របៀបតំឡើងការផ្ទៀងផ្ទាត់ Halbytes VPN
សេចក្តីផ្តើម
ឥឡូវនេះ អ្នកមានការដំឡើង និងកំណត់រចនាសម្ព័ន្ធ HailBytes VPN អ្នកអាចចាប់ផ្តើមស្វែងយល់ពីមុខងារសុវត្ថិភាពមួយចំនួនដែល HailBytes មានផ្តល់ជូន។ អ្នកអាចពិនិត្យមើលប្លក់របស់យើងសម្រាប់ការណែនាំអំពីការដំឡើង និងមុខងារសម្រាប់ VPN។ នៅក្នុងអត្ថបទនេះ យើងនឹងរៀបរាប់អំពីវិធីសាស្ត្រផ្ទៀងផ្ទាត់ដែលគាំទ្រដោយ HailBytes VPN និងរបៀបបន្ថែមវិធីសាស្ត្រផ្ទៀងផ្ទាត់។
ទិដ្ឋភាពទូទៅ
HailBytes VPN ផ្តល់នូវវិធីសាស្រ្តផ្ទៀងផ្ទាត់មួយចំនួន ក្រៅពីការផ្ទៀងផ្ទាត់មូលដ្ឋានតាមបែបប្រពៃណី។ ដើម្បីកាត់បន្ថយហានិភ័យផ្នែកសុវត្ថិភាព យើងសូមណែនាំឱ្យបិទការផ្ទៀងផ្ទាត់មូលដ្ឋាន។ ជំនួសមកវិញ យើងសូមណែនាំការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) OpenID Connect ឬ SAML 2.0។
- MFA បន្ថែមស្រទាប់សុវត្ថិភាពបន្ថែមពីលើការផ្ទៀងផ្ទាត់មូលដ្ឋាន។ HailBytes VPN រួមបញ្ចូលកំណែដែលភ្ជាប់មកជាមួយក្នុងស្រុក និងការគាំទ្រសម្រាប់ MFA ខាងក្រៅសម្រាប់អ្នកផ្តល់អត្តសញ្ញាណពេញនិយមជាច្រើនដូចជា Okta, Azure AD និង Onelogin ។
- OpenID Connect គឺជាស្រទាប់អត្តសញ្ញាណដែលបានបង្កើតឡើងនៅលើពិធីការ OAuth 2.0 ។ វាផ្តល់នូវវិធីសុវត្ថិភាព និងស្តង់ដារក្នុងការផ្ទៀងផ្ទាត់ និងទទួលបានព័ត៌មានអ្នកប្រើប្រាស់ពីអ្នកផ្តល់អត្តសញ្ញាណដោយមិនចាំបាច់ចូលច្រើនដង។
- SAML 2.0 គឺជាស្តង់ដារបើកចំហដែលមានមូលដ្ឋានលើ XML សម្រាប់ការផ្លាស់ប្តូរព័ត៌មានការផ្ទៀងផ្ទាត់ និងការអនុញ្ញាតរវាងភាគី។ វាអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ផ្ទៀងផ្ទាត់ម្តងជាមួយអ្នកផ្តល់អត្តសញ្ញាណដោយមិនចាំបាច់ផ្ទៀងផ្ទាត់ឡើងវិញដើម្បីចូលប្រើកម្មវិធីផ្សេងៗ។
OpenID ភ្ជាប់ជាមួយ Azure ដំឡើង
នៅក្នុងផ្នែកនេះ យើងនឹងនិយាយដោយសង្ខេបអំពីរបៀបបញ្ចូលអ្នកផ្តល់អត្តសញ្ញាណរបស់អ្នកដោយប្រើ ODC Multi-Factor Authentication។ មគ្គុទ្ទេសក៍នេះគឺផ្តោតលើការប្រើប្រាស់ Azure Active Directory ។ អ្នកផ្តល់អត្តសញ្ញាណផ្សេងគ្នាអាចមានការកំណត់រចនាសម្ព័ន្ធមិនធម្មតា និងបញ្ហាផ្សេងទៀត។
- យើងណែនាំអ្នកឱ្យប្រើអ្នកផ្តល់សេវាមួយដែលត្រូវបានគាំទ្រ និងសាកល្បងយ៉ាងពេញលេញ៖ Azure Active Directory, Okta, Onelogin, Keycloak, Auth0, និង Google Workspace ។
- ប្រសិនបើអ្នកមិនប្រើអ្នកផ្តល់សេវា ODC ដែលបានណែនាំទេ ការកំណត់រចនាសម្ព័ន្ធខាងក្រោមត្រូវបានទាមទារ។
ក) discovery_document_uri៖ ការកំណត់រចនាសម្ព័ន្ធអ្នកផ្តល់សេវា OpenID Connect URI ដែលត្រឡប់ឯកសារ JSON ដែលប្រើដើម្បីបង្កើតសំណើជាបន្តបន្ទាប់ទៅកាន់អ្នកផ្តល់សេវា ODC នេះ។ អ្នកផ្តល់សេវាមួយចំនួនសំដៅទៅលើវាថាជា "URL ល្បី"។
ខ) client_id៖ លេខសម្គាល់អតិថិជនរបស់កម្មវិធី។
គ) client_secret៖ អាថ៌កំបាំងអតិថិជននៃកម្មវិធី។
d) redirect_uri៖ ណែនាំអ្នកផ្តល់សេវា OIDC កន្លែងដែលត្រូវប្តូរទិសបន្ទាប់ពីការផ្ទៀងផ្ទាត់។ នេះគួរតែជា Firezone EXTERNAL_URL + /auth/oidc/ របស់អ្នក /callback/ ឧទាហរណ៍ https://firezone.example.com/auth/oidc/google/callback/ ។
e) response_type៖ កំណត់ទៅជាកូដ។
f) វិសាលភាព៖ វិសាលភាព ODC ដើម្បីទទួលបានពីអ្នកផ្តល់សេវា ODC របស់អ្នក។ យ៉ាងហោចណាស់ Firezone ទាមទារវិសាលភាព openid និងអ៊ីមែល។
g) label៖ អត្ថបទស្លាកប៊ូតុងដែលបង្ហាញនៅលើទំព័រចូលវិបផតថល Firezone ។
- រុករកទៅទំព័រ Azure Active Directory នៅលើវិបផតថល Azure ។ ជ្រើសរើសតំណចុះឈ្មោះកម្មវិធីក្រោមម៉ឺនុយគ្រប់គ្រង ចុចការចុះឈ្មោះថ្មី ហើយចុះឈ្មោះបន្ទាប់ពីបញ្ចូលខាងក្រោម៖
ក) ឈ្មោះ៖ តំបន់ភ្លើង
ខ) ប្រភេទគណនីដែលគាំទ្រ៖ (ថតលំនាំដើមតែប៉ុណ្ណោះ - អ្នកជួលតែមួយ)
គ) ប្តូរទិស URI៖ នេះគួរតែជាតំបន់ Firezone របស់អ្នក EXTERNAL_URL + /auth/oidc/ /callback/ ឧទាហរណ៍ https://firezone.example.com/auth/oidc/azure/callback/ ។
- បន្ទាប់ពីចុះឈ្មោះ សូមបើកទិដ្ឋភាពលម្អិតនៃកម្មវិធី ហើយចម្លងលេខសម្គាល់កម្មវិធី (អតិថិជន)។ នេះនឹងជាតម្លៃ client_id។
- បើកម៉ឺនុយចំណុចបញ្ចប់ ដើម្បីទាញយកឯកសារទិន្នន័យមេតា OpenID Connect។ នេះនឹងជាតម្លៃ discovery_document_uri ។
- ជ្រើសរើសតំណវិញ្ញាបនបត្រ & សម្ងាត់នៅក្រោមម៉ឺនុយគ្រប់គ្រង ហើយបង្កើតអាថ៌កំបាំងអតិថិជនថ្មី។ ចម្លងការសម្ងាត់របស់អតិថិជន។ នេះនឹងជាតម្លៃ client_secret ។
- ជ្រើសរើសតំណការអនុញ្ញាត API នៅក្រោមម៉ឺនុយគ្រប់គ្រង ចុចបន្ថែមការអនុញ្ញាត ហើយជ្រើសរើស Microsoft Graph ។ បន្ថែមអ៊ីមែល openid offline_access និងប្រវត្តិរូបទៅការអនុញ្ញាតដែលត្រូវការ។
- រុករកទៅទំព័រ /settings/security ក្នុងវិបផតថលគ្រប់គ្រង សូមចុច “Add OpenID Connect Provider” ហើយបញ្ចូលព័ត៌មានលម្អិតដែលអ្នកទទួលបានក្នុងជំហានខាងលើ។
- បើក ឬបិទជម្រើសបង្កើតអ្នកប្រើប្រាស់ដោយស្វ័យប្រវត្តិ ដើម្បីបង្កើតអ្នកប្រើប្រាស់ដែលមិនមានសិទ្ធិដោយស្វ័យប្រវត្តិ នៅពេលចូលតាមរយៈយន្តការផ្ទៀងផ្ទាត់នេះ។
អបអរសាទរ! អ្នកគួរតែឃើញប៊ូតុង ចូលដោយប្រើ Azure នៅលើទំព័រចូលរបស់អ្នក។
សន្និដ្ឋាន
HailBytes VPN ផ្តល់ជូននូវវិធីសាស្រ្តផ្ទៀងផ្ទាត់ជាច្រើន រួមទាំងការផ្ទៀងផ្ទាត់ពហុកត្តា, OpenID Connect និង SAML 2.0 ។ តាមរយៈការរួមបញ្ចូល OpenID Connect ជាមួយ Azure Active Directory ដូចដែលបានបង្ហាញនៅក្នុងអត្ថបទ កម្លាំងការងាររបស់អ្នកអាចចូលប្រើធនធានរបស់អ្នកបានយ៉ាងងាយស្រួល និងមានសុវត្ថិភាពនៅលើ Cloud ឬ AWS ។