalt, kuidas integreerida oma identiteedipakkuja OIDC mitmefaktorilise autentimise abil. See juhend on mõeldud Azure Active Directory kasutamiseks. Erinevatel identiteedipakkujatel võib esineda ebatavalisi konfiguratsioone ja muid probleeme.

• Soovitame kasutada ühte täielikult toetatud ja testitud pakkujatest: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 ja Google Workspace.

• Kui te ei kasuta soovitatud OIDC pakkujat, on vaja järgmisi konfiguratsioone.

           a) discovery_document_uri: OpenID Connecti pakkuja konfiguratsiooni URI, mis tagastab JSON-dokumendi, mida kasutatakse sellele OIDC pakkujale järgnevate päringute koostamiseks. Mõned pakkujad nimetavad seda "tuntud URL-iks".

          b) client_id: rakenduse kliendi ID.

          c) client_secret: rakenduse kliendisaladus.

          d) redirect_uri: juhendab OIDC pakkujat, kuhu pärast autentimist ümber suunata. See peaks olema teie Firezone'i EXTERNAL_URL + /auth/oidc/ /callback/, nt https://firezone.example.com/auth/oidc/google/callback/.

          e) vastuse_tüüp: määrake koodile.

          f) ulatus: OIDC ulatused, mille saate hankida oma OIDC pakkujalt. Firezone nõuab vähemalt avatud ID-d ja e-posti ulatust.

          g) silt: Firezone'i portaali sisselogimislehel kuvatav nupusildi tekst.

• Navigeerige Azure'i portaalis lehele Azure Active Directory. Valige menüü Halda all link Rakenduste registreerimised, klõpsake nuppu Uus registreerimine ja registreeruge pärast järgmise sisestamist.

          a) Nimi: Firezone

          b) Toetatud kontotüübid: (ainult vaikekataloog – üks rentnik)

          c) Ümbersuunamise URI: see peaks olema teie Firezone'i EXTERNAL_URL + /auth/oidc/ /callback/, nt https://firezone.example.com/auth/oidc/azure/callback/.

• Pärast registreerimist avage rakenduse üksikasjade vaade ja kopeerige rakenduse (kliendi) ID. See on kliendi_id väärtus.
• OpenID Connecti metaandmete dokumendi toomiseks avage lõpp-punktide menüü. See on discovery_document_uri väärtus.

• Valige menüü Halda alt link Sertifikaadid ja saladused ja looge uus kliendisaladus. Kopeerige kliendi saladus. See on väärtus client_secret.

• Valige menüüst Halda link API load, klõpsake käsul Lisa luba ja valige Microsoft Graph. Lisage vajalikele lubadele e-post, avatud ID, offline_access ja profiil.

• Liikuge administraatoriportaalis lehele /settings/security, klõpsake "Lisa OpenID Connect Provider" ja sisestage ülaltoodud sammude käigus saadud andmed.

• Lubage või keelake suvand Loo kasutajaid automaatselt, et luua selle autentimismehhanismi kaudu sisselogimisel automaatselt privilegeerimata kasutaja.

Palju õnne! Peaksite oma sisselogimislehel nägema nuppu Logi sisse Azure'iga.