透過 Microsoft Entra ID 進行 SSL VPN 身分驗證

選項
Zyxel_Kenny
Zyxel_Kenny 文章數: 126 image  Zyxel Employee
First Comment Friend Collector Fifth Anniversary
防火牆 常見問題

「OpenID Connect (OIDC) 是一種建立在 OAuth 2.0 基礎之上的現代化身分驗證協定。我們現在支援透過 OIDC 與 Microsoft Entra ID 進行 SSL VPN 身分驗證的整合。這項整合允許我們運用既有的身分識別提供者(IdP),在提供無縫登入體驗的同時,也能集中帳號管理並降低與傳統密碼相關的風險。」

unknown.png

開始之前

在設定防火牆之前,您必須完成以下必要準備:

  • Microsoft Entra ID 權限: 您在 Microsoft Entra ID 中必須擁有「應用程式管理員 (Application Administrator)」的角色權限。
  • 防火牆設備與版本: 需使用 USG FLEX H 系列防火牆(韌體版本需為 uOS 1.37 或以上)。
  • 授權 (License): 您的身分識別提供者 (Microsoft Entra ID) 必須具備有效的授權。
  • 網路連線: 您的設備與 Microsoft Entra ID 之間必須具備網路連線能力。

驗證代理 (Authentication Proxy)

請前往 User & Authentication (使用者與認證) > User Authentication (使用者認證) > Advanced (進階)

為了防止 VPN 用戶端在撥號連線時出現「憑證警告」,您應該使用 商用 CA 簽署的憑證。如果您使用的是 內部 CA 簽發的憑證,則必須將該 CA 憑證手動派送(安裝)到所有的客戶端設備上。

image-df6ec93142f3b-600e.png image-b307037e4a57f8-9083.png

在 Microsoft Entra ID 註冊應用程式

1.前往入口網站: 進入 Entra ID Portal,點選左側的 [App registrations] (應用程式註冊),然後點擊上方的 [New registration] (新增註冊)。

unknown.png unknown.png

2.命名: 輸入一個 Display name (顯示名稱)

unknown.png

3.設定權限: 前往左側選單的 [Manage] (管理) > [API permissions] (API 權限),點擊 [Add a permission] (新增權限)。

unknown.png

4.選取權限範圍: 請新增並允許以下權限:email、offline_access、openid、profile 以及 User.Read。 

unknown.png

5.建立密鑰: 前往左側選單的 [Manage] (管理) > [Certificates & secrets] (憑證和密碼),點擊 [New client secret] (新增用戶端密碼)。

unknown.png


6.複製密鑰值: 建立後,請立刻複製 Secret Value (值)。您在設定防火牆時會需要用到它。

unknown.png image-b2d00a16897088-0c30.png

建立 OIDC AAA 伺服器

1. 登入 USG FLEX H 並前往 User & Authentication (使用者與認證) > User Authentication (使用者認證) > AAA Server (AAA 伺服器)。新增 OIDC 伺服器。

image-a5629a52e7bd28-1939.png

請檢視您的 Entra 應用程式概觀 (Overview) 頁面,您需要取得『Client ID (用戶端識別碼)』與『Tenant ID (租戶識別碼)』來進行防火牆的設定。 

unknown.png

2.填寫伺服器詳細資訊 (Fill in Server details)

  • Issuer URL (發行者網址): https://login.microsoftonline.com/{Tenant ID}/v2.0
  • Client ID (用戶端識別碼): {Client ID}
  • Client Secret (用戶端密碼): {您已經在「管理 > 憑證和密碼」步驟中取得此密碼}
  • Redirect Address (重新導向位址): {FQDN}
unknown.png unknown.png

3.請複製上述的『Redirect URI (重新導向 URI)』,並回到 Entra 入口網站的概觀頁面 > 點選『新增重新導向 URI』 > 點選『新增平台』 > 選擇『Web』。

image-1265526400a2b8-8064.png image-e25b26571e9b08-a0c0.png

4. 貼上 URI 並點選設定 (Configure) 

image-19ebd34d25dda-f17d.png

5. 請回到 USG FLEX H 的 OIDC 伺服器設定頁面,找到『Configuration Validation (組態驗證)』功能。

6. 請在防火牆上點擊『測試 (Test)』

image-12aaefcf38cfe-5db9.png

7. 您應該會看到『OIDC Authentication Successful (OIDC 驗證成功)』的訊息。 

image-0ca550e9b37bf-ada3.png

 

USG FLEX H 系列的 SSL VPN 設定 

1.設定 SSL VPN: 請將 OIDC 設定為 Primary Server (主要伺服器),並將 Allowed User (允許的使用者) 設定為 oidc-users。

image-22e639aefeeec8-b1ad.png

 驗證 (Verification)

1.連線: 透過 OpenVPN Connect 用戶端軟體 連線 VPN。

2.自動導向: 瀏覽器將會自動開啟 Microsoft 的登入頁面。

3.登入: 使用您的 Microsoft 帳號進行身分驗證。

image-343ccc105b1178-3987.png

 4. 在 VPN Status (VPN 狀態) > SSL VPN > Remote Access VPN (遠端存取 VPN) 檢查狀態。

image-dafbfe4ec800e8-faaa.png

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)