Hailbytes VPN 認証を設定する方法

このセクションでは、OIDC Multi-Factor Authentication を使用して ID プロバイダーを統合する方法について簡単に説明します。 このガイドは、Azure Active Directory の使用を対象としています。 ID プロバイダーが異なれば、一般的ではない構成やその他の問題が発生する可能性があります。

• 完全にサポートされ、テストされているプロバイダー (Azure Active Directory、Okta、Onelogin、Keycloak、Auth0、Google Workspace) のいずれかを使用することをお勧めします。

• 推奨される OIDC プロバイダーを使用していない場合は、次の構成が必要です。

           a) Discovery_document_uri: この OIDC プロバイダーへの後続のリクエストを構築するために使用される JSON ドキュメントを返す OpenID Connect プロバイダー構成 URI。 一部のプロバイダーは、これを「既知の URL」と呼びます。

          b) client_id: アプリケーションのクライアント ID。

          c) client_secret: アプリケーションのクライアント シークレット。

          d) redirect_uri: OIDC プロバイダーに、認証後のリダイレクト先を指示します。 これは Firezone EXTERNAL_URL + /auth/oidc/ である必要があります。 /callback/、例: https://firezone.example.com/auth/oidc/google/callback/。

          e) response_type: code に設定します。

          f) スコープ: OIDC プロバイダーから取得する OIDC スコープ。 Firezone には少なくとも、openid スコープと電子メール スコープが必要です。

          g) label: Firezone ポータルのログイン ページに表示されるボタン ラベルのテキスト。

• Azure portal の Azure Active Directory ページに移動します。 [管理] メニューの [アプリの登録] リンクを選択し、[新規登録] をクリックして、次の情報を入力して登録します。

          a) 名前: Firezone

          b) サポートされているアカウント タイプ: (デフォルト ディレクトリのみ – シングル テナント)

          c) リダイレクト URI: これは Firezone の EXTERNAL_URL + /auth/oidc/ である必要があります。 /callback/、例: https://firezone.example.com/auth/oidc/azure/callback/。

• 登録後、アプリケーションの詳細ビューを開き、アプリケーション (クライアント) ID をコピーします。 これは client_id 値になります。
• エンドポイント メニューを開いて、OpenID Connect メタデータ ドキュメントを取得します。 これは、discovery_document_uri の値になります。

• [管理] メニューの [証明書とシークレット] リンクを選択し、新しいクライアント シークレットを作成します。 クライアントシークレットをコピーします。 これは client_secret 値になります。

• [管理] メニューの [API アクセス許可] リンクを選択し、[アクセス許可の追加] をクリックして、[Microsoft Graph] を選択します。 必要な権限に電子メール、openid、offline_access、プロファイルを追加します。

• 管理ポータルの /settings/security ページに移動し、「OpenID Connect プロバイダーの追加」をクリックして、上記の手順で取得した詳細を入力します。

• この認証メカニズムを介してサインインするときに、特権のないユーザーを自動的に作成するには、「ユーザーの自動作成」オプションを有効または無効にします。

おめでとう！ サインイン ページに [Azure でサインイン] ボタンが表示されるはずです。