Як наладзіць аўтэнтыфікацыю Hailbytes VPN

У гэтым раздзеле мы коратка разгледзім, як інтэграваць пастаўшчыка ідэнтыфікацыйных дадзеных з дапамогай шматфактарнай аўтэнтыфікацыі OIDC. Гэта кіраўніцтва накіравана на выкарыстанне Azure Active Directory. Розныя пастаўшчыкі пасведчанняў могуць мець незвычайныя канфігурацыі і іншыя праблемы.

• Мы рэкамендуем вам выкарыстоўваць аднаго з пастаўшчыкоў, які цалкам падтрымліваецца і пратэставаны: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 і Google Workspace.

• Калі вы не карыстаецеся рэкамендаваным пастаўшчыком OIDC, патрабуюцца наступныя канфігурацыі.

           a) discovery_document_uri: URI канфігурацыі пастаўшчыка OpenID Connect, які вяртае дакумент JSON, які выкарыстоўваецца для стварэння наступных запытаў да гэтага пастаўшчыка OIDC. Некаторыя правайдэры называюць гэта «добравядомым URL».

          b) client_id: ідэнтыфікатар кліента прыкладання.

          c) client_secret: кліенцкі сакрэт прыкладання.

          d) redirect_uri: інструктуе пастаўшчыка OIDC, куды перанакіроўваць пасля аўтэнтыфікацыі. Гэта павінен быць ваш EXTERNAL_URL + /auth/oidc/ Firezone /callback/, напрыклад, https://firezone.example.com/auth/oidc/google/callback/.

          e) тып_адказу: усталяваць код.

          f) аб'ём: аб'ём OIDC, які можна атрымаць у пастаўшчыка OIDC. Як мінімум Firezone патрабуе openid і вобласці дзеянняў электроннай пошты.

          g) метка: тэкст меткі кнопкі, які адлюстроўваецца на старонцы ўваходу на партал Firezone.

• Перайдзіце на старонку Azure Active Directory на партале Azure. Выберыце спасылку «Рэгістрацыі прыкладанняў» у меню «Кіраванне», націсніце «Новая рэгістрацыя» і зарэгіструйцеся, увёўшы наступнае:

          а) Назва: Firezone

          b) Тыпы ўліковых запісаў, якія падтрымліваюцца: (толькі каталог па змаўчанні – адзін арандатар)

          c) URI перанакіравання: гэта павінен быць ваш EXTERNAL_URL + /auth/oidc/ Firezone /callback/, напрыклад, https://firezone.example.com/auth/oidc/azure/callback/.

• Пасля рэгістрацыі адкрыйце прагляд дэталяў прыкладання і скапіруйце ідэнтыфікатар прыкладання (кліента). Гэта будзе значэнне client_id.
• Адкрыйце меню канчатковых кропак, каб атрымаць дакумент метададзеных OpenID Connect. Гэта будзе значэнне discovery_document_uri.

• Выберыце спасылку «Сертыфікаты і сакрэты» ў меню «Кіраванне» і стварыце новы сакрэт кліента. Скапіруйце сакрэт кліента. Гэта будзе значэнне client_secret.

• Абярыце спасылку "Дазволы API" у меню "Кіраванне", націсніце "Дадаць дазвол" і абярыце "Microsoft Graph". Дадайце электронную пошту, openid, offline_access і профіль да неабходных дазволаў.

• Перайдзіце на старонку /settings/security на партале адміністратара, націсніце «Add OpenID Connect Provider» і ўвядзіце падрабязную інфармацыю, якую вы атрымалі ў апісаных вышэй кроках.

• Уключыце або адключыце опцыю «Аўтаматычнае стварэнне карыстальнікаў», каб аўтаматычна ствараць непрывілеяванага карыстальніка пры ўваходзе праз гэты механізм аўтэнтыфікацыі.

Віншую! На старонцы ўваходу вы павінны ўбачыць кнопку «Увайсці з дапамогай Azure».