10
Fortigate MFA über EMS und SAML
Hallo Forum,
wir migrierten vor kurzem zu einer Fortigate und nutzen auch EMS/ZTNA Lizenzen und somit den EMS Server.
Nun möchten wir im nächsten Schritt die MFA wieder realisieren.
Man kann wohl SAML über EMS konfigurieren oder eben auch direkt an der Fortigate, was macht da am meisten Sinn? Vermutlich die Fortigate selbst, da im HA? Die Idee ist, dass wir uns die FortiToken sparen und die MFA über das Azure AD abwickeln.
Geht der Test pro Client oder ist diese Umstellung generell nur global möglich und gibt es vielleicht Erfahrungswerte?
Vielen Dank im Voraus!
wir migrierten vor kurzem zu einer Fortigate und nutzen auch EMS/ZTNA Lizenzen und somit den EMS Server.
Nun möchten wir im nächsten Schritt die MFA wieder realisieren.
Man kann wohl SAML über EMS konfigurieren oder eben auch direkt an der Fortigate, was macht da am meisten Sinn? Vermutlich die Fortigate selbst, da im HA? Die Idee ist, dass wir uns die FortiToken sparen und die MFA über das Azure AD abwickeln.
Geht der Test pro Client oder ist diese Umstellung generell nur global möglich und gibt es vielleicht Erfahrungswerte?
Vielen Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 23850288106
Url: https://administrator.de/contentid/23850288106
Printed on: April 27, 2024 at 07:04 o'clock
10 Comments
Latest comment
Hi
MFA für was? Anmeldung an der VPN ? Generell zum Zugriff ins interne Netzwerk?
SAML am EMS ist eigentlich mehr für die Authentifizierung gegen den EMS, also um ein Nicht-Domain-joined Device einem User zuzuordnen. Ansonsten brauchst du mit ZTNA ja eigentlich keine weitere Authentifizierung ausser ggf der Client-VPN. Das ist ja das schöne an ZTNA. Du vergibst damit dann die Zugriffsrechte über die ZTNA Tags, die du dann uA über den User steuerst. Heisst, du berechtigst nicht mehr das Gerät des Users, sondern das Gerät wird anhand des angemeldeten Users berechtigt.
Ansonsten: SSLVPN per Azure SAML ist recht einfach und vielfach Dokumentiert.
MFA für was? Anmeldung an der VPN ? Generell zum Zugriff ins interne Netzwerk?
SAML am EMS ist eigentlich mehr für die Authentifizierung gegen den EMS, also um ein Nicht-Domain-joined Device einem User zuzuordnen. Ansonsten brauchst du mit ZTNA ja eigentlich keine weitere Authentifizierung ausser ggf der Client-VPN. Das ist ja das schöne an ZTNA. Du vergibst damit dann die Zugriffsrechte über die ZTNA Tags, die du dann uA über den User steuerst. Heisst, du berechtigst nicht mehr das Gerät des Users, sondern das Gerät wird anhand des angemeldeten Users berechtigt.
Ansonsten: SSLVPN per Azure SAML ist recht einfach und vielfach Dokumentiert.
Geht der Test pro Client oder ist diese Umstellung generell nur global
Im SSLVPN kannst du ja Portale anlegen. Da kannst du dann deine Testuser drauf legen.
Hi SeaStorm,
vielen Dank für die schnelle Antwort.
Habt Ihr SAML konfiguriert und seid zufrieden mit der Authentifizierung über den SSL VPN Client?
Viele Grüße
vielen Dank für die schnelle Antwort.
Habt Ihr SAML konfiguriert und seid zufrieden mit der Authentifizierung über den SSL VPN Client?
Viele Grüße
Eure User authentifizieren sich dann ganz normal über Handyapp goole Auth oder MS Authenticator? Hast du eine idee, wie sich User authentifizieren können ohne Handy?
Zitat von @SeaStorm:
Hi
MFA für was? Anmeldung an der VPN ? Generell zum Zugriff ins interne Netzwerk?
Die MFA soll für den Zugriff auf das lokale Standortnetzwerk durchgeführt werden.Hi
MFA für was? Anmeldung an der VPN ? Generell zum Zugriff ins interne Netzwerk?
Ja wir haben Azure SAML für VPN an allen Standorten aktiv. Klappt bestens.
Die ohne Handy bekommen einen OTP Generator von uns https://www.allfirewalls.de/Marken/Fortinet/FortiToken/FTK-200CD-10-Fort ...
Die ohne Handy bekommen einen OTP Generator von uns https://www.allfirewalls.de/Marken/Fortinet/FortiToken/FTK-200CD-10-Fort ...
Zitat von @SeaStorm:
Ja wir haben Azure SAML für VPN an allen Standorten aktiv. Klappt bestens.
Die ohne Handy bekommen einen OTP Generator von uns https://www.allfirewalls.de/Marken/Fortinet/FortiToken/FTK-200CD-10-Fort ...
Ja wir haben Azure SAML für VPN an allen Standorten aktiv. Klappt bestens.
Die ohne Handy bekommen einen OTP Generator von uns https://www.allfirewalls.de/Marken/Fortinet/FortiToken/FTK-200CD-10-Fort ...
Würde dringend von den Geräten abraten, haben 50 Stück bestellt nur um nach dem halben Jahr die neuere Revision bestellen zu müssen, da die Batterie leer ist und die Garantie dann läuft, wenn die Tokens von Fortinet an den jeweiligen Reseller verschifft werden. Wenn möglich die App nutzen, ansonsten das neuere Token Modell.
interessant. Hab gut 100 davon im Einsatz seit 2019 und bisher keine Probleme
Ist aber grundsätzlich egal welchen Token man nimm. Kann jeder Hersteller sein, solange er sich an den Standard hält.
Man packt die Dinger als OTP Token ins Azure. Die Fortigate hat damit nichts zu tun
Ist aber grundsätzlich egal welchen Token man nimm. Kann jeder Hersteller sein, solange er sich an den Standard hält.
Man packt die Dinger als OTP Token ins Azure. Die Fortigate hat damit nichts zu tun
Ja, super, besten Dank. Jetzt sah ich gerade, dass man wohl den Entra Plan 2 für die Gruppenzuweisung benötigt. Der Plan 2 kostet ca. 7 € pro User. Weißt du zufällig, ob man das auch anders lösen kann?
Ich gehe hier nach dieser Anleitung von Microsoft vor. https://learn.microsoft.com/en-us/entra/identity/saas-apps/fortigate-ssl ...
Nach vielem hin und her und Troubleshooting funktioniert nun alles.
ich sah jetzt gerade, dass diese OTP Generatoren gar nicht mehr verfügbar sind.
Könntet ihr noch ein weiteres Fabrikat empfehlen?
ich sah jetzt gerade, dass diese OTP Generatoren gar nicht mehr verfügbar sind.
Könntet ihr noch ein weiteres Fabrikat empfehlen?