Hailbytes VPN Kimlik Doğrulaması Nasıl Kurulur
Giriş
Artık HailBytes VPN kurulumuna ve yapılandırmasına sahip olduğunuza göre, HailBytes'in sunduğu bazı güvenlik özelliklerini keşfetmeye başlayabilirsiniz. Kurulum talimatları ve VPN özellikleri için blogumuza göz atabilirsiniz. Bu yazıda, HailBytes VPN tarafından desteklenen kimlik doğrulama yöntemlerini ve kimlik doğrulama yönteminin nasıl ekleneceğini ele alacağız.
Genel Bakış
HailBytes VPN, geleneksel yerel kimlik doğrulamanın yanı sıra çeşitli kimlik doğrulama yöntemleri sunar. Güvenlik risklerini azaltmak için yerel kimlik doğrulamalarını devre dışı bırakmanızı öneririz. Bunun yerine çok faktörlü kimlik doğrulama (MFA), OpenID Connect veya SAML 2.0 öneririz.
- MFA, yerel kimlik doğrulamanın üzerine ek bir güvenlik katmanı ekler. HailBytes VPN, Okta, Azure AD ve Onelogin gibi birçok popüler kimlik sağlayıcı için yerel yerleşik sürümler ve harici MFA desteği içerir.
- OpenID Connect, OAuth 2.0 protokolü üzerine kurulu bir kimlik katmanıdır. Birden çok kez oturum açmak zorunda kalmadan bir kimlik sağlayıcıdan kimlik doğrulaması yapmak ve kullanıcı bilgilerini almak için güvenli ve standartlaştırılmış bir yol sağlar.
- SAML 2.0, taraflar arasında kimlik doğrulama ve yetkilendirme bilgilerinin değiş tokuşu için XML tabanlı bir açık standarttır. Kullanıcıların, farklı uygulamalara erişmek için yeniden kimlik doğrulaması yapmak zorunda kalmadan bir kimlik sağlayıcıyla bir kez kimlik doğrulaması yapmasına olanak tanır.
Azure Kurulumu ile OpenID Connect
Bu bölümde, OIDC Çok Faktörlü Kimlik Doğrulamayı kullanarak kimlik sağlayıcınızı nasıl entegre edeceğinizi kısaca ele alacağız. Bu kılavuz, Azure Active Directory kullanımına yöneliktir. Farklı kimlik sağlayıcıların alışılmadık yapılandırmaları ve başka sorunları olabilir.
- Tam olarak desteklenen ve test edilen sağlayıcılardan birini kullanmanızı öneririz: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 ve Google Workspace.
- Önerilen bir OIDC sağlayıcı kullanmıyorsanız, aşağıdaki yapılandırmalar gereklidir.
a) discovery_document_uri: Bu OIDC sağlayıcısına sonraki istekleri oluşturmak için kullanılan bir JSON belgesini döndüren OpenID Connect sağlayıcı yapılandırma URI'si. Bazı sağlayıcılar buna "iyi bilinen URL" adını verir.
b) client_id: Uygulamanın müşteri kimliği.
c) client_secret: Uygulamanın istemci sırrı.
d) redirect_uri: OIDC sağlayıcısına, kimlik doğrulamasından sonra nereye yönlendirileceğini bildirir. Bu, Firezone'unuz EXTERNAL_URL + /auth/oidc/ olmalıdır. /callback/, örneğin https://firezone.example.com/auth/oidc/google/callback/.
e) yanıt_türü: Kod olarak ayarlayın.
f) kapsam: OIDC sağlayıcınızdan alacağınız OIDC kapsamları. En azından Firezone, openid ve e-posta kapsamlarını gerektirir.
g) etiket: Firezone portalı oturum açma sayfasında görüntülenen düğme etiketi metni.
- Azure portalında Azure Active Directory sayfasına gidin. Yönet menüsü altındaki Uygulama kayıtları bağlantısını seçin, Yeni Kayıt'a tıklayın ve aşağıdakileri girdikten sonra kaydolun:
a) İsim: Firezone
b) Desteklenen hesap türleri: (Yalnızca Varsayılan Dizin – Tek kiracı)
c) Yönlendirme URI'si: Bu sizin Firezone EXTERNAL_URL'niz + /auth/oidc/ olmalıdır /callback/, örneğin https://firezone.example.com/auth/oidc/azure/callback/.
- Kaydolduktan sonra, uygulamanın ayrıntılar görünümünü açın ve Uygulama (müşteri) kimliğini kopyalayın. Bu, client_id değeri olacaktır.
- OpenID Connect meta veri belgesini almak için uç noktalar menüsünü açın. Bu discovery_document_uri değeri olacaktır.
- Yönet menüsü altındaki Sertifikalar ve sırlar bağlantısını seçin ve yeni bir istemci sırrı oluşturun. İstemci sırrını kopyalayın. Bu, client_secret değeri olacaktır.
- Yönet menüsü altındaki API izinleri bağlantısını seçin, İzin ekle'ye tıklayın ve Microsoft Graph'ı seçin. Gerekli izinlere e-posta, openid, offline_access ve profil ekleyin.
- Yönetici portalında /settings/security sayfasına gidin, "OpenID Connect Provider Ekle"ye tıklayın ve yukarıdaki adımlarda elde ettiğiniz ayrıntıları girin.
- Bu kimlik doğrulama mekanizması aracılığıyla oturum açarken ayrıcalığı olmayan bir kullanıcıyı otomatik olarak oluşturmak için Kullanıcıları otomatik oluştur seçeneğini etkinleştirin veya devre dışı bırakın.
Tebrikler! Oturum açma sayfanızda Azure ile Oturum Aç düğmesini görmelisiniz.
Sonuç
HailBytes VPN, çok faktörlü kimlik doğrulama, OpenID Connect ve SAML 2.0 dahil olmak üzere çeşitli kimlik doğrulama yöntemleri sunar. Makalede gösterildiği gibi OpenID Connect'i Azure Active Directory ile entegre ederek iş gücünüz Bulut veya AWS üzerindeki kaynaklarınıza rahat ve güvenli bir şekilde erişebilir.
