Ausgehende Firewall-Authentifizierung mit Azure AD als SAML-IdP | Administrationshandbuch (2023)

In diesem Beispiel werden Benutzer über Microsoft Azure Active Directory (AD) verwaltet. Das FortiGate ist für die SSO-Firewall-Authentifizierung für ausgehenden Datenverkehr konfiguriert, wobei die Authentifizierung vom Azure AD als SAML-Identitätsanbieter (IdP) durchgeführt wird.

Die SAML-Interaktion läuft wie folgt ab:

1. Der Benutzer initiiert Webverkehr zum Internet.

2. Das FortiGate leitet zum lokalen Captive-Portal-Port weiter (Standard ist 1003) und leitet den Benutzer dann zum SAMLIdP weiter.

3. Der Benutzer stellt für die SAML-Authentifizierungsanforderung eine Verbindung zur Microsoft-Anmeldeseite her.

4. Der SAMLIdP sendet die SAML-Assertion mit dem Benutzer und der Gruppe.

5. Der Browser leitet die SAMLassertion an den SAMLSP weiter.

6. Wenn der Benutzer und die Gruppe von FortiGate zugelassen werden, darf der Benutzer auf das Internet zugreifen.

In dieser Beispielumgebung wird ein Benutzer in Azure AD hinzugefügt, der zur Sicherheitsgruppe namens Firewall gehört.

• Benutzername: John Locus

• Benutzeranmeldung: jlocus@azure.kldocs.com

• Gruppe: Firewall (ID 62b699ce-4f80-48c0-846e-c1dfde2dc667)

Ziel ist es, Benutzern in der Firewall-Gruppe den Zugriff auf das Internet zu ermöglichen, nachdem sie die Firewall-Authentifizierung bestanden haben.

Konfigurieren des Azure AD

Die folgende Azure AD-Konfiguration zeigt, wie FortiGate als Nicht-Galerie-Unternehmensanwendung hinzugefügt wird. Diese Anwendung stellt SAML-SSO-Konnektivität zum Azure AD-IdP bereit. Einige Schritte werden gleichzeitig auf dem FortiGate ausgeführt.

Dieses Beispiel ist mit einem Azure AD-Free-Tarif-Verzeichnis konfiguriert. In dieser Ebene kann es bei der Verwaltung von Benutzern in Azure zu Einschränkungen kommen, die in anderen Ebenen nicht gelten. Konsultieren Sie dieMicrosoft Azure ADWeitere Informationen finden Sie in der Dokumentation.

Die Konfiguration von Azure AD erfolgt in drei Schritten:

1. Erstellen Sie eine neue Unternehmensanwendung.

2. Konfigurieren Sie die SAML-SSO-Einstellungen für die Anwendung und FortiGate.

3. Weisen Sie der Anwendung Azure AD-Benutzer und -Gruppen zu.

So erstellen Sie eine neue Unternehmensanwendung:

1. Melden Sie sich beim Azure-Portal an.

2. Klicken Sie im Menü des Azure-Portals aufAzure Active Directory.

3. Gehen Sie in das Menü auf der linken SeiteVerwalten > Unternehmensanwendungen.

4. KlickenNeue Bewerbung.

   See Also

   Übersicht über Azure-NetzwerksicherheitsgruppenVerwenden Sie die Azure-Anmeldeaktion mit Azure CLI und PowerShell auf Azure Stack Hub – Azure Stack Hub

   

5. KlickenErstellen Sie Ihre eigene Anwendung.

   

6. Geben Sie einen Namen für die Anwendung ein (SAML-FW-Auth) und wählen SieIntegrieren Sie jede andere Anwendung, die Sie nicht in der Galerie finden (Nicht-Galerie)..

   

7. KlickenErstellen.

So konfigurieren Sie die SAML-SSO-Einstellungen für die Anwendung und FortiGate:

Dieses Verfahren erfordert das Hin- und Herwechseln zwischen Azure und der FortiGate-GUI. Lassen Sie die FortiGate-GUI für den gesamten Vorgang geöffnet.

1. Auf derÜbersicht über UnternehmensanwendungenSeite, gehen Sie zuVerwalten > Einmaliges Anmeldenund auswählenSAMLals Single-Sign-On-Methode.

   

2. DerGrundlegende SAML-KonfigurationDer Abschnitt in Azure beschreibt die SAML SP-Entität und die Links, auf die Azure verweist. Konfigurieren Sie diese Einstellungen auf dem FortiGate, indem Sie ein neues SAML-Serverobjekt erstellen und die SP-Adresse definieren. Der Benutzer, der sich bei der Firewall authentifiziert, sollte auf die SP-Adresse (IP oder FQDN) zugreifen können. Der verwendete Port sollte mit dem Port übereinstimmen, der vom FortiGate-Firewall-Authentifizierungs-Captive-Portal verwendet wird. Standardmäßig ist dies Port 1003 für HTTPS. Ein Captive-Portal muss nicht separat konfiguriert werden.

   1. Gehe zuBenutzer & Authentifizierung > Single Sign-Onund klickenErstelle neu.

   2. Geben Sie einNamefür das SAML-Objekt,Azure-AD-SAML.

   3. Geben Sie die einSP-Adresse,10.1.0.1:1003. Die drei SPURLs werden automatisch ausgefüllt.

      

3. In Azure auf derRichten Sie Single Sign-On mit SAML einSeite, kopieren Sie die folgenden URLs von FortiGate in dieGrundlegende SAML-KonfigurationAbschnitt:

   Von FortiGate	Zum Azure-Feld
   SP-Entitäts-ID(http://10.1.0.1:1003/remote/saml/metadata/)	Identifikator (Entitäts-ID), einstellenStandard
   SP-Single-Sign-On-URL(https://10.1.0.1:1003/remote/saml/login/)	Antwort-URLUndAnmelde-URL
   SP-Single-Logout-URL(https://10.1.0.1:1003/remote/saml/logout/)	Abmelde-URL

4. KlickenSpeichern.

   

5. Unter demSAML-SignaturzertifikatLaden Sie im Abschnitt „Base64“ das Base64-Zertifikat herunter.

   

6. Importieren Sie das Zertifikat von Azure auf dem FortiGate als IdP-Zertifikat:

   1. Gehe zuSystem > Zertifikateund klickenErstellen/Importieren > Remote-Zertifikat.

   2. Laden Sie das Zertifikat von Azure hoch und klicken Sie aufOK. Das neue Zertifikat erscheint unterRemote-ZertifikatAbschnitt mit dem NamenREMOTE_Cert_(N).

   3. Benennen Sie das Zertifikat optional in der CLI um, um ihm einen besser erkennbaren Namen zu geben:

      Konfiguration VPN-Zertifikat remote umbenennen REMOTE_Cert_3 in AZURE_AD_SAML_FWend

7. Im> Abschnitt, kopieren Sie die URLs von Azure nach FortiGate imIdP-DetailsAbschnitt:

   

   1. Klicken Sie auf dem FortiGateNächste.

   2. FürIdP-Typ, wählenBrauchund kopieren Sie Folgendes aus Azure in das entsprechende Feld:

      Von Azure	Zum FortiGate-Feld
      Azure AD-Bezeichner	IdP-Entitäts-ID
      Anmelde-URL	IdP-Single-Sign-On-URL
      Abmelde-URL	IdP-Single-Logout-URL

   3. FürIdP-Zertifikat, wählen Sie das zuvor importierte Remote-Zertifikat aus.

8. Bearbeiten Sie in Azure dieBenutzerattribute und AnsprücheAbschnitt. Die Attribute werden in der SAML-Assertion zurückgegeben, die FortiGate zur Überprüfung des Benutzers und der Gruppe verwendet. Das Konfigurieren des Gruppenabgleichs ist optional.

   1. KlickenNeuen Anspruch hinzufügen, nenne esNutzername, und stellen Sie die einQuellattributZuBenutzer.Anzeigename. Das Quellattribut kann jedes der zugehörigen Benutzernamenfelder sein. Der an FortiGate zurückgegebene Wert des Benutzernamens wird in Protokollen und Monitoren zur Identifizierung des Benutzers verwendet.

   2. KlickenSpeichern.

   3. KlickenFügen Sie einen Gruppenanspruch hinzuund in derGruppenansprücheBereich auswählenAlle Gruppen.

   4. InErweiterte Optionen, wählenPassen Sie den Namen des Gruppenanspruchs an. Legen Sie den Namen fest aufGruppe.

      

   5. KlickenSpeichern. DerBenutzerattribute und AnsprücheIm Abschnitt werden die Update-Einstellungen angezeigt.

      

9. Aktualisieren Sie auf dem FortiGate dieZusätzliche SAML-AttributeAbschnitt mit dem in Azure erstellten Benutzernamen und der Gruppe:

   1. FürAttribut zur Identifizierung von Benutzern, eingebenNutzername.

   2. FürAttribut zur Identifizierung von Gruppen, eingebenGruppe.

      

   3. KlickenEinreichen.

So weisen Sie der Anwendung Azure AD-Benutzer und -Gruppen zu:

1. Gehen Sie in Azure zuVerwalten > Benutzer und Gruppenund klickenBenutzer/Gruppe hinzufügen.

2. KlickenBenutzerum die Benutzer oder Gruppen auszuwählen (John Locusist in diesem Beispiel ausgewählt).

3. KlickenZuordnenum die Aufgabe hinzuzufügen.

   

Konfigurieren des FortiGate

Die Benutzergruppe, Benutzerauthentifizierungseinstellungen und Firewall-Richtlinien müssen auf dem FortiGate konfiguriert werden.

Konfigurieren der Benutzergruppe

Eine Benutzergruppe mit dem NamenAzure-FW-Authwird mit dem Mitglied erstelltAzure-AD-SAML.

Das Konfigurieren des Gruppenabgleichs ist optional und dieObjekt Identifikationvon Azure wird dafür benötigtKonfigurationsübereinstimmungEinstellungen. Gehen Sie im Azure-Standardverzeichnis zuVerwalten >Gruppenund lokalisieren Sie dieObjekt Identifikationfür dieFirewallGruppe.

So konfigurieren Sie die Benutzergruppe:

Konfigurationsbenutzergruppe bearbeiten „Azure-FW-Auth“ Mitglied festlegen „Azure-AD-SAML“ Konfigurationsübereinstimmung bearbeiten 1 Servernamen festlegen „Azure-AD-SAML“ Gruppennamen festlegen „62b699ce-4f80-48c0-846e-c1dfde2dc667“ nächstes Ende nächstes Ende

Konfigurieren der Benutzerauthentifizierungseinstellung

Wenn ein Benutzer Datenverkehr initiiert, leitet FortiGate den Benutzer zum Firewall-Authentifizierungs-Captive-Portal weiter, bevor er ihn zum SAML-IdP-Portal umleitet. Nachdem der SAML-IdP mit der SAML-Assertion antwortet, wird der Benutzer erneut zum Captive-Portal für die Firewall-Authentifizierung weitergeleitet. Wenn der Benutzer dem Zertifikat des Firewall-Portals nicht vertraut, erhält er eine Zertifikatswarnung. Verwenden Sie ein benutzerdefiniertes Zertifikat, dem der Benutzer vertraut, um die Zertifikatwarnung zu vermeiden.

So konfigurieren Sie ein benutzerdefiniertes Zertifikat:

1. Gehe zuBenutzer & Authentifizierung > Authentifizierungseinstellungen.

2. FürZertifikat, wählen Sie das benutzerdefinierte Zertifikat aus. Das SAN-Feld des benutzerdefinierten Zertifikats sollte den FQDN oder die IP der SP-URL enthalten.

Alternativ ermöglicht die Zuweisung eines CA-Zertifikats, dass FortiGate automatisch ein Zertifikat für die Portalseite generiert und signiert. Dadurch wird jedes zugewiesene Serverzertifikat überschrieben. In diesem Beispiel wird das integrierte Fortinet_CA_SSL verwendet.

So weisen Sie ein CA-Zertifikat zu:

1. Bearbeiten Sie die Benutzereinstellung:

   config-Benutzereinstellung set auth-ca-cert „Fortinet_CA_SSL“Ende

2. Gehe zuSystem >Zertifikateund laden Sie das Zertifikat herunter.

3. Installieren Sie das Zertifikat im Zertifikatspeicher des Clients.

Konfigurieren der Firewall-Richtlinien

Firewall-Richtlinien müssen so konfiguriert werden, dass sie die Benutzerauthentifizierung anwenden und Benutzern hinter FortiGate dennoch den Zugriff auf das Microsoft-Anmeldeportal ohne Authentifizierung ermöglichen.

So konfigurieren Sie die Firewall-Richtlinien:

1. Konfigurieren Sie eine Richtlinie, um Datenverkehr zum Microsoft Azure-Internetdienst zuzulassen:

   1. Gehe zuRichtlinien und Objekte > Firewall-Richtlinieund klickenErstelle neu.

   2. Gebe folgendes ein:

      Name	LAN-zu-AuthPortal
      Eingehende Schnittstelle	Port3
      Ausgehende Schnittstelle	Unterlage
      Quelle	alle
      Ziel	Microsoft-Azure(unterInternetdienst)
      Zeitplan	stets
      Service	ALLE
      Aktion	AKZEPTIEREN
      NAT	Aktivieren und auswählenNAT.
      Erlaubten Datenverkehr protokollieren	Aktivieren und auswählenAlle Sitzungen.

   3. Konfigurieren Sie die anderen Einstellungen nach Bedarf.

   4. KlickenOK.

2. Konfigurieren Sie eine Richtlinie zur Anwendung der Benutzerauthentifizierung:

   1. KlickenErstelle neuund geben Sie Folgendes ein:

      Name	LAN-Authentifizierungsrichtlinie
      Eingehende Schnittstelle	Port3
      Ausgehende Schnittstelle	Unterlage
      Quelle	alle,Azure-FW-Auth
      Ziel	alle
      Zeitplan	stets
      Service	ALLE
      Aktion	AKZEPTIEREN
      NAT	Aktivieren und auswählenNAT.
      Erlaubten Datenverkehr protokollieren	Aktivieren und auswählenAlle Sitzungen.

   2. Konfigurieren Sie die anderen Einstellungen nach Bedarf.

   3. KlickenOK.

Verbindung vom Client herstellen

Wenn der Client über einen Browser eine Verbindung zum Internet herstellt, wird er zur Anmeldeseite von Microsoft weitergeleitet, um sich bei Azure AD zu authentifizieren. Das Authentifizierungsportalzertifikat von FortiGate sollte auf dem Client installiert sein.

So stellen Sie eine Verbindung vom Client her her:

1. Öffnen Sie auf dem Client einen Browser (z. B. Firefox) und rufen Sie eine Website auf. Der Benutzer wird zur Microsoft-Anmeldeseite weitergeleitet.

2. Geben Sie die Benutzeranmeldeinformationen ein.

   

3. Wenn der Anmeldeversuch erfolgreich ist, darf der Benutzer auf das Internet zugreifen

Anzeigen von Protokollen und Diagnosen

Um Benutzeranmeldungen zu überprüfen, gehen Sie zuDashboard > Vermögenswerte und Identitätenund erweitern Sie dieFirewall-BenutzerWidget oder geben Sie Folgendes in die CLI ein:

# Firewall-Authentifizierungsliste 10.1.0.100 diagnostizieren,John Locussrc_mac: 02:09:0f:00:03:03 Typ: FW, ID: 0, Dauer: 152, Leerlauf: 7 Ablaufdatum: 292, Zulassen-Leerlauf: 300 Server:Azure-AD-SAMLPakete: in 2097 aus 932, Bytes: in 2208241 aus 143741 Gruppen-ID: 2 Gruppenname:Azure-FW-Auth----- 1 aufgelistet, 0 gefiltert ------

Um Benutzeranmeldeprotokolle zu überprüfen, gehen Sie zuProtokollieren und Berichten > Systemereignisseund wählen Sie die ausBenutzerereignisseKarte, oder geben Sie Folgendes in die CLI ein:

# Protokollfilterkategorie ausführen Ereignis# Protokollfilterfeld-Untertyp ausführen Benutzer# Protokollanzeige ausführen 17 Protokolle gefunden. 10 Protokolle zurückgegeben. 7: Datum=2021-09-30 Zeit=09:49:25 Ereigniszeit=1633020565577584390 tz="-0700" logid="0102043039" type="event" subtype="user" level="notice" vd="root" logdesc="Authentifizierungsanmeldung"srcip=10.1.0.100 user="John Locus" authserver="Azure-AD-SAML"action="auth-logon" status="logon" msg="Benutzer John Locus zur Auth-Anmeldung hinzugefügt"8: date=2021-09-30 time=09:49:25 eventtime=1633020565577075629 tz="-0700" logid= „0102043008“ type="event" subtype="user" level="notice" vd="root"logdesc="Authentifizierung erfolgreich" srcip=10.1.0.100 dstip=10.1.0.1Policyid=11 Schnittstelle="port3"user="John Locus" group="Azure-FW-Auth"authproto="HTTPS(10.1.0.100)" action="authentication" status="success" reason="N/A" msg="Benutzer John Locus konnte sich erfolgreich authentifizieren"

Wenn die Benutzerauthentifizierung in Azure AD erfolgreich ist, ihre Gruppe jedoch nicht mit der in der FortiGate-Benutzergruppe definierten übereinstimmt, erhält der Benutzer eineFirewall-Authentifizierung fehlgeschlagenMeldung im Browser. Außerdem wird ein Protokoll aufgezeichnet:

# Protokollfilterkategorie ausführen Ereignis# Protokollfilterfeld-Subtyp ausführen Benutzer# Protokoll ausführen Anzeige 1: Datum=30.09.2021 Zeit=10:39:35 Ereigniszeit=1633023575381139214 tz="-0700" logid="0102043009" type=" event" subtype="user" level="notice" vd="root" logdesc="Authentifizierung fehlgeschlagen" srcip=10.1.0.100 dstip=10.1.0.1 Policyid=11 interface="port3"user="Adam Thompson"group="N/A" authproto="HTTPS(10.1.0.100)" action="authentication" status="failure"reason="Kein übereinstimmender SAML-Benutzer- oder Gruppenname in der Authentifizierung bzw."msg="Benutzer Adam Thompson konnte sich nicht authentifizieren"

Wenn ein Benutzer die folgende Fehlermeldung erhält, bedeutet dies, dass der Benutzer nicht der Unternehmensanwendung zugewiesen istSAML-FW-Authin Azure.

So beheben Sie SAML-Probleme:

# Debug-Anwendung diagnostizieren sald -1# Debug-Aktivierung diagnostizieren