Fortinet – SAML-аутентификация для политики брандмауэра с виртуальным IP (VIP)

Вопрос или проблема

Я должен настроить VIP на моем файрволе Fortinet 101F (FortiOS 7.0.16), который обеспечивает аутентификацию SAML в моей среде Azure (Azure должен играть роль поставщика идентификации), возможно ли создать такую входящую политику, используя мой файрвол?

Ответ или решение

Настройка VIP и SAML аутентификации на сетевом экране Fortinet 101F с FortiOS 7.0.16

Введение

Использование виртуальных IP-адресов (VIP) для инкапсуляции и публикации внутренних ресурсов в Интернете — это распространенная практика в рамках обеспечения сетевой безопасности. В качестве дополнительного уровня защиты, интеграция SAML аутентификации с Fortinet Firewall и Azure в роли Провайдера Удостоверений (IdP) становится ключевым элементом для повышения уровня безопасности доступа к вашим ресурсам.

Задача

Вам необходимо настроить VIP на сетевом экране Fortinet 101F, чтобы обеспечить SAML аутентификацию с использованием Azure в качестве идентификационного провайдера. Вопрос, который возникает, стоит в том, возможно ли это сделать с помощью существующей конфигурации.

Возможности Fortinet для SAML

Fortinet поддерживает аутентификацию SAML, однако настройки могут отличаться в зависимости от модели аппаратного обеспечения и версии программного обеспечения. В вашем случае, с использованием FortiOS 7.0.16 на Fortinet 101F, данная функциональность поддерживается и доступна для реализации.

Шаги по настройке

1. Настройка VIP на Fortinet 101F:

   • Перейдите в раздел Network > Virtual IPs.
   • Создайте новый VIP, указав внешний IP-адрес, который будет использоваться для доступа к вашему приложению, и внутренний IP-адрес, на который будет направляться трафик.
   • Убедитесь, что вы указали соответствующие протоколы (TCP/UDP), портовые настройки и задали корректные правила.

2. Создание политики Firewall:

   • Откройте раздел Policy & Objects > IPv4 Policy.
   • Добавьте новую политику, указывая ваш VIP как получатель трафика.
   • Включите SAML аутентификацию для вашего трафика, добавив нужные параметры в правила политики.

3. Настройка SAML в Fortinet:

   • Перейдите в раздел User & Device > Config > SAML.
   • Добавьте новую конфигурацию SAML и укажите параметры, такие как URL для сведения о службе (Service Provider URL) и другие параметры, необходимые для взаимодействия с Azure.
   • Импортируйте сертификат, который будет использоваться для подписи SAML-запросов и ответов.

4. Интеграция с Azure:

   • В Azure portal создайте новый регистрационный объект приложения, который будет служить для аутентификации через SAML.
   • Настройте параметры SAML, такие как Identifier (Entity ID) и Reply URL, который должен совпадать с URL вашего Fortinet.
   • Настройте необходимые атрибуты (например, email, имя и роль), которые будут передаваться Fortinet после успешной аутентификации.

5. Тестирование конфигурации:

   • После завершения всех вышеуказанных настроек протестируйте конфигурацию, чтобы убедиться, что пользователи могут успешно аутентифицироваться через Azure и получать доступ к ресурсам, опубликованным с помощью VIP.

Заключение

Настройка VIP на Fortinet 101F для работы с SAML аутентификацией в Azure возможно и гарантирует высокий уровень безопасности, когда пользователи получают доступ к защищенным ресурсам. Следуя представленным шагам, вы сможете эффективно настроить вашу систему для интеграции с внешними идентификационными провайдерами, такими как Azure, тем самым повышая уровень управляемости и защиты сети.

Если у вас возникнут дополнительные вопросы или вам потребуется помощь, пожалуйста, не стесняйтесь обращаться за поддержкой к специалистам по Fortinet.