Descripción
Este artículo describe cómo configurar FortiAuthenticator (IDP) y FortiGate (SP) para SAML SSO SSL VPN.
Solución
En el siguiente ejemplo, FortiAuthenticator está configurado como un IDP que autentica el inicio de sesión del usuario y FortiGate como un SP.
Para configurar FortiAuthenticator como IDP.
1) En FortiAuthenticator, vaya a Autenticación -> SAML IdP -> Proveedores de servicios.
2) Seleccione ‘Crear nuevo’.
3) Configure como desee, luego seleccione ‘OK’.
4) Para agregar un usuario local, vaya a Autenticación -> Gestión de usuarios -> Usuario local, luego seleccione ‘Crear nuevo’. Configure el usuario local como desee.
5) Para agregar un usuario local, vaya a Proveedor de identidad SAML -> General.
5) Configure una política en FortiGate desde la interfaz del túnel SSL (ssl.root, por ejemplo) a cualquier destino al que los usuarios puedan acceder a través del túnel SSLVPN. Agregue el grupo creado anteriormente como fuente.
Importante:
– Si no se configura una política SSLVPN, SSLVPN no funcionará en absoluto. FortiGate proporcionará una advertencia en la página de configuración de SSL VPN si no se crea ninguna política.
– Si el grupo de usuarios de SAML no está incluido en una política SSLVPN, FortiGate no podrá redirigir los intentos de inicio de sesión al IdP de SAML. Solo los grupos/usuarios a los que se hace referencia en las políticas SSLVPN se consideran para la autenticación SSLVPN.
6) Ahora, conecte FortiClient y seleccione la opción ‘Habilitar SSO para túnel VPN’ y guarde.
Una vez guardado, será posible ver el icono de inicio de sesión de SAML.
Seleccione e inicie sesión.
Verificación.