نحوه تنظیم Hailbytes VPN Authentication

در این بخش، به طور خلاصه به نحوه ادغام ارائه دهنده هویت خود با استفاده از تأیید هویت چند عاملی OIDC خواهیم پرداخت. این راهنما برای استفاده از Azure Active Directory طراحی شده است. ارائه‌دهندگان هویت مختلف ممکن است پیکربندی‌های غیرمعمول و مشکلات دیگری داشته باشند.

• توصیه می کنیم از یکی از ارائه دهندگانی استفاده کنید که به طور کامل پشتیبانی و آزمایش شده است: Azure Active Directory، Okta، Onelogin، Keycloak، Auth0 و Google Workspace.

• اگر از ارائه دهنده OIDC توصیه شده استفاده نمی کنید، تنظیمات زیر مورد نیاز است.

           الف) Discovery_document_uri: URI پیکربندی ارائه‌دهنده OpenID Connect که یک سند JSON مورد استفاده برای ساخت درخواست‌های بعدی را به این ارائه‌دهنده OIDC برمی‌گرداند. برخی از ارائه دهندگان از آن به عنوان "URL شناخته شده" یاد می کنند.

          ب) client_id: شناسه مشتری برنامه.

          ج) client_secret: رمز سرویس گیرنده برنامه.

          د) redirect_uri: به ارائه دهنده OIDC دستور می دهد که پس از احراز هویت به کجا تغییر مسیر دهد. این باید Firezone EXTERNAL_URL + /auth/oidc/ شما باشد /callback/، به عنوان مثال https://firezone.example.com/auth/oidc/google/callback/.

          ه) answer_type: روی کد تنظیم کنید.

          f) محدوده: محدوده های OIDC را از ارائه دهنده OIDC خود دریافت کنید. حداقل، Firezone به فضای باز و ایمیل نیاز دارد.

          g) label: متن برچسب دکمه نمایش داده شده در صفحه ورود به پورتال Firezone.

• به صفحه Azure Active Directory در پورتال Azure بروید. پیوند ثبت‌های برنامه را در منوی Manage انتخاب کنید، روی ثبت نام جدید کلیک کنید و پس از وارد کردن موارد زیر ثبت نام کنید:

          الف) نام: Firezone

          ب) انواع حساب های پشتیبانی شده: (فقط دایرکتوری پیش فرض - مستاجر مجرد)

          ج) Redirect URI: این باید Firezone EXTERNAL_URL + /auth/oidc/ شما باشد /callback/، به عنوان مثال https://firezone.example.com/auth/oidc/azure/callback/.

• پس از ثبت نام، نمای جزئیات برنامه را باز کرده و شناسه برنامه (کلینت) را کپی کنید. این مقدار client_id خواهد بود.
• برای بازیابی سند فراداده OpenID Connect، منوی نقاط پایانی را باز کنید. این مقدار Discovery_document_uri خواهد بود.

• پیوند Certificates & Secrets را در منوی Manage انتخاب کنید و یک راز مشتری جدید ایجاد کنید. راز مشتری را کپی کنید. این مقدار client_secret خواهد بود.

• پیوند مجوزهای API را در منوی Manage انتخاب کنید، روی Add a permission کلیک کنید و Microsoft Graph را انتخاب کنید. ایمیل، openid، offline_access و نمایه را به مجوزهای مورد نیاز اضافه کنید.

• به صفحه /settings/security در پورتال مدیریت بروید، روی "Add OpenID Connect Provider" کلیک کنید و جزئیاتی را که در مراحل بالا به دست آورده اید وارد کنید.

• گزینه Auto create users را فعال یا غیرفعال کنید تا هنگام ورود به سیستم از طریق این مکانیسم احراز هویت، به طور خودکار یک کاربر غیرمجاز ایجاد کنید.

تبریک می گویم! باید دکمه Sign In with Azure را در صفحه ورود خود مشاهده کنید.