ווי צו שטעלן די VPN אָטענטאַקיישאַן פון Hailbytes

אין דעם אָפּטיילונג, מיר וועלן בעקיצער גיין איבער ווי צו ויסשטימען דיין אידענטיטעט שפּייַזער ניצן OIDC מולטי-פאַקטאָר אָטענטאַקיישאַן. דער פירער איז דיזיינד צו נוצן Azure Active Directory. פאַרשידענע אידענטיטעט פּראַוויידערז קען האָבן ומגעוויינטלעך קאַנפיגיעריישאַנז און אנדערע ישוז.

• מיר רעקאָמענדירן איר נוצן איינער פון די פּראַוויידערז וואָס זענען גאָר געשטיצט און טעסטעד: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 און Google Workspace.

• אויב איר טאָן ניט נוצן אַ רעקאַמענדיד OIDC שפּייַזער, די פאלגענדע קאַנפיגיעריישאַנז זענען פארלאנגט.

           a) discovery_document_uri: די OpenID Connect פּראַוויידער קאַנפיגיעריישאַן URI וואָס קערט אַ JSON דאָקומענט געניצט צו בויען סאַבסאַקוואַנט ריקוועס צו דעם OIDC שפּייַזער. עטלעכע פּראַוויידערז אָפּשיקן צו דעם ווי די "באוווסטער URL".

          b) client_id: דער קליענט שייַן פון די אַפּלאַקיישאַן.

          c) client_secret: דער קליענט סוד פון די אַפּלאַקיישאַן.

          ד) redirect_uri: ינסטרוקט די OIDC שפּייַזער ווו צו רידערעקט נאָך אָטענטאַקיישאַן. דאָס זאָל זיין דיין Firezone EXTERNAL_URL + /auth/oidc/ /callback/, למשל https://firezone.example.com/auth/oidc/google/callback/.

          e) רעספּאָנסע_טיפּע: שטעלן צו קאָד.

          f) פאַרנעם: אָידק סקאָפּעס צו באַקומען פון דיין אָידק שפּייַזער. אין אַ מינימום, Firezone ריקווייערז די אָפּעניד און E- בריוו סקאָפּעס.

          ג) פירמע: די קנעפּל פירמע טעקסט געוויזן אויף די Firezone טויער לאָגין בלאַט.

• נאַוויגירן צו די Azure Active Directory בלאַט אויף די Azure טויער. אויסקלייַבן די אַפּ רעדזשיסטריישאַנז לינק אונטער די אויפֿפּאַסן מעניו, גיט ניו פאַרשרייבונג און פאַרשרייַבן נאָך אַרייַן די פאלגענדע:

          אַ) נאָמען: Firezone

          ב) שטיצט חשבון טייפּס: (בלויז דיפאָלט Directory - איין לאָקאַטאָר)

          c) רידערעקט URI: דאָס זאָל זיין דיין Firezone EXTERNAL_URL + /auth/oidc/ /callback/, למשל https://firezone.example.com/auth/oidc/azure/callback/.

• נאָך רעדזשיסטערינג, עפֿענען די דעטאַילס מיינונג פון די אַפּלאַקיישאַן און נאָכמאַכן די אַפּפּליקאַטיאָן (קליענט) שייַן. דאָס וועט זיין די client_id ווערט.
• עפֿענען די ענדפּאָינץ מעניו צו צוריקקריגן די OpenID Connect מעטאַדאַטאַ דאָקומענט. דאָס וועט זיין די Discovery_document_uri ווערט.

• אויסקלייַבן די סערטיפיקאַץ & סיקריץ לינק אונטער די אויפֿפּאַסן מעניו און שאַפֿן אַ נייַ קליענט סוד. נאָכמאַכן דעם קליענט סוד. דאָס וועט זיין די client_secret ווערט.

• אויסקלייַבן די אַפּי פּערמישאַנז לינק אונטער די אויפֿפּאַסן מעניו, גיט לייג אַ דערלויבעניש און סעלעקטירן Microsoft Graph. לייג E- בריוו, אָפּעניד, אָפפלינע_אַקסעס און פּראָפיל צו די פארלאנגט פּערמישאַנז.

• נאַוויגירן צו די / סעטטינגס / זיכערהייַט בלאַט אין די אַדמיניסטראַטאָר טויער, גיט "לייג OpenID Connect Provider" און אַרייַן די דעטאַילס איר באקומען אין די סטעפּס אויבן.

• געבן אָדער דיסייבאַל די אַוטאָ שאַפֿן יוזערז אָפּציע צו אויטאָמאַטיש שאַפֿן אַן אַנפּריווילאַדזשד באַניצער ווען סיינינג אין דורך דעם אָטענטאַקיישאַן מעקאַניזאַם.

מאַזל - טאָוו! איר זאָל זען אַ צייכן אין מיט Azure קנעפּל אויף דיין צייכן אין בלאַט.