ວິທີການຕັ້ງ Halbytes VPN Authentication
ການນໍາສະເຫນີ
ຕອນນີ້ທ່ານມີການຕັ້ງຄ່າ ແລະຕັ້ງຄ່າ HailBytes VPN ແລ້ວ, ທ່ານສາມາດເລີ່ມສຳຫຼວດບາງຄຸນສົມບັດຄວາມປອດໄພທີ່ HailBytes ມີໃຫ້. ທ່ານສາມາດກວດເບິ່ງ blog ຂອງພວກເຮົາສໍາລັບຄໍາແນະນໍາໃນການຕິດຕັ້ງແລະຄຸນສົມບັດສໍາລັບ VPN ໄດ້. ໃນບົດຄວາມນີ້, ພວກເຮົາຈະກວມເອົາວິທີການກວດສອບຄວາມຖືກຕ້ອງທີ່ສະຫນັບສະຫນູນໂດຍ HailBytes VPN ແລະວິທີການເພີ່ມວິທີການກວດສອບຄວາມຖືກຕ້ອງ.
ພາບລວມ
HailBytes VPN ສະເໜີວິທີການກວດສອບຄວາມຖືກຕ້ອງຫຼາຍຢ່າງນອກຈາກການພິສູດຢືນຢັນທ້ອງຖິ່ນແບບດັ້ງເດີມ. ເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງດ້ານຄວາມປອດໄພ, ພວກເຮົາແນະນໍາໃຫ້ປິດການພິສູດຢືນຢັນໃນທ້ອງຖິ່ນ. ແທນທີ່ຈະ, ພວກເຮົາແນະນໍາການພິສູດຢືນຢັນຫຼາຍປັດໃຈ (MFA), OpenID Connect, ຫຼື SAML 2.0.
- MFA ເພີ່ມຊັ້ນຄວາມປອດໄພເພີ່ມເຕີມຢູ່ເທິງການພິສູດຢືນຢັນທ້ອງຖິ່ນ. HailBytes VPN ປະກອບມີເວີຊັນທີ່ສ້າງຂຶ້ນໃນທ້ອງຖິ່ນ ແລະການສະຫນັບສະຫນູນ MFA ພາຍນອກສໍາລັບຜູ້ໃຫ້ບໍລິການຕົວຕົນທີ່ນິຍົມຫຼາຍເຊັ່ນ Okta, Azure AD, ແລະ Onelogin.
- OpenID Connect ເປັນຊັ້ນຂໍ້ມູນຕົວຕົນທີ່ສ້າງຂຶ້ນໃນໂປຣໂຕຄໍ OAuth 2.0. ມັນສະຫນອງວິທີການທີ່ປອດໄພແລະມາດຕະຖານເພື່ອພິສູດຢືນຢັນແລະໄດ້ຮັບຂໍ້ມູນຜູ້ໃຊ້ຈາກຜູ້ໃຫ້ບໍລິການຕົວຕົນໂດຍບໍ່ຈໍາເປັນຕ້ອງເຂົ້າສູ່ລະບົບຫຼາຍຄັ້ງ.
- SAML 2.0 ເປັນມາດຕະຖານເປີດທີ່ອີງໃສ່ XML ສໍາລັບການແລກປ່ຽນຂໍ້ມູນການຢືນຢັນແລະການອະນຸຍາດລະຫວ່າງພາກສ່ວນຕ່າງໆ. ມັນອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດພິສູດຕົວຕົນຄັ້ງດຽວກັບຜູ້ໃຫ້ບໍລິການຕົວຕົນໂດຍບໍ່ຈໍາເປັນຕ້ອງມີການພິສູດຢືນຢັນໃຫມ່ເພື່ອເຂົ້າເຖິງແອັບພລິເຄຊັນຕ່າງໆ.
OpenID ເຊື່ອມຕໍ່ກັບ Azure ຕັ້ງຄ່າ
ໃນພາກນີ້, ພວກເຮົາຈະເວົ້າສັ້ນໆກ່ຽວກັບວິທີການປະສົມປະສານຜູ້ໃຫ້ບໍລິການຕົວຕົນຂອງທ່ານໂດຍໃຊ້ ODC Multi-Factor Authentication. ຄູ່ມືນີ້ແມ່ນມຸ່ງໄປສູ່ການນໍາໃຊ້ Azure Active Directory. ຜູ້ໃຫ້ບໍລິການຕົວຕົນທີ່ແຕກຕ່າງກັນອາດມີການຕັ້ງຄ່າທີ່ບໍ່ທຳມະດາ ແລະບັນຫາອື່ນໆ.
- ພວກເຮົາແນະນໍາໃຫ້ທ່ານໃຊ້ຫນຶ່ງໃນຜູ້ໃຫ້ບໍລິການທີ່ໄດ້ຮັບການສະຫນັບສະຫນູນແລະການທົດສອບຢ່າງເຕັມທີ່: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0, ແລະ Google Workspace.
- ຖ້າທ່ານບໍ່ໄດ້ໃຊ້ຜູ້ໃຫ້ບໍລິການ ODC ທີ່ແນະນໍາ, ຕ້ອງມີການຕັ້ງຄ່າຕໍ່ໄປນີ້.
a) discovery_document_uri: URI ການຕັ້ງຄ່າຜູ້ໃຫ້ບໍລິການ OpenID Connect ທີ່ສົ່ງຄືນເອກະສານ JSON ທີ່ໃຊ້ເພື່ອສ້າງການຮ້ອງຂໍຕໍ່ໄປໃຫ້ກັບຜູ້ໃຫ້ບໍລິການ ODC ນີ້. ຜູ້ໃຫ້ບໍລິການບາງຄົນອ້າງເຖິງນີ້ເປັນ "URL ທີ່ມີຊື່ສຽງ".
b) client_id: ID ລູກຄ້າຂອງແອັບພລິເຄຊັນ.
c) client_secret: ຄວາມລັບຂອງລູກຄ້າຂອງແອັບພລິເຄຊັນ.
d) redirect_uri: ແນະນໍາຜູ້ໃຫ້ບໍລິການ ODC ບ່ອນທີ່ຈະປ່ຽນເສັ້ນທາງຫຼັງຈາກການກວດສອບຄວາມຖືກຕ້ອງ. ອັນນີ້ຄວນຈະເປັນ Firezone EXTERNAL_URL + /auth/oidc/ ຂອງທ່ານ. /callback/, ເຊັ່ນ: https://firezone.example.com/auth/oidc/google/callback/.
e) response_type: ຕັ້ງເປັນລະຫັດ.
f) ຂອບເຂດ: ຂອບເຂດ ODC ທີ່ຈະໄດ້ຮັບຈາກຜູ້ໃຫ້ບໍລິການ ODC ຂອງທ່ານ. ຢ່າງໜ້ອຍ, Firezone ຕ້ອງການຂອບເຂດ openid ແລະ email.
g) ປ້າຍກຳກັບ: ຂໍ້ຄວາມປ້າຍກຳກັບທີ່ສະແດງຢູ່ໃນໜ້າເຂົ້າສູ່ລະບົບ Firezone portal.
- ໄປທີ່ໜ້າ Azure Active Directory ຢູ່ໃນປະຕູ Azure. ເລືອກລິ້ງການລົງທະບຽນແອັບພາຍໃຕ້ເມນູການຈັດການ, ຄລິກການລົງທະບຽນໃໝ່, ແລະລົງທະບຽນຫຼັງຈາກເຂົ້າໄປຕໍ່ໄປນີ້:
a) ຊື່: Firezone
b) ປະເພດບັນຊີທີ່ຮອງຮັບ: (Default Directory ເທົ່ານັ້ນ – ຜູ້ເຊົ່າຄົນດຽວ)
c) ປ່ຽນເສັ້ນທາງ URI: ນີ້ຄວນຈະເປັນ Firezone EXTERNAL_URL ຂອງທ່ານ + /auth/oidc/ /callback/, ເຊັ່ນ: https://firezone.example.com/auth/oidc/azure/callback/.
- ຫຼັງຈາກການລົງທະບຽນ, ເປີດເບິ່ງລາຍລະອຽດຂອງຄໍາຮ້ອງສະຫມັກແລະສໍາເນົາເອົາຄໍາຮ້ອງສະຫມັກ (ລູກຄ້າ) ID. ອັນນີ້ຈະເປັນຄ່າ client_id.
- ເປີດເມນູຈຸດສິ້ນສຸດເພື່ອດຶງເອົາເອກະສານ metadata OpenID Connect. ນີ້ຈະເປັນຄ່າ discovery_document_uri.
- ເລືອກການເຊື່ອມຕໍ່ໃບຢັ້ງຢືນ & ຄວາມລັບພາຍໃຕ້ເມນູ ຈັດການ ແລະສ້າງຄວາມລັບລູກຄ້າໃໝ່. ສຳເນົາຄວາມລັບຂອງລູກຄ້າ. ນີ້ຈະເປັນຄ່າ client_secret.
- ເລືອກລິ້ງການອະນຸຍາດ API ພາຍໃຕ້ເມນູຈັດການ, ຄລິກເພີ່ມການອະນຸຍາດ, ແລະເລືອກ Microsoft Graph. ເພີ່ມອີເມລ໌, openid, offline_access ແລະໂປຣໄຟລ໌ໃນການອະນຸຍາດທີ່ຕ້ອງການ.
- ທ່ອງໄປຫາ /settings/security page in the admin portal, click “Add OpenID Connect Provider” ແລະໃສ່ລາຍລະອຽດທີ່ທ່ານໄດ້ຮັບໃນຂັ້ນຕອນຂ້າງເທິງ.
- ເປີດໃຊ້ ຫຼືປິດການນຳໃຊ້ຕົວເລືອກສ້າງຜູ້ໃຊ້ອັດຕະໂນມັດເພື່ອສ້າງຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບສິດໂດຍອັດຕະໂນມັດເມື່ອເຂົ້າສູ່ລະບົບຜ່ານກົນໄກການພິສູດຢືນຢັນນີ້.
ຊົມເຊີຍ! ທ່ານຄວນເຫັນການເຂົ້າສູ່ລະບົບດ້ວຍປຸ່ມ Azure ໃນຫນ້າເຂົ້າສູ່ລະບົບຂອງທ່ານ.
ສະຫຼຸບ
HailBytes VPN ສະໜອງວິທີການພິສູດຢືນຢັນທີ່ຫຼາກຫຼາຍ, ລວມທັງການພິສູດຢືນຢັນຫຼາຍປັດໃຈ, OpenID Connect, ແລະ SAML 2.0. ໂດຍການລວມເອົາ OpenID Connect ກັບ Azure Active Directory ທີ່ສະແດງໃຫ້ເຫັນໃນບົດຄວາມ, ພະນັກງານຂອງທ່ານສາມາດເຂົ້າຫາຊັບພະຍາກອນຂອງທ່ານໃນ Cloud ຫຼື AWS ໄດ້ຢ່າງສະດວກ ແລະປອດໄພ.