Okta를 이용한 SSLVPN 로그인 인증 구성
[인증 흐름도]
okta에서 새로운 Application 생성
App name 설정
Saml 설정에 FortiGate SSLVPN 정보 입력
Single sign on URL : https://[SSLVPN접근 주소]/remote/saml/login
Audience URI(SP Entity ID) : https://[SSLVPN접근 주소]/remote/saml/metadata
Saml 설정
FotiGate에서 입력이 필요한 정보(1)
Attributes Statements 값을 이용하여 사용자이름 매칭
‘login’ 이라는 key값을 이용해 user.login 정보 매칭
Certificate Type은 SHA-1의 Status를 Active로 변경(FortiGate에서 기본 설정이 sha-1로 설정되어 있음)
Sign On탭에서 오른쪽의 SAML Setup->View SAML setup instructions 선택
FotiGate에서 입력이 필요한 정보(2)
FotiGate에서 입력이 필요한 정보(3)-Download certificate 이용하여 인증서 다운로드
Assignments탭에서 Assign 이용하여 사용자 할당
FortiGate 설정
okta에서 다운로드 받은 인증서를 Remote 방식으로 업로드 ß FotiGate에서 입력이 필요한 정보(3) 참고
#config user saml
#edit "oka-saml-vpn2"
set cert "Fortinet_Factory"
set entity-id https://[SSLVPN 접근 주소]/remote/saml/metadata
set single-sign-on-url https:// [SSLVPN 접근 주소]/remote/saml/login
set single-logout-url https:// [SSLVPN 접근 주소]/remote/saml/logout
set idp-entity-id http://www.okta.com/exk3axtlj4HoaAhER697 ß- FotiGate에서 입력이 필요한 정보(2) 참고
set idp-single-sign-on-url https://trial-5927096.okta.com/app/trial-5927096_samlfgt_2/exk3axtlj4HoaAhER697/sso/saml ß- FotiGate에서 입력이 필요한 정보(2) 참고
set idp-single-logout-url https://trial-5927096.okta.com/app/trial-5927096_samlfgt_2/exk3axtlj4HoaAhER697/sso/saml ß- FotiGate에서 입력이 필요한 정보(2) 참고
set idp-cert "REMOTE_Cert_4" ß 업로드한 인증서 선택
set user-name "login" ß FotiGate에서 입력이 필요한 정보(1) 참고
set digest-method sha1
next
생성한 Saml User를 그룹에 적용
#config user group
SSLVPN Setting에서 생성한 group에 대하여 rule 적용
정책 적용
Forticlient에서 설정->Enable single Sign On (SSO) for VPN Tunnel 활성화
FortiClient 로그인 화면
로그인
Login User 상태 확인
아래 가이드 문서 참고 하시기 바랍니다.