Okta를 이용한 SSLVPN 로그인 인증 구성

 

[인증 흐름도]

 

 

okta에서 새로운 Application 생성

 

App name 설정

 

Saml 설정에 FortiGate SSLVPN 정보 입력

Single sign on URL : https://[SSLVPN접근 주소]/remote/saml/login

Audience URI(SP Entity ID) : https://[SSLVPN접근 주소]/remote/saml/metadata

 

Saml 설정

 

FotiGate에서 입력이 필요한 정보(1)

Attributes Statements  값을 이용하여 사용자이름 매칭

‘login’ 이라는 key값을 이용해 user.login 정보 매칭

 

Certificate Type은 SHA-1의 Status를 Active로 변경(FortiGate에서 기본 설정이 sha-1로 설정되어 있음)

 

Sign On탭에서 오른쪽의 SAML Setup->View SAML setup instructions 선택

FotiGate에서 입력이 필요한 정보(2)

 

FotiGate에서 입력이 필요한 정보(3)-Download certificate 이용하여 인증서 다운로드

 

Assignments탭에서 Assign 이용하여 사용자 할당

 

FortiGate 설정

 

okta에서 다운로드 받은 인증서를 Remote 방식으로 업로드  ß FotiGate에서 입력이 필요한 정보(3) 참고

 

#config user saml

#edit "oka-saml-vpn2"

        set cert "Fortinet_Factory"

        set entity-id https://[SSLVPN 접근 주소]/remote/saml/metadata

        set single-sign-on-url https:// [SSLVPN 접근 주소]/remote/saml/login

        set single-logout-url https:// [SSLVPN 접근 주소]/remote/saml/logout

        set idp-entity-id http://www.okta.com/exk3axtlj4HoaAhER697 ß- FotiGate에서 입력이 필요한 정보(2) 참고

        set idp-single-sign-on-url https://trial-5927096.okta.com/app/trial-5927096_samlfgt_2/exk3axtlj4HoaAhER697/sso/saml  ß- FotiGate에서 입력이 필요한 정보(2) 참고

        set idp-single-logout-url https://trial-5927096.okta.com/app/trial-5927096_samlfgt_2/exk3axtlj4HoaAhER697/sso/saml   ß- FotiGate에서 입력이 필요한 정보(2) 참고

        set idp-cert "REMOTE_Cert_4" ß 업로드한 인증서 선택

        set user-name "login"    ß  FotiGate에서 입력이 필요한 정보(1) 참고

        set digest-method sha1 

    next

 

생성한 Saml User를 그룹에 적용

#config user group

 

SSLVPN Setting에서 생성한 group에 대하여 rule 적용

 

정책 적용

 

Forticlient에서 설정->Enable single Sign On (SSO) for VPN Tunnel 활성화

 

FortiClient 로그인 화면

 

로그인

 

Login User 상태 확인

 

아래 가이드 문서 참고 하시기 바랍니다.

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configuring-SAML-SSO-login-for-SSL-VPN-web-mode/ta-p/192259

https://docs.fortinet.com/document/fortigate/7.2.1/administration-guide/499536/ssl-vpn-with-okta-as-saml-idp