Freigeben über

Konfigurieren von FortiGate SSL VPN für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie FortiGate SSL VPN mit Microsoft Entra ID integrieren. Wenn Sie FortiGate SSL VPN mit Microsoft Entra ID integrieren, können Sie:

  • Verwenden Sie die Microsoft Entra-ID, um zu steuern, wer auf FortiGate SSL VPN zugreifen kann.
  • Ermöglichen Sie Es Ihren Benutzern, automatisch bei FortiGate SSL VPN mit ihren Microsoft Entra-Konten angemeldet zu sein.
  • Verwalten Sie Ihre Konten an einem zentralen Ort: dem Azure-Portal.

Voraussetzungen

Um zu beginnen, benötigen Sie die folgenden Elemente:

  • Ein Microsoft Entra-Abonnement. Wenn Sie kein Abonnement haben, können Sie ein kostenloses Konto erhalten.
  • Ein FortiGate-SSL-VPN mit aktiviertem Einmaliges Anmelden (Single Sign-On, SSO).

Artikelbeschreibung

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

FortiGate SSL VPN unterstützt SP-initiiertes SSO.

Um die Integration von FortiGate SSL VPN in Microsoft Entra ID zu konfigurieren, müssen Sie FortiGate SSL VPN aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen:

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus der Galerie hinzufügen im Suchfeld FortiGate SSL VPN ein.
  4. Wählen Sie im Ergebnisbereich fortiGate SSL VPN aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Weitere Informationen zu Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra SSO für FortiGate SSL VPN

Sie konfigurieren und testen Microsoft Entra SSO mit FortiGate SSL VPN mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, müssen Sie eine Verknüpfungsbeziehung zwischen einem Microsoft Entra-Benutzer und der entsprechenden SAML SSO-Benutzergruppe in FortiGate SSL VPN einrichten.

Um Microsoft Entra SSO mit FortiGate SSL VPN zu konfigurieren und zu testen, führen Sie die folgenden allgemeinen Schritte aus:

  1. Konfigurieren Sie Microsoft Entra SSO , um das Feature für Ihre Benutzer zu aktivieren.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer , um das einmalige Anmelden von Microsoft Entra zu testen.
    2. Gewähren Sie dem Testbenutzer Zugriff, um microsoft Entra single sign-on für diesen Benutzer zu aktivieren.
  2. Konfigurieren Sie fortiGate SSL VPN SSO auf der Anwendungsseite.
    1. Erstellen Sie eine FortiGate SAML-SSO-Benutzergruppe als Gegenstück zur Microsoft Entra-Darstellung des Benutzers.
  3. Testen Sie SSO , um zu überprüfen, ob die Konfiguration funktioniert.

Microsoft Entra SSO konfigurieren

Gehen Sie wie folgt vor, um Microsoft Entra-SSO zu aktivieren:

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zur FortiGate SSL VPN-Integrationsseite für >>, wählen Sie im Abschnitt Verwalten die Option Single Sign-On aus.

  3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

  4. Wählen Sie auf der Seite " Einzel-Sign-On mit SAML einrichten " die Schaltfläche " Bearbeiten " für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten:

    Screenshot der Seite

  5. Geben Sie auf der Seite "Einzelne Sign-On mit SAML einrichten " die folgenden Werte ein:

    a) Geben Sie im Feld "Bezeichner" eine URL nach dem Muster https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/metadata ein.

    b. Geben Sie im Feld "Antwort-URL " eine URL in das Muster https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/loginein.

    c. Geben Sie im Feld "Anmelde-URL " eine URL in das Muster https://<FortiGate IP or FQDN address>:<Custom SSL VPN port>/remote/saml/loginein.

    d. Geben Sie im Feld "Abmelde-URL " eine URL in das Muster https://<FortiGate IP or FQDN address>:<Custom SSL VPN port><FQDN>/remote/saml/logoutein.

    Hinweis

    Diese Werte sind nur Muster. Sie müssen die tatsächliche Anmelde-URL, den Bezeichner, die Antwort-URL und die Abmelde-URL verwenden, die für fortiGate konfiguriert ist. Die FortiGate-Unterstützung muss die richtigen Werte für die Umgebung angeben.

  6. Die FortiGate SSL VPN-Anwendung erwartet SAML-Assertionen in einem bestimmten Format, was erfordert, dass Sie der Konfiguration benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

    Screenshot: Abschnitt „Attribute und Ansprüche“.

  7. Die von FortiGate SSL VPN erforderlichen Ansprüche werden in der folgenden Tabelle angezeigt. Die Namen dieser Ansprüche müssen mit den Namen übereinstimmen, die im Befehlszeilenkonfigurationsabschnitt von Perform FortiGate in diesem Artikel verwendet werden. Bei Namen wird die Groß-/Kleinschreibung beachtet.

    Name Quell-Attribut
    Benutzername user.userprincipalname
    group Benutzergruppen

    So erstellen Sie diese weiteren Ansprüche

    a) Wählen Sie neben Benutzerattributen und Ansprüchen"Bearbeiten" aus.

    b. Wählen Sie "Neuen Anspruch hinzufügen" aus.

    c. Geben Sie für "Name" den Benutzernamen ein.

    d. Wählen Sie für das Quell-Attribut"user.userprincipalname" aus.

    e. Wählen Sie "Speichern" aus.

    Hinweis

    Benutzerattribute und Ansprüche erlauben nur einen Gruppenanspruch. Um einen Gruppenanspruch hinzuzufügen, löschen Sie den vorhandenen Gruppenanspruch user.groups [SecurityGroup] bereits in den Ansprüchen, um den neuen Anspruch hinzuzufügen oder den vorhandenen Anspruch zu allen Gruppen zu bearbeiten.

    f. Wählen Sie " Gruppenanspruch hinzufügen" aus.

    g. Wählen Sie "Alle Gruppen" aus.

    h. Aktivieren Sie unter "Erweiterte Optionen" das Kontrollkästchen "Namen des Gruppenanspruchs anpassen ".

    i. Geben Sie für NameGruppe ein.

    j. Wählen Sie "Speichern" aus.

  8. Wählen Sie auf der Seite "Einzel-Sign-On mit SAML-Signaturzertifikat einrichten " im Abschnitt "SAML-Signaturzertifikat " den Link " Herunterladen " neben "Zertifikat( Base64)" aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern:

    Screenshot des Zertifikatdownloadlinks.

  9. Kopieren Sie im Abschnitt "FortiGate SSL VPN einrichten " die entsprechende URL oder URLs basierend auf Ihren Anforderungen:

    Screenshot der Konfigurations-URLs.

Erstellen eines Microsoft Entra-Testbenutzers

In diesem Abschnitt erstellen Sie einen Testbenutzer namens B.Simon.

  1. Melden Sie sich mindestens als Benutzeradministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Benutzer.
  3. Wählen Sie oben auf dem Bildschirm " Neuen Benutzer>erstellen" aus.
  4. Führen Sie in den Benutzereigenschaften die folgenden Schritte aus:
    1. Geben Sie im Feld AnzeigenameB.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalnameusername@companydomain.extension ein. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen , und notieren Sie dann den Wert, der im Feld "Kennwort " angezeigt wird.
    4. Wählen Sie "Überprüfen" und "Erstellen" aus.
  5. Wählen Sie "Erstellen" aus.

Gewähren von Zugriff für den Testbenutzer

In diesem Abschnitt aktivieren Sie B.Simon, einmaliges Anmelden zu verwenden, indem Sie diesem Benutzer Zugriff auf FortiGate SSL VPN gewähren.

  1. Navigieren Sie zu Entra ID>Enterprise-Apps.
  2. Wählen Sie in der Anwendungsliste fortiGate SSL VPN aus.
  3. Wählen Sie auf der Übersichtsseite der App im Abschnitt "Verwalten"die Option "Benutzer und Gruppen" aus.
  4. Wählen Sie Benutzer hinzufügen, und wählen Sie dann Benutzer und Gruppen im Dialogfeld Zuweisung hinzugefügt aus.
  5. Wählen Sie im Dialogfeld "Benutzer und Gruppen" in der Liste "Benutzer" die Option "B.Simon" und dann unten auf dem Bildschirm die Schaltfläche "Auswählen" aus.
  6. Wenn Sie einen Rollenwert in der SAML-Assertion erwarten, wählen Sie im Dialogfeld "Rolle auswählen " die entsprechende Rolle für den Benutzer aus der Liste aus. Wählen Sie unten auf dem Bildschirm die Schaltfläche "Auswählen " aus.
  7. Wählen Sie im Dialogfeld " Zuweisung hinzufügen " die Option "Zuweisen" aus.

Erstellen einer Sicherheitsgruppe für den Testbenutzer

In diesem Abschnitt erstellen Sie eine Sicherheitsgruppe in der Microsoft Entra-ID für den Testbenutzer. FortiGate verwendet diese Sicherheitsgruppe, um dem Benutzernetzwerk zugriff über das VPN zu gewähren.

  1. Navigieren Sie im Microsoft Entra Admin Center zu entra ID>Groups>New group.
  2. Führen Sie in den Eigenschaften "Neue Gruppe " die folgenden Schritte aus:
    1. Wählen Sie in der Liste "Gruppentyp " die Option "Sicherheit" aus.
    2. Geben Sie im Feld "Gruppenname " "FortiGateAccess" ein.
    3. Geben Sie im Feld "Gruppenbeschreibung""Gruppe zur Gewährung des FortiGate-VPN-Zugriffs" ein.
    4. Wählen Sie "Nein" aus, damit die Microsoft Entra-Rollen den Gruppeneinstellungen (Vorschau) zugewiesen werden können.
    5. Wählen Sie im Feld "Mitgliedschaftstyp " die Option "Zugewiesen" aus.
    6. Wählen Sie unter "Mitglieder" die Option "Keine Mitglieder" aus.
    7. Wählen Sie im Dialogfeld "Benutzer und Gruppen" in der Liste "Benutzer" die Option "B.Simon" und dann unten auf dem Bildschirm die Schaltfläche "Auswählen" aus.
    8. Wählen Sie "Erstellen" aus.
  3. Nachdem Sie sich wieder im Abschnitt "Gruppen " in der Microsoft Entra-ID befinden, suchen Sie die Gruppe "FortiGate Access ", und notieren Sie sich die Objekt-ID. Sie benötigen es später.

Konfigurieren von FortiGate SSL VPN SSO

Hochladen des Base64-SAML-Zertifikats in die FortiGate-Appliance

Nachdem Sie die SAML-Konfiguration der FortiGate-App in Ihrem Mandanten abgeschlossen haben, haben Sie das Base64-codierte SAML-Zertifikat heruntergeladen. Sie müssen dieses Zertifikat in die FortiGate-Appliance hochladen:

  1. Melden Sie sich beim Verwaltungsportal Ihrer FortiGate-Appliance an.
  2. Wählen Sie im linken Bereich "System" aus.
  3. Wählen Sie unter "System" die Option "Zertifikate" aus.
  4. Wählen Sie Import>Remote Certificate (Importieren > Remotezertifikat) aus.
  5. Navigieren Sie zum Zertifikat, das aus der FortiGate-App-Bereitstellung im Azure-Mandanten heruntergeladen wurde, wählen Sie es aus, und wählen Sie dann "OK" aus.

Nachdem das Zertifikat hochgeladen wurde, notieren Sie sich den Namen unter ">>". Standardmäßig wird er REMOTE_Cert_N benannt, wobei N ein ganzzahliger Wert ist.

Vollständige FortiGate-Befehlszeilenkonfiguration

Obwohl Sie SSO über die GUI seit FortiOS 7.0 konfigurieren können, gelten die CLI-Konfigurationen für alle Versionen und werden daher hier angezeigt.

Zum Ausführen dieser Schritte benötigen Sie die Werte, die Sie zuvor aufgezeichnet haben:

FortiGate SAML CLI-Einstellungen Gleichwertige Azure-Konfiguration
SP-Entitäts-ID (entity-id) Bezeichner (Entitäts-ID)
SP-SSO-URL (Single Sign-On URL, URL für einmaliges Anmelden) (single-sign-on-url) Antwort-URL (Assertionsverbraucherdienst-URL)
SP Single Sign-Out URL (single-logout-url) Abmelde-URL
IdP-Entitäts-ID (idp-entity-id) Microsoft Entra-Identifikator
IdP-SSO-URL (Single Sign-On URL, URL für einmaliges Anmelden) (idp-single-sign-on-url) Azure-Anmelde-URL
IDP-URL für einmaliges Abmelden (idp-single-logout-url) Azure-Abmelde-URL
IdP-Zertifikat (idp-cert) Base64 SAML-Zertifikatname (REMOTE_Cert_N)
Attribut für Benutzernamen (user-name) Benutzername
Attribut "Gruppenname" (group-name) group

Hinweis

Die Anmelde-URL unter der grundlegenden SAML-Konfiguration wird in den FortiGate-Konfigurationen nicht verwendet. Es wird verwendet, um SP-initiiertes Single Sign-On auszulösen, um den Benutzer auf die Seite des SSL-VPN-Portals umzuleiten.

  1. Richten Sie eine SSH-Sitzung für Ihre FortiGate-Appliance ein, und melden Sie sich mit einem FortiGate-Administratorkonto an.

  2. Führen Sie die folgenden Befehle aus, und ersetzen Sie <values> durch die Informationen, die Sie zuvor gesammelt haben.

    config user saml
  edit azure
    set cert <FortiGate VPN Server Certificate Name>
    set entity-id < Identifier (Entity ID)Entity ID>
    set single-sign-on-url < Reply URL Reply URL>
    set single-logout-url <Logout URL>
    set idp-entity-id <Azure AD Identifier>
    set idp-single-sign-on-url <Azure Login URL>
    set idp-single-logout-url <Azure Logout URL>
    set idp-cert <Base64 SAML Certificate Name>
    set user-name username
    set group-name group
  next
end

Konfigurieren von FortiGate für gruppenabgleich

In diesem Abschnitt konfigurieren Sie FortiGate so, dass die Objekt-ID der Sicherheitsgruppe erkannt wird, die den Testbenutzer enthält. Diese Konfiguration ermöglicht Es FortiGate, Zugriffsentscheidungen basierend auf der Gruppenmitgliedschaft zu treffen.

Um diese Schritte auszuführen, benötigen Sie die Objekt-ID der Sicherheitsgruppe FortiGateAccess, die Sie weiter oben in diesem Artikel erstellt haben.

  1. Richten Sie eine SSH-Sitzung für Ihre FortiGate-Appliance ein, und melden Sie sich mit einem FortiGate-Administratorkonto an.

  2. Führen Sie diese Befehle aus:

    config user group
  edit FortiGateAccess
    set member azure
    config match
      edit 1
        set server-name azure
        set group-name <Object Id>
      next
    end
  next
end

Erstellen von FortiGate-VPN-Portalen und einer Firewallrichtlinie

In diesem Abschnitt konfigurieren Sie eine FortiGate-VPN-Portale und Firewallrichtlinie, die Zugriff auf die Sicherheitsgruppe FortiGateAccess gewährt, die Sie weiter oben in diesem Artikel erstellt haben.

Anweisungen hierzu finden Sie unter Konfigurieren der SAML-SSO-Anmeldung für SSL-VPN mit Microsoft Entra ID, die als SAML IdP fungiert.

Testen von SSO

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.

  • Wählen Sie in Schritt 5 der Azure SSO-Konfiguration *Einmaliges Anmelden mit Ihrer App testen, die Schaltfläche " Testen " aus. Diese Option leitet zur FortiGate VPN-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.

  • Wechseln Sie direkt zu fortiGate VPN-Anmelde-URL, und initiieren Sie den Anmeldefluss von dort aus.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die FortiGate-VPN-Kachel in den "Meine Apps" auswählen, wird diese Option zu der URL für die FortiGate-VPN-Anmeldung umgeleitet. Weitere Informationen zu "Meine Apps" finden Sie in der Einführung in "Meine Apps".

Verwandte Inhalte

Nachdem Sie FortiGate VPN konfiguriert haben, können Sie die Sitzungssteuerung erzwingen, die Exfiltration und Infiltration der vertraulichen Daten Ihrer Organisation in Echtzeit schützt. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.

  • Last updated on