Cách thiết lập xác thực VPN Hailbytes

Trong phần này, chúng tôi sẽ giới thiệu ngắn gọn cách tích hợp nhà cung cấp danh tính của bạn bằng Xác thực đa yếu tố OIDC. Hướng dẫn này hướng đến việc sử dụng Azure Active Directory. Các nhà cung cấp danh tính khác nhau có thể có các cấu hình không phổ biến và các vấn đề khác.

• Bạn nên sử dụng một trong những nhà cung cấp đã được hỗ trợ và thử nghiệm đầy đủ: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 và Google Workspace.

• Nếu bạn không sử dụng nhà cung cấp OIDC được đề xuất, thì cần có các cấu hình sau.

           a) Discovery_document_uri: URI cấu hình nhà cung cấp OpenID Connect trả về tài liệu JSON được sử dụng để xây dựng các yêu cầu tiếp theo tới nhà cung cấp OIDC này. Một số nhà cung cấp gọi đây là “URL nổi tiếng”.

          b) client_id: ID máy khách của ứng dụng.

          c) client_secret: Bí mật máy khách của ứng dụng.

          d) redirect_uri: Hướng dẫn nhà cung cấp OIDC nơi chuyển hướng sau khi xác thực. Đây phải là Firezone của bạn EXTERNAL_URL + /auth/oidc/ /gọi lại/, ví dụ: https://firezone.example.com/auth/oidc/google/callback/.

          e) response_type: Đặt thành mã.

          f) phạm vi: Các phạm vi OIDC cần lấy từ nhà cung cấp OIDC của bạn. Ở mức tối thiểu, Firezone yêu cầu phạm vi openid và email.

          g) nhãn: Văn bản nhãn nút được hiển thị trên trang đăng nhập cổng thông tin Firezone.

• Điều hướng đến trang Azure Active Directory trên cổng Azure. Chọn liên kết Đăng ký ứng dụng trong menu Quản lý, nhấp vào Đăng ký mới và đăng ký sau khi nhập thông tin sau:

          a) Tên: Firezone

          b) Các loại tài khoản được hỗ trợ: (Chỉ Thư mục mặc định – Đối tượng thuê đơn)

          c) URI chuyển hướng: Đây phải là Firezone của bạn EXTERNAL_URL + /auth/oidc/ /gọi lại/, ví dụ: https://firezone.example.com/auth/oidc/azure/callback/.

• Sau khi đăng ký, hãy mở giao diện chi tiết của ứng dụng và sao chép ID Ứng dụng (máy khách). Đây sẽ là giá trị client_id.
• Mở menu điểm cuối để truy xuất tài liệu siêu dữ liệu OpenID Connect. Đây sẽ là giá trị của Discovery_document_uri.

• Chọn liên kết Chứng chỉ & bí mật trong menu Quản lý và tạo bí mật ứng dụng khách mới. Sao chép bí mật khách hàng. Đây sẽ là giá trị client_secret.

• Chọn liên kết quyền API trong menu Quản lý, nhấp vào Thêm quyền và chọn Microsoft Graph. Thêm email, openid, offline_access và hồ sơ vào các quyền cần thiết.

• Điều hướng đến trang /settings/security trong cổng quản trị, nhấp vào “Thêm nhà cung cấp kết nối OpenID” và nhập thông tin chi tiết bạn có được trong các bước trên.

• Bật hoặc tắt tùy chọn Tự động tạo người dùng để tự động tạo người dùng không có đặc quyền khi đăng nhập qua cơ chế xác thực này.

Chúc mừng! Bạn sẽ thấy nút Đăng nhập bằng Azure trên trang đăng nhập của mình.