如何設置 Hailbytes VPN 身份驗證

在本節中，我們將簡要介紹如何使用 OIDC 多重身份驗證集成您的身份提供商。 本指南面向使用 Azure Active Directory。 不同的身份提供商可能有不常見的配置和其他問題。

• 我們建議您使用已完全支持和測試的提供商之一：Azure Active Directory、Okta、Onelogin、Keycloak、Auth0 和 Google Workspace。

• 如果您沒有使用推薦的 OIDC 提供商，則需要進行以下配置。

           a) discovery_document_uri：OpenID Connect 提供商配置 URI，它返回一個 JSON 文檔，用於構造對此 OIDC 提供商的後續請求。 一些提供商將此稱為“眾所周知的 URL”。

          b) client_id：應用程序的客戶端 ID。

          c) client_secret：應用程序的客戶端密鑰。

          d）redirect_uri：指示 OIDC 提供商在身份驗證後重定向到何處。 這應該是您的 Firezone EXTERNAL_URL + /auth/oidc/ /callback/，例如 https://firezone.example.com/auth/oidc/google/callback/。

          e)response_type：設置為代碼。

          f) 範圍：從 OIDC 提供商處獲取的 OIDC 範圍。 Firezone 至少需要 openid 和 email 範圍。

          g) 標籤：Firezone 門戶登錄頁面上顯示的按鈕標籤文本。

• 導航到 Azure 門戶上的 Azure Active Directory 頁面。 選擇“管理”菜單下的“應用程序註冊”鏈接，單擊“新註冊”，然後輸入以下內容後進行註冊：

          a) 名稱：火區

          b) 支持的帳戶類型：（僅限默認目錄 - 單個租戶）

          c) 重定向 URI：這應該是您的 Firezone EXTERNAL_URL + /auth/oidc/ /callback/，例如 https://firezone.example.com/auth/oidc/azure/callback/。

• 註冊後，打開應用程序的詳細信息視圖並複制應用程序（客戶端）ID。 這將是 client_id 值。
• 打開端點菜單以檢索 OpenID Connect 元數據文檔。 這將是 discovery_document_uri 值。

• 選擇“管理”菜單下的“證書和機密”鏈接並創建新的客戶端機密。 複製客戶端密鑰。 這將是 client_secret 值。

• 選擇“管理”菜單下的 API 權限鏈接，單擊“添加權限”，然後選擇“Microsoft Graph”。 將 email、openid、offline_access 和 profile 添加到所需的權限。

• 導航到管理門戶中的 /settings/security 頁面，單擊“添加 OpenID Connect 提供商”並輸入您在上述步驟中獲得的詳細信息。

• 啟用或禁用自動創建用戶選項，以便在通過此身份驗證機制登錄時自動創建非特權用戶。

恭喜！ 您應該在登錄頁面上看到“使用 Azure 登錄”按鈕。