كيفية إعداد مصادقة Hailbytes VPN
المُقدّمة
الآن بعد أن أصبح لديك إعداد HailBytes VPN وتهيئته ، يمكنك البدء في استكشاف بعض ميزات الأمان التي تقدمها HailBytes. يمكنك التحقق من مدونتنا للحصول على إرشادات وميزات الإعداد الخاصة بشبكة VPN. في هذه المقالة ، سنغطي طرق المصادقة التي تدعمها HailBytes VPN وكيفية إضافة طريقة مصادقة.
نبذة
تقدم HailBytes VPN العديد من طرق المصادقة إلى جانب المصادقة المحلية التقليدية. لتقليل مخاطر الأمان ، نوصي بتعطيل المصادقة المحلية. بدلاً من ذلك ، نوصي بالمصادقة متعددة العوامل (MFA) أو OpenID Connect أو SAML 2.0.
- يضيف MFA طبقة إضافية من الأمان فوق المصادقة المحلية. تشتمل HailBytes VPN على إصدارات محلية مدمجة ودعم MFA خارجي للعديد من موفري الهوية المشهورين مثل Okta و Azure AD و Onelogin.
- OpenID Connect عبارة عن طبقة هوية مبنية على بروتوكول OAuth 2.0. يوفر طريقة آمنة وموحدة للمصادقة والحصول على معلومات المستخدم من مزود الهوية دون الحاجة إلى تسجيل الدخول عدة مرات.
- SAML 2.0 هو معيار مفتوح يستند إلى XML لتبادل معلومات المصادقة والتفويض بين الأطراف. يسمح للمستخدمين بالمصادقة مرة واحدة مع موفر الهوية دون الحاجة إلى إعادة المصادقة للوصول إلى التطبيقات المختلفة.
OpenID Connect مع إعداد Azure
في هذا القسم ، سوف ننتقل بإيجاز إلى كيفية دمج موفر الهوية الخاص بك باستخدام مصادقة OIDC متعددة العوامل. هذا الدليل موجه نحو استخدام Azure Active Directory. قد يكون لموفري الهوية المختلفين تكوينات غير شائعة ومشكلات أخرى.
- نوصيك باستخدام أحد الموفرين الذين تم دعمهم واختبارهم بالكامل: Azure Active Directory و Okta و Onelogin و Keycloak و Auth0 و Google Workspace.
- إذا كنت لا تستخدم موفر OIDC موصى به ، فستكون التكوينات التالية مطلوبة.
أ) discovery_document_uri: عنوان URI لتهيئة موفر OpenID Connect الذي يعيد مستند JSON المستخدم لإنشاء طلبات لاحقة إلى موفر OIDC هذا. يشير بعض مقدمي الخدمة إلى هذا باسم "عنوان URL المعروف".
ب) معرف العميل: معرف العميل للتطبيق.
ج) client_secret: سر العميل للتطبيق.
د) redirect_uri: يوجه مزود OIDC إلى مكان إعادة التوجيه بعد المصادقة. يجب أن يكون هذا هو Firezone EXTERNAL_URL + / auth / oidc / / callback / ، على سبيل المثال https://firezone.example.com/auth/oidc/google/callback/.
هـ) نوع الاستجابة: اضبط على الرمز.
و) النطاق: نطاقات OIDC للحصول عليها من مزود OIDC الخاص بك. كحد أدنى ، تتطلب Firezone النطاقين المفتوحين والبريد الإلكتروني.
ز) التسمية: نص تسمية الزر المعروض في صفحة تسجيل الدخول إلى بوابة Firezone.
- انتقل إلى صفحة Azure Active Directory على مدخل Azure. حدد ارتباط تسجيلات التطبيق ضمن قائمة "إدارة" ، وانقر فوق "تسجيل جديد" ، ثم قم بالتسجيل بعد إدخال ما يلي:
أ) الاسم: Firezone
ب) أنواع الحسابات المدعومة: (الدليل الافتراضي فقط - مستأجر واحد)
ج) إعادة توجيه URI: يجب أن يكون هذا هو Firezone EXTERNAL_URL + / auth / oidc / / callback / ، على سبيل المثال https://firezone.example.com/auth/oidc/azure/callback/.
- بعد التسجيل ، افتح عرض التفاصيل للتطبيق وانسخ معرف التطبيق (العميل). ستكون هذه هي قيمة client_id.
- افتح قائمة نقاط النهاية لاسترداد مستند بيانات تعريف OpenID Connect. ستكون هذه هي قيمة discovery_document_uri.
- حدد رابط الشهادات والأسرار ضمن قائمة الإدارة وأنشئ سرًا جديدًا للعميل. انسخ سر العميل. ستكون هذه هي قيمة client_secret.
- حدد ارتباط أذونات API ضمن قائمة الإدارة ، وانقر فوق إضافة إذن ، وحدد Microsoft Graph. أضف البريد الإلكتروني و openid و offline_access والملف الشخصي إلى الأذونات المطلوبة.
- انتقل إلى / settings / security page في بوابة الإدارة ، وانقر على "Add OpenID Connect Provider" وأدخل التفاصيل التي حصلت عليها في الخطوات أعلاه.
- قم بتمكين أو تعطيل خيار الإنشاء التلقائي للمستخدمين لإنشاء مستخدم لا يتمتع بامتيازات عند تسجيل الدخول عبر آلية المصادقة هذه.
تهانينا! يجب أن ترى زر تسجيل الدخول باستخدام Azure في صفحة تسجيل الدخول الخاصة بك.
وفي الختام
تقدم HailBytes VPN مجموعة متنوعة من طرق المصادقة ، بما في ذلك المصادقة متعددة العوامل و OpenID Connect و SAML 2.0. من خلال دمج OpenID Connect مع Azure Active Directory كما هو موضح في المقالة ، يمكن للقوى العاملة لديك الوصول بشكل ملائم وآمن إلى مواردك على السحابة أو AWS.
