Cómo configurar la autenticación VPN de Hailbytes

En esta sección, repasaremos brevemente cómo integrar su proveedor de identidad mediante la autenticación multifactor de OIDC. Esta guía está orientada al uso de Azure Active Directory. Diferentes proveedores de identidad pueden tener configuraciones poco comunes y otros problemas.

• Le recomendamos que utilice uno de los proveedores que ha sido totalmente compatible y probado: Azure Active Directory, Okta, Onelogin, Keycloak, Auth0 y Google Workspace.

• Si no utiliza un proveedor de OIDC recomendado, se requieren las siguientes configuraciones.

           a) discovery_document_uri: el URI de configuración del proveedor de OpenID Connect que devuelve un documento JSON utilizado para construir solicitudes posteriores a este proveedor OIDC. Algunos proveedores se refieren a esto como la "URL conocida".

          b) client_id: El ID de cliente de la aplicación.

          c) client_secret: El secreto del cliente de la aplicación.

          d) redirect_uri: indica al proveedor de OIDC dónde redirigir después de la autenticación. Esta debería ser su Firezone EXTERNAL_URL + /auth/oidc/ /devolución de llamada/, por ejemplo, https://firezone.example.com/auth/oidc/google/callback/.

          e) tipo_respuesta: Establecido en código.

          f) alcance: alcances OIDC para obtener de su proveedor OIDC. Como mínimo, Firezone requiere los ámbitos openid y email.

          g) etiqueta: El texto de la etiqueta del botón que se muestra en la página de inicio de sesión del portal de Firezone.

• Vaya a la página de Azure Active Directory en Azure Portal. Seleccione el enlace Registros de aplicaciones en el menú Administrar, haga clic en Nuevo registro y regístrese después de ingresar lo siguiente:

          a) Nombre: Firezone

          b) Tipos de cuenta admitidos: (Directorio predeterminado únicamente: inquilino único)

          c) URI de redirección: esta debería ser su EXTERNAL_URL de Firezone + /auth/oidc/ /devolución de llamada/, por ejemplo, https://firezone.example.com/auth/oidc/azure/callback/.

• Después de registrarse, abra la vista de detalles de la aplicación y copie la ID de la aplicación (cliente). Este será el valor de client_id.
• Abra el menú de puntos finales para recuperar el documento de metadatos de OpenID Connect. Este será el valor discovery_document_uri.

• Seleccione el enlace Certificados y secretos en el menú Administrar y cree un nuevo secreto de cliente. Copie el secreto del cliente. Este será el valor de client_secret.

• Seleccione el vínculo de permisos de API en el menú Administrar, haga clic en Agregar un permiso y seleccione Microsoft Graph. Agregue correo electrónico, openid, offline_access y perfil a los permisos requeridos.

• Vaya a la página /configuración/seguridad en el portal de administración, haga clic en "Agregar proveedor de OpenID Connect" e ingrese los detalles que obtuvo en los pasos anteriores.

• Habilite o deshabilite la opción Creación automática de usuarios para crear automáticamente un usuario sin privilegios al iniciar sesión a través de este mecanismo de autenticación.

¡Felicidades! Debería ver un botón Iniciar sesión con Azure en su página de inicio de sesión.